セキュア ハブおよびロボット

uim902
secure_hub_robot
新たなセキュリティの問題が毎日発生する中、組織は製品のセキュリティの継続的な強化への注力を怠ることはできません。高度なセキュリティの重要性を理解した上で、UIM はそのセキュリティをさらに強化して、ユーザがセキュア ハブおよびロボットに円滑に移行できるようにします。現在、
セキュア
非セキュア
の 2 種類のハブとロボットを使用できます。この UIM バージョンでは、セキュア ハブ(hub_secure)およびセキュア ロボット(robot_update_secure)を使用できるようになり、UIM のセキュリティがさらに向上しました。セキュア ハブおよびロボットは、ハブ間およびロボットとハブ間の堅牢な通信を実現します。UIM 9.0.2 以前のリリースには、レガシー セキュリティ モデルを使用する
非セキュア
ハブおよびロボットが含まれています。
UIM ハブはロボットのグループに対する通信センターとして機能します。ハブは、セントラル接続ポイントとしてのハブでロボットを論理的なグループにバインドします。ハブは一般に、場所(ラボや建物など)に基づいて設定されるか、またはサービス(開発など)ごとに設定されます。ハブは、他のハブをハブの階層に接続できます。UIM では、セキュア ハブおよびロボットのセットアップを使用するかどうかを決定できます。UIM インストーラを使用して、既存の標準 UIM セットアップをセキュア セットアップに変換できます。これを行うには、UIM Server のインストール中にセキュア オプションを選択します。選択内容に基づいて、UIM 環境で適切な設定が実行されます。
以下のトピックでは、必要な情報について説明します。
概要
一般的なアーキテクチャ
一般的なアーキテクチャは、非セキュアとセキュアの両方のハブとロボットに適用されます。設計上、ハブは、
ハブ プローブ
の存在を通じて管理機能を取得するロボットです。このプローブを設定して、ハブが以下の UIM サービスを処理する方法を変更します。
  • メッセージ配布
    ロボットからメッセージは、ハブを介してルーティングされます。メッセージは、他のハブに転送されるか、ローカル サブスクライバ(ユーザおよびプローブ)にディスパッチされます。
  • 名前サービス
    ハブは、
    /domain/hub/robot/probe
    アドレスを IP アドレスとポートに変換します。このサービスは、起動時に TCP/IP アドレスを登録します。登録により、アプリケーションは TCP/IP を使用してサービスに接続できるようになります。
    これはセキュア ハブおよびロボットには適用されません。セキュア セットアップでは、この機能はトンネルの使用によって実現されます。
  • 認証
    ハブはドメインへのログインを処理します。
  • 許可
    ハブは、プローブおよびインフラストラクチャ(ハブ、ロボット、およびスプーラ)に対するユーザ アクセス権限を確認します。
  • トンネリング
    VPN のように、ハブ間トンネルはサイト間の安全な通信を可能にします。
セキュア ハブおよびロボットのアーキテクチャ
上記の一般的なアーキテクチャのコンポーネントに加えて、セキュア ハブおよびロボットは以下の機能を提供します。
  • ハブ間およびハブとロボット間の強力な信頼関係を確立します。
  • ハブやコントローラを含む、すべてのプローブとの通信をプロキシします。
  • 暗号化および信頼された転送を使用します。
  • プローブがループバック アドレスでのみリスンするようにします。暗号化されていない、および信頼されていないサーバ間のプローブ間通信は禁止されます。
  • サードパーティの認証局および PKI をサポートしています。自己署名証明書はサポートされていますが、推奨されません。
  • レガシーの SSL (Secure Sockets Layer)モード、プロキシ モード、およびパッシブ モードを置き換えます。
  • 混在モードの実装をサポートします。混在モードでは、非セキュア ハブとロボット、およびセキュア ハブとロボットを共存させることができます。
  • UIM メッセージ バスへのセキュアなアクセスを提供します。たとえば、リモート ロボットからの READ レベルを超えるコールバックは許可されません。
  • PBKDF2 ()ハッシング アルゴリズムによる高度なパスワード ハッシングを実装します。
  • トンネルなしのハブ間通信をサポートしていません。
セキュア ハブおよびロボットのバージョンの形式
セキュア ハブおよびロボット パッケージの名前は、非セキュアなものとは異なる形式に従います。非セキュアなものと区別するために、パッケージ名の末尾に
_secure
が付けられていることを確認します。
  • hub_secure 9.31S
  • robot_update_secure 9.31S
非セキュア ハブおよびロボット パッケージは、以前のリリースに適用されていたものと同じ形式に従います。
  • hub 9.31
  • robot_update 9.31
混在モード
多数のハブが多数のロボットに接続している大規模なインストール環境では、すべてのハブおよびロボットを一度にアップグレードするのは現実的ではありません。変換中に通信の損失を避けるために、増分変換がサポートされています。セキュア ハブは、hub_adapter プローブがセキュア ハブにインストールされると、非セキュア ロボットと通信できます。混合モード環境は、UIM ドメイン内のセキュア ハブとロボット、および非セキュア ハブとロボットで構成されます。
以下の図に、混在モードの実装の例を示します。
  • A
    セキュア ハブはトンネルのみを介して通信します。
  • B
    コントローラは、セキュア ハブとセキュア ロボット間の通信を処理します。通信は暗号化されます。
  • C
    非セキュア ハブおよびロボットは引き続き暗号化されない転送を使用します。
  • D
    セキュア サーバにインストールされているコンポーネント間のすべての内部通信は、ループバックを介して発生します。
混合_モード_セキュア_非セキュア
Mixed_Mode_Secure_NonSecure
考慮事項
以下の考慮事項を確認します。
既存の UIM 環境
  • セキュア ハブおよびロボットに変換する前に、「サポートされているアップグレード パス」の記事を確認して正しいアップグレード パスを確認してください。
  • 既存の UIM セットアップで、プライマリ ハブがトンネル サーバまたはトンネル クライアントではない場合、インストーラは、プライマリ ハブをトンネル サーバに変換します(セキュア オプションを使用する場合)。さらに、プライマリ ハブを指す他のすべてのハブは、そのプライマリ ハブのトンネル クライアントになります。プライマリ ハブをトンネル サーバとして設定するのは理想的ではありませんが、非常に小規模な環境の場合、または PoC (Proof of Concepts、概念実証)のデモを行うために役立つ場合があります。ただし、実稼働環境では、常にプライマリ ハブをトンネル クライアントとして設定することをお勧めします。
ハブおよびロボット
  • セキュアな環境では、セキュア ハブに変更するすべてのハブに最新の distsrv プローブをインストールすることをお勧めします。これは、障害からの復旧に役立ちます。セキュア セットアップに移行したら、プライマリ ハブとの接続を失う可能性があります。distsrv があれば、障害が発生したハブの IM に直接接続して、古いバージョンにリストアできます。
  • 接続が失われないように、最初にトンネル サーバ ハブをアップグレードしてから、トンネル クライアント ハブをアップグレードします。すべてのハブでは、ハブ間トンネル接続が必要です。セキュア ハブ間の通信、および非セキュア ハブとセキュア ハブ間の通信にはトンネルを使用します。ハブ間の静的ルートはサポートされていません。
  • ハブ ロボットをアップグレードする前に、hub_adapter プローブがハブに追加されます。
  • ご使用の環境をセキュリティで保護した後、セキュアな環境にロボットまたはハブを追加する必要がある場合は、そのようにできます。新しいロボットまたはハブを追加する方法の詳細については、「セキュアな環境への新しいロボットまたはハブの追加」を参照してください。
  • トンネルのセキュリティは、セキュア ハブにより強化されます。セキュア ハブと非セキュア ハブが存在する混在モード環境を維持することができます。
  • セキュア ハブは、非セキュア ハブと通信できます。ただし、両方のハブが同じ証明書(たとえば、同じ CA (認証局)によって署名されたもの)を共有する場合に限ります。
  • DHCP (Dynamic Host Configuration Protocol、動的ホスト構成プロトコル)クライアントにハブをインストールしないでください。
  • すべてのハブおよび(それらのハブを指す)ロボットが同じ CA (Certificate Authority、認証局)を使用することをお勧めします。
  • トンネル サーバの暗号セキュリティの設定は、「高」に設定する必要があります。そのようにしないと、ドメイン内の任意のハブがセキュリティ保護されている場合に通信が行われません。
  • 標準からセキュア
    への変換シナリオでは、hub_secure または robot_update_secure パッケージを展開すると、展開が中止されたことを示すエラー メッセージが表示されます。ただし、展開は問題なく完了します。このエラーが発生した場合、無視してかまいません。
ssl_mode のサポート(廃止済み)
  • パラメータ ssl_mode は廃止されました。9.2.0 では、9.2.0 アップグレード中にセキュア オプションが選択された場合、セキュア バスを介したロボットとハブ間の SSL 通信がデフォルトで有効になります。そのため、セキュア バスは ssl_mode の代わりとみなすことができます。非セキュア オプションが選択された場合、ssl_mode は影響を受けません。
FQDN (Fully Qualified Domain Name、完全修飾ドメイン名)
  • FQDN (Fully Qualified Domain Name、完全修飾ドメイン名)は、検証に必要です。短いホスト名を使用する場合、検証は失敗します。DNS (Domain Name System、ドメイン名システム)が正しく設定されていない場合、明示的に FQDN を指定し、hosts ファイル エントリを作成する必要があります。OC、CABI、および他の独立したロボットの FQDN を、展開を実行するハブ上の etc/hosts ファイルに追加したことを確認します。同様に、OC、CABI、および他の独立したロボットにそれぞれのハブの FQDN を追加する必要があります。FQDN の名前解決は、hosts ファイルの最初の行で設定する必要があります。
パッケージ名の変更
  • アーカイブ内のパッケージ名を変更しないことをお勧めします。ハブにログインした後にアーカイブ内のパッケージ名を変更し、そのパッケージを同じハブに展開しようとすると、予期しないエラーが表示されます。ただし、展開は正常に完了します。たとえば、ハブにログインした後にアーカイブ内の robot_update パッケージの名前を変更し、そのハブに展開しようとした場合、「
    中止、再試行制限超過、不明なステータス
    」というエラーが発生しますが、展開は正常に完了します。
バックアップ
  • security.cfg および security.dta を変換プロセス前にバックアップします。
証明書パッケージ
  • (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからそのハブを指す必要なロボット(ハブ ロボット、UMP/OC ロボット、CABI ロボット、および他の独立したロボット)に証明書を安全に転送します。
  • (20.3.3 より前) create_robot_cert_package コールバックは、20.3.0 と共にリリースされた distsrv プローブまたは ade (automated_deployment_engine)プローブの最新バージョンに依存しています。このコールバックは、UIMRobotCert パッケージの生成に使用されます。コールバックを実行してパッケージを作成するセキュアなトンネル サーバ ハブに distsrv または ade の最新バージョンがすでに展開されていることを確認します。両方のプローブの最新バージョンがある場合、コールバックはデフォルトで distsrv を使用します。distsrv が使用できない場合は、ade プローブが使用されます。
インフラストラクチャ マネージャ
以下の考慮事項は、IM (インフラストラクチャ マネージャ)に関するものです。インフラストラクチャ マネージャは、UIM 用の設定インターフェースです。IM は、Windows プラットフォームでのみサポートされます。通常、IM のプライマリ ハブにログインします。
  • セキュアな UIM 環境では、セキュア ハブに変換される Windows システムでのみ IM を使用できます。IM は、ローカル システムのループバック アドレス(127.0.0.1)に接続し、その他のハブに移動できます。これは、リモート IM 接続が使用できなくなったことを意味します。
  • 混在モードの UIM ドメインで IM を使用するには、以下の手順に従います。
    • プライマリ ハブがセキュリティ保護されており、かつ
      Windows 以外
      である場合、ドメイン内の任意の非セキュア ハブにログインします。
    • プライマリ ハブがセキュリティ保護されており、かつ
      Windows
      である場合、Windows プライマリ ハブに IM をインストールします。Windows ループバック IP アドレス 127.0.0.1 を使用して、ドメインに接続します。
    • セカンダリ Windows ハブがセキュリティ保護されている場合は、Windows セカンダリ ハブに IM をインストールします。Windows ループバック IP アドレス 127.0.0.1 を使用して、ドメインに接続します。
  • セキュアな UIM ドメインで IM を使用するには、以下の手順に従います。
    • プライマリ ハブが Windows プラットフォーム上にある場合、Windows プライマリ ハブに IM をインストールします。Windows ループバック IP アドレス 127.0.0.1 を使用して、ドメインに接続します。
    • プライマリ ハブが Windows 以外である場合、Windows セカンダリ ハブに IM をインストールします。Windows ループバック IP アドレス 127.0.0.1 を使用して、ドメインに接続します。
  • セキュアな環境では、IM の
    [アラーム ウィンドウ]
    セクション(
    [表示]-[アラーム ウィンドウ]
    )は開きません。さらに、
    [表示]-[アラーム ウィンドウ]
    をクリックした後に IM を更新(
    [表示]-[更新]
    )した場合、すべてのハブへの接続が失われます。IM ですべてのハブを表示するには、再度ログインする必要があります。
    セキュアな環境で
    [アラーム ウィンドウ]
    セクションを表示する場合は、セキュア(または非セキュア)セカンダリ ハブに IM をインストールして、アラーム ウィンドウがプライマリ ハブの nas を指すようにします。これを行うには、メニュー バーで
    [ツール]-[オプション]
    を選択し、
    [アラーム サーバ]
    ドロップダウン リストからプライマリ ハブ nas オプション(たとえば /<domain_name>/<primary_hub_name>/<primary_hub_robot_name>/nas)を選択します。
UMP/OC
および CABI
  • UMP/OC および CABI をセキュア状態に変換する場合、適切な証明書を展開して UMP/OC および CABI ロボットを確実にセキュア状態にしてから、バージョンをセキュア バージョンに更新します。その後、UMP/OC および CABI をアップグレードします。
既存の UIM セットアップをセキュア ハブおよびロボットに変換
プライマリ ハブがトンネル サーバまたはトンネル クライアントではない場合、インストーラは、プライマリ ハブをトンネル サーバに変換します(セキュア オプションを使用するとき)。また、プライマリ ハブを指す他のすべてのハブがトンネル クライアントに変換されます。プライマリ ハブをトンネル サーバとして設定するのは理想的ではありませんが、非常に小規模な環境の場合、または PoC (Proof of Concepts、概念実証)のデモを行うために役立つ場合があります。ただし、実稼働環境では、常にプライマリ ハブをトンネル クライアントとして設定することをお勧めします。
UIM は、セキュア バスで以下のシナリオをサポートします。
  • トンネルが設定されていない既存の環境
  • トンネルが設定されている既存の環境(プライマリ ハブがトンネル サーバ)
  • トンネルが設定されている既存の環境(プライマリ ハブがトンネル クライアント)
既存の UIM 環境をセキュア セットアップに変換するプロセスには、以下のタスクが含まれます。
Secure_Upgrade_Process.jpg
ご使用のセットアップをセキュリティで保護した後、セキュアな環境にロボットまたはハブを後の段階で追加する必要がある場合は、そのようにできます。新しいロボットまたはハブを追加する方法の詳細については、「セキュアな環境への新しいロボットまたはハブの追加」を参照してください。
トンネルが設定されていない既存の環境の変換
このシナリオでは、既存の環境にはトンネルが設定されていません。手順を以下に示します。
  1. UIM Server (プライマリ ハブ)のアップグレード
  2. セカンダリ ハブのアップグレード
  3. UMP/OC のアップグレード
  4. CABI のアップグレード
  5. その他のロボットのアップグレード
UIM Server (プライマリ ハブ)のアップグレード
インストーラ(UIM Server)は、既存のセットアップのプライマリ ハブにセキュア ハブおよびロボットのバイナリを自動的に展開できるオプションを提供します。インストーラを実行すると、既存のハブおよびロボットをセキュア ハブおよびロボットに変換するためのセキュア オプションが表示されます。変換が完了すると、既存のセットアップに応じて、このセクションで説明する適切なタスクが実行されます。
以下の手順に従います。
  1. 既存の UIM Server がインストールされているコンピュータで、setupCAUIMServer.exe ファイルを実行します。
    [検出されたアップグレード]
    画面が表示されます。
  2. インストールされているバージョンとアップグレード バージョンの情報を確認して、
    [次へ]
    をクリックします。
    [使用許諾契約]
    画面が表示されます。
  3. 使用許諾情報を確認し、許諾契約に同意して、
    [次へ]
    をクリックします。
    [Secure Bus Configuration (セキュア バスの設定)]
    画面が表示されます。この画面を使用して、ご使用の環境でセキュア ハブおよびロボットに関連する設定を実行するための情報を提供します。
    Secure_Hub_Robot_Options.PNG
  4. セキュア ハブおよびロボットに変換するには、この画面で以下のアクションを実行します。
    • 有効
      セキュア ハブおよびロボットに変換するかどうかを指定します。
    • Tunnel Server Configuration (トンネル サーバの設定)
      トンネル サーバの構成設定を指定できます。この情報は、プライマリ ハブをトンネル サーバとして設定し、トンネル サーバを CA (Certificate Authority、認証局)として設定し、* トンネル証明書を作成します。
      • Tunnel Server Port (トンネル サーバ ポート)
        トンネル サーバのポート番号を入力し、
        [テスト]
        をクリックしてポートの可用性を確認します。デフォルトのポートは 48003 です。
      • CA/Server Password (CA/サーバ パスワード)
        CA (Certificate Authority、認証局)およびトンネル サーバ証明書を生成するために使用するパスワードを入力します(CN: IP アドレス)。
      • Confirm CA/Server Password (CA/サーバ パスワードの確認)
        [CA/Server Password (CA/サーバ パスワード)]
        フィールドに入力したパスワードを確認します。
      • クライアント パスワード
        トンネル クライアント証明書用に使用するパスワードを入力します。このパスワードは、* (ワイルドカード)トンネル クライアント証明書の生成に使用します。
      • Confirm Client Password (クライアント パスワードの確認)
        [Client Password (クライアント パスワード)]
        フィールドに入力したパスワードを確認します。
  5. 次へ]を
    クリックします。
    [アップグレードの準備]
    画面が表示されます。
  6. UIM 管理者に関連付けられているパスワードを入力し、
    [アップグレード準備の実行]
    をクリックします。この段階では、以下のタスクが既存のセットアップに基づいて実行されます。これらのシナリオの詳細については、手順の後に説明します。
    1. 既存のセットアップでトンネル サーバとしてプライマリ ハブが設定されている場合、証明書の複製が
      <Nimsoft>\robot\certs
      フォルダにコピーされ、robot.cfg に証明書の場所が適切に設定されます。
    2. 既存のセットアップでトンネル クライアントとしてプライマリ ハブが設定されている場合、証明書の複製が
      <Nimsoft>\robot\certs
      フォルダにコピーされ、robot.cfg に証明書の場所が適切に設定されます。
    3. 既存のセットアップにトンネルが存在しない場合、プライマリ ハブがトンネル サーバとして設定され、そのプライマリ ハブを指しているすべてのセカンダリ ハブがトンネル クライアントとして設定されます。
    アップグレードの準備が完了したら、
    [インストール前の要約]
    画面が表示されます。
  7. 情報を確認します。たとえば、
    [Secure Bus Configuration (セキュア バスの設定)]
    セクションを確認します。
  8. [インストール]
    をクリックすると、アップグレード プロセスが開始されます。
    アップグレード プロセスが完了したら、
    [インストール完了]
    画面が表示されます。
  9. 完了
    ]をクリックします。
このシナリオでは、セキュア オプションを有効にすると、以下の動作が実行されます。
  • インストーラは、プライマリ ハブをトンネル サーバとして設定します。
  • インストーラは、プライマリ ハブを指しているすべてのセカンダリ ハブをトンネル クライアントとして設定します。
  • インストーラは、トンネル サーバ(プライマリ ハブ)を CA (Certificate Authority、認証局)として設定し、トンネル サーバ証明書を作成し、* トンネル クライアント証明書(作成した CA によって署名されたもの)を
    <Nimsoft>\hub\certs
    フォルダに作成します。スニペットの例を以下に示します。
    ca.pem cert01.pem server.ca.ec.cert.pem server.ec.cert.pem server.ec.key.pem ....
  • インストーラは、トンネル サーバ(プライマリ ハブ)の hub.cfg を作成したトンネル サーバ証明書の場所で更新します。スニペットの例を以下に示します。
    <server> ... ca_location = certs/server.ca.ec.cert.pem public_cert = certs/server.ec.cert.pem private_key = certs/server.ec.key.pem password = +2U4jzflzhj01loXVWQ== </server>
  • インストーラは、トンネル サーバ(プライマリ ハブ)の robot.cfg を作成したトンネル証明書の場所で更新します。スニペットの例を以下に示します。
    <controller> ... proxy_ca_location = C:\Program Files (x86)\Nimsoft\.\hub\certs\server.ca.ec.cert.pem proxy_cert = C:\Program Files (x86)\Nimsoft\.\hub\certs\server.ec.cert.pem proxy_private_key = C:\Program Files (x86)\Nimsoft\.\hub\certs\server.ec.key.pem proxy_private_key_password = +2U4jzflzhj01loXVWQ== proxy_check_ip_first = 1 </controller>
  • インストーラは、* トンネル クライアント証明書をトンネル クライアント(セカンダリ ハブ)の
    <Nimsoft>\hub\certs
    フォルダに作成します。例は以下のとおりです。
    client1.pem ...
  • インストーラは、トンネル クライアント(セカンダリ ハブ)の hub.cfg を作成した証明書の場所で更新します。例は以下のとおりです。
    ... cert = certs/client1.pem password = +2U4jzflzhj01loXVWQ==
  • インストーラは、トンネル クライアント(セカンダリ ハブ)に
    <Nimsoft>\robot\certs
    フォルダを作成し、この場所に * トンネル クライアント証明書を作成します。スニペットの例を以下に示します。
    robotclient1.pem ...
  • インストーラは、トンネル クライアント(セカンダリ ハブ)の robot.cfg を作成した証明書の場所で更新します。スニペットの例を以下に示します。
    <controller> ... proxy_ca_location = robot/certs/robotclient1.pem proxy_cert = robot/certs/robotclient1.pem proxy_private_key = robot/certs/robotclient1.pem proxy_private_key_password = +2U4jzflzhj01loXVWQ== proxy_check_ip_first = 1 </controller>
  • インストーラは、トンネル サーバ(プライマリ ハブ)に hub_adapter、セキュア ハブ、およびセキュア ロボットを展開します。
    以下のサンプル スクリーンショットは、必要なセキュア パッケージがプライマリ ハブ(この例ではトンネル サーバ)に正常に展開されている状態を示しています。
    Secure_primary_hub_tunnel_server
これで、プライマリ ハブはセキュリティ保護されました。
セカンダリ ハブのアップグレード
インストーラが必要なタスクを実行したら、セカンダリ ハブを設定し、それらをセキュリティ保護できます。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. プライマリ ハブのアーカイブから、hub_adapter プローブをセカンダリ ハブ(トンネル クライアント)に展開します。
    以下のサンプル スクリーンショットは、hub_adapter プローブがセカンダリ ハブに正常に展開されている状態を示しています。
    Hub_adapter_deployed_on_secondary_hub.PNG
  3. プライマリ ハブのアーカイブから、最新の非セキュア ロボット(7.97 以降)をセカンダリ ハブ(トンネル クライアント)に展開します。
    以下のサンプル スクリーンショットは、非セキュア ロボットがセカンダリ ハブに正常に展開されている状態を示しています。
    Robot_non_secure_on_secondary_hub.PNG
  4. プライマリ ハブのアーカイブから、最新のセキュア ハブをセカンダリ ハブ(トンネル クライアント)に展開します。
    以下のサンプル スクリーンショットは、セキュア ハブがセカンダリ ハブに正常に展開されている状態を示しています。
    Secure_hub_on_secondary_hub.PNG
  5. プライマリ ハブのアーカイブから、最新のセキュア ロボットをセカンダリ ハブ(トンネル クライアント)に展開します。
    以下のサンプル スクリーンショットは、セキュア ロボットがセカンダリ ハブに正常に展開されている状態を示しています。
    Secure_Robot_on_Secondary_hub.PNG
  6. プライマリ ハブのアーカイブから、最新の distsrv (9.20 以降)プローブをセカンダリ ハブに展開します。
    以下のサンプル スクリーンショットは、distsrv 9.20 がセカンダリ ハブに正常に展開されている状態を示しています。
    Distsrv_on_secondary_hub.PNG
これで、セカンダリ ハブがセキュリティ保護されました。
UMP/OC のアップグレード
セカンダリ ハブをアップグレードしたら、UMP/OC をセキュアな状態に変換できます。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからハブを指す必要なロボットに証明書を安全に転送します。
  3. (20.3.3 より前)セキュアなトンネル サーバ ハブ上で証明書の生成コールバックを使用して、セキュアなトンネル サーバのローカル アーカイブに証明書パッケージ(UIMRobotCert)を作成します。この証明書パッケージには、* トンネル証明書 .pem ファイルおよび robot.cfx が含まれています。このパッケージを展開すると、証明書 .pem ファイルが展開され、robot.cfg ファイルが .pem ファイルの場所で更新されます。この証明書の生成方法の詳細については、この記事の「証明書の生成」を参照してください。プライマリ ハブのアーカイブから、証明書パッケージ(UIMRobotCert)を UMP/OC ロボットに展開します。
  4. プライマリ ハブのアーカイブから、UMP/OC ロボットのバージョンをセキュア バージョンにアップグレードします。
  5. OC インストーラを実行して UMP を OC にアップグレードします。
OC 展開環境がセキュリティ保護され、アップグレードされました。
CABI のアップグレード
CABI をアップグレードして、セキュアな状態にできるようになりました。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからハブを指す必要なロボットに証明書を安全に転送します。
  3. (20.3.3 より前)プライマリ ハブのアーカイブから、すでに作成した UIMRobotCert パッケージを見つけて CABI ロボットに展開します。
  4. CABI ロボットのバージョンをセキュア バージョンにアップグレードします。
  5. 最新の CABI パッケージを CABI ロボットに展開します。
CABI 展開環境がアップグレードされ、セキュリティ保護されました。
その他のロボットのアップグレード
ドメイン内の他の独立したロボットをセキュリティ保護する必要がある場合は、そのようにできます。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからハブを指す必要なロボットに証明書を安全に転送します。
  3. (20.3.3 より前)プライマリ ハブのアーカイブから、すでに作成した UIMRobotCert パッケージを見つけて独立したロボットに展開します。
  4. プライマリ ハブのアーカイブから、独立したロボットのバージョンをセキュア バージョンにアップグレードします。
これで、独立したロボットがセキュリティ保護されました。
プライマリ ハブがトンネル サーバに設定されている既存の環境の変換
既存の環境にはトンネルが設定されています。このセットアップでは、プライマリ ハブがトンネル サーバとして設定され、他のすべてのセカンダリ ハブがトンネル クライアントとして設定されます。手順を以下に示します。
  1. UIM Server (プライマリ ハブ)のアップグレード
  2. セカンダリ ハブのアップグレード
  3. UMP/OC のアップグレード
  4. CABI のアップグレード
  5. その他のロボットのアップグレード
トンネル サーバの暗号セキュリティの設定が「高」に設定されていることを確認してください。そのようにしないと、ドメイン内の任意のハブがセキュリティ保護されている場合に通信が行われません。
UIM Server (プライマリ ハブ)のアップグレード
UIM Server のインストーラを実行するには、前のセクションで説明した手順に従います。トンネルが既存のセットアップですでに設定されている場合、[
Tunnel Server Configuration
(トンネル サーバの設定)]は表示されません。
このシナリオでは、セキュア オプションを有効にすると、以下の動作が実行されます。
  1. インストーラは、既存のトンネル セットアップを変更しません。
  2. インストーラは、プライマリ ハブ(トンネル サーバ)に hub_adapter、セキュア ハブ、およびセキュア ロボットを展開します。
    以下のサンプル スクリーンショットは、必要なセキュア パッケージがプライマリ ハブ(このスクリーンショットおよびシナリオではトンネル サーバ)に展開されている状態を示しています。
    Primary_Hub_Tunnel_Server_Secure.PNG
これで、プライマリ ハブはセキュリティ保護されました。
セカンダリ ハブのアップグレード
インストーラが必要なタスクを実行したら、セカンダリ ハブを設定し、それらをセキュリティ保護できます。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
    以下のサンプル スクリーンショットは、ループバック IP アドレスを使用したセキュア プライマリ ハブ上の IM へのログインを示しています。
    Secure_Primary_Hub_Login.PNG
    トンネルがすでに設定されているため、すべてのセカンダリ ハブが一覧表示されているのを確認できます。
    以下のサンプル スクリーンショットは、セキュア プライマリ ハブ上でのログイン後にセキュア プライマリ ハブ(トンネル サーバ)および非セキュア セカンダリ ハブ(トンネル クライアント)が IM に一覧表示されている状態を示しています。
    Primary_Hub_Second_Hub_Listed.PNG
  2. プライマリ ハブのアーカイブから、最新の hub_adapter プローブをセカンダリ ハブ(トンネル クライアント)に展開します。
    以下のサンプル スクリーンショットは、hub_adapter プローブがセカンダリ ハブに正常に展開されている状態を示しています。
    Hub_Adapter_on_Secondary_Hub.PNG
  3. プライマリ ハブのアーカイブから、最新の非セキュア ロボットをセカンダリ ハブ(トンネル クライアント)に展開します。
    以下のサンプル スクリーンショットは、非セキュア ロボットがセカンダリ ハブに正常に展開されている状態を示しています。
    NS_Robot_on_Secon_Hub.PNG
  4. プライマリ ハブのアーカイブから、最新のセキュア ハブ パッケージをセカンダリ ハブ(トンネル クライアント)に展開します。
    以下のサンプル スクリーンショットは、セキュア ハブがセカンダリ ハブに正常に展開されている状態を示しています。
    Secure_Hub_on_Second_Hub.PNG
  5. プライマリ ハブのアーカイブから、最新の distsrv (9.20 以降)をセカンダリ ハブに展開します。
    以下のサンプル スクリーンショットは、distsrv 9.20 以降がセカンダリ ハブに正常に展開されている状態を示しています。
    Distsrv_on_Second_Hub.PNG
  6. (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからハブを指す必要なロボットに証明書を安全に転送します。
  7. (20.3.3 より前)セキュアなトンネル サーバ ハブ上でロボット証明書コールバックを使用して、証明書パッケージ(UIMRobotCert)を作成します。この証明書パッケージには、* トンネル証明書 .pem ファイルおよび robot.cfx が含まれています。このパッケージを展開すると、証明書 .pem ファイルが展開され、robot.cfg ファイルが同じ .pem ファイルの場所で更新されます。プライマリ ハブのアーカイブから、証明書パッケージ(UIMRobotCert)をセカンダリ ハブ ロボット、UMP/OC ロボット、CABI ロボット、および他の独立したロボットに展開します
  8. プライマリ ハブのアーカイブから、最新のセキュア ロボット パッケージをセカンダリ ハブ ロボットに展開します。
    以下のサンプル スクリーンショットは、セキュア ロボット パッケージがセカンダリ ハブに正常に展開されている状態を示しています。
    Secure_Robot_on_Secondary_hub.PNG
これで、セカンダリ ハブがセキュリティ保護されました。
UMP/OC のアップグレード
セカンダリ ハブをアップグレードしたら、UMP/OC 展開環境をセキュリティ保護できます。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. プライマリ ハブのアーカイブから、UMP/OC ロボットのバージョンをセキュア バージョンにアップグレードします。
  3. OC インストーラを実行して UMP を OC にアップグレードします。
OC 展開環境がセキュリティ保護され、アップグレードされました。
CABI のアップグレード
CABI をアップグレードして、セキュアな状態にできるようになりました。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. プライマリ ハブのアーカイブから、CABI ロボットのバージョンをセキュア バージョンにアップグレードします。
  3. CABI 4.30 パッケージを CABI ロボットに展開します。
CABI 展開環境がアップグレードされ、セキュリティ保護されました。
その他のロボットのアップグレード
ドメイン内の他の独立したロボットをセキュリティ保護する必要がある場合は、そのようにできます。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. プライマリ ハブのアーカイブから、ロボットのバージョンをセキュア バージョンにアップグレードします。
これで、独立したロボットがセキュリティ保護されました。
プライマリ ハブがトンネル クライアントに設定されている既存の環境の変換
既存の環境にはトンネルが設定されています。このセットアップでは、プライマリ ハブがトンネル クライアントとして設定され、セカンダリ ハブの 1 つがトンネル サーバとして設定され、残りのセカンダリ ハブがその他のトンネル クライアントして設定されます。手順を以下に示します。
  1. UIM Server (プライマリ ハブ)のアップグレード
  2. セカンダリ ハブのアップグレード
  3. UMP/OC のアップグレード
  4. CABI のアップグレード
  5. その他のロボットのアップグレード
トンネル サーバの暗号セキュリティの設定が「高」に設定されていることを確認してください。そのようにしないと、ドメイン内の任意のハブがセキュリティ保護されている場合に通信が行われません。
UIM Server (プライマリ ハブ)のアップグレード
UIM Server のインストーラを実行するには、前のセクションで説明した手順に従います。トンネルが既存のセットアップですでに設定されている場合、[
Tunnel Server Configuration
(トンネル サーバの設定)]は表示されません。
このシナリオでは、セキュア オプションを有効にすると、以下の動作が実行されます。
  1. インストーラは、既存のトンネル セットアップを変更しません。アップグレード インストールは、トンネル クライアント設定で使用された証明書をプライマリ ハブに複製し、それを ..\
    Nimsoft\robot\certs
    フォルダに配置し、その証明書を使用するようにロボットが設定されます。ロボットがその証明書を使用するように設定されます。
  2. インストーラは、プライマリ ハブ(トンネル クライアント)に hub_adapter、セキュア ハブ、およびセキュア ロボットを展開します。
これで、プライマリ ハブはセキュリティ保護されました。以下のサンプル スクリーンショットは、セキュア パッケージがプライマリ ハブ(このスクリーンショットではトンネル クライアント)に展開されている状態を示しています。
Primary_Hub_Secure.PNG
セカンダリ ハブのアップグレード
インストーラが必要なタスクを実行したら、セカンダリ ハブを設定し、それらをセキュリティ保護できます。このシナリオでは、セカンダリ ハブの 1 つがトンネル サーバです。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。以下のサンプル スクリーンショットは、ループバック IP アドレスを使用したプライマリ ハブ IM へのログインを示しています。
    Primary_Hub_Loopback_Login.PNG
    トンネルがすでに設定されているため、すべてのセカンダリ ハブが一覧表示されているのを確認できます。以下のサンプル スクリーンショットは、IM へのログイン後の非セキュア セカンダリ ハブ(このスクリーンショットではトンネル サーバ)およびセキュア プライマリ ハブを示しています。
    Phub_Shub_Listing.PNG
  2. プライマリ ハブのアーカイブから、最新の hub_adapter プローブをセカンダリ ハブに展開します。
    以下のサンプル スクリーンショットは、hub_adapter プローブがセカンダリ ハブに正常に展開されている状態を示しています。
    Hub_Adapter_on_Sec_hub.PNG
  3. プライマリ ハブのアーカイブから、最新の非セキュア ロボットをセカンダリ ハブに展開します。
    以下のサンプル スクリーンショットは、非セキュア ロボットがセカンダリ ハブに正常に展開されている状態を示しています。
    NS_Robot_on_Sec_Hub.PNG
  4. セキュア ハブをセカンダリ ハブに展開します。
    以下のサンプル スクリーンショットは、セキュア ハブがセカンダリ ハブに正常に展開されている状態を示しています。
    Secure_hub_on_SecHub.PNG
  5. 最新の distsrv をセカンダリ ハブに展開します。
    以下のサンプル スクリーンショットは、distsrv 9.20 以降がセカンダリ ハブに正常に展開されている状態を示しています。
    Distsrv_on_Sec_hub.PNG
  6. (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからハブを指す必要なロボットに証明書を安全に転送します。
  7. (20.3.3 より前)トンネル サーバの通常の IP を使用して、任意の Windows コンピュータから IM に接続します。セキュアなトンネル サーバ ハブ上でロボット証明書コールバックを使用して、証明書パッケージ(UIMRobotCert)を作成します。この証明書パッケージには、* トンネル証明書 .pem ファイルおよび robot.cfx が含まれています。このパッケージを展開すると、証明書 .pem ファイルが展開され、robot.cfg ファイルが同じ .pem ファイルの場所で更新されます。トンネル サーバのアーカイブから、この証明書パッケージをセカンダリ ハブ ロボット、UMP/OC ロボット、CABI ロボット、および独立したロボットに展開します。
  8. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  9. プライマリ ハブのアーカイブから、最新のセキュア ロボット パッケージをセカンダリ ハブに展開します。
    以下のサンプル スクリーンショットは、セキュア ロボットがセカンダリ ハブに正常に展開されている状態を示しています。
    Secure_Robot_on_SecHub.PNG
これで、セカンダリ ハブがセキュリティ保護されました。
UMP/OC のアップグレード
セカンダリ ハブをアップグレードしたら、UMP/OC をセキュアな状態に変換できます。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. プライマリ ハブのアーカイブから、UMP/OC ロボットのバージョンをセキュア ロボット バージョンにアップグレードします。
  3. OC インストーラを実行して UMP を OC にアップグレードします。
UMP/OC がアップグレードされ、セキュリティ保護されました。
CABI のアップグレード
CABI をアップグレードして、セキュアな状態にできるようになりました。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. プライマリ ハブのアーカイブから、CABI ロボットのバージョンをセキュア バージョンにアップグレードします。
  3. CABI 4.30 パッケージを CABI ロボットに展開します。
CABI がアップグレードされ、セキュリティ保護されました。
その他のロボットのアップグレード
その他の独立したロボットをアップグレードして、セキュアな状態にできるようになりました。
以下の手順に従います。
  1. プライマリ ハブのアドミン コンソールまたは IM (ループバック IP を使用する Windows 上のみ)にログインします。
  2. プライマリ ハブのアーカイブから、独立したロボットのバージョンをセキュア バージョンにアップグレードします。
これで、独立したロボットがセキュリティ保護されました。
部分的なトンネル セットアップが設定されている既存の環境
プライマリ ハブをトンネル サーバとして設定するのは理想的ではありませんが、非常に小規模な環境の場合、または PoC (Proof of Concepts、概念実証)のデモを行うために役立つ場合があります。ただし、実稼働環境では、常にプライマリ ハブをトンネル クライアントとして設定することをお勧めします。
部分的なトンネル セットアップとは、既存のセットアップ内のすべてのハブがトンネルを介して通信していない状態を意味しています。トンネルがセカンダリ ハブ上でのみ設定されており、プライマリ ハブ上では設定されていないシナリオを考えてみてください。この場合、セキュア オプションを使用してインストーラを実行すると、プライマリ ハブがトンネル サーバになり、プライマリ ハブを指しているその他のすべてのセカンダリ ハブがトンネル サーバ(プライマリ ハブ)のトンネル クライアントになります。
そのため、このようなシナリオで正常な動作を実現するには、ご使用の環境でトンネルを手動で設定して、ドメイン内のセカンダリ ハブの 1 つをトンネル サーバとして設定し、その他のすべてのハブをそのハブ(トンネル サーバ)のトンネル クライアントとして設定する必要があります。その後、トンネルがすでにセットアップで設定されており、プライマリ ハブがトンネル クライアントである場合と同様に、インストーラを使用します。
(20.3.3 より前に適用)証明書パッケージの生成
セキュアなトンネル サーバ
上で
create_robot_cert_package
ハブ コールバックを使用して、* (ワイルドカード)証明書パッケージを生成します。このコールバックは、証明書パッケージ(UIMRobotCert)を作成して、セキュアなトンネル サーバのアーカイブに配置します。このパッケージには、* 証明書 .pem ファイル(client#.pem)および robot.cfx が含まれています。
このパッケージを、セキュリティ保護する必要がある非セキュア ロボット(たとえば、トンネル クライアント ロボット、独立したロボット、UMP/OC ロボット、CABI ロボットなど)に展開します。セキュリティ保護する必要があるロボットにこのパッケージを展開すると、* 証明書 .pem ファイルが
<Nimsoft>\robot\certs
フォルダに展開され、robot.cfg ファイルが .pem ファイルの場所で更新されます。
コールバックが正しく動作するように、セキュア トンネル サーバ ハブに distsrv または ade プローブ(20.3.0 と共にリリースされたもの)がすでに展開されていることを確認します。両方のプローブの最新バージョンがある場合、コールバックはデフォルトで distsrv を使用します。distsrv が使用できない場合は、ade プローブが使用されます。
以下の手順に従います。
  1. セキュア トンネル サーバ ハブのプローブ ユーティリティ(pu)を開きます。
  2. 以下のスクリーンショットに示すように、ドロップダウン リストから
    create_robot_cert_package
    コールバックを選択します。
    Certification_Package_Creation.png
  3. 以下のパラメータに対して適切な情報を提供します。
    1. countryName
      (オプション)
    2. stateOrProvince
      (オプション)
    3. localityName
      (オプション)
    4. organizationName
      (オプション)
    5. emailAddress
      (オプション)
    6. commonName
      (必須)
      * トンネル証明書を生成するには、共通名を * (ワイルドカード)として指定します。
    7. days
      (必須)
      証明書の有効期間を指定します。
    8. password
      (必須)
      証明書のパスワードを指定します。
    必須パラメータ(
    commonName
    days
    、および
    password
    )の値を指定せずにこのコールバックを実行しようとすると、無効な引数エラーが表示されます。
  4. コマンド リクエストを実行します。
    このコマンドが正常に完了すると、ロボット クライアント証明書パッケージ(UIMRobotCert)が作成され、セキュアなトンネル サーバのアーカイブに配置されます。
  5. セキュリティ保護するロボットに、この証明書パッケージを展開します。
セキュアな環境への新しいロボットの追加
セキュアな環境に新しいロボットを追加する場合は、要件に応じて適切な方法を使用できます。
  • 非セキュア セカンダリ ハブを使用しないロボットの追加
  • 非セキュア セカンダリ ハブを使用したロボットの追加
  • UMP/OC を使用したロボットの追加
  • XML ファイルを使用したロボットの追加
非セキュア セカンダリ ハブを使用しないロボットの追加
セキュア セットアップに直接ロボットを追加できます。
この手順は、Linux には適用できません。Linux の場合、セキュア セットアップに非セキュア セカンダリ ハブが存在する必要があります。そのため、Linux の場合は、「非セキュア セカンダリ ハブを使用したロボットの追加」を参照してください。
以下の手順に従います。
  1. 新しいロボットの追加先となるセキュア ハブで、hub_adapter がすでに有効になっていることを確認します。
  2. UIM ホーム ページからロボット インストーラ(NimBus Robot.exe)をダウンロードします。
  3. コンピュータ上でロボット インストーラを実行してロボットをインストールします。ロボットの追加先となる必要なセキュア ハブに関する情報を提供します。
  4. 最新のロボット(7.97 以降)を展開します。
  5. (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからハブを指す必要なロボットに証明書を安全に転送します。
  6. (20.3.3 より前)セキュアなトンネル サーバで、ロボット証明書コールバックを使用して、ロボット証明書パッケージを生成します(まだ実行していない場合)。ロボット コンピュータにロボット証明書パッケージを展開します。
  7. ロボット コンピュータに最新のセキュア ロボットを展開します。
    非セキュア ロボットがセキュア ロボットに変換されます。
非セキュア セカンダリ ハブを使用したロボットの追加
セキュアな環境で非セキュア セカンダリ ハブを使用して、新しいロボットを追加できます。
Linux の場合、セキュア セットアップに非セキュア セカンダリ ハブが存在する必要があります。また、必要なパッケージ(install_LINUX_23_64)が非セキュア セカンダリ ハブのアーカイブですでに使用可能であることを確認します。
以下の手順に従います。
  1. UIM ホーム ページから、ロボットとして追加するコンピュータにロボット インストーラ(nimldr または NimBus Robot.exe)をダウンロードします。
  2. コンピュータ上でロボット インストーラを実行してロボットをインストールします。ロボットのインストール中に必要な非セキュア セカンダリ ハブに関する情報を提供します。
    以下のサンプル スクリーンショットは、nimldr が正常に実行され、新しいロボットに展開されている状態を示しています。
    rob3 - Copy.PNG
  3. 最新のロボットを展開します。
    以下のサンプル スクリーンショットは、非セキュア ロボットが新しいロボット コンピュータに正常に展開されている状態を示しています。
    rob4 - Copy.PNG
  4. ご使用の環境内の適切なセキュア ハブにロボットを移動します。
    セキュア ハブに hub_adapter が存在するため、セキュア ハブは非セキュア ロボットと通信できるはずです。
    以下のサンプル スクリーンショットは、新しいロボットがセキュア ハブに正常に移動された状態を示しています。
    rob5 - Copy.PNG
  5. セキュアなトンネル サーバで、ロボット証明書コールバックを使用して、ロボット証明書パッケージを生成します(まだ実行していない場合)。
  6. (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからハブを指す必要なロボットに証明書を安全に転送します。
  7. (20.3.3 より前)ロボット コンピュータにロボット証明書パッケージを展開します。
  8. ロボット コンピュータに最新のセキュア ロボットを展開します。
    非セキュア ロボットがセキュア ロボットに変換されます。
UMP/OC を使用したロボットの追加
このシナリオでは、セキュアな環境で UMP/OC を使用してロボットを追加します。hub_adapter プローブがセキュア ハブでアクティブであることを確認します。これにより、セキュア ハブは非セキュア ハブと通信できます。
以下の手順に従います。
  1. セキュアな環境で OC にログインします。
  2. ディスカバリ ウィザードを開始し、セキュア ロボットに変換するデバイスを見つけます。
  3. デバイスを選択し、最新の非セキュア ロボットを展開します。
    非セキュア ロボットがセキュア セットアップに展開され、IM およびアドミン コンソールに表示されます。
  4. (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからハブを指す必要なロボットに証明書を安全に転送します。
  5. (20.3.3 より前)セキュアなトンネル サーバで、ロボット証明書コールバックを使用して、ロボット証明書パッケージを生成します(まだ実行していない場合)。ロボット コンピュータにロボット証明書パッケージを展開します。
  6. ロボット コンピュータに最新のセキュア ロボットを展開します。
    非セキュア ロボットがセキュア ロボットに変換されます。
XML ファイルを使用したロボットの追加
このシナリオでは、セキュアな環境で XML ファイルを使用してロボットを追加します。hub_adapter プローブがセキュア ハブでアクティブであることを確認します。これにより、セキュア ハブは非セキュア ハブと通信できます。
以下の手順に従います。
  1. セキュアな環境で、最新の ade (automated_deployment_engine)プローブがセキュア プライマリ ハブで実行されていることを確認します。
  2. <Nimsoft>\probes\service\automated_deployment_engine
    フォルダに移動します。
  3. XML ファイルを作成し、ロボットに関連するすべての詳細情報(たとえば、ユーザ名、パスワード、コンピュータの詳細、ハブ情報)を指定します。
  4. ファイルを host-profiles.xml という名前で
    <Nimsoft>\probes\service\automated_deployment_engine
    フォルダに保存します。
    ade プローブは XML ファイルを確認し、非セキュア ロボットを展開します。非セキュア ロボットが IM およびアドミン コンソールに表示されます。
  5. (20.3.3 以降)「証明書の安全な転送」記事の手順に従って、ハブからハブを指す必要なロボットに証明書を安全に転送します。
  6. (20.3.3 より前)セキュアなトンネル サーバで、ロボット証明書コールバックを使用して、ロボット証明書パッケージを生成します(まだ実行していない場合)。ロボット コンピュータにロボット証明書パッケージを展開します。
  7. ロボット コンピュータに最新のセキュア ロボットを展開します。
    非セキュア ロボットがセキュア ロボットに変換されます。
XML ファイルの例を以下に示します。
<hosts> <host> <profile>Windows</profile> <arch>64</arch> <hostname>10.xxx.xxx.xxx</hostname> <username>Administrator</username> <password>in#4572</password> <domain>uimser01_domain</domain> <hubip>10.xxx.xxx.xxx</hubip> <hub>uimser01_hub</hub> <hubrobotname>uimser01</hubrobotname> <hubport>48002</hubport> <robotname>talsec_robot</robotname> <tempdir>c:\tmp</tempdir> </host> </hosts>
セキュアな環境への新しいハブの追加
セキュアな環境に新しいハブを追加する場合は、要件に応じて適切な方法を使用できます。
  • 非セキュア セカンダリ ハブを使用しない新しいハブの追加
  • 非セキュア セカンダリ ハブを使用した新しいハブの追加
非セキュア セカンダリ ハブを使用しないハブの追加
セキュア セットアップに直接ハブを追加できます。
この手順は、Linux には適用できません。Linux の場合、セキュア セットアップに非セキュア セカンダリ ハブが存在する必要があります。そのため、Linux の場合は、「非セキュア セカンダリ ハブを使用した新しいハブの追加」を参照してください。
以下の手順に従います。
  1. UIM ホーム ページから、ハブとして追加するシステムにセカンダリ ハブ インストーラ(NimBUS Infrastructure.exe)をダウンロードします。
  2. システム上でインストーラを実行してセカンダリ ハブをインストールします。このハブの追加先となるドメイン名を指定します。
  3. セキュアなトンネル サーバから、tunnelsetup.exe ユーティリティとクライアント証明書をコピーします。tunnelsetup.exe ユーティリティは、
    ..\Nimsoft\hub
    フォルダにあります。クライアント証明書は、
    ..Nimsoft\hub\certs
    フォルダにあります。
  4. 新しいハブ上で tunnelsetup.exe を実行し、すべての詳細情報(たとえば、トンネル サーバ IP、UIM 管理者の認証情報、証明書パス)を指定します。
    サンプル スクリーンショットを以下に示します。
    tunnelset.exe.png
    代わりに、この新しいハブで IM を使用して、セキュアなトンネル サーバのトンネル クライアントにできます。これを行うには、セキュアなトンネル サーバから証明書をコピーし、新しいハブにトンネル クライアント証明書を作成します。
  5. ハブ設定を開き、
    [ステータス]
    タブ(
    [トンネル ステータス]
    セクション)に移動して、トンネル接続が稼働していることを確認します。
    ドメイン内の新しい非セキュア ハブが一覧表示されるようになりました。
  6. シナリオに応じて、(前に説明した)通常の手順に従って新しいハブをセキュアな状態にします。
    1. hub_adapter を新しいハブに展開します。
    2. 新しいハブに最新のロボットを展開します。
    3. 新しいハブに最新のセキュア ハブを展開します。
    4. ロボットにロボット証明書パッケージを展開します。
    5. 最新のセキュア ロボットを展開して、ロボットをセキュア ロボットにします。
    新しいハブを正常に追加してセキュリティ保護しました。
非セキュア セカンダリ ハブを使用したハブの追加
セキュア セットアップにすでに存在する非セキュア セカンダリ ハブを使用して、セキュア セットアップに新しいハブを追加できます。
Linux の場合、セキュア セットアップに非セキュア セカンダリ ハブが存在する必要があります。また、必要なパッケージ(install_LINUX_23_64)が非セキュア セカンダリ ハブのアーカイブですでに使用可能であることを確認します。
以下の手順に従います。
  1. UIM ホーム ページから、セカンダリ ハブ インストーラ(nimldr または NimBUS Infrastructure.exe)をダウンロードします。
  2. 新しいシステム上でインストーラを実行してセカンダリ ハブをインストールします。ロボットのインストール中に必要な非セキュア セカンダリ ハブ情報を提供します。Linux の場合、ハブ インストール中に新しいハブをトンネル クライアントにしたことを確認します。
    以下のサンプル スニペットは、nimldr を使用してハブをトンネル クライアントとしてインストールするプロセスを示しています。
    hub2 - Copy.PNG
  3. Windows の場合、以下の手順に従って新しいハブをトンネル クライアントとして設定します(前の手順ですでに説明しています)。
    1. セキュアなトンネル サーバから、tunnelsetup.exe ユーティリティとクライアント証明書をコピーします。tunnelsetup.exe ユーティリティは、
      ..\hub
      フォルダにあります。クライアント証明書は、
      ..\hub\certs
      フォルダにあります。
    2. 新しいハブ上で tunnelsetup.exe を実行し、すべての詳細情報(たとえば、トンネル サーバ IP、UIM 管理者の認証情報、証明書パス)を指定します。
    Linux の場合、ハブ インストール中に新しいハブがトンネル クライアントに設定されます。
  4. ハブ設定を開き、
    [ステータス]
    タブ(
    [トンネル ステータス]
    セクション)に移動して、トンネル接続が稼働していることを確認します。
    以下のサンプル スクリーンショットは、新しいハブ(talki-robo2)とセキュア プライマリ ハブの間の正常なトンネル通信を示しています。
    hub5 - Copy.PNG
  5. シナリオに応じて、(前に説明した)通常の手順に従って新しいハブをセキュアな状態にします。
    1. hub_adapter を新しいハブに展開します。
    2. 新しいハブに最新のロボットを展開します。
    3. 新しいハブに最新のセキュア ハブを展開します。
    4. ロボットにロボット証明書パッケージを展開します。
    5. 最新のセキュア ロボットを展開して、ロボットをセキュア ロボットにします。
    新しいハブを正常に追加してセキュリティ保護しました。
非セキュア モードへの復帰
セキュアな環境を非セキュアな状態に戻すには、アーカイブからロボットおよびハブの古いバージョンをダウンロードおよびインストールして、セキュリティ保護された環境内のすべてのロボットおよびハブをダウングレードする必要があります。セットアップに基づいて、以下のようにロボットおよびハブをダウングレードできます。
  1. セキュアな環境が、セキュア ハブに接続されているスタンドアロン ロボットで構成されている場合、すべてのスタンドアロン ロボットを、アーカイブからダウンロードした古いバージョンにダウングレードする必要があります。
  2. スタンドアロン ロボットをダウングレードしたら、セキュア ハブで実行されているロボットを、アーカイブからダウンロードした古いバージョンにダウングレードします。
  3. すべてのロボットをダウングレードしたら、ハブをアーカイブからダウンロードした古いバージョンにダウングレードします。
CABI および OC が別々のセキュア ロボットから安全に通信できるようにする
CABI および OC が別々のセキュア ロボットから安全に通信できるようにするには、以下の手順を実行します。
  1. IM の既存のプローブ管理 UI を使用して、UMP および cabi が実行されている IP サブネットをホワイトリストに追加します。
    この設定によって、セキュア バスが、これらのサブネット上の wasp および CABI がバスによって信頼されていることを認識できます。
    UMP CABI Communication 01.png
  2. プローブ ユーティリティを使用し、プライマリ ハブで hubsec_setup_put コールバックを使用して、ハブの security.cfg ファイルに UMP/OC ロボットおよび CABI ロボットの IP を「trusted_ips」として追加します。カンマ区切りリストを使用します。
    この設定によって、セキュア バスが、これらが特別なロボットでありアクセスをダウングレードすることなくこれらのロボットからのユーザ ログインを許可する必要があることを認識できます。
    UMP CABI Communication 02.png
  3. プライマリ ハブを再起動し、OC を再起動して、OC が完全に稼働するまで待機してから CABI を再起動します。
既知の問題
セキュア ハブおよびロボットに関連する既知の問題を以下に示します。
  • ppm プローブは、アドミン コンソールのプローブ設定 UI の機能を提供します。ppm プローブは、AIX ハブでは実行されません。AIX ハブ上でロボットおよびプローブを設定するには、アドミン コンソールの RAW 設定ユーティリティまたはインフラストラクチャ マネージャを使用します。
  • Linux でロボットとの通信に失敗した場合は、ネットワークの設定を確認してください。
    1. ロボット、ハブ、サーバ、または OC システムの
      /etc/hosts
      ファイルで、ローカル システムの有効なエントリを確認します。
    2. ローカル システムのエントリは、完全修飾ホスト名と IP アドレスである必要があります。
    3. ループバック アドレスのみが定義されている場合(たとえば、localhost 127.0.0.1)、コントローラは自身の IP アドレスを認識しません。
    4. IP アドレスの問題は、ネットワーク通信の障害を引き起こします。
  • Windows ターゲットへの automated_deployment_engine ロボットの配布では、hdb とスプーラのプローブのアクティブ化に失敗することがあります。この問題を解決するには、影響を受けたプローブ(hdb とスプーラ)のセキュリティを検証します。
  • 自動ディスカバリによってロボットがインベントリに追加された場合、OC は AIX または z/Linux システムにロボットを自動展開できません。以下の代替方法のいずれかを使用します。
    1. 手動でまたはサード パーティ ツールを使用してネイティブのインストーラを実行します。「サードパーティ ツールおよびネイティブ インストーラを使用したロボットの一括展開」を参照してください。
    2. XML ファイルと共に ade (automated_deployment_engine)プローブを使用します。「XML ファイルおよび ADE プローブを使用したロボットの展開」を参照してください。
    3. OC 内に XML ファイルをインポートします。「OC での XML ファイルを使用したロボットの展開」を参照してください。
  • セキュアな環境では、独立したセキュア ロボットにインストールされているプローブは、関連するセキュア ハブのキューを購読しようとした場合、キューへの接続に失敗します。この問題を回避するには、プローブがハブ キューの読み取りまたはハブ キューへのパブリッシュを必要とする場合、プローブをプライマリ ハブ ロボットに展開します。
  • ハブにログインした後にアーカイブ内のパッケージ名を変更し、そのパッケージを同じハブに展開しようとすると、予期しないエラーが表示されます。ただし、展開は問題なく完了します。たとえば、ハブにログインした後にアーカイブ内の robot_update パッケージの名前を変更し、そのハブに展開しようとした場合、「
    中止、再試行制限超過、不明なステータス
    」というエラーが発生しますが、展開は正常に完了します。
  • 標準からセキュア
    への変換では、新しい hub_secure または robot_update_secure パッケージを展開すると、展開が中止されたことを示すエラー メッセージが表示されます。ただし、展開は問題なく完了します。このエラーが発生した場合、無視してかまいません。
  • distsrv 9.20 はロボット 9.20/9.20S と依存関係があります。アップグレード中に、ロボット展開の前に distsrv を展開しようとすると、既存のロボット バージョンが 9.20/9.20S より低いことを示すエラー メッセージが表示されます。ロボット パッケージがセキュアの場合、このエラー メッセージはロボット バージョンのサフィックス「S」を表示しません。単に「S」のないバージョンを表示しているだけで、誤解を招く表現になっています。次のエラーが表示されます: 依存関係チェック エラー: ロボット バージョン >=9.20 が必要(7.97 が見つかりました)
追加情報
  • 手動変換プロセス
    インストーラ(UIM Server)を使用してセキュア ハブおよびロボットに変換せず、後の段階でこれを実行する必要がある場合は、手動プロセスに従うことができます。ただし、インストーラを使用することをお勧めします。これは、このインストーラではさまざまなタスクが自動的に実行され、プロセスが大幅に容易になるためです。これらの手動手順の実行方法の詳細については、「セキュア ハブおよびロボットへの手動変換」に示されている情報に従ってください。
  • トラブルシューティング
    さまざまなトラブルシューティングのトピックを確認するには、「セキュア ハブおよびロボットのトラブルシューティング」を参照してください。