Identity Managerパスワード同期は、ユーザパスワードを簡素化し、ヘルプデスクのコストを削減できるように提供されています。その新機能の1つが双方向パスワード同期です。これにより、パスワード同期の実装のシナリオで説明されているように、eDirectoryと接続システムの間で、複数の方法でパスワードを共有できます。
接続システム間で情報を交換する場合は、交換のセキュリティを確保するために、予防措置をとる必要があります。特にパスワードにはセキュリティが必要です。
Identity Managerとパスワード同期を使用するための計画の一部として、次のセキュリティ上の推奨事項を確認することをお勧めします。
SSLが使用できる場合は、すべての転送に対して有効にする必要があります。SSLは、DirXMLエンジンとリモートローダ(セキュリティで保護されたデータ転送の提供を参照)の間、DirXMLエンジンまたはリモートローダと接続システムの間で有効にする必要があります。
SSLを有効にしないと、パスワードなどの情報をクリアテキスト形式で送信することになります。
物理的なセキュリティ - Novell eDirectoryがインストールされた物理的なサーバがある場所へのアクセスを保護します。
アクセス権 - Identity Managerオブジェクトの作成およびドライバの設定には、管理者権限が必要です。次を作成または変更する権限を持つユーザを監視および制御します。
セキュリティのため、パスワードヒントは、ユーザの実際のパスワードが含まれていないかどうか確認されます。ただし、パスワードについて多くの情報を与えるパスワードヒントを作成することはできます。
パスワードヒントの使用時にセキュリティを強化するには、次の点に注意してください。
パスワードヒントをまったく使用しないよう選択した場合は、どのPassword Policy (パスワードポリシー)でもパスワードヒントを使用していないことを確認します。パスワードヒントが設定されないようにするには、さらに高度な設定として、Hint Setupガジェットを完全に削除します。Hintガジェットの削除によるパスワードヒントの無効化を参照してください。
チャレンジ質問には不正侵入者ロックアウト設定が適用されるため、不正侵入者による不正な試行回数は制限されています。
ただし、ユーザはパスワードの手がかりを含むチャレンジ質問を作成できます。本人だけが理解できるチャレンジ質問と回答を作成するように徹底してください。[Password Policy]の[Password Change Message]は、これを実行する1つの方法です。Password Policy (パスワードポリシー)への独自のPassword Change Message (パスワード変更メッセージ)の追加を参照してください。
ユニバーサルパスワードとPassword Policy (パスワードポリシー)を使用することで、ユーザに対して強いパスワード要件を適用できます。[Password Policy]の[Advanced Password Rule]を使用して、パスワードに関する業界のベストプラクティスに従ってください。
たとえば、ユーザパスワードが次のようなルールに準拠するように要求できます。
ツリーの場所によってパスワード要件が異なる場合は、複数のPassword Policy (パスワードポリシー)を作成できます。Password Policy (パスワードポリシー)は、ツリー全体、パーティションルートコンテナ、コンテナ、または個々のユーザに割り当てることができます(管理を簡素化するために、Password Policy (パスワードポリシー)は、ツリーのできるだけ上位のレベルに割り当てることをお勧めします)。
さらに、不正侵入者ロックアウトも選択できます。通常どおり、eDirectoryのこの機能では、ログインに何回失敗したらアカウントをロックするかを指定できます。これは[Password Policy]の設定ではなく、親コンテナの設定です。『Novell eDirectory 8.7.3管理ガイド』の「ユーザアカウントの管理」を参照してください。
データを同期する先の接続システムは、そのデータを危険な方法で保存または転送することがあります。
パスワードを交換するシステムは、セキュリティで保護してください。たとえば、LDAP、NIS、およびWinsowsには、それぞれセキュリティの問題があり、これらのシステムとのパスワード同期を有効にする前に、これらの問題を考慮する必要があります。
多くのソフトウェアベンダは、製品について従う必要のある具体的なセキュリティガイドラインを提供しています。
Nsure Auditを使用すると、セキュリティにとって重要と思われるイベントのログを記録できます。Nsure Auditの詳細については、Nsure Auditによるログとレポートを参照してください。
たとえば、特定のDirXMLドライバ(またはドライバセット)のパスワードの変更のログを記録するには、次の手順を実行します。
ドライバ(またはドライバセット)のプロパティの[DirXML]タブで、[Log Level]をクリックします。
[Log Level]ページが表示されたら、[Log Specific Events]をクリックします。
これは、ドライバに対して独自の設定を行うか、ドライバセットの設定を使用するかを指定するページです。
具体的なイベントを選択するには、[log events]アイコンをクリックします。
[Events]ページが表示されたら、次のチェックボックスをオンにします。
[Events]ページおよび[Log Level]ページの[OK]をクリックします。