osesm では、オペレーティング システムを使用してユーザー資格情報が認証されるため、構成パラメーターは多くありません。構成フィールドの詳細については、[Edit Security Manager] 画面の左側のペインで、[] オプションを選択してください。
osesm モジュールでは、[Configuration Information] 領域のテキストを編集して設定できる追加の構成もサポートされています。この領域のテキストはセクションで構成されており、各セクションは、角かっこで囲まれたタグで始まり、その後にname=value という形式の行が続きます。
ここでは、構成できるさまざまな構成セクション、および各セクションで設定できるオプションを示します。
- [Operation] セクション
-
domain=domain
ユーザーの資格情報を確認するためのデフォルトのドメインを設定します。デフォルトは「.」で、ユーザーをローカル システムにログオンさせることを意味します。
- type=network | interactive
使用するログオンの種類を設定します。Windows では、さまざまな種類のログオンがサポートされています。サーバーは通常、ネットワーク ログオンを使用してユーザーの資格情報を検証します。これは、より高速で、使用されるリソースも少ないためです。ただし、そのためにはユーザーに「Use this computer over a network」権限が必要です。一部のユーザー アカウントにはこの権限がない場合があります。ユーザーが正しいドメイン ユーザー名およびパスワードを使用してログオンできない場合は、これを interactive に設定して、完全な Windows 対話型ログオンを実行してみてください。
デフォルトは network です。
- [Passtoken] セクション
-
default=none | self | any
パストークン作成および使用権限を設定します。
- none は、パストークンを無効にします。
- self は、ユーザーごとのパストークンの作成および使用を許可します (たとえば、ユーザーはパストークンを使用して、ディレクトリ サーバーおよび管理ユーザー インターフェイスの間で資格情報を転送できます)。
- any は、ユーザーごとのパストークンおよび代理パストークンの作成を許可します。これはセキュリティ上のリスクになります。代理パストークンを偽造する方法を習得した攻撃者は、代理パストークンを受け入れるすべての機能にサインオンできます(現在、代理パストークンは ES で使用されていませんが、将来は、リージョン間のトランザクション ルーティングなどに使用される可能性があります)。
デフォルトは none です。2 回サインオンしなくても MFDS と ESMAC の間を移動できるようにする場合は self に設定します。
- secret=string
- ESM モジュールによって生成された ESF パストークンでメッセージ認証コード (MAC) のキーとして機能するシークレット データを設定します。これにより、このデータを知らない攻撃者はパストークンを捏造できなくなります。ここで設定した内容は、MFDS リポジトリを読み取ることができる人物にとっては秘密となりません。この値を設定する場合は、パストークンを交換するすべてのセキュリティ ドメイン (MFDS および ES リージョン) で同じ値に設定する必要があります。
- secret file=path
- パストークン MAC のシークレット データを含むファイルのパスを設定します。これは、構成でシークレット データを直接設定するよりも安全です。SecretFile が設定されている場合、Secret 指令は無視されます(どちらも設定されていない場合は、組み込みのデフォルトが使用されます)。
- duration=seconds
- パストークンの持続時間を設定します。トークンは、生成後、この期間だけ有効になり、それ以降は拒否されます。デフォルトは 60 (1 分) です。