OpenVMS
ユーザーズ・マニュアル


前へ 次へ 目次 索引


2.5 ログインの失敗

ログインはさまざまな理由で失敗します。たとえば,パスワードの1つが変更されたり,アカウントの有効期限が満了した場合や,ネットワークを介して,またはモデムからログインしようとしたときに,その操作が登録されていないこともあります。次の表は,ログインの失敗の一般的な理由を示しています。

失敗の症状: 理由:
ターミナルから応答がない ターミナルに欠陥があるか,システム・パスワードを必要とするターミナルであるか,またはターミナルに電源が投入されていない。
ターミナルから応答がない システムがダウンしている。
システム・パスワードを入力したが,ターミナルから応答がない。 システム・パスワートが変更された。
システム・メッセージ:  
"User authorization failure" ユーザ名またはパスワードを入力ミスした。

アカウントまたはパスワードの有効期限が満了した。

"Not authorized to log in from this source" 特定のログイン・クラス(ローカル,ダイアルアップ,リモート,会話型,バッチ,ネットワーク)が禁止されている。
"Not authorized to log in at this time" この曜日またはこの時刻にログインが許可されていない。
"User authorization failure" (かつ,認識されるユーザ障害が発生していない) ユーザ名を使用してターミナルからシステムへの不法侵入が試みられたため,システムはそのユーザ名によるそのターミナルへのすべてのログインを一時的に禁止した。

この後の項では,ログインの失敗の理由について詳しく説明します。

2.5.1 システム・パスワードを必要とするターミナル

使用するターミナルでシステム・パスワードが必要なときに,そのことを知らないと,ログインできません。システム・パスワードを入力するまで,ログインはすべて失敗します。

システム・パスワードがわかっている場合には, 第 2.2.5 項 で説明した操作を実行してください。その操作を実行してもログインできない場合には,システム・パスワードが変更されている可能性があります。システム・パスワードを知らず,そのことが問題であると考えられる場合には,別のターミナルにログインするか,または新しいシステム・パスワードを要求してください。

2.5.2 ログイン・クラスの制限

UAFレコードで禁止されているクラスのログインを試みても,ログインは成功しません。たとえば,セキュリティ管理者がネットワークを介したログインを制限している場合には,ネットワーク・ログインを試みると,このソースからログインする権限がないことを示すメッセージが出力されます。

セキュリティ管理者は,ローカル,リモート,ダイアルアップ,バッチ,ネットワークの各クラスでのログインを制限している可能性があります。

2.5.3 勤務時間に関する制限

勤務時間に関する制限によりログインできないこともあります。システム管理者またはセキュリティ管理者は,時刻や曜日をもとにシステムへのアクセスを制御することがあります。このような制限はログイン・クラスに影響します。セキュリティ管理者は,同じ作業時間制限をすべてのログイン・クラスに適用したり,ログイン・クラスによって異なる制限を設定することもあります。

該当するログイン・クラスに対して禁止されている時刻にログインしようとしてもログインできません。この場合,この時刻にログインする権限がないことがユーザに通知されます。

2.5.4 勤務時間制限中でのバッチ・ジョブ

勤務時間制限がバッチ・ジョブに適用される場合には,許可されている作業時間以外に実行する予定のジョブは,キューに登録しても実行されません。また,次の作業時間にこのようなジョブをシステムが自動的にキューに再登録することもありません。同様に,何らかのジョブを開始して,許可されている時間外にそのジョブを実行しようとしても,ジョブ・コントローラは,割り当てられた勤務時間が終了すると,未完了のジョブを強制終了します。このようなジョブの終了方法は,すべてのジョブに適用されます。

2.5.5 ダイアルアップ・ログインでの失敗

セキュリティ管理者は,ダイアルアップ・ログインで,接続が自動的に切断されるまでの間に,ユーザがパスワードを入力できる回数を制限できます。

ログインが失敗しても,指定された回数に到達していない場合には, Returnキーを押してもう一度ログインを試みてください。ログインが成功するまで,または制限回数に到達するまで,この操作を繰り返すことができます。接続が切断された場合には,アクセス・ラインを再ダイアルして,もう一度試みてください。

ダイアルアップ・ログインの回数を制限するのは,権限のないユーザがパスワードを知ろうとしても,エラーが発生してあきらめざるを得なくするためです。ダイアルアップ回線では,権限がなくても匿名での操作が可能です。もちろん,各ダイアルアップ回線ごとにログインの試行回数を制限しても,この種のシステム侵入の試みがまったくなくなるわけではありません。この回数制限は,何回もダイアルしてログインしようとする不法アクセス者からシステムを保護することを目的にしています。

2.5.6 システム侵入回避プロシージャ

同じターミナルで同じユーザ名によってログインしようとしても,何回も失敗すると,システムは侵入の試み が進行中であるかのように応答します。つまり,誰かがこのユーザ名を使用してシステムに対して非合法なアクセスを試みていると判断します。

セキュリティ管理者は,自分の裁量で侵入回避手段をシステムのすべてのユーザに対して有効に設定できます。セキュリティ管理者は,所定の時間内に何回のパスワード試行を許可するかを制御します。侵入回避手段が一度起動されると,指定された時間内は,正しいパスワードを使用しても,ターミナルにログインできません。再度ログインを試みるまでにどのくらい待たなくてはならないか,あるいは別のターミナルを使用してログインを試みた方がよいのかは,セキュリティ管理者に質問してください。

侵入回避手段によってログインが防止されているだけで,個人的にログインが失敗したわけではないと考えられる場合には,ただちにシステム管理者に連絡してください。同時に,もう一度ログインを試みて,最後のログイン以降のログイン失敗回数を示すメッセージを確認し,侵入の試みについての推測が正しいかどうかを調べてください。通常はログイン・メッセージが表示されないシステムの場合,セキュリティ管理者はAuthorizeユーティリティ(AUTHORIZE)を使用して, UAFレコードの中のデータを調べます。誰かが別のターミナルでログインを試みているかどうかは,プロンプトがどのように表示されるかによってわかります。

2.6 パスワードの変更

定期的にパスワードを変更すれば,システム・セキュリティを向上できます。パスワードを変更するには,DCLのSET PASSWORDコマンドを使用します。

システム管理者は,ユーザが自分で自分のパスワードを選択できるように設定でき,また,パスワードを変更するときに自動的なパスワード・ジェネレータを使用するように要求することもできます。ユーザが自分でパスワードを選択できる場合には,パスワードが長さやその他の制限に従っていなければなりません ( 第 2.2.3 項 を参照)。

一定期間内にパスワードを変更できる回数は制限されていません。

たとえば,選択したパスワードが短すぎる場合には,システムは次のメッセージを表示します。


$ SET PASSWORD 
Old password: 
New password: 
%SET-F-INVPWDLEN, password length must be between 12 and 32 
characters; password not changed 

2.6.1 ユーザ自身によるパスワードの選択

システム管理者が自動的なパスワード・ジェネレータの使用を要求していない場合には, SET PASSWORDコマンドは新しいパスワードの入力を要求するプロンプトを表示します。その後,次に示すように,確認のためにもう一度新しいパスワードを入力するように要求するプロンプトが表示されます。


$ SET PASSWORD [Return]
New password:       [Return]
Verification:       [Return]

新しいパスワードとして同じパスワードを2回入力しなかった場合には,パスワードは変更されません。同じパスワードを2回入力した場合には,画面に何も表示されません。このコマンドはパスワードを変更し,DCLプロンプトに戻ります。

セキュリティ管理者がパスワード・ジェネレータの使用を要求していない場合でも,パスワード・ジェネレータを使用すれば,システムのセキュリティを向上するのに役立ちます。

2.6.2 生成されたパスワードの使用方法

セキュリティ管理者がシステムで自動的に生成されるパスワードを使用しなければならないと判断した場合には, DCLのSET PASSWORDコマンドを入力したときに,パスワードのリストが表示されます (システムで自動的に生成されたパスワートを使用するように設定されていない場合には, SET PASSWORDコマンドに/GENERATE修飾子を指定することにより,自動的に生成されたパスワードを使用できます)。覚えやすいように普通の言語によく似た文字シーケンスになっていますが,外部の人間がパスワードを推測するのは困難です。システムで生成されるパスワードは長さが一定でないため,さらに推測が困難になっています。

注意

パスワード・ジェネレータでは,基本的な音節規則を使用してワードを生成しますが,実際の言語に関する知識があるわけではありません。したがって,偶然に不快な言葉が生成されてしまう可能性があります。

次の例では,文字がランダムに並んだパスワードのリストが自動的に生成されています。ユーザのパスワードの最小長はUAFレコードで8文字に設定されています。


$ SET PASSWORD
Old password:          [Return] (1)
 
reankuna      rean-ku-na    (2)
cigtawdpau    cig-tawd-pau
adehecun      a-de-he-cun
ceebatorai    cee-ba-to-rai
arhoajabad    ar-hoa-ja-bad
Choose a password from this list, or press Return to get a new list (3)
New password:          [Return] (4)
Verification:          [Return] (5)
$ (6)

以下は,例についての説明です。

  1. ユーザは古いパスワードを正しく指定し,Returnキーを押す。

  2. システムは8〜10文字の長さの5つのパスワードを表示する。通常,発音しやすいパスワードが覚えやすいパスワードである。したがって,そのパスワードが最適である。
    OpenVMS VAXシステムでは,各パスワードの右側に,同じ単語を音節に区切った表現が表示される(この例を参照)。

  3. 新しいパスワードを要求するプロンプトに対してReturnキーを押すと,新しいリストを要求できることをユーザに示している。

  4. ユーザは最初に表示された5つのパスワードから1つを入力して, Returnキーを押す。

  5. システムは,このパスワードが自動的なパスワード・ジェネレータによって作成されたパスワードであることを認識し,確認プロンプトを応答する。ユーザは新しいパスワードを再入力し,Returnを押す。

  6. システムはパスワードを変更し,DCLプロンプトに戻る。

2.6.3 生成されたパスワード: 欠点

生成されたパスワードの使用に当たっては,次の2 つの欠点があります。

2.6.4 2次パスワードの変更

2次パスワードを変更するには,DCLのSET PASSWORD/SECONDARYコマンドを使用します。古い2次パスワードと新しい2次パスワードを指定するように要求するプロンプトが表示されます。これは1次パスワードを変更するときと同じ操作です。 2次パスワードを削除するには,新しいパスワードと確認パスワードを要求するプロンブトが表示されたときに, Returnキーを押します。

1次パスワードと2次パスワードは別々に変更できますが,どちらのパスワードも有効期限が同じであるため,同じ頻度で変更してください。

2.6.5 ログイン時のパスワードの変更

現在のパスワードの有効期限が満了していなくても,ユーザ名とともに/NEW_PASSWORD 修飾子を指定すれば,システムにログインするときにパスワードを変更できます。ユーザ名の後に/NEW_PASSWORD修飾子を入力した場合には,ログインの直後に新しいパスワードを設定するように要求するプロンプトが表示されます。

次の例は,ログイン時にパスワードを変更する方法を示しています。


  WILLOW - A member of the Forest Cluster
 
Username: RWOODS/NEW_PASSWORD
Password:
         Welcome to OpenVMS on node WILLOW
            Last interactive login on Tuesday, 7-NOV-1996 10:20
            Last non-interactive login on Monday, 6-NOV-1996 14:20
 
Your password has expired; you must set a new password to log in
New password:
Verification:

2.7 パスワードとアカウントの満了

システム管理者は,パスワードまたはアカウント自体が特定の日時に自動的に満了するように,アカウントを設定できます。パスワード満了期限が設定されていると,ユーザは定期的にはパスワードを変更しなければならないため,システムのセキュリティが向上します。アカウント満了期限は,アカウントを必要な間だけ使用可能にしたいときに便利です。

2.7.1 満了したパスワード

パスワードの満了期限を設定すると,満了日の5日前に警告メッセージが表示され,その後もログインするたびに警告メッセージが表示されます。このメッセージは新規メール・メッセージのすぐ下に表示され,注意を促すためにベルも鳴ります。メッセージには,パスワードが満了することが次のように表示されます。


WARNING -- Your password expires on Thursday 11-DEC-1996 15:00 

満了前にパスワードを変更しなかった場合には,ログイン時に次のメッセージが表示されます。


Your password has expired; you must set a new password to log in 
New password: 

新しいパスワードを要求するプロンプトが表示されますが,自動パスワード生成機能が有効に設定されている場合には,リストから新しいパスワードを選択するように要求されます。ここでCtrl/Yを押すと,ログインを強制終了できます。次にログインしようとしたときに,パスワードを変更するように要求するプロンプトが再度表示されます。

2.7.2 2次パスワードを使用している場合

アカウントで2次パスワードを使用している場合には ( 第 2.2.4 項 を参照), 2次パスワードは1次パスワードと同時に満了します。そのとき,2つのパスワードをどちらも変更するように要求するプロンプトが表示されます。 1次パスワードを変更し,2次パスワードを変更する前に,Ctrl/Yを押した場合には,ログインは失敗します。その場合,システム・パスワードの変更は記録されません。


前へ 次へ 目次 索引