プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Access Management管理者ガイド
11g リリース2 (11.1.2.3) for All Platforms
E61950-08
目次へ移動
目次
前
 		次

24.8 パスワード・ポリシー構成の完了

管理者は、パスワード・ポリシー・メッセージのエラー・モードの設定、ネイティブLDAPパスワード・ポリシー検証のオーバーライドおよび必要に応じてデプロイメントが動作していることを確認するための評価の実行が可能です。

ここで説明するタスクは、どの資格証明コレクタを構成していても同じです。次のタスクを実行して、パスワード・ポリシーの構成を完了します。

24.8.1 パスワード・ポリシー・メッセージのエラー・メッセージ・モードの設定

管理権限を持つユーザーは、パスワード・ポリシー・メッセージのサーバー・エラー・モードを設定できます。

図24-4に、Access Managerの設定を示します。

図24-4 パスワード管理のサーバー・エラー・モード

図24-4の説明が続きます
「図24-4 パスワード管理のサーバー・エラー・モード」の説明

前提条件

  1. Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
  2. 「構成」コンソールで、「設定」ドロップダウン・リストから「Access Manager」を選択します。
  3. 「ロード・バランシング」セクションで、「サーバー・エラー・モード」「内部」に設定します。
  4. 「適用」をクリックします。
  5. 「ネイティブLDAPパスワード・ポリシー検証のオーバーライド」に進みます。

24.8.2 ネイティブLDAPパスワード・ポリシー検証のオーバーライド

ネイティブLDAPパスワード・ポリシー検証を無効にした後でないと、非ネイティブのパスワード・ポリシーは使用できるようになりません。

たとえば、Oracle Access Managementに登録されたOracle Internet Directoryの使用時、ネイティブのパスワード・ポリシーは、通常次の場所にあります。

dn: cn=default,cn=pwdPolicies,cn=Common,cn=Products,cn=OracleContext,<DOMAIN_CONTAINER>

注意:

ネイティブLDAPパスワード・ポリシー検証を無効にすると、直接のLDAP操作に対するポリシー強制がなくなります。Oracle Internet Directoryには、次のうちの1つを含む様々なパスワード・ポリシーがあります。

dn: cn=default,cn=pwdPolicies,cn=Common,cn=Products,cn=OracleContext

ただし、これはドメインに適用することはできません。

orclpwdpolicyenableパラメータをゼロ(0)に設定することで、Oracle Internet Directoryパスワード・ポリシーを無効にできます。

関連項目:

様々な属性が説明されています。

次の手順は1つの例です。環境はユーザーによって異なります。

前提条件

パスワード・ポリシー・メッセージのエラー・メッセージ・モードの設定

  1. LDAPディレクトリ・ベンダーのマニュアルを参照してください。
  2. Oracle Internet Directory: orclpwdpolicyenableをゼロ(0)に設定することで、ネイティブ・ポリシーを無効にします。

    • ドメインのパスワード・ポリシーの場所を確認します。

    • 適切なネイティブLDAPポリシーがわかっている場合は、そのポリシーを無効にします。次に例を示します。

      orclpwdpolicyenable = 0
  3. 使用するデプロイメントに応じて、次の作業を実行します。

24.8.3 ECC操作の無効化とDCCの単独使用

DCCとECCの共存を許可して、両方の資格証明コレクタに認証スキームとポリシーを保持する場合、このタスクはスキップできます。ECCを無効にする場合は、oam-config.xmlファイルを編集する必要があります。通常、oam-config.xmlファイルは編集しないことをお薦めします。このファイルを変更するとデータが失われたり、データ同期操作中にファイルが上書きされる可能性があります。ただし、他の方法でECCを完全に無効にして、DCCを選択できません。

ノート:

ECCを無効にすると、そのECCに依存するスキームとポリシーで保護されているリソース(Oracle Access Managementコンソールを含む)にはアクセスできなくなります。

前提条件

DCC対応の11g Webゲートと認証ポリシーの構成

  1. AdminServerを実行されているノードで、他のAdminServerユーザーによって発生する可能性がある競合ができるだけ少なくなるように変更を加えます。
  2. 必要に応じて、$DOMAIN_HOME/config/fmwconfig/にあるoam-config.xmlをバックアップし、後で使用するためにコピーを別の場所に保存します。
  3. OAMServicesDescriptorセクションでECCEnabledパラメータを見つけて、次の太字で示された部分を変更します。
    <Setting Name="OAMServicesDescriptor" Type="htf:map">
  ... ...
   <Setting Name="ECCEnabled" Type="htf:map"> 
   <Setting Name="ServiceStatus" Type="xsd:boolean">false</Setting>
</Setting>
  4. ファイルの先頭にある構成バージョン番号を1増加させて、この変更を関連付け、実行中のすべてのOAMサーバーに対する自動伝播と動的アクティブ化を有効にします(この例の、最後の行のすぐ上を参照してください)。
    <Setting Name="Version" Type="xsd:integer">
  <Setting xmlns="http://www.w3.org/2001/XMLSchema"
    Name="NGAMConfiguration" Type="htf:map:> 
  <Setting Name="ProductRelease" Type="xsd:string">11.1.1.3</Setting>
    <Setting Name="Version" Type="xsd:integer">2</Setting>
</Setting>
  5. 「マルチステップ認証のテスト」に進みます。

24.8.4 マルチステップ認証のテスト

デプロイメントが適切に動作していることを確認するために、いくつか評価を実行できます。

関連項目:

11g Webゲートが関与するセッションの集中ログアウトの構成

  1. ログイン後のアクセスを確認します。

    1. ブラウザを開き直して、リソースをリクエストします。

    2. ユーザー資格証明を使用してログインします。

    3. リソースにアクセスできることを確認します。

  2. 不正なログインでアクセスできないことを確認します。

    1. ブラウザを開き直して、リソースをリクエストします。

    2. 不正なユーザー資格証明を使用してログインします。

    3. 再認証が必要になることを確認します。

  3. 不正なログインの最大試行回数を超過したときのロックアウトを確認します。

    1. ブラウザを開き直して、リソースをリクエストします。

    2. 不正なユーザー資格証明を使用して、繰り返しログインします。

    3. ユーザー・アカウントがロックされたことを確認します。

  4. パスワード有効期限ポリシーを変更および評価します。

    1. Oracle Access Managementコンソールにログインします。

    2. パスワード・ポリシーで、有効期限とロックアウト期間(表24-2)をリセットして、次回のログイン時に警告が表示されるようにします。

    3. ポリシーの更新を保存します。

    4. ブラウザを開き直して、リソースをリクエストします。

    5. パスワードが期限切れになることを示す警告ページが表示されることを確認します。

    6. パスワードを変更しないで続行するリンクをクリックします。

  5. パスワードを変更します。

    1. ブラウザを開き直して、リソースをリクエストします。

    2. パスワード有効期限切れの警告ページで、パスワードを変更するリンクをクリックします。

    3. パスワード変更のページで、古いパスワードを正しく入力します。

    4. 新しいパスワードのフィールドで、パスワード・ポリシーに従わない新しいパスワードを入力して、パスワード検証のエラーを確認します。

    5. 要件を満たす新しいパスワードを入力して、変更の成功とリソースへのアクセスを確認します。

前
 		次
目次へ移動
目次