セキュリティーの概要

パスワードは機密情報です。このため、Identity Synchronization for Windows は、同期されるディレクトリにアクセスするためのユーザーと管理のパスワード資格が危険にさらされないように、セキュリティー上の予防策を講じます。

ここでは、次のセキュリティー対策について説明します。

• 「設定パスワードの指定」

• 「SSL の使用」

• 「生成された 3DES キー」

• 「SSL および 3DES キーでの保護の概要」

• 「Message Queue のアクセス制御」

• 「ディレクトリ資格」

• 「持続的記憶領域保護の概要」

このセキュリティー対策は、次のイベントの発生を防ぐことを目的としています。

• 盗聴者によるネットワーク上での平文パスワードの傍受

• ユーザーの平文パスワードの傍受と同様、ユーザーのパスワードを選択した値に変更するための攻撃者によるコネクタへの操作

• Identity Synchronization for Windows の特権が必要なコンポーネントへの攻撃者によるアクセス

• 特権のないユーザーによるディスクに格納されたファイルからのパスワードの回復

• 侵入者によるシステムのコンピュータの 1 つから取り外されたハードディスクからのパスワードの回復これは同期されたパスワードや、ディレクトリへのアクセスに使用するシステムパスワードの可能性があります。

設定パスワードの指定

製品の設定ディレクトリに格納されている間やネットワーク上で転送される間に機密情報を保護するために、Identity Synchronization for Windows は設定パスワードを使用します。管理者はコアのインストール時に設定パスワードを指定します。コンソールを開いたり、Identity Synchronization for Windows インストールプログラムを実行する場合にこのパスワードを指定します。

---

注 –

システムマネージャーはコネクタに渡す前に設定パスワードにアクセスする必要があります。このため、システムマネージャーはこのパスワードを初期設定ファイルに格納します。

ファイルシステムのアクセス制御は、非特権ユーザーがシステムマネージャーの初期設定ファイルにアクセスできないようにします。Identity Synchronization for Windows インストールプログラムは、このパスワードにパスワードポリシーを強制しません。

設定パスワードの選択時にセキュリティーを強化するには、「セキュリティーの強化」を参照してください。

---

SSL の使用

コンポーネントが LDAP を使用するあらゆる場所で LDAP over SSL を使用するよう Identity Synchronization for Windows を設定できます。Message Queue へのアクセスはすべて SSL で保護されます。

Directory Server から Active Directory に同期するときは、Active Directory コネクタと Active Directory 間で SSL を使用します。

信頼できる SSL 証明書の要求

デフォルトでは、SSL を使用するよう設定されたコネクタは、信頼できない証明書、期限切れの証明書、および無効な証明書も含めて、Directory Server サーバーや Active Directory サーバーが返すあらゆる SSL 証明書を受け入れます。コネクタとサーバー間のネットワークトラフィックはすべて暗号化されますが、コネクタは本当の Active Directory または Directory Server に偽装したサーバーを検出しません。

コネクタが信頼できる証明書のみを受け入れるようにするには、コンソールを使用して「ディレクトリソースの設定」ウィザードの「拡張セキュリティーオプションの指定」パネルにある「信頼できる SSL の証明書を要求」オプションを有効にします (「Active Directory ソースの作成」を参照)。このオプションを有効にしたあと、idsync certinfo で報告された適切な CA 証明書をコネクタの証明書データベースに追加します。

生成された 3DES キー

設定パスワードから生成された 3DES キーは、製品の設定ディレクトリですべての機密情報をセキュリティー保護するために使用されます。ログメッセージを除いて、Message Queue に入れられるメッセージはすべてトピックごとの 3DES キーで暗号化されます。コネクタとサブコンポーネント間でやり取りされるメッセージは、セッションごとの 3DES キーで暗号化されます。ディレクトリサーバープラグインは、3DES キーでユーザーパスワードの変更をすべて暗号化します。

SSL および 3DES キーでの保護の概要

「SSL および 3DES キーでの保護の概要」では、Identity Synchronization for Windows がネットワーク上でやり取りされる機密情報を保護する方法をまとめています。

表 10–1 ネットワークセキュリティーを使用した機密情報の保護

使用する保護方法	次の情報タイプ間
LDAP over SSL (オプション)	ディレクトリサーバーコネクタと Directory Server 、Active Directory コネクタと Active Directory ディレクトリサーバープラグインと Active Directory コマンド行インタフェースと製品の設定ディレクトリ コンソールと製品の設定ディレクトリ コンソールと Active Directory グローバルカタログ コンソールと Active Directory ドメインまたは同期される Directory Server Message Queue ブローカと製品の設定ディレクトリ コネクタ、システムマネージャー、セントラルロガー、コマンド行インタフェース、およびコンソールは LDAPS を介して Message Queue を認証できます。 インストーラと設定 Directory Server インストーラと Active Directory インストーラと同期される Directory Server
3DES キーでの暗号化 (デフォルト)	ディレクトリサーバーコネクタとディレクトリサーバープラグイン (すべてのデータ) Windows NT コネクタ、Windows NT パスワードフィルタ DLL 、Windows NT 変更検出機能 (すべてのデータ) 製品の設定ディレクトリにあるすべての機密情報 コネクタとサブコンポーネント間でやり取りされるすべてのメッセージ (セッションごとの 3DES キーで暗号化) Message Queue でやり取りされるログ以外のすべてのメッセージ

「SSL および 3DES キーでの保護の概要」には、この節で説明するセキュリティー機能の概要が記載されています。

図 10–1 Identity Synchronization for Windows のセキュリティー概要

Message Queue のアクセス制御

Identity Synchronization for Windows は Message Queue のアクセス制御を使用して、各コネクタが受信するメッセージを信頼できるよう、メッセージのサブスクリプションとパブリッシングへの承認されていないアクセスを防止します。

Message Queue ブローカにアクセスするために、Message Queue とコネクタのみが認識する固有のユーザー名とパスワードが提供されます。Message Queue でやり取りされる各メッセージは、トピックごとに 3DES キーで暗号化され、メッセージの内容を保護し、トピックキーを知らない部外者が重要なメッセージを送信できないようにします。これらの対策によって、(a) 攻撃者が偽造したパスワード同期メッセージをコネクタに送信し、(b) 攻撃者がコネクタを偽装して、実際のパスワードの更新を受信しないようにします。

---

注 –

デフォルトでは、コネクタやシステムマネージャーのような Message Queue のクライアントは Message Queue ブローカが返すあらゆる SSL 証明書を受け入れます。Message Queue の証明書の検証とその他の Message Queue 関連のセキュリティーの問題の詳細については、「セキュリティーの強化」を参照してください。

---

ディレクトリ資格

特権資格は、Active Directory と、同期される Directory Server でパスワードを変更するためにコネクタに必要です。これらの特権資格は、製品の設定ディレクトリに格納される前に暗号化されます。

持続的記憶領域保護の概要

「持続的記憶領域保護の概要」では、Identity Synchronization for Windows がディスクに格納された機密情報を保護する方法をまとめています。

表 10–2 持続的記憶領域保護

持続的記憶領域	機密情報	保護
設定 Directory Server に格納された製品の設定	ディレクトリにアクセスするための資格と Message Queue ごとのトピック 3DES キーが製品の設定ディレクトリに格納されます。	製品の設定ディレクトリに格納された機密情報はすべて設定パスワードで生成された 3DES キーで暗号化されます。製品の設定ディレクトリをさらに保護するための推奨事項については、「セキュリティーの強化」を参照してください。
Directory Server の旧バージョン形式の変更ログ	ディレクトリサーバープラグインは、Directory Server の旧バージョン形式の変更ログに書き込む前にパスワードの変更を取得して暗号化します。	ディレクトリサーバープラグインは、ユーザーパスワードの変更をすべて各配備に固有の 3DES キーで暗号化します。
Message Queue ブローカの持続的記憶領域	Message Queue ブローカは、全コネクタ間でやり取りされるパスワード同期メッセージを格納します。	ログメッセージを除いて、持続メッセージはすべてトピックごとの 3DES キーで暗号化されます。
Message Queue ブローカのディレクトリ資格	Message Queue ブローカは、製品の設定ディレクトリに対してユーザーを認証します。これは、コアインストール中に提供されたディレクトリ管理者のユーザー名とパスワードを使用して設定ディレクトリに接続します。	ディレクトリパスワードは、ファイルシステムアクセス制御によって保護されるパスファイルに格納されます。
システムマネージャーのブートファイル	システムマネージャーのブートファイルには、設定にアクセスするための情報が含まれています。これには、設定パスワードとコアインストール中に提供されたディレクトリ管理者のユーザー名とパスワードが含まれます。	このファイルはファイルシステムアクセス制御によって保護されます。
コネクタとセントラルロガーのブートファイル	各コネクタとセントラルロガーには Message Queue にアクセスするための資格を持った初期設定ファイルがあります。	これらのファイルはファイルシステムアクセス制御によって保護されます。
ディレクトリサーバープラグインのブート設定	cn=config に格納されるプラグインの設定には、コネクタに接続するための資格が含まれます。	cn=config サブツリーは、ACI によって保護されます。このツリーをミラー化する dse.ldif ファイルはファイルシステムアクセス制御によって保護されます。
NT パスワードフィルタ DLL および NT 変更検出機能のブート設定	Windows レジストリに格納される NT サブコンポーネントの設定には、コネクタに接続するための資格が含まれます。	PDC レジストリへのアクセスがセキュリティー保護されていない場合、これらのレジストリキーはアクセス制御で保護できます。
Windows コネクタのオブジェクトキャッシュ	Windows コネクタはハッシュされたユーザーのパスワードをコネクタのオブジェクトキャッシュに格納します。	パスワードは平文では格納されず、MD5 ハッシュで暗号化されます。これらのデータベースファイルはファイルシステムアクセス制御によって保護されます。(「セキュリティーの強化」を参照)