Dell Data Protection 構成ガイド
© 2014 Dell Inc. DDP|E、DDP|ST、および DDP|CE ドキュメントセットに使用されている登録商標および商標:Dell™ および Dell ロゴ、Dell Precision™、OptiPlex™、ControlVault™、Latitude™、XPS®、および KACE™ は、Dell Inc. の商標です。Intel®、Pentium®、Intel Core Inside Duo®、Itanium®、および Xeon® は、米国およびその他の国における Intel Corporation の登録商標です。Adobe®、 Acrobat®、 および Flash® は、Adobe Systems Incorporated の登録商標です。Authen Tec® および Eikon® は、Authen Tec の登録 商標です。AMD® は、Advanced Micro Devices, Inc.
目次 1 Compatibility Server の構成 server_config.xml gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ドメイン \ ユーザー名の形式の有効化 run-service.conf 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Web Services の無効化 . .
強制ポーリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . インベントリオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ドメイン以外のアクティベーション . 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kerberos 認証/権限のコンポーネントの構成 . Kerberos 認証/権限のコンポーネントの構成 Windows サービスの手順 25 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 Compatibility Server の構成 この章では、Compatibility Server をご使用の環境に適用させるために変更するパラメータについて詳しく説明します。構成 ファイルは、編集する前に必ずバックアップしてください。 これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。Dell は、これらのファイル の許可されていない変更に起因する問題が、Compatibility Server の再インストールなしで解決できることを保証できません。 server_config.xml \conf\server_config.
server_config.xml パラメータ デフォルト rmi.recovery.host 説明 マルチサーバー EMS 復元を使用するには : default.gatekeeper.group.remote CMGREMOTE すべてのポリシープロキシがデフォルトで所 属しているグループのデフォルト名。この名 前 を ここ で、また は Device Server の context.
server_config.xml パラメータ triage.execute.time デフォルト 説明 0 0 0/6 * * トリアージは、サーバーがすでに認識している ユーザーおよびグループを調整する処理です。 デフォルト設定は 0 0 0/6 * * ? で、夜中から 6 時間ごと(午前 0 時、午前 6 時、正午、午後 6 時、午前 0 時、以下同様)にトリアージを実 行することを意味します。 gatekeeper.service.max.sessions 5 ポリシープロキシセッションの最大回数。 gatekeeper.service.max.session.timeout 5 ポリシープロキシセッションの最大回数のタ イムアウト。 security.authorization.method.IAdministrati veService.updateAdminRoles AcctAdmin グループまたはユーザーの管理ロールを更新 するために必要なロール。 security.authorization.method.IAdministrati veService.
server_config.xml パラメータ デフォルト 説明 security.authorization.method.IAdministrati veService.findLdapGroups SystemAdmin、SecAdmin LDAP グ ル ー プ を 検 索 す る た め に 必 要 な ロール。 security.authorization.method.IAdministrati veService.findLdapUsers SystemAdmin、SecAdmin LDAP ユ ー ザ ー を 検 索 す る た め に 必 要 な ロール。 security.authorization.method.IAdministrati veService.addUsers SystemAdmin、SecAdmin ユーザーを追加するために必要なロール。 security.authorization.method.IAdministrati veService.
server_config.xml パラメータ デフォルト db.schema.version.patch dao.db.driver.dir 説明 データベーススキーマのパッチバージョン。 $dell.home$/lib/mssql-microsoft dao.db.host データベースドライバのデフォルトの場所。 このファイルをデフォルトの場所から変更す る場合は、このパラメータを更新します。 データベースサーバーのホスト名。 このパラメータは、構成ツール内で変更され ます。 dao.db.name データベースの名前。 このパラメータは、構成ツール内で変更され ます。 dao.db.user データベースに対して完全な権限を持つユー ザー名。 このパラメータは、構成ツール内で変更され ます。 dao.db.password データベースに対して完全な権限を持つユー ザー名のパスワード。 このパラメータは、構成ツール内で変更され ます。 dao.db.max.retry.
server_config.xml パラメータ vfs.file.handler.event gatekeeper.resource デフォルト 説明 com.credant.guardian.server.vfs.EventFileHa イベントファイルハンドラ。 ndler $dell.home$/conf/gkresource.xml Gatekeeper リソースファイルをデフォルトの 場所から移動する場合は、このパラメータを 更新します。 $dell.home$/conf/gkconfig.xml Gatekeeper リソースファイルをデフォルトの 場所から移動する場合は、このパラメータを 更新します。 rmi.server.registry.host localhost このホストプロパティは、レジストリの場所を 指定するクライアントプログラムだけのため のものです。RMI レジストリおよびリモート オブジェクトの作成時には使用されません。 localhost で作成されます。 rmi.server.registry.
server_config.xml パラメータ デフォルト 説明 security.authorization.method.IReportingSer vice.getUserDetail AcctAdmin、HelpDeskAdmin、 SystemAdmin、SecAdmin ユーザー詳細レポートを表示するために必要 なロール。 security.authorization.method.IReportingSer vice.getGroupDetail AcctAdmin、HelpDeskAdmin、 SystemAdmin、SecAdmin グループ詳細レポートを表示するために必要 なロール。 security.authorization.method.IReportingSer vice.getDomainDetail AcctAdmin、HelpDeskAdmin、 SystemAdmin、SecAdmin ドメインレポートのリストを表示するために 必要なロール。 security.authorization.method.IKeyService.
run-service.conf \conf\run-service.conf の次のパラメータの一部を変更できます。パラ メータは、インストール時に自動的に設定されています。サービスのカスタマイズまたは構成変更を実行するには、次の手順 に従います。 1 サービスを停止します。 2 サービスを削除します。 3 run-service.conf ファイルを編集および保存します。変更内容を示すコメントを、ファイル内の先頭に記録することを推奨 します。 4 サービスを再インストールします。 5 サービスを開始します。 run-service.conf パラメータ JAVA_HOME デフォルト Dell\Java Runtime\jreX.x wrapper.java.additional.
2 Core Server の構成 この章では、Core Server をご使用の環境に適用させるために変更できるパラメータについて詳しく説明します。 これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。Dell は、これらのファイル の許可されていない変更に起因する問題が、Core Server の再インストールなしで解決できることを保証できません。 ポリシーアービトレーションの最高セキュアから最低セキュアへの変更 PolicyService.config この設定を変更して、ポリシーアービトレーションを最高セキュアから最低セキュアに変更します。\PolicyService.config 内の設定を変更します。Core Server が起動されている場合、サービスを停止して PolicyService.
Credant.Server2.WindowsService.exe.Config 次のセクションを削除します。 Spring.
Core Server 構成ファイルへの Compatibility Server のフォルダ位置の追加 Core Server は .Net アプリケーションであるため、権限の問題によりレジストリ情報にアクセスできないことがあります。 secretkeystore(データベース暗号化キー)を読み取るために Core Server が Compatibility Server のレジストリ構成情報にア クセスして secretkeystore の位置を取得する必要がある場合に問題となります。レジストリの権限が原因でアクセスがブロッ クされると、Core Server はコンソールユーザーを認証できません。以下の設定では、レジストリのアクセス権が問題になる 場合に、Compatibility Server のフォルダ位置を Core Server の構成ファイルに追加します。 1 \EntityDataAccessObjects.
構成ガイド
3 Device Server の構成 この章では、Device Server をご使用の環境に適用させるために変更できるパラメータについて詳しく説明します。 これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。Dell は、これらのファイル の許可されていない変更に起因する問題が、Device Server の再インストールなしで解決できることを保証できません。 eserver.properties \conf\eserver.properties の次のパラメータを変更できます。 変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新 しいファイルに容易に転送できます。 eserver.properties パラメータ eserver.default.
eserver.properties パラメータ デフォルト eserver.ciphers 説明 暗号化文字のリストを設定します。各暗号文字 は、コンマで区切る必要があります。左が空であ る場合、ソケットは Tomcat によりサポートされ る使用可能な暗号文字を許可します。 下の例のコメントを外して、暗号化文字のリス トを設定します。各暗号文字をコンマで区切りま す。有効な暗号文字スイート名のリストについて は、Sun の JSSE リファレンスガイドを参照して ください。 #eserver.ciphers= SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_ WITH_RC4_128_SHA,SSL_DHE_RSA_WIT H_3DES_EDE_CBC_SHA run-service.conf \conf\run-service.
4 Security Server の構成 この章では、Security Server をご使用の環境に適用させるために変更するパラメータについて詳しく説明します。 これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。Dell は、これらのファイル の許可されていない変更に起因する問題が、Security Server の再インストールなしで解決できることを保証できません。 context.properties \webapps\xapi\WEB-INF\context.properties の次のパラメータを変更できま す。 変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新 しいファイルに容易に転送できます。 context.properties パラメータ default.gatekeeper.group.
構成ガイド
5 暗号化機能の構成 このセクションでは、暗号化機能を自由に制御する方法について説明します。 一時ファイル削除の防止 デフォルトでは、DDPE のインストールまたはアップグレード時に c:\windows\temp ディレクトリ内のすべての一時ファイ ルが自動的に削除されます。一時ファイルの削除は初期暗号化スイープの前に実行され、一時ファイルの削除によって初期暗 号化が高速化されます。 しかし、\temp ディレクトリ内のファイル構成の維持を要求するサードパーティのアプリケーションが組織で使用されている 場合、この削除を防止する必要があります。 一時ファイル削除を無効にするには、レジストリ設定を次のように作成または変更します。 HKLM\SOFTWARE\CREDANT\CMGShield DeleteTempFiles (REG_DWORD)=0 一時ファイルを削除しないと、初期暗号化時間が長くなることに注意してください。 オーバーレイアイコンの非表示 デフォルトでは、インストール中はすべての暗号化オーバーレイアイコンが表示されるように設定されています。次のレジス トリ設定を使用して、最初のインストー
スロットアクティベーションは、Shield インストーラまたは Shield ワークステーションから有効化および設定されます。 VPN からアクティベーションを要求するユーザーの場合は、VPN クライアントソフトウェアがネットワーク接続を確立する までにかかる時間を見込んだ十分な時間分初期アクティベーションを延期させるよう、Shield のスロットアクティベーション の構成を変更する必要がある場合があります。 注意:スロットアクティベーションは、カスタマサポートの支援を受けた場合のみ構成してください。タイムスロットの設定を誤ると、多数 のクライアントが同時にアクティベーションを実行しようとするため、パフォーマンス上の重大な問題が発生するおそれがあります。 スロットアクティベーションの設定には、次のレジストリキーが使用されます。次のレジストリキーを変更した場合、Shield ワークステーションを再起動して更新内容を有効にする必要があります。 • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActiv
Shield のバージョンに応じて、レジストリ設定は自動的に非表示になるか、またはポーリングの完了後に 1 から 0 に変更され ます。 管理ユーザーの許可セットによっては、このレジストリ設定を作成するために許可の変更が必要となる場合があります。新し い DWORD を作成しようとしたときに問題が生じた場合は、次の手順に従って許可を変更します。 1 Windows レジストリで、HKLM\SOFTWARE\Credant\CMGShield\Notify に移動します。 2 [Notify]を右クリックして、[Permissions]を選択します。 3 [Permission for Notify]ウィンドウが開いたら、[Full Control]チェックボックスをオンにします。 4 [OK]をクリックします。 これで新しいレジストリ設定を作成できます。 インベントリオプション 次のレジストリ設定を使用して、Shield からサーバーへの最適化されたインベントリの送信、完全なインベントリの送信、ま たはアクティベーションされたすべてのユーザーの完全なインベントリの送信を許可します。 最適化されたインベン
構成ガイド
6 Kerberos 認証/権限のコンポーネントの構成 このセクションでは、Kerberos 認証/権限で使用するコンポーネントの設定方法について説明します。 Kerberos 認証/権限のコンポーネントの構成 注: Kerberos 認証/権限を使用する場合は、Key Server コンポーネントを含んでいるサーバーを、その影響を受けるドメインに含ませる必 要があります。 Key Server は、ソケット上で接続されるクライアントをリスンするサービスです。クライアントが接続されたら、Kerberos API を使用して、セキュア接続のネゴシエーション、認証、暗号化が行われます。セキュア接続がネゴシエーションできない 場合、クライアントが切断されます。 Key Server は、クライアントを実行しているユーザーがキーにアクセスできるかどうかを知るために Device Server に確認し ます。このアクセスは、個別のドメインを経由したリモート管理コンソール上で許可されます。 Windows サービスの手順 1 Windows の[サービス]パネル([スタート]>[ファイル名を指定して実行]>[
4 に移動して、"epw" を "password" に変更します。 "" を、手順 3 で設定したユーザーのパスワードに変更します。このパスワードは、サー バーを再起動すると再暗号化されます。 手順 3 で "superadmin" を使用して、superadmin パスワードが "changeit" でない場合は、ここで変更します。 5 変更内容を保存して、ファイルを閉じます。 サンプル構成ファイル:
リモート管理コンソールの手順 1 必要な場合は、リモート管理コンソールにログオンします。 2 [ドメイン]をクリックして、[詳細]アイコンをクリックします。 3 [Key Server]をクリックします。 4 Key Server アカウントリストに、管理活動を実行するユーザーを追加します。この形式はドメイン \ ユーザー名です。[アカ ウントの追加]をクリックします。 5 左のメニューで、[ユーザー]をクリックします。検索ボックスで、手順 4 で追加したユーザー名を検索します。[検索]を クリックします。 6 正しいユーザーが検索されたら、[詳細]アイコンをクリックします。 7 [フォレンジック管理]を選択します。[更新]をクリックします。 これで、コンポーネントが Kerberos 認証 / 権限に設定されました。 構成ガイド 27
構成ガイド
7 フォレンジック管理者ロールの割り当て フォレンジック権限はデフォルトで、バックエンドサーバーでは有効、フロントエンドサーバーでは無効になっています。こ の設定は、Device Server および Security Server のインストール時に適宜実行されます。 リモート管理コンソールの手順 1 必要な場合は、リモート管理コンソールにログオンします。 2 左のペインで、[管理]>[ユーザー]をクリックします。 3 [ユーザーの検索]ページで、フォレンジック管理者ロールを付与するユーザーの名前を入力して、[検索]をクリックしま す。このユーザーの資格情報は、フォレンジックモードで CMGAd、CMGAu、CMGAlu ユーティリティ、および Decryption Agent が実行されているときに提供されます。 4 [ユーザーの検索結果]ページで、[詳細]アイコンをクリックします。 5 [ のユーザー詳細]ページで、[管理者]を選択します。 6 [ユーザー]列で、[フォレンジック管理者]をオンにして、[更新]をクリックします。 現在、フォレンジック管理者ロールが設定されています。
構成ガイド
8 Cron 表現 このセクションでは、Cron 表現の形式および特殊文字の使用方法について説明します。 Cron 表現入門 Cron は長期にわたって普及してきた UNIX ツールであるため、そのスケジューリング機能は高性能であり、実績があります。 CronTrigger クラスは、Cron のスケジューリング機能に基づいています。 CronTrigger は Cron 表現を使用します。これにより、毎週月曜日から金曜日の午前 8 時、または毎月の最終金曜日の午前 1 時 30 分のような始動スケジュールを作成できます。 Cron 表現は高性能ですが、わかりにくいことがあります。このドキュメントの目的は、Cron 表現を作成する場合のいくつか の不明点を取り上げ、外部へ支援を求める前に使用できるリソースを提供することです。 Cron 表現の形式 Cron 表現は、空白で区切られた 6 つの必須フィールドと 1 つの任意フィールドから成ります。各フィールドには、そのフィー ルドに許可された特殊文字のさまざまな組み合わせに加えて、許可された値を含ませることができます。 Cron 表現は、「* * * *
文字「/」は、増分を指定するために使用されます。 • seconds フィールドの「0/15」は、0 秒、15 秒、30 秒、および 45 秒を意味します。 seconds フィールドの「5/15」は、5 秒、20 秒、35 秒、および 50 秒を意味します。 「/」の前に「*」を指定すると、開始する値として 0 を指定した場合と同等となります。 day-of-month フィールドの「1/3」は、月の初日から開始して 3 日ごとを意味します。 基本的に、表現の各フィールドにはオンまたはオフにできる数字セットがあります。seconds および minutes の数字の範囲 は 0 ~ 59 です。hours は 0 ~ 23 で、days of the month は 0 ~ 31 です。months は 1 ~ 12 です。文字「/」は、所定の セットの「n 番目」ごとの値だけをオンにします。したがって、month フィールドの「7/6」は 7 の月だけをオンにし、6 ヵ 月ごとの月を意味しません。 • 文字「L」は、day-of-month フィールドおよび day-of-week フィールドに使
例 表現 意味 0 0 12 * * ? 毎日、午後 12 時(正午)に始動 0 15 10 ? * * 毎日、午前 10 時 15 分に始動 0 15 10 * * ? 毎日、午前 10 時 15 分に始動 0 15 10 * * ? * 毎日、午前 10 時 15 分に始動 0 15 10 * * ? 2005 2005 年の間、毎日、午前 10 時 15 分に始動 0 * 14 * * ? 毎日、午後 2 時から午後 2 時 59 分まで 1 分ごとに始動 0 0/5 14 * * ? 毎日、午後 2 時から午後 2 時 55 分まで 5 分ごとに始動 0 0/5 14,18 * * ? 0 0-5 14 * * ? 0 10,44 14 ? 3 WED 0 15 10 ? * MON-FRI 毎日、午後 2 時から午後 2 時 55 分まで 5 分ごとに始動、かつ、午後 6 時から午後 6 時 55 分まで 5 分ごとに始動 毎日、午後 2 時から午後 2 時 5 分まで 1 分ごとに始動 3 月の毎水曜日の午後 2 時 10 分および午後 2 時 44 分に始動
構成ガイド
9 Keytool を使用した自己署名証明書の作成と証明書署名 要求の生成 注:このセクションでは、Java ベースのコンポーネントの自己署名証明書を作成する手順について詳しく説明します。このプロセスは、.
• 組織単位:適切な値を入力します(例:Security)。 • 組織:適切な値を入力します(例:Dell)。 • 市区町村:適切な値を入力します(例:Austin)。 • 都道府県:省略形でない都道府県の名前を入力します(例:Texas)。 • 2 文字の国コード: 米国 = US カナダ = CA スイス = CH ドイツ = DE スペイン = ES フランス = FR 英国 = GB アイルランド = IE イタリア = IT オランダ = NL • ユーティリティによって、情報が正しいことを確認するように求められます。正しければ「yes」と入力します。 正しくなければ「no」と入力します。Keytool は以前に入力された各値を表示します。[Enter]をクリックして値を確 定するか、値を変更して[Enter]をクリックします。 • 別名のキーパスワード:ここに別のパスワードを入力しなかった場合は、このパスワードはデフォルトであるキースト アのパスワードになります。 証明機関への署名付き証明書の要求 以下の手順を使って、 「新しい鍵ペアと自己署名証明書の生成」で作成した自
図 9-1. .
2 [Request a certificate]を選択し、[Next >]をクリックします。 図 9-2. Microsoft Certificate Services 3 [Advanced Request]を選択し、[Next >]をクリックします。 図 9-3.
4 base64 エンコード PKCS #10 ファイルを使用して証明書要求を送信するためのオプションを選択して、 [Next >]をクリッ クします。 図 9-4. 高度な証明書要求 5 CSR 要求の内容をテキストボックスに貼り付けます。Web Server の証明書テンプレートを選択して、[Submit >]をク リックします。 図 9-5.
6 証明書を保存します。[DER encoded]を選択し、[Download CA certificate]をクリックします。 図 9-6. CA 証明書のダウンロード 7 証明書を保存します。[DER encoded]を選択し、[Download CA certification path]をクリックします。 図 9-7.
8 変換された署名機関証明書をインポートします。DOS ウィンドウに戻ります。次を入力します。 keytool -import -trustcacerts -file -keystore cacerts 9 署名機関証明書がインポートされたので、次にサーバー証明書をインポートできます(信頼チェーンを確立できます)。次を 入力します。 keytool -import -alias dell -file -keystore cacerts 自己署名証明書の別名を使用して、CSR 要求とサーバー証明書をペアにします。 10 cacerts ファイルのリストは、サーバー証明書の証明書チェーンの長さが 2 であることを示しています。これは、証明書が自 己署名されていないことを示しています。次を入力します。 keytool -list -v -keystore cacerts チェーン内の 2 番目の証明書の証明書フィンガープリントは、インポートされた署名機関証明書である点に注意してくださ い(リストのサーバー証明書の下にもリストされます)。 サーバー証明
構成ガイド
0XXXXXA0X