パスワードポリシーオブジェクトは、パスワードが準拠しているかどうかをアプリケーションで確認できるようにするため、パブリックに読み込み可能です。つまり、認証されていないユーザでも、アイデンティティボールトに問い合わせて、どのパスワードポリシーが設定されているかを確認できます。パスワードポリシーが強力なパスワードの作成を要求する場合、『Password Management Administration Guide』の「Create Strong Password Policies」に説明されているように、これによりリスクが発生することはありません。
Identity Managerパスワード同期は、ユーザパスワードを簡略化し、ヘルプデスクのコストを削減できるように提供されています。双方向パスワード同期は、セクション 5.8, パスワード同期の実装で説明されているように、eDirectoryと接続システム間との間でパスワードを複数の方法で共有できるように提供されています。
ユニバーサルパスワードとパスワードポリシーを使用することで、ユーザに対して強いパスワード要件を適用できます。パスワードポリシーの[高度なパスワードルール]を使用して、パスワードに関する業界のベストプラクティスに従ってください。
たとえば、ユーザパスワードが次のようなルールに準拠するように要求できます。
ユーザがパスワードを再利用できないようにし、システムが比較のために履歴リストに保存するパスワードの数を制限できます。
長いパスワードの要求は、パスワードを強化する最適な方法の1つです。
パスワードに1つ以上の数値を含めるよう要求することは、不正侵入者が辞書の単語を使用してログインしようとする「辞書攻撃」の防止に役立ちます。
会社名や地名、またはtestやadminという単語など、セキュリティリスクになると思われる単語を除外できます。除外リストは辞書全体をインポートするためのものではありませんが、除外単語リストは長くてもかまいません。ただし、長い除外リストを使用すると、ユーザのログインに時間がかかります。「辞書攻撃」を防ぐ方法としては、数字または特殊文字を要求する方が適切です。
ツリーの場所によってパスワード要件が異なる場合は、複数のパスワードポリシーを作成できます。パスワードポリシーは、ツリー全体、パーティションルートコンテナ、コンテナ、または個々のユーザに割り当てることができます(管理を簡略化するために、パスワードポリシーは、ツリーのできるだけ上位のレベルに割り当てることをお勧めします)。
さらに、不正侵入者ロックアウトも選択できます。通常どおり、eDirectoryのこの機能では、ログインに何回失敗したらアカウントをロックするかを指定できます。これは、パスワードポリシーの設定ではなく、親コンテナの設定です。『Novell eDirectory 8.7.3 Administration Guide』の「Managing User Accounts」を参照してください。