パスワード・ポリシーの互換性

移行用に、新しいパスワード・ポリシーでは、互換性モードを実装することにより、以前のDirectory Serverのバージョンとの互換性を維持しています。互換性モードでは、パスワード・ポリシーの属性を古い属性として処理するか、新しい属性として処理するかが決定されます。ここで古いとは、Directory Server 5.2のパスワード・ポリシー属性を意味します。

この項では、互換性モードの設定、およびデプロイメントに適したモードの決定に役立つ情報を提供します。

互換性モードの設定

次のように、dsconfコマンドを使用して互換性モードを読み込むことができます。

$ dsconf get-server-prop pwd-compat-mode

pwd-compat-modeプロパティは次のいずれかの値を持ちます。

DS5-compatible-mode

DS5-compatible-modeの目的は、レプリケートされた既存のトポロジをDirectory Server 5.2のインスタンスからDirectory Server 11gリリース1(11.1.1.5.0)のインスタンスに移行できるようにすることです。DS5-compatible-modeのDirectory Server 11gリリース1(11.1.1.5.0)のインスタンスは、新しい、または古いパスワード・ポリシーの属性を含む更新を受け入れ、両方の属性セットを含む更新を生成します。更新はLDAPクライアントまたはレプリケーションより受け取ることができ、パスワード・ポリシーの評価結果として(認証失敗、パスワード変更などの結果として)、変更がローカルに生成されます。バージョン11gリリース1(11.1.1.5.0)のインスタンスにより(直接または他のインスタンスを介して)生成されたレプリケート済更新を使用するバージョン5.2のインスタンスは、00ds6pwp.ldifで更新されるスキーマを持つ必要があります。これについては、Oracle Directory Server Enterprise Editionアップグレードおよび移行ガイドのパスワード・ポリシーの問題に関する項で説明しています。Directory Server 5.2のインスタンスでは、新しい属性を含むエントリがそのスキーマでスキーマを更新せずに更新された場合には、パスワード・ポリシーの処理の際に新しい属性を無視しますが、更新されたエントリが書き込まれた場合には、スキーマ・チェックは失敗します。

DS6-migration-mode

DS6-migration-modeはDS5-compatible-modeとDS6-modeの中間ステップです。ポリシーの決定はすべて新しいパスワード・ポリシーの属性に基づき、古い(Directory Server 5.2)パスワード・ポリシーの属性はサーバー・データから削除されます。ポリシー構成エントリの数は少ないので、古いパスワード・ポリシー構成の属性は、インスタンスがDS6-migration-modeに進むとすぐに、すべてのポリシー・エントリから一掃されます。ただし、ユーザー・エントリのクリーンアップについては、エントリがパスワード変更処理において通常のパスワード・ポリシー処理の一部として変更されるまで見送られます。この方法により、クリーンアップを段階的に進めることができるので、サーバーのパフォーマンスが低下することはありません。古いポリシー属性の削除が必要な変更は、DS5-compatible-modeのままのインスタンスの操作との干渉を避けるため、レプリケートされません。

DS6-mode

DS6-modeのDirectory Serverインスタンスでは、パスワード・ポリシー決定の計算に新しいポリシー属性のみを使用します。エントリに残る古いパスワード・ポリシー属性はいずれも無視されます。

互換性モードの設定には、次のようにdsconfコマンドを使用します。

$ dsconf pwd-compat new-mode

new-modeアクションは次のいずれかの値を取ります。

to-DS6-migration-mode

DS5-compatible-modeからDS6-migration-modeに変更します。

変更後は、DS6-migration-modeおよびDS6-modeしか使用できません。

to-DS6-mode

DS6-migration-modeからDS6-modeに変更します。

変更後は、DS6-modeしか使用できません。

サーバーの状態は、新しいパスワード・ポリシー仕様に、より厳密に準拠する方向にのみ移行します。

互換性モードの選択ガイドライン

pwd-compat-modeの設定は内部のサーバー処理に影響を及ぼし、LDAPクライアントで見られるパスワード・ポリシーの動作とは大幅に異なります。特に、pwd-compat-modeの設定がLDAPクライアント認証(バインド)に対するサーバー・レスポンスの範囲に影響することはありません。

この項では、Direcotyr Serverのデプロイメントに適した互換性モードついて詳しく説明します。

新しいDirectory Server 11gリリース1(11.1.1.5.0)のデプロイメント

スタンドアロンのDirectory Serverインスタンスをインストールする場合、または新しくレプリケートされたトポロジをデプロイする場合、互換性モードをDS6-modeに設定して、新しいパスワード・ポリシー実装で使用できる機能をただちに利用します。新しいDirectory Server 11gリリース1(11.1.1.5.0)のインスタンスは互換性モードがDS5-compatible-modeで作成されるので、インスタンスがすでにDS6-modeに設定されたレプリケート済トポロジにインストールする前に、必ずこのインスタンスをDS6-modeに更新するようにしてください。

Directory Server 11gリリース1(11.1.1.5.0)へのデプロイメント移行

既存のレプリケート済トポロジを移行する場合、最低1つのDirectory Server 5.2インスタンスがレプリケーション・トポロジに残っているかぎり、Directory Server 11gリリース1(11.1.1.5.0)インスタンスはすべてDS5-compatible-modeに設定する必要があります。

レプリケートされたトポロジが完全に(DS5-compatible-modeに)移行すれば、古いパスワード・ポリシーとの互換性の維持から新しいパスワード・ポリシーのみの使用へ移行することを検討できます。DS5-compatible-modeからDS6-modeへの移行は2段階で行い、これにはDS6-migration-modeの中間ステージが含まれます。第1段階では、Directory Server 11gリリース1(11.1.1.5.0)インスタンスをパスワード有効期限の全サイクルの間、DS5-compatible-modeのままにする必要があります。これにより、ユーザー・エントリに新しいpwdChangedTime属性が移入されます。また、古いパスワード・ポリシー属性に依存するアプリケーションも、古い属性がDS6-migration-modeでは使用できなくなるため、Directory Server 11gリリース1(11.1.1.5.0)インスタンスがDS5-compatible-modeである間に、新しい属性に移行する必要があります。この時点で、レプリケートされたトポロジを構成するインスタンスはDS6-migration-modeに移行できます。

第2段階では、中間のDS6-migration-modeでレプリケートされたトポロジのすべてのインスタンスを実行し、エントリ内の古い操作属性をクリーンアウトします。このクリーンアップはDS6-migration-modeからDS6-modeに移行する前に行う必要があります。これを行わない場合、古い属性がエントリに残ることになります。古いパスワード・ポリシーの操作属性のクリーンアップのオーバーヘッドを軽減するために、Directory Server 11gリリース1(11.1.1.5.0)インスタンスではパスワード変更と併せてその属性のみを削除します。したがって、パスワード有効期限の機能が有効であると仮定した場合、クリーンアップを簡単に行うには、パスワードの有効期限の全サイクルの間、Directory Server 11gリリース1(11.1.1.5.0)インスタンスをDS6-migration-modeのままにしておけばよいことになります。最後に、古いパスワード・ポリシー属性がエントリからクリーンアップされたら、インスタンスをDS6-modeに移行できます。新しいDirectory Server 11gリリース1(11.1.1.5.0)インスタンスが作成されると、DS5-compatible-modeに設定されることに留意してください。インスタンスがすでにDS6-modeに設定されたレプリケート済トポロジにインストールする前に、インスタンスをDS6-modeに更新することを忘れないでください。

次の表は、Directory Serverのバージョンとパスワード・ポリシーの互換性モードの可能な組合せを示しています。レプリケートされたトポロジでは許可される組合せは常に最大2つとなります。たとえば、トポロジにDirectory Server 11gリリース1(11.1.1.5.0)のDS5-compatible-modeのインスタンスとDS6-migration-modeのインスタンスが含まれる場合、従来型Directory Serverインスタンスなし、またはDS6-modeのDirectory Server 11gリリース1(11.1.1.5.0)インスタンスの2つのみが認められます。

表7-1 Directory Serverのパスワード・ポリシー・モード相互運用性

管理パスワード・リセットの分類

リセット時の必須変更(pwd-must- change-enabled)およびパスワード品質チェックの管理上のバイパス(pwd-root-dn-bypass-enabled)などのパスワード・ポリシー機能は、userPassword属性の変更を、本人による変更と管理リセットのどちらに分類するかにより異なります。

Directory Server 5.2では、デフォルトで、ディレクトリ・マネージャのみがユーザー・パスワードの管理リセットを実行できます。その他のパスワード変更はいずれも本人による変更と見なされます。Directory Server 5.2p4では、パスワード・ポリシー構成属性passwordNonRootMayResetUserpwdが導入されました。これが有効であるときは、次の2つの場合に対して本人による変更と見なされるuserPassword変更操作を制限するものです。

1. ユーザーが認証され、自身のアカウントのパスワードを変更している。

2. 管理者がパスワードを変更しているが、LDAPプロキシ認証制御(http://www.ietf.org/rfc/rfc4370.txt)がuserPassword変更操作に対して設定され、プロキシ・ユーザーDNが変更操作のターゲットになっている。

その他のパスワード変更は管理リセットと見なされます。この機能により、ルーチンのパスワード管理にディレクトリ・マネージャを使用する必要がなくなる一方、本人以外による簡易テスト(本人とは別のユーザーによるパスワード変更)では、管理ユーザーを識別するための個別スキームの複雑さを回避します。

今回のバージョンのDirectory Serverのパスワード変更の評価は、passwordNonRootMayResetUserPasswordを有効にしたDirectory Server 5.2と類似しています。つまり、Directory Serverでは、ユーザー自身によるパスワード変更の場合またはプロキシ認証制御が使用された場合を除いて、パスワード変更を管理リセットと見なします。インスタンスがDirectory Server 5.2互換モードのときに、passwordNonRootMayResetUserpwd属性がDirectory Serverパスワード・ポリシーの構成エントリに存在できる場合でも、この属性は変更できず、この機能は常に有効となります。

LDAPアプリケーションに基づくDirectory Server 5.2でディレクトリ・マネージャとは別の管理アカウントを使用して、ユーザーのかわりにパスワードを変更する(つまり、変更は本人による変更となる)と、アプリケーションがDirectory Server 7.0で使用される場合、変更は管理リセットと見なされます。オリジナルの動作をリストアするには、userPassword変更操作でLDAPプロキシ認証制御(http://www.ietf.org/rfc/rfc4370.txt)を使用します。プロキシ認証制御はプロキシ・ユーザーによる起動されたかのように操作を処理します。この制御は、LDAP C SDK(https://wiki.mozilla.org/LDAP_C_SDK)およびLDAP SDK for Java(http://www.mozilla.org/directory/javasdk.html)と、ldapmodifyコマンドで使用できます。プロキシ認証制御は、次のようにldapmodifyコマンドを使用して起動します。

$ ldapmodify -D <administrative-user-DN > -Y <proxied-user-DN>