OS ESM モジュールを使用するセキュリティ マネージャの場合、Micro Focus では、次の強化している構成設定を適用することをお勧めします。
- [Module]
- パスなしで osesm に設定します。ESF は、製品のインストール ディレクトリから ESM モジュールを自動的にロードします。ライブラリのロード パスは検索しません。
強化に関連する構成テキストの設定
OS ESM モジュールは、少数の [Configuration Information] フィールド設定のみを提供します。次のいくつかの設定が強化に関連します。
- [Enable] / [Default]
- これらの名前は同義語です。同じ設定を制御します。この設定により、OS ESM モジュールはパストークンを生成して受け入れることができます。MLDAP ESM モジュールとは異なり、OS ESM モジュールはパストークンに対するユーザーごとの制御を提供しないため、可能であれば、OS
ESM モジュールを使用してパストークンを提供しないでください。
注: パストークンをサポートする必要があるセキュリティ マネージャーは 1 つだけであり、パストークンが不要な場合は組織でパストークンを完全に無効にできます。このオプションを any に設定し、代理パストークンを有効化することは、重大なセキュリティ上の脆弱性です。
- [SecretFile]
- ESF パストークンを使用する場合、MFDS や ESCWA などのサブシステム間で認証を渡すため、または DCAS のために、Micro Focus では、このオプションを使用することを強くお勧めします。「シークレット ファイル」には、少なくとも 128 ビットのエントロピーがあるものは何でも含めることができます。 1 KB の通常のテキストでも十分です。この設定のポイントは、パストークンを生成する組み込みのシークレット
(製品のコピーを持っている人なら誰でも利用可) も、構成内のシークレット (構成を表示できる人なら誰でも利用可) も使用しないということです。設定しないと、高度な技術をもつ攻撃者がパストークンを偽造する可能性があります。
注: この設定の名前の「Secret」と「File」の間にスペースはありません。
- [Trace settings]
- トレースは問題の診断に役立ちますが、ログ ファイルのコピーを取得できる攻撃者に機密データが公開される可能性があります。必要がない場合は、トレースを無効にします。