Safenet HSM を使用するための PAM の設定
組み込みの暗号化エンジンの代わりに SafeNet HSM を使用して格納された認証情報を暗号化および復号化するように PAM を設定する方法について説明します。
capamnew
HID_ConfigSafenetHSM
組み込みの暗号化エンジンの代わりに SafeNet HSM を使用して格納された認証情報を暗号化および復号化するように PAM を設定します。
SafeNet HSM の設定
Safenet HSM を設定する方法については、Safenet のドキュメントを参照してください。
Privileged Access Manager
の設定必須ではありませんが、
Privileged Access Manager
のダウンタイム中にのみ、Privileged Access Manager
で Safenet アプライアンスを設定することをお勧めします。ご使用の Privileged Access Manager
が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。Privileged Access Manager
2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。 Safenet HSM で通信を受信できるようになったら、
Privileged Access Manager
を設定して、同じリリース レベルの最大 3 つの Safenet アプライアンスを使用できるようになります。データベースのバックアップ
Safenet アプライアンスと連携するように
Privileged Access Manager
を設定する前に、Privileged Access Manager
データベースをバックアップします。以下の手順に従います。
- Privileged Access Managerに管理者(たとえば、「super」)としてログインします。
- [設定]-[データベース]に移動します。
- [データベース]タブで、[データベースおよび構成を保存]を選択します。ページが更新され、バックアップの作成の確認メッセージと、データベース(および設定)のファイル名が表示されます。データベースのファイル名(例: gkdatabase20130714124622.gz)をメモします。
- データベースのファイル名をクリックして選択し、[ダウンロード]をクリックします。データベースは、ローカル ワークステーション(または、他の場所)に保存されます。
- Privileged Access Managerデータベースを回復する必要がある場合は、このファイルを使用します。
HSMの設定
以下の手順では、1 つの Safenet アプライアンスに対する設定、Safenet HSM の
Privileged Access Manager
に対するライセンスを想定しています。HSM または Privileged Access Manager
アプライアンスの数の変更については、このドキュメントで後述している「スケーリング」セクションを参照してください。以下の手順に従います。
- Privileged Access Managerに管理者(たとえば、「super」)としてログインします。
- [構成]-[サードパーティ]-[SafeNet HSM]に移動します。
- [SafeNet HSM の設定]タブで、デバイスの設定時に確立した Safenet 認証情報を入力します。
- Safenet の管理アカウントの設定時に設定した[セキュリティ プリンシパル ユーザ名]を入力します。
- Safenet の管理アカウントの設定時に設定した[セキュリティ プリンシパル パスワード]を入力します。
- Safenet (5.2 以降)の設定時に指定した[パーティション名]を入力します。
- 以前の Safenet 設定手順の「ストレージの作成」ステップで設定した[パーティション パスワード]を入力します。
- Safenet アプライアンスに割り当てられた[アドレス](IP アドレスまたは FQDN)を入力します。
- [追加]をクリックして、設定を開始します。Safenet アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。[ネットワーク接続されている HSM]タブが、アドレス(HSMのラベル)、ステータス(PartitionName:ConnectionStatusとして表示)、許可されるアクション([削除]ボタンを使用できます)で更新されます。
- Privileged Access Managerを再起動します。
- Privileged Access Managerに再度ログインして、[サードパーティ]ページに移動します。A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
Safenet がアクティブになると、このステータスは[View System Information (システム情報の表示)]ページに表示されます。
スケーリング
必須ではありませんが、
Privileged Access Manager
のダウンタイム中にのみ、Privileged Access Manager
で Safenet アプライアンスを設定することをお勧めします。ご使用の Privileged Access Manager
が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。Privileged Access Manager
2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。Safenet アプライアンスの追加
2 つ目と 3 つ目の Safenet アプライアンスを
Privileged Access Manager
の設定に追加できます。その場合は、「Safenet の設定」および「Privileged Access Manager
の設定」の手順を繰り返します。要件:
Safenet アプライアンスごとのストレージの作成
手順で割り当てたストレージ エレメントで同じパスワードを使用します。Safenet アプライアンスの削除
既存の
Privileged Access Manager
設定から Safenet アプライアンスを削除できます。以下の手順に従います。
- Privileged Access Managerに管理者(たとえば、「super」)としてログインします。
- [構成]-[サードパーティ]-[SafeNet HSM]に移動します。
- [ネットワーク接続されている HSM]タブで、削除する Safenet アプライアンスの削除ボタンをクリックします。ページをリフレッシュし、選択されたアプライアンスの削除を表示します。
- (残り) 一つのアプライアンスを削除したら、Privileged Access Managerを再起動します。
- Privileged Access Managerに再度ログインして、[サードパーティ]ページに移動します。A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
- Privileged Access Managerは、許可されたクライアントを Safenet から削除することはありません。Safenet HSM で以下のコマンドを発行します。[Safenet] Safenetsh:>client delete -c<hostname>-fそうしないと、認証されたクライアントが HSM に登録されている場合、後で HSM に再度追加しようとすると、「このクライアントは、HSM ですでに登録されています」というエラー メッセージが表示されます。
1 つの
Privileged Access Manager
アプライアンスで設定されている Safenet HSM アプライアンスまたはアプライアンス グループを、他のアプライアンスでも設定できます。このドキュメントの前述の「Privileged Access Manager
設定」の手順に従います。 要件
: 各 Privileged Access Manager
アプライアンスは、同一の暗号化/復号化キーを使用されなければなりません。Safenet アプライアンス グループは、以下の順序でデバイスを設定することにより、既存の
Privileged Access Manager
で同期されたクラスタで使用するように設定できます。Privileged Access Manager
クラスタの各メンバは、同一の HSM インストールを使用する必要があります。つまり、各 Privileged Access Manager
で、[アドレス]
と[パーティション名]
の同一の組み合わせで設定する必要があります。前提事項:
- 既存のPrivileged Access Managerクラスタ:
- プライマリPrivileged Access Managerメンバ (このデバイス X1 の呼び出し)
- 最初のセカンダリPrivileged Access Managerメンバー (X2)
- 2 番目のセカンダリPrivileged Access Managerメンバー (X3)
- (同じリリース レベルの) 3 つの Safenet HSM アプライアンス:
- 最初の HSM (H1)
- 2 番目の HSM (H2)
- 3 番目の HSM (H3)
以下の手順に従います。
- Privileged Access Managerクラスタがアクティブな場合、停止します。以下の手順では、すべての HSM が各Privileged Access Managerデバイス上で設定される後まで、クラスタを再び再起動しないでください。
- [構成]-[サードパーティ]-[SafeNet HSM]に移動します。
- X1 の[SafeNet HSM の設定]タブで、H1 を入力して追加します。
- (すべての HSM – H1、H2、H3 – が X1 で設定される後まで)再起動ください。しないで
- 暗号化キーは、H1 上で一回のみ生成される必要があり、H2、H3 にコピーされる必要があります。
- Privileged Access ManagerX1 が正常に H1 に接続した後、入力し、H2 を追加します。再起動しないでください。
- Privileged Access ManagerX1 が正常に H2 に接続した後、入力し、H3 を追加します。再起動しないでください。
- ここでは、X1 (プライマリ クラスタ メンバ) を再起動します。
- (セカンダリ クラスタ メンバの) X2 は、手順 2 ~ 5 を繰り返します。
- (セカンダリ クラスタ メンバの) X3 は、 手順 2 ~ 5 を繰り返します。
- Privileged Access Managerクラスタを再起動します。