26.4 パスワードポリシーを使用したパスワードの管理

パスワードポリシーを使用してユーザが自分のパスワードを作成する方法に対するルールを設定することで、セキュリティを強化できます。ユーザ自身でパスワード忘れや、パスワードリセットに対処できるセルフサービスオプションを付加することにより、ヘルプデスクの運用コストの削減にもつながります。

このセクションで説明する内容は以下のとおりです。

パスワード忘れセルフサービスおよびパスワードリセットセルフサービスについては、セクション 26.5, パスワードセルフサービスを参照してください。

26.4.1 パスワードポリシー機能の概要

Password Policy (パスワードポリシー)は、エンドユーザパスワードの作成および交換に関する基準を指定した管理者定義ルールの集まりです。NMASでは、パスワードポリシーをeDirectory内のユーザに割り当てて適用することができます。

パスワードポリシーにパスワード忘れセルフサービス機能を組み込んで、パスワードを忘れた場合のヘルプデスクへの問い合わせ件数を削減することもできます。セルフサービス機能としては、パスワードリセットセルフサービスもあります。パスワードリセットセルフサービスでは、ユーザが管理者によってパスワードポリシーに指定されたルールを確認しながら、自分のパスワードを変更することができます。ユーザはこれらの機能に、Identity ManagerユーザアプリケーションまたはiManagerセルフサービス コンソールからアクセスします。

パスワードポリシーで高度なパスワードルール、パスワード同期、およびパスワード忘れセルフサービスのさまざまな機能を使用するには、ユーザのユニバーサルパスワードを有効にする必要があります。ユニバーサルパスワードの導入方法については、セクション 26.3, ユニバーサルパスワードの導入を参照してください。

パスワードポリシーを作成するには、パスワードポリシーウィザードを使用します。iManagerで、[パスワード]>[パスワードポリシー]>[新規]の順にクリックします。パスワードポリシーの作成方法の詳細については、セクション 26.4.4, パスワードポリシーの作成を参照してください。

26.4.2 パスワードポリシーの計画

ツリー内でパスワードポリシーを割り当てる方法の計画

管理を簡素化するために、デフォルトポリシーをツリー全体に割り当て、その他に使用するポリシーをツリーのできるだけ高い階層に割り当てることをお勧めします。

NMASは、ユーザに適用されているパスワードポリシーを判別します。詳細については、セクション 26.4.5, ユーザへのパスワードポリシーの割り当てを参照してください。

パスワードポリシーのルールの計画

パスワードポリシーで高度なパスワードルールを使用することで、パスワードにビジネスポリシーを適用できます。

Novell Client (4.9.1)、Identity Managerユーザアプリケーション、およびiManagerセルフサービスコンソールには、パスワードポリシーに含まれるパスワードルールが表示されることに留意してください。ユーザがLDAPサーバを介して、または接続システムで自分のパスワードを変更する場合に備え、ユーザがパスワードルールをすぐに利用できるようにして、ルールに準拠したパスワードが作成されるようにする必要があります。

Identity Managerのパスワード同期機能を使用する場合は、パスワードポリシーが割り当てられているユーザが、接続システムのパスワード同期に参加させるユーザと一致していることを確認する必要があります。パスワードポリシーはツリー中心で割り当てられます。これに対し、パスワード同期は、各サーバのドライバごとに設定されます。パスワード同期で期待される結果を出すためには、パスワード同期用のドライバを実行するサーバ上の読み書き可能レプリカまたはマスタレプリカに含まれるユーザが、ユニバーサルパスワードが有効にされたパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにパスワードポリシーを割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にパスワードポリシーが割り当てられます。

高度なパスワードルール

高度なパスワードルールでは、ユニバーサルパスワードに次の条件を定義できます。

  • パスワードの有効期間: パスワードポリシーは、過去にeDirectoryで提供していたポリシー機能と同じ機能を提供するため、パスワードの変更頻度や再使用可能かどうかを指定できます。

  • パスワードに含まれる文字: 文字、数字、小文字または大文字および特殊文字を組み合わせることができます。安全性の低いと思われるパスワード(企業名など)は排除できます。パスワードに含める、以前のパスワードで使用されていない「新しい」文字の数を要件としたり、指定のパスワードで許容するパスワードポリシー違反の数を設定したりすることもできます。

パスワードポリシーで高度なパスワードルールを使用するには、ユニバーサルパスワードを有効にする必要があります。ポリシーにユニバーサルパスワードが有効にされていない場合は、代わりにNDS®パスワードを対象に設定されている制限が適用されます。

メモ:パスワードポリシーを作成してユニバーサルパスワードを有効にすると、NDSパスワードに対する既存のパスワード設定の代わりに、高度なパスワードルールが適用されます。従来のパスワード設定は無視されます。パスワードポリシーを作成しても、以前の設定が自動的にマージまたはコピーされることはありません。

たとえば、NDSパスワードで使用する猶予ログイン回数を設定している場合、ユニバーサルパスワードを有効にするときに、パスワードポリシーの高度なパスワードルールで猶予ログイン回数の設定を再作成する必要があります。

後でパスワードポリシーでユニバーサルパスワードを無効にすると、既存のパスワード設定は無視されなくなります。既存の設定が、NDSパスワードに適用されることになります。

NMAS 3.1以降では、ユーザオブジェクトのNDSパスワード設定を、対応するパスワードポリシー設定に置き換えます。たとえば、猶予ログイン回数がユーザオブジェクトでは4に設定されていて、パスワードポリシーでは5に設定されている場合、ユーザがログインした時点、またはパスワードが変更された時点で、そのユーザオブジェクトの猶予ログイン回数は5に変更されます。

ポリシーの適用

ツリー内のユーザにパスワードポリシーを割り当てると、そのポリシーの高度なパスワードルールに準拠していない限り、パスワード変更は適用されません。Novell Client 4.9 SP2以降では、ルールも表示されます。アクセスにどちらのメソッドを使用するとしても、ルールに準拠していないパスワードは拒否されます。NMASは、これらのルールを適用するアプリケーションです。

ポリシーに既存のパスワードのコンプライアンスをチェックするように指定することで、ユーザはルールに準拠していない既存のパスワードを変更しなければなくなります。コンプライアンスのチェックオプションが有効にされている場合、パスワードポリシーのルールを満たしていないパスワードには、失効したパスワードとしてマークが付けられます。

ユーザがポータルを介して認証する際に、有効にされているパスワード忘れセルフサービス機能の設定を求めるプロンプトを出すように指定することもできます。これは、認証後サービスと呼ばれます。たとえば、パスワードを忘れた場合に電子メールで送信するパスワードのヒントをユーザに設定させたい場合、認証後サービスを使用して、ユーザのログイン時にパスワードのヒントを設定するよう求めるプロンプトを出すことができます。

認証後サービスの設定は、[パスワードを忘れた場合]プロパティページの最後のオプションです。

ユーザのログインおよびパスワードメソッド変更の計画

ユーザがログインしたりパスワードを変更したりするには、いくつかの方法があります。ユニバーサルパスワードをサポートするためのアップグレードの詳細については、セクション 26.3, ユニバーサルパスワードの導入を参照してください。

このセクションでは、それぞれのケースでユニバーサルパスワードをサポートするための追加要件について説明します。

Novell Client

Novell Clientを使用している場合は、バージョン4.9 SP2以降にアップグレードします。

ユーザはiManagerセルフサービスコンソールや、環境に応じてその他の企業のポータルからログインできるので、Novell Clientの使用は必須ではありません。また、Active Directoryでのパスワード同期に、Novell Clientは必要なくなっています。

以下の表に、ユニバーサルパスワードに関するNovell Clientバージョン間の違いについての説明と、レガシーNovell Clientを操作する際の推奨事項を記載します。

表 26-1 Novell Clientでのユニバーサルパスワード

Novell Clientバージョン(Novell Client Version)

ログイン

パスワードの変更

4.9より前

NMASを介さないため、ユニバーサルパスワードはサポートされません。NDSパスワードを使用して直接ログインします。

NMASを介する代わりに、NDSパスワードを直接変更します。

ユニバーサルパスワードを使用している場合、NDSパスワードとユニバーサルパスワードが同期された状態に維持されない可能性があります。この問題を防ぐには、次の3つのオプションがあります。

  • すべてのクライアントをバージョン4.9以降にアップグレードします。

  • コンテナの属性値を使用して、レガシークライアントがパスワードを変更できないようブロックします。このソリューションの場合、レガシークライアントは引き続きログインできますが、パスワードを変更することはできません。パスワード変更は、必ず新しいバージョンのNovell ClientまたはiManagerを使用して行う必要があります。

  • Remove the NDS Password when Setting Universal Password]のパスワードポリシー設定を使用します。この場合、NDSパスワードを使用したログインとパスワード変更がどちらも防止されるので、抜本的な対策になります。

4.9

ユニバーサルパスワードをサポートしています。

ユニバーサルパスワードにパスワードポリシーのルールを適用します。

ユーザがルールに準拠していないパスワードを作成しようとすると、パスワード変更は拒否されます。ただし、ルールのリストは、ユーザには表示されません。

4.9 SP2以降

ユニバーサルパスワードをサポートしています。

ユニバーサルパスワードにパスワードポリシーのルールを適用します。

さらに、ルールに準拠したパスワードを作成できるよう、ユーザにルールを表示します。

Identity ManagerユーザアプリケーションとiManager

Identity ManagerユーザアプリケーションとiManagerが提供するパスワードセルフサービスでは、ユーザがパスワードをリセットしたり、パスワード忘れセルフサービス(パスワードポリシーで指定されている場合)を設定したりできます。パスワードセルフサービスの設定方法の詳細については、セクション 26.5, パスワードセルフサービスを参照してください。

  • パスワードポリシーでは、[Synchronize NDS password when setting Universal Password]のデフォルト設定を受け入れることをお勧めします。

その他のプロトコル

ユニバーサルパスワードがサポートされるよう、eDirectory、LDAPサーバ、NMAS、およびiManagerがアップグレードされていることを確認します。

ユニバーサルパスワードでAFP、CIFS、およびその他のプロトコルを使用する方法の詳細については、セクション 26.3, ユニバーサルパスワードの導入を参照してください。

接続システム

Identity Managerのパスワード同期を使用する場合は、ユーザパスワード変更が正常に行われるよう、次の要件を満たしていることを確認してください。

  • システムのすべてのIdentity Managerドライバが、Identity Managerフォーマットにアップグレードされていること。

  • Identity Managerドライバの環境設定に、新しいパスワード同期ポリシーが含まれていること。

  • パスワード同期の設定で、ユニバーサルパスワードの使用が設定されていること。双方向パスワード同期が必要な場合は、配布パスワードも指定されていること。

  • 必要に応じて、パスワードをキャプチャするパスワードフィルタが接続システムに導入されていること。

詳細については、『NetIQ Identity Manager 4.5 Password Management Guide』の「Connected System Support for Password Synchronization」を参照してください。

26.4.3 パスワードポリシーを使用するために必要な事前タスク

パスワードポリシーのすべての機能を利用するには、環境を準備するために行っておかなければならない手順があります。

  1. ユニバーサルパスワードをサポートするように環境をアップグレードします。

    詳細については、セクション 26.3, ユニバーサルパスワードの導入を参照してください。

  2. ユニバーサルパスワードをサポートするようにクライアント環境をアップグレードします。

    ユーザのログインおよびパスワードメソッド変更の計画およびセクション 26.3, ユニバーサルパスワードの導入を参照してください。

  3. iManagerを設定するときに、iManagerのインストールまたは事後インストールの一環としてiManager設定ウィザードを実行しなかった場合は、iManager設定ウィザードを実行する必要があります。iManager設定ウィザードを実行する方法については、『NetIQ iManager Administration Guide』の「Role-Based Services」セクションを参照してください。

    重要:iManager設定ウィザードの実行後は、iManagerがRBSモードで実行されます。この場合、管理者が自分自身に特定の役割を割り当てていない限り、管理者にはタスクが1つも表示されません。管理者には必ず、すべてのiManagerタスクにアクセスできる役割を割り当ててください。

  4. NetIQ iManagerパスワード管理プラグインをインストールします。

    このプラグインは、NetIQダウンロードWebサイトからダウンロードできます。

    重要:eDirectoryをアップグレードせずにNetIQ iManagerパスワード管理プラグインを最新バージョンにアップグレードした後、パスワードポリシーを変更または作成しようとすると、iManagerにエラーが表示されます。

  5. iManager WebサーバとeDirectoryが同じコンピュータ上で実行されているとしても、この2つの間にSSLを設定します。

  6. eDirectory内に、単純認証に対してTLSを要求するためのLDAPグループサーバオブジェクトを設定します。

    これは、iManagerを設定する際のデフォルト設定です。パスワードセルフサービス機能には、単純認証に対してTLSを要求することを強くお勧めします。これは、iManagerのタスク[パスワード]>[Set Universal Password]を使用する場合は必須です。

    単純認証に対してTLSを要求する場合、LDAP SSLポートに必要な追加設定はありません。

    重要:単純認証に対してTLSを要求しないということは、ユーザが平文パスワードを使用してiManagerセルフサービスコンソールにログインすることを許可するということです。

    このオプションを使用することもできますが、別のステップが必要になります。

    デフォルトで、パスワードセルフサービス機能がLDAP SSLポートとして想定するのは、PortalServlet.propertiesファイル内のSystem.DirectoryAddress設定で指定されているポートです。LDAP SSLポートがそれとは異なる場合は、PortalServlet.propertiesファイルに次の鍵ペアを追加して、正しいポートを指示する必要があります。

    LDAPSSLPort=your_port_number
    

    たとえば、Tomcatを実行しているとしたら、この鍵ペアをtomcat\webapps\nps\WEB_INFディレクトリ内にあるPortalServlet.propertiesファイルに追加します。

  7. パスワード忘れ機能に電子メール通知を有効にするには、セクション 26.5.6, パスワードセルフサービスの電子メール通知の設定の手順に従います。

    SMTPサーバを設定して、電子メールテンプレートをカスタマイズする必要があります。

これで、パスワードポリシーのすべての機能を利用できる状態になりました。セクション 26.4.4, パスワードポリシーの作成の説明に従って、ポリシーを作成します。

26.4.4 パスワードポリシーの作成

新しいパスワードポリシーを作成するには、iManagerのパスワードポリシーウィザードを使用します。

ウィザードの各ステップの説明については、オンラインヘルプおよびセクション 26.4, パスワードポリシーを使用したパスワードの管理セクション 26.5, パスワードセルフサービスを参照してください。

  1. セクション 26.4.3, パスワードポリシーを使用するために必要な事前タスクの手順を完了していることを確認します。

    その手順によって、パスワードポリシーのすべての機能を利用できるようになります。

  2. iManagerの[役割およびタスク]ビューで、[パスワード]>[パスワードポリシー]の順にクリックします。

  3. 新しいパスワードポリシーを作成するために、[新規]をクリックします。

  4. ウィザードで表示される指示に従い、ポリシーの高度なパスワードルール、ユニバーサルパスワードの設定オプション、およびパスワード忘れの選択項目を作成します。

  5. 必要に応じて、個々のユーザ、組織、または会社全体にパスワードポリシーを割り当てます。

  6. 新しいポリシーの設定を確認してから、[完了]をクリックし、[閉じる]をクリックしてウィザードを終了します。

高度なパスワードルール

図 26-1に、高度なパスワードルールの最初のセクションを示します。

図 26-1 高度なパスワードルール

パスワードの構文

パスワードポリシーで使用するパスワードの構文には、次の3つのオプションのいずれかを指定できます。

  • Microsoftの複雑さのポリシーを使用する

  • Use Microsoft Server 2008 Password Policy

  • Novellの構文を使用する

警告:iManagerでは、サーバにインストールされているNMASのバージョンに関係なく、Microsoft Server 2008のパスワードポリシーのタイプを使用してポリシーを作成することができます。ただし、このオプションを使用するには、NMAS 3.3.4以降がインストールされている必要があります。これより前のバージョンのNMASがインストールされている場合は、新しいパスワードポリシーは正常に機能しません。

  • Microsoftの複雑さのポリシーを使用する

    この設定では、Microsoft*の複雑さのポリシーの要件を適用することができます。eDirectoryとMicrosoft Active Directoryの間でパスワードを同期させる必要がある場合は、このオプションを使用します。

    ポリシーにこのオプションが選択されている場合、このポリシーが割り当てられているすべてのユーザは、ユニバーサルパスワードに実装されたMicrosoftの複雑さのポリシーの条件を満たすパスワードを作成しなければなりません。以下の条件があります。

    • 最小パスワード長は6文字です。

    • 最大パスワード長は128文字です。

    • パスワードには、大文字、小文字、数字、および特殊文字の4つのタイプのうち、3つのタイプの文字が少なくとも1つ含まれる必要があります。

      • 大文字 - Basic LatinおよびLatin-1文字セットに含まれる文字の大文字すべて。

      • 小文字 - Basic LatinおよびLatin-1文字セットに含まれる文字の小文字すべて。

      • 数字 - 0、1、2、3、4、5、6、7、8、9。

      • 特殊文字 - その他すべての文字。

    • ユーザ属性CNGiven NameSurnameFull Name、およびdisplayNameの値をパスワードに含めることはできません。

    • eDirectoryアカウントのユーザ属性CNの値そのものをパスワードに含めることはできません。属性の長さが3文字未満の場合、NMASはこのチェックを行いません。

  • Use Microsoft Server 2008 Password Policy

    この設定では、Microsoft* Windows Server 2008パスワードポリシーの複雑性の要件を適用することができます。eDirectoryとMicrosoft Active Directoryの間でパスワードを同期させる必要がある場合は、このオプションを使用します。

    ポリシーにこのオプションが選択されている場合、このポリシーが割り当てられているすべてのユーザは、ユニバーサルパスワードに実装されたMicrosoft Windows Server 2008の複雑さのポリシーの条件を満たすパスワードを作成しなければなりません。このオプションを選択すると、[高度なパスワードルール]ページのいくつかのオプションが、この複雑さのポリシーの条件を満たすように設定されます。以下の条件があります。

    • 最小パスワード長は、デフォルトでは6文字です。[Minimum number of characters in password (1-512)]オプションを使用して、環境の最小パスワード長を設定できます。最小文字数の設定方法の詳細については、パスワード長を参照してください。

    • 最大パスワード長は512文字です。

    • パスワードには、大文字、小文字、数字、非英数字、およびその他の文字の5つのタイプのうち、3つのタイプの文字が少なくとも1つ含まれる必要があります。

      • 大文字 - 発音区別符付きを含むヨーロッパ言語の文字、ギリシャ文字、キリル文字の大文字すべて。

      • 小文字 - 発音区別符付きを含むヨーロッパ言語の文字、ギリシャ文字、キリル文字の小文字すべて。

      • 数字 - 0、1、2、3、4、5、6、7、8、9。

      • 非英数字 - 次の特殊文字すべて: ( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / _

      • その他の文字 - 英字として分類されている一方、大文字でも小文字でもないUnicode文字すべて。これには、アジア言語のUnicode文字が含まれます。

    • 除外するパスワードのリストに含まれる単語をパスワードに含めることはできません。除外するパスワードの長さが3文字未満の場合、NMASはこのチェックを行いません。除外パスワードの詳細については、パスワード除外を参照してください。

    • アカウントのFull Name属性の値が3文字以上の1つの単語である場合、この値のすべてまたは一部をパスワードに含めることはできません。属性の値の一部は3文字以上の連続する文字として定義され、その両端はコンマ、ピリオド、ダッシュ、ハイフン、下線、スペース、シャープ記号、またはタブで区切られます。

    • パスワードで許容される複雑さのポリシー違反の最大数は、デフォルトでは2です。[Maximum number of complexity policy violations in password (0-5)]オプションを使用して、パスワードで許容される複雑さのポリシー違反の最大数を設定できます。違反の最大許容数の設定方法の詳細については、Password Complexity Violationsを参照してください。

  • Novellの構文を使用する

    この設定では、パスワードポリシーにNovellの構文を使用できます。このオプションはデフォルトで選択されています。Novellの構文を使用したポリシーの標準設定は、次のとおりです。

    • 最小パスワード長は、デフォルトでは4文字です。[パスワードの最小文字数(1~512)]オプションを使用して、環境の最小パスワード長を設定できます。最小文字数の設定方法の詳細については、パスワード長を参照してください。

    • 最大パスワード長は、デフォルトでは12文字です。[Minimum number of characters in password (1-512)]オプションを使用して、環境の最大パスワード長を設定できます。最大文字数の設定方法の詳細については、パスワード長を参照してください。

パスワード構文の優先順位

iManagerパスワード管理プラグインのインタフェース外で、ディレクトリ管理またはLDAPを使用してパスワードポリシーの属性を変更すると、パスワードポリシーの1つ以上のタイプの間に競合が発生する可能性があります。たとえば、LDAPを使用して、同じパスワードポリシーに対してMicrosoftの複雑さのポリシーとMicrosoft Windows 2008パスワードポリシーを有効にするなどです。

競合が発生した場合、eDirectoryは次の優先順位に従います。

  • Microsoft Server 2008パスワードポリシー

  • Microsoftの複雑さのポリシー

  • Novell構文

パスワード管理インタフェース外でのパスワードポリシー変更の詳細については、パスワードポリシーインタフェースの外部でパスワードポリシーを変更するを参照してください。

パスワードの変更

  • Allow user to initiate password change

    このオプションにより、ユーザはパスワードセルフサービス機能を使用できるようになります。このオプションはデフォルトで選択されています。パスワードセルフサービスの詳細については、セクション 26.5, パスワードセルフサービスを参照してください。

  • Do not expire the user’s password when the administrator sets the password

    このオプションでは、ユーザが自分のパスワードにアクセスして変更することが必要になります。この機能により、デフォルトを上書きできます。パスワードの有効期限が設定されている場合、eDirectoryではデフォルトの振る舞いとして、ユーザのパスワードは、管理者がパスワードを設定する際に失効します。

  • 固有パスワードを要求する

    このオプションが選択されている場合、ユーザはパスワードを履歴リストに含まれているパスワードに変更できなくなります。ユーザがパスワードを変更して履歴リストに含まれているパスワードを再利用しようとすると、そのパスワードはパスワードポリシーによって拒否され、ユーザは別のパスワードを指定するよう求められます。

    次の2つの値のいずれかを使用することで、固有パスワードを強制する方法を指定できます。

    • Remove password from history list after a specified number of days (0-365)]と[History list size (1-255)]。

      固有パスワードを要求する場合は、照合用の履歴リストに以前に使用したパスワードを保管する日数を指定できます。

      たとえば、制限を30日間に指定した場合、ユーザが以前に「mountains99」というパスワードを使用したとすると、そのパスワードが履歴リストに30日間維持されます。この期間中に、ユーザが自分のパスワードを変更して「mountains99」を再利用しようとすると、そのパスワードはパスワードポリシーによって拒否され、ユーザは別のパスワードを指定するよう求められます。30日間が過ぎると、古いパスワードは照合用に保管されなくなり、そのパスワードを再利用しても、パスワードポリシーによって拒否されなくなります。

      固有パスワードを要求する場合、照合用の履歴リストに保管するパスワードの数を指定することもできます。たとえば、値を3に指定すると、ユーザが以前に使用した3つのパスワードが保管されます。履歴リストから削除するまでの日数が経過する前に、ユーザが自分のパスワードを変更して履歴リストに含まれているパスワードを再利用しようとすると、そのパスワードはパスワードポリシーによって拒否され、ユーザは別のパスワードを指定するよう求められます。

      メモ:

      • Use Microsoft Server 2008 Password Policy]オプションを選択すると、デフォルトで[固有パスワードを要求する]オプションも選択されます。

      • 固有パスワードを要求する]が選択されていて、[Remove password from history list after a specified number of days (0-365)]を選択し、日数を指定しなかった場合、[Password Lifetime]セクションの[Number of days before password expires (0-365)]フィールドに設定した値の8倍の期間中、パスワードが履歴リストに維持されます。どちらのフィールドにも値が設定されていない場合、パスワードは365日間、履歴リストに維持されます。

      • パスワード履歴リストのサイズと日数を指定し、パスワード履歴リストのパスワード数が指定したサイズに達している場合、パスワードの期限が切れるまで、ユーザは自分のパスワードを変更できません。管理者は、パスワード履歴リストのサイズに達していても、ユーザのパスワードを変更または設定できます。

      • パスワード履歴リストの1つ以上のパスワードが期限切れになって、リストがいっぱいでなくなると、ユーザは再び自分のパスワードを変更できるようになります。この制限が設けられている理由は、ユーザが何度も自分のパスワードを変更したためにパスワードがパスワード履歴リストに追加されなくなり、ユーザが以前に使用したパスワードを再利用できるようになるという事態を防ぐためです。

      • パスワード履歴リストのサイズが指定されていない場合、パスワードの履歴がいっぱいになることはありません。

      • 指定されたパスワードをパスワード履歴リストの以前に使用されたパスワードを比較する際のeDirectoryの振る舞いはActive Directoryとは異なります。パスワード履歴リストのサイズが「N」に設定されている場合、Active Directoryは、指定されたパスワードを、以前に使用されたN個のパスワードと比較します。一方、eDirectoryは指定されたパスワードを以前に使用された「n+1」個のパスワードと比較します。

    • Remove password from history list when the list is full]と[History list size (1-255)]。

      固有のパスワードが必要な場合は、比較のために履歴リストに保存されるパスワードの数を指定できます。このオプションは先入れ先出しで機能し、最も古いパスワードが履歴リストから削除されます。たとえば、履歴リストがいっぱいの場合、履歴リストに現在存在しない新しいパスワードをユーザが作成すると、履歴リスト内の最も古いパスワードが削除されます。

      メモ:

      • Use Microsoft Server 2008 Password Policy]オプションを選択すると、[Remove password from history list when the list is full]オプションもまたデフォルトで選択されます。Microsoft Server 2008構文が有効である場合、履歴リストサイズ範囲は0個~24個のパスワードです。

      • このオプションを選択した場合、[Number of days before password can be changed]および[Number of days before password expires]の両方のオプションを選択し、それぞれに最小日数を指定してください。

      • パスワード履歴リストのサイズに0を指定すると、NMASは、ユーザが作成した新しいパスワードをそのユーザの現在のパスワードのみと比較します。

  • Number of characters different from current password and passwords from history (0-6)]、および指定した文字数。

    このオプションを選択した場合、ユーザは、以前のパスワードで未使用の「新しい」文字を少なくともこの指定数含んでいるパスワードを指定する必要があります。このオプションはデフォルトで選択されています。

    次の値を使用して、未使用文字の固有性の程度を指定することができます。

    • Number of passwords in history to be considered for character exclusion (0-10)]、および指定した文字数

      新しいパスワードに特定数の未使用文字を含めるように要求する場合、使用済み文字の検査時に考慮すべき過去のパスワードの数を指定できます。

      たとえば、少なくとも新しい3文字を含めるように指定し、以前の5つのパスワードを文字除外で考慮するよう指定した場合、ユーザが新しいパスワード「mountains99」を作成したとき、以前の5つのパスワードで未使用の文字が3文字以上そのパスワードに含まれる必要があります。ユーザの以前のパスワードが「maintains99」である場合、新しいパスワードと2文字しか異なっていないため、このパスワードはパスワードポリシーによって拒否され、ユーザは別のパスワードを指定するよう促されます。

    メモ:

    • Number of characters different from current password and passwords from history (0-6)]および[Number of passwords in history to be considered for character exclusion (0-10)]の両方のオプションがデフォルトで選択されます。ただし、両方のオプションの値はデフォルトで0に設定されています。

    • Number of characters different from current password and passwords from history (0-6)]オプションの値が0に設定される場合、このオプションは無効になります。

    • Number of passwords in history to be considered for character exclusion (0-10)]オプションの値が0に設定される場合、eDirectoryで「新しい」文字が検査されるときに現在のパスワードだけが考慮されます。

パスワード有効期間

  • Number of days before password can be changed (0-365)

    このオプションは、指定した時間が経過するまでユーザがユニバーサルパスワードを変更できないように制限します。たとえば、この値が30に設定されている場合、ユーザは同じパスワードを30日間保持した後、それを変更できるようになります。

  • Number of days before password expires (0-365)

    このオプションは、指定した時間が経過した後、ユーザのパスワードを期限切れにします。たとえば、この値が90に設定されている場合、ユーザのパスワードが設定された時点から90日後に期限切れになります。猶予ログインが有効でない場合は、パスワードの有効期限が切れた後にユーザはログインできなくなり、管理者の支援でパスワードをリセットする必要があります。一方、猶予ログインが有効な場合、ユーザは指定された回数にわたって期限切れパスワードを使ってログインできます。また、[Limit the number of grace logins allowed]オプションを選択しない場合、無制限の猶予ログインが許可されます。

    メモ:

    • Use Microsoft Server 2008 Password Policy]オプションを選択した場合、[Number of days before password can be changed]および[Number of days before password expires]オプションもまたデフォルトで選択されます。Microsoft Server 2008構文が有効になっている場合、両方のオプションの範囲は0~999日です。

    • 新しいユーザを作成する場合やヘルプデスクへの問い合わせに応答する場合などに、管理者がユーザのパスワードを変更する場合、パスワードポリシーでパスワードを期限切れにする設定が有効になっていると、パスワードは自動的に期限切れになります。この特定の機能については、日数は重要ではありませんが、この設定を有効にする必要があります。[Do not expire the user’s password when the administrator sets the password]オプションを選択した場合、このセキュリティ拡張機能がオーバーライドされます。

    • Limit the number of grace logins allowed (0-254)

      パスワードの期限が切れた場合、この値は、期限切れパスワードを使ってユーザがeDirectoryにログインできる回数を示します。猶予ログインが有効でない場合、パスワードの有効期限が切れた後にユーザはログインできなくなり、管理者の支援でパスワードをリセットする必要が生じます。この値が1以上である場合、ユーザはパスワードの変更を強制される前に、指定の回数にわたってログインする機会を与えられます。ただし、すべての猶予ログインが使用されるまでにユーザがパスワードを変更しない場合、ユーザはロックアウトされて、eDirectoryにログインできなくなります。また、[Limit the number of grace logins allowed]オプションを選択していない場合、無制限の猶予ログインが許可されます。

パスワード除外

  • Exclude the following passwords

    これにより、除外するパスワードを手動で指定できます。このオプションを使用すると、(パターンやeDirectory属性ではなく)特定の単語や単独の文字を除外することができます。また、*、+、%、空白文字などの特定の特殊文字を含むパスワードを除外することもできます。たとえば、パスワード除外リストに「*」文字を追加した場合、ユーザが「Pa55w0rd*!」というパスワードを指定しようとすると、指定したパスワードが無効であるというエラーを受け取ります。この機能は、環境内のアプリケーションで問題の原因となる特殊文字を含むパスワードを指定しないようユーザを制限する必要がある場合に、役立ちます。

    NMAS 3.1.3以降、除外リスト内の文字列をパスワードに含めることはできず、比較では大文字小文字が区別されません。たとえば、除外リストに「test」がある場合、Test、TEST、ltest, test1、latestをパスワードにすることはできません。

    パスワード除外は、セキュリティ上のリスクになると思われる少数の単語に関してのみ役立つことに注意してください。備わっている除外リスト機能は、辞書などの長い用語リストとして使われるよう意図されていません。除外する用語を長いリストにすると、サーバのパフォーマンスに影響を与える可能性があります。パスワードの「辞書攻撃」から防御するには、長い除外リストを使用する代わりに、[高度なパスワードルール]を使用して、パスワードに数値を含めるようにすることをお勧めします。

  • Exclude passwords that match attribute values

    これにより、パスワードとして使用されないよう除外するユーザオブジェクト属性を選択できます。たとえば、下の名(Given Name)属性をリストに追加し、この属性にFrankという値が含まれる場合、frank、frank1、1frankのどれもパスワードとして使用できません。

    除外するパスワードの長さが3文字未満の場合、NMASはこのチェックを行いません。

    リストで属性値を追加したり削除したりするには、プラスボタンとマイナスボタンを使用します。

    メモ:Use Microsoft complexity policy]オプションを選択した場合、デフォルトで[Exclude passwords that match attribute values]オプションもまた選択されます。Microsoft複雑性ポリシー構文が有効になっている場合、照合する属性値のリストに次の値が入ります: 共通名表示名フルネーム名(ファーストネーム)姓(ラストネーム)

図 26-2 高度なパスワードルール(続き)

パスワード長

  • Minimum number of characters in password (1-512)

  • Maximum number of characters in password (1-512)

    メモ:

    • NMASを使用して作成されるパスワードの最大長は512文字です。

    • Use Microsoft complexity policy]オプションを選択した場合、[Minimum number of characters in password]、[Maximum number of characters in password]のどちらのオプションも使用不可です。

    • Use Microsoft Server 2008 Password Policy]オプションを選択した場合、[Minimum number of characters in password]オプションのみが使用可能です。デフォルトではこのオプションが選択されています。

    • Use Novell syntax]オプションを選択した場合、[Minimum number of characters in password]および[Maximum number of characters in password]の両方のオプションもデフォルトで選択されます。

Password Complexity Violations

  • Maximum number of complexity policy violations in password (0-5)

    このオプションを使用すると、管理者は、環境内のパスワードに対して許容する複雑性ポリシー違反の数を設定できます。デフォルトで、Microsoft Server 2008パスワードポリシーでは、5種類の文字(大文字、小文字、数字、英数字以外の文字、その他の文字)のうち3種類から少なくとも1つの文字を含む必要があります。したがって、デフォルトで許容される違反の数は2です。Microsoft Server 2008パスワードポリシーのポリシー要件の詳細については、パスワードの構文を参照してください。

    パスワードポリシーの制限を厳しくしたり緩めたりするには、許容されるデフォルトの違反数を変更できます。たとえばデフォルト設定を1に変更した場合、すべてのパスワードは、上記の5種類の文字タイプうち4種類からそれぞれ少なくとも1文字を含む必要があります。設定値が4の場合、パスワードは、5種類の文字タイプのうち1種類のみの文字を含む必要があります。

    メモ:Use Microsoft Server 2008 Password Policy]オプションを選択した場合、[Maximum number of complexity policy violations in password (0-5)]オプションのみが使用可能になります。デフォルトではこのオプションが選択されています。

反復する文字

  • Minimum number of unique characters (1-512)

  • Maximum number of times a specific character can be used (1-512)

  • Maximum number of times a specific character can be repeated sequentially (1-512)

    メモ:Use Microsoft complexity policy]または[Use Microsoft Server 2008 Password Policy]のいずれかのオプションを選択した場合、[Minimum number of unique characters]、[Maximum number of times a specific character can be used]、および[Maximum number of times a specific character can be repeated sequentially (1-512)]オプションは使用不可です。

大文字と小文字の区別あり

eDirectoryで[Allow the password to be case sensitive]オプションを使用すると、eDirectory 9.0にアップグレードされるすべてのクライアントでパスワードの大文字小文字が区別されます。

メモ:Allow the password to be case sensitive]オプションは、[Use Novell syntax]オプションを選択した場合にのみ使用可能になります。デフォルトではこのオプションが選択されています。

Allow the password to be case sensitive]オプションは、[Use Novell syntax]オプションを選択した場合にのみ使用可能になります。デフォルトではこのオプションが選択されています。

Allow the password to be case sensitive]を選択した場合、次の4つのオプションがあります。

  • Allow the password to be case sensitive

    • Minimum number of upper case characters required in the password (1-512)

    • Maximum number of upper case characters allowed in the password (1-512)

    • Minimum number of lower case characters required in the password (1-512)

    • Maximum number of lower case characters allowed in the password (1-512)

Allow the password to be case sensitive]を選択しない場合、パスワードでは大文字小文字が区別されず、次の2つのオプションがあります。

  • Minimum number of alphabetic characters allowed in password (1-512)

  • Maximum number of alphabetic characters allowed in password (1-512)

重要:Allow passwords to be case sensitive]オプションを選択しない場合でも、パスワードは大文字小文字を区別して保存され、複数のシステム間で同期される際に大文字小文字が区別されます。[Allow passwords to be case sensitive]オプションを選択しない場合、パスワード文字の大文字小文字は無視されます。

図 26-3 高度なパスワードルール(最後)

数字

  • Allow numeric characters in password

    • Disallow numeric as first character

    • Disallow numeric as last character

    • Minimum number of numerals in password (1-512)

    • Maximum number of numerals in password (1-512)

メモ:Allow numeric characters in password]オプションは、[Use Novell syntax]オプションを選択した場合にのみ使用可能です。デフォルトではこのオプションが選択されています。

英数字以外の文字

英数字以外の文字とは、数字(0~9)でも英字(アルファベット文字)でもない文字です。アルファベット文字は、a~z、A~Z、およびLatin-1コードページ850のアルファベット文字と定義されます。

  • Allow non-alphanumeric characters in the password

    • Disallow non-alphanumeric character as first character

    • Disallow non-alphanumeric character as last character

    • Minimum number of non-alphanumeric characters (1-512)

    • Maximum number of non-alphanumeric characters (1-512)

  • Allow non-US ASCII characters

    このオプションを使用すると、基本ラテン文字セット以外の文字(拡張文字とも呼ばれる)をパスワードに含めることができます。

メモ:Allow non-alphanumeric characters in the password]オプションは、[Use Novell syntax]オプションを選択した場合にのみ使用可能です。デフォルトではこのオプションが選択されています。

アルファベット以外の文字

アルファベット以外の文字とは、アルファベット文字(英字)ではない文字です。アルファベット文字は、a~z、A~Z、およびLatin-1コードページ850のアルファベット文字と定義されます。

  • Allow non-alphabetic characters in the password

    • Minimum number of non-alphabetic characters (1-512)

    • Maximum number of non-alphabetic characters (1-512)

メモ:

  • Allow non-alphabetic characters in the password]オプションは、[Use Novell syntax]オプションを選択した場合にのみ使用可能です。

  • Allow non-alphabetic characters in the password]オプションを使用する場合、ポリシーでパスワードを過度に厳しく制限しないようにしてください。たとえば、複数の非アルファベット文字や数字を要求すると同時に、使用できる非アルファベット文字数を制限するようなポリシーです。

パスワードポリシーインタフェースの外部でパスワードポリシーを変更する

iManagerパスワード管理プラグインを使ってパスワードポリシーの作成、変更、割り当てることに加えて、パスワードポリシーインタフェースの外部でポリシーを変更することもできます。次の方法があります。

  • ディレクトリ管理インタフェースを使用してポリシーオブジェクトを直接変更する。

  • ldapmodifyコマンドラインツールを使用してポリシーオブジェクトを直接変更する。

ただし、パスワードポリシーインタフェースの外部でパスワードポリシーを操作することは推奨されません。そのような操作ですべての属性を正しく設定しない場合、環境で問題が発生する可能性があるためです。たとえば1つのポリシーに関して複数のポリシータイプを設定した場合、優先順位が「最も高い」ポリシータイプだけが有効になり、eDirectoryは、適用される「より低い」ポリシータイプのポリシールールをすべて無視します。パスワードポリシータイプの優先度の詳細については、パスワード構文の優先順位を参照してください。

さらに、パスワードポリシーインタフェースを使用せずにMicrosoft Server 2008パスワードポリシータイプからMicrosoft複雑性ポリシータイプに変更した場合、iManagerはポリシーオブジェクト内の既存のMicrosoft Server 2008パスワードポリシー属性(nspmAD2K8Syntax)を削除しません。代わりに、iManagerはこの属性の値をFalseに設定します。この状況で、eDirectoryは両方のポリシータイプで設定されたすべてのポリシーとルールを無視します。

さらに、LDAPを使用してポリシーの特定のルールを変更するときに、別の問題が発生することがあります。ポリシーを変更した結果として2つのルールが競合するようになった場合、eDirectoryは、ポリシー内の選択されていない(またはFalseに設定されている)競合ルールではなく、選択されている(またはTrueに設定されている)ルールを適用します。

たとえば、あるポリシーを作成した後、数字を禁止してアルファベット以外の文字を許可するようそのポリシーを変更したとします。nspmNonAlphaCharactersAllowed属性の値がTrueに設定されているため、nspmNumericCharactersAllowedFalseに設定されていても、数字を含むアルファベット以外のすべての文字が許可されます。

パスワードのランダム生成

特定のパスワードを指定する代わりに、ユーザはランダムに生成されるパスワードを要求することもできます。ランダムに生成されるパスワードは、そのユーザに割り当てられている複雑さの要件、および他のパスワードポリシー制限に自動的に準拠します。

ランダムに生成されるMicrosoft Server 2008パスワード

Microsoft Server 2008パスワードポリシー用のランダム生成パスワードは、他のパスワードポリシータイプを使ってランダム生成されるパスワードと比べて、次の点で異なります。

  • Microsoft Server 2008パスワードポリシータイプを使用するパスワードポリシーを割り当てられているユーザがランダム生成パスワードを要求する場合、NMASは、ポリシーで許容されるパスワード複雑性違反数に基づいてパスワードを生成します。

  • 許容されるパスワード複雑性違反数が最大値(5)に設定されている場合、ランダム生成されるすべてのパスワードは、大文字または小文字のアルファベット文字だけで構成されます。

  • パスワード複雑性の要件が極端に厳しく設定されている場合、ランダム生成されたパスワードであっても、パスワードポリシーに対して無効である可能性があります。

  • Microsoft Server 2008パスワードポリシーの下でランダム生成されるパスワードの最大長は16文字です(ただしポリシーで設定された最小長が16文字を超える場合を除く)。最小長が16を超える場合、生成されるパスワードの長さは、ポリシーで設定された最小長です。たとえば、Microsoft Server 2008ポリシーを使用してパスワードの最小長が20文字と設定されている場合、ランダム生成されるパスワードの長さは常に20文字になります。

ユニバーサルパスワードの設定オプション

次の図は、ユニバーサルパスワードの設定オプションの例を示しています。

図 26-4 環境設定オプション

  • Enable Universal Password

    このポリシーでユニバーサルパスワードを有効にします。他のパスワードポリシー機能を使用するには、ユニバーサルパスワードを有効にする必要があります。

  • Enable the Advanced Password Rules

    このポリシーの[高度なパスワードルール]ページにある[高度なパスワードルール]を有効にします。これらの高度なパスワードルールでは、パスワード有効期間とパスワードに含む文字を制御できるため、環境のセキュリティ向上に役立ちます。

  • Universal Password Synchronization

    • Remove the NDS password when setting Universal Password

      このオプションを選択すると、ユニバーサルパスワードが設定されるときにNDSパスワードが無効になります。また、NDSパスワードが設定されるときに、eDirectory以外に知られないランダムな値にNDSパスワードハッシュが設定されます。ランダム値にハッシュ化できるパスワードが存在することも、存在しないこともあります。

    • Synchronize NDS password when setting Universal Password

      このオプションを選択した場合、ユニバーサルパスワードが設定されるときに、同じパスワードを使って同時にNDSパスワードも設定されます。

    • Synchronize Simple Password when setting Universal Password

      メモ:このオプションを設定しても、ICEを使用してユーザパスワードをインポートする機能には影響がありません。

      このオプションを選択した場合、ユニバーサルパスワードが設定されるときに、同じパスワードを使って同時に単純パスワードも設定されます。

    • Synchronize Distribution Password when setting Universal Password

      Identity ManagerメタディレクトリエンジンがeDirectory内のユーザのユニバーサルパスワードを取得または設定できるかどうかを決定します。

      このオプションを選択した場合、ユニバーサルパスワードが設定されるときに、同じパスワードを使って同時に配布パスワードも設定されます。

      接続システムに対するパスワード同期を実行するために、配布パスワードをIdentity Managerとともに使用できます。また、このオプションにより、メタディレクトリエンジンはeDirectory内のユーザのユニバーサルパスワードを取得することもできます。

  • Universal Password Retrieval

    • Allow user to retrieve password

      パスワードを忘れた場合のセルフサービス機能がユーザに代わってパスワードを取得し、それを電子メールでユーザに送信できるかどうかを決定します。このオプションを選択しない場合、パスワードポリシーの[パスワードを忘れた場合]ページの対応する機能がぼかし表示になります。

      このオプションにより、ユーザはNMAS LDAP拡張機能を使用して自分のパスワードを取得することができます。

    • Allow admin to retrieve passwords

      この機能を使用するサードパーティ製品またはサービスを使ってユーザのパスワードを取得することができます。

      このオプションはお勧めできません。稼働するためにこの機能を必要とする特定のオブジェクト(SAMBAまたはfreeRADIUSサービスオブジェクトなど)にパスワード読み取り権限を割り当てるには、[Allow the following to retrieve passwords]オプションを代わりに使用してください。

      Allow admin to retrieve passwords]が選択されている場合、ターゲットオブジェクトのACL属性に対する書き込み特権を持つユーザはターゲットオブジェクトのパスワードを取り出すことができます。

    • Allow the following to retrieve passwords

      パスワードを取得できるオブジェクトを挿入することができます。

  • 認証

    • Verify whether existing passwords comply with the password policy (verification occurs on login)

      このオプションを選択した場合、ユーザがiManagerからログインすると、ユーザの既存のパスワードが検査されて、ユーザのパスワードポリシーにある高度なパスワードルールに準拠しているかどうかが確認されます。既存のパスワードが準拠していない場合、ユーザはそれを変更するよう要求されます。

26.4.5 ユーザへのパスワードポリシーの割り当て

eDirectory内のユーザにパスワードポリシーを割り当てる方法として、(ログインポリシーオブジェクトを使用して)ツリー全体にポリシーを割り当てたり、特定のパーティションやコンテナ、または特定のユーザに割り当てたりすることができます。管理を単純化するために、ツリー内のできるだけ高いレベルでパスワードポリシーを設定することをお勧めします。

重要:eDirectoryツリー全体、またはサブコンテナに非常に多くの(何万もの)ユーザを含むツリーのコンテナにパスワードポリシーを割り当てた場合、iManagerおよびiManagerプラグインがハングすることがあります。

この場合、パスワードポリシー割り当てごとのユーザ数を制御するために、下位レベルのコンテナに個別にパスワードポリシーを割り当てることを考慮できます。

ポリシーは、1つ以上のオブジェクトに割り当てるまでは有効になりません。パスワードポリシーは次のオブジェクトに割り当てることができます。

  • ログインポリシーオブジェクト

    ツリー内のすべてのユーザに対し、デフォルトのパスワードポリシーを作成することをお勧めします。これを実行するには、ポリシーを作成して、ログインポリシーオブジェクトに割り当てます。ログインポリシーオブジェクトは、ツリーのルート直下のセキュリティコンテナ内にあります。

  • パーティションのルートであるコンテナ

    コンテナ パーティションのルートになっているコンテナにポリシーを割り当てると、ポリシー割り当てはサブコンテナのユーザを含めたパーティション内のすべてのユーザに継承されます。コンテナがパーティションルートであるかどうかを知るには、そのコンテナを参照して、隣にパーティションアイコンが表示されているかどうかを確認します。

  • パーティションのルートではないコンテナ

    パーティションのルートではないコンテナにポリシーを割り当てると、そのポリシー割り当ては、その特定のコンテナ内のユーザだけに継承されます。サブコンテナ内のユーザには継承されません。パーティションのルートではないコンテナの下位にあるユーザすべてにポリシーを適用する場合は、それぞれのサブコンテナに個別のポリシーを割り当てる必要があります。

  • 特定のユーザ

1人のユーザに対して一度に1つのポリシーのみを有効にできます。NMASは、次の順序でポリシーを検索し、最初に見つかったものを適用することで、ユーザに対して有効にするポリシーを決定します。

  1. ユーザごとの割り当て: パスワードポリシーがユーザに割り当てられている場合、そのポリシーが適用されます。

  2. コンテナ: パスワードポリシーがユーザに割り当てられていない場合、NMASはそのユーザが存在するコンテナに割り当てられたポリシーを適用します。

  3. パーティションルートのコンテナ: パスワードポリシーが、ユーザやそのユーザの上位コンテナにも割り当てられていない場合、パーティションルートのコンテナに割り当てられたポリシーが適用されます。

  4. ログインポリシーオブジェクト: ポリシーが、ユーザやその他のコンテナにも割り当てられていない場合、ログインポリシーオブジェクトに割り当てられたポリシーが適用されます。これはツリー内のすべてのユーザに対するデフォルトポリシーです。

次の図に示すプロパティページの例では、どのオブジェクトパスワードポリシーを割り当てるかを指定します。

図 26-5 オブジェクトにパスワードポリシーを割り当てる

26.4.6 ユーザに適用されているポリシーの識別

1人のユーザに対して一度に1つのポリシーのみが有効になります。特定のユーザまたはコンテナに対してどのポリシーが有効になっているか検出するには、次の手順を実行します。

  1. iManagerの[役割およびタスク]ビューで、[パスワード]>[View Policy Assignments]をクリックします。

  2. 該当するユーザをブラウズして選択します。

  3. OKをクリックします。

ツリー内に複数のポリシーが存在する場合、セクション 26.4.5, ユーザへのパスワードポリシーの割り当てで説明されている方法で、NMASはユーザに割り当てるポリシーを決定します。

26.4.7 ユーザのパスワードの設定

管理者またはヘルプデスク担当者は、iManagerのタスクを使用してユーザのユニバーサルパスワードを設定できます。このタスクでは、ユーザに適用されているパスワードポリシーのパスワードルールが表示されます。

  1. iManagerの[役割およびタスク]ビューで、[パスワード]>[Set Universal Password]をクリックします。

  2. 該当するユーザをブラウズして選択します。

  3. OKをクリックします。

    ユーザにパスワードポリシーがすでに割り当てられ、ユニバーサルパスワードが有効になっている場合は、このタスクを使用してパスワードを変更できます。

    高度なパスワードルールがポリシーで有効になっている場合、準拠すべきルールのリストが表示されます。

    ユーザのユニバーサルパスワードが有効でない場合、iManagerでエラーが表示されます。ユーザにポリシーを割り当てた後でこのタスクに戻るか、[eDirectory管理]>[オブジェクトの変更]タスクを使用してユーザのNDSパスワードを変更する必要があります。

  4. 表示されるすべてのパスワードルールに準拠していることを確認しながら、ユーザのパスワードを作成します。

  5. OKをクリックします。

    ユーザのユニバーサルパスワードが変更されます。

    パスワード同期が環境で設定されている場合、ユーザの新しいパスワードは、それを受け入れるよう設定されている接続先システムに配布されます。

メモ:新しいユーザを作成する場合やヘルプデスクへの問い合わせに応答する場合などに、管理者がユーザのパスワードを変更する場合、パスワードポリシーでパスワードを期限切れにする設定が有効になっていると、パスワードは自動的に期限切れになります。[Number of days before password expires]という設定が高度なパスワードルールに含まれています。この特定の機能については、日数は重要ではありませんが、この設定を有効にする必要があります。

Do not expire the user’s password when the administrator sets the password]オプションは、この機能をオーバーライドします。

26.4.8 パスワードポリシーのトラブルシューティング

ユーザにパスワードポリシーが割り当てられていないことを示すエラー

ユニバーサルパスワードの設定タスクで、ユーザにパスワードポリシーが割り当てられていないというエラーが表示された場合、実際にはユーザにパスワードポリシーが割り当てられているのであれば、SSLの問題である可能性があります。SSLの問題を診断して解決するには、次のタスクを実行します。

  • SSLの環境設定に問題があることを確かめるには、ポリシー割り当て表示タスクを使用して、そのユーザのポリシーを確認します。ポリシー割り当て表示タスクにNMAS転送エラーが表示される場合、これはSSLが正しく設定されていないことを示している可能性があります。

  • iManagerを実行するWebサーバとプライマリeDirectoryツリーの間でSSLが正しく設定されていることを確認してください。WebサーバとeDirectoryの間で証明書が設定されていることを確認します。

  • 単純認証用にTLSを必要としない場合、ステップ 6の注記で説明されているように、正しいLDAP SSLポートを確実に指定する必要があります。

秘密の質問の答えを使用する

iManagerでサポートされるブラウザを使用していることを確認してください。

新しいコンテナ内のユーザへのアクセス権限の付与

iManagerまたはいずれのNetIQポータル製品(ユーザアプリケーションなど)をセットアップするときには、ポータルユーザコンテナを指定します。通常は、ツリーのすべてのユーザがポータル機能にアクセスできるように、ツリー内の高いレベルでコンテナを指定します。すべてのユーザがそのコンテナの下にある場合は、すべてのユーザが「パスワードを忘れた場合」および「パスワードのリセット」セルフサービス機能にアクセスできます。

NMAS LDAP転送エラー

マルチサーバ環境でIdentity Managerをインストールしている場合、iManagerでいくつかのパスワード管理プラグインを使用すると、「NMAS LDAP転送エラー」で始まるエラーが表示されることがあります。

このエラーの一般的な原因の1つは、Identity Managerで必要なNMAS拡張機能を持っていないLDAPサーバをPortalServlet.propertiesファイルが参照していることです。PortalServlet.propertiesファイルを開き、LDAPサーバのアドレスがIdentity Managerのインストール場所と同じサーバであることを確認してください。

この他の考えられる原因:

  • LDAPサーバが稼働していない。

  • プラグインを実行しているiManagerサーバとLDAPサーバの間でLDAP用のSSLが設定されていない。

  • リモートIdentity Managerサーバを管理するためにiManagerで他のツリーにログインするとき、リモートサーバのIPアドレスの代わりにサーバ名を使用するとエラーが発生することがあります。

  • 認証先となるツリーのルート認証局証明書を、信頼された証明書としてWebサーバにインポートする必要があります。keytool.exeを使用して、証明書をWebサーバにエクスポートできます。