Thales Luna アプライアンス

Luna HSM アプライアンスと通信するように設定するためには、アプライアンスを準備して を認識できるようにする必要があります。
capamnew
HID_ConfigSafenetHSM
Luna の設定
Thales Network HSM 設定については、Thales 設定のドキュメント(こちらのリンクを使用)を参照してください。
 の設定
Privileged Access Manager
必須ではありませんが、
Privileged Access Manager
 ダウンタイム中にのみ、
Privileged Access Manager
 で Luna アプライアンスを設定することをお勧めします。ご使用の
Privileged Access Manager
 が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。
Privileged Access Manager
 2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。
Thales Luna HSM アプライアンスが通信を受信できるようになったら、
Privileged Access Manager
を設定して、同じリリース レベルの最大 3 つの Luna アプライアンスを使用できるようになります。
データベースのバックアップ
Privileged Access Manager
 を Luna アプライアンスと連携するように設定する前に、
Privileged Access Manager
 のデータベースをバックアップします。
以下の手順に従います。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. 設定
    ]-[
    データベース
    ]に移動します。
  3. [データベース]
    タブで、
    [データベースおよび構成を保存]
    を選択します。
    ページが更新され、バックアップの作成の確認メッセージと、データベース(および設定)のファイル名が表示されます。データベースのファイル名(例: gkdatabase20130714124622.gz)をメモします。
  4. データベースのファイル名をクリックして選択し、[
    ダウンロード
    ]をクリックします。
    データベースは、ローカル ワークステーション(または、他の場所)に保存されます。
  5. Privileged Access Manager
     データベースを回復する必要がある場合は、このファイルを使用します。
HSMの設定
以下の手順では、1 つの Luna アプライアンスに対する設定、Thales Luna HSM の
Privileged Access Manager
へのライセンスを想定しています。HSM または
Privileged Access Manager
 アプライアンスの数の変更については、このドキュメントで後述している「スケーリング」セクションを参照してください。
以下の手順に従います。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. [設定]
    -
    [サードパーティ]
    -
    [Thales Luna HSM]
    に移動します。
  3. [Thales Luna HSM 設定]
    タブで、デバイスの設定時に確立した Luna 認証情報を入力します。
    1. Luna の管理アカウントの設定時に設定した[
      セキュリティ プリンシパル ユーザ名
      ]を入力します。
    2. Luna 管理アカウントの設定時に設定した[
      セキュリティ プリンシパルパスワード
      ]を入力します。
    3. Luna (5.2 以降)の設定時に指定した[
      パーティション名
      ]を入力します。
    4. 以前の Luna 設定手順中に、「Create Storage」ステップで設定した、
      [パーティション
      パスワード]
      を入力します。
    5. Luna アプライアンスに割り当てられた[
      アドレス
      ] (IP アドレスまたは FQDN)を入力します。
  4. 追加
    ]をクリックして、設定を開始します。
    Luna アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。
    [ネットワーク接続されている HSM]
    タブが、アドレス(
    HSM
     のラベル)、
    ステータス
    PartitionName
    : 
    ConnectionStatus
    として表示)、許可される
    アクション
    [削除]
    ボタンを使用できます)で更新されます。
  5. Privileged Access Manager
     を再起動します。
  6. Privileged Access Manager
    に再度ログインして、
    [サードパーティ]
    ページに移動します。
    A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
Thales Luna がアクティブになると、このステータスは[システム情報の表示]ページに表示されます。
スケーリング
必須ではありませんが、
Privileged Access Manager
 ダウンタイム中にのみに、
Privileged Access Manager
 で Luna アプライアンスを設定することをお勧めします。ご使用の
Privileged Access Manager
 が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。
Privileged Access Manager
 2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。
Luna アプライアンスを追加します。
2 番目と 3 番目の Luna アプライアンスを
Privileged Access Manager
 設定に追加できます。これにより、「Luna の設定」および「
Privileged Access Manager
の設定」の手順を繰り返します
要件:
Luna アプライアンスごとの
ストレージの作成
手順で割り当てられるストレージエレメントで同じパスワードを使用します。
Luna アプライアンスの削除
Luna アプライアンスは、既存の
Privileged Access Manager
 設定から削除できます。
以下の手順に従います。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. [設定]
    -
    [サードパーティ]
    -
    [Thales Luna HSM]
    に移動します。
  3. [ネットワーク接続されている HSM]
    タブで、削除したい Luna アプライアンスの削除ボタンをクリックします。
    ページをリフレッシュし、選択されたアプライアンスの削除を表示します。
  4. (残り) 一つのアプライアンスを削除したら、
    Privileged Access Manager
     を再起動します。
  5. Privileged Access Manager
    に再度ログインして、
    [サードパーティ]
    ページに移動します。
    A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
  6. Privileged Access Manager
    が許可されたクライアントを Thales Luna から削除することはありません。Thales Luna HSM で以下のコマンドを発行します。
    [luna] lunash:>
    client delete -c
    <hostname>
    -f
    そうしないと、認証されたクライアントが HSM に登録されている場合、後で HSM に再度追加しようとすると、「このクライアントは、HSM ですでに登録されています」というエラー メッセージが表示されます。
複数の
Privileged Access Manager
 アプライアンスで、Luna (グループ)を共有します。
1 つの
Privileged Access Manager
アプライアンスで設定されている Luna HSM アプライアンスまたはアプライアンス グループを、他のアプライアンスでも設定できます。このドキュメントの前述の「
Privileged Access Manager
設定」の手順に従います。
要件
: 各
Privileged Access Manager
 アプライアンスは、同一の暗号化/復号化キーを使用されなければなりません。
Luna グループを
Privileged Access Manager
 クラスタ内で共有します。
Luna アプライアンスのグループは、以下の順序で、デバイスを設定することにより、既存の
Privileged Access Manager
 同期されたクラスタでの使用に設定されます。
Privileged Access Manager
クラスタの各メンバは、同一の HSM インストールを使用する必要があります。つまり、各
Privileged Access Manager
で、
[アドレス]
[パーティション名]
の同一の組み合わせで設定する必要があります。
前提事項:
  • 既存の
    Privileged Access Manager
     クラスタ:
    • プライマリ
      Privileged Access Manager
       メンバ (このデバイス X1 の呼び出し)
    • 最初のセカンダリ
      Privileged Access Manager
       メンバー (X2)
    • 2 番目のセカンダリ
      Privileged Access Manager
      メンバー (X3)
  • (同じリリース レベルの) 3 つの Luna HSM アプライアンス:
    • 最初の HSM (H1)
    • 2 番目の HSM (H2)
    • 3 番目の HSM (H3)
以下の手順に従います。
  1. Privileged Access Manager
     クラスタがアクティブな場合、停止します。以下の手順では、すべての HSM が各
    Privileged Access Manager
    デバイス上で設定される後まで、クラスタを再び再起動
    しない
    でください。
  2. [設定]
    -
    [サードパーティ]
    -
    [Thales Luna HSM]
    に移動します。
  3. X1 の
    [Thales Luna HSM 設定]
    タブで、H1 を入力して追加します。
    • (すべての HSM – H1、H2、H3 – が X1 で設定される後まで)再起動
      しないで
      ください。
    • 暗号化キーは、H1 上で
      一回のみ
      生成される必要があり、H2、H3 にコピーされる必要があります。
  4. Privileged Access Manager
     X1 が正常に H1 に接続した後、入力し、H2 を追加します。再起動しないでください。
  5. Privileged Access Manager
     X1 が正常に H2 に接続した後、入力し、H3 を追加します。再起動しないでください。
  6. ここでは、X1 (プライマリ クラスタ メンバ) を再起動します。
  7. (セカンダリ クラスタ メンバの) X2 は、手順 2 ~ 5 を繰り返します。
  8. (セカンダリ クラスタ メンバの) X3 は、 手順 2 ~ 5 を繰り返します。
  9. Privileged Access Manager
     クラスタを再起動します。