「持続的記憶領域保護の概要」では、Identity Synchronization for Windows がディスクに格納された機密情報を保護する方法をまとめています。
表 10–2 持続的記憶領域保護
持続的記憶領域 |
機密情報 |
保護 |
---|---|---|
設定 Directory Server に格納された製品の設定 |
ディレクトリにアクセスするための資格と Message Queue ごとのトピック 3DES キーが製品の設定ディレクトリに格納されます。 |
製品の設定ディレクトリに格納された機密情報はすべて設定パスワードで生成された 3DES キーで暗号化されます。製品の設定ディレクトリをさらに保護するための推奨事項については、「セキュリティーの強化」を参照してください。 |
Directory Server の旧バージョン形式の変更ログ |
ディレクトリサーバープラグインは、Directory Server の旧バージョン形式の変更ログに書き込む前にパスワードの変更を取得して暗号化します。 |
ディレクトリサーバープラグインは、ユーザーパスワードの変更をすべて各配備に固有の 3DES キーで暗号化します。 |
Message Queue ブローカの持続的記憶領域 |
Message Queue ブローカは、全コネクタ間でやり取りされるパスワード同期メッセージを格納します。 |
ログメッセージを除いて、持続メッセージはすべてトピックごとの 3DES キーで暗号化されます。 |
Message Queue ブローカのディレクトリ資格 |
Message Queue ブローカは、製品の設定ディレクトリに対してユーザーを認証します。これは、コアインストール中に提供されたディレクトリ管理者のユーザー名とパスワードを使用して設定ディレクトリに接続します。 |
ディレクトリパスワードは、ファイルシステムアクセス制御によって保護されるパスファイルに格納されます。 |
システムマネージャーのブートファイル |
システムマネージャーのブートファイルには、設定にアクセスするための情報が含まれています。これには、設定パスワードとコアインストール中に提供されたディレクトリ管理者のユーザー名とパスワードが含まれます。 |
このファイルはファイルシステムアクセス制御によって保護されます。 |
コネクタとセントラルロガーのブートファイル |
各コネクタとセントラルロガーには Message Queue にアクセスするための資格を持った初期設定ファイルがあります。 |
これらのファイルはファイルシステムアクセス制御によって保護されます。 |
ディレクトリサーバープラグインのブート設定 |
cn=config に格納されるプラグインの設定には、コネクタに接続するための資格が含まれます。 |
cn=config サブツリーは、ACI によって保護されます。このツリーをミラー化する dse.ldif ファイルはファイルシステムアクセス制御によって保護されます。 |
NT パスワードフィルタ DLL および NT 変更検出機能のブート設定 |
Windows レジストリに格納される NT サブコンポーネントの設定には、コネクタに接続するための資格が含まれます。 |
PDC レジストリへのアクセスがセキュリティー保護されていない場合、これらのレジストリキーはアクセス制御で保護できます。 |
Windows コネクタのオブジェクトキャッシュ |
Windows コネクタはハッシュされたユーザーのパスワードをコネクタのオブジェクトキャッシュに格納します。 |
パスワードは平文では格納されず、MD5 ハッシュで暗号化されます。これらのデータベースファイルはファイルシステムアクセス制御によって保護されます。(「セキュリティーの強化」を参照) |