パスワード構成ポリシーの作成
パスワード構成ポリシーでは、ターゲット アカウント パスワードが従う必要があるルールが定義されます。認証情報マネージャでは、パスワードが組織の一意のセキュリティ要件を満たすようにする、さまざまなパスワード構成ポリシーを定義することができます。
capam33
HID_PasswordPoliciesPanel
パスワード構成ポリシーでは、ターゲット アカウント パスワードが従う必要があるルールが定義されます。認証情報マネージャでは、パスワードが組織の一意のセキュリティ要件を満たすようにする、さまざまなパスワード構成ポリシーを定義することができます。
ポリシーを設定しない場合、デフォルトのパスワード構成ポリシーが適用されます。デフォルト ポリシーでは、文字の種類の制限なしで、最小長 4 文字、最大長 16 文字が規定されています。
パスワード構成ポリシーをターゲット アプリケーションに割り当てます。ユーザが 3 つのパスワードを入力すると、パスワードが構成ポリシーに対して検証されます。認証情報マネージャは、パスワード構成ポリシーを使用してランダム パスワードを生成します。
ポリシーがターゲット アカウントによって要求される最小パスワード構成ポリシーを満たしているか、それ以上であることを確認してください。また、ポリシーでの特殊文字の使用がターゲット システムで許可されていることを検証してください。ポリシーはターゲット システムのパスワード要件に従っている必要があります。従っていない場合、ターゲット システムが更新を防ぐため、パスワードの更新が失敗する可能性があります。
パスワード構成ポリシーを設定する前に、以下のトピックを確認してください。
2
パスワード構成ルール
パスワード構成ポリシーの特性は、パスワードの最小要件を定義します。設定可能なパスワード構成ポリシーの特性には、以下があります。
リモート パスワード生成
: ポリシーがリモートで生成された認証情報に適用されることを示します。選択した場合、ポリシーに適用される他のルールは、[最長有効期間の適用]と[パスワードの最長有効期間の日数]のみです。他のルールは非表示です。現在、リモート パスワード生成は AWS アクセス認証情報コネクタでのみサポートされています。パスワード プレフィックス:
パスワード文字列の頭に付ける必要がある固定された一連の文字最大長:
パスワードの長さはこの値より大きいか、等しくなければなりません。制限: 1 〜 2048 文字。最大長:
パスワードの長さはこの値より小さいか、等しくなければなりません。制限: 1 〜 2048 文字。PAM はパスワードの最大長 2048 文字をサポートしますが、ターゲット システムではその上限が低い場合があります。たとえば、Linux システムのパスワードの最大長は 511 文字です。したがって、PAM で Linux システムのアカウントを同期されたアカウントとして管理する場合、
[最大長]
の値を 511 以下に設定します。再使用までの最小繰り返し回数:
このルールは、この数より以前のパスワードを再利用できることを示します。たとえば、「3」と入力した場合、現在のパスワードおよび以前のパスワードは再使用できません。ただし、3 つ前のパスワードおよびそれ以前のパスワードは再使用できます。「0」と入力すると、制限がないことを意味します。このパスワードは常に再使用できます。同じパスワードが 2 回使用されないようにするには、この設定と[再使用までの最短日数]
設定を使用します。認証情報マネージャは、ターゲット アカウント パスワードの更新時のみ、この設定をチェックします。再使用までの最短日数:
このオプションは、選択された過去日数の内に使用されたパスワードの再使用を防止します。 最長有効期間の適用: この日数を過ぎるとパスワードの有効期限が切れます。パスワードは、「有効期限切れ」とみなされます。[設定]-[認証情報マネージャ]で[自動的に期限切れパスワードを更新します]を有効化すると、認証情報マネージャはパスワードを更新します。同じパスワードが 2 回使用されないようにするには、この設定と
[再使用までの最小繰り返し回数]
設定を使用します。認証情報マネージャは、ターゲット アカウント パスワードの更新時のみ、この設定をチェックします。パスワードの最長有効期間の適用:
この設定は、認証情報マネージャが指定されたパスワード期間に準拠しているかどうかを判断します。無効な場合、ターゲット アカウントのパスワードを無期限にします。 パスワードの最長有効期間の日数:
このパラメータは、パスワードが有効な最長日数を指定します。デフォルト値は 90 日です。パスワード有効期間は、パスワードが更新されるたびにリセットされます。[パスワード期限]
の日付は、最終パスワード更新から最長有効期間までの日数を示しています。パスワードの期限が少なくとも翌日以降である場合、インジケータは緑色です。パスワードの期限が現在の日付で切れる場合、インジケータは黄色です。パスワードがすでに期限切れの場合、インジケータは赤色です。次を含む:
この設定は、パスワードに含める必要がある文字の種類を示します。- 少なくとも 1 つの ASCII 文字セット アイテム
- 選択されている各種文字はパスワードに含める必要があります
- 選択されていない各種文字はパスワードから除外する必要があります
先頭に次を含む:
このルールは、選択された種類のいずれかから各パスワードの 1 文字目を指定します。オプションは 1 つだけ使用されます。除外設定ルール:
このルールは、パスワードに含めることのできない
文字パターンを示します。指定できるオプションは以下のとおりです。 - 文字の繰り返しを許可しない : 隣り合う文字が一致することを許可しません。ただし、隣接していない文字の重複は許可されています。例: ABCCDECFC。取り消し線を引いた文字は許可されていません。
- 重複する文字を許可しない: 文字が一致することを許可しません。例: ABCCDECFC。1 つ目より後の文字「C」は許可されません。
- 最大クラスの繰り返しを禁止: 同じクラス タイプの連続した文字は許可しません。有効にした場合、許可される最小値は 2 で、最大値はパスワードの最大長未満です。例: 最大クラスの繰り返しが 2 に設定されている場合、ABcc12#% は許可され、ABCc12#% は許可されません。
- 除外する文字: 指定したリストの文字を許可しません。
設定可能なオプションに加えて、パスワードの先頭を以下の文字にすることはできません。
- この場合、{n}nは任意の整数値です。整数以外の値も使用できます。たとえば、認証情報マネージャでは、{1}mypassword、{999}anotherpasswordというパスワードは管理できませんが、{104.1}okpasswordは管理できます。
- パスワードの先頭または末尾をスペース文字にすることはできません。認証情報マネージャではスペース文字が無視され、保存されません。
推奨するパスワード構成ポリシー
パスワード構成ポリシーは、リモート アプリケーションのパスワード要件に従う必要があります。以下のタイプのターゲットでは、以下のパスワード構成ポリシーをお勧めします。
- データベースおよび Windows システム:
- 英数字と特殊文字(!#_-$@* など)
- 最小 6 文字、最大 12 文字。
- UNIX: 長さを 8 文字のアルファベット(文字を混合したり、数字を含めたりしない)
パスワード構成ポリシーの設定
パスワード構成ポリシーは UI または CLI で作成できます。パスワード構成ポリシーを作成すると、ターゲット アプリケーションに適用することができます。