ログイン属性の更新は無効にするが、不正侵入者は追跡する方法

This document (3479868) is provided subject to the disclaimer at the end of this document.

環境

Novell eDirectory 8.7.3 SP9 FTF2(全プラットフォーム向け)
Novell eDirectory 8.8 SP2(全プラットフォーム向け)

問題の状況

高い利用率、応答なし、および/またはクライアントタイムアウトは、認証サーバのビジー状態を示している可能性があります。これらの現象は、多くの場合、ユーザオブジェクトのログイン後、eDirectoryにより、それらのログイン属性が変更または更新された結果です。

 

それらのログイン属性には、次の項目が含まれます。

ログイン時間

ネットワークアドレス

最終ログイン時間

リビジョン

など  

 

ピーク時に何千ものログインが短時間で発生する場合は、eDirectoryがこれらの変更をデータベースに書き込む際、長いロック時間(応答なし)が生じることがあります。

 

(eDirectoryデータベースのロックを特定し、トラブルシュートする方法については、TID 3812871を参照してください。)

 

これらの現象がログイン属性の更新に関連しているかどうか検証するには、まず、iMonitorでユーザパーティションのエントリキャッシュを表示してください。変更キャッシュに、何百ものユーザオブジェクトがあり、それらの変更された値がログイン属性に関連する場合は、それが事実である可能性があります。

 

iMonitor (https://xxx.xxx.xxx.xxx:8030/nds)にログインしたら、［Agent Configuration(エージェント設定)］>［Partitions(パーティション)］の順に選択し、該当するパーティションの横の［Change Cache(キャッシュの変更)］リンクを選択します。

 

 

 

オブジェクトの［Entry Synchronization(エントリの同期)］リンクをクリックすると、どの属性が最近変更され、このエントリが変更キャッシュに追加される原因となったかが分かります。

 

 

次の画面には、変更キャッシュ内の属性(ログイン時間、ネットワークアドレス、リビジョン、modifiersName)が表示されています。これらの属性は、そのユーザのログイン属性の更新に関連しています。

 

 

これらの「ログイン更新」の変更は、最終的にデータベースに書き込まれるだけでなく、レプリカリング内の他のすべてのサーバにも同期される必要があり、それらのサーバもその変更を各自のデータベースに書き込む必要があります。

解決策

以前は、この動作を発生させないためには、単に、iMonitorを介してログイン更新を無効にしていました。その場合、更新するLogin Intruder Attempts属性に依存しているため、不正侵入者検出は機能しなくなるという欠点がありました。 

 

eDirectory 8.7.3.9FTF2およびeDirectory 8.8 SP2以上では、ログイン属性の更新を無効にしても、不正侵入者を検出し、認証に、ある一定回数失敗するとアカウントをロックする機能を保持できるようになりました。ただし、以降の変更をすべての認証サーバで無効にする必要があります。手順は次のとおりです。

 

1. iMonitorにログインし-て、画面左上隅のiMonitorロゴをクリックして、Advanced Mode(詳細モード)をオンにします。

 

 

 

 

 

2. 次に、［Agent Configuration(エージェント設定)］>［Permanent Settings(永久設定)］>［変更］の順に移動します。

 

ドロップダウンセレクタを使用して、［Disable Attribute Update(属性更新の無効化)］を選択し、値を「1」に変更します。

 

 

 

 

4. ［保存］を選択し、このサーバの設定を完了します。上記の手順は、必ず、すべての主要認証サーバに対して実行してください。

注:その他のフィールドは、この永久設定には適用されないので、デフォルトのままにしておきます。

Local Only:チェックマークなし - 設定が擬似サーバとncpサーバオブジェクトの両方に書き込まれます。

Preserve TTL:チェックマークなし - TTLフィールドで指定した時間に達しても、この設定は期限切れになりません。

追加情報

NMAS情報:

上記の手順により、ユーザオブジェクトでNDSパスワードを使用する場合、ユーザオブジェクトでのログイン更新が起こらなくなりますが、不正侵入者検知は維持されます。NMASも、ユニバーサルパスワードが有効な場合は、これらの属性を更新します。

NMAS 3.2は、eDirectory 8.8.2、OES 2、NetWare 6.5 SP7、およびSecurity Services 2.0.5とともに出荷されるので、NMAS 3.2の使用時も、nmas LoginInfo (num)コマンドの実行により、この属性更新をオフにできます。

(num)の値は、次のようになります。

0またはoff = ログイン属性をまったく更新しません

1 = 侵入検知に必要な属性のみを更新します

2 = 使用されていないユーザパスワードポリシー属性以外の、すべてのログイン属性を更新します

3またはon = すべてのログイン属性を更新します

次に、各プラットフォームで、ログイン更新動作を実装する手順を示します。

 

NetWare:  autoexec.ncfの末尾近くでコマンドを追加できます。コマンドは、NetWareコンソールでも実行できます。

 

Windows:NMASが起動すると、nmas.cfgファイル内のコマンドが処理されます。nmas.cfgファイルは、dibファイルと同じディレクトリ(通常、c:/novell/nds/dibfiles)に存在する必要があります。このコマンドは、
nmas.dlmを選択して［Startup Parameters(起動パラメータ)］フィールドにコマンドを入力して［Configure(設定)］をクリックして、Novell? eDirectoryTM Servicesコンソールからも実行できます。

Linux/Solaris/AIX/HPUX:

NMASが起動すると、nmas.configファイル内のコマンドが処理されます。nmas.configファイルは、dibディレクトリと同じディレクトリに存在する必要があります。たとえば、dibディレクトリパスが"/var/opt/novell/eDirectory/data/dib"の場合、nmas.configファイルパスは"/var/opt/novell/eDirectory/data/nmas.config"となります。このファイルのファイル許可は、644以上に設定してください。NMASはndsdが使用するuidと同じuidを使用するため、所有者はルートになります。ルート以外がインストールした場合は除きます。このため、もちろん、所有者はndsdを実行しているのと同じユーザ/uidになります。

Change Log

5/28/09 - bberger - スクリーンショットの更新。元のスクリーンショットは、大き過ぎ、個人的なブックマークを含んでいました。 

Disclaimer

この情報は、米国Novell, Inc.およびノベル株式会社の内外から発生したものです。本文書の内容または本文書を使用した結果について、いかなる保証、表明または約束も行っていません。また、本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。

本文書に記載されている会社名、製品名はそれぞれ各社の商品、商標または登録商標です。