2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
パスワード・ポリシー属性とdsconfサーバー・プロパティとの相関関係
ロールおよびCoSを使用して、パスワード・ポリシーを割り当てるには:
pwdSafeModifyがTRUEである場合のコマンドラインからのパスワード変更
新しいDirectory Server 11gリリース1(11.1.1.5.0)のデプロイメント
Directory Server 11gリリース1(11.1.1.5.0)へのデプロイメントの移行
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
パスワード・ポリシーによりパスワードの有効期限が適用されている場合に、期限内にパスワードを変更しないユーザーもいます。この項では、有効期限の切れたパスワードの変更方法を示します。
注意: Directory Serverでは、エントリのパスワードが変更されるたびに、操作属性pwdChangedTime(5dsat)を更新します。この結果、パスワードの有効期限を有効とすると、古くなったパスワードは即座に無効となります。この動作を意図しない場合は、警告および猶予期間ログインを使用します。
この項では、パスワード変更拡張操作によってパスワードをリセットする手順と、パスワードの期限が切れた場合に、猶予認証を許可する手順を説明します。
この項で説明するメカニズムは、管理者か、または実際のユーザーとディレクトリとのやり取りを処理するアプリケーションで使用することを意図しています。一般的には、エンドユーザーに、意図したとおりにメカニズムを実際に使用させるのは、アプリケーションの役割です。
パスワードの有効期限が切れると、ユーザー・アカウントはロックされます。パスワードをリセットすると、アカウントのロックが解除されます。パスワードは管理者などの他のユーザーによってリセットできます。パスワードをリセットすると、Directory Serverによりユーザー・アカウントのロックが解除されます。Directory Serverでは、RFC 3062「LDAP Password Modify Extended Operation」をサポートしています。拡張操作により、ディレクトリ管理者またはディレクトリ・アプリケーションがパスワードのリセットによりアカウントのロックを解除することを許可できます。
次の手順でも示すとおり、パスワード変更の拡張操作の使用を許可する際には注意してください。アクセスは信頼のある管理者とアプリケーションのみに制限してください。ネットワーク上でパスワードをクリアテキストで送受信しないでください。
このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。
次のコマンドは、Password ManagersロールのメンバーがSSLで接続した場合にパスワード変更拡張操作を使用できるようにするACIを設定します。
$ cat exop.ldif dn: oid=1.3.6.1.4.1.4203.1.11.1,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 1.3.6.1.4.1.4203.1.11.1 cn: Password Modify Extended Operation aci: (targetattr != "aci") (version 3.0; acl "Password Modify Extended Operation"; allow( read, search, compare, proxy ) (roledn = "ldap:///cn=Password Managers,dc=example,dc=com" and authmethod = "SSL");) $ ldapmodify -a -D cn=admin,cn=Administrators,cn=config -w - -f exop.ldif Enter bind password: adding new entry oid=1.3.6.1.4.1.4203.1.11.1,cn=features,cn=config $
cn=features,cn=configの下のエントリにより、パスワード変更の拡張操作を使用する操作に対するアクセス管理が可能になります。
この手順により、ユーザー・アカウントのロックが解除されます。ldappasswd(1)コマンドで実行できます。
ユーザー・エントリを管理するパスワード・ポリシーがpwdMustChange: TRUEを含む場合、ユーザーはリセット後に自身のパスワードを変更する必要があります。
この項では、ユーザーに猶予認証を与えて、期限切れになったパスワードを変更できるようにする方法を説明します。
猶予認証は、パスワードポリシーのリクエストおよびレスポンス制御を処理するアプリケーションによって管理することを意図しています。この手順では、アプリケーションにおける制御の使用方法のついて、簡単な例を示します。
このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。
アプリケーションでは、ユーザーが猶予認証を適切に処理していることを確認する必要があります。
次のコマンドは、Password Managersロールのメンバーがパスワード・ポリシー制御を使用できるようにするACIを設定します。
$ cat ctrl.ldif dn: oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid: 1.3.6.1.4.1.42.2.27.8.5.1 cn: Password Policy Controls aci: (targetattr != "aci") (version 3.0; acl "Password Policy Controls"; allow( read, search, compare, proxy ) roledn = "ldap:///cn=Password Managers,dc=example,dc=com";) $ ldapmodify -a -D cn=admin,cn=Administrators,cn=config -w - -f ctrl.ldif Enter bind password: adding new entry oid=1.3.6.1.4.1.42.2.27.8.5.1,cn=features,cn=config $
cn=features,cn=configの下のエントリの目的は、パスワード・ポリシーのリクエストおよびレスポンス制御を使用する操作へのアクセスを管理できるようにすることのみです。
注意: DS5–compatibility-modeパスワード・ポリシーは非推奨となります。今回のバージョンでは、DS6–modeパスワード・ポリシーに切り替える必要があります。 |