17.2. IdM のパスワードポリシー

パスワードは、Identity Management (IdM) ユーザーが IdM Kerberos ドメインに対して認証する最も一般的な方法です。パスワードポリシーは、これらの IdM ユーザーパスワードが満たする必要のある要件を定義します。

注記

IdM パスワードポリシーは基礎となる LDAP ディレクトリーで設定されますが、Kerberos Key Distribution Center (KDC) はパスワードポリシーを強制します。

パスワードポリシー属性 は、IdM でパスワードポリシーを定義するために使用できる属性を一覧表示します。

表17.1 パスワードポリシーの属性

属性説明

Max lifetime

パスワードのリセットが必要になるまでの、パスワードの有効日数の上限です。

Max lifetime = 90

ユーザーパスワードは 90 日間のみ有効です。その後、IdM は変更を求めるプロンプトを表示します。

Min lifetime

パスワード変更操作間で渡す必要のある最小時間 (時間)。

Min lifetime = 1

ユーザーがパスワードを変更したら、再度変更する前に少なくとも 1 時間待機する必要があります。

履歴サイズ

保存される以前のパスワードの数。ユーザーは、パスワード履歴からパスワードを再利用できませんが、保存されていない古いパスワードを再利用できます。

History size = 0

この場合、パスワード履歴は空になり、ユーザーは以前のパスワードのいずれかを再利用できます。

文字クラス

パスワードで使用する文字クラスの数。文字クラスは次のとおりです。

* 大文字

* 小文字

* Digits

* コンマ (,)、ピリオド (.)、アスタリスク (*) などの特殊文字

* 他の UTF-8 文字

文字を複数回使用すると、文字クラスが 1 つずつ減少します。以下に例を示します。

* Secret1 には、大文字、小文字、数字の 3 つの文字クラスがあります。

* Secret111 には、大文字、小文字、数字、および -1 ペナルティの 2 つの文字クラスがあります。1 を 繰り返し使用できます。

Character classes = 0

必要なクラスのデフォルト数は 0 です。番号を設定するには、--minclasses オプションを指定して ipa pwpolicy-mod コマンドを実行します。

この表の下にある 重要 の注記も参照してください。

Min length

パスワードの最小文字数。

追加のパスワードポリシーオプション が設定されている場合、最小長は Min length オプションが設定された値に関係なく 6 になります。

Min length = 8

8 文字未満のパスワードは使用できません。

Max failures

IdM がユーザーアカウントをロックするまでのログイン試行失敗の最大数。

Max failures = 6

ユーザーが間違ったパスワードを 7 回入力すると、IdM はユーザーアカウントをロックします。

Failure reset interval

失敗したログイン試行回数を IdM がリセットするまでの時間 (秒単位)。

Failure reset interval = 60

Max failures で定義されたログイン試行回数が 1 分以上経過すると、ユーザーはユーザーアカウントのロックを危険にさらすことなく再ログインを試みることができます。

ロックアウト期間

Max failures で定義された回数のログイン試行に失敗した後にユーザーアカウントがロックされる時間 (秒単位)。

Lockout duration = 600

アカウントがロックされているユーザーは、10 分間ログインできません。

重要

国際文字や記号にアクセスできないハードウェアセットがある場合には、文字クラス要件に英語と共通記号を使用してください。パスワードの文字クラスポリシーの詳細は、Red Hat ナレッジベースの「What characters are valid in a password?」を参照してください。