アカウント失効ルールを設定する方法

ユーザ アカウントがアクティブから失効に変わる期限を制御するために、パスワード ポリシー設定を使用します。
cad140jp
ユーザ アカウントがアクティブから失効に変わる期限を制御するために、パスワード ポリシー設定を使用します。
パスワードが設定期間内に変更されなかった場合、アカウントは失効します。
猶予ログインの回数の設定
猶予ログイン システムでは、パスワードの有効期限が切れても、ユーザは失効したパスワードを限定された回数使用できます。これにより、パスワードを変更する機会を与えられます。
猶予ログイン数を超えると、アカウントは期限切れとして動作します。
猶予ログイン数が残っている場合、その数は、パスワード ポリシー リクエスト 制御のもとでバインディング クライアントに送信されます。
猶予ログイン数を設定するには、以下のコマンドを使用します。
set password-grace-logins = number-logins | 0 ;
Behera パスワード ポリシー リクエスト制御を認識している LDAP クライアントでこのコマンドを使用した場合、クライアントは残っているログイン数を伝えられます。それ以外の場合では、コマンドは動作しても、クライアントは残っているログイン数について通知されません。
一部のアカウントを有効期限なしに設定する
アカウントは有効期限なしに設定できます。これは、多くのユーザで共有されるアカウント、および管理アカウントまたはミッション クリティカルなアカウントに役立ちます。
以下の手順に従います。
  1. 以下のコマンドを使用して、
    password-allow-ignore-expired
    オプションを true に設定します。
    set password-allow-ignore-expired = true;
  2. ユーザのエントリに
    dxPwdIgnoreExpired
    属性を追加します。
  3. この属性の値を
    true
    に設定します。
注:
「有効期限なし」に設定されるユーザ パスワードを確認するには、属性が
dxPwdIgnoreExpired =true
の全ユーザ アカウントを検索します。
古いパスワードのアカウントを失効に設定する
パスワードの最終更新後の日数が、
set password-age
コマンドで設定された値を超えると、アカウントは失効します。
パスワードが有効な日数を設定するには、以下のコマンドを使用します。
set password-age = number-days | 0;
例: ユーザに新しいパスワードを 4 日ごとに作成させる
秘密情報を処理するユーザに対して、パスワードの使用日数が 4 日になる前にパスワードを変更させる必要があります。
これを行うには、以下のコマンドを使用します。
set password-policy = true; set password-age = 4;
パスワードの最短有効期限の設定
パスワードの変更後から再度変更されるまでの日数を設定できます。これを使用して、パスワードを何度も変更してパスワード履歴がいっぱいになるのを回避してください。
パスワードの最短有効期限を設定するには、以下のコマンドを使用します。
set password-min-age = number-days | 0 ;
例: パスワード履歴ルールの設定
ユーザに少なくとも 2 週間ごとに自分のパスワードを変更させ、さらに、最近のパスワード 20 個は再利用できないようにします。
ただし、パスワード履歴を「フラッシュ」するために、ユーザが 1 日に複数回パスワードを変更できないようにもします。
これを行うには、以下のコマンドを使用します。
set password-policy = true; set password-age = 14; set password-history = 20 set password-min-age = 1;
失効予定および失効済みパスワードについてクライアントに知らせる
CA Directory は 2 つのパスワード コマンドを使用して、Netscape ディレクトリが LDAP パスワード レスポンス制御で動作する方法を模倣します。
パスワードの有効期限に関するLDAP レスポンス制御を含めてレスポンスをバインドおよび比較するには、以下のコマンドを使用します。
set password-mimic-netscape-response-controls = true | false;
レスポンスをバインドおよび比較するために、パスワードの有効期限に関する警告が追加される日数を設定するには、以下のコマンドを使用します。
set password-age-warning-period = number-days | 0;
注:
クライアントが LDAP クライアントであり、それが Behera パスワード ポリシー リクエスト制御を認識している場合にのみ、このコマンドを使用できます。
通常の動作中に、これらのコマンドによって DSA からのレスポンスがバインドおよび比較されて、アカウントが有効期限切れになる前の秒数を含む LDAP 制御を追加します。
警告期間中に、パスワード失効の通知コントロールが追加されて、レスポンスをバインドおよび比較します。