9장 비밀번호 재설정 서비스

Access Manager는 사용자가 Access Manager로 보호되는 지정된 서비스 또는 응용 프로그램에 액세스하기 위한 비밀번호를 재설정할 수 있게 해주는 비밀번호 재설정 서비스를 제공합니다. 비밀번호 재설정 서비스 속성은 최상위 관리자가 정의하고, 비밀번호 질문 형태로 사용자 검증 자격 증명을 제어하며 새로운 또는 기존 비밀번호 알림 기법을 제어합니다. 그리고 잘못된 사용자 검증에 대한 가능한 잠금 간격을 설정합니다.

이번 장은 다음 절로 구성됩니다.

• 비밀번호 재설정 서비스 등록

• 비밀번호 재설정 서비스 구성

• 최종 사용자에 대한 비밀번호 재설정

비밀번호 재설정 서비스 등록

사용자가 소속된 영역에 대해서는 비밀번호 재설정 서비스를 등록할 필요가 없습니다. 사용자가 위치한 조직에 비밀번호 재설정 서비스가 없는 경우 서비스 구성에서 해당 서비스에 대해 정의된 값을 상속합니다.

다른 영역의 사용자에 대해 비밀번호 재설정을 등록하려면

1. 사용자에 대한 비밀번호를 등록하려는 영역으로 이동합니다.

2. 영역 이름을 누르고 [서비스] 탭을 누릅니다.

   서비스가 아직 영역에 추가되지 않은 경우 [추가] 버튼을 누릅니다.

3. [비밀번호 재설정]을 선택하고 [다음]을 누릅니다.

   비밀번호 재설정 서비스 속성이 표시됩니다. 속성 정의는 온라인 도움말을 참조하십시오.

4. [마침]을 누릅니다.

비밀번호 재설정 서비스 구성

비밀번호 재설정 서비스가 등록되어 있는 경우 관리자 권한이 있는 사용자가 서비스를 구성해야 합니다.

서비스를 구성하려면

1. 비밀번호 재설정 서비스를 등록할 영역을 선택합니다.

2. [서비스] 탭을 누릅니다.

3. 서비스 목록에서 [비밀번호 재설정]을 누릅니다.

4. 비밀번호 재설정 속성이 표시되고 사용자는 이 속성을 사용하여 비밀번호 재설정 서비스에 대한 요구 사항을 정의할 수 있습니다. 비밀번호 재설정 서비스가 사용 가능(기본값)한지 확인합니다. 최소한 다음 속성을 정의해야 합니다.

   • 사용자 검증

     • 비밀 문제

     • 바인드 DN

     • 바인드 비밀번호

       바인드 DN 속성은 비밀번호 재설정 권한이 있는 사용자(예: 도움말 데스크 관리자)를 포함해야 합니다. Directory Server의 제한 때문에 바인드 DN이 cn=Directory Manager인 경우에는 비밀번호 재설정이 실행되지 않습니다.

       나머지 속성은 선택 사항입니다. 서비스 속성에 대한 설명은 온라인 도움말을 참조하십시오.

     ---

     주 –

     Access Manager는 임의의 비밀번호 생성을 위한 비밀번호 재설정 웹 응용 프로그램을 자동으로 설치합니다. 그러나 비밀번호 생성 및 비밀번호 알림을 위한 사용자 플러그 인 클래스를 작성할 수 있습니다. 이러한 플러그 인 클래스에 대해서는 다음 위치에 있는 다음 Readme.html 파일을 참조하십시오.

     PasswordGenerator:

     AccessManager-base/SUNWam/samples/console/PasswordGenerator

     NotifyPassword:

     AccessManager-base/SUNWam/samples/console/NotifyPassword

     ---

5. 사용자가 고유 개인 문제를 직접 정의해야 하는 경우 개인 문제 사용 가능 속성을 선택합니다. 속성을 정의한 다음 [저장]을 누릅니다.

비밀 문제를 현지화하려면

현지화된 Access Manager 버전을 실행하는 경우 사용자의 로켈에 해당하는 문자 집합으로 비밀 문제를 표시하려면 다음을 수행하십시오.

1. 비밀번호 재설정 서비스에서 [비밀 문제] 속성 아래의 [현재 값] 목록에 비밀 문제 키를 추가합니다. 예를 들면 favorite-color와 같습니다.

2. amPasswordReset.properties 파일에 키 값을 표시할 문제와 함께 해당 키를 추가합니다. 예를 들면 다음과 같습니다.

   favorite-color=가장 좋아하는 색상은?

3. /opt/SUNWam/locale의 AMPasswordReset_locale.properties 파일에 현지화된 질문과 함께 해당 키를 추가합니다. 사용자가 비밀번호를 변경하려는 경우 현지화된 문제가 표시됩니다.

비밀번호 재설정 잠금

비밀번호 재설정 서비스에는 사용자가 비밀 문제에 올바르게 응답하기 위해 시도할 수 있는 횟수를 제한하는 잠금 기능이 포함됩니다. 잠금 기능은 비밀번호 재설정 서비스 속성을 통해 구성됩니다. 서비스 속성에 대한 설명은 온라인 도움말을 참조하십시오. 비밀번호 재설정은 메모리 잠금과 물리적 잠금이라는 두 가지 유형의 잠금을 지원합니다.

메모리 잠금

이 잠금은 임시 잠금이며 비밀번호 재설정 실패 잠금 기간 속성의 값이 0보다 크고 비밀번호 재설정 실패 잠금 사용 가능 속성이 활성화된 경우에만 유효합니다. 이 잠금은 사용자가 비밀번호 재설정 웹 응용 프로그램을 통해 비밀번호를 재설정하지 못하게 합니다. 잠금은 비밀번호 재설정 실패 잠금 기간에 지정된 기간 동안 지속되거나 서버가 다시 시작될 때까지 지속됩니다. 서비스 속성에 대한 설명은 온라인 도움말을 참조하십시오.

물리적 잠금

보다 영구적인 잠금입니다. 비밀번호 재설정 실패 잠금 횟수 속성 값을 0으로 설정하고 비밀번호 재설정 실패 잠금 사용 가능 속성을 활성화하면 사용자가 비밀번호 질문에 잘못 대답할 경우 해당 사용자의 계정 상태가 비활성 상태로 변경됩니다. 서비스 속성에 대한 설명은 온라인 도움말을 참조하십시오.

최종 사용자에 대한 비밀번호 재설정

다음 절에서는 비밀번호 재설정 서비스에 대한 사용자 경험을 설명합니다.

비밀번호 재설정 사용자 정의

비밀번호 재설정 서비스가 사용 가능하고 관리자가 속성을 정의한 경우 사용자는 Access Manager 콘솔에 로그인하여 비밀 문제를 사용자 정의할 수 있습니다.

비밀번호 재설정을 사용자 정의하려면

1. 사용자가 아이디와 비밀번호를 제공하여 Access Manager 콘솔에 로그인하면 성공적으로 인증됩니다.

2. 사용자 프로필 페이지에서 비밀번호 재설정 옵션을 선택합니다. 사용 가능한 문제 응답 화면이 표시됩니다.

3. 관리자가 해당 서비스에 대해 정의한 사용 가능한 문제가 표시됩니다. 예를 들면 다음과 같습니다.

   • 애완동물 이름은?

     • 가장 좋아하는 TV 쇼는?

     • 어머니의 성함은?

     • 자주 가는 식당은?

4. 비밀번호 질문을 선택합니다. 비밀번호 질문은 관리자가 영역에 대해 정의한 최대 문제 수 이하로 선택할 수 있습니다(최대 양은 비밀번호 재설정 서비스를 통해 정의됨). 그런 다음 선택한 문제에 대한 대답을 입력합니다. 이러한 문제와 대답은 사용자의 비밀번호 재설정을 위한 기초가 됩니다(다음 절 참조). 관리자가 개인 문제 사용 가능 속성을 선택한 경우 사용자가 고유한 비밀 문제를 입력하고 대답을 제공할 수 있는 텍스트 필드가 제공됩니다.

5. [저장]을 누릅니다.

잊어버린 비밀번호 재설정

사용자가 비밀번호를 잊어버린 경우 Access Manager는 비밀번호 재설정 웹 응용 프로그램을 사용하여 새 비밀번호를 임의로 생성하여 사용자에게 새 비밀번호를 알려 줍니다. 다음은 일반적인 잊어버린 비밀번호 시나리오입니다.

잊어버린 비밀번호를 재설정하려면

1. 관리자가 지정해 준 URL에서 비밀번호 재설정 웹 응용 프로그램에 로그인합니다. 예를 들면 다음과 같습니다.

   http://hostname:port/ampassword(기본 영역용)

   또는

   http://hostname: port/deploy_uri /UI/PWResetUserValidation?realm=realmname(여기서 realmname은 영역 이름임)

   ---

   주 –

   비밀번호 재설정 서비스가 상위 영역에 대해서는 사용 가능으로 설정되어 있지 않고 하위 영역에 대해서는 사용 가능으로 설정되어 있는 경우 사용자가 서비스에 액세스하려면 다음 구문을 사용해야 합니다.

   http://hostname: port/deploy_uri/UI/PWResetUserValidation?realm=realmname

   ---

2. 사용자 아이디를 입력합니다.

3. 비밀번호 재설정 서비스에서 정의하고 사용자 정의 과정에서 사용자가 선택한 개인 문제가 표시됩니다. 사용자 프로필 페이지에 로그인하지 않고 개인 문제를 사용자 정의한 경우 비밀번호가 생성되지 않습니다.

   사용자가 문제에 올바르게 대답하면 새 비밀번호를 생성하여 전자 메일로 사용자에게 알려 줍니다. 문제에 올바르게 대답했는지 여부에 관계 없이 사용자에게 시도 알림을 보냅니다. 새 비밀번호와 시도 알림을 받으려면 사용자 프로필 페이지에 전자 메일 주소를 입력해야 합니다.

비밀번호 정책

비밀번호 정책은 지정된 디렉토리에서 비밀번호가 사용되는 방법을 제어하는 일련의 규칙이며, 대개 Directory Server 콘솔을 통해 Directory Server에 정의됩니다. 보안 비밀번호 정책은 다음을 적용하여 비밀번호를 쉽게 추측할 수 있는 위험을 최소화합니다.

• 일정에 따라 비밀번호를 변경해야 합니다.

• 쉽게 추정할 수 없는 비밀번호를 지정해야 합니다.

• 잘못된 비밀번호로 여러 번 바인드하면 계정이 잠길 수 있습니다.

Directory Server에서는 트리의 노드에서 여러 가지 방법으로 비밀번호 정책을 설정할 수 있으며 여러 가지 정책 설정 방법을 제공합니다. 자세한 내용은

Directory Server Enterprise Edition 6.0 관리 설명서의 Directory Server 비밀번호 정책을 참조하십시오.

Directory Server의 비밀번호 정책에는 지정된 시간(초)이 경과하면 사용자 비밀번호가 만료되는지 여부를 정의하는 passwordExp 속성이 포함됩니다. passwordExp 속성을 on으로 설정하면 Access Manager의 관리 계정(예: amldap, dsame 및 puser)과 함께 최종 사용자의 비밀번호에 대한 만료 여부가 설정됩니다. Access Manager 관리자의 계정 비밀번호가 만료된 경우 최종 사용자가 로그인하면 해당 사용자에게 비밀번호 변경 화면이 표시됩니다. 그러나 Access Manager는 이 비밀번호 변경 화면과 관련된 사용자를 지정하지 않습니다. 이 경우 관리자를 위해 제공되는 화면이므로 최종 사용자는 비밀번호를 변경할 수 없습니다.

이 문제를 해결하려면 관리자가 Directory Server에 로그인하여 amldap, dsame 및 puser 비밀번호를 변경하거나 passwordExpirationTime 속성을 변경해야 합니다.