PAM ESM モジュールは、OS ESM モジュールが Windows に提供する機能と同様の Linux 機能を提供しますが、使用するメカニズムが異なるため、構成要件も異なります。セキュリティ マネージャーが OS ESM モジュールを使用する場合、Micro Focus では次の事項を強化することを推奨します。
- [Module]
- これを pam_esm に、パスなし、およびビット、スレッド化、ファイル拡張子のサフィックスなしで設定します。ESF は、製品のインストール ディレクトリから ESM モジュールを自動的にロードします。ライブラリのロード パスは検索しません。ESF は、適切なビットおよびスレッド化を自動的に選択します。
- [Authorized user]
- PAM ESM モジュールは、このユーザーを Linux-PAM API に渡されるサービス名として使用します。PAM API は、サービス名を使用して PAM 構成ファイル (または、PAM が単一の構成ファイルを使用するように構成されている場合はスタンザ)
を識別します。構成ファイルは、呼び出し元に対する PAM の動作を決定するため、このファイルの情報は重要です。Micro Focus では、PAM ESM モジュール専用の PAM 構成ファイルを作成することをお勧めします。OS の更新で PAM 構成が予期せず変更されることを回避し、問題の判別を簡素化するために、可能な場合はデフォルト名「microfocus-es」の使用をお勧めします。既存の適切な
PAM 構成ファイルをコピーして、この構成を作成できます。
注: PAM を構成することは、本ドキュメントの範囲外です。
強化に関連する構成テキストの設定
PAM ESM モジュールには、強化に影響する構成オプションがいくつかあります。
- [Process groups]
- PAM ESM モジュールでユーザーの PAM グループを Enterprise Server に既知のグループに追加できるようにする場合は、このオプションを有効にします。組織がそれらのグループを参照するリソース アクセス ルールを作成する場合は、このオプションを有効にします。作成しない場合は無効にして、PAM ESM モジュールが実行する処理を減らし、PAM
ESM モジュールの攻撃対象領域を減らします。
- [Enable]
- この設定により、PAM ESM モジュールはパストークンを生成して受け入れることができます。MLDAP ESM モジュールとは異なり、PAM ESM モジュールはパストークンに対するユーザーごとの制御を提供しないため、可能であれば、PAM ESM
モジュールを使用してパストークンを提供しないでください。
注: パストークンをサポートする必要があるセキュリティ マネージャーは 1 つだけであり、パストークンが不要な場合はパストークンを完全に無効にできます。このオプションを any に設定し、代理パストークンを有効化することは、重大なセキュリティ上の脆弱性です。
- [SecretFile]
- ESF パストークンを使用する場合、MFDS や ESMAC などのサブシステム間で認証を渡すため、または DCAS のために、Micro Focus では、このオプションを使用することを強くお勧めします。「シークレット ファイル」には、少なくとも 128 ビット程度のエントロピーがあるものは何でも含めることができます。1 KB 程度の通常のテキストでも十分です。この設定のポイントは、パストークンを生成する組み込みのシークレット
(製品のコピーを持っている人なら誰でも利用可) も、構成内のシークレット (構成を表示できる人なら誰でも利用可) も使用しないということです。設定しないと、高度な技術をもつ攻撃者がパストークンを偽造する可能性があります。
注: この設定の名前の「Secret」と「File」の間にスペースはありません。
- [Trace settings]
- トレースは問題の診断に役立ちますが、ログ ファイルのコピーを取得できる攻撃者に機密データが公開される可能性があります。必要がない場合は、トレースを無効にします。