MF Directory Server のセキュリティ

このページを使用して、Directory Server で使用するセキュリティ設定を定義します。

[Add]

使用可能な定義のプールからセキュリティ マネージャーを追加するには、これをクリックします。

[Authenticated client sessions]

リモート ユーザーが Directory Server への接続に使用できる主な方法は 2 つあります。

• Web ブラウザーで実行される Enterprise Server Administration を使用します。この方法は管理機能を対象としています。これらのクライアントは Web ブラウザー クライアントと呼ばれます。
• 基礎となる MLDAP API を (通常は、上位レベルのアプリケーション インターフェイスまたは製品から) 使用して、サービスのアドレスを検索したり、オブジェクトのプロパティを変更するなど、短期間の操作を実行します。これらのクライアントはプログラム クライアントと呼ばれます。

Directory Server が制限モードで実行されている場合、Web ブラウザー クライアントは Directory Server に対して自分自身を認証し、操作を実行してからログオフする必要があります(プログラム クライアントは常に制限モードで実行されます)。認証されてから削除されるまでの間、クライアントは、Directory Server プロセスによって内部的に維持される認証済みクライアント リストに入力されます。リストが不用意に大きくなりすぎるのを防いだり (すべてのユーザーまたはアプリケーションが認証後に正しくログオフするとは限らない)、セキュリティを維持したりするために、Directory Server は、Web ブラウザー クライアント セッションおよびプログラム クライアント セッションの両方を、構成可能なタイムアウト時間の後に削除します。

[Certificate]

カスタム サーバー証明書のパス。

[Certificate passphrase]

カスタム サーバー証明書のパスフレーズ (オプション)。

[Change]

使用可能な定義のプールからセキュリティ マネージャーを追加するには、これをクリックします。このボタンは、MFDS 内部セキュリティ マネージャーを使用している場合にのみ表示されます。MFDS 内部セキュリティは他のセキュリティ マネージャーとともに使用できないため、新しいマネージャーを追加すると MFDS 内部セキュリティは削除されます。

[Cipher suites]

使用する暗号スイートの優先順位を指定します。

暗号スイートの優先順位は、スペースで区切られた文字列のキーワードおよびキーワード修飾子の組み合わせを使用して形成されます。

!

除外。暗号スイートを永続的に除外し、以降に追加が試行されても無視します。

+

追加。コレクションの末尾に暗号スイートを追加します。

–

削除。既存のコレクションから暗号スイートを削除します。

デフォルトでは、次の暗号スイート リストが使用されます。

kEECDH+ECDSA kEECDH kEDH HIGH MEDIUM +3DES +SHA !RC4 !aNULL !eNULL !LOW !MD5 !EXP

使用している OpenSSL のバージョンでサポートされる暗号スイートを確認するには、コマンド プロンプトで次のように入力します。

openssl ciphers -v 'ALL:COMPLEMENTOFALL'

[Client program timeout]

プログラム クライアントの最後のアクティビティからクライアントが自動的にバインド解除されるまでの最大間隔を秒単位で指定します。

最小値は 60 秒 (1 分) です。値 -1 は、タイムアウト期間が無制限であることを示します。

デフォルト値は 6000 秒 (100 分) です。

[Description]

この列には、セキュリティ マネージャーの説明が表示されます。

[DH minimum group size]

Diffie-Hellman グループのモジュラス長のサイズをビット単位で指定します。

注: Micro Focus では、最小モジュラス サイズとして 2048 ビットを推奨しています。

[Key Exchange Cipher Groups]

使用する楕円曲線暗号 (ECC) 曲線コレクションを指定します。デフォルトでは、使用されるコレクションは次のとおりです。

secp521r1;secp384r1;prime256v1;secp256k1;secp224r1;secp224k1;prime192v1

[Enabled]

セキュリティ マネージャーが有効かどうかを示します。有効になっていない場合は、Directory Server およびそれを参照するエンタープライズ サーバーによって無視されます。

[Keyfile]

カスタム キー ファイルのパス。

[Keyfile passphrase]

カスタム キー ファイルのパスフレーズ。

[Module]

この列は、外部セキュリティ マネージャーへのアクセスまたはセキュリティ規則の実装に使用されるモジュールを示します。

[Name]

この列は、セキュリティ マネージャーを識別するために使用される名前を示します。

[Priority]

セキュリティ マネージャーが照会される順序における、セキュリティ マネージャーの位置を示します。

[Remove]

これをクリックすると、現在選択されている定義がこのリストから削除されます。

注: 定義は、このリストからのみ削除され、使用可能な定義のプールからは削除されません。

[Restrict user access]

このチェックボックスをオンにすると、Directory Server へのすべての管理アクセスがセキュリティ マネージャー優先度リストのエントリによって認証され、承認されます。

[Secure Port]

特定のセキュア ポートが指定されていない場合、SSL 接続は、MF Directory Server プロセスが再起動されるたびに動的に割り当てられるポートを使用します。ファイアウォール設定を構成する場合は、既知の固定ポートを使用すると便利です。

[Security Manager List]

これは、MF Directory Server がセキュリティ クエリを実行するために使用できるセキュリティ マネージャー (使用可能なプールから取得) のリストです。

注: セキュリティ マネージャーはリストに表示されている順序で照会されます。[Verify against all Security Managers] チェックボックスがオンになっていない場合、確答で応答するリスト内の最初のマネージャーによって、セキュリティ クエリの結果が決定されます。詳細については、[Verify against all Security Managers] の説明を参照してください。

上下の矢印を使用して、選択したエントリの位置を変更します。

[Select]

これを使用して、削除またはリスト内の別の位置に移動するセキュリティ マネージャーを選択します。

[TLS honor server cipher list]

デフォルトでは、[TLS honor server cipher list] がオンになっています。これにより、優先度順に指定したプロトコルおよび暗号スイートがクライアントで使用されます。

注: [TLS protocols] および [Cipher suites] のリストが指定されていない場合は、デフォルトの設定が使用されます。詳細については、「TLS プロトコル リストの構成」および「暗号スイート リストの構成」を参照してください。

[TLS protocols]

使用する TLS プロトコルのリストを優先する順に指定します。

有効なプロトコルは、SSL2、SSL3、TLS1、TLS1.1、TLS1.2、TLS1.3、および TLS1.4 です。TLS1.4 は、将来のバージョンのサポート用のプレースホルダーです。デフォルトでは、TLS プロトコルのみが有効になります。指定した各プロトコルの前に次のいずれかの演算子を付けます。

!

除外。プロトコルを永続的に除外し、以降に追加が試行されても無視します。

+

追加。既存のコレクションにプロトコルを追加します。

–

削除。既存のコレクションからプロトコルを削除します。

注: 特別なオプションである ALL を使用すると、サポートされているすべてのプロトコルを指定できます。-ALL を使用してデフォルトのオプションのリストを空にし、その後に必要な新しいオプションを指定できます。

たとえば、TLS1.1 および TLS1.2 だけを使用するには次のように入力します。

-ALL+TLS1.1+TLS1.2

[Use all groups]

承認を要求するユーザーに対してそのユーザーが属するすべてのグループの権限を付与する場合にこれをオンにします。

ユーザーの資格情報の検証 (認証) を要求した最初のセキュリティ API 呼び出しで指定されたグループの権限のみをユーザーに付与する場合は、これをオフにします。VERIFY 呼び出しでグループが指定されていない場合は、デフォルト グループが使用されます。

[Use custom server ID certificate]

これをオフにすると、製品にインストールされているデフォルトの DemoCA ルート証明書、サーバー証明書、キー ファイル、パスフレーズが使用されます。本番環境では、デフォルトの証明書を使用せずに独自の証明書を指定することを推奨します。また、MF Directory Server プロセスがルート証明書のパスを取得できるように、MF_ROOT_CERT 環境変数を設定する必要があります。

[Update when external Security Manager properties change]

使用されている外部セキュリティ マネージャーの変更を反映して構成を更新するにはこれをオンにします。

[Use default ES Security Manager List]

以下の [Security Manager List] ではなく、Directory Server のデフォルト ES セキュリティ マネージャー リストを使用する場合は、これをオンにします。デフォルト ES セキュリティの設定を定義するには、左側のメニューで [Security] をクリックし、[Security] > [Default ES Security] をクリックします。

[Use encrypted connections]

Enterprise Server Administration を起動して、SSL を使用するために承認されたブラウザー接続が要求されるようにするには、これを選択します。状態が現在のアクティブな選択から変更された場合、新しい設定を使用するには MF Directory Server プロセスを再起動する必要があります。暗号化された接続が選択されている場合は、管理アクセスも制限されている必要があります。

[Web browser timeout]

Web ブラウザー クライアントの最後のアクティビティ (ブラウザーの更新など) からクライアントが自動的にログオフされるまでの最大間隔を秒単位で指定します。

最小値は 60 秒 (1 分) です。値 -1 は、タイムアウト期間が無制限であることを示します。この値は控えめに使用することをお勧めします。できるだけ早く有限期間にリセットしてください。これは、Directory Server が無限の Web クライアント タイムアウトで実行されている場合、認証されていないユーザーが無人マシンを使用してシステムにアクセスする可能性が高くなるためです。ログオフしていないクライアントで Directory Server が過負荷になる傾向もあります。

デフォルト値は 300 秒 (5 分) です。