このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
Pluggable Authentication Module (PAM)機能を使用すると、強力なユーザー認証およびパスワードの複雑さ、長さ、経過期間、有効期限、前のパスワードの再利用を規定するルールを含むパスワード・ポリシーを実施できます。 ログイン試行に何回も失敗した後、通常の勤務時間後、または同時セッションが多数開かれている場合に、ユーザー・アクセスをブロックするようPAMを構成できます。
PAMは様々なモジュールおよびカスタマイズ可能なパラメータが使用されているため、高度にカスタマイズできます。 たとえば、デフォルトのパスワード整合性チェック・モジュールpam_cracklib.so
はパスワードの強度をテストします。 PAM構成ファイル(/etc/pam.d/system-auth
)には、パスワードの強度をテストするための次のデフォルト・エントリが含まれます。
password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password required pam_deny.so
pam_cracklib.so
の行では、適切なパスワードを選択するために3回試行できることが定義されています。 モジュールのデフォルト設定では、パスワード長は最小6文字で、そのうち3文字は前のパスワードと異なる必要があることが定義されています。
pam_unix.so
の行では、モジュールでパスワード・チェックを実行せず(pam_cracklib
ですでにチェックを実行したため)、SHA-512パスワード・ハッシュを使用し、既存のパスワードがnullの場合にアクセスを許可し、/etc/shadow
ファイルを使用することを指定しています。
制御フラグとモジュール・パラメータを変更して、ユーザーがパスワードを変更するときに実行されるチェックを変更できます。例を示します。
password required pam_cracklib.so retry=3 minlen=8 difok=5 minclass=-1 password required pam_unix.so use_authtok sha512 shadow remember=5 password required pam_deny.so
pam_cracklib.so
の行では、適切なパスワードを選択するためにユーザーは3回試行でき、パスワード長は最小8文字で、そのうち5文字は前のパスワードと異なる必要があり、大文字、小文字、数字、英数字以外の文字を少なくとも1つずつ使用する必要があることを指定しています。
pam_unix.so
の行では、モジュールではパスワード・チェックを実行せず、SHA-512パスワード・ハッシュを使用し、/etc/shadow
ファイルを使用し、各ユーザーの過去5つのパスワードに関する情報を/etc/security/opasswd
ファイルに保存することを指定しています。 nullok
が指定されていないため、既存のパスワードがnullの場合、ユーザーはパスワードを変更できません。
try_first_pass
キーワードが省略されているため、同じモジュールまたはスタックの前のモジュールで入力した場合でも、ユーザーは常に既存のパスワードを尋ねられます。
パスワード・チェックに、pam_passwdqc.so
などの代替モジュールを使用できます。
詳細は、23.7項「Pluggable Authentication Moduleについて」と、pam_cracklib(8)
、pam_deny(8)
、pam_passwdqc(8)
およびpam_unix(8)
の各マニュアル・ページを参照してください。