[有効期限]タブ
目次
casso11jp
HID_password-policies-expiration-tab
目次
[有効期限]タブでは、ユーザ アカウントを無効化するイベントを設定します。ログインを何回失敗すると、またはどのくらいの時間にわたってアカウントがアクティブでないとパスワードが使用不可になるかなど、パスワード有効期限の基準を設定できます。
ダイアログ ボックスの上部に、以下の設定項目があります。
- 正常ログインの追跡ログイン最終時刻を含めて、正常に行われたログインを追跡する機能を有効/無効にします。チェック ボックスをオンにした場合、ポリシー サーバはログイン情報をユーザ ディレクトリに書き込みます。チェック ボックスをオンにすると、[パスワードが使用されなかったため失効]グループ ボックスのフィールドも入力可能になります。デフォルト:オン
- 最初の正常ログインのみを追跡ユーザが試行して最初に正常に行われたログインのみを追跡する機能を有効/無効にします。デフォルト:オフ
- 失敗ログインの追跡ユーザが試行して失敗したログインを追跡する機能を有効/無効にします。チェック ボックスをオンにした場合、ポリシー サーバはログイン情報をユーザ ディレクトリに書き込みます。チェック ボックスをオンにすると、[不正なパスワード]グループ ボックスのフィールドも入力可能になります。デフォルト:オン
- 最初の失敗ログインのみを追跡ユーザが試行して最初に失敗したログインのみを追跡する機能を有効/無効にします。デフォルト:オフ
- ログイン トラッキング失敗時の認証ユーザ追跡が失敗したときのログインの可/不可を決定します。ユーザ ディレクトリにユーザ アクティビティを書き込むことができない場合、ユーザはログインすることができません。ただし、チェック ボックスをオンにした場合は、パスワード データをユーザ ディレクトリに書き込めなくても、ユーザはログインできます。[ログイン詳細を追跡する(ログインの試行、成功したログイン)]チェック ボックスがオンになっていないと、このチェック ボックスは使用できません。デフォルト:オフ
パスワードが変更されない場合は失効
[パスワードが変更されない場合は失効]グループ ボックスでは、期限切れのパスワードを所有者が変更しなかった場合の動作を設定します。必要に応じて、どの程度事前にパスワードの有効期限切れをユーザに警告するかを指定できます。
このグループ ボックスには、以下の設定項目があります。
- 有効日数パスワードが期限切れになった後、ユーザの無効化またはパスワード変更の強制までにCA Single Sign-onが待機する日数を指定します。制限:40000注:CA Single Sign-onは、指定した日数が経過しても、アカウントを無効にしません。CA Single Sign-onがアカウントを無効にする前に、ユーザはアカウントにログインを試みる必要があります。
- ユーザの無効化ユーザのパスワードが期限切れになったときにCA Single Sign-onがアカウントを無効化するように指定します。無効化されたユーザは、[ユーザ管理]ダイアログ ボックスを使用して有効にすることができます。
- パスワード変更の強制ユーザのパスワードが期限切れになったときにCA Single Sign-onがパスワードの変更を強制するように指定します。ユーザは次回ログインを試みたときに、パスワードを変更するよう求められます。
- 有効期限の警告の発行日数パスワードの有効期限切れを何日前に(何日間)ユーザに通知するかを指定します。注:パスワード ポリシーが有効になっている場合に、オプションの[パスワードの変更]画面で誤ったパスワードを入力すると、ユーザはログイン ページにリダイレクトされます。現在のセッションは有効であるため、エラー メッセージは表示されません。
[不正なパスワード] グループボックス
[不正なパスワード]グループ ボックスでは、ログインを何回失敗するとユーザ アカウントが無効になるかを指定します。また、ユーザが再度ログインできるようになるまでのアカウント無効期間を指定することもできます。 このグループ ボックスは、[ログイン詳細を追跡する]チェック ボックスがオンになっている場合にのみ使用できます。
- パスワードが無効になるまでの入力失敗回数何回連続でログインに失敗するとユーザ アカウントが無効になるかを指定します。不正なログインの回数を制限することによって、正しいパスワードが見つかるまで繰り返しパスワードを入力してリソースにアクセスするプログラムからリソースを保護します。指定された回数を超えてもユーザが正常にログインできないと、ポリシー サーバはそのユーザのアカウントを無効にします。アカウントを再び使用可能にするには、その処理を管理者が行う必要があります。HTML フォーム認証方式を Web エージェントに付属のデフォルト テンプレート login.fcc で使用する場合、login.fcc ファイルのsmretriesディレクティブを 0 に設定します。こうすると、パスワード ポリシーは、このフィールドの入力値に基づいて再試行できる回数を決定します。また、認証時に SMTRYNO cookie を使用できます。この cookie により、ログイン試行の失敗回数を追跡し、現在の失敗回数を示すメッセージを表示できます。SMTRYNO cookie を設定する場合、smretriesディレクティブを、ユーザ アカウントを無効化する前に許可される試行数よりも大きな値に設定します。たとえば、パスワード ポリシーでのログイン試行回数が 3 の場合は、@smretries=6を指定します。このディレクティブの値を大きくすることで、ユーザは .unauth ページにリダイレクトされる代わりに、確実に無効化されます。ただし、引き続き SMTRYNO カウンタも設定できます。重要:アカウントを無効化する値は慎重に設定してください。ポリシー サーバは、1 つのポリシーに結び付けられたすべてのユーザ ディレクトリをチェックすることによって、ユーザを検索します。同じユーザ名を持つ 3 人のユーザが別々のディレクトリに存在する場合、ポリシー サーバは、各ユーザ名について、入力されたパスワードが一致するまでチェックします。ユーザ名に対してパスワードが一致しないと、ポリシー サーバはエラーと記録します。エラーの限界数が小さ過ぎる場合は、ポリシー サーバがアカウントを無効にしてしまう誤動作が起こり得ます。
- 有効分数ユーザがログインを再度試行できるようになるか、アカウントが再び有効化(下記参照)されるまでに待機する時間(分)を指定します。ユーザが別の不正なパスワードを入力した場合、ポリシー サーバはそのアカウントを再度無効にします。このとき、ユーザは指定された時間だけ待機してから、ログインを再試行しなければなりません。
- ログイン試行を 1 度許可選択すると、1 度不正なパスワードを入力したユーザは、指定された分数が経過するまで再度ログインを試みることはできません。
- アカウントの再有効化選択すると、1 度不正なパスワードを入力したユーザは、指定された分数が経過するまでアカウントが再有効化されません。
- [失敗ログインの追跡]オプションを設定する場合は、[不正なパスワード]グループ ボックスで以下のようにオプションを設定します。
- [パスワードが無効になるまでの入力失敗回数<number>回]フィールドで、パスワードの入力を何回間違えるとユーザのアカウントが無効になるかを指定します。
- [次の<number>分後]フィールドに、上記のラジオ ボタンで指定した条件に適用される分数を指定します。以下のいずれかのラジオ ボタンをクリックし、手順 5a で指定した試行回数を超えてユーザがログインに失敗した場合のパスワード ポリシーの動作を決定します。
- [ログイン試行を 1 回許可] - ユーザは指定された分数が経過した後ログインを 1 回試行できます(手順 5b)。さらに試行が失敗する場合は、そのたびに指定された分数が経過するまで、ユーザは次のログインを試行することはできません。たとえば、手順 5a で試行の値を「3」に、手順 5b で分の値を「10」にしたとします。ログインに 3 回失敗した場合、ユーザは成功するまで 10 分おきにログインを 1 回試行できます。
- [アカウントの再有効化] - ユーザのアカウントは指定された分数が経過した後に再度有効化されます(手順 5b)。ユーザは、手順 5a で指定された回数までは、アカウントを無効化されずに、ログインを試行できます。たとえば、手順 5a で試行の値を「3」に、手順 5b で分の値を「10」にしたとします。ログインに 3 回失敗した場合、ユーザは成功するまで 10 分おきにログインを 3 回試行できます。
[パスワードを使用しないので無効化] グループボックス
[パスワードを使用しないので無効化]グループ ボックスでは、ユーザ アカウントがアクティブでないと判断するログインの間隔を指定します。また、アカウントがアクティブでないと判断されたユーザが正常にログインするための処理を、このグループボックスを使って指定することもできます。
注:
このグループ ボックスは、[ログイン詳細を追跡する]チェック ボックスがオンになっている場合にのみ使用できます。- 有効日数ユーザのパスワードが期限切れになるまでの非アクティブ日数を指定します。制限:20000
- ユーザを無効化選択すると、ユーザのパスワードがアクティブでないために期限切れになったときに、ポリシー サーバによってこのユーザ アカウントが無効化されます。無効化されたユーザは、[ユーザ管理]ダイアログ ボックスを使用して有効にすることができます。
- パスワードの変更を強制選択すると、ユーザのパスワードがアクティブでないために期限切れになった場合、ユーザがログインを試みたときに、パスワードの変更が強制されます。