パスワードポリシーオブジェクトは、パスワードが準拠しているかどうかをアプリケーションで確認できるようにするために、パブリックに読み込み可能です。つまり、認証されていないユーザでも、識別ボールトに問い合わせて、どのパスワードポリシーが設定されているかを確認できます。パスワードポリシーにより強力なパスワードの作成が要求される場合、『パスワード管理ガイド』の「Create Strong Password Policies」に説明されているように、これによりリスクが発生することはありません。
Identity Managerパスワード同期を使用すると、ユーザパスワードを簡略化し、ヘルプデスクのコストを削減できます。双方向パスワード同期は、セクション 5.8, パスワード同期の実装で説明されているように、eDirectoryと接続システム間との間でパスワードを複数の方法で共有できるように提供されています。
ユニバーサルパスワードとパスワードポリシーを使用することで、ユーザに対して強力なパスワード構文要件を適用できます。パスワードポリシーの[高度なパスワードルール]を使用して、パスワードに関する組織のベストプラクティスを定義できます。[高度なパスワードルール]機能を使用すると、Novell構文またはMicrosoft Complexity Policyを使用するパスワード構文を管理できます。詳細については、『 Novell Password Management 3.1 Administration Guide 』の「Managing Passwords by Using Password Policies」を参照してください。
たとえば、Novellパスワード構文のオプションを使用すると、ユーザパスワードが次のようなルールに準拠するように要求できます。
固有のパスワードの要求 -
ユーザがパスワードを再利用できないようにし、システムが比較のために履歴リストに保存するパスワードの数を制限できます。
パスワードに使用する文字の最小数の要求 -
長いパスワードの要求は、パスワードを強化する最適な方法の1つです。
パスワードに使用する数字の最小数の要求 -
パスワードに1つ以上の数値を含めるよう要求することは、不正侵入者が辞書の単語を使用してログインしようとする「辞書攻撃」の防止に役立ちます。
特定のパスワードの除外 -
会社名や地名、またはtestやadminという単語など、セキュリティリスクになると思われる単語を除外できます。除外リストは辞書全体をインポートするためのものではありませんが、除外単語リストは長くてもかまいません。ただし、長い除外リストを使用すると、ユーザのログインに時間がかかります。「辞書攻撃」を防ぐ方法としては、数字または特殊文字を要求する方が適切です。
ツリーの場所によってパスワード要件が異なる場合は、複数のパスワードポリシーを作成できます。パスワードポリシーは、ツリー全体、パーティションルートコンテナ、コンテナ、または個々のユーザに割り当てることができます。(管理を簡素化するために、パスワードポリシーは、ツリーのできるだけ上位のレベルに割り当てることをお勧めします)。
さらに、不正侵入者ロックアウトも選択できます。通常どおり、eDirectoryのこの機能では、ログインに何回失敗したらアカウントをロックするかを指定できます。これは、パスワードポリシーの設定ではなく、親コンテナの設定です。詳細については、『Novell eDirectory 管理ガイド』の「Managing User Accounts」を参照してください。