機密情報の処理
Identity Managerパスワード同期は、ユーザパスワードを簡素化し、ヘルプデスクのコストを削減できるように提供されています。その新機能の1つが双方向パスワード同期です。これにより、パスワード同期の実装のシナリオで説明されているように、eDirectoryと接続システムの間で、複数の方法でパスワードを共有できます。
接続システム間で情報を交換する場合は、交換のセキュリティを確保するために、予防措置をとる必要があります。特にパスワードにはセキュリティが必要です。
Identity Managerとパスワード同期を使用するための計画の一部として、次のセキュリティ上の推奨事項を確認することをお勧めします。
- SSLの使用
- セキュリティで保護されたeDirectoryおよびIdentity Managerオブジェクトへのアクセス
- パスワード管理機能のセキュリティ上の考慮事項の確認
- 強力なPassword Policy (パスワードポリシー)の作成
- パスワード同期に参加する接続システムのセキュリティ保護
- セキュリティの業界ベストプラクティスへの準拠
- Nsure Auditを使用した機密情報の変更の追跡
SSLの使用
SSLが使用できる場合は、すべての転送に対して有効にする必要があります。SSLは、DirXMLエンジンとリモートローダ(セキュリティで保護されたデータ転送の提供を参照)の間、DirXMLエンジンまたはリモートローダと接続システムの間で有効にする必要があります。
SSLを有効にしないと、パスワードなどの情報をクリアテキスト形式で送信することになります。
セキュリティで保護されたeDirectoryおよびIdentity Managerオブジェクトへのアクセス
物理的なセキュリティ - Novell eDirectoryがインストールされた物理的なサーバがある場所へのアクセスを保護します。
アクセス権 - Identity Managerオブジェクトの作成およびドライバの設定には、管理者権限が必要です。次を作成または変更する権限を持つユーザを監視および制御します。
- DirXMLドライバセット。
- DirXMLドライバ。
- ドライバ設定オブジェクト(フィルタ、スタイルシート、ポリシー)。特に、パスワードの取得または同期に使用するポリシー。
- Password Policy (パスワードポリシー)オブジェクト(およびこれらを編集するためのiManagerタスク)。これらのオブジェクトは、相互に同期するパスワードと、使用するパスワードセルフサービスオプションを制御しているためです。
パスワード管理機能のセキュリティ上の考慮事項の確認
- Password Policy (パスワードポリシー)オブジェクトは、パスワードが準拠しているかどうかをアプリケーションで確認できるようにするため、パブリックに読み込み可能です。つまり、認証されていないユーザでも、eDirectoryに問い合わせて、どのPassword Policy (パスワードポリシー)が設定されているかを確認できます。Password Policy (パスワードポリシー)で、強力なパスワードを作成するようユーザに要求する場合、強力なPassword Policy (パスワードポリシー)の作成に説明されているように、これがリスクになることは避ける必要があります。
- パスワードヒント属性(nsimHint)もパブリックに読み込み可能で、これによって、認証を受けていない、パスワードを忘れたユーザは自分のヒントにアクセスできます。パスワードヒントは、ヘルプデスクへの問い合わせ削減に大きな効果があります。
セキュリティのため、パスワードヒントは、ユーザの実際のパスワードが含まれていないかどうか確認されます。ただし、パスワードについて多くの情報を与えるパスワードヒントを作成することはできます。
パスワードヒントの使用時にセキュリティを強化するには、次の点に注意してください。
- パスワードセルフサービスに使用されているLDAPサーバ上のnsimHint属性にのみアクセスを許可する。
- パスワードヒントを受け取る前にユーザがチャレンジ質問に答えることを要求する。
- 自分だけが理解できるパスワードヒントを作成するようユーザに注意する。Password Policy (パスワードポリシー)内の[Password Change Message]は、これを実行する1つの方法です。Password Policy (パスワードポリシー)への独自のPassword Change Message (パスワード変更メッセージ)の追加を参照してください。
パスワードヒントをまったく使用しないよう選択した場合は、どのPassword Policy (パスワードポリシー)でもパスワードヒントを使用していないことを確認します。パスワードヒントが設定されないようにするには、さらに高度な設定として、Hint Setupガジェットを完全に削除します。Hintガジェットの削除によるパスワードヒントの無効化を参照してください。
- チャレンジ質問はパブリックに読み込み可能です。これは、パスワードを忘れた認証されていないユーザが別の方法で認証を受けることができるようにするためです。チャレンジ質問を要求することで、パスワードを忘れた場合のセルフサービスのセキュリティが向上します。これは、忘れたパスワードまたはパスワードヒントを受け取る前、またはパスワードをリセットする前に、正しく回答することによってユーザが自らの識別情報を証明する必要があるためです。
チャレンジ質問には不正侵入者ロックアウト設定が適用されるため、不正侵入者による不正な試行回数は制限されています。
ただし、ユーザはパスワードの手がかりを含むチャレンジ質問を作成できます。本人だけが理解できるチャレンジ質問と回答を作成するように徹底してください。[Password Policy]の[Password Change Message]は、これを実行する1つの方法です。Password Policy (パスワードポリシー)への独自のPassword Change Message (パスワード変更メッセージ)の追加を参照してください。
- セキュリティのため、[Forgotten Password]のアクション[E-mail password to user]および[Allow user to reset password]は、チャレンジ質問に答えるようにユーザに要求している場合にのみ実行できます。
- NMAS 2.3.4では、管理者によって変更されたユニバーサルパスワードに関するセキュリティが強化されました。これは基本的に、以前にNDSパスワードで提供されていた機能と同じように動作します。新しいユーザを作成する場合やヘルプデスクへの問い合わせに応答する場合などに、管理者がユーザのパスワードを変更する場合、Password Policy (パスワードポリシー)でパスワードを期限切れにする設定が有効になっていると、セキュリティ上の理由からパスワードは自動的に期限切れになります。Password Policy (パスワードポリシー)のこの設定は、Advaned Password Rule (詳細パスワードルール)にあり、[Number of days before password expires (0-365)]という名前が付けられています。この特定の機能については、日数は重要ではありませんが、設定を有効にする必要があります。
強力なPassword Policy (パスワードポリシー)の作成
ユニバーサルパスワードとPassword Policy (パスワードポリシー)を使用することで、ユーザに対して強いパスワード要件を適用できます。[Password Policy]の[Advanced Password Rule]を使用して、パスワードに関する業界のベストプラクティスに従ってください。
たとえば、ユーザパスワードが次のようなルールに準拠するように要求できます。
- 固有のパスワードの要求 - ユーザがパスワードを再利用できないようにし、システムが比較のために履歴リストに保存するパスワードの数を制限できます。
- パスワードに使用する文字の最小数の要求 - 長いパスワードの要求は、パスワードを強化する最適な方法の1つです。
- パスワードに使用する数字の最小数の要求 - パスワードに1つ以上の数値を含めるよう要求することは、不正侵入者が辞書の単語を使用してログインしようとする「辞書攻撃」の防止に役立ちます。
- 特定のパスワードの除外 - 会社名や地名、またはtestやadminという単語など、セキュリティリスクになると思われる単語を除外できます。除外リストは辞書全体をインポートするためのものではありませんが、除外単語リストは長くてもかまいません。ただし、長い除外リストを使用すると、ユーザのログインに時間がかかります。「辞書攻撃」を防ぐ方法としては、数字または特殊文字を要求する方が適切です。
ツリーの場所によってパスワード要件が異なる場合は、複数のPassword Policy (パスワードポリシー)を作成できます。Password Policy (パスワードポリシー)は、ツリー全体、パーティションルートコンテナ、コンテナ、または個々のユーザに割り当てることができます(管理を簡素化するために、Password Policy (パスワードポリシー)は、ツリーのできるだけ上位のレベルに割り当てることをお勧めします)。
さらに、不正侵入者ロックアウトも選択できます。通常どおり、eDirectoryのこの機能では、ログインに何回失敗したらアカウントをロックするかを指定できます。これは[Password Policy]の設定ではなく、親コンテナの設定です。『Novell eDirectory 8.7.3管理ガイド』の「ユーザアカウントの管理」を参照してください。
パスワード同期に参加する接続システムのセキュリティ保護
データを同期する先の接続システムは、そのデータを危険な方法で保存または転送することがあります。
パスワードを交換するシステムは、セキュリティで保護してください。たとえば、LDAP、NIS、およびWinsowsには、それぞれセキュリティの問題があり、これらのシステムとのパスワード同期を有効にする前に、これらの問題を考慮する必要があります。
多くのソフトウェアベンダは、製品について従う必要のある具体的なセキュリティガイドラインを提供しています。
Nsure Auditを使用した機密情報の変更の追跡
Nsure Auditを使用すると、セキュリティにとって重要と思われるイベントのログを記録できます。Nsure Auditの詳細については、Nsure Auditによるログとレポートを参照してください。
たとえば、特定のDirXMLドライバ(またはドライバセット)のパスワードの変更のログを記録するには、次の手順を実行します。
-
ドライバ(またはドライバセット)のプロパティの[DirXML]タブで、[Log Level]をクリックします。
![ドライバのプロパティのページの[Log Level]タブ](../graphics/psync_sensitive_info_loglevel_a.gif)
-
[Log Level]ページが表示されたら、[Log Specific Events]をクリックします。
これは、ドライバに対して独自の設定を行うか、ドライバセットの設定を使用するかを指定するページです。
![[Log Level]ページ](../graphics/psync_sensitive_info_logspecificevents_a.gif)
-
具体的なイベントを選択するには、[log events]アイコン
をクリックします。 -
[Events]ページが表示されたら、次のチェックボックスをオンにします。
- [Operation Events]で、[Change Password]チェックボックスをオンにします。この項目は、NDSのパスワードの直接の変更を監視します。
- [Transformation Events]で、[Password Set]および[Password Sync]の両方のチェックボックスをオンにします。これら2つの項目は、ユニバーサルパスワードおよび配布パスワードのイベントを監視します。
![[Events]ページでオンにするチェックボックス](../graphics/psync_sensitive_info_checkboxes_a.gif)
-
[Events]ページおよび[Log Level]ページの[OK]をクリックします。