在某些安装中,eDirectory 服务器受防火墙保护,而 iManager 服务器却对外开放以允许用户从家中或旅途中对其进行管理。对 iManager 的访问受登录屏幕中的用户名、口令和树名等字段的控制。在这些安装中,通常有必要增强安全性,以避免泄露与系统相关的任何信息。
标准的 iManager 配置会在 iManager 鉴定过程传出与无效用户名和口令相关的 eDirectory 讯息。这些讯息可能会在不经意间向潜在攻击者提供过多的信息。为避免发生此情况,iManager 提供了配置选项,用来隐藏登录失败的具体原因。启用此选项时,下列错误讯息会被替换为“登录失败。用户名或口令无效。”的通用错误讯息。
用户名无效 (-601)
口令不正确 (-669)
口令失效或帐户被禁用 (-220)
要启用此设置,打开“配置”视图,然后选择“iManager 服务器”>“配置 iManager”。在“鉴定”选项卡上,选择“隐藏登录失败的具体原因”。 此操作将在 iManager 的 config.xml 文件中设置 Authenticate.Form.HideLoginFailReason=true。
此外,iManager 不支持将星号 (*) 字符作为用户名字段中的通配符。这样可以避免未经授权的用户发现有效的用户名。同时也阻止了可能的拒绝服务攻击,即通过仅使用通配符 (*) 不断尝试登录,让 eDirectory 服务器超载,从而强制 eDirectory 搜索并返回所有匹配的用户名。