第19章 ポリシー: パスワードポリシーの定義
すべてのユーザーには、Kerberos ドメインへの認証に使用するパスワードが必要です。Identity Management は、セキュリティーを維持するために、パスワードの複雑さ、パスワード履歴、およびアカウントのロックアウトに関するルールを定義し、実施します。
注記
デフォルトでは、IdM は、システムセキュリティーのためにハッシュ化されたパスワードであっても、クライアントにパスワードを公開しません。
19.1. パスワードポリシーとポリシー属性
パスワードポリシー は、パスワードの複雑性やパスワード変更のルールなど、パスワードの特定標準を設定します。パスワードポリシーは、ブルートフォース攻撃を阻止するための適切で複雑な標準を確実に満たし、パスワードを発見または検出するリスクを軽減するのに十分な頻繁でパスワードを変更することで、パスワードの使用に関するリスクを最小限に抑えます。
パスワードポリシーには、主に 3 つの設定エリアがあります。
- 強度または複雑さの要件
- 履歴
- アカウントのロックアウト
IdM パスワードポリシーは、KDC と LDAP サーバーが共同で実施します。パスワードポリシーは LDAP ディレクトリーで設定され、389 Directory Server のパスワードポリシー属性を基にしていますが、ポリシーは最終的に KDC パスワードポリシーフレームワークによって制限されます。KDC ポリシーは 389 Directory Server ポリシーフレームワークよりも柔軟性が低いため、IdM パスワードポリシーは KDC でサポートされるパスワードポリシー要素のみを実装することができます。389 Directory Server 内で行われたその他のポリシー設定は、Identitity Management で表示されたり、強制されたりしません。
パスワードポリシーは、個々のユーザーではなく、IdM のグローバルまたはグループに割り当てられます。パスワードポリシーには優先順位が割り当てられるため、ユーザーが異なるパスワードポリシーを持つ複数のグループに所属すると、優先度が高いポリシーが優先されます。
設定できるさまざまなポリシー属性は、表19.1「パスワードポリシー設定」に一覧表示されています。
設定プロパティー | コマンドラインオプション | 説明 |
---|---|---|
UI と CLI の両方のオプション | ||
パスワードの最小ライフタイム | --minlife | ユーザーがユーザーのパスワードを変更できる前に、ユーザーのパスワードが有効でなけらばならない最低限の時間を時で設定します。これにより、ユーザーがパスワードを変更できず、即座に元の値に変更される可能性があります。デフォルト値は 1 時間です。 |
パスワードの最大有効期間 | --maxlife | ユーザーのパスワードの変更前に有効になる最大期間を日数単位で設定します。デフォルト値は 90 日です。 |
文字クラスの最小数 | --minclasses | 有効とみなされる前にパスワードに存在する必要がある異なるクラス、タイプ、文字の最小値を設定します。たとえば、この値を 3 に設定すると、承認には、パスワードに最低 3 つのカテゴリーからの文字が必要となります。デフォルト値はゼロ (0) で、必要なクラスがないことを意味します。
6 つの文字クラスがあります。
|
パスワードの最小長 | --minlength | パスワードの最小文字数を設定します。デフォルト値は 8 文字です。 |
パスワード履歴 | --history | 保存する以前のパスワードの数と、ユーザーが使用できないパスワード数を設定します。たとえば、これが 10 に設定されている場合は、IdM により、ユーザーは以前の 10 つのパスワードを再利用できなくなります。デフォルト値はゼロ (0) で、パスワード履歴を無効にします。
注記
パスワード履歴がゼロに設定された場合でも、ユーザーは 現在 のパスワードを再利用できます。
|
CLI のみのオプション | ||
優先度 | --priority | 有効なポリシーを決定する優先度を設定します。数値が小さいほど優先度が高くなります。
この優先順位は、UI でポリシーを最初に作成する際に必要ですが、UI でリセットすることはできません。これは CLI を使用してのみリセットできます。
|
連続不具合の最大数 | --maxfail | ユーザーのアカウントがロックされる前に、正しいパスワードを入力する最大失敗数を指定します。 |
失敗間隔 | --failinterval | 障害数がリセットされる期間 (秒単位) を指定します。 |
ロックアウト時間 | --lockouttime | ロックアウトの実施期間 (秒単位) を指定します。 |