SafeNet Luna SA アプライアンス
Luna HSM アプライアンスと通信するように設定するためには、アプライアンスを準備して を認識できるようにする必要があります。
capamnew
HID_ConfigSafenetHSM
Privileged Access Manager
では、組み込みの暗号化エンジンの代わりに、SafeNet Luna SA ハードウェア セキュリティ モジュール アプライアンスを使用して、格納された認証情報の暗号化と復号化を行うことができます。 前提条件:
SafeNet Luna SA ハードウェア アプライアンス、バージョン 5.2.x
、5.3.x
、または 5.4.x
。(Luna PCI カードについては、「SafeNet Luna PCI-E カード」を参照してください。) ライセンスの要件:
Luna HSM への接続を設定するためには、特別な Privileged Access Manager
ライセンスは必要ありません。 Privileged Access Manager
から Luna アプライアンスにアクセスできない場合、管理者とエンド ユーザはパスワードを管理または使用できません。また、該当する一部の GUI ページを呼び出すことができません。Luna の設定
Privileged Access Manager
を Luna HSM アプライアンスと通信するように設定するためには、アプライアンスを準備して Privileged Access Manager
を認識できるようにする必要があります。例
以下の手順では、
CA Technologies
の制御の外にある、サードパーティ環境(SafeNet Luna SA 4.3)について説明します。以下の説明は、必要になる可能性があるインターフェースおよび手順の例に過ぎないと考えてください。ご使用の SafeNet Luna の製造元のマニュアルを参照してください。以下の手順に従います。
- ネットワーク接続を設定します。Luna アプライアンスは、ネットワーク上で表示されるように設定する必要があり、 IP アドレスまたはマシン名(FQDN)を使用してPrivileged Access Managerに表示される必要があります。これを行う場合は、管理アカウントおよびパスワードを作成します。これらは、SafeNet プリンシパル ユーザ名およびSafeNet プリンシパル パスワードとして、後で使用されます。詳細および手順については、SafeNet ドキュメントを参照してください。
- 以下の手順に従い、PCI カードを初期化します。
- コンソールにログインします。コンソールは、「Lush」と呼ばれるシェルであり、SSH を使用して(たとえば、ssh、PuTTY などを使用して)ログインできます。ログインすると、Lush プロンプトが提示されます。Luna Command Line Shell v4.3.2-3 - (c) 2001 - 2008 SafeNet, Inc. All rights reserved. [luna] lunash:>
- 内部の PCI カードは出荷時の状態であり、使用するためには初期化する必要があります。PCI カードの初期化には、以下のコマンドを入力します。[luna] lunash:>hsm init -d xsuite -l xsuite –s<password>–f以下に示しているように、「-d」および「-l」(小文字のエル)オプションでは文字列「xsuite」を使用する必要があります。「-s」オプションは、必須の「セキュリティ役員」のパスワードを指定し、それはユーザ選択が可能です。例:[luna] lunash:>hsm init -d xsuite -l xsuite –s xD6@8iJkd!F –f
- Privileged Access Managerと統合する各 Luna アプライアンス(最大 3 つ)で、ストレージを一度初期化する必要があります。初期化されると、Privileged Access Managerの複数インスタンスにより、各 SA アプライアンス上のストレージ エレメントは共有されます。
- 内部の PCI カード ログインします。[luna] lunash:>hsm login作成した「xsuite」の管理者パスワードを使用します。
- ストレージの作成:[luna] lunash:>partition create -par xsuite -pas<password>–f表示のように、「-par」オプションに文字列「xsuite」を使用しなければなりません。「-pas」オプションは、ユーザが選択可能なストレージのパスワードです。例:[luna] lunash:>partition create -par xsuite -pas 3e)kuuI%6j –f
- ストレージの確認– ストレージの作成を確認でき、以下のコマンドを発行して内容を表示することができます。[luna] lunash:>partition showC -par xsuite -pas<password>
Privileged Access Manager
の設定必須ではありませんが、
Privileged Access Manager
ダウンタイム中にのみ、Privileged Access Manager
で Luna アプライアンスを設定することをお勧めします。ご使用の Privileged Access Manager
が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。Privileged Access Manager
2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。 SafeNet Luna HSM アプライアンスが通信を受信できるようになったら、
Privileged Access Manager
を設定して、同じリリース レベルの最大 3 つの Luna アプライアンスを使用できるようになります。データベースのバックアップ
Privileged Access Manager
を Luna アプライアンスと連携するように設定する前に、Privileged Access Manager
のデータベースをバックアップします。以下の手順に従います。
- Privileged Access Managerに管理者(たとえば、「super」)としてログインします。
- [構成]-[データベース]に移動します。
- [データベース]タブで、[データベースおよび構成を保存]を選択します。ページが更新され、バックアップの作成の確認メッセージと、データベース(および設定)のファイル名が表示されます。データベースのファイル名(例: gkdatabase20130714124622.gz)をメモします。
- データベースのファイル名をクリックして選択し、[ダウンロード]をクリックします。データベースは、ローカル ワークステーション(または、他の場所)に保存されます。
- Privileged Access Managerデータベースを回復する必要がある場合は、このファイルを使用します。
HSMの設定
以下の手順では、1 つの Luna アプライアンスに対する設定、SafeNet HSM の
Privileged Access Manager
へのライセンスを想定しています。HSM または Privileged Access Manager
アプライアンスの数の変更については、このドキュメントで後述している「スケーリング」セクションを参照してください。以下の手順に従います。
- Privileged Access Managerに管理者(たとえば、「super」)としてログインします。
- [構成]-[サードパーティ]-[SafeNet HSM]に移動します。
- [SafeNet HSM の設定]タブで、デバイスの設定時に確立した Luna 認証情報を入力します。
- Luna の管理アカウントの設定時に設定した[セキュリティ プリンシパル ユーザ名]を入力します。
- Luna 管理アカウントの設定時に設定した[セキュリティ プリンシパル パスワード]を入力します。
- Luna (5.2 以降)の設定時に指定した[パーティション名]を入力します。
- 以前の Luna 設定手順中に、「Create Storage」ステップで設定した、[パーティションパスワード]を入力します。
- Luna アプライアンスに割り当てられた[アドレス](IP アドレスまたは FQDN)を入力します。
- [追加]をクリックして、設定を開始します。Luna アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。[ネットワーク接続されている HSM]タブが、アドレス(HSMのラベル)、ステータス(PartitionName:ConnectionStatusとして表示)、許可されるアクション([削除]ボタンを使用できます)で更新されます。
- Privileged Access Managerを再起動します。
- Privileged Access Managerに再度ログインして、[サードパーティ]ページに移動します。A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
SafeNet Luna がアクティブになると、このステータスは「システム情報の確認」ページに表示されています。
スケーリング
必須ではありませんが、
Privileged Access Manager
ダウンタイム中にのみ、Privileged Access Manager
で Luna アプライアンスを設定することをお勧めします。ご使用の Privileged Access Manager
が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。Privileged Access Manager
2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。Luna アプライアンスを追加します。
2 番目と 3 番目の Luna アプライアンスを
Privileged Access Manager
設定に追加できます。これにより、「Luna の設定」および「Privileged Access Manager
の設定」の手順を繰り返します要件:
Luna アプライアンスごとに、ストレージの作成
手順で割り当てられるストレージ エレメントで同じパスワードを使用します。Luna アプライアンスの削除
Luna アプライアンスは、既存の
Privileged Access Manager
設定から削除できます。以下の手順に従います。
- Privileged Access Managerに管理者(たとえば、「super」)としてログインします。
- [構成]-[サードパーティ]-[SafeNet HSM]に移動します。
- [ネットワーク接続されている HSM]タブで、削除したい Luna アプライアンスの削除ボタンをクリックします。ページをリフレッシュし、選択されたアプライアンスの削除を表示します。
- (残り) 1 つのアプライアンスを削除したら、Privileged Access Managerを再起動します。
- Privileged Access Managerに再度ログインして、[サードパーティ]ページに移動します。A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
- Privileged Access Managerが許可されたクライアントを SafeNet Luna SA から削除することはありません。SafeNet Luna SA HSM で以下のコマンドを発行します。[luna] lunash:>client delete -c<hostname>-fそうしないと、認証されたクライアントが HSM に登録されている場合、後で HSM に再度追加しようとすると、「このクライアントは、HSM ですでに登録されています」というエラー メッセージが表示されます。
1 つの
Privileged Access Manager
アプライアンスで設定されている Luna HSM アプライアンスまたはアプライアンス グループを、他のアプライアンスでも設定できます。このドキュメントの前述の「Privileged Access Manager
設定」の手順に従います。 要件
: 各 Privileged Access Manager
アプライアンスは、同一の暗号化/復号化キーが使用されなければなりません。Luna アプライアンスのグループは、以下の順序で、デバイスを設定することにより、既存の
Privileged Access Manager
の同期されたクラスタでの使用に設定されます。Privileged Access Manager
クラスタの各メンバは、同一の HSM インストールを使用する必要があります。つまり、各 Privileged Access Manager
で、[アドレス]
と[パーティション名]
の同一の組み合わせで設定する必要があります。前提事項:
- 既存のPrivileged Access Managerクラスタ:
- プライマリPrivileged Access Managerメンバ(このデバイス X1 の呼び出し)
- 最初のセカンダリPrivileged Access Managerメンバ(X2)
- 2 番目のセカンダリPrivileged Access Managerメンバ(X3)
- (同じリリース レベルの) 3 つの Luna HSM アプライアンス:
- 最初の HSM (H1)
- 2 番目の HSM (H2)
- 3 番目の HSM (H3)
以下の手順に従います。
- Privileged Access Managerクラスタがアクティブな場合、停止します。以下の手順では、すべての HSM が各Privileged Access Managerデバイス上で設定される後まで、クラスタを再び再起動しないでください。
- [構成]-[サードパーティ]-[SafeNet HSM]に移動します。
- X1 の[SafeNet HSM 設定]タブで入力し、H1 を追加します。
- (すべての HSM – H1、H2、H3 – が X1 で設定される後まで)再起動ください。しないで
- 暗号化キーは、H1 上で 1 回のみ生成される必要があり、H2、H3 にコピーされる必要があります。
- Privileged Access ManagerX1 が正常に H1 に接続した後、H2 を入力して追加します。再起動しないでください。
- Privileged Access ManagerX1 が正常に H2 に接続した後、H3 を入力して追加します。再起動しないでください。
- ここでは、X1 (プライマリ クラスタ メンバ) を再起動します。
- (セカンダリ クラスタ メンバの) X2 は、手順 2 ~ 5 を繰り返します。
- (セカンダリ クラスタ メンバの) X3 は、 手順 2 ~ 5 を繰り返します。
- Privileged Access Managerクラスタを再起動します。