セキュリティ保護されたiMonitor操作の実現

iMonitor環境へのアクセスをセキュリティ保護するには、次の保護手順を実行します。

1. ファイアウォールを使用してVPNアクセスを準備します。これは、Novell iManagerおよび、アクセス制限が必要な他のすべてのWebベースのサービスの場合も同様です。
2. ファイアウォールが設置されているかどうかに関係なく、アクセスの種類を制限することによって、iMonitorはさらにDoS(Denial of Service)攻撃から保護されます。

   iMonitorはURL要求を経由して受け取るデータを十分に確認しますが、あらゆる不正な入力を拒否できるとは保証できません。無効なURLを通じたDoS攻撃の危険を減らすため、iMonitorの環境設定ファイルを通じて3つのレベルのアクセスがLockMask:オプションを使用して制御されます。

   アクセスレベル	説明
   0	iMonitorのURL処理において事前の認証は不要です。この場合、［Public］識別子のeDirectory権利がすべての要求に適用され、iMonitorが表示する情報は［Public］ユーザの権利に限定されます。ただし、iMonitorにURLを送る際に認証が不要であるため、iMonitorは、不正なURLの送信によるDoS攻撃を受けやすくなる可能性があります。
   1(デフォルト)	iMonitorがURLを処理する前に、eDirectory識別子としての認証が必要です。この場合、その識別子のeDirectory権利はすべての要求に適用されるため、eDirectory権利によって制限を受けます。DoS攻撃を受ける危険性はレベル0と同様ですが、DoS攻撃は実際にサーバに認証を受けたものでないと行うことができないことが異なります。認証が正常に実行されるまでは、すべてのiMonitorのURL要求への返答は［ログイン］ダイアログボックスで行われます。したがってこの段階では、設定された正当性を持たないユーザによる攻撃を通さないようにする必要があります。
   2	iMonitorがURLを処理する前に、iMonitorが認証しているサーバ上のスーパバイザに相当するeDirectory識別子としての認証が必要です。DoS攻撃を受ける危険性はレベル1と同様ですが、DoS攻撃を行うには実際にサーバのスーパバイザとして認証される必要があります。認証が正常に実行されるまでは、すべてのiMonitorのURL要求への返答は［ログイン］ダイアログボックスで行われます。したがってこの状態に設定されているときには、iMonitorは認証されていないユーザおよびスーパバイザとして認証されていないユーザからの攻撃を通さないようにする必要があります。

   レベル1はデフォルトです。多くの管理者はツリー内のすべてのサーバにアクセスできるスーパバイザ権を持っていませんが、管理しているサーバと通信するサーバ上のiMonitorサービスを使用する必要が生じる可能性があるためです。

   注:  iMonitorにはRepair、トレースなど複数の機能があり、これらの機能にアクセスするには、LockMaskの設定に関係なくスーパバイザに相当する権利が必要です。