SafeNet Luna PCI-E カード

PAM では、組み込みの暗号化エンジンの代わりに、SafeNet Luna PCI-E HSM カードを使用して、格納された認証情報の暗号化と復号化を行うことができます。
capam34
HID_ConfigLunaPCI
Privileged Access Manager
 では、組み込みの暗号化エンジンの代わりに、SafeNet Luna PCI-E HSM カードを使用して、格納された認証情報の暗号化と復号化を行うことができます。
2
サポートされているバージョン
以下の HSM のバージョンがサポートされています。
  • モデル: 
    K6 ベース
  • ファームウェア バージョン: 
    6.2.1
  • 設定: 
    クローン モードでの Luna PCI (PED) 署名
Luna の準備
Luna PCI-E カードがすでにインストールされ、
Privileged Access Manager
 と SafeNet Luna PED (PIN エントリ デバイス) が設定されています。「Luna PCI-E カードをサポートするように設定する」の手順に従って、PED から追加の設定を行います。その時刻よりも前に、以下の準備タスクを実行します:
  • DVD の SafeNet Luna PCI-E(ここでは、5.0)オンライン ヘルプにある少なくとも以下のセクションを読んでください。「START_HERE.html」ページで、「
    製品ドキュメント
    」「
    Luna PCI 5.0 ヘルプ システム
    」を選択し、左側の目次から移動します。
    • トラステッド パスの認証の概念、および PED と PED (USB) キーに関する情報を確認します。「
      E – 概念
      」、「
      トラステッド パスの認証(オプション)
      」を参照してください。
      注:
      使用する PED キーの数(提供数 10 のうち)を決定します。
    • PED キーを使用した PED での手順を確認します。「
      A – 設定
      」、「
      PED 認証(トラステッド パス)バージョン
      」を参照してください。
      注:
      LunaCM ユーティリティとの相互作用を記述する手順が適用されなくなりました。代わりに、
      Privileged Access Manager
      は以下の手順を扱います。「Luna PCI-E カードをサポートするように設定する」では、CLI の代わりに PED および PED キー レスポンスを使用する手順について説明されています。
  • Privileged Access Manager
     アプライアンスへの物理アクセスがあることを確認してください。
  • HSM 設定を実行するときに、PED および青、赤、黒の PED キーが使用可能になっていることを確認してください。
  • 長時間の電源喪失の影響を把握します。
worddavf4cf96922d6ff318dbae64d10ef156bb.png worddave5bf08b085b29b9224be3c697367a83a.png
Luna PCI-E カードをサポートするように設定する
データベース バックアップ
Privileged Access Manager
 を Luna アプライアンスと連携するように設定する前に、
Privileged Access Manager
 のデータベースをバックアップします。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. 設定
    ]-[
    データベース
    ]に移動します。
  3. [データベース]
    タブで、
    [データベースおよび構成を保存]
    を選択します。
    ページが更新され、バックアップの作成の確認メッセージと、データベースおよび設定ファイル名が表示されます。データベースのファイル名(例: gkdatabase20130714124622.gz)をメモします。
  4. 一覧からデータベースのファイル名を選択し、
    [ダウンロード
    ]を選択します。
    データベースは、ローカル ワークステーション(または、選択した他の場所)に保存されます。
Privileged Access Manager
 データベースを回復する必要がある場合は、このファイルを使用します。
HSM 設定
SafeNet 暗号化に使用するための 1 つの Luna PCI-E が装備されている
Privileged Access Manager
アプライアンスを準備するには、この手順を使用します。
アクティブ化(以下の手順で説明されています)の後、Luna PCI-E カードはその
Privileged Access Manager
アプライアンスに永続的に設定されます。
アクティブ化された Luna カードを取り外して、組み込みの認証情報マネージャの暗号化方式を代わりに使用することはできません。
Privileged Access Manager
アプライアンス クラスタ内で PCI-E カードの使用を
クラスタ化
するには、以下の条件を満たす必要があります。
以下の手順に従います。
  1. アプライアンス背面の PCI カード インターフェースの対応するコンセントに PED デバイスを接続します。
  2. Privileged Access Manager
     GUIで: 
    1. Privileged Access Manager
       に管理者(たとえば、「super」)としてログインします。
    2. [設定]
      -
      [サードパーティ]
      -
      [LUNA PCI-E 設定]
      に移動します。
    3. [ネットワーク接続されている HSM]タブで
      [初期化]
      ボタンを選択します。PCI カードの内容を消去しようとしていることを警告するポップアップが表示されます。
    4. 以下の PED 手順を続行する準備ができたら、
      [はい]
      を選択します。
  3. PED キーで、(
    Privileged Access Manager
     アプライアンスの PCI カードに付いている) PED インターフェースが表示される画面に戻ります。以下の SafeNet 固有の手順を実行します。
    各手順は慎重に実行してください。手順は元に戻すことができず、すべての手順を繰り返すことでのみ回復を実行できます。
    1. 個々の PED キーを複数回求められます。要求されたように、キーの挿入およびデータ エントリを実行します。
      • 青い
        PED キーを使用した、1 つ(またはそれ以上)のセキュリティ責任者(SO)キーの作成
      • の PED キーを使用した、ユーザ パーティションの作成複数のユーザ キーがある場合、これらを初期化することができるようになりました。
      • 赤い
        PED キーを使用した、クローン化ドメイン キーの作成。
        Privileged Access Manager
        では、クローン化機能は使用されません。
      • PED 手順が完了したら、16 バイトのチャレンジ文字列が表示されます。
    2. チャレンジ文字列
      を安全な場所に(手動で)コピーします。
      この文字列をコピーする際は注意してください。
      Privileged Access Manager
       GUI での設定を完了する必要があります。この文字列のコピーの誤操作を行った場合、またはこの文字列を消失した場合、回復することはできません。キー作成手順を繰り返す必要があります。
    3. Enter
      キーを押し、
      Privileged Access Manager
      GUI に戻ります。
  4. Privileged Access Manager
     GUI に戻ります
  5. [サードパーティ]
    -
    [LUNA PCI-E 設定]
    ページで以下の情報が表示されることを確認します。
    • ページの上部に、応答メッセージ: 「内部 Luna PCI-E カードの初期化に成功しました」が表示されています。
    • [ネットワーク接続されている HSM]タブで、[ステータス]が「初期化済み、非アクティブ」になっています。
  6. HSM のアクティブ化を開始します。
    1. [Luna PCI-E 設定]
      タブで、
      [ネットワーク接続されている HSM]
      タブの
      [アクティブ化]
      ボタンを選択します。
      表示されたダイアログ ボックスで、
      [パスワード]
      フィールドにチャレンジ キーを慎重に入力します。ダッシュを含めないでください。
    2. パスワードを入力し、対応するフィールドで確認してから、
      [OK]
      を選択します。
    3. [アクティブ化]
      を選択します。
      警告のダイアログ ボックスが表示され、Luna PCI-E デバイスをアクティブ化しようとしているところであり、
      の PED キーの準備が必要であることを知らせます。
    4. 続行する準備ができたら、
      [はい]
      を選択します。
  7. 黒の
     PED キー で PED インターフェースに戻り、それを付け加えて、HSM のアクティブ化を完了します。
  8. Privileged Access Manager
    GUI の
    [サードパーティ]-[LUNA PCI-E 設定]
    ページで以下の項目が表示されることを確認します。
    1. ページの上部に、次の応答メッセージが表示されます: 「この[[プライマリ | 非プライマリ]クラスタ化 | スタンドアロン] PAM 上で Luna PCI-E カードのアクティブ化に成功しました」
  9. このアプライアンスがスタンドアロンの場合、またはクラスタの最初のメンバの場合は、アプライアンスを再起動します。「PCI-E を使用したアプライアンスのクラスタの設定」で説明されている手順が完了するまで、クラスタの他のメンバを再起動
    しないで
    ください。
PCI-E を使用したアプライアンスのクラスタの設定
複数の 
Privileged Access Manager
 アプライアンスは、インストールされている Luna PCI-E カードを使用して、一緒にクラスタ化することができます。クラスタ化されたアプライアンスで Luna PCI-E を使用するには、次の手順を実行します。
  1. 基本的な 
    Privileged Access Manager
     のクラスタ化の手順を実行します。詳細については、「クラスタの設定」ページを参照してください。以下の手順を完了するまで、最初のメンバより後のクラスタ メンバを再起動しないでください。
    PCI-E 機能の設定中に、各アプライアンスがスタンドアロン デバイス、最初のクラスタ メンバ、または、後続のクラスタ メンバであるかを認識し、HSM を設定します。
  2. クラスタの最初のメンバの GUI およびアプライアンスで「HSM 設定」で説明するように、Luna PCI-E を初期化し、アクティブ化します。後続のクラスタ メンバの場合、完了時に再起動せず、同じ手順を実行します。
    最初のメンバでない限り、以下の手順を完了するまで、クラスタ メンバを再起動しないでください。
  3. GUI での、後続のクラスタ メンバ:
    1. HSM 設定」で説明するように、再起動なしで、Luna PCI-E を初期化し、アクティブ化します。
    2. [LUNA PCI-E 設定]
      タブで、
      [公開鍵の取得]
      を選択します。
      しばらくすると、[
      公開鍵
      ]フィールドに、キーが表示されます。
    3. 公開鍵
      ]フィールドの全内容を(バッファまたはファイルの場所に)コピーします。キーをすべてキャプチャするにはフィールドをスクロールする必要があります。
    4. この後続のクラスタ メンバからログアウトします。
  4. コピーされたキー(バッファまたはファイル内)で、(最初のクラスタ メンバ) GUI へログイン:
    1. [設定]
      -
      [サードパーティ]-[LUNA PCI-E 設定]
      に移動します。
    2. [LUNA PCI-E 設定]
      タブで、
      [公開鍵]
      フィールドに、コピーしたキーを貼り付けます。
    3. [キーの抽出]
      を選択します。
      「安全に暗号化キーを抽出」しようとしていることを示すメッセージが表示され、
      青い
      (SO) PED キーを使用して準備することを推奨します。
  5. 最初のクラスタ メンバ アプライアンスの背面に移動し、PED を取り付け、青色のキーへの接続を含めて、指示に従います。
  6. 最初のクラスタ メンバ) GUI に戻る:
    1. 新しいキーが、
      [暗号化キー]
      フィールドに表示されることを確認します。
    2. 暗号化キー
      ]フィールドの全内容を(バッファまたはファイルの場所に) コピーします。キーをすべてキャプチャするにはフィールドをスクロールする必要があります。
    3. この最初のクラスタ メンバからログアウトします。
  7. コピーされたキーで、手順 3 で使用された同じ後続のクラスタ メンバの GUI にログインします。
    1. [構成]
      -
      [サードパーティ]
      -[LUNA PCI-E 設定]
      に移動します。
    2. [LUNA PCI-E 設定]
      タブで、
      [暗号化キー]
      フィールドに、コピーしたキーを貼り付けます。
    1. [キーの挿入]
      を選択します。
    2. 以下の応答が表示されます。
      • ページの上部に、応答メッセージ:「Luna PCI-E デバイスへの暗号化された暗号キーの挿入に成功しました」
      • [LUNA PCI-E 設定]フィールドは、もう一度空白になります。
クラスタの他の各メンバに対し、手順 3 から 7 を繰り返します。
Luna PCI-E がアクティブになると、このステータスは[View System Information (システム情報の表示)]ページに表示されます。
長時間の電源喪失エラー
SafeNet Luna が停電時に保持できるパーティション認証情報をキャッシュできます。2 時間の停電、またはキャッシュをフラッシュするその他のイベントが発生した場合、5 分後にこのエラーが発生する可能性があります。
HSM を再アクティブ化する必要があります。PED を PCI-E に接続し、ブラック キーおよび PIN を使用して指示に従います。
次に、PED を接続し、ブラック キーと PIN を使用します。最初または 2 番目のログイン試行で PED キー データが正常にキャッシュされます。このメッセージは、ログイン ページが表示された後 1 分間残ります。
ハードウェアのファクトリ リセット
このセクションでは、アプライアンスがファクトリ設定にリセットされた後に、Luna PCI-E カードを再設定する方法について説明します。
ファクトリ リセット前に Luna PCI-E カードが初期化されていない場合は、「Luna PCI-E カードをサポートするように設定する」を参照してください。
ファクトリ リセット前に PCI-E カードがすでに初期化されており、使用されている場合は、リセット後に組み込みの Luna PCI-E カードを再初期化する必要はありません。ただし、リセット後に PAM サーバは新しいインスタンスになっているので、カードにアクセスするように再設定してください。
以下の手順に従います。
  1. PAM UI を開き、管理者(たとえば「super」)としてログインします。
  2. [構成]
    -
    [サードパーティ]
    -
    [LUNA PCI-E 設定]
    に移動します。ステータスは「ファクトリ リセット(Luna PCI-E アクティブ、PAM 未初期化)」になっています。
  3. [ネットワーク接続されている HSM]
    タブで
    [初期化]
    ボタンを選択します。ダイアログ ボックスが表示され、PAM を初期化して既存の内容を使用しようとしていることが通知されます。
  4. [はい]
    を選択して続行します。アプライアンスがリセットされる前に PCI-E カードが初期化されたため、PED デバイスおよび PED キーを使用する必要はありません。
  5. [サードパーティ]
    -
    [LUNA PCI-E 設定]
    に移動し、以下の項目が表示されることを確認します。
    • ページの上部に、次の応答メッセージが表示されます: 「この[[プライマリ | 非プライマリ]クラスタ化 | スタンドアロン] PAM 上で Luna PCI-E カードを使用するために PAM が正常に初期化されました」
    • PCI-E のステータスが「初期化済み、アクティブ」になっています。
  6. アプライアンスがスタンドアロンであるか、クラスタの最初のメンバである場合は、アプライアンスを再起動します。「PCI-E を使用したアプライアンスのクラスタの設定」で説明されている手順が完了するまで、クラスタの他のメンバを再起動しないでください。