このセクションでは、次の項目について説明します。
管理を簡素化するため、デフォルトのポリシーはツリー全体に割り当て、使用するその他のポリシーはできるだけツリーの上位に割り当てることをお勧めします。
NMASは、ユーザに対してどのPassword Policy (パスワードポリシー)が有効かを決定します。Password Policy (パスワードポリシー)をユーザに割り当てる方法については、ユーザへのPassword Policy (パスワードポリシー)の割り当てを参照してください。
Password Policy (パスワードポリシー)でAdvaned Password Rule (詳細パスワードルール)を使用すると、パスワードのビジネスポリシーを適用できます。
Password Policy (パスワードポリシー)のパスワードルールが表示されるのは、Novell Client (4.9 SP2)とiManagerセルフサービスコンソールのみです。ユーザがLDAPサーバを介してパスワードを変更する場合や、接続システム上でパスワードを変更する場合、準拠したパスワードの作成に役立つパスワードルールをユーザがすぐに参照できるようにする必要があります。
パスワード同期を使用する場合は、Password Policy (パスワードポリシー)が割り当てられているユーザが、接続システムのパスワード同期に参加させるユーザと一致していることを確認する必要があります。Password Policy (パスワードポリシー)はツリー中心で割り当てられます。対照的に、パスワード同期はサーバベースでドライバごとに設定されます。パスワード同期から期待どおりの結果を得るには、パスワード同期のドライバを実行しているサーバ上の読み書き可能レプリカまたはマスタレプリカに存在するユーザが、Password Policy (パスワードポリシー)を割り当ててユニバーサルパスワードを有効にしているコンテナと一致していることを確認してください。パーティションルートコンテナにPassword Policy (パスワードポリシー)を割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にPassword Policy (パスワードポリシー)が割り当てられます。
ユーザは、複数の方法でログインまたはパスワード変更を実行できます。
どの方法であっても、関連付けられたLDAPサーバ、NMAS 2.3、およびiManager 2.0.2以降を使用して、eDirectory 8.7.1以降に環境をアップグレードする必要があります。ユニバーサルパスワードをサポートするためのアップグレードの詳細については、『Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Novell Modular Authentication Services (NMAS) 2.3管理ガイド)』を参照してください。
この節では、各状況でユニバーサルパスワードをサポートするための追加要件について説明します。
Novell Clientを使用している場合は、バージョン4.9 SP2以降にアップグレードします。
環境によっては、ユーザは、iManagerセルフサービスコンソールまたは他の企業ポータルからログインできるため、Novell Clientの使用は必須ではありません。また、ADまたはNT上のパスワード同期にもNovell Clientは必要ありません。
次の表は、ユニバーサルパスワードに関するNovell Clientバージョン間の違いを説明し、レガシークライアントの推奨処理方法を示します。
| Novell Clientバージョン | ログイン | パスワード変更 |
|---|---|---|
4.9より前 |
NMASを経由しないため、ユニバーサルパスワードをサポートしません。 代わりに、NDSパスワードを使用して直接ログインします。 |
NMASを経由せず、NDSパスワードを直接変更します。 ユニバーサルパスワードを使用している場合、NDSパスワードとユニバーサルパスワードの同期が維持されない「パスワードドリフト」という問題が発生することがあります。これを防ぐには、次の3つの方法があります。
|
4.9 |
ユニバーサルパスワードをサポートします。 |
ユニバーサルパスワードのPassword Policy (パスワードポリシー)ルールを適用します。 ユーザが準拠しないパスワードを作成しようとした場合、パスワード変更は拒否されます。ただし、ルールのリストはユーザに表示されません。 |
4.9 SP2 |
ユニバーサルパスワードをサポートします。 |
ユニバーサルパスワードのPassword Policy (パスワードポリシー)ルールを適用します。 さらに、準拠したパスワードの作成に役立つルールも表示されます。 |
iManagerセルフサービスコンソールはパスワードセルフサービスを備えているため、ユーザはパスワードをリセットしたり、Password Policy (パスワードポリシー)で提供されていれば、パスワードを忘れた場合のセルフサービスを設定したりできます。iManagerサーバ上のユーザは、https://www.servername.com/npsなどのURLを使用して、iManagerセルフサービスコンソールにアクセスできます。たとえば、https://www.myiManager.com/npsなどです。
すでに説明したように、eDirectory、LDAPサーバ、NMAS、およびiManagerがユニバーサルパスワードをサポートするようにアップグレードされていることを確認します。
AFP、CIFSなどのプロトコルでユニバーサルパスワードを使用する方法の詳細については、『Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Novell Modular Authentication Services (NMAS) 2.3管理ガイド)』の「Deploying Universal Password (ユニバーサルパスワードの展開)」を参照してください。
Identity Managerパスワード同期を使用する場合は、ユーザパスワードを正常に変更できるように、次の要件を満たしていることを確認します。
詳細については、接続システム間のパスワード同期を参照してください。
Novell Clientの4.9以前のバージョンについては、ログインとパスワードの変更は、NMASを経由せずにNDSパスワードに直接送られるため、ユニバーサルパスワードはサポートされていません。
ユニバーサルパスワードを使用している場合、レガシーClientを使用してパスワードを変更すると、NDSパスワードとユニバーサルパスワードの同期が維持されない「パスワードドリフト」という問題が発生することがあります。
この問題を防ぐ1つの方法は、バージョン4.9より以前のClientがパスワードを変更できないようにすることです。これは、特定のルートコンテナ、クラス、またはオブジェクトでeDirectory属性を使用して行います。属性はeDirectory 8.7.1以降のスキーマの一部であり、eDirectory 8.7.0以前ではサポートされていません。
レガシーClientで使用されるNDSパスワードの変更方法は、NDAPパスワード管理と呼ばれます。次のリストは、属性を使用してパーティションレベルでNDAPパスワード管理を無効にする方法を説明しています。必要に応じて、他の属性を使用して、パスワード管理をクラスごとまたはオブジェクトごとに有効できます。
ndapPartitionPasswordMgmt - パーティションレベルのコンテナ用。属性が存在しない場合、または値がパーティションレベルで設定されていない場合、NDAPパスワード管理は有効になります。
NDAPパスワード管理を無効にするには、この属性をパーティションに追加して0に設定します。もう一度有効にするには、1に設定します。
次に示す他の属性を使用すると、NDAPパスワード管理がパーティションレベルで無効になっていても、クラスまたはオブジェクトでNDAPパスワード管理を使用できます。ただし、NDAPパスワード管理がパーティションレベルで有効になっている場合、NDAPパスワード管理は、クラスおよびエントリレベルのポリシーには関係なく、そのパーティション内のすべてのオブジェクトに対して有効になります。
ndapClassPasswordMgmt - クラス用。この属性をクラス定義に追加すると、パーティションレベルのポリシーでNDAPパスワード管理が無効に指定されていても、クラスでNDAPパスワード管理を使用できます(この属性が存在すればNDAPパスワード管理は有効になります。値は重要ではありません)。
ndapPasswordMgmt - 特定のオブジェクト用。この属性を特定のオブジェクトに追加して値を1に設定すると、パーティションまたはクラスでNDAPパスワード管理が無効に指定されていても、オブジェクトでNDAPパスワード管理を使用できます。
0に設定すると、NDAPパスワード管理は無効になります。ただし、パーティションレベルでもNDAPパスワード管理が無効になっている場合に限ります。
重要: eDirectory 8.7.0以前はこの機能をサポートしていません。ツリーにeDirectory 8.7.1サーバ以降とeDirectory 8.7.0サーバ以前が存在する場合、2つのサーバが1つのパーティションを共有するため、そのパーティション上でNDAPパスワード管理を無効にすると、不安定な結果になります。8.7.1サーバでは設定が適用され、レガシークライアントはNDSパスワードを変更できなくなります。一方、8.7.0サーバでは設定が適用されないため、ユーザが8.7.0サーバを介してNDSパスワードを変更しようとすると、変更が成功します。