osesm モジュール構成

osesm では、オペレーティング システムを使用してユーザー資格情報が認証されるため、構成パラメーターは多くありません。構成フィールドの詳細については、[Edit Security Manager] 画面の左側のペインで、[Help > This Page] オプションを選択してください。

osesm モジュールでは、[Configuration Information] 領域のテキストを編集して設定できる追加の構成もサポートされています。この領域のテキストはセクションで構成されており、各セクションは、角かっこで囲まれたタグで始まり、その後にname=value という形式の行が続きます。

ここでは、構成できるさまざまな構成セクション、および各セクションで設定できるオプションを示します。

[Operation] セクション

domain=domain

ユーザーの資格情報を確認するためのデフォルトのドメインを設定します。デフォルトは「.」で、ユーザーをローカル システムにログオンさせることを意味します。

type=network | interactive

使用するログオンの種類を設定します。Windows では、さまざまな種類のログオンがサポートされています。サーバーは通常、ネットワーク ログオンを使用してユーザーの資格情報を検証します。これは、より高速で、使用されるリソースも少ないためです。ただし、そのためにはユーザーに「Use this computer over a network」権限が必要です。一部のユーザー アカウントにはこの権限がない場合があります。また、Windows XP システムがローカル アカウントを持たないドメイン ユーザーを検証しようとする場合など、ユーザーがログオンできる必要がある一部の状況で機能しません。ユーザーが正しいドメイン ユーザー名およびパスワードを使用してログオンできない場合は、これを interactive に設定して、完全な Windows 対話型ログオンを実行してみてください。

デフォルトは network です。

[Passtoken] セクション

default=none | self | any

パストークン作成および使用権限を設定します。

• none は、パストークンを無効にします。
• self は、ユーザーごとのパストークンの作成および使用を許可します (たとえば、ユーザーはパストークンを使用して、ディレクトリ サーバーおよび管理ユーザー インターフェイスの間で資格情報を転送できます)。
• any は、ユーザーごとのパストークンおよび代理パストークンの作成を許可します。これはセキュリティ上のリスクになります。代理パストークンを偽造する方法を習得した攻撃者は、代理パストークンを受け入れるすべての機能にサインオンできます(現在、代理パストークンは ES で使用されていませんが、将来は、リージョン間のトランザクション ルーティングなどに使用される可能性があります)。

デフォルトは none です。2 回サインオンしなくても MFDS および ESMAC の間を移動できるようにしたい場合は self に設定します。

secret=string

ESM モジュールによって生成された ESF パストークンでメッセージ認証コード (MAC) のキーとして機能するシークレット データを設定します。これにより、このデータを知らない攻撃者はパストークンを捏造できなくなります。ここで設定した内容は、MFDS リポジトリを読み取ることができる人物にとっては秘密となりません。この値を設定する場合は、パストークンを交換するすべてのセキュリティ ドメイン (MFDS および ES リージョン) で同じ値に設定する必要があります。

secret file=path

パストークン MAC のシークレット データを含むファイルのパスを設定します。これは、構成でシークレット データを直接設定するよりも安全です。SecretFile が設定されている場合、Secret 指令は無視されます(どちらも設定されていない場合は、組み込みのデフォルトが使用されます)。

duration=seconds

パストークンの持続時間を設定します。トークンは、生成後、この期間だけ有効になり、それ以降は拒否されます。デフォルトは 60 (1 分) です。