在某些安裝中,eDirectory 伺服器受防火牆保護,但 iManager 伺服器對外開放,允許居家或移動進行管理。對 iManager 的存取會受到登入畫面上「使用者名稱」、「密碼」及「網路樹名稱」等欄位的控制。在此類安裝中,通常需要增強安全性,以避免洩露有關系統的任何資訊。
標準的 iManager 組態會在 iManager 驗證期間,傳遞有關無效使用者名稱和密碼的 eDirectory 訊息。這些訊息可能在無意中向潛在的攻擊者提供了過多的資訊。為避免發生這種情況,iManager 包含了組態選項,以隱藏登入失敗的特定原因。啟用時,以下錯誤訊息會取代為「登入失敗。使用者名稱或密碼無效」的一般訊息。
無效的使用者名稱 (-601)
密碼不正確 (-669)
密碼過期或帳戶停用 (-220)
若要啟用此設定,請開啟「設定」檢視,並選取「iManager Server」>「設定 iManager」。在「驗證」索引標籤中選取「隱藏登入失敗的特定原因」。這會將 Authenticate.Form.HideLoginFailReason=true 設定於 iManager 的 config.xml 檔案中。
此外,iManager 不支援在「使用者名稱」欄位中使用萬用字元 (*)。這可防止未授權的使用者發現有效使用者名稱。同時也防止了潛在的拒絕服務攻擊,即透過僅使用萬用字元 (*) 不斷嘗試登入,讓 eDirectory 伺服器超載,進而強制 eDirectory 搜尋並傳回所有符合的使用者名稱。