インストールによっては、eDirectoryサーバはファイアウォールによって保護されていますが、iManagerサーバは自宅や外出先からの管理を可能にするため、オープンな性質を持っています。iManagerへのアクセスは、ログイン画面の[ユーザ名]、[パスワード]、および[ツリー名]の各フィールドによって制御されます。そのようなインストール環境では、セキュリティを強化して、システムに関する情報が漏れないようにすべきです。
iManagerの標準設定では、iManagerの認証中に無効なユーザ名とパスワードに関するeDirectoryメッセージが送信されます。これらのメッセージでは、潜在的なクラッカーに不用意に情報を漏えいしてしまう場合があります。これを防ぐために、iManager にはログインの失敗に関する具体的な理由を表示しない設定オプションが用意されています。このオプションを有効にすると、一般的なエラーメッセージに代わって次のエラーメッセージが表示されます。「ログインエラー。ユーザ名またはパスワードが無効です。」
無効なユーザ名(-601)
不正なパスワード(-669)
期限切れのパスワードまたは無効なアカウント(-220)
この設定を有効にするには、[設定]ビューを開き、[iManagerサーバ]>[iManagerの設定]の順に選択します。[認証]タブで、[ログインエラーの詳細な原因を非表示にする]を選択します。これにより、Authenticate.Form.HideLoginFailReason=trueがiManagerのconfig.xmlファイルに設定されます。
また、iManager は[ユーザ名]フィールドのワイルドカードとしてアスタリスク(*)文字をサポートしていません。それによって、許可されないユーザが有効なユーザ名を検出することを防いでいます。さらに、ワイルドカード(*)だけを使用して連続的にログインを試みる(この場合、eDirectoryは一致するすべてのユーザ名を検索して返すことになります)ことでeDirectoryサーバに過負荷を与えるサービス拒否攻撃も防止されます。