Documentation for password complexity (#15064)

Co-authored-by: lopatinevgeny <lopatinevgeny@yandex-team.ru>

Author: molotkov-and

ydb/docs/ru/core/reference/configuration/index.md

@@ -827,6 +827,36 @@ blob_storage_config:
 
 {{ ydb-short-name }} позволяет использовать различные способы аутентификации пользователя в системе. Настройки аутентификации и провайдеров аутентификации задаются в секции `auth_config`.
 
+### Конфигурация сложности пароля {#password-complexity}
+
+{{ ydb-short-name }} позволяет аутентифицировать пользователей по логину и паролю. Подробнее можно прочитать в разделе [аутентификация по логину и паролю](../../security/authentication.md#static-credentials). Для повышения безопасности в {{ ydb-short-name }} имеется возможность настроить [политику паролей](../../security/authentication.md#password-complexity) пользователей. Параметры политики паролей настраиваются в секции `password_complexity`.
+
+Синтаксис секции `password_complexity`:
+
+```yaml
+auth_config:
+  ...
+  password_complexity:
+    min_length: 8
+    min_lower_case_count: 1
+    min_upper_case_count: 1
+    min_numbers_count: 1
+    min_special_chars_count: 1
+    special_chars: "!@#$%^&*()_+{}|<>?="
+    can_contain_username: false
+  ...
+```
+
+| Параметр | Описание | Значение по умолчанию |
+| :--- | :--- | :---: |
+| `min_length` | Минимальная длина пароля | 0 |
+| `min_lower_case_count` | Минимальное число символов в нижнем регистре | 0 |
+| `min_upper_case_count` | Минимальное число символов в верхнем регистре | 0 |
+| `min_numbers_count` | Минимальное число цифр в пароле | 0 |
+| `min_special_chars_count` | Минимальное число специальных символов из списка `special_chars` | 0 |
+| `special_chars` | Специальные символы, которые допустимо использовать в пароле. Допускается указать любое подмножество из следующих символов `!@#$%^&*()_+{}\|<>?=`. Значение (`""`) эквивалентно списку `!@#$%^&*()_+{}\|<>?=` | `""` |
+| `can_contain_username` | Может ли пароль содержать имя пользователя | `false` |
+
 ### Конфигурация LDAP аутентификации {#ldap-auth-config}
 
 Одним из способов аутентификации пользователей в {{ ydb-short-name }} является использование LDAP каталога. Подробнее о таком виде аутентификации написано в разделе про [использование LDAP каталога](../../security/authentication.md#ldap). Для конфигурирования LDAP аутентификации необходимо описать секцию `ldap_authentication`.

ydb/docs/ru/core/security/authentication.md

@@ -40,7 +40,7 @@
 
 Данный вид доступа подразумевает наличие у каждого пользователя базы данных логина и пароля.
 Логин пользователя может содержать только строчные буквы латинского алфавита, цифры и символ `@`.
-Допускается использование пустого пароля.
+Возможна настройка [политик](#password-complexity) сложности пароля.
 
 Логин пользователя и хеш пароля хранятся в таблице внутри компонента аутентификации. Пароль хеширован методом [Argon2](https://ru.wikipedia.org/wiki/Argon2). Доступ к этой таблице имеет только администратор системы.
 
@@ -58,6 +58,11 @@
 
 Об управлении ролями и пользователями читайте в [{#T}](../security/authorization.md).
 
+### Сложность пароля {#password-complexity}
+
+{{ ydb-short-name }} позволяет дополнительно настраивать политики паролей пользователей. Пароли, указываемые в таких командах как `CREATE USER` и `ALTER USER`, должны соответствовать действующей [политике паролей](../reference/configuration/index.md#password-complexity).
+По умолчанию на пароль действуют следующие ограничения: принимается пароль любой длины, в том числе и пустая строка, в пароле может присутствовать произвольное число цифр, букв в различных регистрах и специальных символов из списка `!@#$%^&*()_+{}|<>?=`. Для наложения ограничений на сложность пароля необходимо настроить секцию `password_complexity` в [конфигурации](../reference/configuration/index.md#password-complexity).
+
 ## Аутентификация с использованием LDAP-каталога {#ldap}
 
 В {{ ydb-short-name }} интегрировано взаимодействие с [LDAP каталогом](https://ru.wikipedia.org/wiki/LDAP). LDAP каталог является внешним по отношению к {{ ydb-short-name }} сервисом и используется для аутентификации и авторизации пользователей базы данных. Прежде чем воспользоваться данным способом аутентификации и авторизации необходимо иметь развернутый LDAP сервис и настроенный сетевой доступ между ним и серверами {{ ydb-short-name }}.