30 パスワード・ポリシーの管理
ノート:
このガイドで言及するOracle Delegated Administration Servicesはすべて、Oracle Delegated Administration Services 10g (10.1.4.3.0)以上のことです。
30.1 パスワード・ポリシーの管理の概要
パスワード・ポリシーとは、パスワードの使用方法を定めた一連の規則のことです。ユーザーがディレクトリへのバインドを試みると、ディレクトリ・サーバーは、ユーザーのパスワードがパスワード・ポリシーの様々な要件に適合するかを確認します。
パスワード・ポリシーを設定するときに、次のようなタイプの規則を設定します。
-
指定されたパスワードの最長有効期間
-
パスワードの最少文字数
-
パスワードに必要な数字の文字数
この項の内容は次のとおりです。
30.1.1 パスワード・ポリシー・ルールの概要
パスワード・ポリシーとは、パスワードの構文および使用方法を管理する規則のセットです。
Oracle Internet Directoryによって施行されるパスワード・ポリシーには、次のものがあります。
-
指定されたパスワードの最長有効期間
-
パスワードの最少文字数
-
パスワードに必要な数字の最小数
-
アルファベット文字の最小数
-
繰返し文字の最小数
-
大文字および小文字の使用
-
英数字以外の文字(特殊文字)の最小数
-
ユーザーによる定期的なパスワードの変更
-
パスワード変更の最小および最大間隔
-
パスワードの期限切れ(時間またはログイン回数による)後のログインの猶予期間
-
以前使用したパスワードのユーザーによる再利用禁止
30.1.3 細かなパスワード・ポリシーについて
10g (10.1.4.0.1)以降のOracle Internet Directoryでは、各レルムでの複数のパスワード・ポリシーをサポートします。これらのポリシーは、そのレルム内のどのサブツリーにも適用できます。つまり、エントリ固有のパスワード・ポリシーを使用できます。パスワード・ポリシーは、レルム固有または有効範囲がディレクトリ全体のものとして指定できます。
目的の範囲を得るには、該当するコンテナにパスワード・ポリシー・エントリを作成する必要があります。パスワード・ポリシーは、各レルムのcn=common
エントリの下に作成されたcn=pwdPolicies
コンテナの下に移入されます。デフォルトでは、これらのコンテナに、相対識別名cn=default
のパスワード・ポリシーが入っています。たとえば、ディレクトリ固有のデフォルトのパスワード・ポリシーの識別名は、cn=default,cn=pwdPolicies,cn=Common,cn=Products, cn=OracleContext
になります。
その他のポリシーは、別の相対識別名を持つpwdPolicies
コンテナの下に作成できます。図30-1に、このシナリオを示します。
図30-1 パスワード・ポリシー・エントリの位置
図30-2 パスワード・ポリシーの識別名が移入されたpwdPolicyサブエントリ属性
実行時に、Oracle Internet Directoryは、エントリの移入されているpwdpolicysubentry
属性を探し、その値で示されたポリシーを適用して、エントリで適用可能なパスワード・ポリシーを解決します。移入されたpwdPolicysubentry
属性が存在しない場合、Oracle Internet Directoryは、pwdPolicysubentry
が移入されている最も近い上位エントリが見つかるまで、ディレクトリ・ツリーを遡っていきます。Oracle Internet Directoryは、そのエントリの値で示されたパスワード・ポリシーを適用します。
ノート:
-
グループに適用したパスワード・ポリシーが、グループ・メンバーに自動的に適用されることはありません。ポリシーを個々のエントリまたは祖先エントリに適用する必要があります。
-
パスワード・ポリシーは、
orclpwdpolicyenable
を0に設定することで無効にできます。無効にすると、ディレクトリのその部分は適用できるパスワード・ポリシーのない状態のままになります。Oracle Internet Directoryは、適用できる有効なポリシーを見つけるためにDITを遡らなくなります。この属性を0
に設定すると、ディレクトリの一部を必要に応じてパスワード・ポリシーなしにしておくことができます。ただし、このような変更を行う意味について実行する前に考慮する必要があります。 -
パスワード・ポリシー・エントリは、「ディレクトリ・アクセス制御の管理」で説明しているOracle Internet DirectoryのACIインフラストラクチャを使用して、匿名アクセスから保護する必要があります。これは、パスワード・ポリシーが脆弱な場合、その情報が攻撃する者の助けとなって、ディレクトリを危険にさらす恐れがあるため、特に重要です。
30.1.4 デフォルトのパスワード・ポリシーについて
Oracle Internet Directoryのデフォルトのパスワード・ポリシーは次のとおりです。
-
パスワードの有効期限は120日です。
-
10回ログインに失敗すると、アカウントがロックアウトされます。スーパーユーザー・アカウントを除き、すべてのアカウントは、ディレクトリ管理者がパスワードを再設定するまで、24時間ロックされたままになります。アカウント・ロックアウト継続時間が経過しても、正しいパスワードでバインドするまでユーザー・アカウントはロックされたままになります。
スーパーユーザー・アカウントである
cn=orcladmin
がロックされると、OIDデータベース・パスワード・ユーティリティを使用してロックを解除するまで、ロックされたままになります。このユーティリティでは、ODSユーザー・パスワードの入力が要求されます。ODSパスワードを入力すると、アカウントのロックが解除されます。関連項目:
-
スーパーユーザー・アカウントのロック解除の詳細は、『Oracle Identity Managementリファレンス』の「Oracle Internet Directoryデータベース・パスワード・ユーティリティ」にある
oidpasswd
コマンド行ツールのリファレンスを参照してください
-
-
パスワードの最小文字数は5で、1つ以上の数字を含める必要があります。
-
パスワードの期限切れの警告は、期限終了前7日に出ます。
-
パスワードの期限切れ後、5回の猶予期間ログインが許されます
Oracle Internet Directoryリリース9.0.4からは、ルートOracleコンテキストのパスワード・ポリシー・エントリがスーパーユーザーに適用されますが、アカウントのロックアウトを管理するパスワード・ポリシーのみがそのアカウントに適用されます。
ノート:
Oracle Identity Managementには、2つのタイプの特権ユーザーが存在します。どちらの特権ユーザー・アカウントも、特定のパスワード・ポリシーがアクティブになるとロックできます。
最初のタイプの特権ユーザーは、識別名cn=orcladmin
のスーパーユーザーで、デフォルトのアイデンティティ管理レルム内の特別なユーザー・エントリとして表されます。これによって、ディレクトリ管理者はDITを任意に変更し、Oracle Internet Directoryサーバーの構成を任意に変更できます。このスーパーユーザー(orcladmin
)アカウントが、誤ったパスワードでのバインドを何度も試行したなどの理由でロックされた場合、Oracle Internet Directoryリポジトリに対するDBA権限を持つ管理者は、oidpasswd
ツールを使用してロックを解除できます。orcladminアカウントのロックを解除するには:
oidpasswd connect="connt_String" unlock_su_acct=TRUE
2番目の特権ユーザーは、レルム固有の特権ユーザーで、レルム内のユーザーやグループの作成と削除などの機能を制御します。このアカウントは、識別名cn=orcladmin,cn=users,
realm DN
のエントリにより表されます。単一のスーパーユーザー・アカウントの場合と比較すると、各レルムにレルム固有の独自の特権ユーザーが存在することになります。レルム固有の特権アカウントのロックを解除する場合は、もう一方のタイプの特権ユーザーであるcn=orcladmin
が、Oracle Directory Services Managerを使用して該当するアカウントのパスワードを変更します。
Oracle Internet Directoryのパスワード・ポリシーは、シンプルなバインド(userpassword
属性に基づく)、userpassword
属性に対する比較操作およびSASLバインドに適用されます。SSLバインドおよびプロキシ・バインドには適用されません。
30.1.5 パスワード・ポリシーの属性
パスワード・ポリシーに影響を与える属性を、次に示します。
次の属性は、パスワード・ポリシーに影響を与えます。
表30-1 パスワード・ポリシーの属性
名前 | 機能 |
---|---|
|
ユーザーによるパスワードへの変更から変更までに必要な経過時間(秒)。デフォルトは0です。 |
|
パスワードが有効である最大時間(秒)。この時間に達すると同時に、パスワードは期限切れになったとみなされます。デフォルトは10368000秒(120日)です。 |
|
これに該当する場合、サーバーでは、無効なログインを何回か連続して試行したユーザーをロックアウトします。この回数は |
|
これがTRUEの場合、サーバーは、同じIPアドレスから無効なログインを何回か連続して試行したユーザーをロックアウトします。この回数は |
|
無効なログイン試行回数がしきい値に達したユーザー・アカウントをロックアウトする期間(秒)。デフォルトは86400秒(24時間)です。 |
|
同じIPアドレスからの無効なログイン試行回数がしきい値に達したユーザー・アカウントをロックアウトする期間(秒)。デフォルトは0です。 |
|
ユーザー・アカウントをロックアウトする前に、サーバーが許可する無効なログインの最大試行回数。デフォルト値は10です。 |
|
ユーザー・アカウントをロックアウトする前に、サーバーが許可する特定のIPアドレスからの無効なログインの最大試行回数。デフォルトは0です。 |
|
認証に成功しなくても、失敗カウンタからパスワードの失敗がパージされるまでの時間(秒)。この値が0である場合、失敗回数はパージされません。デフォルトは0です。 |
|
パスワードが期限切れになるまでの最大時間(秒)で、期限切れ警告メッセージが認証ユーザーに返されます。デフォルトは604800秒(7日)です。 |
|
パスワードの構文チェックを有効または無効にします 0: すべての構文チェックを無効にします。 1: パスワード構文値チェックを暗号化されたパスワードを除き有効にします(デフォルト)。 |
|
このポリシーで管理されるパスワードの最小文字数。デフォルトは5文字です。 |
|
パスワードの期限切れ後に許可する猶予期間ログインの最大数。デフォルトは5です。最大数は250です。 |
|
パスワードの期限切れ後に猶予期間ログインを許可する最大時間(秒)。 |
|
ユーザーは、アカウント作成後、または管理者によるパスワードの再設定後の最初のログイン時に、パスワードを再設定する必要があります。デフォルトは0(FALSE)です。 |
|
パスワードとして許可されない値のリストです。 |
|
パスワードに必要な数字の最小数。デフォルトは1です。 |
|
パスワードに必要なアルファベット文字の最小数。デフォルトは0です。 |
|
パスワードに必要な英数字以外の文字(特殊文字)の最小数。デフォルトは0です。 |
|
パスワードに必要な大文字の最小数。デフォルトは0です。 |
|
パスワードに必要な小文字の最小数。デフォルトは0です。 |
|
パスワードで許可される繰返し文字の最大数。デフォルトは0です。 |
|
指定エントリの |
|
現在は使用されていません。 |
|
これがTRUEの場合、サーバーはこのポリシーを評価します。そうでない場合、ポリシーは無視され、適用されません。デフォルトは1 (TRUE)です。 |
|
TRUEに設定すると、パスワードの暗号化が有効になります。デフォルトは0(FALSE)です。 |
|
ハッシュ・パスワード値を使用するログインを有効または無効にします。0 = 無効(デフォルト)。1 = 有効。 |
|
ユーザーの最終ログイン時間の追跡を有効または無効にします。0=無効(デフォルト)。1=有効。 |
|
アカウントが自動的に期限切れになるまでの非アクティブな時間(秒単位)。0=無効(デフォルト)。 「コマンド行ツールを使用したOracle Internet Directoryの期限切れユーザーの判別」を参照してください。 |
30.1.6 ユーザー・エントリの操作属性
Oracle Internet Directoryサーバーでは、ユーザー固有のパスワード・ポリシー関連情報がユーザー・エントリの操作属性に格納されます。このサーバーのみがこれらの属性を変更できます。
表30-2を参照してください。
表30-2 パスワード・ポリシー関連の操作属性
属性 | 説明 |
---|---|
|
最後に成功したログインのタイムスタンプ。パスワード・ポリシー属性 |
|
ログインの成功時にクリアされる、失敗したログイン試行の一連のスペース区切りのタイムスタンプ。 |
|
このIPアドレスからのログインについて、アカウントがロックされた時間。これは、複数値の属性にすることができます。 |
|
ログインの成功時にクリアされる、特定のIPアドレスからの失敗したログイン試行の一連のスペース区切りのタイムスタンプ。これは、複数値の属性にすることができます。 |
|
アカウントがロックされた時間。 |
|
最後にパスワードを変更した時間。 |
|
ユーザーがパスワードの期限切れを警告された時間。 |
|
猶予期間中のログインのスペース区切りの一連のタイムスタンプ。 |
|
値が1の場合、ユーザーは次回ログイン時にパスワードをリセットする必要があります。 |
|
以前に使用されたパスワードのリスト。 |
ユーザーが最後に成功したログイン・タイムスタンプを確認するには、ユーザーの最終ログイン時間の追跡を有効にする必要があります。つまり、関連するパスワード・ポリシーについて、PwdTrackLogin
属性を1に設定する必要があります。この値は、デフォルトでは設定されません。その後、ユーザー・エントリのorcllastlogintime
属性で最終ログインのタイムスタンプを確認します。
ユーザーの最後のログイン試行の時間を確認するには、ユーザーのorcllastlogintime
属性とpwdfailuretime
の最後のタイムスタンプを比較します。これらの値の最新のものが、ユーザーの最後のログイン試行時間です。
30.1.7 パスワード・ポリシー情報のディレクトリ・サーバー検証について
Oracle Internet Directoryは、移入された適切なpwdPolicysubentry
を見つけることで、エントリに適用可能なポリシーを判断します。
「細かなパスワード・ポリシーについて」で説明しているように、Oracle Internet Directoryは、移入された適切なpwdPolicysubentry
を見つけることで、エントリに適用可能なポリシーを判断します。ユーザー・パスワードが指定のポリシーの要件を満たしていることを確認する場合、ディレクトリ・サーバーは、次のことを検証します。
-
パスワード・ポリシーが有効であること。これには、パスワード・ポリシー・エントリの属性
orclpwdpolicyenable
の値を確認します。値1は、パスワード・ポリシーが有効であることを示します。値0は、無効であることを示します。 -
パスワード・ポリシー構文情報(英数字の数、パスワード長など)の正確さ。ディレクトリ・サーバーは、
ldapadd
およびldapmodify
がuserpassword属性上で実行中に構文チェックを行います。 -
パスワード・ポリシー状態情報。次に、その例を示します。
-
ユーザー・パスワードが作成または変更されたときのタイムスタンプ。
-
最小パスワード有効期限は、現在の時刻からパスワード作成時刻を引いた値より大きくなります。
-
ユーザーが連続してログインに失敗したときのタイムスタンプ。
-
ユーザーのアカウントがロックされた日時。
-
パスワードが再設定されたため、最初の認証でユーザーがパスワードを変更する必要があることを示すインジケータ。
-
ユーザーが以前に使用したパスワードの履歴。
-
猶予期間ログインのタイムスタンプ。
猶予期間ログインが時間で設定されている場合、サーバーは現在の時刻と期限切れ時刻の差異をチェックします。
ディレクトリ・サーバーは、
ldapbind
およびldapcompare
の実行中に、状態情報をチェックしますが、このチェックは、orclpwdpolicyenable
属性が1に設定されている場合にのみ実行されます。パスワード値の構文チェックを使用可能にするには、パスワード・ポリシー・エントリの
orclpwdpolicyenable
およびpwdchecksyntax
属性をTRUE
に設定します。 -
30.1.8 パスワード・ポリシーのエラー・メッセージについて
パスワード・ポリシー違反が発生すると、ディレクトリ・サーバーはクライアントに様々なエラーおよび警告メッセージを送信します。
Oracle Internet Directoryでは、10g (10.1.4.0.1)以降、クライアントがLDAPバインドまたは比較操作の一環としてパスワード・ポリシー・リクエスト制御を送信する場合にのみ、ディレクトリ・サーバーはこれらのメッセージをLDAP制御として送信できます。クライアントがリクエスト制御を送信しない場合、ディレクトリ・サーバーは、レスポンス制御を送信しません。かわりに、追加情報の一部としてエラーおよび警告を送信します。
関連項目:
エラー・メッセージのリストおよびそれらのエラーを解決する方法は、「パスワード・ポリシーに関するトラブルシューティング」を参照してください
30.2 Oracle Directory Services Managerを使用したパスワード・ポリシーの管理
Oracle Directory Services Managerを使用して、パスワード・ポリシーを作成、割当ておよび変更できます。
この項では、パスワード・ポリシーの管理について説明します。
30.2.1 Oracle Directory Services Managerを使用したパスワード・ポリシーの表示
Oracle Directory Services Managerを使用してパスワード・ポリシーを表示するには、次のステップを実行します。
- 「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動し、Oracle Internet Directoryサーバーに接続します。
- タスク選択バーで、「セキュリティ」を選択します。
- 左側のペインで「パスワード・ポリシー」を展開します。すべてのパスワード・ポリシーが左側のペインに相対識別名順に表示されます。完全識別名を表示するには、エントリ上にマウスを移動します。
- パスワード・ポリシーを選択してその情報を右側のペインに表示します。
30.2.2 Oracle Directory Services Managerを使用したパスワード・ポリシーの変更
パスワード・ポリシーを変更するには、次のステップを実行します。
- 「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動し、Oracle Internet Directoryサーバーに接続します。
- タスク選択バーで、「セキュリティ」を選択します。
- 左側のペインで「パスワード・ポリシー」を展開します。すべてのパスワード・ポリシーが左側のペインに表示されます。
- 変更するパスワード・ポリシーを選択します。5つのタブ・ページが、右側のペインに表示されます。
- 必要に応じて、「一般」タブ・ページの編集可能な属性フィールドを変更します。
- 「アカウントのロックアウト」タブ・ページを選択した後、フィールドを変更する場合は「グローバル・ロックアウト」を選択します。必要に応じて、編集可能な属性フィールドを変更します。
- 「IPのロックアウト」タブ・ページを選択した後、フィールドを変更する場合は「IPのロックアウト」を選択します。必要に応じて、編集可能な属性フィールドを変更します。
- 「パスワード構文」タブ・ページを選択した後、フィールドを変更する場合は「パスワード構文のチェック」を選択します。必要に応じて、編集可能な属性フィールドを変更します。
- ポリシーを適用するサブツリーを変更するには、「有効サブツリー」タブ・ページを選択します。サブツリーを追加するには、「追加」を選択します。識別名を入力するか、「参照」を選択し、識別名(DN)パスの選択ウィンドウを使用して、ポリシーを適用するサブツリーにナビゲートします。
- 変更終了後、「適用」を選択します。
30.2.3 ODSMを使用したパスワード・ポリシーの作成およびサブツリーへの割当て
新規パスワード・ポリシーを作成するには、次のステップを実行します。
- 「Oracle Directory Services Managerの起動」の説明に従って、Oracle Directory Services Managerを起動し、Oracle Internet Directoryサーバーに接続します。
- タスク選択バーで、「セキュリティ」を選択します。
- 左側のペインで「パスワード・ポリシー」を展開します。すべてのパスワード・ポリシーが左側のペインに表示されます。
- 新規ポリシーを作成するには、「作成」を選択します。また、左側のペインで既存のパスワード・ポリシーを選択し、「類似作成」を選択します。
- 必要に応じて、「一般」タブ・ページの編集可能な属性フィールドを設定または変更します。
- 「アカウントのロックアウト」タブ・ページを選択した後、フィールドを変更する場合は「グローバル・ロックアウト」を選択します。必要に応じて、編集可能な属性フィールドを変更します。
- 「IPのロックアウト」タブ・ページを選択した後、フィールドを変更する場合は「IPのロックアウト」を選択します。必要に応じて、編集可能な属性フィールドを変更します。
- 「パスワード構文」タブ・ページを選択した後、フィールドを変更する場合は「パスワード構文のチェック」を選択します。必要に応じて、編集可能な属性フィールドを変更します。
- パスワード・ポリシーをサブツリーに割り当てるには、「有効サブツリー」タブ・ページを選択して、「追加」を選択します。識別名を入力するか、「参照」を選択し、識別名(DN)パスの選択ウィンドウを使用して、ポリシーを適用するサブツリーにナビゲートします。
- 変更終了後、「適用」を選択します。
30.3 コマンドライン・ツールを使用したパスワード・ポリシーの管理
この項では、コマンド行ツールを使用したパスワード・ポリシーの管理について詳しく説明します。
30.3.1 コマンドライン・ツールを使用したパスワード・ポリシーの表示
次の例では、特定のパスワード・ポリシー・コンテナの下にあるパスワード・ポリシーを取得します。
ldapsearch -p port -h host \ -b "cn=pwdPolicies,cn=common,cn=products,cn=OracleContext, \ o=my_company,dc=com" \ -s sub "(objectclass=pwdpolicy)"
次の例では、すべてのパスワード・ポリシー・エントリを取得します。
ldapsearch -p port -h host -b " " -s sub "(objectclass=pwdpolicy)"
30.3.2 コマンドライン・ツールを使用した新規パスワード・ポリシーの作成
新規パスワード・ポリシーを作成するには、ポリシー・エントリを適切なコンテナに追加します。
これを実行するために最適な方法は、次のとおりです。
30.3.3 コマンド行ツールを使用したサブツリーへのパスワード・ポリシーの適用
コマンド行ツールを使用して、パスワード・ポリシーをサブツリーに適用できます。
新規パスワード・ポリシーをサブツリーdn: cn=accounting,c=usに適用するには、次のようなコマンド行とともに
ldapmodify -D "cn=orcladmin" -q -p port -h host -f my_file.ldif
次のようなLDIFファイルを使用します。
dn: cn=accounting,c=us changetype: modify replace: pwdPolicysubentry pwdPolicysubentry:cn=policy1,cn=pwdPolicies,cn=common,cn=products, cn=OracleContext,o=my_company,dc=com
30.3.4 コマンドライン・ツールを使用したパスワード・ポリシーの設定
次の例では、デフォルトのパスワード・ポリシーのpwdLockout
属性を無効にします。
次の例では、デフォルトのパスワード・ポリシーのpwdLockout
属性を無効にします。これによって、属性はデフォルト設定の1
から0
に変更されます。
ファイルmy_file.ldif
の内容は、次のとおりです。
dn: cn=default,cn=pwdPolicies,cn=common,cn=products,cn=OracleContext, o=my_company,dc=com changetype:modify replace: pwdlockout pwdlockout: 0
次のコマンドでこのファイルをディレクトリにロードします。
ldapmodify -D "cn=orcladmin" -q -p port -h host -f my_file.ldif
次の例では、デフォルトのパスワード・ポリシー・エントリのpwdMaxAgeを変更します。
ldapmodify -D "cn=orcladmin" -q -p port -h host -q -f file
fileには、次のものが含まれます。
dn: cn=default,cn=pwdPolicies,cn=common,cn=products,cn=OracleContext, o=my_company,dc=com changetype: modify replace: pwdMaxAge pwdMaxAge: 10000
30.3.5 コマンド行ツールを使用したパスワード・ポリシー・エントリの限定
多数のユーザーについてパスワード・ポリシーがリセットされる場合、Oracle Internet DirectoryサーバーではそのpasswordPolicySubentry
キャッシュをリフレッシュする必要があり、これによってOracle Databaseに多数のSQL問合せのリクエストが発生し、パフォーマンスに影響する可能性があります。
Oracle Internet Directory 11g リリース1(11.1.1.7.0)以降では、entrylevel
のサブタイプを指定することにより、パスワード・ポリシー・エントリを限定できます。たとえば、次のコマンドでは、A_user
にパスワード・ポリシーが追加されます。
ldapmodify -D "cn=orcladmin" -q -p port -h host -q -f pwdpolicy.ldif
pwdpolicy.ldif
の内容は次のとおりです。
dn: A_user,cn=users,dc=us,dc=mycompany,dc=com changetype: modify add: pwdpolicysubentry;entrylevel pwdpolicysubentry;entrylevel: cn=pwdpolicies,dc=us,dc=mycompany,dc=com
パスワード・ポリシーはA_user
にのみ適用されます。pwdpolicysubentry
属性のエントリにentrylevel
サブタイプがない場合、パスワード・ポリシーはサブツリー全体に適用されます。
30.3.6 コマンド行ツールを使用したOracle Internet Directoryの期限切れユーザーの判別
期限切れユーザーを判別し、そのユーザーをディレクトリから削除するなど特定のアクションを実行したい状況があります。
ノート:
Oracle Internet Directoryの期限切れユーザーは、特定の属性で示されることはありません。期限切れユーザーは、システム時間、許可される最大非アクティブ時間、およびユーザーの最後の正常なログイン時間に応じて一時的な状態に置かれます。期限切れ状態は、ユーザーのバインドまたはパスワード比較操作中に判別されます。
期限切れユーザーを判別するには、Oracle Internet Directoryデプロイメントが次のように構成されている必要があります。
-
各ユーザーの最後の正常なログイン時間のトラッキングは、
orclPwdTrackLogin
属性を1に設定することによって有効にする必要があります。 -
orclpwdmaxinactivitytime
属性は0 (デフォルト)以外の値に設定する必要があります。この属性によって、ユーザーのアカウントが自動的に期限切れになるとみなされる非アクティブ時間が秒数で指定されます。
ユーザーのアカウントが期限切れであるとみなされるかどうかを判別するには: