パスワード品質ルールを設定する方法

ユーザが強力なパスワードのみ確実に選択するようにルールを設定できます。
cad126jp
ユーザが強力なパスワードのみ確実に選択するようにルールを設定できます。
パスワード品質に関するルールを設定した場合、ユーザが自分のパスワードを変更しようとするとき、これらのルールが適用されます。新しいパスワードが検証をパスしなかった場合、ユーザは別の新しいパスワードで再度試行する必要があります。
注:
パスワード ポリシー ルールを適用するとき、DSA は UTF-8 (マルチバイト)文字を単一文字として扱います。
管理者がユーザのためのパスワードを変更するとき、パスワード ポリシー ルールは通常適用されません。次回ユーザが自分のパスワードを変更するときにルールが適用されます。ただし、パスワード品質ルールを常時強制的に適用させることができます。管理者がユーザのパスワードをリセットするときでも可能です。詳細については、「再アクティブ化後のユーザ パスワードの強制変更」を参照してください。
このセクションでは、以下のトピックについて説明します。
パスワード長の設定
新しいパスワードの長さを設定するには、以下のコマンドの 1 つまたは両方を使用します。
set password-max-length = number-chars | 0; set password-min-length = number-chars;
文字タイプの最小文字数の設定
CA Directory には、各新規パスワードを構成する、さまざまな文字タイプの最小文字数を指定できるコマンドが含まれます。
特定の文字タイプまたは文字の最小数を設定するには、以下のコマンドの 1 つ以上を使用します。
set password-alpha = number-chars | 0 ; set password-alpha-num = number-chars | 0 ; set password-lowercase = number-chars | 0 ; set password-non-alpha = number-chars | 0; set password-non-alpha-num = number-chars | 0; set password-numeric = number-chars | 0; set password-uppercase = number-chars | 0 ;
例: パスワードの文字を指定する
この例では、以下の文字を含むパスワードを作成するように、ユーザに指定します。
  • 2 つ以上の数字
  • 1 つ以上の非英数文字
  • 1 つ以上の大文字
  • 1 つ以上の小文字
このポリシーを作成するには、以下のコマンドを使用します。
set password-policy = true; set password-numeric = 2; set password-non-alpha-num = 1; set password-lowercase = 1; set password-uppercase = 1;
ユーザは、以下のパスワードは作成できません。
  • abcd12#
    このパスワードには大文字が含まれません。
  • ABCD!@#$
    このパスワードには小文字と数字が含まれません。
ユーザは以下のパスワードを作成できます。
  • Abcd12#
  • ABCd1234!@#$
文字の繰り返し制限
パスワード内の繰り返しを制限するには、以下のコマンドを使用します。
set password-max-repetition = number-chars | 0 ;
これにより、パスワード内の文字の繰り返し回数を設定できます。
例: 文字の繰り返しを避ける
Democorp DSA で以下のパスワード ポリシーを設定しました。
set password-policy = true; set password-max-repetition = 2;
ユーザはこのディレクトリ内で以下をパスワードとして作成できません。
  • helllo
  • lillly
ただし、ユーザは以下のパスワードを作成できます。
  • hello
  • llily
サブストリングの繰り返し制限
ユーザが
asdasdasd
などのように同じ文字列を繰り返すパスワードを選択しないようにしたい場合があります。
以下の手順に従います。
  1. 以下のコマンドを使用して、確認対象のサブストリングの最小の長さを設定します。
set password-min-length-repeated-substring = length;
長さを表わす値は 2 以上です。
password-max-substring-repetition
が有効になっている場合に限り、パラメータの上のこのパラメータが機能します。
  • 以下のコマンドを使用して、サブストリングの繰り返しが可能な回数を設定します。
set password-max-substring-repetition = number-repetitions;
例: サブストリング繰り返しの制限
以下のパスワード ポリシーを設定しました。
set password-policy = true; set password-max-substring-repetition = 1; set password-min-length-repeated-substring = 3;
ユーザはこのディレクトリ内で以下をパスワードとして作成
できません
  • moomoo
  • mooomooo
ただし、ユーザは以下のパスワードを作成
できます
  • momo
  • mooomouu
ユーザによるパスワード再使用の禁止
ユーザがパスワードを再使用できないようにするには、パスワード数の最大数を設定して履歴に保持します。以下のコマンドを使用します。
set password-history = number-passwords | 0;
ユーザ名がパスワードに表れるのを防ぐ
ユーザ自身の名前がパスワードに含まれるのを妨ぐには、以下のコマンドを使用します。
set password-username-substring = true | false;
ユーザ名のサブストリングをパスワードにできません。また、パスワードのサブストリングをユーザ名にできません。
ユーザの名前はその DN 内の最後の RDN として認識されます。
例: パスワード内のユーザ名を避ける
Democorp DSA で以下のパスワード ポリシーを設定しました。
set password-policy = true; set password-username-substring = true;
DN <c AU><o DEMOCORP><ou Corporate><ou Administration><cn "
Craig LINK
"> のユーザは同じ名前 Craig LINK です。
ユーザは以下をパスワードとして作成できません。
  • craig
  • link
  • clink
  • 23craig4
ユーザ詳細がパスワードに表れるのを防ぐ
ユーザ自身の詳細がパスワードに含まれるのを妨ぐには、以下のコマンドを使用します。
set password-substring-attrs = attribute-list;
これにより、新しいパスワードに使われたくない、ユーザに関する詳細を含む属性がリストされます。パスワードを、サブストリング attrs のサブストリングにできません。また、サブストリング attrs を、パスワードのサブストリングにできません。
ユーザの詳細は、そのエントリの属性値から取得します。
文字列の構文を持つ属性のみ含めることを推奨します。他の構文の値は、パスワード サブストリングのチェックによって取り出せない場合があります。
例: パスワード内のユーザ詳細を避ける
Democorp DSA で以下のパスワード ポリシーを設定しました。
set password-policy = true; set password-substring-attr = title;
Craig Link のエントリには以下の属性と値が含まれます。
属性
cn
Craig LINK
description
Railways(鉄道)
title
Communications Engineer(通信技術者)
Craig Link は以下のパスワードを作成できません。それらは
title
属性値のサブストリングであるからです。
  • engineer
  • Communications Eng
この担当者は以下のパスワードを作成できます。
  • railways
    description
    属性は
    set password-substring-attr
    コマンドにリストされていないため、このパスワードは可能です。
  • CommunicationsEngineer
    スペースがありません。したがって、これは
    Communications Engineer
    のサブストリングではありません。