NovellレガシークライアントのeDirectory 8.8サーバへのアクセスを防止する
eDirectory 8.7.1および8.7.3では、NovellレガシークライアントがNDS(R)パスワードの設定や変更を行うことを防止できました。eDirectory 8.8では、レガシークライアントがeDirectory 8.8にログインすること、およびパスワードを検証することも防止できます。
eDirectory 8.8の使用をNovellレガシークライアントに許可または禁止するには、iManagerまたはLDAPのいずれかを使用して、NDSログインを設定する必要があります。
このセクションでは、次の情報について説明します。
- NovellレガシークライアントによるeDirectory 8.8サーバへのアクセスを防止することの必要性
- NDSログイン設定の管理
- パーティション操作
- 大文字と小文字を区別するパスワードを混在ツリーで適用する
NovellレガシークライアントによるeDirectory 8.8サーバへのアクセスを防止することの必要性
Novellレガシークライアントのパスワードは、大文字と小文字が区別されません。このためeDirectory 8.8以降では、大文字と小文字が区別されるパスワードの使用を適用する場合、レガシークライアントによるディレクトリへのアクセスをブロックする必要が生じる可能性があります。
Novell Client 4.9より前のバージョンでは、ユニバーサルパスワードはサポートされていませんでした。ログインとパスワードの変更が、NMASに対してではなくNDSパスワードに直接反映されていたためです。ユニバーサルパスワードを使用している場合、レガシークライアントがパスワードを変更すると、パスワードドリフトと呼ばれる問題が発生することがあります。これは、NDSパスワードとユニバーサルパスワードが同期されないことを意味します。この問題を防止するには、1つのオプションとして、バージョンが4.9より前のクライアントによってパスワードが変更されるのをブロックするという方法があります。
レガシークライアントによるeDirectory 8.8サーバへのアクセスをブロックする方法の詳細については、次のセクションのNDSログイン設定の管理」を参照してください。
NDSログイン設定の管理
NDSログインを設定すると、NovellレガシークライアントによるeDirectory 8.8サーバへのアクセスを、許可または禁止することができます。NDSログイン設定は、Novell iManager 2.5とLDAPを通して管理できます。
eDirectory 8.8以降では、iManagerはもちろん、LDAPを使用してパスワードの設定や変更を行うことができます。
このセクションでは、次の情報について説明します。
異なるレベルでのNDS設定
NDSログインは、次の1つまたはすべてのレベルで設定することができます。
- パーティションレベル
- オブジェクトレベル
設定をどのレベルにも指定しない場合、NDSログイン設定はすべてのレベルで有効になります。
オブジェクトレベルの設定はパーティションレベルの設定を常に上書きます。次の表に各レベルでの設定を示します。
表 5. NDS設定
| オブジェクトレベルでの設定 | パーティションレベルでの設定 | 設定 |
|---|---|---|
指定されていない |
有効 |
有効 |
有効 |
指定されていない |
有効 |
指定されていない |
無効 |
無効 |
無効 |
指定されていない |
無効 |
有効 |
有効 |
有効 |
有効 |
無効 |
有効 |
無効 |
有効 |
無効 |
無効 |
無効 |
無効 |
すべてのレベル(オブジェクトおよびパーティション)で、NDSログインについて次のことを設定できます。
- NDSパスワードを使用したディレクトリへのログイン、またはNDSパスワードの検証
- 新しいパスワードの設定と既存のパスワードの変更
ディレクトリへのログインまたはNDSパスワードの検証
NDSパスワードを使用したログイン/検証とは、次のことを意味します。
- NDSパスワードを使用してディレクトリにログインする。
- ディレクトリで既存のパスワードを検証する。
NDSパスワードを使用したログイン/検証は、デフォルトで有効になっています。ログイン/検証キーを無効にすると、最新バージョンのeDirectoryへのログインや、パスワードの検証ができなくなります。NDSパスワードを使用したログイン/検証は、パーティションおよびオブジェクトのレベルで有効または無効にできます。ログイン/検証が無効にされた場合、NDSパスワードの設定や変更ができなくなります。
NDSパスワードを使用したログイン/検証は、iManager 2.5とLDAPを通して設定できます。詳細については、「iManagerを使用してNDS設定を管理する」および「LDAPを使用してNDS設定を管理する」を参照してください。
新しいパスワードの設定およびNDSパスワードの変更
NDSパスワードの設定/変更とは、次のことを意味します。
- オブジェクトに対して新しいパスワードを設定する。
- オブジェクトの既存のパスワードを変更する。
NDSパスワードの設定/変更は、デフォルトで有効になっています。キーの設定/変更を無効にすると、新しいパスワードの設定や既存のパスワードの変更をeDirectoryで行えなくなります。NDSパスワードを使用した設定/変更は、パーティションおよびオブジェクトのレベルで有効または無効にできます。ログイン/検証が無効にされた場合、パスワードの設定/変更が行えなくなります。
NDSパスワードの設定および変更は、以前はLDAPを通してのみ行われました。現在は、iManagerでも管理できるようになりました。詳細については、「iManagerを使用してNDS設定を管理する」および「LDAPを使用してNDS設定を管理する」を参照してください。
iManagerを使用してNDS設定を管理する
このセクションでは、次の情報について説明します。
をクリックします。
LDAPを使用してNDS設定を管理する
重要: NDS設定の管理には、LDAPではなく、iManagerを使用することを強くお勧めします。
NDS設定は、パーティションのルートコンテナまたはオブジェクトのeDirectory属性を使用して、LDAP経由で管理することができます。これらの属性はeDirectory 8.7.1以降のスキーマの一部であり、eDirectory 8.7以前ではサポートされていません。
レガシークライアントでNDSログイン設定に使用される方法はNDAPログイン管理と呼ばれ、NDSパスワード設定に使用される方法はNDAPパスワード管理と呼ばれています。
このセクションでは、次の情報について説明します。
パーティションのNDS環境設定を有効/無効にする
ndapPartitionLoginMgmt属性を使用し、パーティションに対してNDSログインを有効/無効にしたり、パスワード管理を検証したりします。
| ndapPartitionLoginMgmt属性値 | 説明 |
|---|---|
存在しないか指定されていない |
NDAPログイン管理が有効になります。 |
0 |
NDAPログイン管理が無効になります。 |
1 |
NDAPログイン管理が有効になります。 |
ndapPartitionPasswordMgmt属性を使用し、パーティションに対してNDSパスワードの設定および変更を有効にしたり、無効にしたりします。
| ndapPartitionPasswordMgmt属性値 | 説明 |
|---|---|
存在しないか指定されていない |
NDAPパスワード管理が有効になります。 |
0 |
NDAPパスワード管理が無効になります。 |
1 |
NDAPパスワード管理が有効になります。 |
オブジェクトのNDS設定を有効/無効にする
ndapLoginMgmt属性を使用し、NDSログインを有効/無効にしたり、オブジェクト管理を検証したりします。
| ndapLoginMgmt属性値 | 説明 |
|---|---|
存在しないか指定されていない |
NDAPログイン管理はパーティションレベルでの設定に依存します。 |
0 |
パーティションレベルでNDAPログイン管理が無効にされている場合、NDAPログイン管理は無効になります。 |
1 |
NDAPログイン管理は、パーティションレベルでの環境設定に関係なく、有効になります。 |
ndapPasswordMgmt属性を使用すると、オブジェクトに対するNDSパスワードの設定および変更を有効にしたり、無効にしたりすることができます。
| ndapPasswordMgmt属性値 | 説明 |
|---|---|
存在しないか指定されていない |
NDAPパスワード管理はパーティションレベルでの設定に依存します。 |
0 |
パーティションレベルでNDAPパスワード管理が無効にされている場合、NDAPパスワード管理は無効になります。 |
1 |
NDAPパスワード管理は、パーティションレベルでの環境設定に関係なく、有効になります。 |