Thales Luna アプライアンス
Luna HSM アプライアンスと通信するように設定するためには、アプライアンスを準備して を認識できるようにする必要があります。
capamnew
HID_ConfigSafenetHSM
Luna の設定
Thales Network HSM 設定については、Thales 設定のドキュメント(こちらのリンクを使用)を参照してください。
の設定
Privileged Access Manager
必須ではありませんが、
Privileged Access Manager
ダウンタイム中にのみ、Privileged Access Manager
で Luna アプライアンスを設定することをお勧めします。ご使用の Privileged Access Manager
が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。Privileged Access Manager
2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。 Thales Luna HSM アプライアンスが通信を受信できるようになったら、
Privileged Access Manager
を設定して、同じリリース レベルの最大 3 つの Luna アプライアンスを使用できるようになります。データベースのバックアップ
Privileged Access Manager
を Luna アプライアンスと連携するように設定する前に、Privileged Access Manager
のデータベースをバックアップします。以下の手順に従います。
- Privileged Access Managerに管理者(たとえば、「super」)としてログインします。
- [設定]-[データベース]に移動します。
- [データベース]タブで、[データベースおよび構成を保存]を選択します。ページが更新され、バックアップの作成の確認メッセージと、データベース(および設定)のファイル名が表示されます。データベースのファイル名(例: gkdatabase20130714124622.gz)をメモします。
- データベースのファイル名をクリックして選択し、[ダウンロード]をクリックします。データベースは、ローカル ワークステーション(または、他の場所)に保存されます。
- Privileged Access Managerデータベースを回復する必要がある場合は、このファイルを使用します。
HSMの設定
以下の手順では、1 つの Luna アプライアンスに対する設定、Thales Luna HSM の
Privileged Access Manager
へのライセンスを想定しています。HSM または Privileged Access Manager
アプライアンスの数の変更については、このドキュメントで後述している「スケーリング」セクションを参照してください。以下の手順に従います。
- Privileged Access Managerに管理者(たとえば、「super」)としてログインします。
- [設定]-[サードパーティ]-[Thales Luna HSM]に移動します。
- [Thales Luna HSM 設定]タブで、デバイスの設定時に確立した Luna 認証情報を入力します。
- Luna の管理アカウントの設定時に設定した[セキュリティ プリンシパル ユーザ名]を入力します。
- Luna 管理アカウントの設定時に設定した[セキュリティ プリンシパルパスワード]を入力します。
- Luna (5.2 以降)の設定時に指定した[パーティション名]を入力します。
- 以前の Luna 設定手順中に、「Create Storage」ステップで設定した、[パーティションパスワード]を入力します。
- Luna アプライアンスに割り当てられた[アドレス] (IP アドレスまたは FQDN)を入力します。
- [追加]をクリックして、設定を開始します。Luna アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。[ネットワーク接続されている HSM]タブが、アドレス(HSMのラベル)、ステータス(PartitionName:ConnectionStatusとして表示)、許可されるアクション([削除]ボタンを使用できます)で更新されます。
- Privileged Access Managerを再起動します。
- Privileged Access Managerに再度ログインして、[サードパーティ]ページに移動します。A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
Thales Luna がアクティブになると、このステータスは[システム情報の表示]ページに表示されます。
スケーリング
必須ではありませんが、
Privileged Access Manager
ダウンタイム中にのみに、Privileged Access Manager
で Luna アプライアンスを設定することをお勧めします。ご使用の Privileged Access Manager
が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。Privileged Access Manager
2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。Luna アプライアンスを追加します。
2 番目と 3 番目の Luna アプライアンスを
Privileged Access Manager
設定に追加できます。これにより、「Luna の設定」および「Privileged Access Manager
の設定」の手順を繰り返します要件:
Luna アプライアンスごとのストレージの作成
手順で割り当てられるストレージエレメントで同じパスワードを使用します。Luna アプライアンスの削除
Luna アプライアンスは、既存の
Privileged Access Manager
設定から削除できます。以下の手順に従います。
- Privileged Access Managerに管理者(たとえば、「super」)としてログインします。
- [設定]-[サードパーティ]-[Thales Luna HSM]に移動します。
- [ネットワーク接続されている HSM]タブで、削除したい Luna アプライアンスの削除ボタンをクリックします。ページをリフレッシュし、選択されたアプライアンスの削除を表示します。
- (残り) 一つのアプライアンスを削除したら、Privileged Access Managerを再起動します。
- Privileged Access Managerに再度ログインして、[サードパーティ]ページに移動します。A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
- Privileged Access Managerが許可されたクライアントを Thales Luna から削除することはありません。Thales Luna HSM で以下のコマンドを発行します。[luna] lunash:>client delete -c<hostname>-fそうしないと、認証されたクライアントが HSM に登録されている場合、後で HSM に再度追加しようとすると、「このクライアントは、HSM ですでに登録されています」というエラー メッセージが表示されます。
1 つの
Privileged Access Manager
アプライアンスで設定されている Luna HSM アプライアンスまたはアプライアンス グループを、他のアプライアンスでも設定できます。このドキュメントの前述の「Privileged Access Manager
設定」の手順に従います。 要件
: 各 Privileged Access Manager
アプライアンスは、同一の暗号化/復号化キーを使用されなければなりません。Luna アプライアンスのグループは、以下の順序で、デバイスを設定することにより、既存の
Privileged Access Manager
同期されたクラスタでの使用に設定されます。Privileged Access Manager
クラスタの各メンバは、同一の HSM インストールを使用する必要があります。つまり、各 Privileged Access Manager
で、[アドレス]
と[パーティション名]
の同一の組み合わせで設定する必要があります。前提事項:
- 既存のPrivileged Access Managerクラスタ:
- プライマリPrivileged Access Managerメンバ (このデバイス X1 の呼び出し)
- 最初のセカンダリPrivileged Access Managerメンバー (X2)
- 2 番目のセカンダリPrivileged Access Managerメンバー (X3)
- (同じリリース レベルの) 3 つの Luna HSM アプライアンス:
- 最初の HSM (H1)
- 2 番目の HSM (H2)
- 3 番目の HSM (H3)
以下の手順に従います。
- Privileged Access Managerクラスタがアクティブな場合、停止します。以下の手順では、すべての HSM が各Privileged Access Managerデバイス上で設定される後まで、クラスタを再び再起動しないでください。
- [設定]-[サードパーティ]-[Thales Luna HSM]に移動します。
- X1 の[Thales Luna HSM 設定]タブで、H1 を入力して追加します。
- (すべての HSM – H1、H2、H3 – が X1 で設定される後まで)再起動ください。しないで
- 暗号化キーは、H1 上で一回のみ生成される必要があり、H2、H3 にコピーされる必要があります。
- Privileged Access ManagerX1 が正常に H1 に接続した後、入力し、H2 を追加します。再起動しないでください。
- Privileged Access ManagerX1 が正常に H2 に接続した後、入力し、H3 を追加します。再起動しないでください。
- ここでは、X1 (プライマリ クラスタ メンバ) を再起動します。
- (セカンダリ クラスタ メンバの) X2 は、手順 2 ~ 5 を繰り返します。
- (セカンダリ クラスタ メンバの) X3 は、 手順 2 ~ 5 を繰り返します。
- Privileged Access Managerクラスタを再起動します。