InfoDirectory使用手引書

目次 索引

2.2.2.2 パスワード処理

　パスワードの暗号化を行う場合、InfoDirectoryサーバでは以下のように制御します。

1. 簡易認証

   　クライアントからのBIND要求で簡易認証を行う場合、パラメタで指定された利用者のエントリを検索します。

   　次に、エントリ内のuserPassword属性を復号化して、BINDのパラメタで指定されたパスワードと比較して認証を行います。

   　また、簡易認証時に設定するパスワードは、テキスト形式のパスワードを指定する必要があります。
   　

2. エントリの登録

   　クライアントからのAdd要求でエントリを登録する場合、受信したエントリ情報に含まれているuserPassword属性を暗号化してエントリに設定します。

   

   　パスワードは、テキスト形式、もしくはすでに暗号化されたパスワード(SHA-1方式)のどちらでも指定することができます。暗号化されたパスワード(パスワードのヘッダに“{SHA}”が設定されています)は、そのままInfoDirectoryサーバに登録されます。

   

   　パスワードは、テキスト形式、もしくはすでに暗号化されたパスワード(SHA-1方式、またはCrypt方式)のどちらでも指定することができます。暗号化されたパスワード(パスワードのヘッダに“{SHA}”、もしくは“{crypt}”が設定されています)は、そのままInfoDirectoryサーバに登録されます。
   　

   　userPassword属性は、DSA管理者権限でBINDした場合のみ登録することができます。
   　

3. パスワードの変更／削除

   　クライアントからのModify要求でパスワードの変更を行う場合、受信したuserPassword属性を暗号化しエントリに設定します。

   　userPassword属性は、マルチ属性ですが、複数のパスワードが設定されているエントリから特定のuserPassword属性値だけを削除することはできません。特定のuserPassword属性値を変更したい場合、すべてのuserPassword属性値を削除後、再度、すべてのuserPassword属性値を追加してください。

   　userPassword属性は、DSA管理者権限でBINDした場合、もしくは自分自身(DSA管理者権限をもっていないDNでBINDし、そのBINDしたDNに含まれるパスワードを変更／削除)のDNでBINDした場合のみ変更／削除することができます。ただし、自分自身でuserpassword属性を変更するには、変更する前にあらかじめDSA管理者権限でuserpassword属性を登録する必要があります。
   　

4. エントリの検索

   

   　クライアントからのSearch要求では、DSA管理者権限でBINDした場合、もしくは自分自身のDNでBINDした場合、パスワードを読込むことができます。ただし、自分自身のDNでBINDした場合、検索ベースに同一DNを指定する必要があります。
   　暗号化方式が、ClearText方式の場合、テキスト形式に復号化してパスワードを通知しますが、暗号化方式が、SHA-1方式の場合、暗号化されたパスワード(パスワードのヘッダに“{SHA}”が設定されています)をクライアントに通知します。
   

   

   　クライアントからのSearch要求では、DSA管理者権限でBINDした場合、もしくは自分自身のDNでBINDした場合、パスワードを読込むことができます。ただし、自分自身のDNでBINDした場合、検索ベースに同一DNを指定する必要があります。
   　暗号化方式が、ClearText方式の場合、テキスト形式に復号化してパスワードを通知しますが、暗号化方式が、SHA-1方式もしくはCrypt方式の場合、暗号化されたパスワード(パスワードのヘッダに“{SHA}”、もしくは“{crypt}”が設定されています)をクライアントに通知します。
   

5. パスワードの比較

   　クライアントのCompare要求でパスワードを比較する場合、エントリ内のuserPassword属性値を復号化して受信したパスワードと比較します。

   [図: エントリの検索時のパスワード通知]

   

　

注意事項

• 暗号化の対象となる属性は、userPassword属性のみです。
  　
• 暗号化方式は、InfoDirectoryサーバ作成時に指定します。InfoDirectoryサーバ作成後、暗号化方式の変更は可能ですが、変更しないことを推奨します。
  　
• 暗号化方式を変更した場合、変更前の暗号化方式で格納されているパスワードは、変更前の暗号化方式で格納されています。自動的に指定された暗号化方式に変換されません。
  　

  

• SHA-1方式で運用しているInfoDirectoryサーバにおいて、DIBに格納されているパスワードがClearText方式の場合、InfoDirectoryサーバ内で自動的に判別して認証処理を行います。
  　
• ClearText方式で運用しているInfoDirectoryサーバにおいて、DIBに格納されているパスワードがSHA-1方式の場合、InfoDirectoryサーバ内で自動的に判別して認証処理を行います。
  　
  　

  

• SHA-1方式またはCrypt方式で運用しているInfoDirectoryサーバにおいて、DIBに格納されているパスワードがClearText方式の場合、InfoDirectoryサーバ内で自動的に判別して認証処理を行います。
  　
• ClearText方式で運用しているInfoDirectoryサーバにおいて、DIBに格納されているパスワードがSHA-1方式またはCrypt方式の場合、InfoDirectoryサーバ内で自動的に判別して認証処理を行います。
  　

　

Systemwalker UserAccessMGR連携時の注意事項

• UAM管理対象のPersonエントリ、もしくはUAM管理対象のアカウント(Oracle,Solarisなど)にパスワードを登録／変更する場合、必ずテキスト形式で指定する必要があります。すでにSHA-1形式、またはCrypt方式で暗号化されているパスワードは、登録／変更することができません。
  

  

• すでにSHA-1方式で運用しているInfoDirectoryサーバ、もしくはSHA-1方式で格納されているエントリが存在するInfoDirectoryサーバにおいて、新規にSystemwalker UserAccessMGRと連携する場合、パスワードを再登録する必要があります（パスワードの再登録時、テキストベースでパスワードを再登録する必要があります）。

  

• すでにSHA-1方式またはCrypt方式で運用しているInfoDirectoryサーバ、もしくはSHA-1方式またはCrypt方式で格納されているエントリが存在するInfoDirectoryサーバにおいて、新規にSystemwalker UserAccessMGRと連携する場合、パスワードを再登録する必要があります（パスワードの再登録時、テキストベースでパスワードを再登録する必要があります）。

目次 索引