OS ESM モジュールでは、[Configuration Information] 領域のテキストを編集して設定できる追加の構成もサポートされています。この領域のテキストはセクションで構成されており、各セクションは、角かっこで囲まれた「タグ」で始まり、その後に name=value という形式の行が続きます。
ここでは、さまざまな構成セクション、および各セクションで設定できるオプションを示します。
[Operation] セクション
- domain=domain
- ユーザーの資格情報を確認するためのデフォルトのドメインを設定します。デフォルトは「.」で、ユーザーをローカル システムにログオンさせることを意味します。
- type=network | interactive
- 使用するログオンの種類を設定します。Windows では、さまざまな種類のログオンがサポートされています。サーバーは通常、ネットワーク ログオンを使用してユーザーの資格情報を検証します。これは、より高速で、使用されるリソースも少ないためです。ただし、そのためにはユーザーに「Use this computer over a network」権限が必要です。一部のユーザー アカウントにはこの権限がない場合があります。また、Windows システムがローカル アカウントを持たないドメイン ユーザーを検証しようとする場合など、ユーザーがログオンできる必要がある一部の状況で機能しません。ユーザーが正しいドメイン ユーザー名およびパスワードを使用してログオンできない場合は、これを interactive に設定して、完全な Windows 対話型ログオンを実行してみてください。
デフォルトは network です。
[Passtoken] セクション
- enable=none | self | any
- パストークン作成および使用権限を設定します。
- none は、パストークンを無効にします。
- self は、ユーザーごとのパストークンの作成および使用を許可します (たとえば、ユーザーはパストークンを使用して、MFDS および ESMAC の間で資格情報を転送できます)。
- any は、ユーザーごとのパストークンおよび代理パストークンの作成を許可します。これはセキュリティ上のリスクになります。代理パストークンを偽造する方法を習得した攻撃者は、代理パストークンを受け入れるすべての機能にサインオンできます(現在、代理パストークンは Enterprise Server で使用されていませんが、将来は、リージョン間のトランザクション ルーティングなどに使用される可能性があります)。
デフォルトは none です。2 回サインオンしなくても MFDS と ESMAC の間を移動できるようにする場合は self に設定します。
- secret=string
- ESM モジュールによって生成された ESF パストークンでメッセージ認証コード (MAC) のキーとして機能するシークレット データを設定します。これにより、このデータを知らない攻撃者はパストークンを捏造できなくなります。ここで設定した内容は、MFDS リポジトリを読み取ることができる人物にとっては秘密となりません。この値を設定する場合は、パストークンを交換するすべてのセキュリティ ドメイン (MFDS および Enterprise Server リージョン) で同じ値に設定する必要があります。
- secret file=path
- パストークン MAC のシークレット データを含むファイルのパスを設定します。これは、構成でシークレット データを直接設定するよりも安全です。SecretFile が設定されている場合、Secret 指令は無視されます(どちらも設定されていない場合は、組み込みのデフォルトが使用されます)。
- duration=seconds
- パストークンの持続時間を設定します。トークンは、生成後、この期間だけ有効になり、それ以降は拒否されます。デフォルトは 60 (1 分) です。