Safenet HSM を使用するための PAM の設定

組み込みの暗号化エンジンの代わりに SafeNet HSM を使用して格納された認証情報を暗号化および復号化するように PAM を設定する方法について説明します。
capamnew
HID_ConfigSafenetHSM
組み込みの暗号化エンジンの代わりに SafeNet HSM を使用して格納された認証情報を暗号化および復号化するように PAM を設定します。
SafeNet HSM の設定
Safenet HSM を設定する方法については、Safenet のドキュメントを参照してください。
Privileged Access Manager
の設定
必須ではありませんが、
Privileged Access Manager
のダウンタイム中にのみ、
Privileged Access Manager
で Safenet アプライアンスを設定することをお勧めします。ご使用の
Privileged Access Manager
 が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。
Privileged Access Manager
 2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。
Safenet HSM で通信を受信できるようになったら、
Privileged Access Manager
を設定して、同じリリース レベルの最大 3 つの Safenet アプライアンスを使用できるようになります。
データベースのバックアップ
Safenet アプライアンスと連携するように
Privileged Access Manager
を設定する前に、
Privileged Access Manager
データベースをバックアップします。
以下の手順に従います。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. 設定
    ]-[
    データベース
    ]に移動します。
  3. [データベース]
    タブで、
    [データベースおよび構成を保存]
    を選択します。
    ページが更新され、バックアップの作成の確認メッセージと、データベース(および設定)のファイル名が表示されます。データベースのファイル名(例: gkdatabase20130714124622.gz)をメモします。
  4. データベースのファイル名をクリックして選択し、[
    ダウンロード
    ]をクリックします。
    データベースは、ローカル ワークステーション(または、他の場所)に保存されます。
  5. Privileged Access Manager
     データベースを回復する必要がある場合は、このファイルを使用します。
HSMの設定
以下の手順では、1 つの Safenet アプライアンスに対する設定、Safenet HSM の
Privileged Access Manager
に対するライセンスを想定しています。HSM または
Privileged Access Manager
 アプライアンスの数の変更については、このドキュメントで後述している「スケーリング」セクションを参照してください。
以下の手順に従います。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. [構成]
    -
    [サードパーティ]
    -
    [SafeNet HSM]
    に移動します。
  3. [SafeNet HSM の設定]
    タブで、デバイスの設定時に確立した Safenet 認証情報を入力します。
    1. Safenet の管理アカウントの設定時に設定した
      [セキュリティ プリンシパル ユーザ名]
      を入力します。
    2. Safenet の管理アカウントの設定時に設定した
      [セキュリティ プリンシパル パスワード]
      を入力します。
    3. Safenet (5.2 以降)の設定時に指定した
      [パーティション名]
      を入力します。
    4. 以前の Safenet 設定手順の「ストレージの作成」ステップで設定した
      [パーティション パスワード]
      を入力します。
    5. Safenet アプライアンスに割り当てられた
      [アドレス]
      (IP アドレスまたは FQDN)を入力します。
  4. 追加
    ]をクリックして、設定を開始します。
    Safenet アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。
    [ネットワーク接続されている HSM]
    タブが、アドレス(
    HSM
     のラベル)、
    ステータス
    PartitionName
    : 
    ConnectionStatus
    として表示)、許可される
    アクション
    [削除]
    ボタンを使用できます)で更新されます。
  5. Privileged Access Manager
     を再起動します。
  6. Privileged Access Manager
    に再度ログインして、
    [サードパーティ]
    ページに移動します。
    A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
Safenet がアクティブになると、このステータスは[View System Information (システム情報の表示)]ページに表示されます。
スケーリング
必須ではありませんが、
Privileged Access Manager
のダウンタイム中にのみ、
Privileged Access Manager
で Safenet アプライアンスを設定することをお勧めします。ご使用の
Privileged Access Manager
 が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。
Privileged Access Manager
 2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。
Safenet アプライアンスの追加
2 つ目と 3 つ目の Safenet アプライアンスを
Privileged Access Manager
の設定に追加できます。その場合は、「Safenet の設定」および「
Privileged Access Manager
の設定」の手順を繰り返します。
要件:
Safenet アプライアンスごとの
ストレージの作成
手順で割り当てたストレージ エレメントで同じパスワードを使用します。
Safenet アプライアンスの削除
既存の
Privileged Access Manager
設定から Safenet アプライアンスを削除できます。
以下の手順に従います。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. [構成]
    -
    [サードパーティ]
    -
    [SafeNet HSM]
    に移動します。
  3. [ネットワーク接続されている HSM]
    タブで、削除する Safenet アプライアンスの削除ボタンをクリックします。
    ページをリフレッシュし、選択されたアプライアンスの削除を表示します。
  4. (残り) 一つのアプライアンスを削除したら、
    Privileged Access Manager
     を再起動します。
  5. Privileged Access Manager
    に再度ログインして、
    [サードパーティ]
    ページに移動します。
    A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
  6. Privileged Access Manager
    は、許可されたクライアントを Safenet から削除することはありません。Safenet HSM で以下のコマンドを発行します。
    [Safenet] Safenetsh:>
    client delete -c
    <hostname>
    -f
    そうしないと、認証されたクライアントが HSM に登録されている場合、後で HSM に再度追加しようとすると、「このクライアントは、HSM ですでに登録されています」というエラー メッセージが表示されます。
複数の
Privileged Access Manager
アプライアンス間で Safenet (グループ)を共有
1 つの
Privileged Access Manager
アプライアンスで設定されている Safenet HSM アプライアンスまたはアプライアンス グループを、他のアプライアンスでも設定できます。このドキュメントの前述の「
Privileged Access Manager
設定」の手順に従います。
要件
: 各
Privileged Access Manager
 アプライアンスは、同一の暗号化/復号化キーを使用されなければなりません。
Privileged Access Manager
クラスタ内での Safenet グループの共有
Safenet アプライアンス グループは、以下の順序でデバイスを設定することにより、既存の
Privileged Access Manager
で同期されたクラスタで使用するように設定できます。
Privileged Access Manager
クラスタの各メンバは、同一の HSM インストールを使用する必要があります。つまり、各
Privileged Access Manager
で、
[アドレス]
[パーティション名]
の同一の組み合わせで設定する必要があります。
前提事項:
  • 既存の
    Privileged Access Manager
     クラスタ:
    • プライマリ
      Privileged Access Manager
       メンバ (このデバイス X1 の呼び出し)
    • 最初のセカンダリ
      Privileged Access Manager
       メンバー (X2)
    • 2 番目のセカンダリ
      Privileged Access Manager
      メンバー (X3)
  • (同じリリース レベルの) 3 つの Safenet HSM アプライアンス:
    • 最初の HSM (H1)
    • 2 番目の HSM (H2)
    • 3 番目の HSM (H3)
以下の手順に従います。
  1. Privileged Access Manager
     クラスタがアクティブな場合、停止します。以下の手順では、すべての HSM が各
    Privileged Access Manager
    デバイス上で設定される後まで、クラスタを再び再起動
    しない
    でください。
  2. [構成]
    -
    [サードパーティ]
    -
    [SafeNet HSM]
    に移動します。
  3. X1 の
    [SafeNet HSM の設定]
    タブで、H1 を入力して追加します。
    • (すべての HSM – H1、H2、H3 – が X1 で設定される後まで)再起動
      しないで
      ください。
    • 暗号化キーは、H1 上で
      一回のみ
      生成される必要があり、H2、H3 にコピーされる必要があります。
  4. Privileged Access Manager
     X1 が正常に H1 に接続した後、入力し、H2 を追加します。再起動しないでください。
  5. Privileged Access Manager
     X1 が正常に H2 に接続した後、入力し、H3 を追加します。再起動しないでください。
  6. ここでは、X1 (プライマリ クラスタ メンバ) を再起動します。
  7. (セカンダリ クラスタ メンバの) X2 は、手順 2 ~ 5 を繰り返します。
  8. (セカンダリ クラスタ メンバの) X3 は、 手順 2 ~ 5 を繰り返します。
  9. Privileged Access Manager
     クラスタを再起動します。