ユニバーサルパスワードの有効化

ユニバーサルパスワードは、eDirectory 8.9.1の新しいパスワード機能です。Advaned Password Rule (詳細パスワードルール)、パスワード同期、およびパスワードを忘れた場合のセルフサービスに関する多くの機能を使用する場合は、ユーザに対してユニバーサルパスワードを有効にする必要があります。

Password Policy (パスワードポリシー)を使用して、ユニバーサルパスワードを有効にするかどうかを指定できます。次に、Password Policy (パスワードポリシー)をユーザ(ツリー全体、コンテナまたはパーティション、あるいは特定のユーザ)に割り当てることができます。ツリー全体に対してユニバーサルパスワードをオンにする必要はありません。異なるPassword Policy (パスワードポリシー)を使用すると、ユニバーサルパスワードの使用方法をニーズに合わせて変更できます。管理を簡素化するために、Password Policy (パスワードポリシー)はできるだけツリーの上位に割り当てることをお勧めします。

Novell Client^TMやeDirectoryのアップグレードなど、ユニバーサルパスワード用の環境を準備するための追加計画が必要になります。

また、NDSまたは通常パスワードのどちらをユニバーサルパスワードと同期化するかなど、Password Policy (パスワードポリシー)内で、ユニバーサルパスワードとNMASの他の設定を編集することもできます。

次の図は、Password Policy (パスワードポリシー)のユニバーサルパスワード設定オプションを指定するプロパティページの例を示します。

Advaned Password Rule (詳細パスワードルール)の設定

Advaned Password Rule (詳細パスワードルール)では、次のように、許容できるパスワードの条件を定義できます。

• パスワードの構文
• パスワードのプロパティ
• パスワードの使用期限
• 特殊文字の使用
• パスワードの除外

  重要:  パスワードの除外は、セキュリティリスクになると考えられるいくつかの単語に対して使用すると便利です。除外リストを使用することもできますが、辞書などの長い単語リストに使用するためのものではありません。大量の除外単語を記述したリストを使用すると、サーバのパフォーマンスに影響することがあります。パスワードに対する「辞書攻撃」から保護するには、長い除外リストを使用する代わりに、パスワードに数字を含めることを要求するAdvaned Password Rule (詳細パスワードルール)を使用することをお勧めします。

Password Policy (パスワードポリシー)でAdvaned Password Rule (詳細パスワードルール)を使用するには、ユニバーサルパスワードを有効にする必要があります。ポリシーに対してユニバーサルパスワードを有効にしない場合、代わりに、NDSのパスワードに設定されているパスワード制限が適用されます。

注:  Password Policy (パスワードポリシー)を作成し、ユニバーサルパスワードを有効にすると、NDSパスワードの既存のパスワード設定ではなく、Advaned Password Rule (詳細パスワードルール)が適用されます。レガシーパスワード設定は無視されます。Password Policy (パスワードポリシー)の作成時に、以前の設定が自動的にマージまたはコピーされることはありません。

たとえば、NDSパスワードで使用する猶予ログイン回数の設定がある場合、ユニバーサルパスワードを有効にすると、Password Policy (パスワードポリシー)でAdvaned Password Rule (詳細パスワードルール)に猶予ログイン設定を再作成する必要があります。

その後、Password Policy (パスワードポリシー)でユニバーサルパスワードを無効にした場合は、以前に設定していた既存のパスワード設定が有効になります。これらの設定は、NDSパスワードに対して適用されます。

次の図は、Password Policy (パスワードポリシー)のAdvance Password Rule (Advaned Password Rule (詳細パスワードルール))を指定するプロパティページの例を示します。

Password Policy (パスワードポリシー)への独自のパスワード変更メッセージの追加

Password Policy (パスワードポリシー)への独自のPassword Change Message (パスワード変更メッセージ)の追加を参照してください。

ユーザへのパスワードを忘れた場合のセルフサービスの提供

ユーザへのパスワードを忘れた場合のセルフサービスの提供を参照してください。

ユーザへのパスワードのリセットセルフサービスの提供

ユーザへのパスワードのリセットセルフサービスの提供を参照してください。

eDirectoryユーザへのポリシーの割り当て

Password Policy (パスワードポリシー)をeDirectory内のユーザに割り当てるには、ポリシーをツリー全体(ログインポリシーオブジェクトを使用)、特定のパーティションまたはコンテナ、または特定のユーザに割り当てます。

管理を簡素化するため、デフォルトのポリシーはツリー全体に割り当て、使用するその他のポリシーはできるだけツリーの上位に割り当てることをお勧めします。

NMASは、ユーザに対してどのPassword Policy (パスワードポリシー)が有効かを決定します。Password Policy (パスワードポリシー)をユーザに割り当てる方法については、ユーザへのPassword Policy (パスワードポリシー)の割り当てを参照してください。

パスワード同期を使用する場合は、Password Policy (パスワードポリシー)が割り当てられているユーザが、接続システムのパスワード同期に参加させるユーザと一致していることを確認する必要があります。Password Policy (パスワードポリシー)はツリー中心で割り当てられます。対照的に、パスワード同期はサーバベースでドライバごとに設定されます。パスワード同期から期待どおりの結果を得るには、パスワード同期のドライバを実行しているサーバ上の読み書き可能レプリカまたはマスタレプリカに存在するユーザが、Password Policy (パスワードポリシー)を割り当ててユニバーサルパスワードを有効にしているコンテナと一致していることを確認してください。パーティションルートコンテナにPassword Policy (パスワードポリシー)を割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にPassword Policy (パスワードポリシー)が割り当てられます。

次の図は、どのオブジェクトにPassword Policy (パスワードポリシー)を割り当てるかを指定するプロパティページの例を示します。

eDirectory内でのポリシーの適用

ツリー内のユーザにPassword Policy (パスワードポリシー)を割り当てる場合、以降のパスワード変更は、そのポリシーのAdvaned Password Rule (詳細パスワードルール)に準拠している必要があります。ブラウザでは、パスワードルールは、ユーザがパスワードを変更するページに表示されます。Novell Client 4.9 SP2以降では、ルールも表示されます。どちらの方法でも、準拠しないパスワードは拒否されます。NMASは、これらのルールを適用するアプリケーションです。

既存のパスワードがルールに準拠しているかを確認し、準拠していない既存のパスワードは変更しなければならないように指定できます。

また、ユーザがiManagerまたはiManagerセルフサービスコンソールを介して認証する場合に、有効にした、パスワードを忘れた場合の機能の設定を求めるメッセージを表示するように指定することもできます。これは、認証後のサービスと呼ばれます。たとえば、ユーザがパスワードを忘れた場合、電子メールでパスワードヒントをユーザに送信できます。このパスワードヒントをユーザに作成させる場合は、認証後サービスを使用して、ログイン時にパスワードヒントを作成するようユーザに要求するメッセージを表示できます。

次の図が示すように、認証後設定は、［Forgotten Password］プロパティページの最後のオプションです。

接続システムへのポリシーの適用

パスワード同期を使用している場合、各ドライバに設定が提供され、Password Policy (パスワードポリシー)のAdvaned Password Rule (詳細パスワードルール)を適用できます。

このポリシーを設定するには、次の手順を実行します。

• 一般に、Identity Managerが接続システムによって発行されたパスワードを受け付けるかどうかを決定します。
• 接続システムから受信するパスワードに対してポリシーを適用します。パスワードが準拠しない場合、Identity Managerはそのパスワードを受け付けません。
• 準拠していないパスワードをリセットすることによって、接続システムにポリシーを適用します。Identity Managerに入るパスワードが準拠していない場合、Identity Managerは識別ボールトへのパスワード変更を拒否できます。また、既存のIdentity Manager配布パスワードを使用して、接続システム上のパスワードをリセットすることもできます。
• パスワード同期が成功しなかった場合、ユーザに通知します。たとえば、ユーザが接続システム上で準拠していないパスワードを作成し、Identity Managerがそのパスワードを受け付けなかった場合、パスワード変更が同期化されなかったことをユーザに電子メールで通知できます。

Advaned Password Rule (詳細パスワードルール)とIdentity Managerパスワード同期を使用している場合、すべての接続システムのPassword Policy (パスワードポリシー)を調査して、eDirectoryPassword Policy (パスワードポリシー)のAdvaned Password Rule (詳細パスワードルール)に互換性があることを確認し、パスワードを正常に同期化できるようにすることをお勧めします。

Password Policy (パスワードポリシー)が割り当てられているユーザが、接続システムのパスワード同期に参加させるユーザと一致していることを確認する必要があります。

Password Policy (パスワードポリシー)はツリー中心で割り当てられます。対照的に、パスワード同期はドライバごとに設定されます。ドライバはサーバベースでインストールされ、マスタレプリカまたは読み書き可能レプリカ内に存在するユーザのみを管理できます。パスワード同期から期待どおりの結果を得るには、パスワード同期のドライバを実行しているサーバ上の読み書き可能レプリカまたはマスタレプリカに存在するユーザが、Password Policy (パスワードポリシー)を割り当ててユニバーサルパスワードを有効にしているコンテナと一致していることを確認してください。パーティションルートコンテナにPassword Policy (パスワードポリシー)を割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にPassword Policy (パスワードポリシー)が割り当てられます。

パスワードフローを指定する方法については、グローバル設定値を使用して作成するパスワード同期設定を参照してください。

ユーザに対して有効なPassword Policy (パスワードポリシー)の表示

iManagerでは、ユーザに対して有効なポリシーを確認できます。ユーザに割り当てられているポリシーの確認を参照してください。

ユーザのユニバーサルパスワードの設定

管理者、またはヘルプデスクの担当者がユーザのユニバーサルパスワードを設定できるように、新しいiManagerプラグインが用意されています。このプラグインでは、ユーザのPassword Policy (パスワードポリシー)のAdvaned Password Rule (詳細パスワードルール)が表示されます。これにより、管理者またはヘルプデスクユーザは、準拠したユニバーサルパスワードを作成できます。［Set Universal Password］タスクは、パスワード管理役割にあります。