このセクションでは、ユニバーサルパスワードを導入して管理する方法について説明します。
ユニバーサルパスワードを導入するには、セクション2.1からセクション2.8の手順に従います。
次の質問のどちらか一方でも答えが「はい」である場合は、ユニバーサルパスワードを導入して使用する計画を立ててください。
各国のユーザに、NetIQのWebベースのサービスにアクセスさせること、またはNovell Client for Windowsを使用してNovellファイルとプリントサービスにアクセスさせることを計画していますか。
NetIQ Identity Managerとその高度なパスワードポリシーおよびパスワード同期機能を使用する予定ですか。
NMASは、実質的にセキュリティドメインであるeDirectoryツリーにグローバルポリシーを保管します。セキュリティポリシーは、ツリー内のすべてのサーバで使用できる必要があります。
NMASは、認証ポリシーとログインメソッド設定データを、[ルート]パーティションから分岐して作成されたセキュリティコンテナに格納します。この情報は、NMASを使用可能なすべてのサーバで読み込みアクセスできる必要があります。セキュリティコンテナの目的は、ログイン、認証、キー管理などのセキュリティプロパティに関するグローバルポリシーを保持することです。
eDirectory 9.0は、セキュリティコンテナのキャッシング機能を提供します。この機能により、セキュリティコンテナのデータがローカルサーバのキャッシュに保存されるため、NMASはログインが試行されるたびにセキュリティコンテナにアクセスする必要はありません。セクション 24.1.5, セキュリティオブジェクトのキャッシュを参照してください。
NMASおよびeDirectory 8.8.x以降では、セキュリティコンテナを独立したパーティションとして作成し、作成したコンテナを広い範囲で複製することをお勧めします。このパーティションは、ツリー内の信頼性の高い複数のサーバでのみ、読み書き可能なパーティションとして複製することをお勧めします。
警告:セキュリティコンテナはグローバルポリシーを格納しており、サーバではeDirectoryツリーに指定したセキュリティポリシー全般が変更される可能性があるため、書き込み可能なレプリカを配置するサーバを選択する場合には注意が必要です。ユーザがNMASを使用してログインするためには、ユーザオブジェクトとセキュリティコンテナのレプリカをNMASサーバ上に配置する必要があります。
詳細については、TID 3393169を参照してください。
SDIドメインキーサーバが最小構成要件を満たしており、ツリー内の他のサーバによる配布と使用に一貫性のある鍵を使用していることを検証する必要があります。以下の手順は非常に重要です。概説されているとおりに従わないと、ユニバーサルパスワードを有効にしたときに、重大なパスワードの問題が発生する可能性があります。
Windowsサーバのコマンドプロンプトで、sdidiag.exeを実行します。
sdidiag.exeは、eDirectoryには付属していません。sdidiag.exeをインストールしてから実行します。このファイルは、TID 2974092に関連付けられたセキュリティパッチ()の一部として使用可能になります。
管理者として、サーバ(フルコンテキスト)、ツリー名、ユーザ名、およびパスワードを入力してログインします。
すべてのサーバが3DESツリー鍵として168ビットの鍵を使用していること、AES 256ビットのツリー鍵として256ビットの鍵を使用していることを確認します。
この要件を満たしていることを確認するには、TID 3364214の指示に従ってください。
コマンドCHECK -v >>インストールフォルダ\sdinotes.txtを入力します。
画面に、CHECKコマンドの結果が表示されます。
問題がない場合は、ステップ4: SDI鍵の一貫性を確認するに進みます。
または
インストールフォルダ\sdinotes.txtファイルに記載された説明に従って、構成と鍵の問題を解決してからステップ 6に進みます。
SDIドメインキーサーバ上でNICI 3.0が実行されていることを検証します。
これより前のバージョンが実行されている場合は、eDirectoryを9.0にアップグレードします。これによって、NICIが3.0にアップグレードされます。
(オプション)SDIDIAG CHECKコマンドを再実行します。詳細については、ステップ 4を参照してください。
SDIDIAGの使用方法の詳細については、TID 3364214を参照してください。
SDIドメインキーサーバであるサーバを削除するには、次の手順に従います。
sdidiag.exeは、eDirectoryには付属していません。sdidiag.exeは、Novellダウンロードサイトからダウンロードできます。ダウンロードした後、sdidiag.exeを実行します。
セキュリティコンテナとW0.KAP.Securityオブジェクトに対する管理権を持つ管理者として、サーバ(フルコンテキスト)、ツリー名、ユーザ名、およびパスワードを入力してログインします。
コマンドRS -s servernameを入力します。
たとえば、Novell_Incツリー内の組織Novellに含まれるコンテナPRVにserver1が存在する場合は、.server1.PRV.Novell.Novell_Incをサーバ名として入力します。
サーバをSDIドメインキーサーバとして追加するには、次の手順に従います。
Windowsサーバで、コマンドプロンプトボックスを開き、sdidiag.exeを実行します。
管理者として、サーバ(フルコンテキスト)、ツリー名、ユーザ名、およびパスワードを入力してログインします。
コマンドAS -s servernameを入力します。
たとえば、Novell_Incツリー内の組織Novellに含まれるコンテナPRVにserver1が存在する場合は、.server1.PRV.Novell.Novell_Incをサーバ名として入力します。
ツリー全体で、暗号鍵のすべてのインスタンスに一貫性があることを検証します。各サーバに、ツリー内の他のサーバとセキュアに通信するために必要な暗号鍵があることを確認するには、次の手順に従います。
Windowsサーバのコマンドプロンプトで、sdidiag.exeを実行します。
コマンドCHECK -v >> sys:system\sdinotes.txt -n container DNを入力します。
たとえば、Acme_Incツリー内の組織Acmeに含まれるコンテナUSRにユーザBobが存在する場合は、.USR.Acme.Acme_Inc.をコンテナ識別名(DN)として入力します。
このコマンドは、さまざまなサーバとキードメインの間で鍵の一貫性に関するすべての問題を報告します。
画面への出力に、CHECKコマンドの結果が表示されます。
問題が報告されていない場合は、ユニバーサルパスワードを有効にできる状態になっています。ステップ5: ユニバーサルパスワードを有効にするに進みます。
または
問題が報告された場合は、sdinotes.txtファイルの指示に従います。
ほとんどの場合、コマンドRESYNC -Tを実行するよう求められます。NMASがユニバーサルパスワードの認証中に-1418または-1460エラーを報告した場合は、このコマンドを繰り返し実行できます。
SDIDIAGのオプションと操作方法の詳細については、以下を参照してください。
NetIQ iManagerを起動します。
[役割およびタスク]>[パスワード]>[パスワードポリシー]の順にクリックします。
[新規]をクリックしてパスワードポリシーウィザードを起動します。
ポリシーの名前を入力し、[次へ]をクリックします。
[はい]を選択してユニバーサルパスワードを有効にします。
パスワードポリシーウィザードを完了します。
重要:コンテナ パーティションのルートになっているコンテナにポリシーを割り当てると、ポリシー割り当てはサブコンテナのユーザを含めたパーティション内のすべてのユーザに継承されます。コンテナがパーティションルートであるかどうかを知るには、そのコンテナを参照して、隣にパーティションアイコンが表示されているかどうかを確認します。
パーティションのルートではないコンテナにポリシーを割り当てると、そのポリシー割り当ては、その特定のコンテナ内のユーザだけに継承されます。サブコンテナ内のユーザには継承されません。パーティションのルートではないコンテナの下位にあるユーザすべてにポリシーを適用する場合は、それぞれのサブコンテナに個別のポリシーを割り当てる必要があります。
ユニバーサルパスワードは、既存のサービスに対する後方互換性を確保するように設計されています。デフォルトでは、このサービスで変更されたパスワードは、ユーザオブジェクトの簡易パスワードおよびNDSパスワードと同期することができます。パスワード管理プラグインを使用することで、同期するパスワードを選択できます。
ただし、パスワードで国際文字が使用されている場合は例外です。古いクライアントでは国際文字がさまざまに変換されるため、実際の値が一致しなくなります。システム全体の国際文字を使用したパスワードのすべてが正常に機能するよう、すべてのNovell Clientをアップグレードすることをお勧めします。
NetIQおよびサードパーティのバックアップおよび復元アプリケーションには、NetWare SMS (Storage Management Services)インフラストラクチャが使用されます。これらのNetIQおよびサードパーティ製品が混合環境で動作することになっている場合、製品で使用するシステムパスワードに拡張文字を含めることはできません。
メモ:ユニバーサルパスワード対応のアプリケーションおよびサービスと、拡張文字対応のアプリケーションおよびサービスを調べるには、TID 3065822を参照してください。多くのアプリケーションやサービスでは、ユニバーサルパスワードを使用しない場合は拡張文字を使用できます。
ユニバーサルパスワードを管理するのには、次の手段を使用できます。
iManager (推奨): NetIQ iManagerを使用してパスワードを管理する場合、後方互換性を確保するために、ユニバーサルパスワードは簡易パスワードおよびNDSパスワードの値と同期されるように自動的に設定されます。iManagerのNMASタスクでは、システムにインストールされて設定済みの個々のパスワードと認証方式をきめ細かく管理できます。
パスワード管理プラグインを使用したiManagerでは、パスワードポリシーを使用して、NDSパスワード、簡易パスワード、および配布パスワードとのユニバーサルパスワードの同期方法を指定できます。さらに、管理者がユーザのユニバーサルパスワードを設定するために使用できるiManagerタスクが用意されています。
サードパーティ製のアプリケーション: NetIQのクロスプラットフォームライブラリに書き込まれ、パスワード管理を行うサードパーティ製アプリケーションも、Novell Client for Windowsに新しいライブラリがインストールされている場合は、ユニバーサルパスワードを設定して他のパスワードと同期します。
ユーザのNDSパスワードを無効にすると、NDSパスワードは、ユーザにとって不明の任意の値に設定されます。以下に、ログインメソッドがこの変更を処理する方法をリストして説明します。
NDSパスワードが無効にされても、簡易パスワードメソッドは無効にされません。ユニバーサルパスワードが有効にされて使用可能になっている場合、簡易パスワードメソッドはユニバーサルパスワードを使用します。それ以外の場合は、簡易パスワードを使用します。ユニバーサルパスワードが有効にされていても、設定されていない場合、簡易パスワードメソッドは簡易パスワードを使用してユニバーサルパスワードを設定します。
NDSパスワードが無効にされても、拡張パスワードメソッドは無効にされません。拡張パスワードメソッドは、ログインにはユニバーサルパスワードを使用しません。
NDSパスワードが無効にされても、NDSパスワードメソッド(ユニバーサルパスワード)は無効にされません。ユニバーサルパスワードが有効にされて使用可能になっている場合、NDSパスワードメソッドはユニバーサルパスワードを使用します。それ以外の場合は、NDSパスワードを使用します。ユニバーサルパスワードが有効にされていても、設定されていない場合、NDSパスワードメソッドはNDSパスワードを使用してユニバーサルパスワードを設定します。
新しいユーザを作成する場合やヘルプデスクへの問い合わせに応答する場合などに、管理者がユーザのパスワードを変更する場合、パスワードポリシーでパスワードを期限切れにする設定が有効になっていると、セキュリティ上の理由からパスワードは自動的に失効します。パスワードを期限切れにする設定とは、パスワードポリシーの[高度なパスワードルール]にある[Number of days before password expires (0-365)]です。この特定の機能については、日数は重要ではありませんが、この設定を有効にする必要があります。
メモ:この振る舞いを無効にするには、パスワードポリシーで[Do not expire the user’s password when the administrator sets the password]オプションを選択します。
パスワードポリシーを作成してユニバーサルパスワードを有効にし、さらに高度なパスワードルールを有効にすると、NDSパスワークの既存のパスワード設定ではなく、有効にされた高度なパスワードルールが適用されます。従来のパスワード設定は無視されます。パスワードポリシーを作成しても、以前の設定が自動的にマージまたはコピーされることはありません。
たとえば、NDSパスワードで使用する猶予ログイン回数を設定している場合、ユニバーサルパスワードを有効にするときに、パスワードポリシーの高度なパスワードルールで猶予ログイン回数の設定を再作成する必要があります。
NMASでは、ユーザオブジェクトのNDSパスワード設定を、対応するパスワードポリシー設定に置き換えます。たとえば、猶予ログイン回数がユーザオブジェクトでは4に設定されていて、パスワードポリシーでは5に設定されている場合、ユーザがログインした時点、またはパスワードが変更された時点で、そのユーザオブジェクトの猶予ログイン回数は5に変更されます。