| 前へ | 次へ | 目次 | 索引 |
会話型ログインには,次のログイン・クラスがあります。
中央のプロセッサに直接接続されているターミナル,または中央プロセッサと直接通信するターミナル・サーバからログインします。
モデムと電話回線を使用してコンピュータ・システムとの接続を確立するターミナルにログインします。システムで使用しているターミナルに応じて,最初に追加操作を実行しなければならないことがあります。必要な操作については,各システムのセキュリティ管理者にご質問ください。
DCL の SET HOST コマンドを入力して,ネットワークを介してノードにログインします。たとえば,HUBBUB というリモート・ノードにアクセスするには,次のコマンドを入力します。
$ SET HOST HUBBUB |
HUBBUB ノードのアカウントにアクセスできる場合には,ローカル・ノードからそのアカウントにログインできます。HUBBUB ノードの機能にアクセスすることはできますが,物理的にはローカル・ノードに接続された状態です。
リモート・セッションについての詳しい説明は,第 1.12.2 項 を参照してください。
非会話型ログインには,ネットワーク・ログインとバッチ・ログインがあります。
ディレクトリの内容を表示したり,別のノードにあるディレクトリに格納されたファイルをコピーするなど,リモート・ノードでネットワーク・タスクを開始するときは,システムはネットワーク・ログインを実行します。この場合,現在のシステムとリモート・システムの両方が同じネットワーク内のノードでなければなりません。ファイル・システムにターゲット・ノードを指定し,アクセス制御文字列も指定します。この文字列には,リモート・ノードのユーザ名とパスワードが含まれます。
たとえば,PARISというリモート・ノードにアカウントを持つGREGというユーザが次のコマンドを入力すると,ネットワーク・ログインが実行されます。
$ DIRECTORY PARIS"GREG 8G4FR93A"::WORK2:[PUBLIC]*.*;* |
このコマンドは WORK2 ディスクのパブリック・ディレクトリ内のすべてのファイルのリストを表示します。また,パスワードが 8G4FR93A であることもわかります。同じタスクをもっと安全に実行するには,PARIS ノードで代理アカウントを使用します。代理ログイン の例については,第 10.5.3 項 を参照してください。
キューに登録したバッチ・ジョブを実行する場合には,バッチ・ログインが実行されます。ジョブを構築するための許可は,ジョブをキューに登録するときに決定されます。システムがジョブを実行するための準備をするときに,ジョブ・コントローラはアカウントにログインする非会話型プロセスを生成します。ジョブがログインする場合には,パスワードは必要ありません。
ログインはさまざまな理由で失敗します。たとえば,パスワードの1つが変更されたり,アカウントの有効期限が満了した場合や,ネットワークを介して,またはモデムからログインしようとしたときに,その操作が登録されていないこともあります。次の表は,ログインの失敗の一般的な理由を示しています。
| 失敗の症状: | 理由: |
|---|---|
| ターミナルから応答がない | ターミナルに欠陥があるか,システム・パスワードを必要とするターミナルであるか,またはターミナルに電源が投入されていない。 |
| ターミナルから応答がない | システムがダウンしている。 |
| システム・パスワードを入力したが,ターミナルから応答がない。 | システム・パスワートが変更された。 |
| システム・メッセージ: | |
| "User authorization failure" | ユーザ名またはパスワードを入力ミスした。 アカウントまたはパスワードの有効期限が満了した。 |
| "Not authorized to log in from this source" | 特定のログイン・クラス(ローカル,ダイアルアップ,リモート,会話型,バッチ,ネットワーク)が禁止されている。 |
| "Not authorized to log in at this time" | この曜日またはこの時刻にログインが許可されていない。 |
| "User authorization failure"(かつ,認識されるユーザ障害が発生していない) | ユーザ名を使用してターミナルからシステムへの不法侵入が試みられたため,システムはそのユーザ名によるそのターミナルへのすべてのログインを一時的に禁止した。 |
この後の項では,ログインの失敗の理由について詳しく説明します。
1.6.1 システム・パスワードを必要とするターミナル
使用するターミナルでシステム・パスワードが必要なときに,そのことを知らないと,ログインできません。システム・パスワードを入力するまで,ログインはすべて失敗します。
システム・パスワードがわかっている場合には,
第 1.3.5 項 で説明した操作を実行してください。その操作を実行してもログインできない場合には,システム・パスワードが変更されている可能性があります。システム・パスワードを知らず,そのことが問題であると考えられる場合には,別のターミナルにログインするか,または新しいシステム・パスワードを要求してください。
1.6.2 ログイン・クラスの制限
UAF レコードで禁止されているクラスのログインを試みても,ログインは成功しません。たとえば,セキュリティ管理者がネットワークを介したログインを制限している場合には,ネットワーク・ログインを試みると,このソースからログインする権限がないことを示すメッセージが出力されます。
セキュリティ管理者は,ローカル,リモート,ダイアルアップ,バッチ,ネットワークの各クラスでのログインを制限している可能性があります。
1.6.3 勤務時間に関する制限
勤務時間に関する制限によりログインできないこともあります。システム管理者またはセキュリティ管理者は,時刻や曜日をもとにシステムへのアクセスを制御することがあります。このような制限はログイン・クラスに影響します。セキュリティ管理者は,同じ作業時間制限をすべてのログイン・クラスに適用したり,ログイン・クラスによって異なる制限を設定することもあります。
該当するログイン・クラスに対して禁止されている時刻にログインしようとしてもログインできません。この場合,この時刻にログインする権限がないことがユーザに通知されます。
1.6.4 勤務時間制限中でのバッチ・ジョブ
勤務時間制限がバッチ・ジョブに適用される場合には,許可されている作業時間以外に実行する予定のジョブは,キューに登録しても実行されません。また,次の作業時間にこのようなジョブをシステムが自動的にキューに再登録することもありません。同様に,何らかのジョブを開始して,許可されている時間外にそのジョブを実行しようとしても,ジョブ・コントローラは,割り当てられた勤務時間が終了すると,未完了のジョブを強制終了します。このようなジョブの終了方法は,すべてのジョブに適用されます。
1.6.5 ダイアルアップ・ログインでの失敗
セキュリティ管理者は,ダイアルアップ・ログインで,接続が自動的に切断されるまでの間に,ユーザがパスワードを入力できる回数を制限できます。
ログインが失敗しても,指定された回数に到達していない場合には,Enter キーを押してもう一度ログインを試みてください。ログインが成功するまで,または制限回数に到達するまで,この操作を繰り返すことができます。接続が切断された場合には,アクセス・ラインを再ダイアルして,もう一度試みてください。
ダイアルアップ・ログインの回数を制限するのは,権限のないユーザがパスワードを知ろうとしても,エラーが発生してあきらめざるを得なくするためです。ダイアルアップ回線では,権限がなくても匿名での操作が可能です。もちろん,各ダイアルアップ回線ごとにログインの試行回数を制限しても,この種のシステム侵入の試みがまったくなくなるわけではありません。この回数制限は,何回もダイアルしてログインしようとする不法アクセス者からシステムを保護することを目的にしています。
1.6.6 システム侵入回避プロシージャ
同じターミナルで同じユーザ名によってログインしようとしても,何回も失敗すると,システムは 侵入の試み が進行中であるかのように応答します。つまり,誰かがこのユーザ名を使用してシステムに対して非合法なアクセスを試みていると判断します。
セキュリティ管理者は,自分の裁量で侵入回避手段をシステムのすべてのユーザに対して有効に設定できます。セキュリティ管理者は,所定の時間内に何回のパスワード試行を許可するかを制御します。侵入回避手段が一度起動されると,指定された時間内は,正しいパスワードを使用しても,ターミナルにログインできません。再度ログインを試みるまでにどのくらい待たなくてはならないか,あるいは別のターミナルを使用してログインを試みた方がよいのかは,セキュリティ管理者に質問してください。
侵入回避手段によってログインが防止されているだけで,個人的にログインが失敗したわけではないと考えられる場合には,ただちにシステム管理者に連絡してください。同時に,もう一度ログインを試みて,最後のログイン以降のログイン失敗回数を示すメッセージを確認し,侵入の試みについての推測が正しいかどうかを調べてください。通常はログイン・メッセージが表示されないシステムの場合,セキュリティ管理者は Authorize ユーティリティ(AUTHORIZE)を使用して,UAF レコードの中のデータを調べます。誰かが別のターミナルでログインを試みているかどうかは,プロンプトがどのように表示されるかによってわかります。
1.7 パスワードの変更
定期的にパスワードを変更すれば,システム・セキュリティを向上できます。パスワードを変更するには,DCLのSET PASSWORDコマンドを使用します。
システム管理者は,ユーザが自分で自分のパスワードを選択できるように設定でき,また,パスワードを変更するときに自動的なパスワード・ジェネレータを使用するように要求することもできます。ユーザが自分でパスワードを選択できる場合には,パスワードが長さやその他の制限に従っていなければなりません(第 1.3.3 項 を参照)。
一定期間内にパスワードを変更できる回数は制限されていません。
たとえば,選択したパスワードが短すぎる場合には,システムは次のメッセージを表示します。
$ SET PASSWORD Old password: New password: %SET-F-INVPWDLEN, password length must be between 12 and 32 characters; password not changed |
システム管理者が自動的なパスワード・ジェネレータの使用を要求していない場合には,SET PASSWORDコマンドは新しいパスワードの入力を要求するプロンプトを表示します。その後,次に示すように,確認のためにもう一度新しいパスワードを入力するように要求するプロンプトが表示されます。
$ SET PASSWORD New password: Verification: |
新しいパスワードとして同じパスワードを 2 回入力しなかった場合には,パスワードは変更されません。同じパスワードを 2 回入力した場合には,画面に何も表示されません。このコマンドはパスワードを変更し,Enter で DCL プロンプトになります。
セキュリティ管理者がパスワード・ジェネレータの使用を要求していない場合でも,パスワード・ジェネレータを使用すれば,システムのセキュリティを向上するのに役立ちます。
1.7.2 生成されたパスワードの使用方法
セキュリティ管理者がシステムで自動的に生成されるパスワードを使用しなければならないと判断した場合には,DCL の SET PASSWORD コマンドを入力したときに,パスワードのリストが表示されます(システムで自動的に生成されたパスワードを使用するように設定されていない場合には,SET PASSWORD コマンドに /GENERATE 修飾子を指定することにより,自動的に生成されたパスワードを使用できます)。覚えやすいように普通の言語によく似た文字シーケンスになっていますが,外部の人間がパスワードを推測するのは困難です。システムで生成されるパスワードは長さが一定でないため,さらに推測が困難になっています。
|
パスワード・ジェネレータでは,基本的な音節規則を使用してワードを生成しますが,実際の言語に関する知識があるわけではありません。したがって,偶然に不快な言葉が生成されてしまう可能性があります。 |
次の例では,文字がランダムに並んだパスワードのリストが自動的に生成されています。ユーザのパスワードの最小長はUAFレコードで8文字に設定されています。
$ SET PASSWORD Old password: (1) reankuna rean-ku-na (2) cigtawdpau cig-tawd-pau adehecun a-de-he-cun ceebatorai cee-ba-to-rai arhoajabad ar-hoa-ja-bad Choose a password from this list, or press Enter to get a new list (3) New password: (4) Verification: (5) $ (6) |
以下は,例についての説明です。
OpenVMS VAX システムでは,各パスワードの右側に,同じ単語を音節に区切った表現が表示される(この例を参照)。
生成されたパスワードの使用に当たっては,次の2 つの欠点があります。
このようにしてもパスワードを保護できなかったことが後で判明した場合には,ただちにパスワードを変更してください。各システムの方針に従って,あるいはアカウントのセキュリティが侵された時間の長さからユーザが必要であると判断すれば,自分のアカウントを通じてシステムのセキュリティ侵害が起こりそうであることを,システム管理者に知らせてください。
2 次パスワードを変更するには,DCL の SET PASSWORD/SECONDARY コマンドを使用します。古い 2 次パスワードと新しい 2 次パスワードを指定するように要求するプロンプトが表示されます。これは 1 次パスワードを変更するときと同じ操作です。2 次パスワードを削除するには,新しいパスワードと確認パスワードを要求するプロンブトが表示されたときに,Enter キーを押します。
1 次パスワードと 2 次パスワードは別々に変更できますが,どちらのパスワードも有効期限が同じであるため,同じ頻度で変更してください。
| 前へ | 次へ | 目次 | 索引 |