セキュリティ マネージャー が MLDAP ESM モジュールを使用する場合、Micro Focus では次の事項を強化することを推奨します。
- [Module]
- mldap_esm に、パスなしで設定します。Linux/UNIX インストールの場合は、ビット、スレッド化、またはファイル拡張子のサフィックスなしで設定します。ESF は、製品のインストール ディレクトリから ESM モジュールを自動的にロードします。ライブラリのロード
パスは検索しません。ESF は、適切なビットおよびスレッド化を自動的に選択します。
- [Connection Path]
- 最適なセキュリティを確保するには、LDAP サーバーで TLS を有効にし、このフィールドの値に ldaps: スキーマ プレフィックスを使用することで、LDAP-over-TLS を使用します。使用中の LDAP クライアント ライブラリ (「プロバイダー」とも呼ばれます) によっては、TLS をサポートするように LDAP クライアントを構成する必要があります。たとえば
OpenLDAP の場合、ldaprc などの構成ファイルを編集してルート証明書ファイルまたはパスを設定し、OpenLDAP クライアントがサーバーの証明書を検証できるようにしなければならないことがあります。
- [Authorized ID] / [Password]
- Micro Focus では、デフォルト資格情報は使用しないように強く推奨しています。セキュリティを向上させるために、Enterprise Server の使用に適切なレベルのアクセスを許可するアカウントを使用して LDAP サーバーを構成します。。通常、これはグループおよびリソース アクセス ルールへの読み取り専用アクセスであり、パスワードおよび最終ログイン時間などの属性の更新が必要な場合は、ユーザー
オブジェクトへの書き込みアクセスです。次に、これらのフィールドをそのアカウントを使用するように設定します。
- [Cache Limit] / [Cache TTL]
- Enterprise Server 7.0 以降では、MLDAP ESM モジュールは LDAP 検索の結果をキャッシュできます。これにより、パフォーマンスが大幅に向上しますが、セキュリティ上の決定が古い情報を使用して下される可能性が生じます。キャッシュが有効になっている場合は、セキュリティ情報の変更を認識する際の遅延が、組織の許容範囲を満たすように
TTL を設定します。
注: ESF 更新メカニズムは、MLDAP ESM モジュールのキャッシュをフラッシュし、この露出を減らします。
強化に関連する構成テキストの設定
MLDAP ESM モジュールは、構成テキスト領域で多数のオプションをサポートしています。これらの多くは、LDAP リポジトリの構成、または Enterprise Server のセキュリティに直接影響しないその他の側面に関連しています。ここでは、インストールを強化する際に役立ついくつかのオプションについて説明します。
- Set login count / Set login time
- モジュールがユーザー レコード内のこれらの属性を更新できるようにすると、管理者に役立つ情報を提供できます。login-count 属性は、アカウント ロックアウトを実装するためにも必要です。アカウント ロックアウトは多くの環境で役立つセキュリティ機能です。そのためには
Enterprise Server に LDAP 内のユーザー オブジェクトへの書き込みアクセス権を与える必要がありますが、これにはリスクがあります。そのトレードオフが組織にとって適切かどうかを判断する必要があります。
- Signon attempts
- Set login count が有効になっている場合、この設定を使用して、サインオン試行が指定回数失敗するとアカウントをロック アウトできます。これは一般的に推奨される方法です。ユーザー オブジェクトへの書き込みアクセス権が必要であることに注意してください。また、MLDAP
ESM モジュールは現在、一定期間経過後の自動ロック解除をサポートしていないことに注意してください。アカウントは、管理者が手動でロック解除する必要があります。
- Check TLQ first / Maximum qualifiers for initial check
- これらのオプションは、特にデータ セットのセキュリティ ルールの処理に影響します。組織がワイルドカードで始まるルールを使用している場合、パフォーマンスは向上しますが、予期しない動作が発生する可能性があり、強化の観点から望ましくありません。
- Bind
- Windows では、この設定に negotiate および es-user オプションを使用すると、特に LDAP-over-TLS を使用していない場合は、安全性がある程度向上します。これらのオプションは、他のプラットフォームでは現在サポートされていません。
- Password type
- この設定は、Micro Focus パスワード ハッシュが有効であり、およびユーザーまたは管理者がパスワードを設定した場合にのみ効果があります。現在、最適な選択は MF-A2 です。これは、最先端のパスワード検証機能のタイプであるソルト付き Argon2 ハッシュを使用します。これが現在の製品リリースでは標準です。
- Migrate passwords
- この設定を有効にすると便利なのは、お客様が Micro Focus パスワード ハッシュを使用し、MF-A2 タイプではないパスワード検証機能を使用する既存のユーザー オブジェクトをもつ場合です。この場合、Micro Focus では、この機能を有効にすることをお勧めします。
- Password settings
- [Password] セクション下のさまざまな設定は、パスワード処理に影響を与え、管理者がパスワードの使用を強化できるようになります。これらのほとんどは、MF-hash パスワードが使用されている場合にのみ適用されます。それ以外の場合、LDAP サーバーとオペレーティング
システムとの相互作用によって、パスワード強化ルールが決定されます。MF-hash パスワードに関して、Micro Focus では、強化のために次の設定をお勧めします。
- 組織の要件を満たすように Expiration を構成する。現在、多くのセキュリティ専門家は、パスワードの有効期限を一定にすることは逆効果だと考えています。
- History 設定を使用すると、パスワードの再利用を防止できます。
- Minimum length および Maximum length を使用して長さの要件を設定します。Enterprise Server は、ほとんどのインターフェイスで長いパスフレーズをサポートしますが、古い CICS アプリケーションなどの一部のアプリケーションは、サポートしない場合があることに注意してください。
- Required および Complexity 設定を使用すると、パスワードの複雑さを強制できます。多くの場合、組織がもつパスワードの具体的な要件は、Required 設定を使用して表現できます。そうでない場合、Micro Focus では、パスワードの最小長が 20 文字未満であれば、Complexity を 2 または 3 に設定することをお勧めします。
- SecretFile
- ESF パストークンを使用する場合、MFDS や ESCWA などのサブシステム間で認証を渡すため、または DCAS のために、Micro Focus では、このオプションを使用することを強くお勧めします。「シークレット ファイル」には、少なくとも 128 ビットのエントロピーがあるものは何でも含めることができます。1 KB 程度の通常のテキストでも十分です。この設定のポイントは、パストークンを生成する組み込みのシークレット
(製品のコピーを持っている人なら誰でも利用可) も、構成内のシークレット (構成を表示できる人なら誰でも利用可) も使用しないということです。設定しないと、高度な技術をもつ攻撃者がパストークンを偽造する可能性があります。
注: この設定の名前の「Secret」と「File」の間にスペースはありません。
- Trace settings
- トレースは問題の診断に役立ちますが、ログ ファイルのコピーを取得できる攻撃者に機密データが漏れる可能性があります。Micro Focus では、不要な場合はトレースを無効にすることをお勧めします。