デフォルト・パスワード・ポリシーの管理

デフォルトのパスワード・ポリシーは、専用のポリシーが定義されていない、ディレクトリ・インスタンスのすべてのユーザーに適用されます。ただし、デフォルト・パスワード・ポリシーはディレクトリ・マネージャには適用されません。ポリシーの範囲の詳細は、「どのパスワード・ポリシーを適用するか」を参照してください。

デフォルト・パスワード・ポリシーはdsconfコマンドを使用して構成できるポリシーのひとつです。cn=Password Policy,cn=configを読み込むことで、デフォルト・パスワード・ポリシーを表示することもできます。

この項では、各ポリシー領域のポリシー属性および関連するdsconfサーバー・プロパティを示します。さらに、デフォルト・パスワード・ポリシーの設定を表示および変更する方法についても説明します。

パスワード・ポリシー属性と`dsconf`サーバー・プロパティとの相関関係

次の表に、各パスワード・ポリシー領域のパスワード・ポリシー属性および関連するdsconfサーバー・プロパティを示します。

ポリシー領域	ポリシー属性	`dsconf`サーバー・プロパティ
アカウント・ロックアウト	`pwdFailureCountInterval`	`pwd-failure-count-interval`
	`pwdLockout`	`pwd-lockout-enabled`
	`pwdLockoutDuration`	`pwd-lockout-duration`
	`pwdMaxFailure`	`pwd-max-failure-count`
パスワード変更	`passwordRootdnMayBypassModsChecks`	`pwd-root-dn-bypass-enabled`
	`pwdAllowUserChange`	`pwd-user-change-enabled`
	`pwdInHistory`	`pwd-max-history-count`
	`pwdMinAge`	`pwd-min-age`
	`pwdMustChange`	`pwd-must-change-enabled`
	`pwdSafeModify`	`pwd-safe-modify-enabled`
パスワード内容	`pwdCheckQuality`	`pwd-check-enabled`、`pwd-accept-hashed-password-enabled`、`pwd-strong-check-dictionary-path`、`pwd-strong-check-enabled`、`pwd-strong-check-require-charset`
	`pwdMinLength`	`pwd-min-length`
	`passwordStorageScheme`	`pwd-storage-scheme`
パスワード有効期限	`pwdExpireWarning`	`pwd-expire-warning-delay`
	`pwdGraceAuthNLimit`	`pwd-grace-login-limit`
	`pwdMaxAge`	`pwd-max-age`
最終認証時間の追跡	`pwdKeepLastAuthTime`	`pwd-keep-last-auth-time-enabled`

注意: pwdCheckQualityに関連するプロパティにより、パスワード・チェック・プラグインが構成されます。したがって、5つのプロパティがサーバー・インスタンス全体に適用されます。この5つのプロパティは、pwdCheckQuality: 2となっている他のパスワード・ポリシーにも適用されます。

デフォルト・パスワード・ポリシーの設定を表示するには:

dsconfコマンドにより、デフォルト・パスワード・ポリシーの設定を表示できます。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

デフォルトのパスワード・ポリシーの構成を読み取ります。

$ dsconf get-server-prop -h host -p port -v -i \
-w password-file | grep ^pwd-

password-fileには、ディレクトリ・マネージャのパスワードが含まれます。

pwd-accept-hashed-pwd-enabled      :  N/A
pwd-check-enabled                  :  off
pwd-compat-mode                    :  DS5-compatible-mode
pwd-expire-no-warning-enabled      :  on
pwd-expire-warning-delay           :  1d
pwd-failure-count-interval         :  10m
pwd-grace-login-limit              :  disabled
pwd-keep-last-auth-time-enabled    :  off
pwd-lockout-duration               :  1h
pwd-lockout-enabled                :  off
pwd-lockout-repl-priority-enabled  :  on
pwd-max-age                        :  disabled
pwd-max-failure-count              :  3
pwd-max-history-count              :  disabled
pwd-min-age                        :  disabled
pwd-min-length                     :  6
pwd-mod-gen-length                 :  6
pwd-must-change-enabled            :  off
pwd-root-dn-bypass-enabled         :  off
pwd-safe-modify-enabled            :  off
pwd-storage-scheme                 :  SSHA
pwd-strong-check-dictionary-path   :  instance-path/plugins/words-english-big.txt
pwd-strong-check-enabled           :  off
pwd-strong-check-require-charset   :  lower
pwd-strong-check-require-charset   :  upper
pwd-strong-check-require-charset   :  digit
pwd-strong-check-require-charset   :  special
pwd-supported-storage-scheme       : CRYPT
pwd-supported-storage-scheme       : SHA256
pwd-supported-storage-scheme       : SHA512
pwd-supported-storage-scheme       : SHA
pwd-supported-storage-scheme       : SSHA
pwd-supported-storage-scheme       : SSHA256
pwd-supported-storage-scheme       : SSHA512
pwd-supported-storage-scheme       : CLEAR 
pwd-user-change-enabled            :  on

デフォルト・パスワード・ポリシーの設定を変更するには:

dsconfコマンドにより、サーバー・プロパティを設定することで、デフォルト・パスワード・ポリシーを変更できます。

注意: この手順を実行する前に、「パスワード・ポリシー定義用ワークシート」を参照して、記入してください。

ワークシートの設定をdsconfコマンド・プロパティの設定に変換します。
dsconf set-server-propコマンドを使用して、デフォルト・パスワード・ポリシーのプロパティを適切に変更します。
たとえば、次のコマンドにより、ディレクトリ・マネージャがパスワードを変更するときに、デフォルトのポリシーに違反してもよいことになります。
```
$ dsconf set-server-prop -h host -p port pwd-root-dn-bypass-enabled:on
```
次のコマンドにより、リセット後のパスワード変更が必要となるポリシーを有効にします。
```
# dsconf set-server-prop  -p 20390 pwd-must-change-enabled:on
```

パスワードのないバインドの防止

Directory Serverは、NULLのパスワードによる認証を防止します。したがって、匿名でないすべてのバインドはパスワードを指定して、ディレクトリにバインドする必要があります。これを行わない場合、Directory Serverでは認証エラーLDAP_INAPPROPRIATE_AUTHが返されます。

この機能を無効にするには、dsconf set-server-propコマンドを使用して、サーバー・プロパティrequire-bind-pwd-enabledをoffに設定します。

認証でのバインド要求機能のデフォルト値はonです。次のコマンドを使用して、これをチェックします。

# dsconf get-server-prop -p 20390 -w /tmp/.pwd-file require-bind-pwd-enabled
require-bind-pwd-enabled  :  on

NULLパスワードで認証を行うと、次のエラー・メッセージが表示されます

# ldapsearch -D cn=altrootdn -w '' -p 20390 -b cn=config 'objectclass=*' dn
ldap_simple_bind: Inappropriate authentication
ldap_simple_bind: additional info: binds with a dn require a password

この機能では、匿名バインドはブロックされないことに注意してください。

# ldapsearch -p 20390 -b cn=config 'objectclass=*' dn
version: 1
dn: cn=SNMP,cn=config

次のように設定をoffにして、この機能を無効にします。

# dsconf set-server-prop -p 20390 -w /tmp/.pwd-file require-bind-pwd-enabled:off
# dsconf get-server-prop -p 20390 -w /tmp/.pwd-file require-bind-pwd-enabled
require-bind-pwd-enabled  :  off

今度のNULLパスワードによる認証は成功します。

# ldapsearch -D cn=altrootdn -w '' -p 20390 -b cn=config 'objectclass=*' dn
version: 1
dn: cn=SNMP,cn=config

ナビゲーション・リンクをスキップ
印刷ビューの終了
	Oracle Directory Server Enterprise Edition管理ガイド 11gリリース1(11.1.1.5.0)