パスワード ポリシーを設定する方法

sm1252sp1jjp

 
目次
2
パスワード ポリシーの考慮事項
企業内でパスワード ポリシーの実装を計画する場合は、以下の点を考慮します。
  • Single Sign-On
    には、パスワードおよびパスワード関連情報を格納するディレクトリ内にあるいくつかの属性の排他的使用を含む、ユーザ ディレクトリへの読み取り/書き込みアクセス権限が必要です。
  • パスワード ポリシーは、パスワードを検証するために、ユーザ ディレクトリの追加検索が必要になるため、
    Single Sign-On
    のパフォーマンスに影響を及ぼす可能性があります。ディレクトリ全体ではなく、ユーザ ディレクトリの一部のみを検索するように設定されたパスワード ポリシーも、パフォーマンスに影響を及ぼす可能性があります。
  • ユーザ ディレクトリにネイティブ パスワード ポリシーがある場合、このポリシーはパスワード ポリシーより制限が緩いか、無効である必要があります。
    上記を満たさない場合、ネイティブ パスワード ポリシーは、
    Single Sign-On
    に通知することなくパスワードを許可または拒否します。そのため、
    Single Sign-On
    はこれらのパスワードを管理できません。
  • デフォルトでは、パスワードを変更するときにユーザが間違った情報を入力した場合、
    Single Sign-On
    は一般的な失敗メッセージを返します。このメッセージは失敗理由を明示しません。デフォルト動作を変更し、パスワードの変更に失敗した理由をユーザに明示的に伝えるには、DisallowForceLogin レジストリ キーを作成し、有効にします。
  • 複数のポリシー サーバ上でパスワード ポリシーを使用する場合は、すべてのサーバのシステム時刻を同期します。時刻を同期することにより、アカウントやパスワードの強制変更が途中で無効になるのを防ぐことができます。
パスワード ポリシーの作成
パスワード ポリシーを作成して、保護されたリソースにセキュリティ レイヤを追加することができます。
以下の手順に従います。
  1. [ポリシー] - [パスワード]をクリックします。
  2. [パスワード ポリシー]をクリックします。
  3. [パスワード ポリシーの作成]をクリックします。
  4. ポリシー名を入力します。
  5. [ディレクトリ]リストから、ポリシーを適用するユーザ ディレクトリを選択します。
  6. ポリシーをディレクトリ全体に適用するのか、一部に適用するのかを指定します。
  7. (オプション)ディレクトリの一部にのみポリシーを適用する場合は、[検索]をクリックして適用する部分を指定します。
  8. (オプション)[リダイレクト URL]フィールドでパスワード ポリシーで無効と考えられるパスワードを入力した場合に、ユーザがリダイレクトされる FCC の場所を指定します。
    • エージェントと同じサーバ上のリダイレクト FCC をホストするには、デフォルト設定をそのまま使用します。
      /siteminderagent/forms/smpwservices.fcc
    • 特定のサーバ上のすべてのホスト用にリダイレクト FCC をホストする方法
      texthttp://
      server_name:port
      /siteminderagent/forms/smpwservices.fcc
    • SSL で特定のサーバ上のすべてのホスト用にリダイレクト FCC をホストする方法
      texthttps://
      server_name:port
      /siteminderagent/forms/smpwservices.fcc
  9. パスワードの有効期限(パスワードが有効かどうか)、構成、式、制限、または詳細設定などのオプションを定義して、パスワード ロジックを反映するようにポリシーを設定します。
(オプション)パスワードの有効期限の設定
オプションで、トリガされると、ポリシー サーバでユーザ アカウントを無効にするか、パスワードの変更を強制するイベントを定義するために、パスワードの有効期限を設定します。このようなイベントには、何度もログインに失敗する、アカウントが未使用、などがあります。
パスワードの期限が切れたユーザが保護されたリソースにアクセスしようとすると、以下のアクションのいずれかが発生します。
  • [ユーザを無効化]オプションが設定されている場合、ユーザは「今回はご自分のアカウントにアクセスできません。セキュリティ管理者またはヘルプ デスクにお問い合せください。」というページにリダイレクトされます。 
  • [パスワードの変更を強制 ]オプションが設定されている場合、ユーザは[パスワードの変更]ページにリダイレクトされます。 
    注:
    [パスワードの変更を強制]オプションが適用されるのは、
    パスワード ベースの
    認証を使用して、パスワードが期限切れになったユーザが認証される場合のみです。証明書またはアサーションなどの別の認証方式を使用して、ユーザが認証された場合、ユーザはリクエストされたリソースに直接移動します。 
以下の手順に従います。
  1. [有効期限]タブをクリックします。
  2. [失効]セクションで、[成功したログインを追跡]、[失敗したログインを追跡]、[ログイン追跡失敗時に認証を実行]を選択して、ユーザ ログインの追跡設定を指定します。
    注:
    使用されていないアカウントを無効にする場合は、[成功したログインを追跡]チェック ボックスを選択します。ログインに失敗したアカウントを無効にする場合は、[失敗したログインを追跡]チェック ボックスを選択します。
  3. [パスワードが変更されない場合は失効]セクションで、パスワードを変更する必要がある頻度を設定します。
  4. [不正なパスワード]セクションで、不正なパスワードが使われる回数の上限を指定します。
  5. [パスワード未使用による失効]セクションで、パスワードを未使用のままにできる日数を指定します。
    注:
    パフォーマンス上の理由から、このオプションを設定するのは、使われないために期限切れにさせるようにパスワードを設定する必要がある場合のみにすることをお勧めします。
  6. [サブミット]をクリックしてパスワード ポリシーを保存するか、別のタブをクリックしてパスワード ポリシーの作業を続けます。
(オプション)パスワードの構成の設定
オプションで、新規作成されるパスワードの文字構成を制御するには、パスワード構成ルールを設定します。
以下の手順に従います。
  1. [構成]タブをクリックします。
  2. [最小文字数]と[最大文字数]フィールドには、それぞれパスワードの最小文字数と最大文字数を入力します。
  3. [最大]フィールドに、パスワードで連続して表示できる文字の最大数を入力します。
  4. [最小字数]セクションのそれぞれに、許容できる文字タイプと最小要件を指定します。
  5. [サブミット]をクリックします。
(オプション)パスワードの正規表現の設定
パスワードの正規表現照合では、テキスト パターンを指定して文字列照合を行い、各パスワードがそれに一致するかどうかでそのパスワードの有効性を判断できます。
たとえば、パスワードの最初の文字は数字であり、この文字は最後の文字ではないことを条件とする場合、正規表現を設定してこの要件を適用すれば、すべてのパスワードがチェックされます。
正規表現の構文
以下のテーブルでは、パスワード照合用の正規表現を作成する際に使用できる文字について説明します。この構文は、レルムを指定する場合のリソース照合をサポートする正規表現構文で構成されています。
すべての閉包演算子(+、*、?)は、デフォルトで「最長一致」です。つまり、全体的な照合を中断することなく、文字列内で可能な限り多くの要素と一致します。閉包演算子を控えめ(最短一致)にするには、閉包演算子に「?」を追加します。控えめな閉包演算子を使用すると、照合時に文字列のできるだけ少ない要素と一致します。
正規表現構文は以下のようになります。
文字
結果
\
メタキャラクタ(「*」など)を引用する場合に使用
\\
1 つの「\」文字と一致
(A)
副次式のグループ化 (パターンの評価順序に影響)
[abc]
単純な文字クラス (文字 abc...の中の任意の 1 文字に一致)
[a-zA-Z]
範囲指定のある文字クラス(a から z、A から Z の範囲内にある 1 文字に一致)
[^abc]
文字 abc... 以外の任意の 1 文字に一致
など)は対象外です。
改行以外の任意の 1 文字と一致
^
行の先頭に一致
$
行の末尾に一致
A*
A が 0 回以上繰り返すものに一致(greedy)
A+
A が 1 回以上繰り返すものに一致(greedy)
A?
A が 1 回または 0 回現れるものに一致(greedy)
A*?
A が 0 回以上繰り返すものに一致(reluctant)
A+?
A が 1 回以上繰り返すものに一致(reluctant)
A??
A が 0 回または 1 回現れるものに一致(reluctant)
AB
A の後に B が続くものに一致
A|B
A または B のいずれかが現れるものに一致
\1
1 番最初のかっこで囲まれた副次式への後方参照
\
n
n
番目のかっこで囲まれた副次式への後方参照
制限:
各正規表現に含むことができる副次式は、その正規表現自体を含めて 10 個までです。副次式の数は、正規表現に含まれる左側かっこの数に 1 を加えたものと同等です。
正規表現照合の設定
文字列マッチングに使用するテキスト パターンを指定する正規表現を設定します。パスワードは、正規表現に一致する、または一致しないのを条件として有効にします。各正規表現エントリは、記述タグと表現定義で構成される名前/値のペアです。
パスワードに正規表現照合を使用するかどうかはオプションです。正規表現を使用する場合は、一致する必要がある、または一致してはいけないエントリを表現に指定するだけです。正規表現照合を行う必要がない場合は、正規表現エントリを作成しないでください。
以下の手順に従います。
  1. [パスワード ポリシー]ダイアログで、[正規表現]タブを選択します。
  2. [追加]をクリックし、表現を追加します。
    [パスワード正規表現]ダイアログが表示されます。
  3. 次のいずれかのラジオ ボタンをオンにします。
    • 一致する
      このオプションを選択する場合は、パスワードが一致する必要がある正規表現を定義します。
    • 一致しない
      このオプションを選択する場合は、各正規表現にパスワードが一致してはいけないエントリを追加します。
  4. フィールドに値を入力します。
  5. [OK]をクリックします。
    正規表現がテーブルに追加されます。[不一致が必要]を選択した場合は、[一致なし] 列にチェック ボックスが表示されます。
(オプション)パスワードの制限の設定
オプションで、パスワードの使用について制限を設けるには、パスワードの制限を設定します。たとえば、以下の制限があります。
  • パスワードの再使用を許可する経過期間
  • パスワードの以前使用したパスワードとの必要な相違の程度
また、セキュリティ リスクがあるか、個人情報が含まれると判断した用語を、ユーザが指定しないようにすることもできます。
以下の手順に従います。
  1. [制限]タブをクリックします。
  2. [再使用]セクションに、以前と同じパスワードの使用が許可されるまでの経過期間、そのパスワードからの変更回数、またはその両方を指定します。
    注:
    両方の条件を指定すると、パスワードを再使用できるようになるには両方の条件を満たす必要があります。
    例:
    パスワード ポリシーで、以前のパスワードを再使用できるようになる条件として 365 日が経過していること、パスワードを 12 回指定していることを設定します。1 年経過した時点で、6 つのパスワードしか指定しなかった場合、ユーザはさらに 6 つのパスワードを指定しないと、最初のパスワードを再使用できません。
  3. [必要な変更]セクションで、新しいパスワードの以前のパスワードとの違いの程度を指定します。
  4. [プロファイル属性]セクションに、パスワード ポリシーで、ユーザ プロファイルに保存されている個人情報と比較する連続する文字の数を指定します。
  5. [ディクショナリ]セクションに、禁止されているパスワードのユーザ定義ディクショナリへのパスとそのディクショナリ内の値と比較する文字列の長さを指定します。
  6. [適用]をクリックして変更内容を保存します。または、[OK]をクリックして変更内容を保存し、管理 UI に戻ります。
(オプション)高度なパスワード オプションの設定
オプションで、高度なパスワード ポリシー オプションを設定し、サブミットされたパスワードをあらかじめ処理してから検証および保管するように指定します。高度なパスワード ポリシーでは、ポリシーに優先度を割り当てられるため、同じユーザ ディレクトリやネームスペースに複数のパスワード ポリシーが適用される場合でも評価が予測できるようになります。
注:
前処理オプションの設定は任意です。ユーザディレクトリまたはネームスペースに割り当て可能なパスワード ポリシーごとに、一意のパスワード ポリシー評価の優先順位を指定します。
以下の手順に従います。
  1. [詳細設定]タブをクリックします。
  2. [パスワードの前処理]セクションで、サブミットされたパスワードを評価と保管の前に処理するオプションを指定します。
    注:
    同じユーザ ディレクトリまたはネームスペースに適用される各パスワード ポリシーには、それぞれ同じ前処理オプションを指定する必要があります。
  3. (オプション)同じユーザ ディレクトリやネームスペースに複数のパスワード ポリシーが適用されている場合は、[パスワード ポリシーの優先順位]セクションで優先順位を各パスワード ポリシーに指定します。
    注:
    評価の優先順位の範囲は、0 〜 999 です。999 が最も高くなります。
パスワード サービスでリダイレクトされる際のログイン ID の削除
パスワード サービスの処理中、ユーザのリクエストは何度かリダイレクトされます。要求がリダイレクトされると、ユーザが入力したログイン ID (通常はユーザ名)がリクエスト URL にデフォルトで追加されます。このデフォルト動作を変更して、ログイン ID (ユーザ名)がリダイレクト URL に追加されないようにするには、次のいずれかの手順を実行します。
パスワード サービスでリダイレクトされる際にログイン ID を削除する方法(Windows の場合)
  1. 次のレジストリキーを追加します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder\CurrentVersion\PolicyServer\DisallowUsernameInURL
  2. DWORD の値を以下のいずれかの値に設定します。
    • 0 - リクエスト URL に UID を追加するデフォルト動作を適用します。
    • 1 - デフォルト動作を変更して、リクエスト URL に UID が追加されないようにします。
パスワード サービスでリダイレクトされる際にログイン ID を削除する方法(UNIX の場合)
  1. 次のディレクトリに移動します。
    policy-server-install-dir
    /registry/
  2. テキストエディタで、次のファイルを開きます。
    sm.registry
  3. 次のレジストリキーを追加します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\PolicyServer=(#number)\DisallowUsernameInURL
  4. DWORD の値を以下のいずれかの値に設定します。
    • 0 - リクエスト URL に UID を追加するデフォルト動作を適用します。
    • 1 - デフォルト動作を変更して、リクエスト URL に UID が追加されないようにします。
CA Directory パスワード ポリシー コントロール
CA Directory パスワード ポリシーを適用するように、ポリシー サーバを設定できます。ポリシー サーバは、正しく設定された Web エージェントと一緒に、ディレクトリ パスワード ポリシーで基づく、設定された警告および通知をエンド ユーザに送信できます。
以下の CA Directory パスワード ポリシーがサポートされています。
  • ネイティブ パスワードの有効期限。
  • この機能を使用するには、以下の
    いずれか
    のオプションを実行します。
    • パスワードの有効期限に対してポリシー サーバのパスワード ポリシーを設定しない。
    • CA ディレクトリ パスワード ポリシー内の設定よりも制限が緩和されるように、有効期限および警告用のポリシー設定を設定します。
  • ユーザ アカウントのロックアウト設定。
    CA Directory 設定を使用する場合は、ポリシー サーバ アカウントのロックアウト機能を無効にします。
  • パスワード有効期限の警告。
  • クライアントが猶予ログイン メッセージ用のパスワード メッセージ コードを認識できる場合は、残りの猶予ログインの通知。
    ポリシー サーバには、残りの猶予ログインという概念がありません。
以下の手順に従います。
  1. ユーザが存在する CA Directory を参照するパスワード ポリシーを定義します。
  2. XPSConfig ツールを使用し、設定パラメータ
    CA.SM::$LdapEnablePwdCtrlSupport
    を true に設定します。
    ツールを使用するには、XPSConfig 手順を参照してください。