24.7 その他の管理タスク

このセクションでは、NMASのその他の管理タスクについて説明します。

24.7.1 ポリシーリフレッシュレートコマンドの使用

ログイン試行のたびにではなく、スケジュールしたインターバルで、セキュリティコンテナに保存されたNMASログインポリシーからキャッシュに保存されたNMASログインポリシーをリフレッシュするようにNMASを設定することができます。この設定はNMASポリシーリフレッシュレートコマンドを使用してサーバごとに構成します。

メモ:サーバは、起動時に1回だけセキュリティコンテナにアクセスしてポリシーをキャッシュに保存します。その後は、設定されたインターバルに基づいて、セキュリティコンテナにアクセスしてポリシーをリフレッシュすることを試みます。

ポリシーリフレッシュレートコマンドの構文は次のとおりです。

nmas RefreshRate minutes

ここで、minutesは、キャッシュに保存されたNMASログインポリシーを更新する必要があるかどうかをチェックする間隔(分)です。

各NMASサーバプラットフォームでポリシーリフレッシュレートコマンドを呼び出す方法については、セクション 24.7.4, NMASコマンドの呼び出しを参照してください。

24.7.2 LoginInfoコマンドの使用

NMAS 3.2以降では、LoginInfo <numb>コマンドを使用して、特定のユーザオブジェクトログイン属性の自動更新をオフにすることができます。属性を自動更新すると問題が発生する場合には、手動でこれを行うことができます。次のセクションでは、この機能についてさらに詳しく説明します。

LDAPバインド用のNMASログイン

eDirectory 9.0では、デフォルトで、LDAPバインドのためにNMASログインが有効になっています。NMASログインが有効になっている場合は、eDirectoryがユーザの認証後に自動的にユーザオブジェクトログイン属性を更新します。更新されるログイン属性のリスト(ただし完全に網羅するものではない)を以下に示します。

  • ログイン時刻

  • ネットワークアドレス

  • 最終ログイン時刻

LDAPに対するNMASベースのログインを無効にするには、セクション 24.7.3, LDAPに対するNMASベースのログインの無効化を参照してください。

ユーザオブジェクトログイン属性を自動更新することによって発生する問題

ユーザオブジェクトログイン属性の自動更新は、次のような問題を引き起こす可能性があります。

  • 高い使用率

  • 無応答

  • 特にLDAP環境でビジー状態の認証サーバで見られるクライアントのタイムアウト

これらの問題が発生した場合は、ログイン属性の更新のタイミングを調整する必要があります。この方法については、LoginInfoコマンドを使用した属性の更新のタイミングの制御を参照してください。

LoginInfoコマンドを使用した属性の更新のタイミングの制御

ログイン属性の更新タイミングを制御するには、nmas LoginInfo <num>コマンドを実行します。

<num>の値は次のとおりです。

  • 0またはoff: ログイン属性を更新しません。

  • 1: 不正侵入者の検出に必要な属性のみを更新します。

  • 2: 未使用のユーザパスワードポリシー属性を除く、すべてのログイン属性を更新します。

  • 3またはon: すべてのログイン属性を更新します。

NMASサーバプラットフォームごとのLoginInfoコマンドの呼び出し方法については、セクション 24.7.4, NMASコマンドの呼び出しを参照してください。

sasUpdateLoginInfo属性とsasUpdateLoginTimeInterval属性の使用

sasUpdateLoginInfo属性は、LoginInfo属性の更新を制御します。

sasUpdateLoginTimeInterval属性は、指定されたインターバルでユーザのログイン時刻属性が更新されるように制御します。

SasUpdateLoginInfo属性は、次の値に設定することができます。

  • 0またはoff: ログイン属性を更新しません。

  • 1: 不正侵入者の検出に必要な属性のみを更新します。

  • 2: 未使用のユーザパスワードポリシー属性を除く、すべてのログイン属性を更新します。

  • 3またはon: すべてのログイン属性を更新します。

SasUpdateLoginTimeInterval属性は、0~1440分(つまり、1日)の値に設定することができます。

  • 値が0の場合は、ログインに成功するたびにログイン時刻属性と最終ログイン時刻属性が更新されます。

  • 値が11440分の場合は、指定されたインターバルでログイン時刻属性が更新されます。最終ログイン時刻属性は更新されません。

メモ:ログイン時刻属性は、インターバル中に続いてログインに成功しても更新されません。ただし、インターバル中ログインに失敗してその後ログインに成功した場合は、ログイン時刻属性が更新されます。ログインの成功からインターバル時間がカウントされます。

sasUpdateLoginTimeInterval属性は、sasUpdateLoginInfo属性値が2または3に設定されている場合にのみ有効になります。

これらの属性は、以下のオブジェクトに対して設定できます。オブジェクトは優先順位順に列挙しています(ユーザの優先順位が最も高くなります)。

  • User (ユーザ)

  • ユーザのコンテナ

  • パーティションルート

  • ログインポリシー

ログインポリシーオブジェクトに対してsasUpdateLoginInfosasUpdateLoginTimeIntervalを設定した場合は、その次のポリシーリフレッシュサイクルの後に設定が有効になります。ユーザ、コンテナ、パーティションルート、またはログインポリシーに対してこれらの属性が設定されていない場合は、後方互換性を維持するために、コマンドラインを使用してサーバ上で設定された値が使用されます。

eDirectoryサーバ上で属性値を設定する例を以下に示します。

#cat nmas.config (The nmas.config file must be in the same directory as the dib directory.)
nmas LoginInfo 2
nmas UpdateLoginTimeInterval 30

パーティションルートで属性値を設定するには:

  1. 属性をツリーに追加するには、[iManager]>[スキーマ]>[属性の追加]>[ツリールート]に移動します。

  2. 矢印を使用して必要な属性を[使用可能なオプション属性]リストから[オプション属性]リストに移動します。

パーティションルートで属性の値を設定するには、コマンドラインまたはldifファイルを使用して、ldapmodifyコマンドと次のコマンドを実行します。

dn:T=< tree name>
changetype:modify
add:sasUpdateLoginTimeInterval
sasUpdateLoginTimeInterval:35

dn:T=< tree name>
changetype:modify
add:sasUpdateLoginInfo
sasUpdateLoginInfo: 2

ユーザ、コンテナ、およびログインポリシーオブジェクトのsasUpdateLoginInfo属性値またはsasUpdateLoginTimeInterval属性値は、iManagerまたはldifファイルを使用して編集することができます。

例:

#cat changesasUpdateLoginInfo.ldif
dn: cn=user1,o=org
change type: modify
replace: sasUpdateLoginInfo
sasUpdateLoginInfo: 1

#cat changesasUpdateLoginTimeInterval.ldif
dn: cn=user1,o=org
changetype: modify
replace: sasUpdateLoginTimeInterval
sasUpdateLoginTimeInterval: 60

この設定は、user1のログイン時刻属性の更新を前回の更新から60分間無効にします。

iManagerからsasUpdateLoginInfo属性とsasUpdateLoginTimeInterval属性を指定するには:

  1. NetIQ iManagerで、[役割およびタスク]ボタン [役割およびタスク]ボタンをクリックします。

  2. ディレクトリ管理]>[オブジェクトの変更]の順にクリックします。

  3. コンテナまたはログインポリシーオブジェクトの名前とコンテキストを指定して、[OK]をクリックします。

  4. 一般]タブで、[その他]を選択してから、[値がない属性]リストから[sasUpdateLoginTimeInterval]を選択します。

  5. 矢印ボタンを使用して、[値がない属性]リストから[値がある属性]リストに[sasUpdateLoginTimeInterval]を移動してから、[適用]をクリックします。

24.7.3 LDAPに対するNMASベースのログインの無効化

eDirectory 9.0では、デフォルトで、NMASログインが有効になっています。NMASログインを無効にするには、NDSD_TRY_NMASLOGIN_FIRSTfalseに設定します。

Windows上でLDAPに対するNMASベースのログインを無効にするには、[マイコンピュータ]を右クリックして、[プロパティ]を選択します。[詳細設定]タブの[環境変数]をクリックします。[システム環境変数]で、変数を追加して、その値をfalseに設定します。

メモ:RHEL 7.xプラットフォームとSLES 12.xプラットフォームのetc/opt/novell/eDirectory/confディレクトリに配置されたenvファイルにeDirectoryサービスに必要なすべての環境変数を追加する必要があります。

24.7.4 NMASコマンドの呼び出し

NMASコマンドを呼び出す方法は、実行しているプラットフォームによって異なります。次のプラットフォームがサポートされています。

Windows

NMASは、起動時にnmas.cfgファイル内のコマンドを処理します。nmas.cfgファイルは、dibファイルと同じディレクトリ(通常はc:/novell/nds/dibfiles)に配置されている必要があります。

または

NMASが起動したら、次の手順を使用します。

  1. NetIQ eDirectory Servicesコンソールで、[nmas.dlm]を選択します。

  2. 起動パラメータ]フィールドにコマンドを入力します。

  3. Configure (構成)]をクリックします。

Linux

NMASは、起動時にnmas.configファイル内のコマンドを処理します。nmas.configファイルは、dibディレクトリと同じディレクトリに配置されている必要があります。たとえば、.dibディレクトリのパスが/var/opt/novell/eDirectory/data/dibの場合は、nmas.configファイルのパスは/var/opt/novell/eDirectory/data/nmas.configになります。

24.7.5 失敗したログイン試行の遅延時間の設定

  1. NMASプラグインをiManagerにインストールします。

    NMASプラグインは、Novellダウンロードサイトからダウンロードできます。

  2. iManagerの[役割およびタスク]メニューで、[ディレクトリ管理]>[オブジェクトの変更]の順にクリックします。

  3. ログインポリシーオブジェクトをブラウズして選択し、[OK]をクリックします。

  4. NMAS]タブをクリックしてから、[設定]をクリックします。

  5. 失敗したログイン試行から次のログイン試行までの任意のログイン画面表示遅延時間を秒数で入力してから、[OK]をクリックします。

24.7.6 DSTraceの使用

DSTraceユーティリティを使用して、NMASからトレース情報を取得できます。

NMASクライアントトレースを収集する方法については、「TID # 3331372」を参照してください。

NMASサーバトレースを収集する方法については、「TID # 3815371」を参照してください。

24.7.7 NMASクライアントの無効化とアンインストール

NMASクライアントを無効にするには:

  1. ワークステーションで、赤色のNを右クリックします。

  2. Novell Client Properties]をクリックします。

  3. Advanced Login]タブをクリックします。

  4. Parameter Groups]リストから、[NMAS Authentication]を選択します。

  5. 設定]で、[オフ]を選択します。

  6. OKをクリックします。

NMASクライアントをアンインストールするには、Windowsの[コントロール パネル]で[プログラムの追加と削除]オプションを使用します。

メモ:NMASを無効にしたり削除したりしても、Novell Client for Windowsからのユニバーサルパスワードの変更のサポートは削除されません。

24.7.8 NMASイベントの監査

NMASイベントを監査するために使用できる製品には、次の2つがあります。

  • NetIQ Audit Secure Logging Server

    NetIQ Audit Secure Logging Serverを使用してnmas_en.lscファイルをインストールすることができます。このファイルは、次のディレクトリに配置されています。

    Windows: novell\nds

    Linux: /opt/novell/eDirectory/lib64/nds-schem

    NetIQ Auditのインストール方法と管理方法については、NetIQ Auditのオンラインヘルプを参照してください。

  • NetIQ Sentinel

また、iManagerのNMAS 9.0以降のプラグインを使用して、NMAS Auditを有効にする必要があります。

  1. NMAS 9.0以降のプラグインをiManagerにインストールします。

    NMAS 9.0以降のプラグインは、NetIQダウンロードサイトからダウンロードできます。

  2. iManagerの[役割およびタスク]メニューで、[ディレクトリ管理]>[オブジェクトの変更]の順にクリックします。

  3. ログインポリシーオブジェクトをブラウズして選択し、[OK]をクリックします。

  4. NMAS]タブをクリックしてから、[設定]をクリックします。

  5. Enable auditing]の横にあるボックスをオンにしてから、[OK]をクリックします。

NetIQ Auditと外部証明書の使用

NMASとNetIQ Auditで外部証明書を使用するには、まず、証明書を次の名前の2つの.pemファイルに変換する必要があります。

  • nmascert.pem: これは証明書を含むファイルです。

  • nmaskey.pem: これは秘密鍵を含むファイルです。

これらのファイルは、システム内の各NMASサーバで、プラットフォームごとに次のディレクトリにコピーする必要があります。

  • Linux: /etc

  • Windows: GetWindowsDirectoryからの戻り値(通常はc:\windows)

NMASは、ログがオープンの場合、nmascert.pemファイルとnmaskey.pemファイルが存在すればそれらをNetIQ Auditプラットフォームエージェントに提供します。ファイルが存在しない場合は、NMASがNetIQ Auditプラットフォームエージェントに内部証明書と鍵を提供します。

XDASv2を使用したNMASイベントの監査

NMASイベントはXDASv2を使用して監査できます。

  1. NMASプラグインをiManagerにインストールします。

    NMASプラグインは、NetIQダウンロードサイトからダウンロードできます。

  2. iManagerの[役割およびタスク]メニューで、[ディレクトリ管理]>[オブジェクトの変更]の順にクリックします。

  3. ログインポリシーオブジェクトをブラウズして選択し、[OK]をクリックします。

  4. NMAS]タブをクリックしてから、[設定]をクリックします。

  5. Enable auditing]の横にあるボックスをオンにしてから、[OK]をクリックします。

NMAS監査が有効になっている場合は、プラットフォームエージェントとXDASv2モジュールの両方がインストールされ、設定されていれば、NMASはプラットフォームエージェントとXDASv2の両方にイベントを記録します。XDASv2でのインストールと設定の詳しい手順については、セクション 23.2, XDASv2を使った監査を参照してください。