17.5. IdM グループへの追加のパスワードポリシーオプションの適用

本セクションでは、Identity Management(IdM)で追加のパスワードポリシーオプションを適用する方法を説明します。この例では、新しいパスワードにユーザー固有のユーザー名が含まれておらず、パスワードに成功 2 つを超える文字が含まれていないことを確認することで、managers グループのパスワードポリシーを強化する方法を説明します。

前提条件

  • IdM 管理者としてログインしている。
  • managers グループが IdM に存在する。
  • マネージャー パスワードポリシーが IdM に存在する。

手順

  1. Manager グループのユーザーが提案するすべてのパスワードに、ユーザー名の確認を適用します

    $ ipa pwpolicy-mod --usercheck=True managers
    注記

    パスワードポリシー名を指定しない場合、デフォルトの global_policy が変更されます。

  2. マネージャー パスワードポリシー で、同一連続文字の最大数を 2 に設定します。

    $ ipa pwpolicy-mod --maxrepeat=2 managers

    連続文字が 2 個以上含まれる場合は、パスワードが許可されないようになりました。たとえば、eR873mUi111YJQ の組み合わせは、3 つの成功に 1つ含まれているため、受け入れられません。

検証

  1. test_user という名前のテスト ユーザーを追加します。

    $ ipa user-add test_user
    First name: test
    Last name: user
    ----------------------------
    Added user "test_user"
    ----------------------------
  2. test ユーザーを managers グループに追加します。

    1. IdM Web UI で、IdentityGroups User Groups をクリックします。
    2. manager をクリックします
    3. 追加 をクリックします。
    4. Add users to user group 'managers' ページで、test_user を確認します。
    5. > 矢印 をクリックして、ユーザーを Prospective 列に移動します
    6. 追加 をクリックします。
  3. テストユーザーのパスワードをリセットします。

    1. IdentityUsers に移動します
    2. test_user をクリックします。
    3. Actions メニューで、Reset Password をクリックします。
    4. ユーザーの一時パスワードを入力します。
  4. コマンドラインで、test_user の Kerberos Ticket-granting Ticket(TGT)を取得します。

    $ kinit test_user
    1. 一時パスワードを入力します。
    2. システムは、パスワードを変更する必要があることを通知します。test_user のユーザー名を含むパスワードを入力します。

      Password expired. You must change it now.
      Enter new password:
      Enter it again:
      注記

      Kerberos には、詳細なエラーパスワードポリシーレポートがありません。特定のケースでは、パスワードが拒否された明確な理由はありません。

    3. システムは、入力したパスワードが拒否されたことを通知します。成功に 3 つ以上の同一文字が含まれるパスワードを入力します。

      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      
      Enter new password:
      Enter it again:
    4. システムは、入力したパスワードが拒否されたことを通知します。マネージャーパスワードポリシーの条件を満たす パスワードを入力します

      Password change rejected: Password not changed.
      Unspecified password quality failure while trying to change password.
      Please try again.
      
      Enter new password:
      Enter it again:
  5. 取得した TGT を表示します。

    $ klist
    Ticket cache: KCM:0:33945
    Default principal: test_user@IDM.EXAMPLE.COM
    
    Valid starting       Expires              Service principal
    07/07/2021 12:44:44  07/08/2021 12:44:44  krbtgt@IDM.EXAMPLE.COM@IDM.EXAMPLE.COM

managers パスワードポリシーが managers グループのユーザーに適切に機能するようになりました。