始める前に
root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
例:
# cat /etc/security/policy.conf … # Sets the SHA256 (5) algorithm as default. # SHA256 supports 255-character passwords. # Passwords previously encrypted with MD5 (1) will be encrypted # with SHA256 (5) when users change their passwords. #CRYPT_DEFAULT=1 CRYPT_DEFAULT=5
この例では、CRYPT_DEFAULT の新しい値が 5 (SHA256、SHA256 アルゴリズム) になっています。SHA は、Secure Hash Algorithm (セキュアハッシュアルゴリズム) を表します。このアルゴリズムは、SHA-2 ファミリのメンバーです。SHA256 では 255 文字のパスワードがサポートされます。
たとえば、SHA256 アルゴリズムが既存のユーザーにも確実に適用されるようにするには、CRYPT_ALGORITHM_ALLOWED から MD5 を示す以前の識別子 1 を除外するようにしてください。
CRYPT_ALGORITHMS_ALLOW=5,6
この例では、BSD および Linux システムが含まれるネットワーク上の管理者は、すべてのシステムで使用できるようにパスワードを構成します。SHA512 暗号化は一部のネットワークアプリケーションで処理できないため、管理者はその識別子を許容されるアルゴリズムのリストに含めません。管理者は、CRYPT_DEFAULT 変数の値として SHA256 アルゴリズム 5 を保持しています。CRYPT_ALGORITHMS_ALLOW 変数には、BSD および Linux システムと互換性のある MD5 識別子と、BSD システムと互換性のある Blowfish 識別子が含まれています。5 は CRYPT_DEFAULT アルゴリズムであるため、CRYPT_ALGORITHMS_ALLOW リストに載せる必要はありません。しかし、保守のために、管理者は 5 を CRYPT_ALGORITHMS_ALLOW リストに入れ、使われていない識別子を CRYPT_ALGORITHMS_DEPRECATE リストに入れます。
CRYPT_ALGORITHMS_ALLOW=1,2a,5 #CRYPT_ALGORITHMS_DEPRECATE=__unix__,md5,6 CRYPT_DEFAULT=5