認証時にユーザーパスワードを照合する

パスワードの照合を使用可能にして、Notes® ユーザーがユーザー ID と関連付けられている正しいパスワードを入力した場合にのみサーバーで認証を行うことができるようにできます。

権限のないユーザーに ID と ID のパスワードが知られた場合、その ID の所有者はパスワードの照合を使用してパスワードを変更し、権限のないユーザーが引き続きその ID を使用してサーバーで認証を行うことを防止できます。権限のないユーザーが次回にその ID を使用して古いパスワードでサーバーにアクセスしようとすると、サーバーはパスワードを照合して、入力されたパスワードが新しいパスワードと一致しないと判断し、サーバーへのアクセスを禁止します。パスワードの照合を設定しない場合は、ID の所有者が ID のパスワードを変更した後も、権限のないユーザーに ID とパスワードを使用される可能性があります。これは、デフォルトでは、パスワードは ID ファイルの暗号化解除のためにのみ使用され、Domino® ディレクトリに保存されているパスワードとの照合は行われないためです。パスワードの照合を設定する場合は、定期的に ID のパスワードを変更するようユーザーに要求してください。パスワード変更の時期が近づくと (現在の変更間隔の 3 分の 2 が経過し、同時に変更時期までに猶予が 2 日以上残っている時期になると) プロンプトが表示され、パスワードを変更する必要があることがユーザーに通知されます。ユーザーがパスワードを変更すると、現在の ID とユーザー文書が新しいパスワードで更新されます。

ユーザーが複数の ID ファイルを持っている場合は、それぞれのファイル内でパスワードを変更して、新しいパスワードと一致させます。複数のパスワードが含まれる ID ファイルでパスワードの照合を実行することはできません。

パスワードを変更する際は、毎回一意なパスワードを指定しなければなりません。Notes では、これまでに使用されたパスワードの記録が最大 50 個まで保持されます。パスワード履歴チェック機能を有効にしておくと (セキュリティ設定文書によって設定します)、指定したパスワードの再利用が可能になるには、新規パスワードをいくつ使用する必要があるかを設定できます。

期限が切れたパスワードでも、ユーザーは暗号化されたメールを読んだり、ローカルレプリカ上に新しい署名入りの文書を作成できます。ただし、新しいパスワードを指定しない限り、サーバー上のデータベースにアクセスすることはできません。

インターネットユーザーの場合は、Notes ユーザー ID を持っていないため、認証時のパスワードの照合が機能しないことに注意してください。ただし、Notes のパスワードとインターネットのパスワードが同期されている場合は、この限りではありません。Notes のパスワードとインターネットのパスワードの同期が取られている場合は、Notes のパスワードの設定に対するいかなる変更もインターネットのパスワードに影響を与える可能性があります。

注意: スマートカードを使用して ID ファイルをロックするユーザーの場合は、パスワードの有効期限を有効にしてはいけません。有効にすると、パスワードダイジェストをクリアできるようになるまでユーザー ID がロックアウトされる可能性があります。

システム管理プロセスとパスワードの照合

パスワードの照合には、Domino ディレクトリ内の文書を更新するためのシステム管理プロセスが必要です。パスワードの照合をユーザーが使用できるようにすると、システム管理プロセスによって、システム管理要求データベースに「Set Password Information」要求が作成されます。Domino は、この要求をサーバー文書の [システム管理プロセス] セクションにある [間隔] フィールドの設定に従って実行します。ユーザーのユーザー文書の [管理] セクションにある [パスワードチェック]、[必須変更間隔]、[猶予期間] の各フィールドに値を入力すれば、この要求によってパスワードチェックが有効になります。

パスワードの照合が必要なサーバーにユーザーが初めてログオンすると、システム管理プロセスによって、システム管理要求データベースに対する「Change User Password in Domino Directory」要求が作成されます。この要求によって、ユーザー文書の [管理] セクションにある [パスワードダイジェスト] フィールドに、対応する RSA パブリックキーのハッシュが表示されます。これは Notes パスワードのハッシュと ID ファイルに保存されている他のシークレット情報から作成されます。また、ユーザー文書の [管理] セクションにある [最終変更日] フィールドに、ユーザーがパスワードを入力した日付が記録されます。パスワードの照合が有効になっているサーバーで認証を行うには、そのダイジェストに対応するパスワードを入力する必要があります。

それ以降は、ユーザーがパスワードを変更すると、システム管理プロセスによって、システム管理要求データベースに新しい「Change User Password in Domino Directory」要求が作成されます。この要求によって、ユーザー文書の [パスワードダイジェスト] フィールドと [最終変更日] フィールドが更新されます。パスワードの照合を有効にした後で変更間隔や猶予期間を変更すると、システム管理プロセスはユーザー文書内の該当フィールドを更新しなければなりません。そのため、ユーザーは、変更内容を有効にするために、パスワードを変更する必要があります。

必須変更間隔と猶予期間

パスワードの変更を要求せずに認証時にユーザーのパスワードを照合するように、サーバーを設定できます。パスワードの変更を要求する場合は、必須変更間隔の満了後ユーザーがサーバーからロックアウトされるまでの期間を示す猶予期間を指定できます。ユーザーがパスワードを変更する前に必須変更間隔が満了すると、ユーザーは新しいパスワードを作成しない限り、パスワードの照合を要求するサーバーで認証を行うことはできません。猶予期間が過ぎてもパスワードを変更しなかった場合は、ユーザー文書の [パスワードダイジェスト] フィールドのデータを管理者が手動で削除し、ユーザーが新しいパスワードを作成するまでは、認証を行うことができません。権限を持つ ID の所有者がパスワードを変更する前に権限のないユーザーがパスワードを変更した場合は、その ID の正当な所有者は認証を行えず、次のようなメッセージが表示されます。

You have a different password on another copy of your ID file and you must change the password on this copy to match.

このような場合は、[パスワードダイジェスト] フィールドのエントリを削除して、権限のあるユーザーに、すぐにログオンして新しいパスワードを入力するように指示してください。

注意: スマートカードを使用して ID ファイルをロックするユーザーの場合は、必須変更間隔と猶予期間に 0 を設定します。0 以外の値を指定すると、ユーザーの ID がロックアウトされる可能性があります。