ユニバーサルパスワードは暗号化後にeDirectoryに保存され、eDirectoryは必要に応じてこれらのパスワードを取得できます。たとえば、認証時などです。
ユニバーサルパスワードの代替策として、eDirectory 9.2は、パスワードベースのキー導出関数2(PBKDF2)ハッシュアルゴリズム(RFC 2898)を使用する、ハッシュされたパスワードの保存をサポートしています。パスワードのPBKDF2ハッシュが有効になっている場合、ユーザのパスワードを取得することはできません。詳細については、ユニバーサルパスワードの設定オプションを参照してください。
重要:eDirectory 9.2以降、パスワードポリシーでユニバーサルパスワードを無効にすると、パスワードのPBKDF2ハッシュが自動的に有効になります。ユニバーサルパスワードが無効になっている既存のパスワードポリシーは、eDirectory 9.2にアップグレードする前はユーザに適用されません。しかし、サーバをeDirectory 9.2にアップグレードすると、これらのパスワードポリシーはツリー内のすべてのユーザに自動的に適用されます。これを回避するには、アップグレードする前に、これらのパスワードポリシーのすべての割り当てを削除します。
NDSパスワードからPBKDF2パスワードへ切り替える場合、SCRAMログインメソッドに手動で切り替える必要もあります。SCRAMログインメソッドの詳細については、パスワード認証を参照してください。
メモ:
PBKDF2ハッシュアルゴリズムを使用して作成されたパスワードは大文字と小文字を区別します。この点、大文字と小文字を区別しないNDSパスワードとは異なります。
PBKDF2ハッシュアルゴリズムで作成されたパスワードは、パスワードポリシーのnspmXCharHistoryLimitとnspmXCharLimitルールをサポートしません。
デフォルトでは、PBKDF2はSHA-256と繰り返しカウント1を使用するように設定されています。これらは、それぞれnspmPBKDF2HashAlgorithmとnspmPBKDF2IterationCount属性を使用して変更できます。繰り返しカウントを増加させると、ldapバインドのパフォーマンスが低下します。
SCRAMログインメソッドでは、パスワードへのOTPの追加はサポートされません。NDSログインメソッドをハッシュベースOTP (HOTP)と共に使用するユーザがツリー内にいる場合、そのようなユーザに対してSCRAMログインメソッドの使用を許可しないでください。
NetIQ iManagerを起動します。
[役割およびタスク]>[パスワード]>[パスワードポリシー]の順にクリックします。
[新規]をクリックしてパスワードポリシーウィザードを起動します。
ポリシーの名前を入力し、[次へ]をクリックします。
パスワードのPBKDF2ハッシュを有効にするには、[いいえ]を選択します。
パスワードポリシーウィザードを完了します。