Novellパスワード

Novellは、Binderyと呼ばれるユーザーデータベースを備えたNetwareから始めました。当時のパスワードは、RSA秘密鍵と公開鍵のペアに基づいていました。

Netware 4.0のNDSでは、同じ基本的なパスワード方式を維持しており、かなり安全です。

EDirectory（NDSの名前が変更されたのはeDirectoryのバージョン8.x前後で、Netware 6.xのタイムフレーム前後でした）では、RSAキーペアでは絶対にサポートされないリバーシブルパスワードをサポートする必要がありました。

彼らは、NFS、SMB、およびAFPのサポートのためにこれを必要としていました。 SMBはMD4またはMD5ハッシュを使用するため、NFSはMD5またはMD4を使用します（これら2つをまっすぐに保つことはできず、基本的にも問題ではありません）。Macは認証に双方向乱数を使用します。比較するにはクリアテキストのパスワードが必要です。

最初の試みはSimplePasswordと呼ばれるものでした。これは最初の試みとしては適切でしたが、すべての問題を解決することはできませんでした。

2番目の試みは、非常にうまく機能しているように見えるユニバーサルパスワードです。 UPは非表示の属性に格納されます（秘密鍵がeDirで保護されるのとほぼ同じ方法で保護され、アクセスもかなり困難です）。

混乱が生じた場合、UPはログイン方式などを介して実装されていないため、RSAキーペアはログイン方式ではなく組み込みであるため、基本的なパスワード機能の一部としてeDirectoryに組み込まれています。

Simple/UPが必要な機能のいくつかを実装しようとする前に、Enhanced Passwordログイン方法がありましたが、それも最善のアプローチではありませんでした。

とにかく、ユニバーサルパスワードを有効にするには（デフォルトでは有効になっていない）、パスワードポリシーを作成し（iManagerをTheDave1022ノートとして使用）、それを割り当てる必要があります。

継承方法には微妙な点がいくつかあります。 （ツリーのルートにある）セキュリティコンテナ内のログインポリシーオブジェクトにポリシーを割り当てることができます。これは、ツリー内のパスワードを持つすべてのオブジェクトに適用されます。素晴らしくて簡単。

ほとんどすべてのコンテナオブジェクトに適用でき（私が覚えているようにCountryオブジェクトではありませんが、今はそれを回避する方法を知っていると思います。O、OU、最も一般的なタイプは完全に機能します）、すべての直接に適用されます子供達。

複数のレベルを継承するには、OU/OがeDirectoryパーティション境界である必要があります。

割り当ての最低レベルは、それより高い割り当てを上書きします。したがって、ツリー全体のLogin Policy.Securityオブジェクトに最も厳密なものを割り当ててから、Friends.users.acmeコンテナー内の好きな人に、より適切なポリシーを割り当てて、彼らの生活を楽にします。

次に、経理であなたの人生を地獄にするボゾがいるので、Bozo.Accounting.people.acmeに新しいポリシーを割り当て、6つの非ASCII文字を含む92文字のパスワードを要求するようにします。

または何でも。

有効にすると、NMAS対応クライアントを介して行われたパスワード変更がセットアップされます（ポリシーでこれらすべてのパスワードに同期するように指示されている場合は、SimpleとNDS。必要に応じて簡単に変更できます）。

NMAS対応クライアントは、NMAS（Novell Modular Authentication Services、特に選択しない限り、クライアントインストールのデフォルト部分）、iManager、NovellのLDAPサービスがNMASであるためパスワード変更を行うすべてのLDAPアプリケーションを使用するクライアント32のユーザーです。有効。 OES（NetwareまたはLinuxカーネル）CIFS/AFPサービスに対するCIFS/AFPクライアント。 （OES 1はSambaを使用しました。これはNMASに対応していないと思いますが、OES2はSambaよりもスケーラブルなNetware CIFSサービスのポートを使用します）。

したがって、基本的に、NMASが有効になっていないクライアントの唯一のケースは、特にNMASをインストールしなかったクライアント32です。

もう1つの既知のエラーケースがあります。これは古いConsoleOneインストールであり、C1ディレクトリ構造にNMAS.DLLファイルがあります。それは残り物であり、削除する必要があります。

パスワードポリシーの1つのオプションは、「管理者にパスワードの取得を許可する」であり、許可される特定のユーザーを指定します。次に、Jim Willekeの本当に優れた ユニバーサルパスワード診断ツール を使用できます。これにより、設定されているパスワード（ポリシーで許可されている場合）、NDSパスワード、およびシンプルパスワードとロットが表示されます。より多くの診断のもの。それなしで働くのは難しいです！

ユニバーサルパスワードはiManagerを介して設定されます。インストールしていない場合は、novellのWebサイトにアクセスし、最新バージョンをダウンロードしてインストールしてください。 iManagerにログインしたら、[パスワード]、[パスワードポリシー]の順に移動する必要があります。新しいパスワードポリシーを作成し、それをユーザーまたはコンテナに割り当てます。

次のパスワード変更時に、ユーザーは新しいパスワードポリシーを関連付ける必要があります。コンソール1の[制限付き]タブに設定が表示されます。 （テスト用にわずかに異なる設定を持つように新しいポリシーを設定するのは良いことかもしれません）。

ConsoleOneを介してパスワードを正しくリセットするには、Novelクライアントの一部としてNMASをインストールする必要があると思います。

サイトでUPがまだ有効になっていない場合（つまり、Novellが長期間インストールされている場合）、環境がクリーンであることを確認する必要があります-比較的新しいバージョンのeDir-8.7.3.10または8.8.5、サーバー証明書オンにする前に、サーバーOSにパッチが適用され、DNSとSLPが正しく構成され、すべてのサーバーにDNSアドレスがあり、eDirectoryツリーが正常であるなどがあります。ユーザーにパスワードポリシーも与える必要があります。また、初めてUPを設定する場合、ユーザーはNDSパスワードストアだけでなくUPストアに書き込まれるようにパスワードを変更する必要がある場合があります。

（iManagerの代わりに）UPでConsoleOneを使用できますが、完全にUP対応にするには、最新バージョンにパッチを適用する必要があります。

Novell Patchfinderを介してパッチを入手する： http://download.novell.com/patch/Finder/

ユニバーサルパスワードのドキュメントは次の場所にあります： http://www.novell.com/documentation/password_management33/ （読むことを強くお勧めします。UPは最新のNovellネットワークには必須ですが、最初の実装にはある程度の計画が必要です。 。）