27 パスワード・ポリシーの管理

パスワード・ポリシーとは、パスワードの使用方法を管理する規則のセットです。この章の項目は次のとおりです。

• パスワード・ポリシーの管理の概要

• Oracle Directory Services Managerを使用したパスワード・ポリシーの管理

• コマンドライン・ツールを使用したパスワード・ポリシーの管理

注意: この章で言及するOracle Delegated Administration Servicesはすべて、Oracle Delegated Administration Services 10g（10.1.4.3.0）以上のことです。

27.1 パスワード・ポリシーの管理の概要

パスワード・ポリシーとは、パスワードの使用方法を定めた一連の規則のことです。ユーザーがディレクトリへのバインドを試みると、ディレクトリ・サーバーは、ユーザーのパスワードがパスワード・ポリシーの様々な要件に適合するかを確認します。

パスワード・ポリシーを確立する際は、次のような規則を設定します。なお、この規則はほんの一部です。

• 指定されたパスワードの有効期限

• パスワードの最小必須文字数

• パスワードに必要な数字の文字数

この項の項目は次のとおりです。

• パスワード・ポリシーとは

• 細かなパスワード・ポリシー

• デフォルトのパスワード・ポリシー

• パスワード・ポリシーの属性

• パスワード・ポリシー情報のディレクトリ・サーバー検証

27.1.1 パスワード・ポリシーとは

パスワード・ポリシーとは、パスワードの構文および使用方法を管理する規則のセットです。Oracle Internet Directoryによって適用されるパスワード・ポリシーには、次のようなものがあります。

• 指定されたパスワードの有効期限

• パスワードの最小必須文字数

• パスワードに必要な数字の最小数

• アルファベット文字の最小数

• 繰返し文字の最小数

• 大文字および小文字の使用

• 英数字以外の文字（特殊文字）の最小数

• ユーザーによる定期的なパスワードの変更

• パスワード変更の最小および最大間隔

• パスワードの期限切れ（時間またはログイン回数による）後のログインの猶予期間

• 以前使用したパスワードのユーザーによる再利用禁止

27.1.2 パスワード・ポリシーの作成および適用に必要な手順

パスワード・ポリシーを設定する手順は、次のとおりです。

1. 該当するコンテナにパスワード・ポリシー・エントリを作成し、それをpwdpolicyオブジェクトと関連付けます。（Oracle Internet Directoryを初めてインストールする場合、デフォルトのエントリが存在します。）

2. 手順1で作成したエントリのpwdpolicyオブジェクト・クラスの下で定義された属性の値を設定して、希望するポリシーを作成します。

3. orclepwdpolicynable属性を1に設定することにより、ポリシーを有効にします。これが1に設定されていない場合、Oracle Internet Directoryはポリシーを無視します。

4. ポリシーによって管理されるサブツリーを決定します。ポリシーの識別名を指定したpwdpolicysubentry属性をサブツリーのルートに追加および移入します。

   
   

   関連項目: pwdPolicyオブジェクト・クラス、およびパスワード・ポリシーに関連するtopオブジェクト・クラスの属性のリストおよび説明は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のオブジェクト・クラスのリファレンスを参照してください。

   
   

27.1.3 細かなパスワード・ポリシー

10g（10.1.4.0.1）のOracle Internet Directoryでは、各レルムでの複数のパスワード・ポリシーをサポートします。これらのポリシーは、そのレルム内のどのサブツリーにも適用できます。つまり、エントリ固有のパスワード・ポリシーを使用できます。

パスワード・ポリシーは、レルム固有または有効範囲がディレクトリ全体のものとして指定できます。希望する有効範囲を実現するには、適切なコンテナにパスワード・ポリシー・エントリを作成する必要があります。パスワード・ポリシーは、各レルムのcn=commonエントリの下に作成されたcn=pwdPoliciesコンテナの下に移入されます。デフォルトでは、これらのコンテナに、相対識別名cn=defaultのパスワード・ポリシーが入っています。たとえば、ディレクトリ固有のデフォルトのパスワード・ポリシーの識別名は、cn=default,cn=pwdPolicies,cn=Common,cn=Products, cn=OracleContextになります。

その他のポリシーは、別の相対識別名を持つpwdPoliciesコンテナの下に作成できます。図27-1は、このシナリオを表しています。

図27-1 パスワード・ポリシー・エントリの位置

図27-2 パスワード・ポリシーの識別名が移入されたpwdPolicyサブエントリ属性

実行時に、Oracle Internet Directoryは、エントリの移入されているpwdpolicysubentry属性を探し、その値で示されたポリシーを適用して、エントリで適用可能なパスワード・ポリシーを解決します。移入されたpwdPolicysubentry属性が存在しない場合、Oracle Internet Directoryは、pwdPolicysubentryが移入されている一番近い上位エントリが見つかるまで、ディレクトリ・ツリーを遡っていきます。Oracle Internet Directoryは、そのエントリの値で示されたパスワード・ポリシーを適用します。

注意: パスワード・ポリシーは、orclpwdpolicyenableを0に設定することで無効にできます。無効にすると、ディレクトリのその部分は適用できるパスワード・ポリシーのない状態のままになります。Oracle Internet Directoryは、適用できる有効なポリシーを見つけるためにDITを遡らなくなります。この属性を0に設定すると、ディレクトリの一部を必要に応じてパスワード・ポリシーなしにしておくことができます。ただし、このような変更を行う意味について実行する前に考慮する必要があります。 パスワード・ポリシー・エントリは、第28章「ディレクトリ・アクセス制御の管理」で説明しているOracle Internet DirectoryのACIインフラストラクチャを使用して、匿名アクセスから保護する必要があります。これは、パスワード・ポリシーが脆弱な場合、その情報が攻撃する者の助けとなって、ディレクトリを危険にさらす恐れがあるため、特に重要です。

27.1.4 デフォルトのパスワード・ポリシー

Oracle Internet Directoryのデフォルトのパスワード・ポリシーは次のとおりです。

• パスワードの有効期限は120日です。

• 10回ログインに失敗すると、アカウントがロックアウトされます。スーパーユーザー・アカウントを除き、すべてのアカウントは、ディレクトリ管理者がパスワードを再設定するまで、24時間ロックされたままになります。アカウント・ロックアウト継続時間が経過しても、正しいパスワードでバインドするまでユーザー・アカウントはロックされたままになります。

  スーパーユーザー・アカウントであるcn=orcladminがロックされると、OIDデータベース・パスワード・ユーティリティを使用してロックを解除するまで、ロックされたままになります。このユーティリティでは、ODSユーザー・パスワードの入力が要求されます。ODSパスワードを入力すると、アカウントのロックが解除されます。

  
  

  関連項目: スーパーユーザー・アカウントのロック解除の詳細は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のoidpasswdコマンドライン・ツールのリファレンスを参照してください。 「パスワード・ポリシーに関するトラブルシューティング」

  
  

• パスワードの最小文字数は5で、1つ以上の数字を含める必要があります。

• パスワードの期限切れの警告は、期限終了前7日に出ます。

• パスワードの期限切れ後、5回の猶予期間ログインが許されます。

Oracle Internet Directoryリリース9.0.4からは、ルートOracleコンテキストのパスワード・ポリシー・エントリがスーパーユーザーに適用されますが、アカウントのロックアウトを管理するパスワード・ポリシーのみがそのアカウントに適用されます。

注意: Oracle Identity Managementには、2つのタイプの特権ユーザーが存在します。どちらの特権ユーザー・アカウントも、特定のパスワード・ポリシーがアクティブになるとロックできます。 一方のタイプの特権ユーザーは、識別名がcn=orcladminのスーパーユーザーで、デフォルトのアイデンティティ管理レルム内で特別なユーザー・エントリとして表されます。これによって、ディレクトリ管理者はDITを任意に修正し、Oracle Internet Directoryサーバーの構成を任意に変更できます。このスーパーユーザー（orcladmin）アカウントが、誤ったパスワードでのバインドを何度も試行したなどの理由でロックされた場合は、Oracle Internet Directoryリポジトリに対するDBA権限を持った管理者がoidpasswdツールを使用してロックを解除できます。orcladminアカウントのロックを解除するには、次のコマンドを実行します。 oidpasswd unlock_su_acct=TRUE もう一方の特権ユーザーは、レルム固有の特権ユーザーで、レルム内のユーザーやグループの作成と削除などの機能、およびOracle Delegated Administration Servicesに関連するすべての機能を制御します。このアカウントは、識別名cn=orcladmin,cn=users,realm DNのエントリにより表されます。単一のスーパーユーザー・アカウントの場合と比較すると、各レルムにレルム固有の独自の特権ユーザーが存在することになります。レルム固有の特権アカウントのロックを解除する場合は、もう一方のタイプの特権ユーザーであるcn=orcladminが、Oracle Directory Services Managerを使用して該当するアカウントのパスワードを変更します。

Oracle Internet Directoryのパスワード・ポリシーは、シンプルなバインド（userpassword属性に基づく）、userpassword属性に対する比較操作およびSASLバインドに適用されます。SSLバインドおよびプロキシ・バインドには適用されません。

27.1.5 パスワード・ポリシーの属性

次の属性は、パスワード・ポリシーに影響を与えます。

表27-1 パスワード・ポリシーの属性

名前	機能
pwdMinAge	ユーザーによるパスワードへの変更から変更までに必要な経過時間（秒）。デフォルトは0です。
pwdMaxAge	パスワードが有効である最大時間（秒）。この時間に達すると同時に、パスワードは期限切れになったとみなされます。デフォルトは10368000秒（120日）です。
pwdLockout	これに該当する場合、サーバーでは、無効なログインを何回か連続して試行したユーザーをロックアウトします。この回数はpwdMaxFailureで指定します。pwdLockoutのデフォルト値は1（TRUE）です。
orclpwdIPLockout	これに該当する場合、サーバーでは、同じIPアドレスから無効なログインを何回か連続して試行したユーザーをロックアウトします。回数はorclpwdIPMaxFailureで指定します。デフォルトはFALSEです。
pwdLockoutDuration	無効なログイン試行回数がしきい値に達したユーザー・アカウントをロックアウトする期間（秒）。デフォルトは86400秒（24時間）です。
orclpwdIPLockoutDuration	同じIPアドレスからの無効なログイン試行回数がしきい値に達したユーザー・アカウントをロックアウトする期間（秒）。デフォルトは0です。
pwdMaxFailure	ユーザー・アカウントをロックアウトする前に、サーバーが許可する無効なログインの最大試行回数。デフォルト値は10です。
orclpwdIPMaxFailure	ユーザー・アカウントをロックアウトする前に、サーバーが許可する特定のIPアドレスからの無効なログインの最大試行回数。デフォルトは0です。
pwdFailureCountInterval	認証に成功しなくても、失敗カウンタからパスワードの失敗がパージされるまでの時間（秒）。デフォルトは0です。
pwdExpireWarning	パスワードが期限切れになるまでの最大時間（秒）で、期限切れ警告メッセージが認証ユーザーに返されます。デフォルトは604800秒（7日）です。
pwdCheckSyntax	パスワードの構文チェックを有効または無効にします。 0: すべての構文チェックを無効にします。 1: パスワード構文値チェックを暗号化されたパスワードを除き有効にします（デフォルト）。
pwdMinLength	このポリシーで管理されるパスワードの最小文字数。デフォルトは5文字です。
pwdGraceLoginLimit	パスワードの期限切れ後に許可する猶予期間ログインの最大数。デフォルトは5です。最大数は250です。
orclpwdGraceLoginTimeLimit	パスワードの期限切れ後に猶予期間ログインを許可する最大時間（秒）。orclpwdGraceLoginTimeLimitが0以外の場合、pwdGraceloginLimitは0にします。pwdGraceloginLimitが0以外の場合、orclpwdGraceLoginTimeLimitは0にします。
pwdMustChange	ユーザーは、アカウント作成後、または管理者によるパスワードの再設定後の最初のログイン時に、パスワードを再設定する必要があります。デフォルトは0（FALSE）です。
orclpwdIllegalValues	パスワードとして許可されない値のリストです。
orclpwdAlphaNumeric	パスワードに必要な数字の最小数。デフォルトは1です。
orclpwdMinAlphaChars	パスワードに必要なアルファベット文字の最小数。デフォルトは0です。
orclpwdMinSpecialChars	パスワードに必要な英数字以外の文字（特殊文字）の最小数。デフォルトは0です。
orclpwdMinUppercase	パスワードに必要な大文字の最小数。デフォルトは0です。
orclpwdMinLowercase	パスワードに必要な小文字の最小数。デフォルトは0です。
orclpwdMaxRptChars	パスワードで許可される繰返し文字の最小数。デフォルトは0です。
pwdInHistory	指定エントリのpwdHistory属性に格納される使用済パスワードの最大数。pwdHistoryに格納されたパスワードは、そこからパージされるまで、新規パスワードとして使用できません。デフォルトは0です。
pwdAllowUserChange	現在は使用されていません。
orclpwdPolicyEnable	これがTRUEの場合、サーバーはこのポリシーを評価します。TRUEでない場合、ポリシーは無視され、適用されません。デフォルトは1（TRUE）です。
orclpwdEncryptionEnable	TRUEに設定すると、パスワードの暗号化が有効になります。デフォルトは0（FALSE）です。
orclpwdAllowHashCompare	ハッシュ・パスワード値を使用するログインを有効または無効にします。0 = 無効（デフォルト）。1 = 有効。

27.1.6 パスワード・ポリシー情報のディレクトリ・サーバー検証

「細かなパスワード・ポリシー」で説明しているように、Oracle Internet Directoryは、移入された適切なpwdPolicysubentryを見つけることで、エントリに適用可能なポリシーを判断します。ユーザー・パスワードが指定のポリシーの要件を満たしていることを確認する場合、ディレクトリ・サーバーは、次のことを検証します。

• パスワード・ポリシーが使用可能になっているかどうかの確認。この確認では、パスワード・ポリシー・エントリのorclpwdpolicyenable属性の値がチェックされます。値1は、パスワード・ポリシーが使用可能になっていることを示します。値0は、パスワード・ポリシーが使用禁止になっていることを示します。

• パスワード・ポリシー構文情報（英数字の数、パスワード長など）の正確さ。ディレクトリ・サーバーは、ldapaddおよびldapmodifyがuserpassword属性上で実行中に構文チェックを行います。

• パスワード・ポリシー状態情報。次に、その例を示します。

  • ユーザー・パスワードが作成または変更されたときのタイムスタンプ。

  • 最小パスワード有効期限は、現在の時刻からパスワード作成時刻を引いた値より大きくなります。

  • ユーザーが連続してログインに失敗したときのタイムスタンプ。

  • ユーザーのアカウントがロックされた日時。

  • パスワードが再設定されたため、最初の認証でユーザーがパスワードを変更する必要があることを示すインジケータ。

  • ユーザーが以前に使用したパスワードの履歴。

  • 猶予期間ログインのタイムスタンプ。

  猶予期間ログインが時間で設定されている場合、サーバーは現在の時刻と期限切れ時刻の差異をチェックします。

  ディレクトリ・サーバーは、ldapbindおよびldapcompareの実行中に、状態情報をチェックしますが、このチェックは、orclpwdpolicyenable属性が1に設定されている場合にのみ実行されます。

  パスワード値の構文チェックを使用可能にするには、パスワード・ポリシー・エントリのorclpwdpolicyenableおよびpwdchecksyntax属性をTRUEに設定します。

27.1.7 パスワード・ポリシーのエラー・メッセージ

パスワード・ポリシー違反が発生すると、ディレクトリ・サーバーはクライアントに様々なエラーおよび警告メッセージを送信します。Oracle Internet Directoryでは、10g（10.1.4.0.1）以降、クライアントがLDAPバインドまたは比較操作の一環としてパスワード・ポリシー・リクエスト制御を送信する場合にのみ、ディレクトリ・サーバーはこれらのメッセージをLDAP制御として送信できます。クライアントがリクエスト制御を送信しない場合、ディレクトリ・サーバーは、レスポンス制御を送信しません。かわりに、追加情報の一部としてエラーおよび警告を送信します。

関連項目: エラー・メッセージのリストおよびそれらのエラーを解決する方法は、「パスワード・ポリシーに関するトラブルシューティング」を参照してください。

27.1.8 10g（10.1.4.0.1）より前のリリース

10g（10.1.4.0.1）以前のリリースでは、パスワード・ポリシーは、レルム固有の共通エントリにあるorclcommonusersearchbase属性によって制御されていました。旧リリースからアップグレードした場合、アップグレード時に既存のパスワード・ポリシーが新規アーキテクチャに移行されています。新しいアーキテクチャでは、識別名を単純にorclcommonusersearchbaseに追加すると、レルムのデフォルトのパスワード・ポリシーが、その識別名をルートとするサブツリーに適用されることが保証されなくなります。

Oracle Internet Directory 10g（10.1.4.0.1）以降では、パスワード・ポリシーを定義すると、そのパスワード・ポリシーをそのディレクトリのサブツリーに適用するために、もう1つの手順を実行する必要があります。pwdPolicysubentry属性に希望するパスワード・ポリシーの識別名を指定して、そのポリシーの適用対象にしようと考えているサブツリーのルートであるエントリに移入します。図27-2では、これを説明しています。l=usにあるpwdPolicyには、デフォルト・ポリシーの識別名"cn=default,cn=pwdPolicies,cn=Common,cn=Products, cn=OracleContext"が含まれているため、デフォルト・ポリシーが米国内のユーザーに適用されます。l=ukにあるpwdPolicysubentryには、ポリシー"cn=policy2,cn=pwdPolicies,cn=Common,cn=Products, cn=OracleContext"の識別名が含まれているため、policy2が英国のユーザーに適用されます。

注意: サブツリーおよびユーザーのパスワード・ポリシー・エントリはレプリケートされています。11gリリース1（11.1.1）または10g（10.1.4.0.1）のポリシーを10g（10.1.4.0.1）より前のノードにレプリケートしても、そのノードの機能には悪影響はありません。ただし、10g（10.1.4.0.1）より前のノードでは、新しいパスワード・ポリシーを意味があるように解釈できません。ノードでは、そのパスワード・ポリシーをOracleコンテキスト・レルムで適用し続けます。

27.2 Oracle Directory Services Managerを使用したパスワード・ポリシーの管理

Oracle Directory Services Managerを使用して、パスワード・ポリシーを作成、割当ておよび変更できます。

この項の項目は次のとおりです。

• Oracle Directory Services Managerを使用したパスワード・ポリシーの表示

• Oracle Directory Services Managerを使用したパスワード・ポリシーの変更

• Oracle Directory Services Managerを使用したパスワード・ポリシーの作成およびサブツリーへの割当て

27.2.1 Oracle Directory Services Managerを使用したパスワード・ポリシーの表示

1. 「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動し、Oracle Internet Directoryサーバーに接続します。

2. タスク選択バーで、「セキュリティ」を選択します。

3. 左側のペインで「パスワード・ポリシー」を展開します。すべてのパスワード・ポリシーが左側のペインに相対識別名順に表示されます。完全識別名を表示するには、エントリ上にマウスを移動します。

4. パスワード・ポリシーを選択してその情報を右側のペインに表示します。

27.2.2 Oracle Directory Services Managerを使用したパスワード・ポリシーの変更

パスワード・ポリシーを変更する手順は、次のとおりです。

1. 「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動し、Oracle Internet Directoryサーバーに接続します。

2. タスク選択バーで、「セキュリティ」を選択します。

3. 左側のペインで「パスワード・ポリシー」を展開します。すべてのパスワード・ポリシーが左側のペインに表示されます。

4. 変更するパスワード・ポリシーを選択します。5つのタブ・ページが、右側のペインに表示されます。

5. 必要に応じて、「一般」タブ・ページの編集可能な属性フィールドを変更します。

6. 「アカウントのロックアウト」タブ・ページを選択した後、フィールドを変更する場合は「グローバル・ロックアウト」を選択します。必要に応じて、編集可能な属性フィールドを変更します。

7. 「IPのロックアウト」タブ・ページを選択した後、フィールドを変更する場合は「IPのロックアウト」を選択します。必要に応じて、編集可能な属性フィールドを変更します。

8. 「パスワード構文」タブ・ページを選択した後、フィールドを変更する場合は「パスワード構文のチェック」を選択します。必要に応じて、編集可能な属性フィールドを変更します。

9. ポリシーを適用するサブツリーを変更するには、「有効サブツリー」タブ・ページを選択します。サブツリーを追加するには、「追加」を選択します。識別名を入力するか、「参照」を選択し、識別名(DN)パスの選択ウィンドウを使用して、ポリシーを適用するサブツリーにナビゲートします。

10. 変更終了後、「適用」を選択します。

27.2.3 Oracle Directory Services Managerを使用したパスワード・ポリシーの作成およびサブツリーへの割当て

新規のパスワード・ポリシーを作成する手順は、次のとおりです。

1. 「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動し、Oracle Internet Directoryサーバーに接続します。

2. タスク選択バーで、「セキュリティ」を選択します。

3. 左側のペインで「パスワード・ポリシー」を展開します。すべてのパスワード・ポリシーが左側のペインに表示されます。

4. 新規ポリシーを作成するには、「作成」を選択します。また、左側のペインで既存のパスワード・ポリシーを選択し、「類似作成」を選択します。

5. 必要に応じて、「一般」タブ・ページの編集可能な属性フィールドを設定または変更します。

6. 「アカウントのロックアウト」タブ・ページを選択した後、フィールドを変更する場合は「グローバル・ロックアウト」を選択します。必要に応じて、編集可能な属性フィールドを変更します。

7. 「IPのロックアウト」タブ・ページを選択した後、フィールドを変更する場合は「IPのロックアウト」を選択します。必要に応じて、編集可能な属性フィールドを変更します。

8. 「パスワード構文」タブ・ページを選択した後、フィールドを変更する場合は「パスワード構文のチェック」を選択します。必要に応じて、編集可能な属性フィールドを変更します。

9. パスワード・ポリシーをサブツリーに割り当てるには、「有効サブツリー」タブ・ページを選択して、「追加」を選択します。識別名を入力するか、「参照」を選択し、識別名(DN)パスの選択ウィンドウを使用して、ポリシーを適用するサブツリーにナビゲートします。

10. 変更終了後、「適用」を選択します。

27.3 コマンドライン・ツールを使用したパスワード・ポリシーの管理

この項の項目は次のとおりです。

• コマンドライン・ツールを使用したパスワード・ポリシーの表示

• コマンドライン・ツールを使用した新規パスワード・ポリシーの作成

• コマンドライン・ツールを使用したサブツリーへのパスワード・ポリシーの適用

• コマンドライン・ツールを使用したパスワード・ポリシーの設定

27.3.1 コマンドライン・ツールを使用したパスワード・ポリシーの表示

次の例では、特定のパスワード・ポリシー・コンテナの下にあるパスワード・ポリシーを取得します。

ldapsearch -p port -h host \
           -b "cn=pwdPolicies,cn=common,cn=products,cn=OracleContext, \
               o=my_company,dc=com" \
           -s sub "(objectclass=pwdpolicy)"

次の例では、すべてのパスワード・ポリシー・エントリを取得します。

ldapsearch -p port -h host -b " " -s sub "(objectclass=pwdpolicy)"

27.3.2 コマンドライン・ツールを使用した新規パスワード・ポリシーの作成

新規パスワード・ポリシーを作成するには、ポリシー・エントリを適切なコンテナに追加します。これを実行するために最適な方法は、次のとおりです。

1. ldapmodifyを使用して、デフォルト・エントリcn=default,cn=pwdPolicies,cn=Common,cn=Products, cn=OracleContextの内容をLDIFファイルにダンプします。次に例を示します。

   ldapsearch -p port -h host -D cn=orcladmin -q -L \
      -b 'cn=default,cn=pwdPolicies,cn=Common,cn=Products, cn=OracleContext' \
      -s base '(objectclass=pwdpolicy)' >> pwdpolicy.ldif
   

   ldapsearchに代わる方法として、ldifwriteを使用できます。ORACLE_INSTANCEが設定されていることを確認してから、次を入力します。

   ldifwrite connect="conn_str" \
     baseDN="cn=default,cn=pwdPolicies,cn=Common,cn=Products, cn=OracleContext" \
     ldiffile="pwpolicy.ldif"
   

2. 新規ポリシーに対して一般名および目的の値が使用されるようLDIFファイルを変更します。たとえば、cn=defaultをcn=policy1に変更し、pwdMaxFailureを10から5に変更します。

3. ldapaddを使用して新規エントリを追加します。次の形式のコマンドラインを使用します。

   ldapadd -p port_number -h host -D cn=orcladmin -q -f pwdpolicy.ldif
   

27.3.3 コマンドライン・ツールを使用したサブツリーへのパスワード・ポリシーの適用

新規パスワード・ポリシーをサブツリーdn: cn=accounting,c=usに適用するには、次のようなコマンドラインとともに

ldapmodify -D "cn=orcladmin" -q -p port -h host -f my_file.ldif

次のようなLDIFファイルを使用します。

dn: cn=accounting,c=us
changetype: modify
replace: pwdPolicysubentry
pwdPolicysubentry:cn=policy1,cn=pwdPolicies,cn=common,cn=products,
 cn=OracleContext,o=my_company,dc=com

27.3.4 コマンドライン・ツールを使用したパスワード・ポリシーの設定

次の例では、デフォルトのパスワード・ポリシーのpwdLockout属性を無効にします。ここでは、属性をデフォルト設定の1から0に変更します。

ファイルmy_file.ldifの内容は、次のとおりです。

dn: cn=default,cn=pwdPolicies,cn=common,cn=products,cn=OracleContext,
 o=my_company,dc=com
changetype:modify
replace: pwdlockout
pwdlockout: 0

次のコマンドでこのファイルをディレクトリにロードします。

ldapmodify -D "cn=orcladmin" -q -p port -h host -f my_file.ldif

次の例では、デフォルトのパスワード・ポリシー・エントリのpwdMaxAgeを変更します。

ldapmodify -D "cn=orcladmin" -q -p port -h host -q -f file

fileの内容は次のとおりです。

dn: cn=default,cn=pwdPolicies,cn=common,cn=products,cn=OracleContext,
 o=my_company,dc=com
changetype: modify
replace: pwdMaxAge
pwdMaxAge: 10000