Show Table of Contents
28.2. IdM におけるパスワードポリシー
ユーザーはすべて、Identity Management (IdM) Kerberos ドメインに認証するためのパスワードが必要になります。IdM でのパスワードポリシーでは、これらのユーザーのパスワードが満たす必要のある要件を定義します。
注記
IdM パスワードポリシーは基礎となる LDAP ディレクトリーで設定されますが、Kerberos Key Distribution Center (KDC) でも強制実行されます。
28.2.1. サポートされるパスワードポリシーの属性
表28.1「パスワードポリシーの属性」 では、IdM のパスワードポリシーで定義可能な属性を示しています。
表28.1 パスワードポリシーの属性
| 属性 | 説明 | 例 |
|---|---|---|
| Max lifetime | パスワードのリセットが必要になるまでの、パスワードの最長有効期間を日数単位で設定します。 |
Max lifetime = 90
ユーザーのパスワードは 90 日間有効です。この後は、IdM がパスワード変更をユーザーにプロンプトします。
|
| Min lifetime | 一旦パスワードを変更してから再度変更可能となるまでのパスワードの最小有効期間を時間単位で設定します。 |
Min lifetime = 1
ユーザーは一旦パスワードを変更すると、次に変更可能となるまで少なくとも 1 時間待つ必要があります。
|
| History size |
保存する以前のパスワード数を設定します。ユーザーは、パスワード履歴にあるパスワードは使用できません。
|
History size = 0
ユーザーは以前のいずれのパスワードも使用できます。
|
| Character classes | パスワードで使用する必要のある文字クラスの数。文字クラスとは、以下を指します。
同じ文字を 3 つ以上続けて使用すると、文字クラスの数は 1 つ減ることになります。たとえば、
|
Character classes = 0
デフォルトのクラス数は 0 です。この数字を設定するには、
ipa pwpolicy-mod コマンドを --minclasses オプションと実行します。このコマンドは、必須文字クラス数を 1 に設定します。
$ ipa pwpolicy-mod --minclasses=1本テーブル下の 重要 も参照してください。 |
| Min length | パスワードで使用する最低文字数 |
Min length = 8
8 文字未満のパスワードは使用できません。
|
| Max failures | 実行可能なログインの最大試行回数。失敗回数がこの値を超えた場合には、ユーザーアカウントがロックされます。「ログイン失敗後のユーザーアカウントのロック解除」 も参照してください。 |
Max failures = 6
ユーザーが 7 回連続で間違ったパスワードを入力すると、IdM はこのユーザーアカウントをロックします。
|
| Failure reset interval | 失敗したログイン試行回数を IdM がリセットするまでの時間を秒単位で設定します。 |
Failure reset interval = 60
Max failures で設定した回数のログイン試行に失敗した後に 1 分間以上待機すると、ユーザーはアカウントをロックすることなく再度ログイン試行することができます。
|
| Lockout duration | Max failures で定義された回数のログイン試行に失敗した後、ユーザーアカウントがロックされる時間を秒単位で設定します。「ログイン失敗後のユーザーアカウントのロック解除」 も参照してください。 |
Lockout duration = 600
ユーザーはアカウントがロックされると、10 分間ログインできません。
|
重要
国際文字や記号に対応していないハードウェアを使用している場合は、英数字および一般的な記号を文字クラスに使用してください。パスワードの文字クラスポリシーに関する詳細は、Red Hat ナレッジベースの「What characters are valid in a password?」を参照してください。
28.2.2. グローバルおよびグループ固有ののパスワードポリシー
デフォルトのパスワードポリシーは、グローバルパスワードポリシー です。これ以外では、新たに グループパスワードポリシー を設定できます。
- グローバルパスワードポリシー
- 最初の IdM サーバーをインストールすると、自動的にグローバルパスワードポリシーがデフォルト設定で作成されます。グローバルポリシールールは、グループパスワードポリシーがない全ユーザーに適用されます。
- グループパスワードポリシー
- グループパスワードポリシーは、対応するユーザーグループの全メンバーに適用されます。
あるユーザーに一度に適用されるのは、1 つのパスワードポリシーのみです。ユーザーに複製のパスワードポリシーが割り当てられている場合は、優先度をベースにそのうちのいずれかが適用されます。「パスワードポリシーの優先度」 を参照してください。
28.2.3. パスワードポリシーの優先度
グループパスワードポリシーには、優先度 セットがあります。この値が低ければ低いほど、そのポリシーの優先度は高くなります。最低値は
0 です。
- 複数のパスワードポリシーがあるユーザーに適用可能な場合、優先度の値が最も低いポリシーが優先されます。他のポリシーで定義されているルールはすべて無視されます。
- 優先度の値が最も低いポリシーは、属性が定義されていないものでも、このポリシーが全パスワードポリシー属性に適用されます。
グローバルパスワードポリシーには優先度の値が設定されていません。これは、ユーザーにグループポリシーが設定されていない場合のフォールバックポリシーとして機能します。グローバルポリシーがグループポリシーよりも優先されることはありません。
表28.2「優先度をベースにしたパスワードポリシー属性の適用例」 では、ポリシーが定義された 2 つのグループにユーザーが属する場合に、パスワードポリシーの優先度がどのように機能するかを示しています。
表28.2 優先度をベースにしたパスワードポリシー属性の適用例
| Max lifetime | Min length | |
|---|---|---|
| グループ A のポリシー (優先度 0) | 60 | 10 |
| グループ B のポリシー (優先度 1) | 90 | 0 (制限なし) |
| ↓ | ↓ | |
| ユーザー (グループ A とグループ B のメンバー) | 60 | 10 |
注記
ipa pwpolicy-show --user=user_name コマンドでは、現在どのポリシーが特定のユーザーに適用されているかを示します。