第4章 一時パスワードルールの設定

Directory Server のパスワードポリシーは、ユーザーアカウントの一時パスワードの設定をサポートしています。ユーザーに一時パスワードを割り当てると、Directory Server は、ユーザーがパスワードを変更するまで、パスワード変更以外の操作を拒否します。

一時パスワードの機能は次のとおりです。

  • cn=Directory Manager アカウントのみが一時パスワードを割り当てることができます。
  • Directory Server は、攻撃者によるパスワードの調査を防ぐために、認証の試行を一定の回数だけ許可します。
  • Directory Server は、設定直後に一時パスワードを使用できないように、指定された遅延時間後に認証の試行を許可します。
  • Directory Server は、ユーザーが一時パスワードを使用またはリセットしなかった場合に一時パスワードが期限切れになるように、指定された期間のみ認証の試行を許可します。
  • 認証が成功した場合、Directory Server は他の操作を実行する前に、ユーザーによるパスワードのリセットを要求します。

デフォルトでは、一時パスワードルールは無効になります。一時パスワードルールは、グローバルまたはローカルパスワードポリシーで設定できます。

4.1. グローバルパスワードポリシーでの一時的なパスワードルールの有効化

Directory Server インスタンス全体に対して一時パスワード機能を有効にするには、次の手順を実行します。

  1. 管理者がパスワードをリセットした場合にユーザーによるパスワードの変更を必須にします。
  2. グローバルパスワードポリシーで一時パスワード機能を設定します。

管理者がユーザーの userPassword 属性を更新し、passwordMustChange 属性を on に設定すると、Directory Server は一時パスワードルールを適用します。

手順

  1. 管理者によるパスワードリセット後のユーザーによるパスワード変更を必須に設定します。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com  pwpolicy set --pwdmustchange on
  2. グローバルパスワードポリシーで一時パスワードルールを設定します。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwptprmaxuse 5 --pwptprdelayexpireat 3600 --pwptprdelayvalidfrom 60

    この例では、以下のように設定されています。

    • --pwptprmaxuse オプションで、ユーザーが一時パスワードを使用できる最大試行回数を 5 に設定しています。
    • --pwptprdelayexpireat オプションで、一時パスワードの有効期限が切れるまでの時間を 3600 秒 (1 時間) に設定しています。
    • --pwptprdelayvalidfrom オプションで、管理者がユーザーのパスワードをリセットしてから 60 秒後に、--pwptprdelayexpireat で設定した時間が開始するように設定しています。

検証

  • 一時パスワードルールを保存する属性を表示します。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy get | grep -i TPR
    passwordTPRMaxUse: 5
    passwordTPRDelayExpireAt: 3600
    passwordTPRDelayValidFrom: 60