eDirectory 8.7.1および 8.7.3では、NovellレガシークライアントがNDSパスワードの設定や変更を行うことを防止できました。eDirectory 8.8では、レガシークライアントがeDirectory 8.8にログインすること、およびパスワードを検証することも防止できます。
eDirectory 8.8の使用をNovellレガシークライアントに許可または禁止するには、iManagerまたはLDAPのいずれかを使用して、NDSログインを設定する必要があります。
このセクションでは、次の情報を紹介します。
Novellレガシークライアントのパスワードは、大文字と小文字が区別されません。このためeDirectory 8.8以降では、大文字と小文字が区別されるパスワードの使用を適用する場合、レガシークライアントによるディレクトリへのアクセスをブロックする必要が生じる可能性があります。
Novell Client 4.9より前のバージョンでは、ユニバーサルパスワードはサポートされていませんでした。ログインとパスワードの変更が、NMASに対してではなくNDSパスワードに直接反映されていたためです。ユニバーサルパスワードを使用している場合、レガシークライアントがパスワードを変更すると、パスワードドリフトと呼ばれる問題が発生することがあります。これは、NDSパスワードとユニバーサルパスワードが同期されないことを意味します。この問題を防止するには、1つのオプションとして、バージョンが4.9より前のクライアントによってパスワードが変更されるのをブロックするという方法があります。
レガシークライアントによるeDirectory 8.8サーバへのアクセスをブロックする方法の詳細については、次のセクションの「NDSログイン設定の管理」を参照してください。
NDSログインを設定すると、NovellレガシークライアントによるeDirectory 8.8サーバへのアクセスを、許可または禁止することができます。NDSログイン設定は、 iManager 2.6とLDAPを通して管理できます。
eDirectory 8.8以降では、iManagerはもちろん、LDAPを使用してパスワードの設定や変更を行うことができます。
このセクションでは、次の情報について説明します。
NDSログインは、次の1つまたはすべてのレベルで設定することができます。
パーティションレベル
オブジェクトレベル
設定をどのレベルにも指定しない場合、NDSログイン設定はすべてのレベルで有効になります。
オブジェクトレベルの設定はパーティションレベルの設定を常に上書きます。次の表に各レベルでの設定を示します。
表 8-1 NDS設定
オブジェクトレベルでの設定 |
パーティションレベルでの設定 |
環境設定 |
---|---|---|
指定されていない |
有効 |
有効 |
有効 |
指定されていない |
有効 |
指定されていない |
無効 |
無効 |
無効 |
指定されていない |
無効 |
有効 |
有効 |
有効 |
有効 |
無効 |
有効 |
無効 |
有効 |
無効 |
無効 |
無効 |
無効 |
すべてのレベル(オブジェクトおよびパーティション)で、NDSログインについて次のことを設定できます。
NDSパスワードを使用したディレクトリへのログイン、またはNDSパスワードの検証
新しいパスワードの設定と既存のパスワードの変更
NDSパスワードを使用したログイン/検証とは、次のことを意味します。
NDSパスワードを使用してディレクトリにログインする。
ディレクトリで既存のパスワードを検証する。
NDSパスワードを使用したログイン/検証は、デフォルトで有効になっています。ログイン/検証キーを無効にすると、最新バージョンのeDirectoryへのログインや、パスワードの検証ができなくなります。NDSパスワードを使用したログイン/検証は、パーティションおよびオブジェクトのレベルで有効または無効にできます。ログイン/検証が無効にされた場合、NDSパスワードの設定や変更ができなくなります。
NDSパスワードを使用したログイン/検証は、iManager 2.5とLDAPを通して設定できます。詳細については、iManagerを使用してNDS設定を管理するおよびLDAPを使用してNDS設定を管理するを参照してください。
NDSパスワードの設定/変更とは、次のことを意味します。
オブジェクトに対して新しいパスワードを設定する。
オブジェクトの既存のパスワードを変更する。
NDSパスワードの設定/変更は、デフォルトで有効になっています。キーの設定/変更を無効にすると、新しいパスワードの設定や既存のパスワードの変更をeDirectoryで行えなくなります。NDSパスワードを使用した設定/変更は、パーティションおよびオブジェクトのレベルで有効または無効にできます。ログイン/検証が無効にされた場合、パスワードの設定/変更が行えなくなります。
NDSパスワードの設定および変更は、以前はLDAPを通してのみ行われました。現在は、iManagerでも管理できるようになりました。詳細については、iManagerを使用してNDS設定を管理するおよびLDAPを使用してNDS設定を管理するを参照してください。
このセクションでは、次の情報を紹介します。
ログイン/検証キーや設定/変更キーは、NDSログイン設定で有効にすることができます。
eDirectory 8.8以前のクライアントに対してNDSログインを有効にする:
iManagerの
ボタンをクリックします。『』。> の順に選択します。
[ユニバーサルパスワードの強制]プラグインで、
を選択します。[NDS Configuration for a Partition (パーティションのNDS環境設定)]ウィザードの指示に従って、パーティションレベルでログインとパスワード管理を設定します。
ウィザードの各段階で、[ヘルプ]が利用できます。
eDirectory 8.8以前のクライアントに対してNDSログインを有効にする:
iManagerの
ボタンをクリックします。『』。> の順に選択します。
ウィザードで
を選択します。[NDS Configuration for an Object (オブジェクトのNDS環境設定)]ウィザードの指示に従って、オブジェクトレベルでログインとパスワード管理を設定します。
ウィザードの各段階で、[ヘルプ]が利用できます。
重要:NDS設定の管理には、LDAPではなく、iManagerを使用することを強くお勧めします。
NDS設定は、パーティションのルートコンテナまたはオブジェクトのeDirectory属性を使用して、LDAP経由で管理することができます。これらの属性はeDirectory 8.7.1以降のスキーマの一部であり、eDirectory 8.7以前ではサポートされていません。
レガシークライアントでNDSログイン設定に使用される方法はNDAPログイン管理と呼ばれ、NDSパスワード設定に使用される方法はNDAPパスワード管理と呼ばれています。
このセクションでは、次の情報について説明します。
ログインおよびパスワード管理の検証
ndapPartitionLoginMgmt属性を使用し、パーティションに対してNDSログインを有効/無効にしたり、パスワード管理を検証したりします。
ndapPartitionLoginMgmt属性値 |
説明 |
---|---|
存在しないか指定されていない |
NDAPログイン管理が有効になります。 |
0 |
NDAPログイン管理が無効になります。 |
1 |
NDAPログイン管理が有効になります。 |
NDSパスワードの設定と変更
ndapPartitionPasswordMgmt属性を使用し、パーティションに対してNDSパスワードの設定および変更を有効にしたり、無効にしたりします。
ndapPartitionPasswordMgmt属性値 |
説明 |
---|---|
存在しないか指定されていない |
NDAPパスワード管理が有効になります。 |
0 |
NDAPパスワード管理が無効になります。 |
1 |
NDAPパスワード管理が有効になります。 |
NDSパスワードを使用したログインおよび検証
ndapLoginMgmt属性を使用し、NDSログインを有効/無効にしたり、オブジェクト管理を検証したりします。
ndapLoginMgmt属性値 |
説明 |
---|---|
存在しないか指定されていない |
NDAPログイン管理はパーティションレベルでの設定に依存します。 |
0 |
パーティションレベルでNDAPログイン管理が無効にされている場合、NDAPログイン管理は無効になります。 |
1 |
NDAPログイン管理は、パーティションレベルでの環境設定に関係なく、有効になります。 |
NDSパスワードの設定と変更
ndapPasswordMgmt属性を使用すると、オブジェクトに対するNDSパスワードの設定および変更を有効にしたり、無効にしたりすることができます。
ndapPasswordMgmt属性値 |
説明 |
---|---|
存在しないか指定されていない |
NDAPパスワード管理はパーティションレベルでの設定に依存します。 |
0 |
パーティションレベルでNDAPパスワード管理が無効にされている場合、NDAPパスワード管理は無効になります。 |
1 |
NDAPパスワード管理は、パーティションレベルでの環境設定に関係なく、有効になります。 |
メモ:優先度同期ポリシーの作成と管理の詳細については、『NetIQ eDirectory 8.8 SP8管理ガイド』のLinuxのLDAPツール
およびNetIQインポート変換エクスポートユーティリティ
を参照してください。
パーティションを分割すると、NDS設定はチャイルドパーティションに継承されません。パーティションをマージすると、マージ後のパーティションではペアレントのNDS設定が保持されます。
eDirectory 8.8以降のサーバとeDirectory 8.7以前のサーバが含まれるツリーが存在し、2台のサーバがパーティションを共有している場合、そのパーティションでNDSログイン設定を無効にすると、予期しない結果が生じることがあります。8.8サーバは設定を適用して、レガシークライアントによるディレクトリへのアクセスを防止します。ただし、8.7サーバは設定を適用しないので、8.7サーバを通してディレクトリにアクセスすることができます。