パスワードの暗号化

Windows ベースのコンピューターでは、UNIX ベースのコンピューターとの間で、更新されたパスワードを暗号化されたテキストとしてのみ送受信できます。パスワード同期シングル サインオン デーモン (SSOD) によって、暗号化されたパスワードが受信され、そのパスワードの暗号化が解除された後、UNIX ホスト上でパスワード変更が要求されます。同様に、パスワード同期が UNIX から Windows への同期をサポートするように構成されている場合は、ホット プラグ可能な認証モジュール (PAM) によって暗号化されたパスワードが Windows ベースのコンピューター上のパスワード同期に送信され、パスワード同期によって暗号化が解除された後、Windows ベースのコンピューター上でのパスワード変更が要求されます。

パスワード同期と SSOD または PAM モジュールが同じ暗号化キーを使用してパスワードの暗号化と復号化を行った場合のみ、パスワードは正常に復号化されます。いずれかの UNIX コンピューターに対して SSOD をインストールする前には、まず既定の暗号化キーを設定することが必要です。その後で、SSOD を各 UNIX ホストにインストールするときに、同じキーを sso.conf ファイルに設定する必要があります。これにより、パスワード同期と UNIX ホスト上の SSOD が同じ暗号化キーを使用するようになります。既定の暗号化キーの設定に関する詳細については、「パスワードの暗号化キーを設定する」を参照してください。SSOD のインストールと構成については、「パスワード同期デーモンを UNIX ベースのコンピューターにインストールする」を参照してください。

セキュリティをさらに強化するために、特定の Windows ベースのコンピューターと UNIX ホストの間でのみ使用する暗号化キーを指定できます。パスワード同期を設定してコンピューター固有の暗号化キーを使用する方法については、「コンピューター固有の同期プロパティを設定する」を参照してください。UNIX コンピューター上でコンピューター固有の暗号化キーを設定する方法については、「sso.conf を使って UNIX ベースのコンピューター上でパスワード同期を構成する」を参照してください。

暗号化キーの要件

暗号化キーは、次の要件を満たしている必要があります。

  • 長さは 16 文字から 21 文字にする必要があります (21 文字を推奨)。

  • 次の 4 つのグループのうち、少なくとも 3 グループからの文字を含んでいる必要があります。

    • 英語の大文字 (A から Z)

    • 英語の小文字 (a から z)

    • アラビア数字 (0 から 9)

    • 句読記号 ` ~ ! @ # $ % ^ & * _ - + = | \ { } [ ] : ; \ " ' < > . ?

  • 右かっこまたは左かっこ ("(" または ")")、コンマ (,)、または空白 ( ) を含めることはできません。


目次