このページを使用して、Directory Server で使用するセキュリティ設定を定義します。
使用可能な定義のプールからセキュリティ マネージャーを追加するには、これをクリックします。
リモート ユーザーが Directory Server への接続に使用できる主な方法は 2 つあります。
Directory Server が制限モードで実行されている場合、Web ブラウザー クライアントは Directory Server に対して自分自身を認証し、操作を実行してからログオフする必要があります(プログラム クライアントは常に制限モードで実行されます)。認証されてから削除されるまでの間、クライアントは、Directory Server プロセスによって内部的に維持される認証済みクライアント リストに入力されます。リストが不用意に大きくなりすぎるのを防いだり (すべてのユーザーまたはアプリケーションが認証後に正しくログオフするとは限らない)、セキュリティを維持したりするために、Directory Server は、Web ブラウザー クライアント セッションおよびプログラム クライアント セッションの両方を、構成可能なタイムアウト時間の後に削除します。
カスタム サーバー証明書のパスフレーズ (オプション)。
使用可能な定義のプールからセキュリティ マネージャーを追加するには、これをクリックします。このボタンは、MFDS 内部セキュリティ マネージャーを使用している場合にのみ表示されます。MFDS 内部セキュリティは他のセキュリティ マネージャーとともに使用できないため、新しいマネージャーを追加すると MFDS 内部セキュリティは削除されます。
暗号スイートの優先順位は、スペースで区切られた文字列のキーワードおよびキーワード修飾子の組み合わせを使用して形成されます。
kEECDH+ECDSA kEECDH kEDH HIGH MEDIUM +3DES +SHA !RC4 !aNULL !eNULL !LOW !MD5 !EXP
プログラム クライアントの最後のアクティビティからクライアントが自動的にバインド解除されるまでの最大間隔を秒単位で指定します。
最小値は 60 秒 (1 分) です。値 -1 は、タイムアウト期間が無制限であることを示します。
デフォルト値は 6000 秒 (100 分) です。
この列には、セキュリティ マネージャーの説明が表示されます。
secp521r1;secp384r1;prime256v1;secp256k1;secp224r1;secp224k1;prime192v1
セキュリティ マネージャーが有効かどうかを示します。有効になっていない場合は、Directory Server およびそれを参照するエンタープライズ サーバーによって無視されます。
カスタム キー ファイルのパス。
カスタム キー ファイルのパスフレーズ。
この列は、外部セキュリティ マネージャーへのアクセスまたはセキュリティ規則の実装に使用されるモジュールを示します。
この列は、セキュリティ マネージャーを識別するために使用される名前を示します。
セキュリティ マネージャーが照会される順序における、セキュリティ マネージャーの位置を示します。
これをクリックすると、現在選択されている定義がこのリストから削除されます。
このチェックボックスをオンにすると、Directory Server へのすべての管理アクセスがセキュリティ マネージャー優先度リストのエントリによって認証され、承認されます。
特定のセキュア ポートが指定されていない場合、SSL 接続は、MF Directory Server プロセスが再起動されるたびに動的に割り当てられるポートを使用します。ファイアウォール設定を構成する場合は、既知の固定ポートを使用すると便利です。
これは、MF Directory Server がセキュリティ クエリを実行するために使用できるセキュリティ マネージャー (使用可能なプールから取得) のリストです。
これを使用して、削除またはリスト内の別の位置に移動するセキュリティ マネージャーを選択します。
承認を要求するユーザーに対してそのユーザーが属するすべてのグループの権限を付与する場合にこれをオンにします。
ユーザーの資格情報の検証 (認証) を要求した最初のセキュリティ API 呼び出しで指定されたグループの権限のみをユーザーに付与する場合は、これをオフにします。VERIFY 呼び出しでグループが指定されていない場合は、デフォルト グループが使用されます。
これをオフにすると、製品にインストールされているデフォルトの DemoCA ルート証明書、サーバー証明書、キー ファイル、パスフレーズが使用されます。本番環境では、デフォルトの証明書を使用せずに独自の証明書を指定することを推奨します。また、MF Directory Server プロセスがルート証明書のパスを取得できるように、MF_ROOT_CERT 環境変数を設定する必要があります。
以下の [Security Manager List] ではなく、Directory Server のデフォルト ES セキュリティ マネージャー リストを使用する場合は、これをオンにします。デフォルト ES セキュリティの設定を定義するには、左側のメニューで [Security] をクリックし、[Security] > [Default ES Security] をクリックします。
Enterprise Server Administration を起動して、SSL を使用するために承認されたブラウザー接続が要求されるようにするには、これを選択します。状態が現在のアクティブな選択から変更された場合、新しい設定を使用するには MF Directory Server プロセスを再起動する必要があります。暗号化された接続が選択されている場合は、管理アクセスも制限されている必要があります。
Web ブラウザー クライアントの最後のアクティビティ (ブラウザーの更新など) からクライアントが自動的にログオフされるまでの最大間隔を秒単位で指定します。
最小値は 60 秒 (1 分) です。値 -1 は、タイムアウト期間が無制限であることを示します。この値は控えめに使用することをお勧めします。できるだけ早く有限期間にリセットしてください。これは、Directory Server が無限の Web クライアント タイムアウトで実行されている場合、認証されていないユーザーが無人マシンを使用してシステムにアクセスする可能性が高くなるためです。ログオフしていないクライアントで Directory Server が過負荷になる傾向もあります。
デフォルト値は 300 秒 (5 分) です。
[Security Facility Configuration] のパラメーターは、MFDS が ESF を使用するように構成されている場合 (つまり、「MFDS 内部セキュリティ」以外のセキュリティ マネージャーを使用するように設定されている場合) にのみ、この画面で使用できます。それ以外の場合、この [MFDS Security] タブの画面に ESF セキュリティ構成オプション (キャッシュのオプションを含む) は表示されません。
不明なリソース (優先度リスト上のすべてのエントリが「不明」を返すリソース) へのアクセスをセキュリティ機能が許可するようにするには、これをオンにします。
このオプションは、何らかのリソースに対するアクセス制限のみを行う状況で使用してください。
不明なユーザーのログインを許可する場合に、これをオンにします。
エンタープライズ サーバーのセキュリティ機能がセキュリティ クエリの結果をキャッシュするために使用できる最大サイズをキロバイトで入力します。
セキュリティ マネージャーに詳細を要求することなく、キャッシュ内のエントリで要求を満たすことができる最大時間を秒単位で入力します。
エンタープライズ サーバーのセキュリティ機能に必要なその他の構成設定があれば指定します。
このチェックボックスをオンにすると、エンタープライズ サーバーでセキュリティ監査イベントが生成されます。これらのイベントは、監査機能によってキャプチャおよびログ記録できます。
セキュリティ マネージャーの優先度リストに含まれるすべてのエントリで各セキュリティ クエリを確認する場合は、これを設定します。
これが設定されていない場合は、許可、拒否、または失敗 (拒否と同等) の応答がいずれかのエントリから返されるまで、優先度リストに表示されている順序でエントリが照会されます。その後、この応答を使用して、実行されるアクションが決定されます。
このフィールドが設定されている場合、リスト上のすべてのエントリが照会され、いずれかから拒否または失敗が返されると、そのアクセス要求は拒否されます。拒否または失敗の応答がなく、リスト上のエントリの少なくとも 1 つが許可を応答として返す場合、要求は許可されます。
要求で指定されたリソースまたはユーザーに関するルールがセキュリティ マネージャーにない場合は、「不明」が応答として返されます。[Verify against all Security Managers] フィールドの設定に関係なく、優先度リスト上のすべてのエントリが「不明」で応答した場合、[Allow unknown resources] または [Allow unknown users] がオンになっていない限り、要求は拒否されます。
詳細については、製品ヘルプの「暗号スイート リストの構成」を参照してください。
暗号スイートの構成の詳細については、ここをクリックして OpenSSL のドキュメントを参照してください。