Enterprise Server は、LDAP サーバーと連携し、MLDAP ESM モジュールを使用してセキュリティを提供します。このモジュールは、外部セキュリティ機能 (ESF) で使用可能な外部セキュリティ マネージャー (ESM) モジュールの 1 つです。LDAP を使用してパスワードに基づく認証を実装するには、いくつかの方法があります。
MLDAP ESM モジュールは、Enterprise Server のユーザー認証を提供する場合、Enterprise Server コンポーネントによって、そして最終的にはユーザーによって ESF に提供されたユーザー ID およびパスワード (資格情報とも呼ばれる) を検証する必要があります。このモジュールは、構成に応じて、さまざまな認証プロセスをサポートします。
MLDAP ESM モジュールでの認証は、次の 2 つの主な方法のいずれかで実行されます。
または
[Configuration Information] フィールドで指定された「[Verify]」セクションの「mode」設定によって、使用される方法が決まります。設定が mode=MF-hash (デフォルト) の場合、モジュールは LDAP リポジトリから検証機能を取得し、パスワードと照合します。設定が mode=bind の場合、バインドの方法が使用されます。
MF-hash モードでは、LDAP リポジトリ内の各ユーザー オブジェクトは、そのユーザーのパスワード検証機能文字列を保持します。通常、これはユーザーのパスワードのソルト付き暗号化ハッシュです。モジュールは、指定されたユーザーの検証機能をリポジトリから取得し、提供されたパスワードおよび検証機能で使用されているものと同じソルトから同じタイプのハッシュを計算して、結果を検証機能と比較します。結果が一致する場合、パスワードは正しいことになります。
一方、bind モードでは、ユーザーの資格情報を検証するよう LDAP サーバーに要求します。LDAP バインド操作は、LDAP サーバーへのサインオンと同等です。モジュールは、提供されたユーザー ID およびパスワードを使用してバインド要求を行い、それに成功した場合、資格情報が LDAP サーバーによって受け入れられたということになります。
LDAP サーバーは、認証を他のシステムに委任できます。これは MLDAP ESM モジュールに対して透過的です。
bind モード検証は、LDAP サーバー認証が ID システムに統合されている場合や、ユーザーの認証に LDAP サーバーがすでに使用されていて、既存のユーザー アカウントおよび資格情報を Enterprise Server ユーザーとして使用する場合に役立ちます。ただし、この方法には欠点がいくつかあります。必要な処理が増えるため、bind モードの検証では、Enterprise Server へのサインオンが遅くなる可能性があります。診断が限定的になります。MLDAP ESM モジュールは、多くの場合、さまざまな種類の認証失敗 (パスワードの誤り、アカウントのロック アウトなど) を区別できません。また、パスワードの変更が複雑になるため、失敗する可能性が高くなります。詳細については「MLDAP ESM モジュールでのパスワードの変更」を参照してください。
MLDAP ESM モジュールは、各種のパスワード検証機能をサポートしています。これらの一部は、MF-hash モードで、モジュール自体によって生成および処理されます。その他については、bind モードでパスワードの変更を実行する際に LDAP サーバーによって、または LDAP サーバーのために作成され、LDAP サーバーまたは使用されている認証システムによって (認証のために) 処理されます。
MF-hash モードでパスワード タイプを「AD」にしたり、bind モードでパスワード タイプを「MF-A2」にするなど、認証モードに対応しないパスワード設定モードを構成してもエラーにはなりません。また、OpenLDAP サーバーでの AD タイプなど、LDAP サーバーで通常サポートされていないパスワード タイプを構成してもエラーにはなりません。ただし、一般的にこのような組み合わせは役に立ちません。管理者は、認証モードとパスワード タイプの組み合わせが適切となるようにする必要があります。
MF-hash モードのモジュールでサポートされる検証機能には、スキーム名およびコロンが前に付けられ、その後にデータが続きます。これには、適切な検証機能データに加えてパラメーター (salt など) を含めることができます。
サポートされるスキームは次のとおりです。
MF-hash モードでは、パスワード検証機能は microfocus-MFDS-User-Pwd 属性に保持されます。各検証機能はそのタイプを指定するため、ユーザーごとに異なるタイプの検証機能を使用できます。
bind モードでは、LDAP サーバー (または外部 ID システム) によって使用される実際の検証機能は、MLDAP ESM モジュールの範囲外になります。ただし、LDAP サーバーはパスワードを設定するためのさまざまなメカニズムを提供しており、これらもモジュールによって「パスワード タイプ」として扱われます。この「パスワード タイプ」によって、LDAP サーバーで格納される検証機能のタイプが決まる場合もあります。
LDAP サーバーでサポートされるパスワード設定のメカニズムは、次のとおりです。
MLDAP ESM モジュールは、パスワードの変更が要求された際にさまざまな制約を新しいパスワードに適用するよう構成できます。これには、最小長と最大長、文字セット (アルファベット、数字など) と複雑さ、およびパスワード履歴が含まれます。パスワード履歴の制約は、古いパスワードのハッシュを LDAP のユーザー オブジェクトに保存するモジュールの機能に依存しますが、LDAP サーバーおよびセキュリティ マネージャーの構成によっては使用できない場合もあります。
これらの制約は、パスワードの変更を試行する前に適用され、両方の認証モード (MF-hash と bind) およびすべてのパスワード タイプに適用されます。
外部パスワード タイプが構成されている場合、LDAP サーバーは独自の制約を適用できます。たとえば、パスワード タイプが AD の場合、Active Directory は、複雑さやパスワード履歴など、ドメイン用に構成されたすべてのパスワード制約を適用します。
LDAP サーバーまたはその他のセキュリティ システムでは、管理者が構成した制約以外の制約を課すことができます。たとえば、Active Directory では、特定のアカウントについて 24 時間ごとに 1 回のパスワード変更しか通常許可されません。
MLDAP ESM モジュールには、パスワードの検証およびパスワードの変更に影響を与えるさまざまな構成オプションがあります。
[Passwords] セクションのパスワード関連のオプションは次のとおりです。
[Verify] セクションのパスワード関連のオプションは次のとおりです。
詳細については、「MLDAP ESM モジュールのカスタム構成情報」を参照してください。