デフォルトのパスワードポリシーの管理
デフォルトのパスワードポリシーは、専用のポリシーが定義されていない、ディレクトリインスタンスのすべてのユーザーに適用されます。ただし、デフォルトのパスワードポリシーはディレクトリマネージャーには適用されません。ポリシーの範囲の詳細については、「どのパスワードポリシーを適用するか」を参照してください。
デフォルトのパスワードポリシーは、dsconf コマンドを使用して設定できるポリシーの 1 つです。デフォルトのパスワードポリシーを表示するには、cn=Password Policy,cn=configを読み取ります。
この節では、各ポリシー領域のポリシー属性と関連の dsconf サーバープロパティーについて説明します。さらに、デフォルトのパスワードポリシー設定を表示して変更する方法についても説明します。
パスワードポリシー属性と dsconf サーバープロパティーの相関関係
次の表に、各パスワードポリシー領域のパスワードポリシー属性と関連する dsconf サーバープロパティーを示します。
|
ポリシー領域 |
ポリシー属性 |
dsconf サーバープロパティー |
|---|---|---|
|
アカウントのロックアウト |
pwdFailureCountInterval |
pwd-failure-count-interval |
|
pwdLockout |
pwd-lockout-enabled |
|
|
pwdLockoutDuration |
pwd-lockout-duration |
|
|
pwdMaxFailure |
pwd-max-failure-count |
|
|
パスワードの変更 |
passwordRootdnMayBypassModsChecks |
pwd-root-dn-bypass-enabled |
|
pwdAllowUserChange |
pwd-user-change-enabled |
|
|
pwdInHistory |
pwd-max-history-count |
|
|
pwdMinAge |
pwd-min-age |
|
|
pwdMustChange |
pwd-must-change-enabled |
|
|
pwdSafeModify |
pwd-safe-modify-enabled |
|
|
パスワードの内容 |
pwdCheckQuality |
pwd-check-enabled、pwd-accept-hashed-password-enabled 、pwd-strong-check-dictionary-path、pwd-strong-check-enabled 、pwd-strong-check-require-charset |
|
pwdMinLength |
pwd-min-length |
|
|
passwordStorageScheme |
pwd-storage-scheme |
|
|
パスワードの有効期限 |
pwdExpireWarning |
pwd-expire-warning-delay |
|
pwdGraceAuthNLimit |
pwd-grace-login-limit |
|
|
pwdMaxAge |
pwd-max-age |
|
|
最後の認証時間の追跡 |
pwdKeepLastAuthTime |
pwd-keep-last-auth-time-enabled |
注 –
pwdCheckQuality に関連するプロパティーはパスワードチェックプラグインを設定します。そのため、サーバーインスタンス全体に 5 つのプロパティーが適用されます。さらに、この 5 つのプロパティーは pwdCheckQuality: 2 であるほかのパスワードポリシーにも適用されます。
デフォルトのパスワードポリシー設定を表示する
dsconf コマンドを使用して、デフォルトのパスワードポリシー設定を表示できます。
DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。
-
デフォルトのパスワードポリシー設定を読み取ります。
$ dsconf get-server-prop -h host -p port | grep ^pwd- pwd-accept-hashed-pwd-enabled : N/A pwd-check-enabled : off pwd-compat-mode : DS5-compatible-mode pwd-expire-no-warning-enabled : on pwd-expire-warning-delay : 1d pwd-failure-count-interval : 10m pwd-grace-login-limit : disabled pwd-keep-last-auth-time-enabled : off pwd-lockout-duration : 1h pwd-lockout-enabled : off pwd-lockout-repl-priority-enabled : on pwd-max-age : disabled pwd-max-failure-count : 3 pwd-max-history-count : disabled pwd-min-age : disabled pwd-min-length : 6 pwd-mod-gen-length : 6 pwd-must-change-enabled : off pwd-root-dn-bypass-enabled : off pwd-safe-modify-enabled : off pwd-storage-scheme : SSHA pwd-strong-check-dictionary-path : /local/ds6/plugins/words-english-big.txt pwd-strong-check-enabled : off pwd-strong-check-require-charset : lower pwd-strong-check-require-charset : upper pwd-strong-check-require-charset : digit pwd-strong-check-require-charset : special pwd-supported-storage-scheme : CRYPT pwd-supported-storage-scheme : SHA pwd-supported-storage-scheme : SSHA pwd-supported-storage-scheme : NS-MTA-MD5 pwd-supported-storage-scheme : CLEAR pwd-user-change-enabled : on
デフォルトのパスワードポリシー設定を変更する
デフォルトのパスワードポリシーを変更するには、dsconf コマンドを使用して、サーバーのプロパティーを設定します。
注 –
この手順を実行する前に、「パスワードポリシーを定義するためのワークシート」を参照して、記入してください。
DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。
- © 2010, Oracle Corporation and/or its affiliates