インストールによっては、eDirectoryサーバはファイアウォールによって保護されていますが、iManagerサーバは自宅や外出先からの管理を可能にするため、オープンな性質を持っています。iManagerへのアクセスは、ログイン画面の[ユーザ名]フィールド、[パスワード]フィールド、および[ツリー名]フィールドによって制御されています。そのようなインストール環境では、セキュリティを強化して、システムに関する情報が漏れないようにすべきです。
iManagerの標準の設定では、iManagerの認証中に無効なユーザ名とパスワードに関するeDirectoryメッセージが送信されます。これらのメッセージでは、潜在的なクラッカーに不用意に情報を漏えいしてしまう場合があります。これを防ぐために、iManager 2.7にはログインの失敗に関する具体的な理由を表示しない設定オプションが用意されています。このオプションを有効にすると、一般的なエラーメッセージに代わって次のエラーメッセージが表示されます。「ログインエラー。ユーザ名またはパスワードが無効です。」
無効なユーザ名(-601)
不正なパスワード(-669)
期限切れのパスワードまたは無効なアカウント(-220)
この設定を有効にするには、ビューを開き、>の順に選択します。タブで、を選択します。これにより、Authenticate.Form.HideLoginFailReason=trueがiManagerのconfig.xmlファイルに設定されます。
また、iManager 2.7は、[ユーザ名]フィールドのワイルドカードとして、アスタリスク(*)文字をサポートしていません。このため、許可されていないユーザが有効なユーザ名を検出することを防ぎます。さらに、ワイルドカード(*)だけを使用して連続的にログインを試みることでeDirectoryサーバに過負荷を与えるサービス拒否攻撃を防ぎます。eDirectoryは一致するすべてのユーザ名を検索して表示することになります。