23.3.1 暗号化およびユーザーアカウントパスワード
- 重要
この情報は,ライトウェイトディレクトリアクセスプロトコル(LDAP)またはCommon Access Card(CAC)アカウントには適用されません。
NNMiコンソールを使用して作成されたNNMiユーザーアカウントはNNMiデータベースに保存されます。これらのユーザーのパスワードはハッシュされ,データベースに保存されます。
ユーザーがNNMiコンソールにサインインするか,コマンドラインインタフェース(CLI)ツールを使用する場合,指定したパスワードはハッシュされ,データベースに保存されたハッシュ値と比較されます。ユーザーが正しいパスワードを指定すると,これらの2つのハッシュされた文字列が一致し,ユーザーは認証されます。
NNMiの従来のバージョン(10-50以前)はユーザーパスワードをハッシュするための暗号化アルゴリズムを使用していましたが,この方式は古くなりました。NNMi 11-00はユーザーアカウントパスワードにより強力なアルゴリズムを使用しています。ただし,ハッシュは一方向の暗号化であるため,復号化は不可能であり,NNMi 10-50から11-00へのアップグレード中に再暗号化することになります。
アップグレード時に,すべての既存のユーザーは従来の暗号化アルゴリズムを使用したデータベースに保存されたパスワードを保持します。ただし,従来のアルゴリズムを使用してハッシュされたパスワードを持つユーザーがログオンに成功すると,指定したパスワードは自動的に暗号設定ファイルで指定された新しいハッシュアルゴリズムを使用して再暗号化されます。
つまり,アップグレード後に各ユーザーが初めてログインするたびに,すべてのパスワードが少しずつ新しいアルゴリズムに更新されることになります。同じことが,将来的に暗号設定が変更された場合にも言えます。ユーザーパスワードは,次にログオンに成功したときに新しいハッシュアルゴリズムにアップグレードされます。
- 重要
ユーザーパスワードをアップグレードするには,<allowed>ブロックにリストされている従来のアルゴリズム(例えば,MD5)が存在している必要があります。したがって,すべてのパスワードが移行されるまで<allowed>ブロックにリストされている従来のアルゴリズムを残しておいてください。
<allowed>ブロックに従来のアルゴリズムが存在していないと,データベースでハッシュされた既存のパスワードは再ハッシュすることができません。したがって,関連づけられたユーザーはログオンできないため,NNMiは新しいアルゴリズムを使用してパスワードを再暗号化できません。
従来のアルゴリズムを<allowed>ブロックから削除した場合,管理者は影響を受けるユーザーを削除して再作成するか,パスワードが従来のアルゴリズムで暗号化されたユーザーのそれぞれのパスワードをリセットする必要があります。
次のコマンドを使用して,ユーザーのパスワードが暗号設定ファイルにリストされているアルゴリズムを使用しているか,またはユーザーのパスワードが暗号設定ファイルで指定されなくなった従来のアルゴリズムで暗号化されているかを判断します。
nnmsecurity.ovpl -listUserAccounts legacy
詳細については,nnmsecurity.ovplのリファレンスページを参照してください。