28.2. IdM でのパスワードポリシーの仕組み
すべてのユーザーには、Identity Management (IdM) Kerberos ドメインへの認証に使用するパスワードが必要です。IdM のパスワードポリシーは、これらのユーザーパスワードが満たする必要のある要件を定義します。
注記
IdM パスワードポリシーは基礎となる LDAP ディレクトリーで設定されますが、Kerberos Key Distribution Center (KDC) により強制的に適用されます。
28.2.1. サポートされるパスワードポリシー属性
表28.1「パスワードポリシーの属性」 に、IdM のパスワードポリシーで定義できる属性をリストします。
属性 | 説明 | 例 |
---|---|---|
Max lifetime | パスワードのリセットが必要になるまでの、パスワードの有効日数の上限です。 |
Max lifetime = 90
ユーザーパスワードは 90 日間のみ有効です。有効期限が経過すると、IdM は変更を求めるプロンプトを表示します。
|
Min lifetime | パスワード変更操作間で渡す必要のある最小時間 (時間)。 |
Min lifetime = 1
ユーザーがパスワードの変更後に、次に変更するまでに最低でも 1 時間待機する必要があります。
|
History size |
保存される以前のパスワードの数。ユーザーは、パスワード履歴からパスワードを再利用できません。
|
History size = 0
ユーザーは、以前のいずれのパスワードでも再利用できます。
|
Character classes | パスワードで使用する必要のある文字クラスの数。文字クラスは次のとおりです。
1 つの文字を複数回連続で使用すると、文字クラスが 1 つ減少します。以下に例を示します。
|
Character classes = 0
必要なクラスのデフォルト数は 0 です。番号を設定するには、
--minclasses オプションを指定して ipa pwpolicy-mod コマンドを実行します。このコマンドは、必要な文字クラスの数を 1 に設定します。
$ ipa pwpolicy-mod --minclasses=1この表の下にある 重要 注記も参照してください。 |
Min length | パスワードの最小長。 |
Min length = 8
8 文字未満のパスワードは使用できません。
|
Max failures | IdM がユーザーアカウントをロックするまでのログイン試行の最大失敗数。「ログイン失敗後のユーザーアカウントのロック解除」も参照してください。 |
Max failures = 6
ユーザーが間違ったパスワードを 7 回入力すると、IdM はユーザーアカウントをロックします。
|
Failure reset interval | 失敗したログイン試行回数を IdM がリセットするまでの時間 (秒単位)。 |
Failure reset interval = 60
Max failures で定義されたログイン試行回数が 1 分以上経過すると、ユーザーはユーザーアカウントがロックされる心配なく再ログインを試みることができます。
|
Lockout duration | Max failures で定義された回数のログイン試行に失敗した後にユーザーアカウントがロックされる時間 (秒単位)。「ログイン失敗後のユーザーアカウントのロック解除」も参照してください。 |
Lockout duration = 600
アカウントがロックされると、10 分間ログインできません。
|
重要
国際文字や記号を使用できないハードウェアセットが各種ある場合には、文字クラス要件に英語と共通記号を使用してください。パスワードの文字クラスポリシーの詳細は、Red Hat ナレッジベースのWhat characters are valid in a password?を参照してください。
28.2.2. グローバルパスワードポリシーおよびグループ固有のパスワードポリシー
デフォルトのパスワードポリシーは、グローバルパスワードポリシーです。グローバルポリシーとは別に、追加の グループパスワードポリシー を作成できます。
- グローバルパスワードポリシー
- 初期 IdM サーバーをインストールすると、デフォルト設定でグローバルパスワードポリシーが自動的に作成されます。グローバルポリシールールは、グループパスワードポリシーなしですべてのユーザーに適用されます。
- グループパスワードポリシー
- グループパスワードポリシーは、対応するユーザーグループのすべてのメンバーに適用されます。
どのユーザーに対しても、一度に有効にできるパスワードポリシーは 1 つだけです。ユーザーに複数のパスワードポリシーが割り当てられている場合は、そのうちの 1 つが優先度に基づいて優先されます。「パスワードポリシーの優先順位」を参照してください。
28.2.3. パスワードポリシーの優先順位
すべてのグループパスワードポリシーに 優先順位 が設定されています。値が小さいほど、ポリシーの優先度が高くなります。サポートされる最も低い優先度の値は
0
です。
- 複数のパスワードポリシーがユーザーに適用される場合は、優先度の値が最も小さいポリシーが優先されます。他のポリシーで定義されたすべてのルールは無視されます。
- 優先度の値が最も小さいパスワードポリシーは、ポリシーに定義されていない属性であっても、すべてのパスワードポリシー属性に適用されます。
グローバルパスワードポリシーには優先度の値は設定されません。これは、ユーザーにグループポリシーが設定されていない場合のフォールバックポリシーとして機能します。グローバルポリシーは、グループポリシーより優先されることはありません。
表28.2「優先度に基づくパスワードポリシー属性の適用例」 は、ポリシーが定義されている 2 つのグループに属するユーザーを例に、パスワードポリシーの優先度がどのように機能するかを示しています。
Max lifetime | Min length | |
---|---|---|
グループ A のポリシー (優先度 0) | 60 | 10 |
グループ B のポリシー (優先度 1) | 90 | 0 (制限なし) |
↓ | ↓ | |
ユーザー (グループ A およびグループ B のメンバー) | 60 | 10 |
注記
ipa pwpolicy-show --user=user_name コマンドは、現在特定のユーザーに有効なポリシーを表示します。