Sun Java(TM) System Directory Server オンラインヘルプ |
「パスワードポリシー」ダイアログボックスの「パスワード」タブ
画面の次のフィールドは、パスワードポリシーを定義するために使用します。
ユーザーのパスワード変更
次のオプションでは、ユーザーがパスワードを変更できるタイミングと頻度を定義します。
リセット後、ユーザーにパスワード変更を要求: このオプションを選択すると、ユーザーが初めてログインするとき、あるいは管理者がパスワードをリセットしたあとに、ユーザーは自分のパスワードを変更する必要があります。
ユーザーによるパスワードの変更可: このオプションを選択すると、ユーザーは自分のパスワード属性を変更できるようになります。
再変更を許可するまでの日数: パスワードに期限を設定する場合に、パスワードの変更を許可する最短日数を定義します。この値を設定する際に「パスワードの履歴を保持」オプションを選択すると、ユーザーが以前使用したことのあるパスワードを再び使用することはできなくなります。
制限なし: このチェックボックスを選択すると、パスワードの変更をいつでも行えます。フィールドに値を設定するには、このチェックボックスの選択を解除します。
パスワードの履歴を保持: ユーザーが以前使用したことのあるパスワードを再び使用できなくするには、このチェックボックスを選択します。このチェックボックスを選択するときは、サーバーに記憶させるパスワードの数も入力します。ユーザーは、ここに記憶されたパスワードを二度と利用できません。このオプションを「再変更を許すまでの日数」とともに使用すると、ユーザーが以前使用したことのあるパスワードを再び使用することはできなくなります。
パスワードの保存回数: パスワードの履歴が保持されている場合は、このオプションで、履歴リスト内に格納しておく古いパスワードの数を指定します。有効な値は 1 〜 24 です。
パスワードの有効期限
パスワードは永久に失効しない: ユーザーに、パスワードの定期的な変更を求めない場合は、このオプションを選択します。
パスワードの失効まであと: ユーザーにパスワードを定期的に変更させる場合は、このオプションを選択し、テキストボックスにパスワードの有効期間を入力します。有効な値は 1 〜 24,855 日です。
パスワードの有効期限を過ぎると、ユーザーはディレクトリにバインドできなくなるので、管理者がパスワードをリセットする必要があります。
警告を送信: ユーザーのパスワードが期限切れになる何日前に警告メッセージを送信するかを指定します。有効な値は 1 〜 24,855 日です。「パスワードの有効期限」フィールドに指定したよりも小さい値を入力する必要があります。
パスワードが期限切れになろうとしている、あるいは期限を過ぎてしまったという通知は、ユーザーのバインド要求に対して送信されます。メッセージが表示されるかどうかは、クライアントの動作によって決まります。
失効の警告を行わない: このチェックボックスでは、パスワードの警告の結果を指定します。このチェックボックスを選択すると、パスワードは有効期限ポリシーで決められた日時に期限切れになります。警告期間内にユーザーがバインドすると、サーバーは有効期限までの残りの期間を示します。
このチェックボックスの選択を解除した場合、ユーザーが警告期間内にバインドすると、パスワードの有効期限が延長されます。サーバーは自動的に有効期限を変更し、有効期限までの警告期間が延長されます。たとえば、警告期間が 7 日間の場合、ユーザーが警告期間内にはじめてバインドするときに、最終的な有効期限がバインド時から 7 日間に設定されます。その後、警告は送信されず、パスワードの有効期限はそれ以上延長されません。
どちらの場合も、パスワードの有効期限を過ぎると、ユーザーはバインドできません。ユーザーが警告期間内にバインドしなかったために警告が送信されなかった場合も同様です。
パスワードの構文
パスワード構文を検査: このチェックボックスを選択すると、パスワード構文が検査されます。構文の検査では、新しいパスワードが最低長以上の長さを持っているかどうかを確認し、ユーザーエントリの uid、cn、sn、givenName、ou、または mail 属性に含まれる文字列がパスワードとして使用されるのを防ぎます。
パスワードの最低長: このフィールドは、ディレクトリユーザーのパスワードに必要な最小文字数を指定します。有効な値は 2 〜 512 文字です。
Directory Manager がパスワードポリシーをバイパスする: 構文検査やパスワード履歴の設定に関係なく、Directory Manager がパスワードを任意の値に設定できるようにするには、このチェックボックスを選択します。選択しない場合、Directory Manager が実行する操作であっても、パスワード履歴と構文検査が設定どおりに適用されます。
パスワードの暗号化: ディレクトリに格納するパスワードの暗号化形式として、次のどれかを指定します。
CLEAR (暗号化なし) - パスワードをプレーンテキストで表示
CRYPT (UNIX crypt アルゴリズム) - UNIX のパスワードと互換性あり
SHA (Secure Hash Algorithm) - 一方向アルゴリズムで、Directory Server 4.x でのデフォルトの暗号化スキーマ
SSHA (Salted SHA) - SSHA はデフォルトの暗号化方法。セキュリティがもっとも強固なので、この方法をお勧めします。
SASL Digest MD5 でセキュリティ保護された状態でログインするには、パスワードに CLEAR 形式を使用する必要があります。
関連項目
『Sun Java(TM) System Directory Server 管理ガイド』の第 7 章「ユーザーアカウントの管理」