この節では、次の移行トピックに関する概要を説明します。
このセクションでは、次の主要OESコンポーネントについて具体的な概要を示します。
認証トピックの詳細については、OESオンラインヘルプのAccess, Authenticate, Log in
を参照してください。
OES 2においてNetIdentityエージェントはNovell eDirectory認証との相互動作により、ワークステーション上のセキュア識別情報「ウォレット」を介してeDirectory認証を要求するWindows Webベースアプリケーションでバックグラウンド認証を行います。アプリケーションはユーザにユーザ名およびパスワードの入力を促さずに、eDirectoryのアカウント情報にアクセスします。
NetIdentityエージェントは、次のOES 2サーバプラットフォーム上で実行されるアプリケーションをサポートします。
OES 2 Linux: NetStorage
OES 2 NetWare: NetStorageおよびiPrint (認証が必要な場合)
NetIdentityエージェントのブラウザ認証は、Windows Internet Explorerでのみサポートされています。
Novell Clientは認証アカウント情報をNetIdentityに提供しますが、Webベースのアプリケーションではないため認証資格情報をNetIdentityからは取得しません。
NetIdentityエージェントでは次の作業が必要です。
Webベースアプリケーション用のURL内にOES 2サーバ上のXTier (NetStorage)を含める。
ワークステーション上にNetIdentityエージェントをインストールする。
NetIdentityエージェントの使用方法の詳細については、『NetIdentity Administration Guide for NetWare 6.5』を参照してください。
NMAS™ (Novell Modular Authentication Services)では、NetWare、Windows、およびUNIXネットワーク上のNovell eDirectoryにさまざまな認証方式を提供することで、ネットワーク上の情報を保護できます。
これらのログインメソッドのベースになっているログインファクタには、次の3種類があります。
[パスワード]
物理デバイスまたはトークン
バイオメトリック認証
例:
パスワード、指紋スキャン、トークン、スマートカード、証明書、近接型カードなどを使用するだけで、ユーザにログインを許可することができます。
複数のメソッドを組み合わせてユーザをログインさせることにより、セキュリティレベルを高めることができます。
一部のログインメソッドでは、ハードウェアの増設やソフトウェアの追加が必要になる場合があります。使用するメソッドに必要なハードウェアおよびソフトウェアがすべて確保されている必要があります。
NMASソフトウェアコンポーネントの構成要素には、次のものがあります。
NMASサーバコンポーネント: OES 2の一部としてインストールします。
NMAS Client: NMASを使って認証される各Windowsワークステーション上で必要です。
Novell Client配布パッケージには多数のNMASログイン方式が含まれます。
その他のサードパーティ方式はダウンロードすることができます。使用可能なサードパーティのログイン方式については、「Novell Modular Authentication Service (NMAS)」Webサイトを参照してください。方式ごとに、インストール/設定に関する具体的な指示が記載されたreadme.txtファイルまたはreadme.pdfファイルが用意されています。
NMASの使用方法の詳細については、『Novell Modular Authentication Services (NMAS) 3.2 Administration Guide』を参照してください。
従来、パスワードの違いのために管理者は複数のパスワード(シンプルパスワード、NDSパスワード、Sambaパスワード)を管理する必要がありました。さらに、複数のパスワードを同期させる必要もありました。
OES 2では、現在のパスワードメンテナンス方式を維持するか、パスワード管理を簡略化する手段として、ユニバーサルパスワードを配置するかを選択できます。詳細については、『Novell Password Management Administration Guide』を参照してください。
Novell製品およびサービスはすべて、拡張文字の(UTF-8でエンコードされた)パスワードを扱えるように開発されています。拡張文字を扱える製品およびサービスの最新リストについては、Novell TID 10083884を参照してください。
eDirectoryでサポートされているパスワードの種類については、表 16-6に要約してあります。
表 16-6 eDirectoryパスワードの種類
|
パスワードの種類 |
説明 |
|---|---|
|
NDS |
NDSパスワードは非可逆性ハッシュフォームでeDirectory内に保存されます。このパスワードはNDSシステム専用であり、他の任意のシステムで使える別のフォームに変換することはできません。 |
|
Samba |
OES 2においてSambaユーザにはデフォルトでユニバーサルパスワードポリシーが割り当てられます。 希望する場合、OES ではSamba ハッシュパスワードもサポートされます。ただし、Sambaハッシュパスワードを使用する場合は、ユニバーサルパスワードが配置されないように選択する必要があります。Sambaパスワードを選択するには、eDirectoryパスワードを変更するたびに忘れずに同期化する必要があります。 詳細については、『OES 2: Samba Administration Guide』の |
|
シンプル |
シンプルパスワードは、eDirectory内のユーザオブジェクトの属性に格納される可逆値です。NMASは、パスワードのクリアテキスト値をどのタイプの認証アルゴリズムにも使えるように安全に格納します。NMASはこの値を確実にセキュリティ保護するために、DES鍵またはトリプルDES鍵のどちらか一方(セキュアドメインキーの強度に応じて異なる)を使用して、NMAS SecretおよびConfiguration Store内のデータを暗号化します。 シンプルパスワードの本来の実装目的は、管理者が他のLDAPディレクトリ(たとえば、Active DirectoryやiPlanet*)からユーザおよびハッシュパスワードをインポートできるようにすることでした。 シンプルパスワードの制約は、パスワードポリシー(最小長、満了日など)がいっさい施行されないことです。また、デフォルトではユーザが自分のシンプルパスワードを変更する権限を持ちません。 |
|
ユニバーサル |
ユニバーサルパスワード(UP)は、あらゆるプロトコルおよび認証方式を使えるパスワードを作成することにより、複数の認証システムにまたがって一定のパスワードポリシーを施行するというものです。 iManagerにおいてユニバーサルパスワードは、OES 2サーバ上にインストールされたNMASモジュールのコンポーネントであるSPM (Secure Password Manager)によって管理されます。パスワードに関する制約およびポリシー(有効期限、最小長など)がすべてサポートされています。 UPライブラリを備えたクライアント上で実行される既存の管理ツールはすべて、ユニバーサルパスワードを使用して自動処理します。 OES 2 Linuxサーバ上にNovell Sambaがインストールされた後で初めて、ユニバーサルパスワードが自動的に有効化されます。オプションで、Sambaハッシュパスワードが個別に保存されるように選択することもできます。ただし、このためには、eDirectoryパスワードを変更する際、忘れずにSambaパスワードを同期化する必要があります。 Novell Clientはユニバーサルパスワードをサポートしているだけでなく、ネットワーク内の従来型システムに対応したNDSパスワードもサポートしています。ユニバーサルパスワードが配置されると、そのUPを使えるように自動的にNovell Clientがアップグレードされます。 詳細については、『Novell Password Management Administration Guide』の |
計画のトピックについては、OESオンラインヘルプのAccess, Authenticate, Log in
を参照してください。
認証およびセキュリティの共存およびマイグレーションについては、このガイドのセクション 21.0, セキュリティとセクション 22.0, 証明書管理
を参照してください。
設定と認証トピックのリストについては、OESオンラインヘルプのAccess, Authenticate, Log in
を参照してください。