前へ | 次へ | 目次 | 索引 |
通常,自分のアカウントがシステムですでに作成されているかどうかを調べれば,ユーザ・パスワードが必要かどうかがわかります。ユーザ・パスワードが有効な場合には,システム管理者は通常,最初のログインのために特定のパスワードを割り当てます。このパスワードはシステムの利用者登録ファイル(UAF)に登録されており,アカウントの使用方法に関するその他の情報もあわせて登録されています。
他の人が簡単に推測できるようなパスワードは望ましくありません。アカウントを作成する人に,推測しにくいパスワードを指定するように依頼してください。パスワードの作成にまったく関与できない場合には,自分の名前と同じパスワードが指定されてしまう可能性があります。その場合には,ログインした後,ただちにパスワードを変更してください (パスワードとして自分の名前や姓を使用するのはきわめて一般的であるため,セキュリティの観点からは望ましくありません)。
アカウントを作成するときに,パスワードの最小長と,自分で新しいパスワードを選択できるのか,それともシステムから一方的にパスワードが与えられるのかも知っていなければなりません。
2.2.2 初期パスワードの変更
アカウントが作成された後,そのアカウントにただちにログインし,パスワードを変更してください。アカウントの作成後,初めてログインするまでに時間が経過した場合には,他のユーザがアカウントにログインして,システムに損害を与える可能性があります。同様に,パスワードを変更しなかったり,パスワードを変更できない場合には,システムを安全に維持できません。システムがどのような損害を受けるかは,他にどのようなセキュリティ手段がとられているかに大きく左右されます。
2.2.3 パスワードの制限事項
システムはパスワードを受け付けることができるかどうかについて,次のことを調べます。
システム辞書に登録されているパスワード,以前に使用したことのあるパスワード, UAFに指定されているパスワードの最小長未満のパスワードは指定できません。
2.2.4 使用するパスワードのタイプ
OpenVMSオペレーティング・システムでは,複数のパスワード・タイプが認識されます。
ほとんどのアウウントで必要。ユーザ名を入力した後,パスワードを要求するプロンプトが表示される。アカウントで1次パスワードと2次パスワトードの両方が必要な場合には, 2つのパスワードを入力しなければならない。
特定のターミルへのアクセスを制御し,セキュリティ管理者が設定する。システム・パスワードは通常,ダイアルアップ回線やパブリック・ターミナル・ラインなど,システムの不当な使用の対象となるターミナルへのアクセスを制御するのに必要である。
1次パスワードと2次パスワードの両方を必要とするアカウントで最初に入力しなければならないパスワード。
1次パスワードと2次パスワードの両方が必要なアカウントで 2番目に入力しなければならないパスワード。 2次パスワードは,ユーザ・アカウントで補足的なセキュリティ・レベルを提供する。 通常,1次ユーザは2次パスワードを知らない。したがって,スーパーバイサなどが2次パスワードを指定しなければならない。アプリケーションによっては,アカウントの使用中もスーパーバイザがそのまま残ることがある。したがって,2次パスワードはログインやログイン後の処理を制御する上で便利である。
2次パスワードを使用すると,時間がかかり,不便である。したがって,最大のセキュリティ要件を必要とするシステムでのみ使用する。二重パスワードを使用した方がよいアカウントの例としては,通常のアクセス制御を迂回して,データベースを緊急に修復するアカウントがある。
使用できる1つ以上のターミナルにログインするために,システム・パスワードを指定しなければならないかどうかは,セキュリティ管理者が決定します。現在のシステム・パスワード,パスワードの変更頻度,変更した場合の新しいシステム・パスワードの入手方法については,システム管理者にご質問ください。
2次パスワードを使用しなければならないかどうかは,アカウントの作成時にセキュリティ管理者が設定します。アカウントで1次パスワードと2次パスワードが必要な場合には,ログイン時に2つのパスワードを指定しなければなりません。セキュリティ管理者がUAFに指定したパスワードの最小長は,両方のパスワードに適用されます。
1つのパスワードでログインできる場合と同様に,システムはログイン全体に対して特定の時間を割り当てます。その時間内に2次パスワードを入力しなかった場合には,ログインは時間切れになります。
次の例は,1次パスワードと2次パスワードを必要とするログインを示しています。
WILLOW - A member of the Forest Cluster Welcome to OpenVMS on node WILLOW Username: RWOODS Password: [Return] Password: [Return] Last interactive login on Friday, 11-DEC-1996 10:22 $ |
OpenVMSシステムでは,4種類のユーザ・アカウントを使用できます。
コンピュータに直接接続されているターミナルからログインする場合には,次の例にしめすように,OpenVMSシステムは情報システム・メッセージを表示します。
WILLOW - A member of the Forest Cluster (1) Unlawful Access is Prohibited Username: RWOODS Password: You have the following disconnected process: (2) Terminal Process name Image name VTA52: RWOODS (none) Connect to above listed process [YES]: NO Welcome to OpenVMS on node WILLOW (3) Last interactive login on Wednesday, 11-DEC-1996 10:20 (4) Last non-interactive login on Monday, 30-NOV-1996 17:39 (5) 2 failures since last successful login (6) You have 1 new mail message. (7) $ |
一般に,この機能が使用可能であっても,システム・セキュリティに問題はないため,セキュリティ管理者は切断されたジョブにユーザが再接続できるように設定する。ただし,ターミナルでこの設定を変更し,システムで仮想ターミナルの使用を禁止すれば,この機能を禁止できる (仮想ターミナルの設定と再接続についての説明は,『Compaq OpenVMS システム管理者マニュアル』を参照)。
セキュリティ管理者は,ノード名とオペレーティング・システム識別情報を含むウェルカム・メッセージとアナウンスメント・メッセージを表示しないように設定できます。ログイン・プロシージャはオペレーティング・システムに応じて異なっているため,この情報が表示されなければ,ログインが困難になります。
最終ログイン成功メッセージと失敗メッセージは省略可能です。セキュリティ管理者はこれらをまとめて有効にしたり,無効にすることができます。中レベルまたは高いレベルのセキュリティが必要とされるシステムでは,これらのメッセージを表示すれば,不法な侵入(ブレークイン)を示すことができます。さらに,システムがログインを監視していることを示すことができるため,これらのメッセージは不当なユーザによるアクセスを抑制する効果があります。
2.3.2 成功ログイン・メッセージ
ログインするたびに,システムは最後に成功したログインとログイン失敗の回数を再設定します。アカウントに会話方式でアクセスするときに,ログイン時に誤ったパスワードを指定しなければ,最後に成功した非会話型ログイン・メッセージとログイン失敗メッセージは表示されません。
2.4 ログインのタイプとログイン・クラス
ログインは会話型と非会話型に分類できます。会話型ログインの場合には,ユーザ名とパスワードを入力します。非会話型ログインでは,システムがユーザの識別と認証を実行します。ユーザ名とパスワードを要求するプロンプトは表示されません。
会話型ログインと非会話型ログインの他に, OpenVMSオペレーティング・システムではさまざまなログイン・クラスも認識されます。システムにログインする方法によって,どのログイン・クラスに属しているかが決定されます。ログイン・クラス,および曜日と時刻によって,システム管理者はシステムへのアクセスを制御します。
2.4.1 会話型ログイン
$ SET HOST HUBBUB |
HUBBUBノードのアカウントにアクセスできる場合には,ローカル・ノードからそのアカウントにログインできます。 HUBBUBノードの機能にアクセスすることはできますが,物理的にはローカル・ノードに接続された状態です。
リモート・セッションについての詳しい説明は, 第 2.11.2 項 を参照してください。
非会話型ログインには,ネットワーク・ログインとバッチ・ログインがあります。
$ DIRECTORY PARIS"GREG 8G4FR93A"::WORK2:[PUBLIC]*.*;* |
このコマンドはWORK2ディスクのパブリック・ディレクトリ内のすべてのファイルのリストを表示します。また,パスワードが8G4FR93Aであることもわかります。同じタスクをもっと安全に実行するには,PARISノードで代理アカウントを使用します。
代理ログインの例については,
第 19.5.3 項 を参照してください。
前へ | 次へ | 目次 | 索引 |