ユニバーサルパスワードは、NMAS (NetIQモジュラー認証サービス)モジュールのコンポーネントである、セキュアパスワードマネージャで管理します。セキュアパスワードマネージャは、さまざまなNetIQ製品とNetIQパートナーの製品で、パスワードベースの認証方式の管理を簡素化します。管理ツールは1つのパスワードだけを公開し、下位互換性に対応するための舞台裏の処理をすべて公開することはしません。
セキュアパスワードマネージャと、ユニバーサルパスワードを管理または使用するその他のコンポーネントは、eDirectoryの一部としてインストールされます。ただし、ユニバーサルパスワードはデフォルトで有効になっていません。認証とパスワード設定用のすべてのAPIがユニバーサルパスワードをサポートするように移行されるので、既存のすべての管理ツールは、これらの新しいライブラリを備えたクライアント上で実行すると、自動的にユニバーサルパスワードと連動します。
メモ:iManager 3.x対応NetIQ eDirectory用のパスワード管理プラグインは、NetIQのダウンロードWebサイトからダウンロードできます。このプラグインをダウンロードしてインストールする方法については、ダウンロードサイトを参照してください。
Novell Clientソフトウェアは、ユニバーサルパスワードをサポートしています。また、ネットワーク内の既存システムのために、引き続きNDSパスワードもサポートしています。ユーザに対してユニバーサルパスワードを設定して有効にすると、Novell Clientの機能によって、自動的にNDSパスワードがユニバーサルパスワードにアップグレード/マイグレートされます。
他のパスワードシステムとの相互運用を容易にするには、復号可能なユニバーサルパスワード暗号化が必要です。管理者は、そのシステムのコストと利点を評価する必要があります。eDirectoryに保管されたユニバーサルパスワードを使用すると、複数の異なるパスワードを管理しようとする場合よりも、セキュリティが強化されたり、より便利になったりする可能性があります。NetIQでは、eDirectoryに保管されたユニバーサルパスワードが確実に保護されるよう、複数のレベルでセキュリティを提供しています。
ユニバーサルパスワードは、次の3つのレベルのセキュリティで保護されます。
パスワード自体の暗号化
eDirectoryの権利
ファイルシステムの権利
ユニバーサルパスワードは、ユーザ固有の鍵で暗号化されます。ユニバーサルパスワードとユーザの鍵は、どちらもeDirectoryのみが読み込めるシステム属性に格納されます。ユーザの鍵は、ツリー鍵を使用して暗号化されて保管されます。ツリー鍵は、各マシンで固有のNovell International Cryptographic Infrastructure (NICI)鍵によって保護されます。ツリー鍵もNICI鍵もeDirectory内には保管されないことに注意してください。つまり、これらの鍵と、これらの鍵で保護するデータが一緒に保管されることはありません。
ツリー鍵は各マシン上のツリー内にありますが、ツリーごとにツリー鍵は異なります。したがって、あるツリー鍵で暗号化されたデータは、同じツリー内のマシン上でしか元に戻すことはできません。このように、ユニバーサルパスワードは保管されている間、3重の暗号化によって保護されます。
それぞれの鍵は、eDirectoryの権利によっても保護されます。ユニバーサルパスワードを変更する権利を持つのは、スーパバイザ権を持つ管理者、またはその鍵を所有するユーザだけです。
ファイルシステムの権利は、適切な権利を持つユーザだけに鍵へのアクセスを許可するために使用されます。
デフォルトでは、ユーザ固有の鍵とツリー鍵は3 DES鍵です。eDirectory 9.0では、AES 256ビットの鍵をサポートしています。AES 256ビットの鍵を作成する方法については、『NICI Administration Guide』の「Creating an AES 256-Bit SDI Key」を参照してください。ユーザがeDirectoryにログインすると、NMASによって、3DES鍵で暗号化されたパスワードが再暗号化されます。管理者は、Diagpwdユーティリティを使用してパスワードを再暗号化できます。詳細については、Diagpwdユーティリティを参照してください。
メモ:このユーティリティを実行するユーザが自分のユニバーサルパスワードを取得できるように、パスワードポリシーが設定されている必要があります。
高度なセキュリティを必要とする環境にユニバーサルパスワードを導入する場合は、次の対策を講じることができます。
次のディレクトリとファイルがセキュリティで保護されていることを確認します。
|
プラットフォーム |
ディレクトリまたはファイル |
|---|---|
|
Windows |
|
|
Linux |
|
NICIおよびeDirectoryのファイルの具体的な場所について詳しくは、ご使用のシステムのマニュアルを参照してください。
他のセキュリティシステムの場合と同様に、鍵が保管されているサーバへの物理的アクセスを制限することは非常に重要です。
従来、パスワードのさまざまな制限のために、管理者は複数のパスワード(簡易パスワード、NDSパスワード、拡張パスワード)を管理する必要がありました。さらに、複数のパスワードを同期させる必要もありました。
NDSパスワード: 古いNDSパスワードは、非可逆性のハッシュ形式で保管されます。このパスワードはNDSシステム専用であり、他の任意のシステムで使える別のフォームに変換することはできません。
簡易パスワード: 簡易パスワードは、当初、管理者がユーザとパスワード(平文およびハッシュ化)を外部(Active DirectoryやiPlanetなど)のnds-cluster-configディレクトリからインポートできるようにするために実装されました。
簡易パスワードには、パスワードポリシー(最小長、有効期限など)が適用されないという制約があります。
拡張パスワード: NetIQでは拡張パスワードをサポートしなくなっています。拡張パスワードは、ユニバーサルパスワードの前身です。拡張パスワードには何らかのパスワードポリシーが適用されますが、その設計には他のパスワードとの一貫性がありません。このパスワードは、片方向同期を提供し、単純パスワードやNDSパスワードに取って代わるパスワードです。
NetIQでは、さまざまなパスワードシステムと認証システムを一貫性のあるネットワークに統合して管理する仕組みを簡素化する手段として、ユニバーサルパスワードを導入しました。
ユニバーサルパスワードは、次のような方法でパスワードの問題に対処します。
1つのパスワードによるeDirectoryへのアクセスを可能にします。
パスワードに拡張文字を使用できるようにします。
高度なパスワードポリシーの適用を可能にします。
eDirectoryから他のシステムへのパスワード同期を可能にします。
パスワード管理のほとんどの機能には、ユニバーサルパスワードが有効になっている必要があります。
詳細については、セクション 26.3, ユニバーサルパスワードの導入を参照してください。
ユニバーサルパスワードにより、高度なパスワードポリシーの作成が可能になります。パスワードポリシーは、エンドユーザパスワードの作成および置き換えに関する基準を指定した管理者定義ルールの集まりです。NMASでは、パスワードポリシーをeDirectory内のユーザに割り当てて適用することができます。
パスワードポリシーを管理するには、iManagerを使用します。
詳細については、セクション 26.4, パスワードポリシーを使用したパスワードの管理を参照してください。
NetIQ Identity Managerには、接続システム間でパスワードを同期する機能が含まれています。この機能には、次の利点があります。
双方向パスワード同期
接続システムへのパスワードポリシーの適用
同期失敗時の電子メール通知
ユーザのパスワード同期ステータスのチェック機能
詳細については、『NetIQ Identity Manager 4.5 Password Management Guide』の第3章「Connected System Support for Password Synchronization」を参照してください。