Novell Single Sign-onでのセキュリティについて

複数のユーザをサポートする

複数のユーザがWindows* 95/98ワークステーションを使用する場合、各ユーザが最初のユーザのシークレットにアクセスする可能性があります。

これを防ぐには、ワークステーションで次の操作を行います。

1. ［コントロールパネル］で［パスワード］> ［ユーザプロファイル］を選択します。

2. ［各ユーザは独自に基本設定とデスクトップ設定を変更できる］を選択して［OK］をクリックし、ワークステーションを再起動します。

このオプションを選択すると、オペレーティングシステムは、ワークステーションにログインする各ユーザに対して新しい固有のプロファイルを作成します。これで、v-GOは別のプロファイルを使用することができます。

パスワードポリシーを適用する

本来はパスワードポリシーを適用する能力を持たないアプリケーションで、ユーザ入力のパスワードにパスワードポリシーを適用することができます。

パスワードをアプリケーションのパスワード変更ボックスに直接入力するのではなく、v-GOのログオンウィザードに入力すると、パスワード変更イベントを検出するように正しく設定されている場合には、v-GOはパスワードポリシーを実行することができます。

パスワードポリシーを設定するには、nssoPasswordPolicyオブジェクトを作成します。

1. ConsoleOne^TMで、適切なnssoSingleSignonオブジェクトを右クリックします。

2. ［新規］>［オブジェクト］>［nssoPasswordPolicy］>［OK］をクリックします。

3. オブジェクトに名前を付けます(たとえばResearchPol)。

4. プロパティを定義します(オプション)。

   ［追加プロパティの定義］チェックボックスをチェックして［OK］をクリックすると、nssoApplicationオブジェクトの［一般］ページが開きます。 次の項目を行うことができます。

   • v-GOが自動的にパスワードを生成するように設定する。
   • 使用できないパスワードをユーザが使用するのを防ぐ。

     nssoPasswordExcludeListオブジェクトを作成した場合、このオブジェクトに移動して選択し、［OK］>［OK］をクリックします。

     続けて変更を行うには、［OK］>［適用］をクリックします。

リスクの高いパスワードを除外する

nssoPasswordExcludeオブジェクトを使用することにより、ユーザがリスクの高いパスワードを入力するのを防ぐことができます。

1. nssoSingleSignon オブジェクトを右クリックします。

2. ［新規］>［オブジェクト］>［nssoPasswordExcludeList］>［OK］をクリックします。

3. 名前(たとえばResearchList)を入力します。

4. プロパティを定義します(オプション)。

   ［追加プロパティの定義］チェックボックスをチェックして［OK］をクリックすると、［PasswordExcludeList］ページが開きます。

   除外リストに単語を追加するには、［追加］をクリックして単語を入力します。

   
   

   一度に1つの単語を追加するには、［追加］をクリックして単語を入力し、［OK］をクリックします。連続して単語を追加するには、［別の単語を追加］チェックボックスをチェックして［OK］をクリックします。

   ［除外リスト］画面では次のタスクを行うことができます。

   • リストの単語を編集するには、［変更］をクリックします。
   • 除外した単語をファイルにエクスポートするには、［エクスポート］をクリックしてディレクトリに移動し、ファイル名を入力します。
   • エクスポートファイルから単語をインポートするには、ファイルに移動して選択します。
   • 「すでに存在します」メッセージを表示せずに重複単語を上書きするには、［メッセージの重複禁止］チェックボックスをチェックします。
   • 名前をファイルに追加するには、［エクスポート］をクリックして［ファイルに追加］チェックボックスをチェックします。ファイルに移動して選択し、［はい］をクリックして保存します。［OK］をクリックします。
   • リストを保存して終了するには、［OK］をクリックします。 リストを保存し、続けて変更を行うには、［適用］をクリックします。

5. ［別のnssoPasswordExcludeListの作成］をチェックします(オプション)。

   各アプリケーションに対して、別のパスワードリストを作成することができます。また、1つのリストを作成して再利用することもできます。

拡張保護機能を使用する

Novell^(R) SecretStore^TMでは、次の操作を行うことにより、追加の保護が提供されます。

• SecretStoreをロックする
• マスタパスワードとヒントを設定する
• アプリケーションのパスワードの設定

SecretStoreをロックする

Novell SecretStoreのあらゆるシークレットに対して拡張保護機能オプションを有効にすると、管理者がユーザのNDS^(R) パスワードを変更する場合に、SecretStoreがロックされた状態になります。ロックされると、SecretStore がロック解除されるまで、拡張保護機能オプションとともに保存されたシークレットを読み取ることはできません。

SecretStore は、ユーザが設定した最後のNDSパスワードが提供された場合のみ、ロック解除されます。管理者は、ユーザの最後のNDSパスワードを知らないため、拡張保護されたシークレットの安全性が保たれます。

NDSとSecretStoreは、ユーザが開始したパスワード変更と管理者が開始したパスワード変更を識別することができます。 SecretStoreは、管理者がユーザのパスワードを変更するときのみロックされます。ユーザの最後のパスワードの暗号化ハッシュは、ユーザが変更を開始する場合にのみ、SecretStoreで更新されます。

ユーザがアカウントを作成してから、拡張保護されたシークレットを保存する前に少なくとも1回NDSパスワードを変更している場合、パスワードは完全に安全です。ユーザがパスワードを変更すると、管理者には最後のパスワードがわかりません。一般的に、NDS内に新しいユーザオブジェクトを設定するときには、最初のログインでパスワードを変更するようにユーザに要求するようにしてください。

管理者に相当する権利を持つユーザ(つまり、ネットワーク管理者ではないがスーパバイザ権限を持つユーザ)は、自分のパスワードを設定するときに注意が必要です。管理者に相当するユーザとしてログインするときにパスワードを設定すると、そのユーザのSecretStoreはロックされます。

マスタパスワードを設定する

拡張保護マスタパスワード機能は、ユーザがSecretStoreをロック解除するためのもう1つの方法です。マスタパスワード機能により、永続的なパスワードをSecretStoreに格納して更新することができます。管理者がNDSパスワードを再設定する場合、ユーザは最後のNDSパスワードの代わりにマスタパスワードを使用して、SecretStoreをロック解除することができます。

SecretStore Manager (SSMANAGER.EXE)は、マスタパスワードのインタフェースを提供します。このユーティリティを使用して、マスタパスワードとともにヒントを保存することができます。後でSecretStoreをロック解除するときに正しくないパスワードを入力した場合、SecretStore Managerはマスタパスワードを思い出すためのヒントを表示します。

SecretStoreをロック解除するその他のインタフェース(Lotus* Notes*やEntrustコネクタに内蔵されたものなど)は、以前のNDSパスワードのかわりにマスタパスワードを受け入れます。 ただし、これらのインタフェースでは、ヒントが表示されない可能性もあります。

マスタパスワードとヒントを設定するには、Single Sign-onプログラムグループからSecretStore Manager(またはSecretStore Status)を起動し、［オプション］>［マスタパスワードの設定］をクリックします。

また、次のコマンドを入力してSecretStore Managerからマスタパスワードを設定することもできます。

ssmanager.exe /sp

このコマンドにより、［マスタパスワードの設定］ダイアログボックスが開きます。 ユーザにマスタパスワードデータの設定を推奨する場合、この機能は便利です。

アプリケーションパスワードを設定する

アプリケーションパスワードは、オプションの拡張保護機能の1つです。認証されたワークステーション上で実行している他のアプリケーションから、あるアプリケーションのシークレットを保護するように設計されています。このオプションのパスワードは、シークレットが書き込まれるときにシークレットごとに保存され、NSSOReadSecret()関数の呼び出しにアプリケーションが正しいアプリケーションパスワードを提供できる場合を除いては、アプリケーションがシークレットを読み取るのを禁止します。

アプリケーションのパスワードは、シークレットを作成するSingle Sign-on対応アプリケーションによって作成されます。アプリケーションのパスワードは、各アプリケーションとユーザに対して固有でなければなりません。アプリケーションパスワードは、ユーザや他のアプリケーションが知ることのできない、真のアプリケーションシークレットです。

NDS内のアプリケーションのSingle Sign-on設定で、そのアプリケーションに対して［アプリケーションパスワードを使用する］オプションが設定されているとき、v-GO for Novell Single Sign-onはアプリケーションパスワード機能を使用します。アプリケーションパスワード機能は、Single Sign-on対応のアプリケーションやコネクタの開発担当者も使用することができます。

アプリケーションパスワードでシークレットを保存している場合は、マスタパスワードを保存しない限り、これらのシークレットを表示したり読み取ることはできません。 ユーザがアプリケーションパスワードとともに保存されたシークレットを表示しようとすると、SecretStore Managerはマスタパスワードの入力を要求します。

SecretStoreをツリー間でコピーする

SecretStore Managerを使用して、SecretStoreの内容をツリー間でコピーすることができます。

シナリオ: Digital Airlines社がAdVenture社を買収しました。AdVenture社の元従業員は、DAツリーでアカウントを与えられます。こうした従業員は、両方のツリーに対して認証されるので、Adventure社のアカウントからDAツリーの新しいアカウントへシークレットをコピーできます。

v-GOは一度に1つのSecretStoreに対してのみ機能します。v-GOは制限付きのコピー機能を提供します。この機能では、ユーザが古いツリーに対して認証される場合、ユーザは新しいツリーまたはオブジェクトにv-GOシークレットを同期させることができます。ただし、v-GOは、非v-GOシークレットを新しいツリーにコピーしません。SecretStore Managerは、こうしたシークレットもコピーします。

どちらの場合でも、セキュリティを確保する上で重要なことは、情報のコピーを許可する前に、ソースツリーオブジェクトへのユーザの再認証を要求し、SecretStoreをロックしないようにすることです。これを怠ると、シークレットが漏れる可能性があります。

切断時の認証

パフォーマンスの向上のため、v-GOはNDS内のSecretStoreからのシークレットを、ワークステーションのWindowsディレクトリの暗号化情報保存場所にキャッシュします。

username AML.INI.

v-GO for Novell Single Sign-onでは、NDS認証されたセッションが終了したあともこのローカルの保存場所を引き続き使用できるるように設定することができます。この設定によって、ラップトップコンピュータのユーザはオフィスの外にいるときでも、ログオンデータにアクセスすることができます。

NDS接続したネットワーク内でコンピュータ(およびv-GO)が起動するとき、ログオンデータがローカルの保存場所で更新されるとき、またはv-GO が終了するとき、キャッシュされたデータとNDSデータとの同期化が行われます。ユーザがWindowsにログインするときのみ、ローカルの保存場所へのアクセスが許可されます。

NSSO 2.1にはNovell Modular Authentication Service (NMAS^TM) Enterprise Editionクライアントが含まれており、自動的にインストールされます。このクライアントによって、NDS切断時の認証機能とパスワード表示再認証機能がv-GOに追加されます。デフォルトでは、NSSOワークステーションインストールプログラム(NSSOINSTALL.EXE)がNMASクライアントをインストールし、NDSログインダイアログでNDSパスワード入力フィールドが表示されるようにNovell Client^TMを設定します。NDSパスワードポストログイン方法によって、NDSパスワードのNICI暗号化およびハッシュされたコピーがレジストリに格納されます。ユーザが切断時の認証または再認証イベントに応答するとき、NSSOはこの保存した情報をユーザが入力したユーザ名とパスワードと比較します。

非NDSパスワード方式でNMASを使用している場合、各ユーザのワークステーションでパスワード情報を確立するために、NDSパスワードを一度使用しなければなりません。このあと、ディレクトリへの通常のバイオメトリック、スマートカードまたはトークン認証のログオンプロセスからこれを削除することができます。

NDSスクリーンセーバを使用する

NDS スクリーンセーバはNDSを使用してユーザを認証し、そのユーザのWindowsワークステーションをロック解除します。Windows 95/98上で実行するように設計されているため、NDSスクリーンセーバにはNovell Client for Windows 95/98 3.30が必要です。

Novell Single Sign-oパッケージにバンドルされたNDSスクリーンセーバは、NMASクライアントの一部です。完全なNMAS Enterprise Edition 2.0では、スクリーンセーバの中央管理が可能で、最大15分のタイムアウト値を設定することもできます。この値を小さくすることは可能ですが、15分より大きな値に設定することはできません。

Single Sign-onをWindows 95/98ワークステーションにインルトールするとき、スクリーンセーバはデフォルトでインストールされます。オプションで、スクリーンセーバをWindows NT/2000ワークステーションにインストールすることもできます。

ワークステーションがネットワークから切断されると、NDSスクリーンセーバは、NICIサービスを使用してレジストリ内のユーザパスワードの暗号化ハッシュを安全に格納します。画面がロックされると、スクリーンセーバはサーバコンソールのNDS機能ど同様に再認証を許可します。

スクリーンセーバを中央で管理するには、NMAS 2.0が必要です。管理者は、ユーザによる次の操作を有効にするか無効にするかを設定することができます。

• スクリーンセーバを選択する
• スクリーンセーバの［設定］ボタンと［プレビュー］ボタンにアクセスする
• スクリーンセーバの［実行までの待ち時間］値を設定または変更する

ユーザが使用できるすべての設定が［画面］コントロールパネルに表示されます。 ワークステーションユーザは、管理者が許可した設定にアクセスすることができます。

いったんワークステーションにインストールすると、このコンポーネントは自動的に使用されます。ワークステーションがロックされるか、またはスクリーンセーバが起動すると、NDSダイアログボックスが表示され、ユーザはNDSに対して認証されます。認証に成功すると、ワークステーションのロックが解除され、ユーザはデスクトップを使用することができるようになります。

管理者もワークステーションをロック解除することができますが、ユーザをいったんログアウトさせなければなりません。この場合、ユーザが実行していたすべてのプログラムが強制終了されます。保存されていないファイルが失われる可能性があるため、この機能を使用するときは注意が必要です。

また、管理者がワークステーションをロックする場合、ロック解除しなければならない可能性があります。

シナリオ: ワークステーションはNDSに接続され、NDSスクリーンセーバを使用しています。管理者はワークステーションをロックします。ネットワーク接続が切断されます。ワークステーションをロック解除するには、次の操作を行います。

• ワークステーションをリブートします。
• 接続がタイムアウトになるまで待機します。

NDSスクリーンセーバをインストールするには、Novell Single Sign-onのCDの\CLIENT\NMAS \SCREENSAVERディレクトリからCLIENTSETUP.EXEプログラムを実行します。

注:  Windows NTでスクリーンセーバをロックする場合、タイムアウト値を過ぎると画面が空白になる可能性があります。Windowsの問題により、ロック解除のダイアログボックスが表示されるまでに約2分かかります。