ソケット フィルタ エージェントのインストールおよび設定

ソケット フィルタ エージェント (SFA)は、サーバ ベースのデバイスへのアクセス、またはサーバ ベースのデバイスからのアクセスを制限します。 ソケット フィルタは、コマンド フィルタリングを適用するルータなど、有限のコマンド セットを持つデバイスの異なる種類のアクセス制御を提供します。
capam32
CA Privileged Access Manager
ソケット フィルタ エージェント(SFA)は、サーバ ベースのデバイスへのアクセス、またはサーバ ベースのデバイスからのアクセスを制限します。 ソケット フィルタは、コマンド フィルタリングを適用するルータなど、有限のコマンド セットを持つデバイスの異なる種類のアクセス制御を提供します。
SFA は、アプライアンスで設定されたソケット フィルタ リスト(SFL)を伴って動作します。 詳細については、「ソケット フィルタ エージェントのサポート」を参照してください。
2
ソケット フィルタ エージェント インストール要件
このセクションでは、ソケットのフィルタ エージェントをインストールするための SFA の要件について説明します。
  • ネットワーク ポートの要件:
    SFA には、以下のネットワーク ポート要件があります。
    • デフォルトでは、ポート 8550 が、SFA を含むターゲット ホストとアプライアンス間で許可される必要があります。 別のポートを使用するように SFA を設定することができます。
    • ポート 443 は開かれて、ログ エントリのメッセージを含んだアプライアンスとの通信に戻ることを許可されます。
      AWS または Azure の場合、これらのポートが、AWS または Azure ネットワーク設定とインスタンスの OS ファイアウォールでも開かれていることを確認します。
  • 権限:
    SFA インストールは、Windows のデフォルト管理者アカウントもしくは UNIX の
    root
    アカウントといった、管理者権限を必要とします。
  • サポートされているオペレーティング システム:
    SFA をサポートするオペレーティング システムについては、「サポートされている環境」を参照してください。
オプションの手続きに従い、
CA PAM
UI から SFA エージェントのステータスを監視します。
ソケット フィルタ エージェント ソフトウェアのダウンロード
SFA ソフトウェア パッケージをダウンロードするには、この手順を使用します。
以下の手順に従います。
  1. 必要に応じて、ブラウザで CA サポート ダウンロード センターを開き、ログインします。
  2. [製品の選択]
    フィールドに「CA Privileged Access Credential Manager DEBIAN」と入力します。
  3. [リリースの選択]
    ドロップダウン リストから該当するソフトウェア バージョンを選択します。
  4. [実行]
    を選択します。
  5. 使用可能なダウンロードのリストで、以下のいずれかのエントリの
    [ダウンロード]
    リンクを選択します。
    • Windows ソケット フィルタ エージェント
    • UNIX ソケット フィルタ エージェント
  6. ダウンロードした
    .zip
    ファイルを、ローカル ドライブ上のディレクトリに解凍します。
Windows 上でのソケット フィルタ エージェントのインストールおよび設定
Windows ソケット フィルタ エージェントは、MSI 自己解凍パッケージとして提供されています。 このセクションでは、Windows ターゲット システムで SFA をインストールおよび設定する方法について説明します。
Windows のターゲット上で、ソケット フィルタ ポリシーはターゲットに直接ログインしているユーザに適用されず、
CA Privileged Access Manager
は回避されます。
Windows インストーラ UI を使用した Windows SFA のインストール
インストーラ UI を使用して Windows SFA をインストールするには、この手順を使用します。
SFA のインストールに使用されるアカウントは、どのアカウントが SFA をアンインストールできるかに影響します。 以下のアカウントのいずれかで SFA をインストールした場合、他のアカウントはエージェントをアンインストールできません。
  • ローカル管理者権限を持つドメインベースのアカウント
  • ローカルの管理者権限を持つローカル アカウントが SFA をインストールしますが、管理者自体ではありません。
  • ローカルの管理者権限を持つローカルの管理者アカウント
ドメインベースまたはローカルのアカウントでインストールを実行すると、陳腐化または無効になり、SFA をアンインストールできなくなる可能性があります。 このような場合に SFA 製品をアンインストールするには、
CA Technologies
サポートにお問い合わせください。
以下の手順に従います。
  1. すべてのインストールの前提条件を満たしていることを確認します。
  2. ローカル管理者として、ターゲットの Windows デバイスにログインします。
  3. ターゲット デバイスからの既存の Windows SFA を削除するには、
    [プログラムの追加と削除]
    ウィンドウ(またはそれに相当するもの)を使用します。
  4. SFA ダウンロードを解凍したディレクトリに移動します。
  5. WinSFA.exe
    ファイルをダブルクリックしてインストーラを起動します。
  6. プロンプトに従います。
インストールが完了すると、SFA が起動し、デフォルト名が「
CA Technologies
Soket Filter」の Windows バックグラウンド サービスとして実行されます。 ローカルの Windows サービス インターフェースを使用して、サービスを設定および管理します。
Windows 上に SFA をサイレント インストールする
自動起動を含む Windows SFA のサイレント インストールを実行するには、この手順を使用します。
SFA のインストールに使用されるアカウントは、どのアカウントが SFA をアンインストールできるかに影響します。 以下のアカウントのいずれかで SFA をインストールした場合、他のアカウントはエージェントをアンインストールできません。
  • ローカル管理者権限を持つドメインベースのアカウント
  • ローカルの管理者権限を持つローカル アカウントが SFA をインストールしますが、管理者自体ではありません。
  • ローカルの管理者権限を持つローカルの管理者アカウント
ドメインベースまたはローカルのアカウントでインストールを実行すると、陳腐化または無効になり、SFA をアンインストールできなくなる可能性があります。 このような場合に SFA 製品をアンインストールするには、
CA Technologies
サポートにお問い合わせください。
以下の手順に従います。
  1. すべてのインストールの前提条件を満たしていることを確認します。
  2. ローカル管理者として、ターゲットの Windows デバイスにログインします。
  3. ターゲット デバイスからの既存の Windows SFA を削除するには、
    [プログラムの追加と削除]
    ウィンドウ(またはそれに相当するもの)を使用します。
  4. SFA ダウンロードを解凍したディレクトリに移動します。
  5. コマンド プロンプト ウィンドウを開き、SFA ダウンロードを解凍したディレクトリに移動します。
    Windows Server 2008 または Windows Server 2012 の場合は、[コマンド プロンプト]アイコンを右クリックし、
    [管理者として実行]
    を選択します。
  6. 以下のコマンドを入力します。
    path\WinSFA.exe /s /v"/qn /liwe c:\XCDM_SFA.log"
    path
    」は、WinSFA.exe ファイルがある場所のパスです。
    /q および /l のオプションとパラメータは推奨されますが、必須ではありません。
インストールが完了すると、SFA が起動し、(デフォルト名が「
CA Technologies
Soket Filter」の) Windows バックグラウンド サービスとして実行されます。 ローカルの Windows サービス インターフェースを使用して、サービスを設定および管理します。
基本的な Windows SFA 構成設定の変更
SFA の基本設定を変更するには、SFAConfig.exe 設定ユーティリティを実行します。
以下の手順に従います。
  1. SFA_Install_Dir
    /Bin に移動します。
    SFA_Install_Dir
    は SFA のインストール ディレクトリです。 デフォルトは C:\Program Files (x86)\CATech\Socket Filter です。
  2. SFAConfig.exe
    を実行します。
  3. 必要に応じて、以下の設定のいずれかを変更します。
    • ポート:
      SFA がアプライアンスとの通信に使用するポート。 デフォルト: 8550
    • サービス名:
      SFA Windows サービスの名前。 デフォルト: 「
      CA Technologies
      ソケット フィルタ」
    • サービスの説明:
      SFA Windows サービスの説明。 デフォルト: 「
      CA Technologies
      ソケット フィルタ」
    • エージェントを詳細モードで実行:
      SFA が診断の目的で詳細なログ メッセージを生成するかどうかを決定します。 デフォルト: オフ
  4. [保存]
    を選択します。
新しい設定を保存した後、SFA が再起動します。
Windows SFA のトラブルシューティング
SFAConfig.exe 設定ユーティリティを使用して、詳細モードをオンにして、詳細なログ メッセージを生成します。
ログ メッセージは、インストール ディレクトリ内にある
log.txt
ファイルに格納されます。
Windows SFA のアンインストール
Windows SFA をアンインストールするには、以下の手順のいずれかを行います。
  • Windows コントロール パネルにアクセスし、
    [プログラムの追加と削除]
    ウィンドウ(またはそれに相当するもの)を使用します。
  • [コマンド プロンプト]ウィンドウを開き、以下のテキストを入力します。
    MsiExec.exe /X{5A2A2643-2BD6-4D09-9B03-E08098887B06} /norestart
UNIX 上でのソケット フィルタ エージェントのインストールおよび設定
このセクションでは、 ソケット フィルタ エージェント(SFA)を UNIX ターゲットにインストールおよび設定する方法について説明します。
UNIX および Linux のターゲットでは、ソケット フィルタ エージェントは root ユーザ以外のユーザのみをフィルタします。 ポリシーのソケット フィルタ リストは
CA PAM
を介してターゲットにログインしている root 以外のユーザに対してのみ有効です。 それ以降は、ユーザがターゲットに直接ログインしても、フィルタは有効になります。 ソケット エージェント(gksfd)がルートで再起動されると、すべてのユーザのソケット フィルタがリセットされます。
UNIX SFA のインストール
UNIX SFA ダウンロード パッケージには、サポートされている UNIX オペレーティング システムごとに個別のインストーラ スクリプトが含まれています。 各スクリプトには、以下の形式の、説明を含んだファイル名が付いています。
gksfd_
sfa-version
_
os-version
[_64]_linux_install.sh
sfa-version
」は SFA のリリース バージョン、「
os-version
」は UNIX のバージョンです。
以下に例を示します。
  • gksfd_2.70_debian6_64_linux_install.sh
    : Debian 6 (64 ビット)用のリリース 2.7 SFA の場合
  • gksfd_2.70_rh6_linux_install.sh
    : Red Hat EL 6 (32 ビット)に対してリリース 2.7 の SFA の場合
OS に応じて、SFA デプロイ方法はさまざまです。 管理対象のターゲット デバイス上で最小限の設定が必要となるため、SFA は、既存のソフトウェア配信メカニズムによってデプロイすることができます。
以下の手順に従います。
  1. すべてのインストールの前提条件を満たしていることを確認します。
  2. ローカル管理者として、ターゲット デバイスにログインします。
  3. ターゲット デバイスから既存の UNIX SFA を削除します。
  4. ターミナル ウィンドウを開きます。
  5. オペレーティング システムに適切なインストーラ スクリプトを、SFA をインストールするディレクトリにコピーします。
  6. インストーラ スクリプトを実行します。 たとえば、2.7 SFA を Red Hat Enterprise Linux (32 ビット)にインストールするには、以下のスクリプトを実行します。
    [root]# sh gksfd_2.70_rh6_linux_install.sh
    端末のウィンドウが開き、インストーラ スクリプトの操作が可能になります。
  7. オンラインの指示に従ってください。 要求された場合、SFA のインストール先ディレクトリを指定します。 デフォルトは
    /usr/sbin
    です。
    AIX の場合、コントロール スクリプトは
    /etc/rc.d/init.d/
    にインストールされます。 UNIX のその他のバージョンの場合、コントロール スクリプトは
    /etc/init.d/
    にインストールされます。
    デフォルトのインストール場所から別の場所を指定する場合は、予期しない動作が起こる可能性があります。
    CA Technologies
    は、デフォルトの場所を移動しないことをお勧めします。
UNIX SFA の設定と操作
設定ファイル(
/etc/gksfd.cfg
)およびコントロール スクリプトは UNIX SFA の操作を管理しています。 Linux の場合、コントロール スクリプトは
/etc/init.d/rc.gksfd
にあります。 その他の OS バージョンでは、対応する場所にこのスクリプトが格納されます。
以下の表では、
gksfd.cfg
設定ファイル内のキー設定について記載されています。
名前
設定
説明
ログイン コントロール
SECURE_LOGIN=
[
0
|
1
]
0
CA PAM
の外部からのログインを許可します
1
CA PAM
接続からのみログインを許可します
安全なユーザ リスト
SECURE_USER=
<username_1>
,
<username_2>
,
… <username_N>
すべての SFA スーパーユーザを指定: ソケット フィルタ ポリシーの対象ではないすべてのデバイス ログイン ユーザ。
各ユーザ名は、カンマで区切られ、スペースは使用できません。
コントロール スクリプトを実行するための構文は次のとおりです。
rc.gksfd { start | stop | restart | reload }
UNIX SFA 実行可能ファイルの構文は次のとおりです。
gksfd [-options]
以下の表では、オプションについて説明します。
オプション
オプションが設定されていないときのデフォルト値
説明
-h
オンライン ヘルプの表示。
-l logfile
/var/log/gksfd.log
使用するログ ファイルを指定。
-p port#
8550
アプライアンスと通信するポートを設定。
-v
info
ログ レベルを詳細モードに設定。 以下に例を示します。
/usr/sbin/gksfd –v >> /var/log/gksfdmessages
詳細なログが必要な場合にのみ、このオプションを設定します。
-ver
バージョン番号を表示。
永続的な変更を適用するには、
rc.gksfd
ファイルの UNIX SFA オプションを設定します。
Red Hat Linux などの一部のプラットフォームでは、ポート 8550 がデフォルトでブロックされ、SFA の操作が禁止されている場合があります。 ポートがブロックされているかどうかを確認するには、
netsta
コマンドを使用します。 必要に応じて、コマンド
iptables -I INPUT 1 -p tcp --dport 8550 -j ACCEPT
を使用してポート 8550 を開き、SFA を再起動します。
UNIX SFA のトラブルシューティング
-v
オプションを使用して詳細モードをオンにして、詳細なログ メッセージを生成します。
ログ メッセージのデフォルトの場所は
/var/log/gksfd.log
です。
UNIX SFA のアンインストール
以下の手順に従います。
  1. 実行可能ファイルがインストールされたディレクトリから
    gksfd
    デーモンを停止します。 以下の例は、Red Hat 6 Linux の場合を示します。
    [root]# /etc/init.d/rc.gksfd stop
  2. 以下のファイルを削除します。
    • 実行可能ファイル(通常は
      /usr/sbin/gksfd
      にあります)
    • コントロール スクリプト(通常
      /etc/init.d/rc.gksfd
      にあります)