第 9 章 パスワードリセットサービス

Access Manager では、Access Manager によって保護されている特定のサービスやアプリケーションにアクセスするためのパスワードをユーザー自身がリセットできるように、パスワードリセットサービスが用意されています。パスワードリセットサービス属性は、最上位レベル管理者が定義します。この属性を使用して、ユーザーを検証するための証明情報 (秘密の質問形式) を制御し、新規または既存のパスワード通知の機構を制御し、不正なユーザーに適用するロックアウト間隔を設定します。

この章の内容は次のとおりです。

• 「パスワードリセットサービスの登録」

• 「パスワードリセットサービスの設定」

• 「エンドユーザーから見たパスワードリセット」

パスワードリセットサービスの登録

パスワードリセットサービスは、ユーザーが属しているレルムに対して登録する必要はありません。ユーザーが割り当てられている組織にパスワードリセットサービスが存在しない場合は、「設定」タブの「パスワードリセット」に定義されている値が継承されます。

別のレルムに存在するユーザーのパスワードリセットを登録する

1. そのユーザーのパスワードを登録するレルムに移動します。

2. レルム名をクリックし、「サービス」タブをクリックします。

   選択したレルムにレルム名が追加されていない場合は、「追加」ボタンをクリックします。

3. 「パスワードリセット」を選択し、「次へ」をクリックします。

   パスワードリセットサービス属性が表示されます。属性の定義については、オンラインヘルプを参照してください。

4. 「終了」をクリックします。

パスワードリセットサービスの設定

パスワードリセットサービスの登録が完了したら、管理者権限を持っているユーザーがこのサービスを設定する必要があります。

サービスを設定する

1. パスワードリセットサービスが登録されているレルムを選択します。

2. 「サービス」タブをクリックします。

3. サービスリストから「パスワードリセット」をクリックします。

4. 「パスワードリセット」属性が表示され、ここでパスワードリセットサービスの要件を定義できます。パスワードリセットサービスが有効になっていることを確認します (デフォルトでは有効)。少なくとも次の属性を定義する必要があります。

   • ユーザー検証

     • 秘密の質問

     • バインド DN

     • バインドパスワード

       「バインド DN」属性には、パスワードをリセットする権限を持っているユーザー (ヘルプデスク管理者など) を指定する必要があります。Directory Server の制限により、バインド DN が cn=Directory Manager の場合はパスワードリセットは機能しません。

       残りの属性は省略可能です。これらのサービス属性の説明については、オンラインヘルプを参照してください。

     ---

     注 –

     Access Manager では、ランダムなパスワードを生成するパスワードリセット Web アプリケーションが自動的にインストールされます。ただし、パスワードの生成や通知を行う独自のプラグインクラスを記述することもできます。このようなプラグインクラスのサンプルについては、次の場所にある Readme.html ファイルを参照してください。

     PasswordGenerator:

     AccessManager-base/SUNWam/samples/console/PasswordGenerator

     NotifyPassword:

     AccessManager-base/SUNWam/samples/console/NotifyPassword

     ---

5. 独自の質問を定義するユーザーには、「個人的な質問を有効」属性を選択します。属性を定義し終えたら、「保存」をクリックします。

秘密の質問をローカライズする

ローカライズ版の Access Manager を実行していて、秘密の質問をロケールに固有の文字セットで表示する場合は、次の手順を実行します。

1. パスワードリセットサービスの「秘密の質問」属性の下の「現在の値」リストに秘密の質問キーを追加します。たとえば、favorite-color を追加するとします。

2. このキーとキーの値を表示するために必要な質問を amPasswordReset.properties ファイルに追加します。次に例を示します。

   favorite-color=好きな色はなんですか。

3. 同じキーとローカライズされた質問を /opt/SUNWam/locale にある AMPasswordReset_ locale.properties に追加します。ユーザーが自分のパスワードの変更を試みると、ローカライズされた質問が表示されます。

パスワードリセットのロックアウト

パスワードリセットサービスには、ユーザーが秘密の質問に正しく回答するまでの回数を制限するために、ロックアウト機能が用意されています。ロックアウト機能は、パスワードリセットサービス属性を使用して設定します。これらのサービス属性の説明については、オンラインヘルプを参照してください。パスワードリセットでは、メモリーロックアウトと物理的なロックアウトの 2 種類がサポートされています。

メモリーロックアウト

これは一時的なロックアウトです。「パスワードリセット失敗のロックアウト持続時間」属性の値が 0 より大きく、「パスワードリセット失敗のロックアウトを有効」属性が有効になっている場合にのみ機能します。ロックアウトされたユーザーは、パスワードリセット Web アプリケーションを使用してもパスワードをリセットできなくなります。「パスワードリセット失敗のロックアウト持続時間」に指定した時間が経過するまで、またはサーバーが再起動されるまで、ロックアウトは持続します。これらのサービス属性の説明については、オンラインヘルプを参照してください。

物理的なロックアウト

メモリーロックアウトより永続的なロックアウトです。「パスワードリセット失敗のロックアウトカウント」属性の値が 0 に設定され、「パスワードリセット失敗のロックアウトを有効」属性が有効になっている場合には、秘密の質問に正しく回答できなかったユーザーのアカウント状態が非アクティブに変更されます。これらのサービス属性の説明については、オンラインヘルプを参照してください。

エンドユーザーから見たパスワードリセット

以降の節では、ユーザーの観点からパスワードリセットサービスについて説明します。

パスワードリセットのカスタマイズ

管理者がパスワードリセットサービスを有効にし、属性を定義したら、ユーザーは Access Manager コンソールにログインして秘密の質問をカスタマイズできます。

パスワードリセットをカスタマイズする

1. ユーザー名とパスワードを入力して認証に成功したら、Access Manager コンソールにログインします。

2. 「ユーザープロファイル」ページで、「パスワードリセットのオプション」を選択します。「質問と回答」画面が表示されます。

3. 管理者が定義した、このサービスで選択できる質問が表示されます。たとえば、次のような質問が表示されます。

   • ペットの名前は何でしょうか ?

     • 好きなテレビ番組は何でしょうか ?

     • 母親の旧姓は何でしょうか ?

     • よく行くレストランの名前は何でしょうか ?

4. 秘密の質問を選択します。管理者がこのレルムに定義した最大質問数 (パスワードリセットサービスに定義) まで選択できます。選択した質問への回答を指定します。これらの質問と回答を元に、自分でパスワードをリセットすることができます (次の節を参照)。管理者が「個人的な質問を有効」属性を選択している場合は、自分だけの秘密の質問と回答を入力できるように、テキストフィールドが表示されます。

5. 「保存」をクリックします。

パスワードを忘れた場合のリセット

パスワードを忘れた場合には、パスワードリセット Web アプリケーションによって新しいパスワードがランダムに生成され、それがユーザーに通知されます。パスワードを忘れた場合の標準的な手順を次に示します。

パスワードを忘れた場合にリセットする

1. 管理者から渡された URL を使って、パスワードリセット Web アプリケーションにログインします。次に例を示します。

   http://hostname:port /ampassword (デフォルトのレルムの場合)

   または、

   http://hostname: port/deploy_uri /UI/PWResetUserValidation?realm=realmname。realmname はレルムの名前です。

   ---

   注 –

   パスワードリセットサービスがサブレルムで有効になっていても、親レルムで無効になっている場合は、次の構文を使ってサービスにアクセスする必要があります。

   http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname

   ---

2. ユーザー ID を入力します。

3. パスワードリセットサービスに定義されている質問のうち、パスワードリセット設定をカスタマイズした際にユーザーが選択した質問が表示されます。事前に「ユーザープロファイル」ページにログインしておらず、パスワードリセット設定をカスタマイズしていない場合には、パスワードは生成されません。

   質問に正しく回答すると、新しいパスワードが生成され、電子メールで通知されます。また、回答が正しいかどうかにかかわらず、パスワードをリセットしようとしたことが通知されます。新しいパスワードおよびパスワードをリセットしようとしたことの通知を受け取るには、「ユーザープロファイル」ページに電子メールアドレスを入力しておく必要があります。

パスワードポリシー

パスワードポリシーは、特定のディレクトリ内でパスワードがどのように使用されるかを規定した規則の集合です。パスワードポリシーは Directory Server 内に、通常は Directory Server コンソールを使用して定義されます。安全なパスワードポリシーとして次のような条件をパスワードに適用すると、推測されやすいパスワードによるリスクを最小限に抑えることができます。

• ユーザーは定期的にパスワードを変更しなければならない。

• ユーザーは、容易に推測できないパスワードを指定しなければならない。

• 不正なパスワードを何度か使用すると、アカウントがロックされることがある。

Directory Server では、いくつかの方法により、ツリー内の任意のノードにパスワードポリシーを設定できます。詳細は、

『Directory Server Enterprise Edition 6.0 管理ガイド』の「Directory Server のパスワードポリシー」を参照してください。

---

注 –

Directory Server では、パスワードポリシーに passwordExp 属性が含まれます。この属性は、一定の秒数が経過するとユーザーパスワードが期限切れになるかどうかを定義します。管理者が passwordExp 属性を on に設定すると、エンドユーザーパスワードの有効期限と、amldap、 dsame、puser などの Access Manager の管理アカウントの有効期限が設定されます。Access Manager 管理者アカウントのパスワードが期限切れになったときにエンドユーザーがログインしている場合は、そのユーザーにパスワード変更画面が表示されます。ただし、Access Manager では、そのパスワード変更画面に関係するユーザーを特定しません。この場合、このパスワード変更画面は管理者向けに表示されており、エンドユーザーはパスワードを変更できません。

この問題を解決するには、管理者が Directory Server にログインし、amldap、dsame、および puser の各パスワードを変更するか、または将来のために passwordExpirationTime 属性を変更します。

---