セキュリティ構成のカスタム構成情報

[Admin] セクション

allow-list=yes | no

yes に設定すると、Admin LIST 要求 (ユーザー、グループ、またはリソース アクセス規則のリストなど) が追加のアクセス チェックなしですべてのユーザーに許可されます。

[Audit] セクション

category 3 events=yes | no

このオプションを設定すると、SAF の Auth および XAuth の呼び出しに対する監査カテゴリ 6 のイベントが無効になり、Verify、Auth、および XAuth の呼び出しに対するカテゴリ 3 のイベントが有効になります。このオプションは下位互換性を確保するために提供されています。

デフォルト値は、no です。

password change success = yes | no

このオプションを設定すると、パスワードの変更が成功したときの追加の監査イベントが有効になります。

注: パスワードの変更の拒否および関連するエラーは常に監査対象になります。詳細については、「監査イベント コード」の監査イベント 6 2 を参照してください。

デフォルト値は、no です。

selective=yes | no

この設定により、オプションの選択的監査機能が有効になります。監査が有効になっていない場合は効果はありません。

選択的監査を有効にすると、AUDIT フラグが設定されている要求と ESM モジュールで監査が必要と判断された特定の要求を除き、通常の ESF 要求の監査が抑制されます。フラグは呼び出し側で設定できます。現在のところ、選択的監査を実行するのは MLDAP ESM モジュールだけです。ユーザー、グループ、またはリソースのアクセス ルール オブジェクトにオプションの LDAP ブール属性 microfocus-MFDS-Audit が含まれており、その属性の値が TRUE の場合、そのオブジェクトに関連する要求が監査されます。たとえば、LDAP で microfocus-MFDS-Audit を TRUE に設定してユーザーが定義されていれば、選択的監査が有効な場合、そのユーザーに関連するすべての要求 (ユーザーのサインオンの Verify 要求とそのユーザーに代わるリソース アクセスの Auth 要求) が監査されます。

デフォルト値は、no です。

[Cache] セクション

flush on change=yes | no

yes に設定すると、同じユーザーに対する別の要求で異なる結果が生成された場合に、すでにキャッシュされている Verify 結果がキャッシュから削除されます。詳細については、「Flush on Change の使用」を参照してください。これは Verify キャッシュが無効の場合は意味がありません。

ignore=list of request fields

この構成エントリにリストされたフィールドは、ESF キャッシュで現在処理中の要求とキャッシュされた要求を比較して一致するかどうかを確認するときに無視されます。つまり、リストされたフィールドに現在の要求とキャッシュされた要求で内容が異なるものがあっても、キャッシュされている結果が使用されます。これは、そのフィールドが環境のセキュリティに関する決定に影響しない場合に便利です。

リストには、空白またはカンマ (あるいはその両方) で区切った 0 個以上のフィールド名を含めることができます。

現在、含めることができるフィールドは次のとおりです。

subsystem

Enterprise Server サブシステム (CICS や IMS など)。

subsys

"subsystem" のエイリアス。

facility

機能 (通常は端末名またはその他の入力ソース)。

transaction

トランザクション名 (関連するサブシステム)。

trans

"transaction" のエイリアス。

現在、これらのフィールドをセキュリティに関する決定に使用する ESM モジュールはないため、これらの一部またはすべてを無視しても問題ありません。

デフォルト値は subsystem, facility です。トランザクションはカスタム ESM モジュールに含まれる可能性が最も高いものの 1 つであるため、デフォルトでは無視されません。

report interval=seconds

report interval オプションを設定することで、報告を行う頻度を構成できます。この値は整数で、報告間のおおよその時間 (秒単位) を表します。これを 0 に設定すると、報告機能が無効になります。

requests=list of request types

キャッシュ可能な ESF 要求のタイプを指定します。これは、カンマまたはスペースで区切られた、トークンのリストに設定されます。使用可能なすべてのトークンのリストについては、「要求」を参照してください。

tracing=integer

ESF キャッシュからのトレース メッセージを制御します。これを 0 に設定すると、トレースは無効になります。正の値に設定すると、値が大きいほど詳細なトレース情報が有効になります。現在は 1 から 5 までの値がサポートされています。

デフォルト値は 0 です。

詳細については、「ESF キャッシュ」の章を参照してください。

[Operation] セクション

failover retry interval=seconds | never

冗長モードの動作を変更します。冗長モードが有効になっていない場合は無視されます。詳細については、以下の redundant 設定を参照してください。デフォルトでは、冗長モードが有効になっている場合、通常であれば呼び出しが行われるすべての要求において、失敗したセキュリティ マネージャーについても処理が再試行されます。そのため、失敗したマネージャーからの応答に時間がかかり、パフォーマンスの問題の原因になることがあります。

このオプションを正の数値に設定すると、失敗してからその秒数が経過するまでは、失敗したセキュリティ マネージャーについて処理が再試行されなくなります。

0 または never に設定すると、失敗したセキュリティ マネージャーは ESF が再初期化されるかプロセスが再起動されるまで無効になります。

federate=yes | no | compatible

セキュリティ マネージャー間のグループ情報のフェデレーションを制御します。詳細については、「セキュリティ フェデレーション」を参照してください。これは、複数のセキュリティ マネージャーが構成されている場合にのみ効果があります。

デフォルト値は、製品バージョン 8.0 までは compatible、9.0 以降では yes です。Micro Focus では、複数のセキュリティ マネージャーを使用する場合は yes に設定することをお勧めします。

protect sensitive data=yes | no

有効にすると、パスワードなどの機密データが開示されないようにメモリ内で難読化されます。

デフォルト値は、yes です。これを無効にするのは、機密データの保護について懸念がある場合だけにしてください。

redundant=yes | no

yes に設定すると、複数の同等のセキュリティ マネージャーを構成し、少なくとも 1 つのセキュリティ マネージャーが使用可能である限りは処理を続行させることができます。デフォルトでは、初期化またはセキュリティ要求の処理中にセキュリティ マネージャーからエラーが返されると要求は失敗します。冗長モードが有効になっている場合は、使用可能なセキュリティ マネージャーが 1 つでもあれば初期化および要求の処理を実行できます。

デフォルト値は、no です。

trim whitespace=yes | no

有効にすると、ESF 要求の文字列フィールドの先頭と末尾の空白が削除されます。これは、要求に余分な空白が含まれる可能性がある場合に便利です。

デフォルト値は、yes です。これを無効にするのは、空白の除去について懸念がある場合だけにしてください。

update interval=seconds

正の数値に設定すると、ESF による管理更新通知のチェックがその秒数は間隔をあけて実行されるようになります。更新通知は、セキュリティ情報が変更されたことを ESF に通知し、キャッシュされているデータを破棄して、ユーザーおよびグループに関する格納されている情報を更新する必要があることを通知するために使用されます。このチェックは負荷が高い状況ではパフォーマンスに影響することがあり、そのような場合は、更新間隔を設定することでパフォーマンスが向上する可能性があります。ただし、セキュリティ情報の変更が ESF で認識されるまでの時間が長くなることに注意してください。

user exit=module-name

ユーザー出口モジュールを構成します。詳細については、「ESF ユーザー出口」を参照してください。

verify throttle threshold=integer | none

この設定では、どの時点で Verify 調整をアクティブにするかを指定するか、Verify 調整を無効にします。値が正の整数の場合、1 秒間に受け入れられる Verify 要求の最大数を表し、これを超えるとプロセスで調整 (遅延の挿入) が開始されます。これにより、ブルート フォースによる有効な資格情報の推測が困難になります。

注: エンタープライズ サーバー インスタンスでは、通常は SEP で Verify 要求を処理するため、実際の有効なしきい値は、この値に使用可能な通常の SEP の数を掛けた値になります。

値が負、ゼロ、または none の場合、調整は無効になります。

デフォルト値は 100 です。

[Passtoken] セクション

allow=none | generate | signon | both | yes

バストークンを無効にする場合は none、パストークンの生成のみ有効にして使用は有効にしない場合は generate、パストークンによるサインオンのみ有効にして生成は有効にしない場合は signon、生成およびサインオンの両方を有効にする場合は both を指定します。yes は both と同じ意味になります。

詳細については、「ESF Manager のパストークン オプション」を参照してください。

[Trace] セクション

name mapping=yes | no

有効にすると、名前マッピングの処理中にトレース メッセージが記録されます。

デフォルト値は、no です。

[Verify] セクション

map short names=yes | no

有効にすると、サブミットされた Verify (ユーザー認証) 要求のユーザー名が 8 文字以下の場合に、ESF は最初にこれを「長い名前」(ESM ユーザー名) にマップしようと試みます。これが成功すると、要求で指定された名前の代わりに長い名前が使用されます。このオプションは、名前マッピングが有効な場合に便利です。Enterprise Server の一部の機能では長い名前の入力が許可されず、代わりに Enterprise Server メインフレーム形式の 8 文字のユーザー ID (「短い名前」) を使用する必要があるためです。これには、CICS の CESN トランザクションや CESL トランザクション、および JCL ジョブ カードの USER パラメーターが含まれます。

デフォルト値は、no です。Micro Focus では、名前マッピングを使用する場合はこの機能を有効にすることをお勧めします。