このセクションでは、NetIQモジュラー認証サービスのセキュリティに関連した具体的な情報を提供します。以下のサブセクションで構成されています。
NetIQは、パートナーのログインメソッドのセキュリティ手法の評価は行っていません。パートナーの製品にNetIQ Yes、Tested & Approved、またはNetIQ Directory Enabledのロゴの表示が認められていても、それらのロゴは一般的な製品の相互運用性を示しているにすぎません。
承認済みログインシーケンス、デフォルトログインシーケンス、承認済みクリアランス、またはデフォルトクリアランスがパーティションルートではないコンテナに割り当てられている場合、そのポリシーは、そのコンテナ内のユーザオブジェクトに対してのみ有効になり、サブコンテナ内のユーザオブジェクトに対しては有効になりません。
承認済みログインシーケンス、デフォルトログインシーケンス、承認済みクリアランス、またはデフォルトクリアランスがパーティションルートであるコンテナに割り当てられている場合、そのポリシーは、それらの値がユーザオブジェクトやオブジェクトのペアレントコンテナに割り当てられていないパーティション内のすべてのユーザに対して有効になります。
承認済みログインシーケンス、デフォルトログインシーケンス、承認済みクリアランス、またはデフォルトクリアランスがログインポリシーに割り当てられている場合、そのポリシーは、それらの値がユーザオブジェクト、オブジェクトのペアレントコンテナ、またはオブジェクトのパーティションルートに割り当てられていないツリー内のすべてのユーザに対して有効になります。
ユーザにパスワードまたはその他の推測可能なログインシークレット(秘密の質問の回答など)が割り当てられている場合は、不正侵入者検出を有効にして、不正侵入者によるログインシークレットの推測を遅らせるかまたは阻止する必要があります。
デフォルトで、失敗したログイン試行には3秒間の遅延が適用されます。この遅延の目的は、不正侵入者がパスワードを推測する試みを遅らせることです。失敗したログインの遅延の長さは設定によって変更できます。デフォルトの3秒間を使用することをお勧めします。
不正侵入者検出、ネットワークアドレス制限、時間制限などのログインポリシーは、すべてのログインシーケンスに適用されます。たとえば、いくつかのNetIQ製品の忘れたパスワードのセルフサービス機能によってチャレンジ/レスポンス方式のログインメソッドが呼び出された場合は、ログインポリシーが適用されます。
ログイン試行と設定変更を追跡できるように、NMAS™監査を有効にする必要があります。
ポリシーリフレッシュレートコマンドを使用して、キャッシュに保存されたパスワードポリシーをリフレッシュする必要があるかどうかを、ログインのたびにではなく定義したインターバルでチェックしている場合は、ログインポリシーの変更の適用に遅れが生じます。
LoginInfoコマンドを使用すると、ログイン中のログイン関連属性の更新を無効にすることができます。これらの属性には、不正侵入者検出属性が含まれます。これらのログイン関連属性の更新を無効にすると、ログインのパフォーマンスが向上します。ただし、これらの属性の更新を無効にすると、システムのセキュリティが低下する可能性があります。
不正侵入者検出ポリシーは、ユーザオブジェクトの直接のコンテナまたはユーザオブジェクトのパーティションルート上で設定できます。NMASは、最初に、ペアレントコンテナで不正侵入者検出ポリシーをチェックします。ポリシーが見つからなかった場合は、パーティションルートで不正侵入者検出ポリシーがチェックされます。
ログインメソッドをアップグレードするときに、-checkversionオプションが使用されていなければ、nmasinstが新しいバージョンを古いバージョンに置き換えます。
nmasinstにはコマンドラインでパスワードを指定するオプションがありますが、この方法ではパスワードが漏洩する可能性があるため推奨されていません。eDirectory 9.0では、nmasinstによって、ファイルまたは環境変数からパスワードを取得できます。
セキュリティコンテナにはグローバルポリシーが含まれているため、書き込み可能なレプリカを配置する場所に注意する必要があります。一部のサーバは、eDirectoryツリーで指定されたセキュリティポリシー全体を変更することができます。ユーザがNMASを使用してログインするためには、ユーザオブジェクトとセキュリティコンテナのレプリカをNMASサーバ上に配置する必要があります。
パスワードポリシーがパーティションルートではないコンテナに割り当てられている場合、そのポリシーは、コンテナ内のユーザオブジェクトに対してのみ有効になり、サブコンテナ内のユーザオブジェクトに対しては有効になりません。
パスワードポリシーがパーティションルートであるコンテナに割り当てられている場合、そのポリシーは、それらの値がユーザオブジェクトにもオブジェクトのペアレントコンテナにも割り当てられていないパーティション内のすべてのユーザに対して有効になります。
パスワードポリシーがログインポリシーに割り当てられている場合、そのポリシーは、それらの値がユーザオブジェクト、オブジェクトのペアレントコンテナ、またはオブジェクトのパーティションルートのいずれにも割り当てられていないツリー内のすべてのユーザに対して有効になります。
「既存のパスワードがパスワードポリシーに準拠しているかどうかを確認する(ログイン時に検証が実行される)」パスワードポリシールールがtrueに設定されていない場合は、NDSパスワードがユニバーサルパスワードに移行されるときにパスワード期限の時刻が更新されません。
パスワードポリシーは、ユーザまたはパスワード管理者が文書化されたNMAS LDAP拡張機能を使用してユニバーサルパスワードを読み込むことができるように設定できます。特定のインストールに必要でない限り、これらのオプションは有効にしないでください。ユーザパスワードを読み込み可能にする必要がある場合は、選択されたユーザだけがパスワードを読み込めるようにパスワードポリシーを設定する必要があります。
接続されたシステム間でのパスワードの同期にIdentity Manager Password Synchronizationが使用されている場合にのみ、配布パスワードに同期するためのパスワードポリシーを設定する必要があります。
Identity Manager Password Synchronizationを使用して接続されたシステム間でパスワードを同期する方法については、『NetIQ Identity Manager 4.5 Password Management Guide』を参照してください。
単純パスワードに同期するようにパスワードポリシーを設定する必要があるのは以下の場合です。
ユーザオブジェクトの書き込み可能なレプリカが保存されているサーバがある。
ユーザがCIFSやAFPなどのネイティブなファイルアクセスプロトコルを使用してそれらのサーバにアクセスしている。
パスワードポリシーに対して詳細パスワードルールが有効になっている場合は、ユーザオブジェクトに対する従来のパスワードルールが無視され、ユーザが自分のパスワードを変更するときかログインするときに、パスワードポリシーのルールに合わせて更新されます。
パスワード除外ルール(パスワード履歴、除外されたパスワード、および許可されていない属性値)は、NMASがランダムパスワードの生成に使用されている場合は適用されません。
パスワードルールを選択する場合は、推測するのが難しいパスワードにする必要がありますが、覚えられないものにはならないようにしなければなりません。
管理者がNDSパスワードを削除するように指定した場合は、NDSパスワードハッシュがeDirectory以外は認識できないランダム値に設定されます。そのランダム値にハッシュ可能なパスワード値は存在することもあれば存在しないこともあります。
XMLパスワードの複雑さ
重複したルールタグがある場合、ポリシーに照らしたパスワードのチェックとランダムパスワードの生成には、最も制限的なルールが使用されます(他のルールは無視されます)。
ランダムパスワードの生成では、ViolationsAllowedとNumberOfCharactersToEvaluateのルール設定属性が無視されます。
ランダムパスワードの生成には、XML内の最初のポリシーのみが使用されます。
ユニバーサルパスワードセキュリティの詳細については、「セクション 26.0, パスワードを管理する」を参照してください。
ツリー鍵とも呼ばれるセキュリティドメインインフラストラクチャ(SDI)鍵をTriple DES鍵(3DES)にする必要があります。SDI鍵は、SDIDiagユーティリティを使用してチェックまたはアップグレードすることができます。セクション 26.0, パスワードを管理するの「」を参照してください。
eDirectory 9.0以降では、AES 256ツリー鍵もサポートされます。詳細については、「Creating an AES 256-Bit SDI Key」を参照してください。