IBM i ソフトウェアとクライアント・アプリケーションに関する考慮事項
IBM® i で多要素認証(MFA)関連のプロパティが有効になっている場合、一部のアプリケーションやソフトウェア・インタフェースが失敗したり、クライアント・アプリケーションの変更が必要になったりすることがある。
後でサーバーに認証するために、ユーザーのパスワードをキャッシュしたり保存したりするクライアント・アプリケーションは、MFAとうまく機能しない。 時間に敏感なTOTP要件は、この種のアプリケーションの認証を破壊する。 このカテゴリの多くのアプリケーションは完全に失敗するが、他のアプリケーションは予測不可能な短期的な成功を経験し、その後の認証で失敗する。
相容れない例:
- パスワードを保存し、TOTP 値の入力を促す機会がない。
- 現在のユーザーの暗号化されたパスワード。アプリケーションが、同じユーザー・プロファイルとパスワードを必要とする第二のシステムへの認証に使用する。 セカンドシステムにTOTPの価値を提供する方法はない。
- 保存されているパスワードはpassword:totp形式ですが、TOTP値は期限切れです。
パスワードを保存する許可を求めるアプリケーションは特定できるが、暗黙のうちに保存しているアプリケーションはテストを通じて発見する必要がある。
ユーザーの認証方法が*TOTPで、MFAと互換性のないアプリケーションを使用しなければならない場合、管理者はユーザーのTOTPオプション間隔パラメータを*NONE以外の値に設定しなければならない。 オプションの間隔は、アプリケーションを使用するために必要なパスワードのみの認証を可能にするために、できるだけ短い時間に設定する必要があります。 どのインターフェイスを使用しても、一度パスワードとTOTP値による認証に成功すると、アクティブなインターバルの間は、キャッシュされたパスワードのみを使用して認証を行うことができる。
明示的な変更を必要とするMFAをサポートするインターフェースとアプリケーション
- IBM Toolbox for Java™
- ユーザーIDとパスワード認証を使用して IBM i ユーザーIDとパスワード認証を使用してサーバーに接続し、ユーザーIDに対応するユーザー・プロファイルが*TOTPの認証方法を使用している場合、サーバーに接続する前に、使用するJavaクラスで追加の認証要素を指定する必要があります。 AS400 クラスには、追加の認証要素を受け付けるコンストラクタがあります。
- IBM Toolbox for Java で実行されているアプリケーションでは、認証エラーが発生することがあります。 IBM i で実行されているアプリケーションで、ユーザーIDとパスワードを指定せず、現在のジョブの認証情報を使用することを期待している場合、現在のジョブのユーザーIDの認証方法が*TOTPの場合、認証エラーが発生する可能性がある。 AS400 オブジェクトのTOTP値を取得し設定するために、アプリケーションを修正する必要がある。
- デフォルトでは、拡張プロファイル・トークンはプロファイル・トークンを作成しようとしたときに作成されます。 IBM i サーバが拡張プロファイル・トークンをサポートしている場合に作成されます。 JVMオプション com.ibm.as400.access.AS400.useEnhancedProfileTokens をfalseに設定することで、拡張プロファイル・トークンの作成を無効にできます。
- 同じユーザーID、パスワード、TOTP値を使用して、オプションのインターバルを持たない複数の AS400 オブジェクトを作成する必要がある場合は、まず AS400 オブジェクトを作成し、 AS400 オブジェクトを、 AS400 オブジェクトを受け入れる AS400 コンストラクタのパラメータとして使用する必要があります。 そうでない場合は、常にTOTP値の入力を求める必要がある。
- IBM i Access Client Solutions (ACS)
- ACSコマンドを直接 IBM i (対話式またはバッチ)で、現在のジョブの認証方法が*TOTPである場合、以下のいずれかの条件下では認証に失敗し、ACSは現在の*TOTPを要求します:
- オプションのインターバルは*NONEに設定されている。
- オプションのインターバルは正の値に設定されているが、インターバルは有効でないか、有効期限が切れている。
- ACSコマンドを直接 IBM i (対話式またはバッチ)で、現在のジョブの認証方法が*TOTPである場合、以下のいずれかの条件下では認証に失敗し、ACSは現在の*TOTPを要求します:
- IBM ユーザーのアクティブインターバルが切れた場合、動作しないアプリケーション
- QFileSrv.400
- NetServer
- DRDA/DDM (Connect (SQL)はpassword:totpの受け渡しをサポートしています)
- パススルー
- QNTC
- IBM i アクセス ODBC ドライバー
- IBM.Data.DB2.iSeries データ提供者
- IBMDA400 IDMDASQL、IBMDARLA ADOおよびOLE DBインターフェース
- プログラマーズ・ツールキットの詳細については、 APIグループ、ヘッダーファイル、インポート・ライブラリ、およびDLLを参照してください。
- アプリケーション内から以下のAPIのいずれかを使用して、複数回使用可能で再生可能なプロファイルトークンを生成すること、または検証IDおよびリモートIPアドレスを提供せずに複数回使用可能なプロファイルトークンを生成することは許可されていません:
- プロフィール・トークンの生成(QSYGENPT)API
- Generate Profile Token Extended ( QsyGenPrfTknE ) API
- Generate Profile Token Extended ( QsyGenPrfTknE2 ) API
- プロファイル・トークンからプロファイル・トークンを生成(QSYGENFT)API
- プロファイル・トークンからプロファイル・トークンを生成する ( QsyGenPrfTknFromPrfTkn ) API
- プロファイル・トークンからプロファイル・トークンを生成する ( QsyGenPrfTknFromPrfTkn2 ) API
MFAで動作しないインターフェースとアプリケーション
- クラスタ管理ドメインが強化され、認証方法を持つユーザー・プロファイルの同期が可能になった。 しかし IBM i しかし、認証方法が*TOTPまたは*REGFACのユーザーによって呼び出された場合、ほとんどのクラスタ操作は失敗する。 さらに、管理ドメインが監視するリソースに対して実行される操作は、認証方法が*TOTPまたは*REGFACのどちらかのユーザーによって呼び出された場合、リソースの不整合を引き起こす可能性がある。
- IBM Toolbox for Java 認証方法が*TOTPのユーザープロファイルでは、プロキシサーバーのサポートはサポートされません。
- ネットワークファイルシステム( NFS )にアクセスする際、入力されたリクエストのUIDがマッピングされるプロファイルがMFAを有効にしている場合、そのアクセスはエクスポート用の匿名ユーザーにマッピングされます。 NFS、MFA認証が必要なほど重要だと思われるユーザーにとって、真の認証がないのは弱すぎる。
- HTTP 基本認証は、サービス・クライアントを安全なエンドポイントに認証するために、ユーザ名とパス ワードを使用する。 統合Webサービス(IWS)サーバーのコンテキストでは、 HTTP 基本認証は、IWSサーバーのフロントエンドであるIWSサーバーが提供することも、IWS サーバー自身が提供することも、その両方が提供することもある。 IBM HTTP Server for i によって提供されるか、IWS サーバー自身によって提供されるか、あるいはその両方である。 しかし、IWSサーバーは、IWSサーバーによって保護されるように展開され、サーバーがユーザープロファイルに基づいてユーザーレジストリを使用しているWebサービスに対して、*TOTPの認証方法を持つユーザープロファイルをサポートしていません。 IWSサーバーのフロントエンドに HTTP Server を使用してIWSサーバーをフロントエンドにすると、TOTPを含むパスワードの認証を処理できる。 ユーザーがIWSサーバーに直接接続しようとし、ユーザー・プロファイルの認証方法が*TOTPの場合、その試みは失敗する。