Novellで「ユニバーサル」パスワードを作成する方法についての説明を探しています。 eDirectoryツリーの下のconsoleoneで、[プロパティ]をクリックします。[ログイン方法]の下に、NDS、拡張、およびシンプルのいくつかのパスワードがあります。 Unix、Groupwise、Restrictionsにもパスワードがあります。
習慣上、制限の下でパスワードを変更していますが、実際にどのパスワードが変更されているのかわかりません。人々はそのパスワードを使用して、Netware/eDirectoryおよびグループごとの電子メールアカウントにログインできます。
最近、シンプルパスワードを変更すると、シンプルパスワードと[制限]で変更したパスワードの両方が機能することがわかりました。すべてのユーザーを選択してシンプルパスワードを変更すると、基本的に自分で管理者パスワードを作成できます。これはこれに最適な方法ですか?
Novellは、Binderyと呼ばれるユーザーデータベースを備えたNetwareから始めました。当時のパスワードは、RSA秘密鍵と公開鍵のペアに基づいていました。
Netware 4.0のNDSでは、同じ基本的なパスワード方式を維持しており、かなり安全です。
EDirectory(NDSの名前が変更されたのはeDirectoryのバージョン8.x前後で、Netware 6.xのタイムフレーム前後でした)では、RSAキーペアでは絶対にサポートされないリバーシブルパスワードをサポートする必要がありました。
彼らは、NFS、SMB、およびAFPのサポートのためにこれを必要としていました。 SMBはMD4またはMD5ハッシュを使用するため、NFSはMD5またはMD4を使用します(これら2つをまっすぐに保つことはできず、基本的にも問題ではありません)。Macは認証に双方向乱数を使用します。比較するにはクリアテキストのパスワードが必要です。
最初の試みはSimplePasswordと呼ばれるものでした。これは最初の試みとしては適切でしたが、すべての問題を解決することはできませんでした。
2番目の試みは、非常にうまく機能しているように見えるユニバーサルパスワードです。 UPは非表示の属性に格納されます(秘密鍵がeDirで保護されるのとほぼ同じ方法で保護され、アクセスもかなり困難です)。
混乱が生じた場合、UPはログイン方式などを介して実装されていないため、RSAキーペアはログイン方式ではなく組み込みであるため、基本的なパスワード機能の一部としてeDirectoryに組み込まれています。
Simple/UPが必要な機能のいくつかを実装しようとする前に、Enhanced Passwordログイン方法がありましたが、それも最善のアプローチではありませんでした。
とにかく、ユニバーサルパスワードを有効にするには(デフォルトでは有効になっていない)、パスワードポリシーを作成し(iManagerをTheDave1022ノートとして使用)、それを割り当てる必要があります。
継承方法には微妙な点がいくつかあります。 (ツリーのルートにある)セキュリティコンテナ内のログインポリシーオブジェクトにポリシーを割り当てることができます。これは、ツリー内のパスワードを持つすべてのオブジェクトに適用されます。素晴らしくて簡単。
ほとんどすべてのコンテナオブジェクトに適用でき(私が覚えているようにCountryオブジェクトではありませんが、今はそれを回避する方法を知っていると思います。O、OU、最も一般的なタイプは完全に機能します)、すべての直接に適用されます子供達。
複数のレベルを継承するには、OU/OがeDirectoryパーティション境界である必要があります。
割り当ての最低レベルは、それより高い割り当てを上書きします。したがって、ツリー全体のLogin Policy.Securityオブジェクトに最も厳密なものを割り当ててから、Friends.users.acmeコンテナー内の好きな人に、より適切なポリシーを割り当てて、彼らの生活を楽にします。
次に、経理であなたの人生を地獄にするボゾがいるので、Bozo.Accounting.people.acmeに新しいポリシーを割り当て、6つの非ASCII文字を含む92文字のパスワードを要求するようにします。
または何でも。
有効にすると、NMAS対応クライアントを介して行われたパスワード変更がセットアップされます(ポリシーでこれらすべてのパスワードに同期するように指示されている場合は、SimpleとNDS。必要に応じて簡単に変更できます)。
NMAS対応クライアントは、NMAS(Novell Modular Authentication Services、特に選択しない限り、クライアントインストールのデフォルト部分)、iManager、NovellのLDAPサービスがNMASであるためパスワード変更を行うすべてのLDAPアプリケーションを使用するクライアント32のユーザーです。有効。 OES(NetwareまたはLinuxカーネル)CIFS/AFPサービスに対するCIFS/AFPクライアント。 (OES 1はSambaを使用しました。これはNMASに対応していないと思いますが、OES2はSambaよりもスケーラブルなNetware CIFSサービスのポートを使用します)。
したがって、基本的に、NMASが有効になっていないクライアントの唯一のケースは、特にNMASをインストールしなかったクライアント32です。
もう1つの既知のエラーケースがあります。これは古いConsoleOneインストールであり、C1ディレクトリ構造にNMAS.DLLファイルがあります。それは残り物であり、削除する必要があります。
パスワードポリシーの1つのオプションは、「管理者にパスワードの取得を許可する」であり、許可される特定のユーザーを指定します。次に、Jim Willekeの本当に優れた ユニバーサルパスワード診断ツール を使用できます。これにより、設定されているパスワード(ポリシーで許可されている場合)、NDSパスワード、およびシンプルパスワードとロットが表示されます。より多くの診断のもの。それなしで働くのは難しいです!
ユニバーサルパスワードはiManagerを介して設定されます。インストールしていない場合は、novellのWebサイトにアクセスし、最新バージョンをダウンロードしてインストールしてください。 iManagerにログインしたら、[パスワード]、[パスワードポリシー]の順に移動する必要があります。新しいパスワードポリシーを作成し、それをユーザーまたはコンテナに割り当てます。
次のパスワード変更時に、ユーザーは新しいパスワードポリシーを関連付ける必要があります。コンソール1の[制限付き]タブに設定が表示されます。 (テスト用にわずかに異なる設定を持つように新しいポリシーを設定するのは良いことかもしれません)。
ConsoleOneを介してパスワードを正しくリセットするには、Novelクライアントの一部としてNMASをインストールする必要があると思います。
サイトでUPがまだ有効になっていない場合(つまり、Novellが長期間インストールされている場合)、環境がクリーンであることを確認する必要があります-比較的新しいバージョンのeDir-8.7.3.10または8.8.5、サーバー証明書オンにする前に、サーバーOSにパッチが適用され、DNSとSLPが正しく構成され、すべてのサーバーにDNSアドレスがあり、eDirectoryツリーが正常であるなどがあります。ユーザーにパスワードポリシーも与える必要があります。また、初めてUPを設定する場合、ユーザーはNDSパスワードストアだけでなくUPストアに書き込まれるようにパスワードを変更する必要がある場合があります。
(iManagerの代わりに)UPでConsoleOneを使用できますが、完全にUP対応にするには、最新バージョンにパッチを適用する必要があります。
Novell Patchfinderを介してパッチを入手する: http://download.novell.com/patch/Finder/
ユニバーサルパスワードのドキュメントは次の場所にあります: http://www.novell.com/documentation/password_management33/ (読むことを強くお勧めします。UPは最新のNovellネットワークには必須ですが、最初の実装にはある程度の計画が必要です。 。)