Access Manager では、Access Manager によって保護されている特定のサービスやアプリケーションにアクセスするためのパスワードをユーザー自身がリセットできるように、パスワードリセットサービスが用意されています。パスワードリセットサービス属性は、最上位レベル管理者が定義します。この属性を使用して、ユーザーを検証するための証明情報 (秘密の質問形式) を制御し、新規または既存のパスワード通知の機構を制御し、不正なユーザーに適用するロックアウト間隔を設定します。
この章は、次の節で構成されています。
パスワードリセットサービスは、ユーザーが属しているレルムに対して登録する必要はありません。ユーザーが割り当てられている組織にパスワードリセットサービスが存在しない場合は、「サービス設定」の「パスワードリセットサービス」に定義されている値が継承されます。
そのユーザーのパスワードを登録するレルムに移動します。
レルム名をクリックし、「サービス」タブをクリックします。
選択したレルムにレルム名が追加されていない場合は、「追加」ボタンをクリックします。
「パスワードリセット」を選択し、「次へ」をクリックします。
パスワードリセットサービス属性が表示されます。属性の定義については、オンラインヘルプを参照してください。
「終了」をクリックします。
パスワードリセットサービスの登録が完了したら、管理者権限を持っているユーザーがこのサービスを設定する必要があります。
パスワードリセットサービスが登録されているレルムを選択します。
「サービス」タブをクリックします。
サービスリストから「パスワードリセット」をクリックします。
「パスワードリセット」属性が表示され、ここでパスワードリセットサービスの要件を定義できます。パスワードリセットサービスが有効になっていることを確認します (デフォルトでは有効)。少なくとも次の属性を定義する必要があります。
ユーザー検証
秘密の質問
バインド DN
バインドパスワード
「バインド DN」属性には、パスワードをリセットする権限を持っているユーザー (ヘルプデスク管理者など) を指定する必要があります。Directory Server の制限により、バインド DN が cn=Directory Manager の場合はパスワードリセットは機能しません。
残りの属性は省略可能です。これらのサービス属性の説明については、オンラインヘルプを参照してください。
Access Manager では、ランダムなパスワードを生成するパスワードリセット Web アプリケーションが自動的にインストールされます。ただし、パスワードの生成や通知を行う独自のプラグインクラスを記述することもできます。このようなプラグインクラスのサンプルについては、次の場所にある Readme.html ファイルを参照してください。
PasswordGenerator:
AccessManager-base/SUNWam/samples/console/PasswordGenerator |
NotifyPassword:
AccessManager-base/SUNWam/samples/console/NotifyPassword |
独自の質問を定義するユーザーには、「個人的な質問を有効」属性を選択します。属性を定義し終えたら、「保存」をクリックします。
パスワードリセットサービスには、ユーザーが秘密の質問に正しく回答するまでの回数を制限するために、ロックアウト機能が用意されています。ロックアウト機能は、パスワードリセットサービス属性を使用して設定します。これらのサービス属性の説明については、オンラインヘルプを参照してください。パスワードリセットでは、メモリーロックアウトと物理的なロックアウトの 2 種類がサポートされています。
これは一時的なロックアウトです。「パスワードリセット失敗のロックアウト持続時間」属性の値が 0 より大きく、「パスワードリセット失敗のロックアウトを有効」属性が有効になっている場合にのみ機能します。ロックアウトされたユーザーは、パスワードリセット Web アプリケーションを使用してもパスワードをリセットできなくなります。「パスワードリセット失敗のロックアウト持続時間」に指定した時間が経過するまで、またはサーバーが再起動されるまで、ロックアウトは持続します。これらのサービス属性の説明については、オンラインヘルプを参照してください。
メモリーロックアウトより永続的なロックアウトです。「パスワードリセット失敗のロックアウトカウント」属性の値が 0 に設定され、「パスワードリセット失敗のロックアウトを有効」属性が有効になっている場合には、秘密の質問に正しく回答できなかったユーザーのアカウント状態が非アクティブに変更されます。これらのサービス属性の説明については、オンラインヘルプを参照してください。
以降の節では、ユーザーの観点からパスワードリセットサービスについて説明します。
管理者がパスワードリセットサービスを有効にし、属性を定義したら、ユーザーは Access Manager コンソールにログインして秘密の質問をカスタマイズできます。
ユーザー名とパスワードを入力して認証に成功したら、Access Manager コンソールにログインします。
「ユーザープロファイル」ページで、「パスワードリセットのオプション」を選択します。「質問と回答」画面が表示されます。
管理者が定義した、このサービスで選択できる質問が表示されます。たとえば、次のような質問が表示されます。
秘密の質問を選択します。管理者がこのレルムに定義した最大質問数 (パスワードリセットサービスに定義) まで選択できます。選択した質問への回答を指定します。これらの質問と回答を元に、自分でパスワードをリセットすることができます (次の節を参照)。管理者が「個人的な質問を有効」属性を選択している場合は、自分だけの秘密の質問と回答を入力できるように、テキストフィールドが表示されます。
「保存」をクリックします。
パスワードを忘れた場合には、パスワードリセット Web アプリケーションによって新しいパスワードがランダムに生成され、それがユーザーに通知されます。パスワードを忘れた場合の標準的な手順を次に示します。
管理者から渡された URL を使って、パスワードリセット Web アプリケーションにログインします。次に例を示します。
http://hostname:port /ampassword (デフォルトのレルムの場合)
または
http://hostname: port/deploy_uri /UI/PWResetUserValidation?realm=realmname。realmname はレルムの名前です。
パスワードリセットサービスがサブレルムで有効になっていても、親レルムで無効になっている場合は、次の構文を使ってサービスにアクセスする必要があります。
http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname |
ユーザー ID を入力します。
パスワードリセットサービスに定義されている質問のうち、パスワードリセット設定をカスタマイズした際にユーザーが選択した質問が表示されます。事前に「ユーザープロファイル」ページにログインしておらず、パスワードリセット設定をカスタマイズしていない場合には、パスワードは生成されません。
質問に正しく回答すると、新しいパスワードが生成され、電子メールで通知されます。また、回答が正しいかどうかにかかわらず、パスワードをリセットしようとしたことが通知されます。新しいパスワードおよびパスワードをリセットしようとしたことの通知を受け取るには、「ユーザープロファイル」ページに電子メールアドレスを入力しておく必要があります。
安全なパスワードポリシーとして次のような条件をパスワードに適用すると、推測されやすいパスワードによるリスクを最小限に抑えることができます。
ユーザーは定期的にパスワードを変更しなければならない。
ユーザーは、容易に推測できないパスワードを指定しなければならない。
不正なパスワードを何度か使用すると、アカウントがロックされることがある。
Directory Server では、いくつかの方法により、ツリー内の任意のノードにパスワードポリシーを設定できます。詳細は、次の Directory Server のマニュアルを参照してください。
http://docs.sun.com/source/816-6700-10/aci.html#14773
http://docs.sun.com/source/816-6698-10/useracct.html#14386