MFDS、ES デフォルト セキュリティ、または特定の Enterprise Server インスタンスの各セキュリティ構成では、[Configuration Information] フィールドのテキストを変更することで設定できる追加の構成がサポートされます。このフィールドのテキストはセクションで構成されており、各セクションは、角かっこで囲まれたタグのラベルで始まり、その後に名前と値のペアを含む行が続きます。
これらの設定は、セキュリティ マネージャーではなく、セキュリティ構成の [Configuration Information] フィールドに追加できます。セキュリティ マネージャーにもカスタム構成設定がありますが、それらのパラメーターは外部セキュリティ マネージャー モジュールを使用して定義されます。詳細については、該当する ESM モジュールのドキュメントを参照してください。
構成セクションとそれらの各セクションで設定できるオプションを次に示します。
[Audit] セクション
- category 3 events=yes | no
- このオプションを設定すると、SAF の Auth および XAuth の呼び出しに対する監査カテゴリ 6 のイベントが無効になり、Verify、Auth、および XAuth の呼び出しに対するカテゴリ 3 のイベントが有効になります。このオプションは下位互換性を確保するために提供されています。
デフォルトでは no に設定されています。
- password change success = yes | no
- このオプションを設定すると、パスワードの変更が成功したときの追加の監査イベントが有効になります。
注: パスワードの変更の拒否 (および関連するエラー) は常に監査対象になります。詳細については、「監査イベント コード」の監査イベント 6 2 を参照してください。
デフォルトでは no に設定されています。
[Admin] セクション
- allow-list=yes | no
- yes に設定すると、Admin LIST 要求 (ユーザー、グループ、またはリソース アクセス規則のリストなど) が追加のアクセス チェックなしですべてのユーザーに許可されます。
[Cache] セクション
- flush on change=yes | no
- yes に設定すると、同じユーザーに対する要求で別の結果が生成された場合に、すでにキャッシュされている Verify 結果がキャッシュから削除されます。詳細については、「Flush on Change の使用」を参照してください。これは Verify キャッシュが無効の場合は意味がありません。
- report interval=seconds
- report interval オプションを設定することで、報告を行う頻度を構成できます。この値は整数で、報告間のおおよその時間 (秒単位) を表します。これを 0 に設定すると、報告機能が無効になります。
- requests=list of request types
- キャッシュ可能な ESF 要求のタイプを指定します。これは、カンマまたはスペースで区切られた、トークンのリストに設定されます。使用可能なすべてのトークンのリストについては、「要求」を参照してください。
詳細については、「ESF キャッシュ」の章を参照してください。
[Operation] セクション
- failover retry interval=seconds | never
-
冗長モードの動作を変更します。冗長モードが有効になっていない場合は無視されます。詳細については、以下の redundant 設定を参照してください。デフォルトでは、冗長モードが有効になっている場合、通常であれば呼び出しが行われるすべての要求において、失敗したセキュリティ
マネージャーについても処理が再試行されます。そのため、失敗したマネージャーからの応答に時間がかかり、パフォーマンスの問題の原因になることがあります。
このオプションを正の数値に設定すると、失敗してからその秒数が経過するまでは、失敗したセキュリティ マネージャーについて処理が再試行されなくなります。
0 または「never」に設定すると、失敗したセキュリティ マネージャーは ESF が再初期化されるかプロセスが再起動されるまで無効になります。
- redundant=yes | no
- yes に設定すると、複数の同等のセキュリティ マネージャーを構成し、少なくとも 1 つのセキュリティ マネージャーが使用可能である限りは処理を続行させることができます。デフォルトでは、初期化またはセキュリティ要求の処理中にセキュリティ マネージャーからエラーが返されると要求は失敗します。冗長モードが有効になっている場合は、使用可能なセキュリティ
マネージャーが 1 つでもあれば初期化および要求の処理を実行できます。
デフォルトでは、redundant は no に設定されています。
- update interval=seconds
-
正の数値に設定すると、ESF による管理更新通知のチェックがその秒数は間隔をあけて実行されるようになります。更新通知は、セキュリティ情報が変更されたことを ESF に通知し、キャッシュされているデータを破棄して、ユーザーおよびグループに関する格納されている情報を更新する必要があることを通知するために使用されます。このチェックは負荷が高い状況ではパフォーマンスに影響することがあり、そのような場合は、更新間隔を設定することでパフォーマンスが向上する可能性があります。ただし、セキュリティ情報の変更が
ESF で認識されるまでの時間が長くなることに注意してください。
- user exit=module-name
- ユーザー出口モジュールを構成します。詳細については、「ESF ユーザー出口」を参照してください。
[Passtoken] セクション
- allow=none | generate | signon | both | yes
- バストークンを無効にする場合は none、パストークンの生成のみ有効にして使用は有効にしない場合は generate、パストークンによるサインオンのみ有効にして生成は有効にしない場合は signon、生成およびサインオンの両方を有効にする場合は both を指定します。yes は both と同じ意味になります。
詳細については、「ESF Manager のパストークン オプション」を参照してください。