致远V5.6SP1 2016年3月修复包弱口令安全问题解决方

本修复包重点解决了两方面的安全问题：从产品角度解决弱口令登录密码问题及二次开发安全设置。请在升级3月修复包前仔细阅读。 一、解决弱口令登录密码 1、增加密码强度验证功能。如果设置的密码不符合密码强度，则系统要求强制修改。 注意：此补丁包只适用于解决用户名+密码登录验证弱口令问题，不适用其他登录方式（AD/LDAP，身份认证狗等） （1）登录系统管理员账号，在“启动密码强度验证”中设置密码强度，默认是“中等”   （2）在用户登录时会验证用户当前登录密码的强度，当密码强度小于系统设定的密码强度时，会提示用户修改密码，提示界面如下图所示                               高危操作：如果客户做了大量基于弱口令的二次开发且不愿改变的话，临时可以通过配置“插件参数设置”的webservice.weakpassword.enabled设置为1（允许）保持访问，但建议修改二开中的口令，否则需自行承担所引起的安全风险。   （2）点击“确定”按钮进入密码修改界面 二、二次开发安全设置 1、没有做二次开发的，打上补丁不需要做其他操作； 2、使用了Webservice进行二次开发，打上补丁，请使用SeeyonConfig配置工具，将“插件参数设置”：               webservice.enabled 设置为1(启用)               webservice.password 设置密码（不要使用弱口令） 3、客开的代码必须按照新的密码进行访问，否则无法调用 4、不能使用123456和空密码等弱口令，否则仍无法调用 5、如果需要更高的安全性，请将调用SOAP Webservice和单点登录的服务器IP地址加到“外部信任地址”中，并勾选“是否启用信任地址功能”，只允许指定IP调用。   请参照下图进行设置   2、增加密码过期时，密码是否需强制修改功能。 （1）登录系统管理员账号，设置“密码过期强制修改”，当选择为“是”时，密码过期以后，将提示用户“密码已过期，请及时修改”   （4）当用户所修改的密码不符合当前系统设定的密码强度时，则不允许保存   （3）此时用户需进入密码修改页面进行密码修改