Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition評価ガイド 11g リリース1 (11.1.1.7.0) B72442-01 |
|
前 |
次 |
この章では、アイデンティティを可能なかぎり最大限にセキュリティ保護するDSEEの機能を説明します。この章の内容は、次のとおりです。
Directory Serverでは、ホスト・アクセス制御ファイルhosts.allow
およびhosts.deny
を使用して、サーバーにアクセスする接続状況を指定できます。接続ベースのアクセス制御を有効にするには、dsconf
コマンドを使用します。サーバー・プロパティhost-access-dir-path
を、hosts.allow
およびhosts.deny
ファイルが配置されているファイル・システム・ディレクトリの絶対パスに設定します。詳細は、serverおよびhosts_accessのマニュアル・ページを参照してください。
接続ベースのアクセス制御は、ACIを使用して構成することもできます。ACIバインド・ルールのバックグラウンドの詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のACIバインド・ルールに関する説明を参照してください。
Directory Server Enterprise Editionのパスワード・ポリシーでは、次のような機能が提供されます。
pwdGraceLoginLimit
属性で指定される猶予期間の上限。この属性は、期限切れのパスワードを使用して認証できる回数を指定します。属性が指定されていないか、0に設定されている場合、認証は失敗します。
pwdSafeModify
属性で指定される安全なパスワード変更。この属性は、パスワードの変更時に現在のパスワードを送信する必要があるかを指定します。属性が指定されていない場合、現在のパスワードを送信する必要はありません。
また、パスワード・ポリシーでは、passwordPolicyRequest
およびpasswordPolicyResponse
の2つの制御も提供されます。これらの制御を使用すると、LDAPクライアントは、LDAPのadd
、delete
、modrdn
、compare
およびsearch
操作のアカウント・ステータスの情報を取得できます。
検索内でOID 1.3.6.1.4.1.42.2.27.8.5.1
を使用すると、次の情報を取得できます。
パスワードの有効期限が切れるまでの期間
猶予期間ログインの残りの試行回数
パスワードの有効期限が切れている
アカウントがロックされている
リセット後にパスワードを変更する必要がある
パスワードの変更が許可されている
ユーザーは古いパスワードを入力する必要がある
パスワード品質(構文)が不十分である
パスワードが短すぎる
パスワードを変更するには早すぎる
パスワードはすでに履歴にある
DSCCでは、パスワード・ポリシーを管理するためのタブが提供されます。このタブを使用して、新しいポリシーを追加したり、ポリシーをDirectory Serverユーザーに割り当てたり、パスワード・ポリシーの互換性モードを変更することができます。次の図は、このタブを示しています。
新規パスワード・ポリシーを定義する場合、「新規パスワード・ポリシー」ウィザードを使用します。これを使用すると、パスワードの変更設定、有効期限の設定およびコンテンツの設定を指定できます。また、アカウント・ロックアウトの設定も指定できます。次の図は、「新規パスワード・ポリシー」ウィザードの手順2を示しています。
新規パスワード・ポリシーは、移行する場合に互換性モードを判断することで、以前のDirectory Serverのバージョンとの互換性を維持します。互換性モードは、パスワード・ポリシーの属性を古い属性として処理するか、新しい属性として処理するかを決定しますが、ここで言う古いとは、Directory Server 5.2または5.2.xのパスワード・ポリシー属性を意味します。
新規パスワード・ポリシーへの移行の詳細は、『Oracle Directory Server Enterprise Editionアップグレードおよび移行ガイド』のパスワード・ポリシーに関する説明を参照してください。
Directory Serverの機能により、管理者は、パスワードをリセットした後、一般システム・ユーザーにパスワードを強制的に変更させることができます。
この機能を有効にするには、pwd-must-change-enabled
プロパティを使用します。このプロパティは、ユーザーが最初にバインドしたとき、またはパスワードを設定またはリセットした後にパスワードを変更する必要があるかどうかを指定します。この機能はデフォルトでは無効になっています。
連続してバインドに失敗したために、ユーザー・アカウントがロックされると、ユーザー・アカウントは、サーバーのコレクション全体で効率的にロックされます。
次の図に示すとおり、DSCCを使用してユーザー・アカウント・ロックアウトを構成できます。
Directory Serverでは、クライアント・アプリケーションがサーバーへの認証に失敗したときに、格納されているアカウント・ロックアウト・データがレプリケートされるようになりました。バインドを適切にルーティングするためにDirectory Proxy Server機能と一緒に使用すると、グローバル・アカウント・ロックアウトにより、クライアント・アプリケーションは、ディレクトリ・サービス・トポロジ全体でロックアウトされる前に、指定した回数を超える試行を受け付けないようにすることができます。
詳細は、『Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』のグローバル・アカウント・ロックアウトを使用した認証の防止に関する説明を参照してください。
Directory Serverは、グループcn=Administrators,cn=config
に属しているディレクトリ管理者が管理できます。これらのユーザーは、ユーザーにディレクトリへの完全なアクセス権を付与する特殊なグローバルACIに従います。各インスタンスで作成されるデフォルトの管理者は、name="DirAdminDN" content="cn=admin,cn=Administrators,cn=config"
です。
これらのユーザーは実在エンティティを持つため、それらのエントリに証明書を追加できます。これは、作成する管理者のエントリが、SSL証明書を使用してバインドできることを意味します。さらに、サーバーは、バインドに失敗した試行回数が多すぎると、管理者ユーザーをロックします。
Directory Serverを使用すると、RFC 3062 (http://www.ietf.org/rfc/rfc3062.txt
)で説明されているLDAPパスワード変更の拡張操作を使用して、有効期限が切れたパスワードを変更できます。ldappasswdコマンドを使用して、コマンドラインから有効期限が切れたパスワードを変更できます。
パスワード・ポリシー属性pwdKeepLastAuthTimeを使用して最終ログイン時間の追跡を有効にすると、Directory Serverは、ユーザー・エントリの操作属性pwdLastAuthTimeに、最後に成功した認証の時間を記録します。
Directory Serverでは、プロキシ認可を使用して実行する更新の監査が強化されました。サーバーは、Directory Serverに認証されたアイデンティティではなく、操作を実行するために認可されたアイデンティティをログに記録できます。cn=config
のuseAuthzIdForAuditAttrs
をon
に設定すると、サーバーは、エントリの書込み操作中に、creatorsName
またはmodifiersName
属性の認可IDを記録します。デフォルトでは、Directory Serverは認可IDを記録します。
この章に記載の機能の詳細は、次のドキュメントを参照してください。
機能 | ドキュメント |
---|---|
コマンドラインを使用したパスワード・ポリシーの構成 |
『Oracle Directory Server Enterprise Edition管理者ガイド』の第7章のDirectory Serverのパスワード・ポリシーに関する説明 |
グローバル・アカウント・ロックアウトの有効化 |
『Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』のグローバル・アカウント・ロックアウトを使用した認証の防止に関する説明 |
Directory Server Enterprise Editionパスワード・ポリシー・アーキテクチャの概要 |
『Oracle Directory Server Enterprise Editionアップグレードおよび移行ガイド』のパスワード・ポリシーに関する説明 |
新規パスワード・ポリシーへの移行 |
『Oracle Directory Server Enterprise Editionアップグレードおよび移行ガイド』のパスワード・ポリシーの構成属性に関する説明 |
ACIを使用した接続ベースのアクセス制御の構成 |
『Oracle Directory Server Enterprise Edition管理者ガイド』のACIバインド・ルールに関する説明 |