Angular Ansible Apache HTTP Server C C++ CMake CodeIgniter Composer CSS Cypress Dart date-fns Django Django REST Framework Docker Eigen3 ESLint FastAPI Git GNU Make Go HTML htmx HTTP JavaScript jQuery Julia Kotlin LaTeX MariaDB Matplotlib Mongoose Node.js npm NumPy Octave pandas Perl PHP Playwright PostgreSQL Prettier Pygame Python PyTorch Qt R React Native scikit-learn Socket.IO SQLite SVG Tailwind CSS Tcl/Tk TensorFlow Terraform Twig Web APIs webpack

MariaDBパスワード有効期限の基本:設定と管理方法を徹底解説

2025-05-16

パスワード有効期限の仕組み

MariaDBでは、主に以下の2つの方法でパスワードの有効期限を設定・管理できます。

    • このシステム変数は、新しく作成されるユーザーのパスワードのデフォルト有効期限を日単位で設定します。
    • デフォルト値は0であり、これは自動的なパスワード有効期限が無効であることを意味します。
    • この値を正の整数(例: 90)に設定すると、その日数経過後にユーザーのパスワードが期限切れになります。
    • 設定例: 
      SET GLOBAL default_password_lifetime = 90; -- 新規ユーザーのパスワード有効期限を90日に設定
    • この設定は、変更後に作成されるユーザーに適用され、既存のユーザーには影響しません。

  2. 個別のユーザー設定(CREATE USER または ALTER USER ステートメント)

    • 各ユーザーに対して、グローバル設定とは別に個別のパスワード有効期限を設定できます。これにより、特定のユーザーに対して異なるセキュリティポリシーを適用することが可能です。
    • 設定例
      • ユーザー作成時に有効期限を設定
        CREATE USER 'testuser'@'localhost' IDENTIFIED BY 'your_password' PASSWORD EXPIRE INTERVAL 180 DAY;
-- 'testuser'のパスワードを180日で期限切れに設定
      • 既存ユーザーの有効期限を変更
        ALTER USER 'existinguser'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
-- 'existinguser'のパスワード有効期限を90日に変更
      • パスワードを永続的に期限切れにしない
        ALTER USER 'someuser'@'localhost' PASSWORD EXPIRE NEVER;
-- 'someuser'のパスワードが期限切れにならないように設定
      • グローバル設定に従う
        ALTER USER 'anotheruser'@'localhost' PASSWORD EXPIRE DEFAULT;
-- 'anotheruser'のパスワード有効期限をdefault_password_lifetimeに従うように設定

パスワードが期限切れになった場合

パスワードが期限切れになると、ユーザーは通常の操作を実行できなくなります。通常、新しいパスワードを設定するための一部の限られたクエリ(SET PASSWORDなど)のみが許可される「サンドボックスモード」で接続できます。

有効期限の確認方法

ユーザーのパスワード有効期限を確認するには、SHOW CREATE USER ステートメントを使用します。

SHOW CREATE USER 'testuser'@'localhost';

この結果の中に、PASSWORD EXPIRE に関する情報が含まれています。

  • 運用
    パスワードの有効期限を設定する際は、ユーザーがスムーズにパスワードを変更できるような手順や、期限切れが近づいていることを通知する仕組みを検討することが重要です。
  • パスワードポリシー
    有効期限の他にも、MariaDBにはパスワードの再利用履歴(PASSWORD HISTORY)や、パスワードの複雑性要件(パスワード検証プラグイン)などのセキュリティ機能があります。これらを組み合わせて利用することで、より強固なパスワードポリシーを適用できます。
  • パスワードの最終変更日
    MariaDBはパスワードが最後に変更された日時を内部的に記録しており、この日時から有効期限が計算されます。

一般的なエラーメッセージ

パスワードが期限切れになった場合、クライアントからの接続時に主に以下のエラーメッセージが表示されます。

  • ERROR 1820 (HY000): You must SET PASSWORD before executing this statement.
    • このエラーは、パスワードが期限切れになったユーザーが、パスワード変更以外のSQLステートメントを実行しようとした場合に発生します。
    • 期限切れのユーザーがデータベースに接続できたとしても、パスワード変更が最優先事項であり、それ以外の操作はブロックされます。
  • ERROR 1862 (HY000): Your password has expired. To log in you must change it using a client that supports expired passwords.
    • これは最も一般的なエラーで、ユーザーのパスワードが期限切れであることを明確に示しています。
    • クライアントが期限切れパスワードのハンドリングをサポートしている場合(多くのモダンなクライアントはサポートしています)、パスワード変更を促すメッセージが表示され、パスワード変更を行うための限定された操作が許可される「サンドボックスモード」に入ることがあります。

シナリオ1: パスワード期限切れでログインできない

問題
ユーザーがパスワード有効期限切れのエラーを受け取り、データベースにログインできません。

解決策

    • 多くのデータベースクライアント(例: mariadb コマンドラインクライアント)は、パスワードが期限切れになったユーザーが接続し、新しいパスワードを設定する機能を提供しています。
    • mariadb -u <username> -p で接続を試み、パスワードの入力を求められたら現在のパスワードを入力します。
    • ログイン後、自動的に新しいパスワードを設定するよう促されるか、サンドボックスモードで以下のコマンドを実行できます。 
      ALTER USER 'username'@'localhost' IDENTIFIED BY 'NewSecurePassword';
-- または
SET PASSWORD FOR 'username'@'localhost' = 'NewSecurePassword';
    • 注意
      SET PASSWORD = PASSWORD('NewSecurePassword'); の形式は非推奨です。シングルクォーテーションで囲まれた文字列リテラルとしてパスワードを直接指定するか、IDENTIFIED BY句を使用することが推奨されます。

  2. 管理者(rootユーザーなど)がパスワードを変更する

    • もし期限切れになったユーザーがパスワードを変更できない場合、管理者権限を持つユーザー(通常はroot)がそのユーザーのパスワードをリセットできます。
    • rootユーザーでログインし、以下のコマンドを実行します。 
      ALTER USER 'expired_username'@'localhost' IDENTIFIED BY 'NewSecurePassword';
FLUSH PRIVILEGES; -- 必要に応じて実行
    • パスワード変更後、expired_usernameは新しいパスワードでログインできるようになります。

  3. 一時的にパスワード有効期限を無効にする(緊急時)

    • 広範囲のユーザーに影響が出るなど、緊急の対応が必要な場合は、default_password_lifetimeを一時的に0に設定してパスワード有効期限を無効にすることを検討できます。
    •   SET GLOBAL default_password_lifetime = 0;
    • これは一時的な措置であり、セキュリティリスクがあるため、根本的なパスワード変更のプロセスが完了したら元に戻すべきです。

シナリオ2: アプリケーションからの接続が切断される

問題
アプリケーションがMariaDBに接続しようとした際に、「パスワードが期限切れ」という理由で接続が切断される、または予期しないエラーが発生する。

解決策

  1. アプリケーションのコネクタ/ドライバの確認

    • 使用しているプログラミング言語やフレームワークのMariaDBコネクタ/ドライバが、パスワード有効期限のハンドリングをサポートしているか確認します。古いバージョンのドライバでは、期限切れパスワードの適切な処理ができない場合があります。
    • 可能であれば、最新バージョンのドライバに更新します。

  2. アプリケーションの接続文字列/設定の確認

    • 一部のドライバやORMでは、期限切れパスワードを処理するための特定のオプションがある場合があります。ドキュメントを参照して設定を確認します。

  3. ユーザーパスワードの事前変更

    • 最も確実な方法は、パスワードが期限切れになる前に、管理者またはユーザー自身がパスワードを変更することです。
    • アプリケーションが使用するデータベースユーザーのパスワードは、手動での定期的な変更プロセスを確立することが望ましいです。

シナリオ3: ALTER USER ... PASSWORD EXPIRE ステートメントがエラーになる

問題
ALTER USER ... PASSWORD EXPIRE または CREATE USER ... PASSWORD EXPIRE ステートメントを実行すると構文エラーが発生する。

解決策

  1. MariaDBのバージョンを確認する

    • パスワード有効期限の機能は、MariaDB 10.4.3以降で導入されました。それ以前のバージョンでは、この構文はサポートされていません。
    •   SELECT VERSION();
    • もしバージョンが10.4.3未満であれば、この機能は利用できません。データベースのアップグレードを検討してください。

  2. 構文が正しいか確認する

    • PASSWORD EXPIRE の後に NEVERDEFAULT、または INTERVAL N DAY を正しく指定しているか確認します。
    • 例:
      • ALTER USER 'user'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
      • ALTER USER 'user'@'localhost' PASSWORD EXPIRE NEVER;

シナリオ4: パスワード有効期限が設定されているが、機能しない

問題
default_password_lifetime や個別のユーザー設定でパスワード有効期限を設定したが、期待通りに期限切れにならない。

解決策

  1. パスワードの最終変更日を確認する

    • パスワード有効期限は、パスワードが最後に変更された日から計算されます。
    • ユーザーのパスワードを一度も変更していない場合、有効期限が設定されていても、実質的にパスワードが期限切れにならないことがあります。
    • SHOW CREATE USER 'username'@'localhost'; を実行し、PASSWORD EXPIRE の設定が正しく表示されていることを確認します。
    • mysql.user テーブルを直接確認することも可能ですが、直接編集は推奨されません。 
      SELECT User, Host, password_last_changed, password_lifetime
FROM mysql.user
WHERE User = 'username';
      *password_lifetime は MariaDB 10.4以降で導入されたカラムです。
    • パスワードを一度変更することで、password_last_changed が更新され、そこから有効期限が計算され始めます。

  2. FLUSH PRIVILEGES; の実行

    • CREATE USERALTER USER で設定を変更した場合、MariaDBの再起動は不要ですが、場合によっては変更が即座に反映されないことがあります。FLUSH PRIVILEGES; を実行して権限キャッシュをリロードしてみてください。

  3. default_password_lifetime の適用範囲

    • default_password_lifetime は、新しく作成されるユーザーに適用されます。既存のユーザーのパスワード有効期限をグローバル設定に合わせたい場合は、ALTER USER 'username'@'localhost' PASSWORD EXPIRE DEFAULT; を個別に実行する必要があります。

MariaDBのパスワード有効期限は、セキュリティを強化するための重要な機能です。エラーが発生した場合は、表示されるエラーメッセージの内容を確認し、以下の点を中心にトラブルシューティングを進めます。

  • 管理者権限での対処
    期限切れになったユーザーが自分で解決できない場合は、管理者権限を持つユーザーがパスワードをリセットする。
  • クライアント/ドライバのサポート
    使用しているアプリケーションやツールが期限切れパスワードのハンドリングに対応しているか。
  • パスワードの最終変更日
    期限切れの計算基準となる最終変更日が更新されているか。
  • パスワード有効期限の設定
    default_password_lifetime または個別のユーザー設定が正しく行われているか。
  • MariaDBのバージョン
    使用しているバージョンが当該機能をサポートしているか。

グローバルなパスワード有効期限の設定

この設定は、新しく作成されるユーザーのデフォルトのパスワード有効期限を定義します。

-- 現在のグローバルなパスワード有効期限設定を確認
SHOW GLOBAL VARIABLES LIKE 'default_password_lifetime';

-- グローバルなパスワード有効期限を90日に設定(新規ユーザーに適用)
SET GLOBAL default_password_lifetime = 90;

-- グローバルなパスワード有効期限を無効にする(パスワードは期限切れにならない)
SET GLOBAL default_password_lifetime = 0;

-- この設定をMariaDBサーバーの再起動後も保持させる場合 (MariaDB 10.4.3以降)
-- my.cnf (Linux) または my.ini (Windows) ファイルの [mysqld] セクションに以下を追加:
-- default_password_lifetime = 90

解説

  • SET GLOBAL で設定された値は、現在のセッションだけでなく、サーバー全体に影響します。ただし、サーバーを再起動するとデフォルト値に戻る可能性があるため、永続化するには設定ファイルに記述するのが一般的です。MariaDB 10.4.3以降では SET PERSIST を使用して永続化することも可能です。
  • default_password_lifetime は日数を指定します。0は有効期限を無効にする意味です。

個別ユーザーのパスワード有効期限の設定

CREATE USER または ALTER USER ステートメントを使用して、個々のユーザーに対してパスワード有効期限を設定できます。

ユーザー作成時にパスワード有効期限を設定

-- ユーザー'testuser1'を作成し、パスワードを180日で期限切れにする
CREATE USER 'testuser1'@'localhost' IDENTIFIED BY 'Password123!' PASSWORD EXPIRE INTERVAL 180 DAY;

-- ユーザー'testuser2'を作成し、パスワードを永久に期限切れにしない
CREATE USER 'testuser2'@'localhost' IDENTIFIED BY 'Password123!' PASSWORD EXPIRE NEVER;

-- ユーザー'testuser3'を作成し、パスワード有効期限をグローバル設定に従うようにする
CREATE USER 'testuser3'@'localhost' IDENTIFIED BY 'Password123!' PASSWORD EXPIRE DEFAULT;

既存ユーザーのパスワード有効期限を変更

-- 既存ユーザー'existinguser1'のパスワードを90日で期限切れにする
ALTER USER 'existinguser1'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

-- 既存ユーザー'existinguser2'のパスワードを永久に期限切れにしない
ALTER USER 'existinguser2'@'localhost' PASSWORD EXPIRE NEVER;

-- 既存ユーザー'existinguser3'のパスワード有効期限をグローバル設定に従うように変更する
ALTER USER 'existinguser3'@'localhost' PASSWORD EXPIRE DEFAULT;

-- ユーザー'manualexpireuser'のパスワードを即座に期限切れにする(次回のログインで変更を強制)
ALTER USER 'manualexpireuser'@'localhost' PASSWORD EXPIRE;

解説

  • PASSWORD EXPIRE: ユーザーのパスワードを即座に期限切れとしてマークします。これは、管理者によって手動でパスワード変更を強制したい場合に特に便利です。
  • PASSWORD EXPIRE DEFAULT: グローバル設定(default_password_lifetime)に従います。
  • PASSWORD EXPIRE NEVER: パスワードは期限切れになりません。
  • PASSWORD EXPIRE INTERVAL N DAY: N日後にパスワードが期限切れになります。

パスワードの変更(期限切れパスワードの更新)

ユーザーのパスワードが期限切れになった場合、または手動でパスワードを更新したい場合に、新しいパスワードを設定します。

期限切れユーザー自身がパスワードを変更する場合

期限切れのユーザーは、MariaDBクライアントからログインを試みると、通常パスワード変更を促されます。または、ログイン後、以下のコマンドでパスワードを変更できます。

-- ログイン後、自身のパスワードを変更
ALTER USER USER() IDENTIFIED BY 'MyNewSecurePassword!';
-- または
SET PASSWORD = 'MyNewSecurePassword!';

解説

  • 期限切れのパスワードを持つユーザーは、SET PASSWORDALTER USER 以外のほとんどのSQL操作がブロックされる「サンドボックスモード」に入ります。
  • USER() 関数は、現在ログインしているユーザー名を返します。

管理者ユーザーが他のユーザーのパスワードを変更する場合

管理者権限を持つユーザー(例: root)は、他のユーザーのパスワードをリセットできます。

-- 'targetuser'のパスワードを新しいものにリセット(期限切れの状態もリセットされる)
ALTER USER 'targetuser'@'localhost' IDENTIFIED BY 'AnotherNewSecurePassword!';

-- リセット後、そのユーザーの権限キャッシュをリロード (必要であれば)
FLUSH PRIVILEGES;

パスワード有効期限情報の確認

ユーザーのパスワード有効期限に関する情報を確認する方法です。

-- 特定のユーザーの作成ステートメントを表示し、パスワード有効期限の設定を確認
SHOW CREATE USER 'testuser1'@'localhost';

-- 結果例 (PASSWORD EXPIRE INTERVAL 180 DAY の部分に注目):
-- CREATE USER `testuser1`@`localhost` IDENTIFIED BY PASSWORD '*xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx' PASSWORD EXPIRE INTERVAL 180 DAY

-- すべてのユーザーのパスワード関連情報を取得
-- MariaDB 10.4.3以降で利用可能なより詳細な情報取得クエリ
SELECT
    User,
    Host,
    password_last_changed,
    IF(
        JSON_EXTRACT(Priv, '$.password_lifetime') IS NULL OR JSON_EXTRACT(Priv, '$.password_lifetime') = -1,
        @@global.default_password_lifetime,
        JSON_EXTRACT(Priv, '$.password_lifetime')
    ) AS effective_password_lifetime,
    CASE
        WHEN JSON_EXTRACT(Priv, '$.password_lifetime') = 0 THEN 'Never'
        WHEN JSON_EXTRACT(Priv, '$.password_lifetime') IS NULL AND @@global.default_password_lifetime = 0 THEN 'Never'
        WHEN JSON_EXTRACT(Priv, '$.password_lifetime') IS NULL AND @@global.default_password_lifetime > 0 THEN CONCAT(DATE_ADD(FROM_UNIXTIME(JSON_EXTRACT(Priv, '$.password_last_changed')), INTERVAL @@global.default_password_lifetime DAY), ' (Default)')
        WHEN JSON_EXTRACT(Priv, '$.password_lifetime') > 0 THEN CONCAT(DATE_ADD(FROM_UNIXTIME(JSON_EXTRACT(Priv, '$.password_last_changed')), INTERVAL JSON_EXTRACT(Priv, '$.password_lifetime') DAY), ' (Specific)')
        ELSE 'Unknown'
    END AS password_expiration_date
FROM mysql.global_priv;

-- 簡易的な確認 (MariaDB 10.4より前のバージョンでも動作する可能性あり)
SELECT User, Host, password_expired, password_last_changed FROM mysql.user;
-- password_expired は通常 'Y' または 'N' を示しますが、MariaDBではこのカラムはMySQL互換性のためであり、直接的な有効期限のトリガーにはなりません。
-- 有効期限は password_last_changed と password_lifetime (または default_password_lifetime) から計算されます。

解説

  • mysql.user テーブルは基本的なユーザー情報を含みますが、password_expired カラムはMariaDBでは直接有効期限を管理するものではありません。
  • mysql.global_priv テーブルには、ユーザーの権限と設定に関するJSON形式のデータが含まれています。password_lifetime はユーザー固有の有効期限設定、password_last_changed はパスワードが最後に変更されたUNIXタイムスタンプです。
  • SHOW CREATE USER は、ユーザーの作成に使用されたSQLステートメントを表示するため、設定されたパスワード有効期限を確認するのに最も直接的な方法です。

MariaDBのパスワード有効期限機能は、SQLステートメントとして提供されるため、どのプログラミング言語からでもMariaDBへの接続ライブラリを使って実行できます。

Pythonでの接続とパスワード変更の例

import mysql.connector

# MariaDB接続情報
DB_CONFIG = {
    'host': 'localhost',
    'user': 'root', # 管理者ユーザー
    'password': 'your_root_password',
    'database': 'mysql' # ユーザー情報を管理するデータベース
}

# パスワード期限切れになったユーザーの情報
EXPIRED_USER = 'expired_user'
EXPIRED_USER_HOST = 'localhost'
NEW_PASSWORD = 'NewSecurePasswordFromApp!'

try:
    # MariaDBに接続
    conn = mysql.connector.connect(**DB_CONFIG)
    cursor = conn.cursor()

    print(f"ユーザー '{EXPIRED_USER}' のパスワードをリセットします。")

    # ユーザーのパスワードを新しいものにリセット
    # 注意: SQLインジェクションを防ぐため、プレースホルダを使用することが重要です。
    reset_sql = f"ALTER USER '{EXPIRED_USER}'@'{EXPIRED_USER_HOST}' IDENTIFIED BY %s;"
    cursor.execute(reset_sql, (NEW_PASSWORD,))
    conn.commit()
    print(f"ユーザー '{EXPIRED_USER}' のパスワードが正常にリセットされました。")

    # リセット後の有効期限設定を確認
    show_create_user_sql = f"SHOW CREATE USER '{EXPIRED_USER}'@'{EXPIRED_USER_HOST}';"
    cursor.execute(show_create_user_sql)
    for row in cursor:
        print(f"ユーザー '{EXPIRED_USER}' の現在の設定: {row[0]}")

except mysql.connector.Error as err:
    print(f"エラーが発生しました: {err}")
finally:
    if 'conn' in locals() and conn.is_connected():
        cursor.close()
        conn.close()
        print("MariaDB接続を閉じました。")
  • アプリケーションが使用するデータベースユーザーのパスワードを定期的に、プログラムから自動的に変更するような運用は、セキュリティ上推奨されません。パスワードは通常、アプリケーションのデプロイ時に設定され、変更は手動またはセキュアな自動化ツールによって行われるべきです。
  • 実際のアプリケーションでは、パスワード期限切れのエラー(ERROR 1862ERROR 1820)を捕捉し、ユーザーにパスワード変更を促すUIを提供したり、管理者に通知したりするロジックを組み込むことになります。
  • このPythonコードは、管理者権限でMariaDBに接続し、期限切れになったユーザーのパスワードをリセットする例です。

パスワード検証プラグイン (Password Validation Plugins)

  • password_reuse_check プラグイン (MariaDB 10.7.0以降のプレビュー機能)
    • ユーザーが過去に使用したパスワードを再利用することを防ぎます。これにより、パスワードの繰り返し変更によってもセキュリティレベルが低下することを防ぎます。
    • 有効にするには: 
      INSTALL PLUGIN password_reuse_check SONAME 'password_reuse_check';
SET GLOBAL password_reuse_check_interval = 90; -- パスワード履歴を保持する日数 (0は無制限)
  • cracklib_password_check プラグイン
    • cracklibライブラリ(Linuxシステムで一般的に使用される)を使用して、辞書攻撃に強いパスワードかどうかをチェックします。より高度なパスワード強度チェックが可能です。
    • 有効にするには: 
      INSTALL PLUGIN cracklib_password_check SONAME 'cracklib_password_check';
  • simple_password_check プラグイン
    • パスワードの長さ、文字の種類(大文字、小文字、数字、記号の組み合わせ)などの基本的な強度要件をチェックします。
    • 有効にするには: 
      INSTALL PLUGIN simple_password_check SONAME 'simple_password_check';
SET GLOBAL simple_password_check_strength = 2; -- 強度レベルを設定 (例: 1=弱い、2=中、3=強い)

プログラミングにおける利用
これらのプラグインが有効になっている場合、CREATE USERALTER USER でパスワードを設定しようとすると、プラグインによって定義されたポリシーに違反した場合にエラーが返されます。アプリケーション側では、これらのエラーメッセージを捕捉し、ユーザーに適切なパスワード要件を伝える必要があります。

PAM認証プラグイン (PAM Authentication Plugin)

MariaDBは、Linux/UnixシステムのPAM (Pluggable Authentication Module) を利用してユーザーを認証するプラグインを提供しています。これにより、MariaDBユーザーの認証をOSレベルのユーザー認証システムと統合できます。

  • 設定例
    -- PAM認証プラグインをインストール
INSTALL PLUGIN authentication_pam SONAME 'authentication_pam';

-- PAM認証を使用するユーザーを作成(例: 'pamuser')
CREATE USER 'pamuser'@'localhost' IDENTIFIED VIA pam;
GRANT SELECT ON mydatabase.* TO 'pamuser'@'localhost';
  • 特徴
    • OSのパスワードポリシー(パスワード有効期限、複雑性、履歴など)をMariaDBユーザーにも適用できます。
    • ユーザー管理を一元化できるため、MariaDBとOSで別々にパスワードを管理する必要がなくなります。
    • OS側のパスワード変更ツール(例: passwdコマンド)でパスワードを変更すると、MariaDBの認証にも反映されます。

プログラミングにおける利用
アプリケーションからは通常のデータベース接続と同じように接続します。パスワードの変更はOS側で行われるため、データベース側のALTER USERSET PASSWORDを使用する必要がなくなります。ただし、アプリケーションがMariaDBに接続するユーザーがPAM認証を使用していることを認識し、それに応じた認証フロー(多くの場合、パスワード入力のみで十分ですが)を設計する必要があります。

外部認証システムとの連携

大規模なシステムでは、MariaDBをOpenLDAP、Active Directory、Kerberosなどの集中型認証システムと連携させることも一般的です。

  • Kerberos認証プラグイン
    • Kerberosプロトコルを使用して認証を行うためのプラグインも存在します。シングルサインオン (SSO) 環境を構築する際に有用です。
  • LDAP/Active Directory認証プラグイン
    • MariaDBはLDAP認証プラグインを提供しており、企業内の既存のLDAP/ADインフラストラクチャを利用してデータベースユーザーを認証できます。
    • これにより、パスワードポリシー、パスワード有効期限、アカウントロックアウトなどの設定が、LDAP/ADサーバー側で一元管理されます。

プログラミングにおける利用
これらの外部認証システムと連携する場合、アプリケーションはMariaDBへの接続時にユーザー名とパスワード(またはKerberosチケット)を提供しますが、実際の認証プロセスはMariaDBの認証プラグインを介して外部システムで行われます。アプリケーションは通常、外部システムのパスワード変更ポリシーや有効期限については直接関与しませんが、エラーハンドリングとして認証失敗の理由(例: パスワード期限切れ、無効な資格情報)をユーザーに適切に伝える必要があります。

MariaDBの組み込み機能とは別に、アプリケーション自身がパスワードの有効期限を管理するロジックを持つことも可能です。

  • パスワード変更強制のUI
    • アプリケーションがユーザーにパスワード変更を促すための専用のUIを提供します。
    • MariaDBのALTER USER ... IDENTIFIED BY 'NewPassword'; コマンドを、ユーザーが入力した新しいパスワードで実行します。
  • 独自ロジックでの有効期限管理
    • ユーザーのパスワードが最後に変更された日時をアプリケーション側で記録し、独自の有効期限ポリシーを適用します。
    • 定期的にパスワードの有効期限が近づいているユーザーに通知を送信したり、ログイン時にパスワード変更を強制したりする機能などをアプリケーションに実装します。

メリット・デメリット

  • デメリット
    パスワードの有効期限管理のロジックがアプリケーション側に分散し、データベース側のセキュリティ設定と乖離する可能性がある。セキュリティロジックを独自に実装するため、慎重な設計とテストが必要。
  • メリット
    柔軟性が高く、MariaDBのバージョンに依存しない。既存のシステムと統合しやすい。

MariaDBの「User Password Expiry」機能は基本的なパスワード有効期限の管理に非常に有効です。しかし、より高度なセキュリティ要件や既存のインフラストラクチャとの統合が必要な場合は、以下の代替/補完方法を検討できます。

  • アプリケーション層での独自管理
    柔軟な通知や強制ロジックを実装するが、データベースとの連携に注意が必要。
  • 外部認証システム(LDAP/AD/Kerberos)連携
    企業レベルでの認証管理を一元化する。
  • PAM認証プラグイン
    OSレベルの認証システムと統合し、OSのパスワードポリシーをMariaDBに適用する。
  • パスワード検証プラグイン
    パスワード自体の強度と履歴を強制する。