第17章 パスワードポリシーの定義

すべてのユーザーは、Kerberos ドメインへの認証に使用するパスワードを所持する必要があります。Identity Management は、パスワードの複雑性、パスワードの履歴、およびアカウントのロックアウトに関するルールを定義、実行して、セキュリティーを維持します。

注記

IdM はデフォルトでは、システムの安全性を保つためにハッシュされたパスワードを含めたパスワードをクライアントに公開しません。

17.1. パスワードポリシーとポリシー属性

パスワードポリシーは、パスワードの複雑性やパスワード変更に関するルールなどのパスワードの基準を設定します。パスワードポリシーでは、ブルートフォース攻撃を阻止するために十分な複雑性の基準にパスワードが適合しており、パスワードの漏洩や発見を図る人物のリスクを緩和するためにパスワードが頻繁に変更されるようにして、パスワード使用に固有のリスクを最小化します。
パスワードポリシーでは、以下の 3 つの主要エリアを定義します。
  • 強度または複雑性の要件
  • 履歴
  • アカウントロックアウト
IdM パスワードポリシーは、KDC および LDAP サーバーが共同で実施します。パスワードポリシーは LDAP ディレクトリー内で設定され、389 Directory Server パスワードポリシー属性に基づきますが、究極的には KDC パスワードポリシーフレームワークに制限されます。KDC ポリシーは 389 Directory Server ポリシーフレームワークほどは柔軟性がないので、IdM パスワードポリシーが導入できるのは、KDC でサポートされるパスワードポリシー要素のみです。389 Directory Server 内で実施されるその他のポリシー設定は、Identity Management では表示されず、実施されません。
パスワードポリシーは個別のユーザーではなく、グローバルで割り当てられるか、IdM 内のグループに割り当てられます。パスワードポリシーには優先順位が割り当てられるので、ユーザーが複数のパスワードポリシーがある複数のグループに所属する場合は、優先順位の最も高いポリシーが優先されます。
設定可能なポリシー属性を 表17.1「パスワードポリシー設定」 に記載しています。

表17.1 パスワードポリシー設定

設定プロパティーコマンドラインオプション説明
UI および CLI 両方のオプション
Minimum Password Lifetime--minlifeユーザーがパスワード変更可能となるまでのパスワード実施の最低期間を時間単位で設定します。これにより、ユーザーがパスワードを一旦変更した後に、直ちに元のパスワードに戻すことが防止できます。デフォルト値は、1 時間です。
Maximum Password Lifetime--maxlifeユーザーがパスワード変更を強制されるまでのパスワード実施の最長期間を日数単位で設定します。デフォルト値は、90 日です。
Minimum Number of Character Classes--minclassesパスワードが有効とみなされるために必要な文字クラスの最低数を設定します。たとえば、この値を 3 に設定すると、パスワードが承認されるには、少なくとも 3 つのカテゴリーの文字が必要になります。デフォルト値はゼロ (0) で、この場合に必要なクラスはないことになります。
文字には以下の 6 つのクラスがあります。
  • 大文字
  • 小文字
  • 数字
  • 特殊文字 (句読点など)
  • 8 ビット文字 (10 進コードが 128 以下で始まる文字)
  • 文字の連続数
    これは逆方向に加重されるため、連続文字数が多くなると krbPwdMinDiffChars で表示された「レベル」を満たすクォーラムに一致しなくなります。
Minimum Length of Password--minlengthパスワードの最低文字数を設定します。デフォルト値は、8 文字です。
Password History--history保存されてユーザーが使用を禁止される以前のパスワード数を設定します。たとえば、これが 10 に設定されると、IdM はユーザーが以前のパスワード 10 個を再利用することを禁止します。デフォルト値はゼロ (0) で、この場合はパスワード履歴が無効になります。

注記

パスワード履歴がゼロに設定されている場合でも、ユーザーは現行のパスワードを再利用することはできません。
CLI のみのオプション
Priority--priority実効ポリシーを決定する優先順位を設定します。数字が低いと優先順位は高くなります。
UI でポリシーを最初に作成する際には、この優先順位は必須のものですが、UI でこれをリセットすることはできません。CLI でのみ、リセット可能になっています。
Maximum Consecutive Failures--maxfailユーザーのアカウントがロックされるまでの、パスワード入力の最大連続失敗数を設定します。
Fail Interval--failinterval失敗のカウントがリセットされる期間を秒単位で指定します。
Lockout Time--lockouttimeロックアウトが強制される期間を秒単位で指定します。