NDSパスワードからユニバーサルパスワードへの切り替え

Password Policy (パスワードポリシー)を使用してユーザのグループに対してユニバーサルパスワードをオンにする場合、ユーザはユニバーサルパスワードに値を入れる必要があります。

NDSパスワードを更新するためにこれまでパスワード同期を使用していた場合は、ユーザのパスワードの移行の準備をする必要があります。ユニバーサルパスワードを使用するように切り替えるには、次のいずれかを実行し、ユーザがユニバーサルパスワードを作成するようにします。

• Novell Client (Identity Managerパスワード同期に必要です)を使用している場合は、ユニバーサルパスワードをサポートする新しいNovell Clientを配布します。次にユーザが新しいNovell Clientを使用してログインすると、クライアントはNDSパスワードがハッシュされる前にキャプチャし、ユニバーサルパスワードへの値の入力に使用します(ユーザのログインおよびパスワード変更方法の計画を参照)。
• Novell Clientを使用していない場合は、ユーザにiManagerセルフサービスコンソールにログインさせます。このログインメソッドにより、ユニバーサルパスワードに値が入力されます。iManagerセルフサービスコンソールにアクセスするには、iManagerサーバの/npsに移動します。たとえば、https://www.myiManager.com/npsです。
• ユニバーサルパスワードが有効なLDAPサーバを使用して認証するサービスを通じて、ユーザにログインさせます。たとえば、企業ポータルです。

iManagerセルフサービスコンソールまたはNovell Clientによるパスワードの変更

ユーザがiManager、iManagerのセルフサービスコンソール、およびNovell Clientでパスワードを変更する場合、Password Policy (パスワードポリシー)のAdvanced Password Rule (詳細パスワードルール)が表示されます。このため、ユーザはルールを推測しなくても、ルールに準拠したパスワードを作成できます。

パスワードフローの設定方法によっては、ユーザが接続システムでパスワードを変更すると、その変更がIdentity Managerおよび他の接続システムと同期化されます。ただし、ユーザがパスワードを変更する際、接続システムには、Advanced Password Rule (詳細パスワードルール)が表示されません。

Advanced Password Rule (詳細パスワードルール)を必ず適用してルールに準拠しないパスワードの作成を回避したい場合、iManagerのセルフサービスコンソールまたはNovell Clientのみでパスワードを変更するようユーザに要求するか、Advanced Password Rule (詳細パスワードルール)をユーザに周知徹底させます。

接続システムでは、ユーザはPassword Policy (パスワードポリシー)のルールを参照せずにパスワードを変更できるので、ルールを正しく思い出せない場合があります。ユーザが最初にパスワードを変更する場合、接続システム自体のポリシーのみが適用されます。接続システムでルールに準拠しないパスワードをユーザが作成すると、Identity Managerの設定によっては、次の問題が発生することがあります。

• 接続システムからIdentity Managerに、使用するPassword Policy (パスワードポリシー)を適用する設定を有効にしている場合、ユーザの新しいパスワードはeDirectoryに同期化されません。ユーザにエラーを通知するようIdentity Managerを設定している場合、電子メールによりパスワードが同期化されなかったことがわかります。
• 接続システムの準拠しないパスワードを置き換えるようIdentity Managerを設定している場合、ユーザは、接続システムで選択した新しいパスワードでログインできなくなります。

  Identity Managerは接続システムのパスワードを、ユーザが最後に作成したルールに準拠したパスワードである可能性の高い、配布パスワードにリセットします。

ユニバーサルパスワードを使用するための準備作業

必要な情報のほとんどは、『Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Novell Modular Authentication Services (NMAS) 2.3管理ガイド)』の「Deploying Universal Password (ユニバーサルパスワードの展開)」にあります。

次のことも考慮してください。

• ユニバーサルパスワードを使用するには、eDirectory 8.7.1以降が必要です。NetWare 6.5は必要ありません。NetWareのマニュアルではこの点が更新されています。
• Identity Managerパスワード同期は、ユニバーサルパスワードと、別の種類のパスワードである配布パスワードの両方に基づきます。配布パスワードは、Identity Managerが接続システムにパスワードを配布するときに使用するリポジトリです。ユニバーサルパスワードと同様、ポリシーは配布パスワードにも適用できます。
• Identity Managerに付属のDirXML iManagerプラグインには、Password Policy (パスワードポリシー)を作成するための新しいパスワード管理プラグインが含まれています。これらのプラグインにより、ユニバーサルパスワードをNDSパスワード、通常パスワード、および配布パスワードに同期化する方法が決定されます。

  これらのプラグインは、NetWare 6.5に付属のユニバーサルパスワードのプラグインを置き換えます。Password Policy (パスワードポリシー)を使用したパスワードの管理を参照してください。

• eDirectory 8.6.2は、Identity Managerが使用するツリーとしては使用できません。ただし、パスワード同期化機能のサブセットではeDirectory 8.6.2がサポートされているので、環境全体をアップグレードする準備ができていない場合には、他のツリーとして使用できます。
• ユニバーサルパスワードを展開するためにソフトウェアをアップグレードする場合の影響を最小限に抑える1つの方法は、Identity Managerのための別のツリーを識別ボールトとして作成することです。多くの環境ではすでにDirXMLおよびドライバのために、識別ボールトを使用しています。
• ユニバーサルパスワードは、Password Policy (パスワードポリシー)の適用や特殊文字の使用など、従来のパスワード管理ツールではサポートされなかった新しい機能を提供します。
• NDSパスワードとユニバーサルパスワードとの同期がずれる状態(「パスワードドリフト」とも呼ばれます)を回避するには、Novell Clientおよび他のユーティリティのアップデートが重要です。ユーザのログインおよびパスワード変更方法の計画を参照してください。
• Novell Clientの最新バージョンはユニバーサルパスワードをサポートしているので、ユーザに対して初めてユニバーサルパスワードを有効にする際に値を入力し、ユーザがパスワードを変更する場合にPassword Policy (パスワードポリシー)を表示および適用できます。
• 接続システムでは、Password Policy (パスワードポリシー)で作成したAdvanced Password Rule (詳細パスワードルール)は表示されません。現時点では、Novell ClientでもAdvanced Password Ruleは表示されませんが、Novell ClientではAdvanced Password Ruleは適用されます。

  代わりに、パスワードの変更はiManagerのセルフサービスコンソールのみで行うようユーザに徹底してください。

  接続システムで、またはNovell Clientの最新バージョンを使用してパスワードをユーザが変更することを許可する場合には、Password Policy (パスワードポリシー)をユーザに周知徹底し、ルールに準拠した正しいパスワードをユーザが作成するよう、サポートします。

• ConsoleOne^(R)がユニバーサルパスワードをサポートするのは、NetWare^(R) 6.5以降のサーバ、または最新のNovell Clientがインストールされているコンピュータで使用される場合のみであることを、管理者およびヘルプデスクのユーザに徹底します。
• 管理者およびヘルプデスクのユーザが、NDSパスワードのみをサポートするユーティリティを使用する意味を理解するようにしてください。これらのユーティリティはログインには使用できますが、パスワードの変更には使用できません。それにより、NDSパスワードとユニバーサルパスワードとの同期がずれる状態、すなわち「パスワードドリフト」が回避されます。

  『Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Novell Modular Authentication Services (NMAS) 2.3管理ガイド)』には、ユーティリティとそのユニバーサルパスワードのサポート状況のリストが表示されているTID (Technical Information Document)が記載されています。

レプリカの計画とPassword Policy (パスワードポリシー)

Password Policy (パスワードポリシー)はツリー中心で割り当てられます。対照的に、パスワード同期はドライバごとに設定されます。ドライバはサーバベースでインストールされ、マスタレプリカまたは読み書き可能レプリカ内に存在するユーザのみを管理できます。パスワードの同期化により期待される結果を取得するには、パスワードの同期化を実行するサーバにあるマスタレプリカまたは読み書き可能レプリカのコンテナが、ユニバーサルパスワードが有効なパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにPassword Policy (パスワードポリシー)を割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にPassword Policy (パスワードポリシー)が割り当てられます。

電子メール通知の設定

電子メール通知機能を使用するには、次のことが必要です。

• iManagerの［Notification Configuration］タスク作業を使用し、電子メールサーバを設定する
• 必要に応じて、iManagerの［Notification Configuration］タスクを使用し、電子メールのテンプレートをカスタマイズする
• eDirectoryユーザがInternet EMail Address属性に入力済みであることを確認する

電子メール通知の設定の指示に従います。