NMASは、ネットワーク上の情報の保護を支援するように設計されています。パスワード管理ツールに加えて、NMASはNetIQ eDirectoryネットワークに対して認証する手段も兼ね備えています。これにより、ネットワークリソースにアクセスしている人物が本人かどうかを確認できます。
NMASは、認証デバイスに対するワークステーション上でのユーザのセッション中に3つの操作フェーズを使用します。それらのフェーズは次のとおりです。
ユーザ識別フェーズ (人物の特定)
認証(ログイン)フェーズ (本人であることの証明)
デバイス取り外し検出フェーズ (接続の確認)
この3つの操作フェーズは完全に独立しています。認証デバイスは各フェーズで使用できますが、毎回同じデバイスを使用する必要はありません。
これは、ユーザ名を収集するプロセスです。また、このフェーズでは、認証フェーズで使用されるツリー名、ユーザのコンテキスト、サーバ名、およびNMASシーケンスの名前も入力されます。この認証情報は、認証デバイスから取得することも、ユーザが手動で入力することもできます。
NMASは、ログインファクタと呼ばれる、ネットワークにログインするための3種類のアプローチを使用します。このログインファクタは、ユーザがネットワークに対する認証に使用できる各種の項目または品質を表します。
パスワード認証 (ユーザが知っていること)
物理デバイス認証 (ユーザが持っているもの)
バイオメトリック認証 (ユーザそのもの)
ログインファクタの詳細については、セクション 24.1.4, ログインメソッドとポストログインメソッドとシーケンスを参照してください。
パスワード(ユーザが知っていること)は、ネットワークに対する認証のための重要なメソッドです。NMASには、複数のパスワード認証オプションが用意されています。
NDSパスワード: NDSパスワードは非可逆のハッシュ形式で保存され、NDSシステムだけがこのパスワードを使用できます。このオプションは、ユニバーサルパスワードが有効にされていて設定済みであればそれを使用します。
単純パスワード: 単純パスワードを使用する場合、管理者は、外部のLDAPディレクトリからユーザとパスワード(平文とハッシュ済み)をインポートすることができます。このオプションは、ユニバーサルパスワードが有効にされていて設定済みであればそれを使用します。
Digest-MD5 SASL: Digest-MD5 SASLは、LDAP SASLバインドに使用されるMD5アルゴリズムによってハッシュされたパスワードを検証するIETF標準のDIGEST-MD5 SASLメカニズムを提供します。このオプションは、ユニバーサルパスワードが有効にされていて設定済みであればそれを使用します。
チャレンジ/レスポンス方式: チャレンジ/レスポンス方式は、ユーザが事前に設定された秘密の質問に1回以上回答することによって自分の身元を証明する方法です。
ユニバーサルパスワードは、各種のパスワードと認証のシステムの統合と管理を簡略化して1つの首尾一貫したネットワークを構築するための手段です。ユニバーサルパスワードの詳細については、セクション 26.0, パスワードを管理するを参照してください。
これまで、いくつかのタイプの物理デバイス(ユーザが持っているもの)向けのNMAS用認証モジュールが、NetIQとサードパーティの認証開発者により作成されてきました。
メモ:NMASでは、すべての物理デバイス認証方式(証明書付きスマートカード、ワンタイムパスワード(OTP)デバイス、近接型カードなど)を指す言葉として、「トークン」という語を用いています。
スマートカード: スマートカードは、クレジットカード大のプラスティックカード、または、データの保存や暗号化機能の実行が可能な組み込み型のプログラマブルマイクロチップを含むUSBデバイスです。NMASを使用すれば、eDirectoryに対する認証時にスマートカードで身元確認を行えます。
NetIQは、スマートカードを使用するためのNetIQ Enhanced Smart Cardログインメソッドを提供しています。NetIQ Enhanced Smart Cardログインメソッドは、Identity Assurance Clientの一部として提供されます。詳細については、『NetIQ Enhanced Smart Card Method 3.0 Installation and Administration Guide』を参照してください。
ワンタイムパスワード(OTP)デバイス: OTPデバイスは、その所有者を認証するためのワンタイムパスワードを生成するハンドヘルドハードウェアデバイスです。
近接型カード: 近接型カードは、ユーザが装着するカードです。この技術は、ユーザのワークステーションとカードの近接性に基づいてそのワークステーションをロック/ロック解除します。
NetIQは、RFID近接型カードをサポートするpcProxログインメソッドを提供しています。pcProxログインメソッドは、NetIQ SecureLogin製品の一部として提供されます。詳細については、『NMAS Login Method and Login ID Snap-In for pcProx』を参照してください。
バイオメトリックスは、人体の特徴(ユーザそのもの)を測定して統計的に解析するための科学技術です。バイオメトリック方式は、NMASで使用するためにサードパーティ企業から提供されます。
バイオメトリック認証には、リーダーまたはスキャニングデバイス、スキャンされた情報をデジタル形式に変換するソフトウェア、および、入力されたバイオメトリックデータと比較するバイオメトリックデータを保存するためのデータベースまたはディレクトリが必要です。
バイオメトリック入力の変換では、ソフトウェアが特定のデータのポイントを一致ポイントとして識別します。この一致ポイントがアルゴリズムを使用して処理され、ユーザがアクセス権を取得しようとするときにスキャンされるバイオメトリックデータと比較することができる値が作成されます。
バイオメトリック認証の例としては、指紋、網膜、虹彩、および顔の特徴のスキャンが挙げられます。バイオメトリックスにはさらに筆跡、タイピングパターン、音声認識なども含まれます。
ユーザセッションは、ログインの完了後にこのフェーズに入ります。次の2つのメソッドがあります。
NetIQ SecureLoginで使用可能なSecure Workstationメソッド。ユーザセッションは、認証デバイス(スマートカードなど)を取り外すと終了できます。このデバイスは他のフェーズで使用する必要はありません。
Secure Workstationメソッドの詳細については、『NetIQ SecureLogin 7.0 SP3 Administration Guide』を参照してください。
NetIQ Enhanced Smart Cardログインメソッドも、スマートカード取り外し検出があります。NetIQ Enhanced Smart Cardログインメソッドの詳細については、『NetIQ Enhanced Smart Card Method Installation Guide』を参照してください。
ログインメソッドは、ログインファクタの特定の実装です。NMASには、3つのログインファクタ(パスワード、物理デバイスまたはトークン、およびバイオメトリック認証)に基づく複数のログインメソッドの選択肢があります。
ポストログインメソッドは、ユーザがNetIQ eDirectoryに対して認証された後に実行されるセキュリティプロセスです。ポストログインメソッドの1つの例がNetIQ Secure Workstationメソッド(NetIQ SecureLoginで使用可能)です。このメソッドでは、ワークステーションのロック後にコンピュータにアクセスするためにユーザが資格情報を入力する必要があります。
NMASソフトウェアには、NetIQとサードパーティ認証開発者による複数のログインメソッドとポストログインメソッドのサポートが含まれます。ログインメソッドによっては、追加のハードウェアが必要な場合があります。詳細については、サードパーティ製品のマニュアルを参照してください。
メソッドを決定してインストールしたら、それを使用するために、ログインシーケンスに割り当てる必要があります。ログインシーケンスは、順序付けられた1つ以上のメソッドのセットです。ユーザは、これらの定義されたログインシーケンスを使用してネットワークにログインします。シーケンスに複数のログインメソッドが含まれる場合、それらのメソッドは指定された順序でユーザに提示されます。ログインメソッドが最初に提示され、その後にポストログインメソッドが提示されます。
NMASには、AndとOrの両方のログインシーケンスが存在します。Andログインシーケンスでは、シーケンス内のすべてのログインメソッドを正常に完了する必要があります。Orログインシーケンスでは、シーケンス内のいずれかのログインメソッドのみを正常に完了する必要があります。Orログインシーケンスの1つの例としては、ユーザが各種の認証デバイスで同じログインシーケンスを使用してワークステーションにログインできるようにしている場合が挙げられます。
セキュリティコンテナは、ツリーに最初のサーバがインストールされたときにルートパーティションから分かれて作成され、グローバルデータ、セキュリティポリシー、キーなどの情報を保持します。
ユニバーサルパスワードが導入された後は、ユーザがNMASを介してeDirectoryにログインするたびに、NMASがセキュリティコンテナ内の情報にアクセスしてログインを認証していました。セキュリティコンテナがあるパーティションがローカルに存在しない場合、NMASはそのパーティションを持つサーバにアクセスしていました。このとき、NMAS認証のパフォーマンスに悪影響が及んでいました。セキュリティコンテナがあるパーティションを持つサーバにWANリンク経由でアクセスする必要がある状況では、この問題はさらに悪化しました。
これを解決するために、セキュリティコンテナデータがローカルサーバ上のキャッシュに保存されます。このためNMASは、ユーザがログインするたびに、異なるコンピュータに置かれているセキュリティコンテナにアクセスする必要がありません。セキュリティコンテナには、ローカルで容易にアクセスすることができます。これによってパフォーマンスが向上します。セキュリティコンテナがあるパーティションをローカルサーバに追加することでパフォーマンスは向上しますが、サーバの数が多すぎる場合はそうはいかない可能性があります。
セキュリティコンテナ内の実際のデータが、セキュリティコンテナのパーティションを含むサーバ上で変更された場合、ローカルキャッシュはバックリンカと呼ばれるバックグラウンドプロセスによってリフレッシュされます。デフォルトでは、バックリンカが13時間ごとに実行され、変更されたデータがリモートサーバから取得されます。データの即時同期が必要な場合は、iMonitor、Linux上のndstrace、またはWindows上のndsconsを用いてバックリンカをローカルサーバにスケジュールできます。詳細については、iMonitorのオンラインヘルプまたはndstraceのマニュアルページを参照してください。
セキュリティオブジェクトのキャッシュ機能は、デフォルトで有効になっています。バックリンカによってデータをキャッシュしない場合は、NCPサーバオブジェクトからCachedAttrsOnExtRefを削除します。