31 パスワード・ベリファイアの管理
内容は次のとおりです。
31.1 ディレクトリ認証用パスワード・ベリファイア
退職または役職が変わったユーザーの権限は、その当日に変更して、古くなった未使用のアカウントや権限が誤使用されないようにする必要があります。
ユーザー・アカウントとパスワードが複数のデータベースに分散される大企業では、パスワードが集中管理されていないと、管理者が万全なセキュリティに必要な速度で変更を実行できない可能性があります。内容は次のとおりです。
31.1.1 情報
Oracle Internet Directoryでは、セキュリティ資格証明を集中的に格納して、エンド・ユーザーと管理者が簡単に管理できるようにします。
Oracle Internet Directoryには、次が格納されます。
-
ディレクトリ自体に対する認証ユーザーのパスワード
-
その他のOracleコンポーネントに対する認証ユーザーのパスワード・ベリファイア
Oracle以外のアプリケーションがディレクトリ対応の場合、ユーザーは非Oracleの認証資格証明を格納できます。これらのアプリケーションは、製品エントリの下に独自のコンテナを作成する必要があります。
Oracle Internet Directoryでは、ユーザーのディレクトリ・パスワードをuserPassword属性に格納します。Oracle Internet Directoryでサポートされるハッシング・アルゴリズムの1つを使用して、パスワードを一方向ハッシュ値のBASE64エンコーディング文字列として格納することにより、このパスワードを保護できます。パスワードを暗号化された値ではなく一方向ハッシュ値として格納することにより、悪意のあるユーザーがパスワードを読み取ったり復号化できないため、パスワードがより完全に保護されます。
31.1.2 Oracle Internet Directoryのデフォルトのパスワード・ポリシーについて
Oracle Internet DirectoryのデフォルトのuserPasswordハッシング・アルゴリズムは、MD4からSSHAに変更されました。このデフォルトのスキームは新規インストールでのみ有効です。
新規インストール後に作成されたすべてのuserPassword属性は、SSHAを使用する一方向ハッシュであり、Oracle Internet Directoryに格納されます。
アップグレードを実行すると、アップグレード前に有効だったデフォルトのハッシング・スキームが保持されます。たとえば、アップグレード前のデフォルトのスキームがMD4の場合、アップグレード後もMD4がデフォルトのスキームとなります。userPasswordのセキュリティをより強化するには、アップグレード直後にデフォルトのスキームをSSHAに変更します。デフォルトのスキームをSSHAに変更しても、ユーザー・ログインには影響しません。セキュリティをより強化するために、ユーザーはSSHA値のハッシュ値がOracle Internet Directoryに格納されるように、パスワードをリセットする必要があります。
ノート:
さらにセキュリティを強化する場合、11gリリース1 (11.1.1.4.0)では、よりセキュアなSHA-2アルゴリズムの3つのバリアント、およびこれらのバリアントのSaltバージョンを使用できます。
Oracle Internet Directoryでは、ユーザー・パスワードをorclrevpwd構成属性に可逆暗号化形式で格納します。このorclrevpwd属性は、パスワード・ポリシー・エントリの属性orclpwdencryptionenableが1に設定されている場合にのみ生成されます。
属性のアクセス制御ポリシー(ACI)を変更する場合でも、orclrevpwd属性はOracle Internet Directoryサーバーで安全に保持され、問合せは不可能です。ただし、Oracle Directory Integration Platformでは、orclrevpwd属性を問い合せることができ、これによりパスワード同期が機能します。
31.1.3 ユーザー・パスワード・ベリファイアおよびディレクトリ認証について
Oracle Internet Directoryでは、ユーザーのディレクトリ・パスワードを一方向ハッシュ値としてuserPassword属性に格納することによって、そのパスワードを保護します。
使用するハッシング・アルゴリズムを選択します。パスワードを暗号化された値ではなく一方向ハッシュ値として格納することにより、悪意のあるユーザーがパスワードを読み取ったり復号化できないため、パスワードがより完全に保護されます。
ディレクトリ・サーバーの認証時に、クライアントはディレクトリ・サーバーにクリアテキストでパスワードを指定します。ディレクトリ・サーバーで、DSE属性orclcryptoschemeに指定されたハッシュ・アルゴリズムを使用してこのパスワードをハッシュします。その後、バインディング・エントリのuserPassword属性に格納されているハッシュ・パスワードと照らして検証します。ハッシュ・パスワード値が一致する場合、サーバーはそのユーザーを認証します。一致しない場合、サーバーはユーザーに対して「無効な資格証明」エラー・メッセージを送信します。
外部ユーザーは、バインディング・ユーザーのuserpassword属性に対するldapcompare操作を使用して認証できます。この場合でも、Oracle Internet Directoryは、最初に着信クリアテキスト値をハッシュしてそれを格納されている値と比較することによって、バインド操作のときと同じフローを使用します。
31.1.4 ユーザー・パスワード・ベリファイアを作成するためのハッシング・スキームについて
インストール時、Oracle Identity Management 11gインストーラは、ユーザーのディレクトリ・パスワードを保護するために一方向ハッシング・スキームをSSHAに設定します。この値は、ルートDSEのorclCryptoScheme属性に格納されます。
値は、次のハッシング・スキームに変更できます。
-
MD4: 128ビットのハッシュまたはメッセージ・ダイジェスト値を生成する一方向ハッシュ関数
-
MD5: MD4が改善された、より複合的なバージョン
-
SHA-1: MD5よりさらに長い160ビットのハッシュを生成するセキュア・ハッシュ・アルゴリズム。このアルゴリズムはMD5よりも若干速度が遅くなりますが、大きなメッセージ・ダイジェストによって、総当たり攻撃や反転攻撃に対処できます。
-
SSHA: Salted Secure Hash Algorithm。SHAと類似していますが、パスワードにランダムなsalt文字を使用して生成します。
-
SHA256、SHA384、SHA512: よりセキュアなSHA-2アルゴリズムのバリアント。数値は、ハッシュ関数のダイジェスト・サイズを表しています。
-
SSHA256、SSHA384、SSHA512: 3つのSHA-2アルゴリズムのSaltバージョン。
-
SMD5: Salt MD5。MD5と類似していますが、パスワードにランダムなsalt文字を使用して生成します。
-
UNIX Crypt: UNIXハッシング・アルゴリズム
-
None: パスワードは、クリアテキストで格納されます。
「ディレクトリ認証用パスワード・ベリファイアのハッシング・スキームの管理」および「ODSMデータ・ブラウザを使用したシステム構成属性の管理」を参照してください。
ノート:
過去において、Oracle Internet Directoryは、UNIX CryptのDESバリアントをサポートしていました。11gリリース1 (11.1.1.0.0) Oracle Internet Directory以降には、UNIX CryptのMD5およびBlowfishバリアントを解釈する機能があります。つまり、これらのバリアントを使用して事前にハッシュ処理されたパスワードをOracle Internet Directoryにそのままインポートし、作業を続行できます。ただし、orclcryptoschemeとしてUNIX Cryptを選択する場合は、引き続きUNIX CryptのDESバリアントのみが生成されます。
31.2 ディレクトリ認証用パスワード・ベリファイアのハッシング・スキームの管理
次の例は、my_ldif_fileという名前のLDIFファイルを使用してパスワード・ハッシング・アルゴリズムをSHA512に変更します。
ldapmodify -D cn=orcladmin -q -h myhost -p 3060 -v -f my_ldif_file
LDIFファイルmy_ldif_fileの内容は、次のとおりです。
dn: changetype: modify replace: orclcryptoscheme orclcryptoscheme: SHA512
31.3 コンポーネント認証用パスワード・ベリファイア
Oracleコンポーネントは、パスワードとパスワード・ベリファイアの両方をOracle Internet Directoryに格納します。
この項の内容は次のとおりです。
31.3.1 Oracleコンポーネント認証用パスワード・ベリファイアについて
Oracleコンポーネントは、それぞれのコンポーネントのパスワード値をパスワード・ベリファイアとしてOracle Internet Directoryに格納できます。パスワード・ベリファイアとは、クリアテキストのパスワードをハッシュしたバージョンで、このバージョンはBASE64エンコーディング文字列としてエンコードされます。
次のいずれかのハッシング・アルゴリズムを使用して、パスワード・ベリファイアを導出できます。
-
MD5: MD4が改善された、より複合的なバージョン
-
SHA-1: MD5よりさらに長い160ビットのハッシュを生成するセキュア・ハッシュ・アルゴリズム。このアルゴリズムはMD5よりも若干速度が遅くなりますが、大きなメッセージ・ダイジェストによって、総当たり攻撃や反転攻撃に対処できます。
-
SSHAおよびSMD5
-
SHA256、SHA384、SHA512: よりセキュアなSHA-2アルゴリズムのバリアント。数値は、ハッシュ関数のダイジェスト・サイズを表しています。
-
SSHA256、SSHA384、SSHA512: 3つのSHA-2アルゴリズムのSaltバージョン。
-
UNIX Crypt: UNIXハッシング・アルゴリズム
-
SASL/MD5: Simple Authentication and Security Layer/MD5。接続ベースのプロトコルに認証サポートを追加し、チャレンジ/レスポンス・プロトコルを使用します。
-
O3LOGON: ベリファイアを生成する独自のOracleアルゴリズム。チャレンジ/レスポンス・プロトコルを使用するという点で、SASL/MD5と類似しています。
-
ORCLWEBDAV: SASL/MD5と同じ専用アルゴリズムで、
username@realmの形式のユーザー名を使用します。 -
ORCLLM: SMBLMアルゴリズムのOracle表現です。SMBLMアルゴリズムは、SMB/CIFSチャレンジ/レスポンス認証アルゴリズムのLMバリアントOracle表現です。
-
ORCLNT: SMBNTアルゴリズムのOracle表現です。SMBNTアルゴリズムは、SMB/CIFSチャレンジ/レスポンス認証アルゴリズムのNTバリアントOracle表現です。
Oracleアプリケーションのインストール時に、Oracle Identity Management 11gインストーラは、必要なパスワード検証情報をすべて含むパスワード・ベリファイア・プロファイル・エントリをそのアプリケーション用に作成します。図31-1に示すように、このエントリは、レルム固有のOracleコンテキストの下にある製品エントリ下のアプリケーション・エントリの直下に配置されます。
このベリファイア・プロファイル・エントリは、指定されたレルム内のユーザーのみに適用されます。ベリファイアの生成を適切に行うには、レルム固有のOracleコンテキストの共通エントリのorclcommonusersearchbase属性に適切な値を設定する必要があります。
図31-1 パスワード・ベリファイア・プロファイル・エントリの位置
31.3.2 Oracleコンポーネント認証用パスワード・ベリファイアを格納するための属性
ディレクトリとOracleコンポーネントの両方とも、ユーザー・パスワードをユーザー・エントリに格納しますが、格納する属性は異なります。
ディレクトリは、userPassword属性にユーザー・パスワードを格納しますが、Oracleコンポーネントは、ユーザー・パスワード・ベリファイアをauthPassword、orclPasswordVerifierまたはorclpassword属性に格納します。表31-1に、Oracleコンポーネントで使用する各属性を示します。
表31-1 ユーザー・エントリにパスワード・ベリファイアを格納するための属性
| 属性 | 説明 |
|---|---|
|
|
パスワードが、ディレクトリに対してユーザー認証を行うために使用するパスワード 複数の異なるアプリケーションで、ディレクトリに使用されるのと同じクリアテキスト・パスワードを入力するようにユーザーに要求できますが、各アプリケーションでは、異なるアルゴリズムを使用してそのパスワードをハッシュすることがあります。この場合、同じクリアテキスト・パスワードが、複数の異なるパスワード・ベリファイア機能のソースになります。 この属性は複数値の属性であるため、異なるアプリケーションがこのユーザーのクリアテキスト・パスワードに対して使用する他のすべてのベリファイアを格納できます。 |
|
|
パスワードが、ディレクトリに対してユーザー認証を行うために使用するパスワード
|
|
|
エンタープライズ・ユーザー用の03LOGONベリファイアのみを格納するための属性。03LOGONベリファイアは、 Oracle Internet Directoryをインストールすると、デフォルトではルートOracleコンテキストにデータベース・セキュリティ・プロファイルのエントリが作成されます。このエントリの存在によって、 |
これらの属性の型には、属性サブタイプとしてappIDがあります。この属性サブタイプで特定のアプリケーションを一意に識別します。たとえば、appIDはアプリケーション・エントリのORCLGUIDにできます。この属性サブタイプは、アプリケーションのインストール時に生成されます。
図31-2では、様々なOracleコンポーネントで、Oracle Internet Directoryにパスワード・ベリファイアが格納されています。Oracle Single Sign-Onはディレクトリと同じパスワードを使用するため、パスワードをauthPassword属性に格納します。他のアプリケーションは異なるパスワードを使用するため、ベリファイアをorclPasswordVerifier属性に格納します。
次の記述は、アプリケーション固有のベリファイア・プロファイルの例です。共通のベリファイア・フレームワークを使用しないことを選択したアプリケーションでは、次の例のように、固有のベリファイア・プロファイル・エントリを作成する必要があります。orclappidはアプリケーション・コンテナのGUIDに設定され、ベリファイア属性authpasswordおよびorclpasswordverifierのサブタイプとしても使用されます。
dn: cn=IFSVerifierProfileEntry,cn=IFS,cn=Products,cn=OracleContext,o=Oracle,dc=com objectclass:top objectclass:orclpwdverifierprofile cn:IFSVerifierProfileEntry orclappid:8FF2DFD8203519C0E034080020C34C50 orclpwdverifierparams;authpassword: crypto:SASL/MDS $ realm:dc=com orclpwdverifierparams;orclpasswordverifier: crypto:ORCLLM orclpwdverifierparams;authpassword: crypto:ORCLWEBDAV $ realm:dc=com $ usernameattribute: mail $ usernamecase: lower $ nodomain: TRUE
SASL/MD5およびORCLWEBDAVベリファイアは、ユーザー名、レルムおよびパスワードを使用して生成されます。使用するユーザー名属性は、ベリファイア・プロファイル・エントリで指定できます。ユーザー名は大文字でも小文字でも指定できます。ORLWEBDAVベリファイアは、ユーザー名にアイデンティティ管理レルムの名前を追加して生成されます。レルムの名前を追加して生成する必要がない場合、ベリファイア・プロファイル・エントリではnodomain: TRUEを指定する必要があります。
前述の例では、ORCLWEBDAVベリファイアは、レルムの名前を追加せずにmail属性の値を使用して生成されます。また、ユーザー名はベリファイアが生成される前に小文字に変換されます。
31.3.3 Oracleコンポーネントのデフォルトのベリファイア
各Oracleコンポーネントのプロファイルを作成する必要をなくし、すべてのコンポーネントでパスワード・ベリファイアを共有できるようにするために、Oracle Internet Directoryにはパスワード・ベリファイアのデフォルト・セットが用意されています。
デフォルトのベリファイアには、MD5、MD5-IFS(ユーザー名がニックネーム属性の値に設定され、レルムがAuthorized_Usersに設定されたSASL/MD5)、WEBDAV、ORCLLMおよびORCLNTのタイプがあります。
2つのプロファイル・エントリが必要です。1つは数値のみを使用する個人識別番号(PIN)を使用するアプリケーション用、もう1つは英数字のパスワードを使用するアプリケーション用です。
PINベースのアプリケーション用ベリファイア(たとえば、OracleAS Unified Messagingのボイス・メール)は、orclpasswordverifier;orclcommonpin属性に格納されます。サブタイプorclcommonpinは、数値のPINと英数字のパスワードを区別するために使用されます。数値のPINを使用するアプリケーションでは、orclpasswordverifier;orclcommonpin属性に対して直接に問合せや比較ができます。
英数字パスワード・ベースのアプリケーション用ベリファイアは、次のいずれかに格納されます。
-
authpassword;orclcommonpwd属性—アプリケーションがそのベリファイアとuserpassword属性を同期する必要がある場合 -
orclpasswordverifier;orclcommonpwd属性—userpassword属性との同期が必要ない場合
サブタイプorclcommonpwdは、数値のPINと英数字のパスワードを区別するために使用されます。サブタイプが付いたベリファイア属性は、問合せが可能です。
これらのプロファイル・エントリには、サブスクライブ・アプリケーションのリストも含まれ、これらのアプリケーションは、プロファイル・エントリ内でuniquemember属性の値として指定されます。デフォルトでは、Oracle Single Sign-OnのアイデンティティのDNがサブスクライブ・アプリケーションの1つになっています。これは、Oracle Single Sign-Onが、すべてのパートナ・アプリケーションのプロキシ・メンバーであることを示しています。Oracle Single Sign-Onに基づいていないすべてのアプリケーションで、適切なプロファイル・エントリ内のuniquemember属性にアイデンティティ(DN)を追加する必要があります。
次に、プロファイル・エントリの例を示します。
Cn=defaultSharedPwdProfileEntry, cn=common, cn=products, cn=oraclecontext Objectclass: orclpwdverifierprofile Objectclass: orclcommonpwdprofile Cn: defaultSharedPwdProfileEntry Orclappid: orclcommonpwd Orclpwdverifierparams;authpassword: crypto:SASL/MD5 $ realm:Authorized_Users Orclpwdverifierparams;authpassword: crypto:ORCLWEBDAV $ realm:Authorized_Users Orclpwdverifierparams;authpassword: crypto:ORCLLM Orclpwdverifierparams;authpassword: crypto:ORCLNT Orclpwdverifierparams;orclpasswordverifier: crypto:SSHA Uniquemember: cn=SSO,cn=Products,cn=OracleContext Uniquemember: cn=IFS,cn=Products,cn=OracleContext Cn=defaultSharedPINProfileEntry, cn=common, cn=products, cn=oraclecontext Objectclass: orclpwdverifierprofile Objectclass: orclcommonpwdprofile Cn: defaultSharedPinProfileEntry Orclappid: orclcommonpin Orclpwdverifierparams;orclpasswordverifier: crypto:MD5 Orclpwdverifierparams;orclpasswordverifier: crypto:SSHA Uniquemember: cn=SSO,cn=Products,cn=OracleContext Uniquemember: cn=Unified Messaging,cn=Products,cn=OracleContext
PINベースのアプリケーションでは、authpasswordはオプションではありません。orclpasswordverifier属性が使用されます。
31.3.4 Oracleコンポーネントに対するパスワード検証の理解
この例のOracleコンポーネントは、パスワード・ベリファイアをディレクトリに格納します。
図31-3に、Oracleコンポーネントに対するパスワード検証の例を示します。この例のOracleコンポーネントは、パスワード・ベリファイアをディレクトリに格納します。
図31-3 パスワード検証の動作
-
ユーザーは、ユーザー名とクリアテキスト・パスワードを入力して、アプリケーションへのログインを試みます。
-
アプリケーションは、クリアテキスト・パスワードをディレクトリ・サーバーに送信します。アプリケーションは、パスワード・ベリファイアをディレクトリに格納した後、ディレクトリ・サーバーに対して、このパスワード値をディレクトリ内の対応するベリファイアと比較するようにリクエストします。
-
ディレクトリ・サーバー:
-
特定のアプリケーションに指定されているハッシング・アルゴリズムを使用して、パスワード・ベリファイアを生成します。
-
次に、生成したパスワード・ベリファイアをディレクトリ内の対応するパスワード・ベリファイアと比較します。比較操作が成功した場合、アプリケーションは、ベリファイア属性のサブタイプとしてその
appIDを指定する必要があります。たとえば:ldapcompare -p 3060 -D "DN_of_the_appplication_entity" -q \ -b "DN_of_the_user" -a orclpasswordverifier;appID \ -v password_of_the_user
-
比較操作の結果をアプリケーションに通知します。
-
-
アプリケーションは、ディレクトリ・サーバーからのメッセージに従って、ユーザーを認証または否認します。
アプリケーションは、比較操作を使用しない場合、次のように動作します。
-
ユーザーが入力したクリアテキスト・パスワードをハッシュします。
-
ユーザーが入力したクリアテキスト・パスワードのハッシュ値をディレクトリから取り出します。
-
クライアントが応答するユーザーへのチャレンジを開始します。レスポンスが適切な場合、アプリケーションはユーザーを認証します。
31.4 ODSMを使用したOracleコンポーネント用パスワード検証プロファイルの管理
Oracle Directory Services Managerを使用して、パスワード・ハッシング・スキームを含むパスワード・ベリファイア・プロファイル・エントリを表示および変更できます。
アプリケーションのパスワード・ベリファイアを表示および変更するには:
31.5 コマンドライン・ツールを使用したコンポーネント用パスワード検証プロファイルの管理
コマンド行ツールを使用して、パスワード・ベリファイア・プロファイルを表示および変更できます。
次の項で、これについて説明します。
31.5.1 コマンド行ツールを使用したパスワード・ベリファイア・プロファイルの表示
アプリケーションのパスワード・ベリファイアを表示するには、パスワード・ベリファイア・プロファイルの識別名を指定して検索を実行します。
アプリケーションのパスワード・ベリファイアを表示するには、パスワード・ベリファイア・プロファイルの識別名を指定して検索を実行します。
31.5.2 コマンド行ツールを使用したパスワード・ベリファイア・プロファイルの変更
この例では、アプリケーションのパスワード・ベリファイア・プロファイル・エントリのハッシング・アルゴリズムを変更します。
このパスワード・ベリファイアは、ユーザーのディレクトリ・パスワードと同期しています。次のように入力します。
ldapmodify -D "cn=orcladmin" -q -p 3060 -h my_host -v -f file.ldif
この場合、file.ldifには次が含まれます。
dn: cn=MyAppVerifierProfileEntry,cn=MyApp,cn=Products,cn=OracleContext, o=my_company,dc=com changetype: modify replace: orclPwdVerifierParams orclPwdVerifierParams;authPassword: crypto:SASL/MD5 $ realm:dc=com
31.6 動的パラメータを使用したベリファイアの生成の概要
前述のパスワード・ベリファイアは、静的パスワード・ベリファイアです。つまり、通常アプリケーションのインストール中に、事前構成されたパラメータから生成されたベリファイアです。
一部のアプリケーション(Oracle Calendar、Oracle EmailおよびOracle Wireless and Voiceなど)では、Oracle Internet Directoryが動的パスワード・ベリファイアを生成する必要があります。
Oracle Internet Directoryは、アプリケーションが動的パスワード・ベリファイアをリクエストした場合に、これを生成します。動的ベリファイアは、アプリケーションの実行時に使用可能になるアプリケーション・パラメータに基づいています。
Oracle Internet Directoryが動的パスワード・ベリファイアを生成するには、以前に可逆暗号化形式で格納されたユーザー・パスワードが必要です。Oracle Internet Directoryでは、これらの値を構成属性orclrevpwdおよびorclunsyncrevpwdに格納します。userpasswordに基づいて暗号化された値は、orclrevpwdパラメータに格納されます。Oracle Calendarで使用される数値のPINなど、userpassword以外のパスワードに基づいて暗号化された値は、パラメータorclunsyncrevpwdに格納されます。
31.7 動的パスワード・ベリファイアを生成するためのOracle Internet Directoryの構成
userpasswordを使用し、動的パスワード・ベリファイアを必要とするアプリケーションをデプロイする場合、Oracle Internet Directoryがorclrevpwd属性を生成することを確認する必要があります。
レルムのパスワード・ポリシー・エントリの属性orclpwdencryptionenableが1に設定されている場合、ユーザーをプロビジョニングすると、Oracle Internet Directoryは属性orclrevpwdを生成します。したがって、ユーザーをプロビジョニングする前に、orclpwdencryptionenableを1に設定する必要があります。
orclpwdencryptionenableの値を確認するには、ldapsearchを使用して、確認対象のエントリの有効なpwdpolicyエントリを問い合せます。たとえば、デフォルトのpwdpolicyを問い合せる場合、次のように入力します。
$ ldapsearch -p port -q -D "cn=orcladmin" \
-b "cn=default,cn=pwdPolicies,cn=Common,cn=Products,cn=OracleContext" \
-s base "objectclass=*"
orclpwdencryptionenableが表示されないか0の場合、ldapmodifyと次のようなLDIFファイルを使用して1に設定します。
dn: cn=DefaultSharedPinProfileEntry,cn=Common,cn=Products,cn=Oraclecontext cn: DefaultSharedPinProfileEntry orclappid: orclpwdencryptionenable orclpwdencryptionenable: 1
orclpwdencryptionenableを設定する前にユーザーをプロビジョニングした場合には、かわりにすべてのユーザーのユーザー・パスワードをリセットし、暗号化された値を生成する必要があります。
数値のPINを使用し、動的パスワード・ベリファイアを必要とするアプリケーションをデプロイする場合、orclunsyncrevpwdに格納される値を生成するために、Oracle Internet Directoryが暗号タイプ3DESを使用可能であることを確認する必要があります。3DESを、ルートOracleコンテキスト下の共通ベリファイア・プロファイル・エントリの属性orclpwdverifierparams;orclpasswordverifierの値として指定する必要があります。このエントリのデフォルトの識別名はcn=DefaultSharedPINProfileEntry,cn=Common,cn=Products, cn=OracleContextです。値を設定するには、次のLDIFファイルを使用します。
dn: cn=DefaultSharedPinProfileEntry,cn=Common,cn=Products,cn=Oraclecontext cn: DefaultSharedPinProfileEntry orclappid: orclcommonpin orclpwdverifierparams;orclpasswordverifier: crypto:MD5 orclpwdverifierparams;orclpasswordverifier: crypto:3DES
次のようなコマンド行を使用します。
ldapmodify -D cn=orcladmin -q -p portNum -h hostname -f ldifFile