アップグレード中に DeviceDNA™ による拡張セッション保証を設定する方法

目次
casso11jp
目次
2
casso11jp
DeviceDNA™ による拡張セッション保証は、許可されていないユーザが盗んだ Cookie で正当なセッションをハイジャックするのを妨ぐのに役立ちます。セッション クライアントは、製品がユーザのシステムから収集する一意の DeviceDNA™ を使用して認証されます。この検証によって、セッションを開始したクライアントがアクセスをリクエストしているのと同じクライアントであることが保証されます。有効な DeviceDNA™ のないユーザは、保護されているリソースへのアクセスを拒否されます。
以下の図に、アップグレード中に DeviceDNA™ による拡張セッション保証を設定する方法を示します。
How to configure session assurance during an upgrade
DeviceDNA™ による拡張セッション保証の制限
Windows ポリシー サーバの停止
続行前にポリシー サーバを停止します。ポリシー サーバを停止すると、以下の結果になります。
  • ポリシー サーバが、環境から一時的に削除されます。
  • 許可または認証の判断が必要なエージェントは、停止されているポリシー サーバにコンタクトできません。それらのエージェントは、引き続き利用可能なほかのポリシー サーバに接続できます。
  • すべてのログ記録アクティビティは停止します。
  • 以下の手順に従います。
  • ポリシー サーバ ホスト システムにログインします。
    注:
    管理者権限を持ったアカウントを使用します。
  • ポリシーサーバ管理コンソールを起動します。
  • [停止]ボタンをクリックします。
  • [OK]をクリックします。
    ポリシー サーバは停止し、コンソールは閉じます。
UNIX ポリシー サーバの停止
casso11jp
ポリシー サーバを停止すると、以下の結果になります。
  • ポリシー サーバが、環境から一時的に削除されます。
  • 許可または認証の判断が必要なエージェントは、停止されているポリシー サーバにコンタクトできません。それらのエージェントは、引き続き利用可能なほかのポリシー サーバに接続できます。
  • すべてのログ記録アクティビティは停止します。
以下の手順に従います。
  1. ポリシー サーバをホストしているシステムに、最初にポリシー サーバをインストールしたのと同じユーザ アカウントでログインします。
  2. 以下の
    いずれか
    のアクションを実行して、すべてのポリシー サーバ プロセスを停止します。
    • 管理コンソールを開き、[ステータス]タブをクリックし、[停止]ボタンをクリックします。
    • 以下のスクリプトを使用します。バプロセスが自動的に再起動されないように、このスクリプトによって UNIX エグゼクティブも停止されます。
      installation_path
      /siteminder/stop-all
      ポリシー サーバは、UNIX エグゼクティブの全アクティビティのログを installation_directory/log/smexec.log ファイルに記録します。ログのエントリは、常に既存のログファイルに追加されます。
監査ストア アップグレード スクリプト
ポリシー サーバを停止した後、使用しているデータベース ベンダー用の適切な監査ストア アップグレード スクリプトを実行します。以下のリストからスクリプトを選択します。
Oracle データベースの監査ストア アップグレード スクリプトの実行
ポリシー サーバを停止した後、監査ログ スキーマをアップグレードします。このアップグレードは、スクリプトを使用して実行されます。
以下の手順に従います。
  1. sqlplus または他の Oracle ユーティリティを使用して、ポリシー サーバ データベース情報を管理するユーザとして Oracle データベースにログインします。
    注:
    SYS または SYSTEM のユーザで CA スキーマをアップグレード
    しない
    CA Single Sign-on
    ことをお勧めします。必要な場合、SMOWNER などの Oracle データベース ユーザを作成し、そのユーザとしてスキーマをアップグレードします。
  2. 12.5 からアップグレードする場合は、以下のスクリプトをインポートします。
    $NETE_PS_ROOT/db/SQL/sm_oracle_logs_upgrade_12.5_to_12.51.sql
  3. 以下のスクリプトをインポートします。
    $NETE_PS_ROOT/db/SQL/sm_oracle_logs_upgrade_12.51_to_12.52.sql
    注:
    一部の環境変数は、Oracle が提供する SQL ユーティリティで機能しない場合があります。ユーティリティを使用して、スクリプトをインポートしようとすると問題が発生する場合は、明示的なパスを指定します。
    監査ストア スキーマがアップグレードされます。
Microsoft SQL Server データベースの監査ストア アップグレード スクリプトの実行
ポリシー サーバを停止した後、監査ログ スキーマをアップグレードします。このアップグレードは、スクリプトを使用して実行されます。
以下の手順に従います。
  1. 以下のタスクの
    いずれか
    を実行します。
    • バージョン 12.5 からアップグレードする場合は、手順 2 に移動します。
    • バージョン 12.51 からアップグレードする場合は、手順 10 に移動します。
  2. テキスト エディタで以下のファイルを開きます。
    installation_directory\db\SQL\sm_mssql_logs_upgrade_12.5_to_12.51.sql
  3. installation_directory
  4. ポリシー サーバがインストールされているファイル システム上の場所を指定します。
  5. 全ファイルの内容をコピーします。
  6. クエリ アナライザを起動し、ポリシー サーバ データベースを管理するユーザとしてログインします。
  7. [データベース]リストからデータベース インスタンスを選択します。
  8. スキーマを sm_mssql_logs_upgrade_12.5_to_12.51.sql ファイルからクエリへ貼り付けます。
  9. クエリを実行します。
  10. テキスト エディタで以下のファイルを開きます。
    installation_directory\db\SQL\sm_mssql_logs_upgrade_12.51_to_12.52.sql
  11. casso11jp
    installation_directory
    ポリシー サーバがインストールされているファイル システム上の場所を指定します。
    全ファイルの内容をコピーします。
  12. クエリ アナライザを起動し、ポリシー サーバ データベースを管理するユーザとしてログインします。
  13. [データベース]リストからデータベース インスタンスを選択します。
  14. スキーマを sm_mssql_logs_upgrade_12.51_to_12.52.sql ファイルからクエリへ貼り付けます。
  15. クエリを実行します。
    監査ストア スキーマがアップグレードされます。
 
 
IBM DB2 データベースの監査ストアのアップグレード スクリプトの実行
Single Sign-On
監査ログ スキーマをアップグレードします。このアップグレードは、スクリプトを使用して実行されます。
以下の手順に従います。
  1. ポリシー サーバをホストしているシステムにログインします。
  2. 以下のディレクトリに移動します。
    installation_directory\db\tier2\DB2\
  3. casso11jp
    installation_directory
    ポリシー サーバがインストールされているファイル システム上の場所を指定します。
    以下のタスクの
    いずれか
    を実行します。
    • バージョン 12.5 からアップグレードする場合は、手順 4 に移動します。
    • バージョン 12.51 からアップグレードする場合は、手順 6 に移動します。
  4. 以下のファイルを開き、内容をテキスト エディタにコピーします。
    sm_db2_log_upgrade_12.5_to_12.51.sql
  5. クエリに内容を貼り付けて、クエリを実行します。
    注:
    クエリ実行の詳細については、IBM のドキュメントを参照してください。
    監査ストア スキーマがアップグレードされます。
  6. 以下のファイルを開き、内容をテキスト エディタにコピーします。
    sm_db2_log_upgrade_12.51_to_12.52.sql
  7. クエリに内容を貼り付けて、クエリを実行します。
    注:
    クエリ実行の詳細については、IBM のドキュメントを参照してください。
    監査ストア スキーマがアップグレードされます。
  8. 以下の
    いずれか
    の手順を使用して、ポリシー サーバを起動します。
MySQL データベースの監査ストア アップグレード スクリプトの実行
Single Sign-On
監査ログ スキーマをアップグレードします。このアップグレードは、スクリプトを使用して実行されます。
以下の手順に従います。
  1. ポリシー サーバ ホスト システムにログインします。
  2. 以下の場所に移動します。
    installation_directory\db\tier2\MySQL.
  3. casso11jp
    installation_directory
    ポリシー サーバがインストールされているファイル システム上の場所を指定します。
    以下のタスクの
    いずれか
    を実行します。
    • バージョン 12.5 からアップグレードする場合は、手順 4 に移動します。
    • バージョン 12.51 からアップグレードする場合は、手順 9 に移動します。
  4. テキスト エディタで以下のファイルを開きます。
    sm_mysql_logs_upgrade_12.5_to_12.51.sql
  5. 以下の行を確認します。
    DROP FUNCTION IF EXISTS `databaseName`.`getdate` $$ CREATE FUNCTION `databaseName`.`getdate` () RETURNS DATE
  6. 'databaseName' の各インスタンスを監査ストアとして機能するデータベースの名前に置換します。
  7. 全ファイルの内容をコピーします。
  8. クエリにファイルの内容を貼り付けて、クエリを実行します。
  9. テキスト エディタで以下のファイルを開きます。
    sm_mysql_logs_upgrade_12.51_to_12.52.sql
  10. 以下の行を確認します。
    DROP FUNCTION IF EXISTS `databaseName`.`getdate` $$ CREATE FUNCTION `databaseName`.`getdate` () RETURNS DATE
  11. 'databaseName' の各インスタンスを監査ストアとして機能するデータベースの名前に置換します。
  12. 全ファイルの内容をコピーします。
  13. クエリにファイルの内容を貼り付けて、クエリを実行します。
    監査ストア スキーマがアップグレードされます。
Windows ポリシー サーバの起動
casso11jp
ポリシー サーバを起動します。ポリシー サーバを開始すると、以下のような結果になります。
  • エージェントはポリシー サーバに許可または認証の決定を問い合わせます。
  • ログ記録が開始されます。
以下の手順に従います。
  1. ポリシーサーバ管理コンソールを起動します。
    [ステータス]タブが選択されていると、コンソールが開きます。
  2. [開始]ボタンをクリックします。
  3. [OK]をクリックします。
    ポリシー サーバが起動します。
 
UNIX ポリシー サーバの起動
ポリシー サーバを開始すると、以下のような結果になります。
  • エージェントはポリシー サーバに許可または認証の決定を問い合わせます。
  • ログ記録が開始されます。
以下のいずれかのアクションを実行して、すべてのポリシー サーバ プロセスを開始します。
管理コンソールを開き、[ステータス]タブをクリックし、[開始]ボタンをクリックします。 
  • 以下のスクリプトを使用します。このスクリプトは、UNIX エグゼクティブも開始します。
    installation_path/siteminder/start-all
    ポリシー サーバは、UNIX エグゼクティブの全アクティビティのログを installation_directory/log/smexec.log ファイルに記録します。ログのエントリは、常に既存のログファイルに追加されます。
DeviceDNA™ による拡張セッション保証に対する
CA Access Gateway
環境の設定
DeviceDNA™ による拡張セッション保証では、
CA Access Gateway
が動作している必要があります。
CA Access Gateway
で、以下の手順に従います。
  1. CA Access Gateway
    およびポリシー サーバを別々のコンピュータにインストールすることを確認します。
  2. CA Access Gateway
    リリース 12.52 以降をインストールするか、または 12.52 以降にアップグレードします。
    注:
    CA Access Gateway
    のインストール、アップグレード、および設定については、「CA Access Gateway のインストール、アップグレード、および設定」を参照してください。
  3. SSL 接続を使用するように
    CA Access Gateway
    を設定します。
  4. CA Access Gateway
    とポリシー サーバの間でポート番号 7680 を開きます。
  5. CA Access Gateway
    のインストールまたはアップグレードから Advanced Authentication Server 暗号化キーを記録します。後で環境内のポリシー サーバでこのキーが必要になります。
  6. 複数の Cookie ドメインを使用するシングル サインオン環境については、して、Cookie プロバイダ ドメインの完全修飾ドメイン名(FQDN)が必要です。設定ウィザードを実行する場合、この FQDN を ServerName 設定に使用します。たとえば、ユーザの Cookie ドメインが sso.example.com である場合、設定ウィザードで ServerName の値を sso.example.com
    CA Access Gateway
    に設定します。
  7. IgnoreExt
    CA Access Gateway
    設定パラメータに以下の値を追加します。
    .sac
DeviceDNA™ による拡張セッション保証に対する環境の設定
DeviceDNA™ による拡張セッション保証は、CA Single Sign-On 環境における特定のコンポーネントおよび設定を必要とします。
以下の手順に従います。
  1. ポリシー サーバをインストールするか、またはバージョン r12.52 にアップグレードします。別のコンピュータにポリシー サーバおよび CA アクセス ゲートウェイをインストールします。
  2. 設定ウィザードを使用して設定しなかったか、設定ウィザードが設定可能なオプションをデフォルトによって提供しなかったため、ポリシー ストアを手動で設定した場合は、環境の各ポリシー サーバに対して設定ウィザードを再実行します。再実行した場合は、必須の値のみを入力し、その他の値は空のままにします。この手順により、この機能をサポートするようにポリシー サーバが設定されます。
  3. n 番目のポリシー サーバに対して、設定ウィザードを実行します。ポリシー ストア オプションを選択し、設定されたポリシー ストアの詳細を入力します。この手順により、ポリシー サーバがポリシー ストアに接続されます。
  4. セッション ストアが
    ない
    場合は、1 つ設定します。
  5. ポリシー サーバと CA アクセス ゲートウェイの間でポート番号 7680 を開きます。
DeviceDNA™ エンドポイントによる拡張セッション保証の作成
レルムへのエンドポイントの追加
casso11jp
DeviceDNA™ による拡張セッション保証を使用してレルムのリソースを保護するには、1 つのセッション保証エンドポイントをレルムに追加します。
注:
DeviceDNA™ による拡張セッション保証が機能するには、セッションが永続的である必要はありませんが、セッション ストアを設定したことを確認してください。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[ドメイン]、[レルム]をクリックします。
  2. 目的のレルムの編集アイコンをクリックします。
  3. [セッション]の下で、[拡張されたセッション保証]の横の[有効]チェックボックスをオンにします。
  4. [エンドポイントの検索]をクリックします。
  5. 目的のエンドポイントを選択します。
  6. [OK]をクリックします。
  7. [サブミット]をクリックします。
  8. セッション保証機能で保護するリソースを持ったレルムが他にもあれば、手順 2 ~ 6 を繰り返します。
アプリケーション コンポーネントへのエンドポイントの追加
casso11jp
DeviceDNA™ による拡張セッション保証を使用して、アプリケーション内のリソースを保護するには、1
つの拡張セッション保証エンドポイントを関連するアプリケーションのコンポーネントに追加します。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[アプリケーション]、[アプリケーション]をクリックします。
    アプリケーションのリストが表示されます。
  2. 目的のアプリケーションの編集アイコンをクリックします。
    [アプリケーションの変更]ダイアログ ボックスが表示されます。
  3. 以下の
    いずれか
    の手順を実行します。
    • アプリケーションに 1 つのみコンポーネントがある場合、[詳細設定]をクリックします。
    • アプリケーションに複数のコンポーネントがある場合は、目的のコンポーネントの編集アイコンをクリックします。[詳細設定]を選択します。
  4. [セッション]の下で、[拡張されたセッション保証]の横の[有効]チェックボックスをオンにします。
  5. [エンドポイントの検索]をクリックします。
    エンドポイントのリストが表示されます。
  6. 目的のエンドポイントを選択します。
  7. [OK]をクリックします。
  8. [サブミット]をクリックします。
    [アプリケーションの変更]ダイアログ ボックスが閉じ、確認メッセージが表示されます。
  9. セッション保証機能で保護するリソースを持ったアプリケーションが他にあれば、手順 2 ~ 7 を繰り返します。
パートナーシップにおける DeviceDNA™ による拡張セッション保証の有効化
関連するログ ファイル
DeviceDNA™ による拡張セッション保証に関するトランザクションは、以下のログ ファイルに記録されます。
ポリシー サーバ
  • xps-*.audit -- 機能の設定への変更。
  • smaccesslog4 -- 機能に関連する認証アクティビティおよび認可アクティビティ。
Advanced Authentication Server の起動ログ
  • caauthminderstartup
  • cariskminderstartup
  • cariskmindercasemgmtserverstartup
Advanced Authentication Server のランタイム ログ
  • caauthminder
  • cariskminder
  • cariskmindercasemgmtserver
Single Sign-On
CA Access Gateway
(Advanced Authentication フロー アプリケーション)
  • arcotuds.log -- UDS サービスのログ ファイル
  • CAWebFlowLog.txt -- 認証フロー アプリケーションのログ ファイル
  • UIApplog.txt -- UIApp (認証フロー アプリケーションの実行プロセスの一部)のログ