他のパスワードシステムとの相互運用を容易にするには、復号可能なユニバーサルパスワード暗号化が必要です。管理者は、システムのコストと利点を評価する必要があります。複数のパスワードを管理しようとするよりも、eDirectoryに保存されたユニバーサルパスワードを使用する方が安全(または便利)である可能性があります。
eDirectory内のユニバーサルパスワードは、パスワード自体のトリプルDES暗号化、eDirectory権限、およびファイルシステム権限の3つのセキュリティレベルで保護されます。
NICI 3.0より前では、ユニバーサルパスワードはトリプルDES、ユーザ固有の鍵で暗号化されました。eDirectoryだけが読み込むことのできるシステム属性に、ユニバーサルパスワードとユーザ鍵の両方が格納されていました。ユーザ鍵(3DES)はツリー鍵で暗号化されて格納され、ツリー鍵は各マシンで固有のNICI鍵によって保護されていました。ツリー鍵とNICI鍵のどちらもeDirectoryの中に保管されなかったことに注意してください。これらは、保護対象のデータと共に保管されませんでした。ツリー鍵はツリー内の各マシンに存在していましたが、ツリーごとにツリー鍵が異なっていたため、ツリー鍵で暗号化されたデータは同じツリー内のマシンでのみ復号可能でした。こうして、ユニバーサルパスワードが保管されるときには3つのレベルの暗号化で保護されていました。
NICI 3.0はAES 256ビットストレージ鍵をサポートしています。したがって、他の鍵を安全にラップするためにストレージ鍵を使用するアプリケーションは、新しいアルゴリズムを処理できる必要があります。しかし、古い3-DES鍵を使って現在ラップされているデータは、変更なしで引き続きアクセス可能になります。
NICI 3.0はAES 256ビットツリー鍵をサポートします。しかし、eDirectoryはデフォルトでAES 256ビットツリー鍵を作成しません。バージョン9.0以前の環境でこの鍵を作成すると、ツリー鍵に依存するサービスで問題が発生する可能性があります。鍵を作成する前に、すべてのeDirectoryサーバを9.0に更新することをお勧めします。詳細については、「Creating an AES 256-Bit SDI Key」を参照してください。
それぞれの鍵は、eDirectoryの権利によっても保護されます。ユニバーサルパスワードを変更する権利を持つのは、スーパバイザ権を持つ管理者、またはその鍵を所有するユーザだけです。
メモ:NMAS/nds-cluster-config拡張機能を使用して、ユーザが自分のパスワードを読み取ったり管理者がユニバーサルパスワードを読み取ったりできるように、パスワードポリシーを設定することができます。デフォルトではこれが有効になっていません。
ファイルシステム権限は、適切な権限を持つユーザのみが鍵にアクセスできるようにします。
高度なセキュリティを必要とする環境でユニバーサルパスワードを導入する場合は、次のような追加の対策を実行できます。
次のディレクトリとファイルがセキュリティで保護されていることを確認します。
|
Windows |
%SystemRoot%\SysWOW64\Novell\nici %SystemRoot%\System32\ (NICI DLLのインストール先) |
|
Linux |
/var/opt/novell/nici /etc/opt/novell/nici64.cfg /opt/novell/lib64/libccs2.so、および同じディレクトリ内のNICI共有ライブラリ |
NICIおよびeDirectoryのファイルの具体的な場所について詳しくは、ご使用のシステムのマニュアルを参照してください。
他のセキュリティシステムの場合と同様に、鍵が保管されているサーバへの物理的アクセスを制限することは非常に重要です。
パスワード管理に関連するセキュリティ上の考慮事項については、セクション 24.8, セキュリティ上の考慮事項を参照してください。