2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
ロールおよびCoSを使用して、パスワード・ポリシーを割り当てるには:
pwdSafeModifyがTRUEである場合のコマンドラインからのパスワード変更
パスワード変更の拡張操作により、パスワードをリセットするには:
新しいDirectory Server 11gリリース1(11.1.1.5.0)のデプロイメント
Directory Server 11gリリース1(11.1.1.5.0)へのデプロイメントの移行
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
デフォルトのパスワード・ポリシーは、専用のポリシーが定義されていない、ディレクトリ・インスタンスのすべてのユーザーに適用されます。ただし、デフォルト・パスワード・ポリシーはディレクトリ・マネージャには適用されません。ポリシーの範囲の詳細は、「どのパスワード・ポリシーを適用するか」を参照してください。
デフォルト・パスワード・ポリシーはdsconfコマンドを使用して構成できるポリシーのひとつです。cn=Password Policy,cn=configを読み込むことで、デフォルト・パスワード・ポリシーを表示することもできます。
この項では、各ポリシー領域のポリシー属性および関連するdsconfサーバー・プロパティを示します。さらに、デフォルト・パスワード・ポリシーの設定を表示および変更する方法についても説明します。
次の表に、各パスワード・ポリシー領域のパスワード・ポリシー属性および関連するdsconfサーバー・プロパティを示します。
|
注意: pwdCheckQualityに関連するプロパティにより、パスワード・チェック・プラグインが構成されます。したがって、5つのプロパティがサーバー・インスタンス全体に適用されます。この5つのプロパティは、pwdCheckQuality: 2となっている他のパスワード・ポリシーにも適用されます。
dsconfコマンドにより、デフォルト・パスワード・ポリシーの設定を表示できます。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsconf get-server-prop -h host -p port -v -i \ -w password-file | grep ^pwd-
password-fileには、ディレクトリ・マネージャのパスワードが含まれます。
pwd-accept-hashed-pwd-enabled : N/A pwd-check-enabled : off pwd-compat-mode : DS5-compatible-mode pwd-expire-no-warning-enabled : on pwd-expire-warning-delay : 1d pwd-failure-count-interval : 10m pwd-grace-login-limit : disabled pwd-keep-last-auth-time-enabled : off pwd-lockout-duration : 1h pwd-lockout-enabled : off pwd-lockout-repl-priority-enabled : on pwd-max-age : disabled pwd-max-failure-count : 3 pwd-max-history-count : disabled pwd-min-age : disabled pwd-min-length : 6 pwd-mod-gen-length : 6 pwd-must-change-enabled : off pwd-root-dn-bypass-enabled : off pwd-safe-modify-enabled : off pwd-storage-scheme : SSHA pwd-strong-check-dictionary-path : instance-path/plugins/words-english-big.txt pwd-strong-check-enabled : off pwd-strong-check-require-charset : lower pwd-strong-check-require-charset : upper pwd-strong-check-require-charset : digit pwd-strong-check-require-charset : special pwd-supported-storage-scheme : CRYPT pwd-supported-storage-scheme : SHA256 pwd-supported-storage-scheme : SHA512 pwd-supported-storage-scheme : SHA pwd-supported-storage-scheme : SSHA pwd-supported-storage-scheme : SSHA256 pwd-supported-storage-scheme : SSHA512 pwd-supported-storage-scheme : CLEAR pwd-user-change-enabled : on
dsconfコマンドにより、サーバー・プロパティを設定することで、デフォルト・パスワード・ポリシーを変更できます。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
たとえば、次のコマンドにより、ディレクトリ・マネージャがパスワードを変更するときに、デフォルトのポリシーに違反してもよいことになります。
$ dsconf set-server-prop -h host -p port pwd-root-dn-bypass-enabled:on
次のコマンドにより、リセット後のパスワード変更が必要となるポリシーを有効にします。
# dsconf set-server-prop -p 20390 pwd-must-change-enabled:on
Directory Serverは、NULLのパスワードによる認証を防止します。したがって、匿名でないすべてのバインドはパスワードを指定して、ディレクトリにバインドする必要があります。これを行わない場合、Directory Serverでは認証エラーLDAP_INAPPROPRIATE_AUTHが返されます。
この機能を無効にするには、dsconf set-server-propコマンドを使用して、サーバー・プロパティrequire-bind-pwd-enabledをoffに設定します。
認証でのバインド要求機能のデフォルト値はonです。次のコマンドを使用して、これをチェックします。
# dsconf get-server-prop -p 20390 -w /tmp/.pwd-file require-bind-pwd-enabled require-bind-pwd-enabled : on
NULLパスワードで認証を行うと、次のエラー・メッセージが表示されます
# ldapsearch -D cn=altrootdn -w '' -p 20390 -b cn=config 'objectclass=*' dn ldap_simple_bind: Inappropriate authentication ldap_simple_bind: additional info: binds with a dn require a password
この機能では、匿名バインドはブロックされないことに注意してください。
# ldapsearch -p 20390 -b cn=config 'objectclass=*' dn version: 1 dn: cn=SNMP,cn=config
次のように設定をoffにして、この機能を無効にします。
# dsconf set-server-prop -p 20390 -w /tmp/.pwd-file require-bind-pwd-enabled:off # dsconf get-server-prop -p 20390 -w /tmp/.pwd-file require-bind-pwd-enabled require-bind-pwd-enabled : off
今度のNULLパスワードによる認証は成功します。
# ldapsearch -D cn=altrootdn -w '' -p 20390 -b cn=config 'objectclass=*' dn version: 1 dn: cn=SNMP,cn=config