パスワード情報の指定

「ナビゲータ (Navigator)」ダイアログボックスの「パスワード (Password)」ボタンをクリックすると、「パスワード (Password)」ダイアログボックス (次の図を参照) が表示されます。ダイアログボックスの上部には、現在のアカウントが読み取り専用で表示されます。「パスワード (Password)」ダイアログボックスでは、次の項目を指定できます。

• 初期パスワード

• パスワードの有効期限

• パスワードの選択方法

• アカウントステータス

• NIS+ 資格テーブル

図 4-8 ユーザーマネージャの「パスワード (Password)」ダイアログボックス

初期パスワードの作成

「パスワード (Password)」メニューからは、ユーザーの初期パスワードを設定できます (次の図を参照)。

図 4-9 初期パスワード作成時のオプション

「パスワード (Password)」メニューには次のオプションがあります。

セキュリティ上、ユーザーアカウントと役割アカウントが使用するメニュー項目は、「パスワードの入力 (Type in)」と「リストから選択 (Choose from list)」だけにするのが良いでしょう。

• 「アカウントを凍結 (Account is locked)」 - ユーザーのアカウントの使用を禁止する

• 「パスワードなし -- setuid 処理のみ有効 (No password -- setuid only)」 - lp、uucp などの特別なシステムアカウントに使用する

  su コマンドを使用すれば呼び出せますが、直接ログインすることはできません。これらのアカウントには、ユーザーに関係なく同じ UID を使用します。

• 「パスワードの入力 (Type in)」 - ユーザーの初期パスワードを直接入力できるようにする (図 4-9 参照)

  手動でパスワードを作成する場合は、表 4-1 の規則を遵守する必要があります。規則に反するパスワードを作成すると、そのサイトは適切なセキュリティ要件に従っていないことになります。パスワードに関する規則は、次回パスワードを変更する際に、再びシステムから強制されます。

  表 4-1 パスワードを手動で作成する場合の規則

  パスワードを手動で作成する場合の規則
  パスワードの文字数は必ず 8 文字であること
  最低 2 文字のアルファベットが含まれていること
  最低 1 文字の数字または特殊記号が含まれていること
  ユーザーのログイン名と異なること。また、ログイン名を逆に並べたもの、あるいはログイン名と同じ並びの文字列をずらしたものであってははならない (この場合、大文字と小文字は区別されない)
  古いパスワードと違う文字が最低 3 文字含まれていること (この場合、大文字と小文字は区別されない)

• 「リストから選択 (Choose from list)」 - パスワード選択ダイアログボックス (図 4-9 参照) に表示されるシステムが生成したパスワードのリストから、ユーザー用のパスワードを選択する

パスワード選択ダイアログボックスには、システムがユーザー用に生成したパスワード候補が 5 つ表示されます。システムが生成したパスワードには、前の表の規則は適用されません。これらは、8 文字のアルファベットの小文字でできており、数字や特殊文字は使用されていません。各パスワードの右側には、括弧の中に発音記号が表示され、覚えやすいように音節ごとに区切られています。「生成 (Gen)」ボタンをクリックすると、新しいパスワードの選択肢が 5 つ生成されます。

ユーザーにパスワードを提供する際は、立ち聞きされたり盗み見られることのないよう、十分に注意してください。ユーザーのパスワードが他のユーザーに漏洩した疑いがある場合は、ただちにパスワードを変更してください。

パスワードの有効期限の設定

「パスワード (Password)」ダイアログボックスの次の 5 つのフィールドでは、パスワードの有効期限を設定します (図 4-8)。パスワードの変更オプションは、推測や盗みなどの不正な手段でパスワードを入手した侵入者による被害を抑えるためのものです。パスワードの有効期限の設定には、次のオプションがあります。

• 「最短有効日数 (Min Change)」 - パスワードの更新日から次の更新までの最短日数を設定する。このオプションを設定すると、古いパスワードを再び使用することができなくなります。

• 「最長有効日数 (Max Change)」 - そのアカウントで同じパスワードを使用できる最長日数を設定する。このオプションを設定すると、ユーザーは定期的なパスワードの変更を強要されます。

• 「最長非使用期間 (Max Inactive)」 - アカウントの最長非使用日数を設定する。この日数を経過すると、アカウントは自動的にロックされます。

• 「有効期限 (Expiration Date)」 - ユーザーがパスワードを変更しなければならない期限を設定する

• 「警告 (Warning)」 - パスワードの有効期限が経過する前に、指定した日数だけ、新しいパスワードの設定を促すメッセージを表示する (日付または最長有効日数を設定)

最長有効日数または有効期限が経過した後にパスワードの変更を要求する場合は、警告メッセージを有効にしておく必要があります。

ユーザーのパスワード選択方法の設定

「パスワード (Password)」ダイアログボックスの「変更方法 (Change By)」メニューからは、ユーザーのパスワードの変更方法を指定できます。「パスワードの入力 (Type in)」を選択すると、ユーザーは、新しいパスワードを手動パスワード入力ダイアログボックスに直接入力することになります。「リストから選択 (Choose from list)」を選択した場合は、ユーザーがパスワードを変更しようとすると、必ずパスワード選択ダイアログボックスが表示されます。パスワード選択ダイアログボックスには、システムが生成した選択用のパスワードが同時に 5 つ表示されます (図 4-9)。

アカウントステータスの設定

「パスワード (Password)」ダイアログボックスにあるアカウントステータスのメニューには、現在のアカウントのステータスが表示されます (図 4-8)。メニューオプションを選択すると、アカウントのステータスが切り替わります。オプションは次のとおりです。

• 「閉じる (Closed)」 - ユーザーのアカウントの使用を拒否する。アカウントの設定が完了するまでは、このオプションを選択しておきます。指定した回数分ログインに失敗すると、アカウントは自動的に閉じられ、このフィールドで「開く (Open)」を選択しない限り使用できなくなります。

  ---

  注 -

  セキュリティ管理者はログインの失敗回数を指定することができます。これには、ADMIN_LOW で adminvi を実行して /etc/default/passwd ファイルを編集し、MAXBADLOGINS 変数を変更します。この変数は、デフォルトで 3 に設定されています。

  ---

• 「開く (Open)」 - アカウントの使用を許可する。アカウント情報がすべて設定されている場合、またはロックしたアカウントを元に戻す必要がある場合に選択します。

• 「常に開く (Always Open)」 - 適切なパスワードが入力された場合に、常時アカウントの使用を許可する。役割アカウントのほか、誤ってアカウントを閉じてしまい、必要なサービスを受けられなくなったユーザーのアカウントなどで使用します。

NIS+ 資格テーブルの更新

「認証テーブルの設定 (Cred. Table Setup)」フィールドの横にあるトグルボタンをクリックすると、NIS+ 主体の公開鍵と秘密鍵が cred テーブルに追加されます。このトグルボタンは常にチェックマークをつけておいてください。詳細は、Solaris 7 の『Solaris ネーミングの管理』の第 7 章「NIS+ 資格の管理」の「資格関連情報の格納場所」を参照してください。