SafeNet Luna SA アプライアンス

Luna HSM アプライアンスと通信するように設定するためには、アプライアンスを準備して を認識できるようにする必要があります。
capamnew
HID_ConfigSafenetHSM
Privileged Access Manager
では、組み込みの暗号化エンジンの代わりに、SafeNet Luna SA ハードウェア セキュリティ モジュール アプライアンスを使用して、格納された認証情報の暗号化と復号化を行うことができます。
前提条件:
SafeNet Luna SA ハードウェア アプライアンス、バージョン
5.2.x
5.3.x
、または
5.4.x
。(Luna PCI カードについては、「SafeNet Luna PCI-E カード」を参照してください。)
ライセンスの要件:
Luna HSM への接続を設定するためには、特別な
Privileged Access Manager
 ライセンスは必要ありません。
Privileged Access Manager
から Luna アプライアンスにアクセスできない場合、管理者とエンド ユーザはパスワードを管理または使用できません。また、該当する一部の GUI ページを呼び出すことができません。
Luna の設定
Privileged Access Manager
 を Luna HSM アプライアンスと通信するように設定するためには、アプライアンスを準備して
Privileged Access Manager
 を認識できるようにする必要があります。
以下の手順では、
CA Technologies
の制御の外にある、サードパーティ環境(SafeNet Luna SA 4.3)について説明します。以下の説明は、必要になる可能性があるインターフェースおよび手順の例に過ぎないと考えてください。ご使用の SafeNet Luna の製造元のマニュアルを参照してください。
以下の手順に従います。
  1. ネットワーク接続を設定します。Luna アプライアンスは、ネットワーク上で表示されるように設定する必要があり、 IP アドレスまたはマシン名(FQDN)を使用して
    Privileged Access Manager
     に表示される必要があります。これを行う場合は、管理アカウントおよびパスワードを作成します。これらは、
    SafeNet プリンシパル ユーザ名
    および
    SafeNet プリンシパル パスワード
    として、後で使用されます。詳細および手順については、SafeNet ドキュメントを参照してください。
  2. 以下の手順に従い、PCI カードを初期化します。
    1. コンソールにログインします。コンソールは、「Lush」と呼ばれるシェルであり、SSH を使用して(たとえば、ssh、PuTTY などを使用して)ログインできます。
      ログインすると、Lush プロンプトが提示されます。
      Luna Command Line Shell v4.3.2-3 - (c) 2001 - 2008 SafeNet, Inc. All rights reserved.
      [luna] lunash:>
    2. 内部の PCI カードは出荷時の状態であり、使用するためには初期化する必要があります。PCI カードの初期化には、以下のコマンドを入力します。
      [luna] lunash:>
      hsm init -d xsuite -l xsuite –s
      <password>
      –f
      以下に示しているように、「-d」および「-l」(小文字のエル)オプションでは文字列「xsuite」を使用する必要があります。「-s」オプションは、必須の「セキュリティ役員」のパスワードを指定し、それはユーザ選択が可能です。
      例:
      [luna] lunash:>
      hsm init -d xsuite -l xsuite –s xD6@8iJkd!F –f
  3. Privileged Access Manager
    と統合する各 Luna アプライアンス(最大 3 つ)で、ストレージを
    一度
    初期化する必要があります。初期化されると、
    Privileged Access Manager
    の複数インスタンスにより、各 SA アプライアンス上のストレージ エレメントは共有されます。
    1. 内部の PCI カード ログインします。
      [luna] lunash:>
      hsm login
      作成した「xsuite」の管理者パスワードを使用します。
    2. ストレージの作成:
      [luna] lunash:>
      partition create -par xsuite -pas
      <password>
      –f
      表示のように、「-par」オプションに文字列「xsuite」を使用しなければなりません。
      「-pas」オプションは、ユーザが選択可能なストレージのパスワードです。
      [luna] lunash:>
      partition create -par xsuite -pas 3e)kuuI%6j –f
    3. ストレージの確認
      – ストレージの作成を確認でき、以下のコマンドを発行して内容を表示することができます。
      [luna] lunash:>
      partition showC -par xsuite -pas
      <password>
Privileged Access Manager
 の設定
必須ではありませんが、
Privileged Access Manager
 ダウンタイム中にのみ、
Privileged Access Manager
 で Luna アプライアンスを設定することをお勧めします。ご使用の
Privileged Access Manager
が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。
Privileged Access Manager
 2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。
SafeNet Luna HSM アプライアンスが通信を受信できるようになったら、
Privileged Access Manager
を設定して、同じリリース レベルの最大 3 つの Luna アプライアンスを使用できるようになります。
データベースのバックアップ
Privileged Access Manager
 を Luna アプライアンスと連携するように設定する前に、
Privileged Access Manager
 のデータベースをバックアップします。
以下の手順に従います。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. [構成]
    -
    [データベース]
    に移動します。
  3. [データベース]
    タブで、
    [データベースおよび構成を保存]
    を選択します。
    ページが更新され、バックアップの作成の確認メッセージと、データベース(および設定)のファイル名が表示されます。データベースのファイル名(例: gkdatabase20130714124622.gz)をメモします。
  4. データベースのファイル名をクリックして選択し、
    [ダウンロード]
    をクリックします。
    データベースは、ローカル ワークステーション(または、他の場所)に保存されます。
  5. Privileged Access Manager
     データベースを回復する必要がある場合は、このファイルを使用します。
HSMの設定
以下の手順では、1 つの Luna アプライアンスに対する設定、SafeNet HSM の
Privileged Access Manager
 へのライセンスを想定しています。HSM または
Privileged Access Manager
 アプライアンスの数の変更については、このドキュメントで後述している「スケーリング」セクションを参照してください。
以下の手順に従います。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. [構成]
    -
    [サードパーティ]
    -
    [SafeNet HSM]
    に移動します。
  3. [SafeNet HSM の設定]
    タブで、デバイスの設定時に確立した Luna 認証情報を入力します。
    1. Luna の管理アカウントの設定時に設定した
      [セキュリティ プリンシパル ユーザ名]
      を入力します。
    2. Luna 管理アカウントの設定時に設定した
      [セキュリティ プリンシパル パスワード]
      を入力します。
    3. Luna (5.2 以降)の設定時に指定した
      [パーティション名]
      を入力します。
    4. 以前の Luna 設定手順中に、「Create Storage」ステップで設定した、
      [パーティション
      パスワード]
      を入力します。
    5. Luna アプライアンスに割り当てられた
      [アドレス]
      (IP アドレスまたは FQDN)を入力します。
  4. [追加]
    をクリックして、設定を開始します。
    Luna アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。
    [ネットワーク接続されている HSM]
    タブが、アドレス(
    HSM
     のラベル)、
    ステータス
    PartitionName
    : 
    ConnectionStatus
    として表示)、許可される
    アクション
    [削除]
    ボタンを使用できます)で更新されます。
  5. Privileged Access Manager
     を再起動します。
  6. Privileged Access Manager
    に再度ログインして、
    [サードパーティ]
    ページに移動します。
    A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
SafeNet Luna がアクティブになると、このステータスは「システム情報の確認」ページに表示されています。
スケーリング
必須ではありませんが、
Privileged Access Manager
 ダウンタイム中にのみ、
Privileged Access Manager
 で Luna アプライアンスを設定することをお勧めします。ご使用の
Privileged Access Manager
が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。
Privileged Access Manager
 2.3 でテストした場合、5000 件のターゲット アカウント レコードの処理に約 10 分かかりました。
Luna アプライアンスを追加します。
2 番目と 3 番目の Luna アプライアンスを
Privileged Access Manager
 設定に追加できます。これにより、「Luna の設定」および「
Privileged Access Manager
の設定」の手順を繰り返します
要件:
Luna アプライアンスごとに、
ストレージの作成
手順で割り当てられるストレージ エレメントで同じパスワードを使用します。
Luna アプライアンスの削除
Luna アプライアンスは、既存の
Privileged Access Manager
 設定から削除できます。
以下の手順に従います。
  1. Privileged Access Manager
     に管理者(たとえば、「super」)としてログインします。
  2. [構成]
    -
    [サードパーティ]
    -
    [SafeNet HSM]
    に移動します。
  3. [ネットワーク接続されている HSM]
    タブで、削除したい Luna アプライアンスの削除ボタンをクリックします。
    ページをリフレッシュし、選択されたアプライアンスの削除を表示します。
  4. (残り) 1 つのアプライアンスを削除したら、
    Privileged Access Manager
     を再起動します。
  5. Privileged Access Manager
    に再度ログインして、
    [サードパーティ]
    ページに移動します。
    A2A クライアントからのパスワード リクエストが発生している場合、そのすぐ後に再暗号化が発生します。
  6. Privileged Access Manager
    が許可されたクライアントを SafeNet Luna SA から削除することはありません。SafeNet Luna SA HSM で以下のコマンドを発行します。
    [luna] lunash:>
    client delete -c
    <hostname>
    -f
    そうしないと、認証されたクライアントが HSM に登録されている場合、後で HSM に再度追加しようとすると、「このクライアントは、HSM ですでに登録されています」というエラー メッセージが表示されます。
複数の
Privileged Access Manager
 アプライアンスで、Luna (グループ)を共有します。
1 つの
Privileged Access Manager
アプライアンスで設定されている Luna HSM アプライアンスまたはアプライアンス グループを、他のアプライアンスでも設定できます。このドキュメントの前述の「
Privileged Access Manager
設定」の手順に従います。
要件
: 各
Privileged Access Manager
 アプライアンスは、同一の暗号化/復号化キーが使用されなければなりません。
Luna グループを
Privileged Access Manager
 クラスタ内で共有します。
Luna アプライアンスのグループは、以下の順序で、デバイスを設定することにより、既存の
Privileged Access Manager
 の同期されたクラスタでの使用に設定されます。
Privileged Access Manager
クラスタの各メンバは、同一の HSM インストールを使用する必要があります。つまり、各
Privileged Access Manager
で、
[アドレス]
[パーティション名]
の同一の組み合わせで設定する必要があります。
前提事項:
  • 既存の
    Privileged Access Manager
     クラスタ:
    • プライマリ
      Privileged Access Manager
      メンバ(このデバイス X1 の呼び出し)
    • 最初のセカンダリ
      Privileged Access Manager
      メンバ(X2)
    • 2 番目のセカンダリ
      Privileged Access Manager
      メンバ(X3)
  • (同じリリース レベルの) 3 つの Luna HSM アプライアンス:
    • 最初の HSM (H1)
    • 2 番目の HSM (H2)
    • 3 番目の HSM (H3)
以下の手順に従います。
  1. Privileged Access Manager
     クラスタがアクティブな場合、停止します。以下の手順では、すべての HSM が各
    Privileged Access Manager
    デバイス上で設定される後まで、クラスタを再び再起動
    しない
    でください。
  2. [構成]
    -
    [サードパーティ]
    -
    [SafeNet HSM]
    に移動します。
  3. X1 の
    [SafeNet HSM 設定]
    タブで入力し、H1 を追加します。
    • (すべての HSM – H1、H2、H3 – が X1 で設定される後まで)再起動
      しないで
      ください。
    • 暗号化キーは、H1 上で 1 回のみ生成される必要があり、H2、H3 にコピーされる必要があります。
  4. Privileged Access Manager
     X1 が正常に H1 に接続した後、H2 を入力して追加します。再起動しないでください。
  5. Privileged Access Manager
     X1 が正常に H2 に接続した後、H3 を入力して追加します。再起動しないでください。
  6. ここでは、X1 (プライマリ クラスタ メンバ) を再起動します。
  7. (セカンダリ クラスタ メンバの) X2 は、手順 2 ~ 5 を繰り返します。
  8. (セカンダリ クラスタ メンバの) X3 は、 手順 2 ~ 5 を繰り返します。
  9. Privileged Access Manager
     クラスタを再起動します。