付録F.3 ディレクトリ認証の運用上の注意事項

<この項の構成>
(1) サーバのバージョン
(2) Groupmax_system最上位組織の例外
(3) パスワード

(1) サーバのバージョン

ディレクトリ認証を設定したアドレスサーバをホームサーバとするユーザだけがディレクトリ認証を実行できます。つまり,Version 5以降のAddress Serverでだけ利用できます。

2台のマルチサーバ構成で,1台のAddress ServerがVersion 6でディレクトリ認証を設定していて,もう1台のAddress ServerがVersion 3である場合には,Version 6のAddress Serverはディレクトリ認証,Version 3のAddress Serverはアドレス認証になります。

(2) Groupmax_system最上位組織の例外

ディレクトリ認証に設定しても,Groupmax_system最上位組織以下に所属するユーザは,アドレス認証のときと同じ動作をします。つまり,パスワードの有効期間はなく,同じパスワードで無期限にログインできます。

(3) パスワード

ディレクトリ認証時のパスワードの扱いについて,注意事項を説明します。

(a) 文字長

LDAPディレクトリサーバに格納されるユーザエントリのパスワードは,Address Serverが扱える8バイト以内にしてください。

Address Serverからでなく別の手段でLDAPディレクトリサーバに格納されたユーザエントリのパスワードを9バイト以上に変更した場合は,Address Serverから認証できなくなります。この場合は,もう一度LDAPディレクトリサーバに格納されたユーザエントリのパスワードを8バイト以内に変更してください。

また,アドレス認証では「パスワードなし」を許していますが,Hitachi Directory Server Version 2では「パスワードなし」は許していません。このため,Address Serverからパスワードを変更する場合でも,1バイト以上のパスワードに変更してください。「パスワードなし」に変更しようとすると,変更に失敗します。

(b) 有効期間

ディレクトリ認証では,LDAPディレクトリサーバのパスワード有効期間が適用されます。運転席のシステムオプションで指定したパスワード有効期間は,無視されます。

LDAPディレクトリサーバでは,パスワード有効期間が切れると,クライアントからは,パスワード有効期間切れの状態を,パスワードの変更などで解除することができません。システム管理者は,ユーザに対してパスワード有効期間を切らさないように指導してください。

パスワード有効期間切れのユーザが出てきたときは,システム管理者がLDAPディレクトリサーバのパスワード有効期間切れの状態を解除してください。

(c) 文字種

ディレクトリ認証の場合でもアドレス認証が指定可能としている文字をパスワードに指定してください。

その他のパスワードチェック

ディレクトリ認証では,文字長及び文字種以外のパスワードチェックに関しては,LDAPディレクトリサーバの仕様が適用されます。Address Serverのパスワードチェック機能は,無視されます。

(d) パスワードの初期化

運転席の名前データベースでパスワードを初期化しても,LDAPディレクトリサーバに格納されたユーザエントリのパスワードは初期化されません。つまり,運転席からパスワードを初期化しても無効になります。パスワードを初期化したい場合は,LDAPディレクトリサーバで初期化してください。