パスワード・ポリシーおよびワークシート

この項ではパスワード・ポリシーの設定について説明し、要件に適合するパスワード・ポリシーの定義に役立つワークシートを提供します。

パスワード・ポリシーの設定

Directory Serverでパスワード・ポリシーを指定する場合、オブジェクト・クラスpwdPolicy(5dsoc)を含むエントリを変更または作成します。

特定のタイプのユーザーのパスワード・ポリシーを定義する場合、次について検討する必要があります。

• 侵入者がパスワードをクラックしようとしているように見える場合にアカウントをロックアウトする方法。

  詳細は、「アカウント・ロックアウトのポリシー」を参照してください。

• パスワードの変更方法。

  詳細は、「パスワード変更のポリシー」を参照してください。

• 許可されるパスワードの値。

  詳細は、「パスワード内容のポリシー」を参照してください。

• パスワード有効期限の処理方法。

  詳細は、「パスワード有効期限のポリシー」を参照してください。

• 最後に認証に成功した時刻をサーバーが記録するかどうかについて。

  詳細は、「最終認証時間追跡のポリシー」を参照してください。

この章の次の各項で、パスワード・ポリシーのこれらの点の処理方法を説明します。「パスワード・ポリシー定義用ワークシート」を使用して、実装を計画する各パスワード・ポリシーを明確にしてください。

アカウント・ロックアウトのポリシー

この項では、アカウントのロックアウトを制御するポリシーの属性について説明します。

Directory Serverのアカウントとは大まかにユーザーのエントリ、およびディレクトリに対して操作を実行するために必要となるユーザーの権限を指します。各アカウントはバインドDNおよびユーザー・パスワードに関連付けられています。侵入者がパスワードをクラックしようとしているように見える場合、Directory Serverでアカウントをロックする必要があります。このロックにより、侵入者はそのアカウントを使用してバインドできなくなります。また、ロックにより、侵入者が攻撃を続けることができなくなります。

管理者は1つのアカウント、またはロールを共有するすべてのユーザーのアカウントを手動で非アクティブにすることもできます。手順は、「アカウントの手動ロック」を参照してください。しかし、パスワードポリシーを指定する際に重要なことは、Directory Serverが管理者の介入なしにアカウントをロックするのはどのような条件かを指定することです。

最初に、バインドの失敗が著しく発生する場合は、Directory ServerでpwdLockout(5dsat)を使用して、自動的にアカウントがロックされるように指定する必要があります。Directory Serverでは、連続して失敗したアカウントへのバインド試行を追跡します。pwdMaxFailure(5dsat)を使用して、何回連続して失敗したらDirectory Serverがアカウントをロックするかを指定します。

Directory Serverでは、パスワード・ポリシーに従ってアカウントが厳密にロックされます。その操作は単純に機械的なものとなります。アカウントは、侵入者がアカウントに対して攻撃を仕掛けようとしているためでなく、ユーザーが誤ったパスワードを入力したことによりロックされることもあります。したがって、pwdFailureCountInterval(5dsat)を使用して、失敗した試行の間隔がどれだけ空いたらDirectory Serverがそれまでの失敗した試行の記録を消去するかを指定できます。pwdLockoutDuration(5dsat)を使用して、Directory Serverがアカウントのロックを自動的に解除するまで、ロックアウトを継続する期間を指定します。悪意なく単なるミスをしたユーザーのアカウント・ロックを解除するために管理者が介入する必要はありません。

レプリケーション・トポロジ全体にユーザー・データをレプリケートする場合、ロックアウト属性が他のエントリ・データとともにレプリケートされます。pwdIsLockoutPrioritized(5dsat)属性のデフォルト設定はTRUEなので、ロックアウト属性の更新は高い優先順位でレプリケートされます。したがって、ユーザーが、ロックアウトされるまでにレプリカの1つへのバインド試行を連続して失敗できるのは、pwdMaxFailureで設定された回数までで、ロックアウトされるまでの他のレプリカでの試行回数はさらに少なくなります。ユーザーが、レプリケートされたトポロジ全体でロックアウトされるまでpwdMaxFailureで設定された回数だけ試行できるようにする方法の詳細は、Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイドのグローバル・アカウント・ロックアウトを使用した認証の防止に関する項を参照してください。

パスワード変更のポリシー

この項では、パスワードの変更を制御するポリシーの属性について説明します。

多くのデプロイメントにおいて、Directory Serverはアイデンティティ・データのリポジトリとなります。pwdAllowUserChange(5dsat)で指定されたとおり、ユーザーは自身のパスワードを変更できるので、管理者がパスワードを変更する必要はありません。

また、ユーザーが自分のパスワード変更を許可した後で、ユーザーが自分のパスワードを変更できる状況を抑制することもできます。pwdSafeModify(5dsat)を使用して、パスワードを変更する前に、ユーザーが既存のパスワードを正しく入力する必要があることを指定できます。パスワード変更方法の例は、「pwdSafeModifyがTRUEである場合のコマンドラインからのパスワード変更」を参照してください。pwdInHistory(5dsat)を使用し、Directory Serverが記憶するパスワード数を指定して、ユーザーのパスワード再利用を防止できます。さらに、pwdMinAge(5dsat)を設定することで、頻繁なパスワード変更も防止できます。

多くの場合、管理者または管理するアプリケーションのいずれかが、ディレクトリにユーザー・エントリを作成します。ユーザーが初めて新しいアカウントにバインドしたときに変更するユーザーパスワード値を割り当てることができます。また、ユーザー・パスワードのリセットが必要な場合もあります。その後の次回アカウント使用時に、ユーザーはパスワードを変更する必要があります。Directory Serverには特定の属性であるpwdMustChange(5dsat)があります。これを使用することで、他のユーザーによってパスワード値がリセットされた後に、ユーザーがパスワードを変更する必要があるかどうかを示すことができます。

passwordRootdnMayBypassModsChecks(5dsat)を設定して、ディレクトリ管理者がパスワードを変更する際にのポリシーが適用されないように指定することもできます。

パスワード内容のポリシー

この項では、パスワード内容を制御するポリシーの属性について説明します。

通常、ディレクトリ検索でパスワード値が返されることはありませんが、攻撃者がディレクトリ・データベースへのアクセス権を得る可能性があります。したがって、パスワード値は通常、passwordStorageScheme(5dsat)で指定した、サポートされるハッシュ形式で格納されます。

さらに、pwdCheckQuality(5dsat)を設定して、パスワードが最低限の品質定義を満足しているかをチェックすることもできます。そのとき、サーバーではパスワードがcn、givenName、mail、ou、snまたはuidのどの属性とも一致しないことをチェックします。これらのいずれかの属性とのパスワード比較では、大文字/小文字が区別されません。

pwdCheckQuality(5dsat)を設定して、その他のチェックも使用できます。pwdMinLength(5dsat)を設定して、パスワードを指定した文字数以上にすることを強制できます。さらに、強力なパスワード・チェック・プラグインが有効な場合、Directory Serverでは、パスワードにプラグインで使用するディクショナリ・ファイルの文字列が含まれていないことをチェックします。サーバーでは、パスワードに各種タイプの文字が適切に混在して含まれていることもチェックします。

強力なパスワード・チェックは、dsconf set-server-propコマンドにより有効にできます。pwd-strong-check-enabledプロパティを使用してプラグインをオンにしてから、サーバーを再起動させることで変更を有効にします。パスワードに含める必要のある文字セットを指定するには、pwd-strong-check-require-charsetプロパティを使用します。pwd-strong-check-require-charsetプロパティは、次の値のマスクを使用します。

lower

新しいパスワードに小文字を含める必要があります。

upper

新しいパスワードに大文字を含める必要があります。

digit

新しいパスワードに数字を含める必要があります。

special

新しいパスワードに特殊文字を含める必要があります。

any-two

新しいパスワードには前述の2つ以上の文字セットから、それぞれ1文字以上含める必要があります。

any-three

新しいパスワードには前述の3つ以上の文字セットから、それぞれ1文字以上含める必要があります。

pwd-strong-check-require-charsetプロパティのデフォルト設定はlower && upper && digit && specialとなります。

パスワード有効期限のポリシー

この項では、パスワード期限を制御するポリシーの属性について説明します。

ユーザーがパスワードを定期的に変更するように、pwdMaxAge(5dsat)を設定して、Directory Serverで、パスワードが特定の経過時間に達すると、有効期限が切れるように構成できます。

ユーザーにはパスワードの有効期限が近づいていることを通知する必要があります。バインドに使用するパスワードの有効期限が切れそうであるという警告を返すように、Directory Serverを構成できます。pwdExpireWarning(5dsat)を使用して、有効期限のどれくらい前からクライアントがバインドしたときに警告を返すかを定義します。クライアント・アプリケーションが警告を受け取ることに注意してください。ユーザーが直接警告を受けるわけではありません。クライアントアプリケーションは、パスワードの有効期限が切れそうであるという警告を受け取ったら、エンドユーザーに通知する必要があります。

ユーザーが有効期限切れのパスワードで1 回以上バインドを試みることを許可するには、pwdGraceAuthNLimit(5dsat)を設定します。したがって、パスワードの変更に間に合わなかったユーザーでも、パスワードを変更するためのバインドが可能です。猶予期間ログインによりバインドした場合でも、ユーザーはあらゆる操作が実行できることに留意してください。猶予期間ログインはパスワードを失効していない場合と同様に機能します。

Directory Serverは、エントリ上のパスワードが変更されるたびに、操作属性pwdChangedTime(5dsat)を更新します。この結果、パスワードの有効期限を有効とすると、古くなったパスワードは即座に無効となります。この動作を意図しない場合は、警告および猶予期間ログインを使用します。

最終認証時間追跡のポリシー

この項では、パスワード・ポリシーの属性pwdKeepLastAuthTime(5dsat)の使用について説明します。

pwdKeepLastAuthTimeが設定されている場合、Directory Serverではユーザーが認証を行うたびに、最後にバインドに成功した時間が追跡されます。時間はユーザー・エントリのpwdLastAuthTime(5dsat)操作属性に記録されます。

この動作により、成功したバインド操作それぞれに対して更新が追加されるので、pwdKeepLastAuthTime機能はデフォルトでは有効になりません。デプロイメントでこの機能を使用するには、明示的にこれを有効にする必要があります。

パスワード・ポリシー定義用ワークシート

このワークシートは、コマンドライン・インタフェースまたはDirectory Service Control Center(DSCC)を使用して実装するパスワード・ポリシーの定義に役立つようデザインされたものです。パスワード・ポリシーごとに1つのワークシートを使用します。

パスワード・ポリシー・エントリのDNを記録したら、各ポリシー領域の属性の設定についての決定を記録します。それらの設定の理由も記録します。