5.4 Identity Managerのパスワード同期およびユニバーサルパスワードを使用するための準備作業

5.4.1 NDSパスワードからユニバーサルパスワードへの切り替え

パスワードポリシーを使用してユーザのグループに対してユニバーサルパスワードをオンにする場合、ユーザはユニバーサルパスワードに値を入力する必要があります。

NDSパスワードを更新するためにこれまでパスワード同期を使用していた場合は、ユーザのパスワードの移行の準備をする必要があります。ユニバーサルパスワードを使用するように切り替えるには、次のいずれかを実行し、ユーザがユニバーサルパスワードを作成するようにします。

  • Novell Clientを使用している場合、ユニバーサルパスワードをサポートするNovell Clientを導入します。

    Identity Managerのパスワード同期には、Novell Clientは必要ありません。

    Novell Clientを導入した後、ユーザが次回Novell Clientを使用してログインすると、ハッシュ前にNDSパスワードがキャプチャされ、ユニバーサルパスワードを追加するために使用されます(『Password Management Administration Guide』の「Planning Login and Change Password Methods for your Users」を参照してください)。

  • Novell Clientを使用していない場合は、ユーザにiManagerセルフサービスコンソールにログインさせます。このログインメソッドにより、ユニバーサルパスワードに値が入力されます。iManagerセルフサービスコンソールにアクセスするには、iManagerサーバの/npsに移動します。たとえば、https://www.myiManager.com/npsです。
  • ユニバーサルパスワードが有効なLDAPサーバを使用して認証するサービスを通じて、ユーザにログインさせます。たとえば、会社のポータルを介してログインします。

5.4.2 ユーザによるパスワードの変更

ユーザがiManager、iManagerセルフサービスコンソール、またはNovell Clientでパスワードを変更する場合、NMASパスワードポリシーの高度なパスワードルールが表示されます。ルールを表示すると、ユーザはルールを推測しなくても、ルールに準拠したパスワードを作成できます。

パスワードフローの設定方法によっては、ユーザが接続システムでパスワードを変更すると、パスワードがIdentity Managerおよび他の接続システムと同期されます。ただし、ユーザがパスワードを変更する際、接続システムには、高度なパスワードルールが表示されません。

高度なパスワードルールを必ず適用してルールに準拠しないパスワードの作成を回避したい場合、iManagerセルフサービスコンソールまたはNovell Clientのみでパスワードを変更するようユーザに要求するか、高度なパスワードルールをユーザに周知徹底させます。

接続システムでは、パスワードポリシーのルールを表示しなくてもユーザはパスワードを変更できます。したがって、ユーザはルールを正しく覚えていない場合があります。ユーザが最初にパスワードを変更する場合、接続システム自体のポリシーのみが適用されます。接続システムでルールに準拠しないパスワードをユーザが作成すると、Identity Managerの設定によっては、次の問題が発生することがあります。

  • 接続システムからIdentity Managerに、使用するパスワードポリシーを適用する設定を有効にしている場合、ユーザの新しいパスワードはアイデンティティボールトに同期されません。ユーザにエラーを通知するようIdentity Managerを設定している場合、電子メールによりパスワードが同期されなかったことがわかります。
  • 接続システムの準拠しないパスワードを置き換えるようIdentity Managerを設定している場合、ユーザは、選択した新しいパスワードで接続システムにログインできなくなります。

    Identity Managerは接続システムのパスワードを、ユーザが最後に作成したルールに準拠したパスワードである可能性の高い、配布パスワードにリセットします。

5.4.3 ユニバーサルパスワードを使用するための準備作業

ユニバーサルパスワードを使用する準備をするには、『Password Management Administration Guide』の「Deploying Universal Password」を参照してください。必要な多くの情報がその章にあります。

次のことも考慮してください。

  • ユニバーサルパスワードを使用するには、eDirectory 8.7.1以降が必要です。NetWare® 6.5は必要ありません。
  • Identity Managerのパスワード同期は、ユニバーサルパスワードと配布パスワードの両方に依存しています。配布パスワードは、Identity Managerが接続システムにパスワードを配布する元になるリポジトリです。ユニバーサルパスワードと同様に、NMASポリシーも配布パスワードに適用できます。
  • Identity Managerに付属のIdentity Manager iManagerプラグインには、パスワード管理プラグインが含まれています。これらのプラグインを使用すると、パスワードポリシーを作成したり、ユニバーサルパスワードをNDSパスワード、単純パスワード、および配布パスワードと同期させる方法を決定したりできます。

    これらのプラグインは、NetWare 6.5に付属のユニバーサルパスワードのプラグインを置き換えます。これらについては、『Password Management Administration Guide』の「Managing Passwords by Using Password Policies」で説明しています。

  • eDirectory 8.6.2は、Identity Managerが使用するツリーとしては使用できません。しかし、eDirectory 8.6.2は、パスワード同期機能のサブセットについてはサポートされています。したがって、環境全体をアップグレードする準備ができていない場合、他のツリーに対してeDirectory 8.6.2を使用できます。
  • ユニバーサルパスワードを展開するためにソフトウェアをアップグレードする場合の影響を最小限に抑える1つの方法は、Identity Managerのための別のツリーをアイデンティティボールトとして作成することです。多くの環境では、Identity Managerおよびドライバ用にアイデンティティボールトがすでに使用されています。
  • ユニバーサルパスワードは、パスワードポリシーの適用や特殊文字の使用など、従来のパスワード管理ツールではサポートされていない機能を提供します。
  • NDSパスワードとユニバーサルパスワードとの同期がずれる状態(「パスワードドリフト」とも呼ばれます)を回避するには、Novell Clientおよび他のユーティリティのアップデートが重要です。『Password Management Administration Guide』の「Planning Login and Change Password Methods for Your Users」を参照してください。
  • Novell Clientの最新バージョンはユニバーサルパスワードをサポートしているので、ユーザに対して初めてユニバーサルパスワードを有効にする際に値を入力し、ユーザがパスワードを変更する場合にNMASパスワードポリシーを表示および適用できます。
  • 接続システムでは、パスワードポリシーで作成した高度なパスワードルールは表示されません。現時点では、Novell Clientでも高度なパスワードルールは表示されませんが、Novell Clientでは高度なパスワードルールは適用されます。

    パスワードの変更はiManagerセルフサービスコンソールのみで行うようユーザに徹底してください。

    接続システムで、またはNovell Clientの最新バージョンを使用してパスワードをユーザが変更することを許可する場合には、パスワードポリシールールをユーザに周知徹底し、ルールに準拠した正しいパスワードをユーザが作成するよう、サポートします。

  • ConsoleOne®がユニバーサルパスワードをサポートするのは、NetWare® 6.5以降のサーバ、または最新のNovell Clientがインストールされているコンピュータで使用される場合のみであることを、管理者およびヘルプデスクは理解している必要があります。
  • 管理者およびヘルプデスクのユーザは、NDSパスワードのみをサポートするユーティリティを使用する意味も理解している必要があります。これらのユーティリティはログインには使用できますが、パスワードの変更には使用できません。この方法により、パスワードドリフトを回避できます。

    Novell Modular Authentication Services (NMAS) 3.0 Administration Guide』では、ユニバーサルパスワードのユーティリティおよびサポートが一覧表示してあるTIDを参照しています。

5.4.4 コンテナの一致

NMASのパスワードポリシーはツリー中心で割り当てられます。一方、パスワード同期はドライバごとに設定されます。サーバごとにドライバがインストールされ、ドライバはマスタレプリカまたは読み書き可能レプリカのユーザのみ管理できます。

パスワード同期により期待される結果を取得するには、パスワード同期を実行するサーバにあるマスタレプリカまたは読み書き可能レプリカのコンテナが、ユニバーサルパスワードが有効なパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにパスワードポリシーを割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にパスワードポリシーが割り当てられます。

5.4.5 電子メール通知の設定

電子メール通知機能を使用するには、次のことが必要です。

  • iManagerの[Notification Configuration (通知設定)]タスクを使用し、電子メールサーバを設定する。
  • 必要に応じて、iManagerの[Notification Configuration (通知設定)]タスクを使用し、電子メールのテンプレートをカスタマイズする。
  • アイデンティティボールトユーザがインターネット電子メールアドレス属性に入力済みであることを確認します。

セクション 5.12, 電子メール通知の設定の指示に従います。