Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

28.2. IdM でパスワードポリシーの仕組み

すべてのユーザーには、Identity Management(IdM)Kerberos ドメインへの認証に使用するパスワードが必要です。IdM のパスワードポリシーでは、このユーザーパスワードが満たす要件を定義します。
注記
IdM パスワードポリシーは基礎となる LDAP ディレクトリーで設定されますが、Kerberos Key Distribution Center(KDC)によっても実施されます。

28.2.1. サポート対象のパスワードポリシー属性

表28.1「パスワードポリシーの属性」 には、IdM のパスワードポリシーが定義できる属性の一覧を示します。

表28.1 パスワードポリシーの属性

属性 説明
Max lifetime パスワードのリセットが必要になるまでの、パスワードの有効期間(日数)です。
Max lifetime = 90
ユーザーパスワードは 90 日間のみ有効です。その後、IdM は変更を求めるプロンプトを表示します。
Min lifetime 2 つのパスワード変更操作間で渡す必要のある最低限の時間(時間)。
Min lifetime = 1
ユーザーがパスワードを変更したら、再度変更する前に少なくとも 1 時間待機する必要があります。
履歴サイズ
以前のパスワードを保存する数。ユーザーはパスワード履歴のパスワードを再利用できません。
History size = 0
ユーザーは、以前のパスワードのいずれかを再利用できます。
文字クラス パスワードで使用する文字クラスの数。文字クラスは次のとおりです。
  • 大文字
  • 小文字
  • 数字
  • コンマ(,)、ピリオド(.)、アスタリスク(*)などの特殊文字
  • 他の UTF-8 文字
文字を複数回使用すると、文字クラスが 1 つずつ減少します。たとえば、以下のようになります。
  • Secret1 には、大文字、小文字、数字の 3 つの文字クラスがあります。
  • Secret111 には、大文字、小文字、数字、および -1 の文字クラスが 1 を繰り返し使用
Character classes = 0
必要なクラスのデフォルト数は 0 です。番号を設定するには 、--minclasses オプションを指定して ipa pwpolicy-mod コマンドを実行します。このコマンドは、必要な数の文字クラスを 1 に設定します。
$ ipa pwpolicy-mod --minclasses=1
この表の下にある 重要 の注記も参照してください。
Min length パスワードの最小文字数。
Min length = 8
8 文字未満のパスワードは使用できません。
Max failures IdM がユーザーアカウントをロックするまでのログイン試行失敗の最大数。「ログイン失敗後のユーザーアカウントのロック解除」 も参照してください。
Max failures = 6
IdM は、ユーザーがパスワードを誤って 7 回入力すると、ユーザーアカウントをロックします。
Failure reset interval IdM が失敗したログイン試行回数をリセットする時間(秒単位)。
Failure reset interval = 60
Max failures で定義されたログイン試行回数が 1 分以上経過すると、ユーザーはユーザーアカウントのロックを危険にさらすことなく再ログインを試みることができます。
ロックアウト期間 Max failures で定義されたログイン試行に失敗した後にユーザーアカウントがロックされる時間(秒単位)。「ログイン失敗後のユーザーアカウントのロック解除」 も参照してください。
Lockout duration = 600
アカウントがロックされているユーザーは、10 分間ログインできません。
重要
国際文字や記号にアクセスできないハードウェアセットがある場合には、文字クラス要件に英語と共通記号を使用してください。パスワードにおける文字クラスポリシーの詳細は、Red Hat ナレッジベースの「 What characters are valid in a password?」 を参照してください。