BalaBit
Shell Control Box 4 LTS
管理者ガイド Rev.1.0
2015.4.6
まえがき ............................................................................................................................................................................... 1
1
2
1.
本ガイドの構成 ................................................................................................................................................... 1
2.
対象読者 ............................................................................................................................................................... 3
3.
対象製品 ............................................................................................................................................................... 3
4.
本ガイドの表記 ................................................................................................................................................... 4
イントロダクション .................................................................................................................................................... 5
1.1
SCB とは........................................................................................................................................................... 5
1.2
SCB の範囲外 ................................................................................................................................................ 6
1.3
SCB が必要な理由....................................................................................................................................... 7
1.4
SCB の想定ユーザー .................................................................................................................................. 7
1.5
BalaBit Shell Control Box の参考情報 ..............................................................................................10
SCB のコンセプト ..................................................................................................................................................11
2.1
SCB の信条...................................................................................................................................................11
2.2
サポート対象プロトコルとクライアントアプリケーション ................................................................12
2.3
オペレーションのモード .............................................................................................................................14
2.3.1
Bridge(ブリッジ)モード.........................................................................................................................15
2.3.2
Router(ルーター)モード ......................................................................................................................17
2.3.3
Single-interface Router(ルーター)モード ....................................................................................18
2.3.4
Bastion(バスシオン)モード ................................................................................................................20
2.3.5
Nontransparent(非透過)モード .......................................................................................................21
2.4
SCB 経由のサーバー接続 ......................................................................................................................22
2.4.1
SSH を使用する SCB 経由のサーバー接続 ...............................................................................22
2.4.2
RDP を使用する SCB 経由のサーバー接続...............................................................................26
2.4.3
RD ゲートウェイを使用する SCB 経由のサーバー接続 .........................................................29
2.5
SSH ホスト鍵.................................................................................................................................................30
2.6
SSH で公開鍵認証を使ったクライアント認証 ..................................................................................30
2.7
ゲートウェイ認証プロセス ........................................................................................................................31
2.8
4-eyes 承認 ..................................................................................................................................................32
2.9
ネットワークインターフェース ..................................................................................................................34
2.10
SCB でのハイアベイラビリティ(High Availability)サポート .........................................................35
2.11
SCB のファームウェア ...............................................................................................................................35
2.11.1
3
ファームウェアとハイアベイラビリティ........................................................................................35
2.12
SCB のバージョンとリリース ...................................................................................................................36
2.13
SCB へのアクセスと設定 .........................................................................................................................36
ウェルカムウィザードと最初のログイン........................................................................................................38
3.1
4
SCB への最初の接続 ...............................................................................................................................38
3.1.1
エイリアス IP アドレスの作成(Microsoft Windows) .............................................................39
3.1.2
エイリアス IP アドレスの作成(Linux) ........................................................................................43
3.1.3
SCB の IP アドレスの変更 ..................................................................................................................44
3.2
ウェルカムウィザードでの SCB の設定..............................................................................................44
3.3
SCB へのログインと最初の接続設定 .................................................................................................55
基本設定 ..................................................................................................................................................................60
4.1
サポート対象の Web ブラウザとオペレーティングシステム........................................................61
4.2
Web インターフェースの構造 ..................................................................................................................61
4.2.1
メインワークスペースの要素 ........................................................................................................64
4.2.2
複数の Web ユーザーとロック ......................................................................................................66
4.2.3
Web インターフェース タイムアウト ..............................................................................................67
4.3
ネットワーク設定..........................................................................................................................................67
4.3.1
管理インターフェースの設定 ........................................................................................................72
4.3.2
管理インターフェースへの管理トラフィックの経路指定......................................................76
4.4
4.4.1
4.5
日時設定 ........................................................................................................................................................78
タイム(NTP)サーバーの設定 ......................................................................................................79
システムログ、SNMP、E メールアラート .............................................................................................79
4.5.1
システムログの設定 .........................................................................................................................80
4.5.2
E メールアラートの設定 .......................................................................................................................83
4.5.3
SNMP アラートの設定 ..........................................................................................................................84
4.5.4
エージェントを使用した SCB ステータス情報のクエリ ........................................................87
4.6
SCB でのシステム監視設定 ...................................................................................................................88
4.6.1
監視設定...............................................................................................................................................89
4.6.2
Health monitoring(状態監視) .............................................................................................................90
4.6.3
ディスクの容量不足の予防 ...........................................................................................................91
4.6.4
System related traps(システム関連トラップ) .............................................................................92
4.6.5
Traffic related traps(トラフィック関連アラート) ..........................................................................94
4.7
データと設定のバックアップ ....................................................................................................................96
4.7.1
バックアップポリシーの作成..........................................................................................................97
4.7.2
設定バックアップの作成 .............................................................................................................. 100
4.7.3
データバックアップの作成 ........................................................................................................... 102
4.7.4
設定のバックアップの GPG 暗号化 ........................................................................................ 102
4.8
アーカイブとクリーンナップ ................................................................................................................... 103
4.8.1
アーカイブポリシーの作成 .......................................................................................................... 104
4.8.2
収集データのアーカイブ .............................................................................................................. 109
4.9
5
バックアップとアーカイブのプロトコルのパラメーター................................................................ 110
4.9.1
Rsync over SSH の設定................................................................................................................... 110
4.9.2
SMB の設定 .......................................................................................................................................... 113
4.9.3
NFS の設定 ........................................................................................................................................... 115
4.9.4
バックアップファイルの所有権 .................................................................................................. 117
ユーザー管理とアクセスコントロール ........................................................................................................ 118
5.1
SCB ユーザーのローカル管理 ........................................................................................................... 118
5.2
ローカルユーザーのパスワードポリシーの設定 ......................................................................... 120
5.3
ローカルユーザーグループの管理 ................................................................................................... 123
5.4
LDAP データベースからの SCB ユーザー管理 ........................................................................... 124
5.5
RADIUS サーバーでのユーザー認証 .............................................................................................. 130
5.6
X.509 証明書を持つユーザーの認証............................................................................................... 132
5.7
ユーザー権限とユーザーグループの管理..................................................................................... 133
5.7.1
グループ権限の修正 .................................................................................................................... 135
5.7.2
SCB の Web インターフェース用に新規ユーザーグループの作成 ................................. 137
5.7.3
特定のユーザーグループの検索............................................................................................. 138
5.7.4
ユーザーグループの使用方法 ................................................................................................. 139
5.7.5
SCB の組み込みユーザーグループ ............................................................................................ 139
5.8
設定変更の一覧と検索 ......................................................................................................................... 144
5.8.1
5.8.1.1
フィルタリング .............................................................................................................................. 146
5.8.1.2
検索結果のイクスポート ......................................................................................................... 147
5.8.1.3
内部検索インターフェースのカラムのカスタマイズ ...................................................... 147
5.9
6
内部検索インターフェースの使用 ............................................................................................ 145
ユーザーおよびユーザーグループ特権の表示 ........................................................................... 149
SCB の管理 ......................................................................................................................................................... 154
6.1
SCB の制御 - 再起動、シャットダウン .......................................................................................... 154
6.1.1
制御対象トラフィックの無効化 .................................................................................................. 156
6.1.2
制御対象トラフィックの恒久的な無効化 ............................................................................... 157
6.2
ハイアベイラビリティ SCB クラスターの管理 ................................................................................. 158
6.2.1
DRBD の同期のスピードの調節 ................................................................................................... 163
6.2.2
ハートビートインターフェースの冗長化設定 ........................................................................ 164
6.2.3
ネクストホップルーターの監視設定 ........................................................................................ 167
6.3
SCB のアップグレード ............................................................................................................................ 170
6.3.1
アップグレード チェックリスト .................................................................................................... 171
6.3.2
SCB のアップグレード (シングルノード) .................................................................................. 172
6.3.3
SCB クラスターのアップグレード ................................................................................................... 174
6.3.4
トラブルシューティング ................................................................................................................. 175
6.3.5
古いファームウェアバージョンの復元 .................................................................................... 176
6.3.6
SCB ライセンスの更新 ...................................................................................................................... 178
6.3.7
SCB の設定のエクスポート ............................................................................................................. 180
6.3.8
SCB の設定のインポート ................................................................................................................. 181
6.4
SCB コンソールへのアクセス .............................................................................................................. 183
6.4.1
SCB のコンソールメニューを使用する........................................................................................ 183
6.4.2
SCB ホストへの SSH アクセスの許可......................................................................................... 184
6.4.3
SCB の root パスワードの変更 ..................................................................................................... 186
6.5
Sealed(シールド)モード ........................................................................................................................ 187
6.5.1
6.6
Sealed(シールド)モードの無効化 ................................................................................................ 188
SCB のアウトオブバンド管理 .............................................................................................................. 188
6.6.1
6.7
7
IPMI インターフェースの構成......................................................................................................... 190
SCB 上で使用する証明書の管理 ..................................................................................................... 192
6.7.1
SCB の証明書の生成 ....................................................................................................................... 195
6.7.2
外部の証明書のアップロード .................................................................................................... 196
6.7.3
Windows 証明機関での TSA 証明書の生成 ............................................................................ 199
接続の設定 .......................................................................................................................................................... 210
7.1
接続の設定 ................................................................................................................................................ 210
7.2
宛先アドレスの修正 ................................................................................................................................ 215
7.3
インバンド宛先選択の設定 .................................................................................................................. 217
7.4
送信元アドレスの修正 ........................................................................................................................... 219
7.5
チャンネルポリシーの作成と編集 ..................................................................................................... 221
7.6
コンテンツポリシーとリアルタイムコンテンツの監視 .................................................................. 226
7.6.1
新しいコンテンツポリシーの作成 ............................................................................................. 226
7.7
タイムポリシーの設定 ............................................................................................................................ 231
7.8
ユーザーリストの作成と編集............................................................................................................... 233
7.9
LDAP サーバーでのユーザー認証................................................................................................... 235
7.10
監査ポリシー.............................................................................................................................................. 241
7.10.1
監査トレイルの暗号化.................................................................................................................. 241
7.10.2
組み込みタイムスタンプサービスでの監査トレイルへのタイムスタンプ付け ......... 246
7.10.3
外部のタイムスタンプサービスでの監査トレイルへのタイムスタンプ付け .............. 248
7.10.4
監査トレイルのデジタル署名 ..................................................................................................... 251
7.10.5
監査トレイルの制限....................................................................................................................... 253
7.11
認証局での証明書確認......................................................................................................................... 254
7.12
証明書の on-the-fly (必要時に動的な)署名............................................................................. 256
7.13
ローカルユーザーデータベースの作成 ........................................................................................... 258
7.14
IDS または DLP システムへのトラフィック転送 ............................................................................ 260
7.15
SCB 接続データベースのクリーンアップ設定............................................................................... 262
8
HTTP - 固有の設定 ........................................................................................................................................ 266
8.1
HTTP 接続を処理する際の制限事項 .............................................................................................. 267
8.2
HTTP 環境における SCB の展開シナリオ..................................................................................... 267
8.2.1
8.3
HTTP プロキシとの相互作用 ......................................................................................................... 267
HTTP 接続を設定する ........................................................................................................................... 268
8.3.1
透過的 HTTP 接続を設定する.................................................................................................. 268
8.3.2
HTTP プロキシとして動作するように SCB を有効にする.................................................... 270
8.3.3
HTTP で SSL 暗号化を有効にする.............................................................................................. 271
8.3.4
HTTP で片側 SSL 暗号化の設定................................................................................................. 274
8.4
HTTP セッションハンドリング ............................................................................................................... 276
8.5
プロトコルレベルの HTTP 設定の作成と編集 .............................................................................. 276
9
ICA - 固有の設定 ............................................................................................................................................ 279
9.1
ICA 接続の設定........................................................................................................................................ 279
9.2
サポート対象の ICA チャンネルタイプ ............................................................................................. 281
9.3
プロトコルレベルの ICA 設定の作成と編集 .................................................................................. 283
9.4
Citrix 環境での SCB 展開シナリオ ................................................................................................... 286
9.5
トラブルシューティング - Citrix 関連の問題 ................................................................................ 290
10
RDP - 固有の設定...................................................................................................................................... 291
10.1
サポート対象の RDP チャンネルタイプ ........................................................................................... 292
10.2
プロトコルレベルの RDP 設定の作成と編集 ................................................................................ 295
10.3
SCB のドメイン参加................................................................................................................................. 299
10.4
複数ドメインにわたる SCB の使用 ................................................................................................... 301
10.5
SSL 暗号化 RDP 接続の使用 ............................................................................................................ 302
10.6
暗号化された接続での RDP サーバーの証明書の検証 ......................................................... 304
10.7
ターミナル サービス ゲートウェイとしての SCB 使用 .............................................................. 305
10.8
ゲートウェイ認証のためのリモートデスクトップクライアント設定 .......................................... 311
10.9
RDP 接続におけるユーザー名 ........................................................................................................... 314
10.10
11
Windows 上の RDP ログイン認証情報の保存 ......................................................................... 315
SSH - 固有の設定 ...................................................................................................................................... 317
11.1
SSH ホスト鍵と接続の証明書の設定 .............................................................................................. 318
11.2
サポート対象の SSH チャンネルタイプ ........................................................................................... 322
11.3
Authentication Policy (認証ポリシー) ........................................................................................... 329
11.3.1
新しい認証ポリシーの作成 ........................................................................................................ 330
11.3.2
クライアント側の認証設定 .......................................................................................................... 332
11.3.2.1
クライアント側のローカル認証 ........................................................................................ 335
11.3.3
リレーされた認証方法 .................................................................................................................. 336
11.3.4
Kerberos(ケルベロス)環境の設定 ......................................................................................... 340
11.3.5
Kerberos(ケルベロス)認証の設定 ......................................................................................... 341
11.4
サーバーのホスト鍵と証明書.............................................................................................................. 343
11.4.1
サーバーのホスト鍵とホスト証明書の SCB への自動追加 .......................................... 343
11.4.2
サーバーのホスト鍵とホスト証明書の SCB への手動追加 .......................................... 344
11.5
12
プロトコルレベルの SSH 設定の作成と編集................................................................................. 347
Telnet - 固有の設定 .................................................................................................................................. 349
12.1
Telnet 接続用 TLS 暗号化の有効化 ............................................................................................... 350
12.2
新しい認証ポリシーの作成 .................................................................................................................. 354
12.3
Telnet 接続からユーザー名を抽出する.......................................................................................... 357
12.4
プロトコルレベルの Telnet 設定の作成と編集 ............................................................................. 358
12.5
Telnet 接続でのインバンド宛先の選択........................................................................................... 360
13
VMware View 接続 ...................................................................................................................................... 361
13.1
14
VMware 環境での SCB 展開シナリオ .............................................................................................. 361
VNC - 固有の設定 ..................................................................................................................................... 363
14.1
TLS 暗号の有効化 .................................................................................................................................. 363
14.2
プロトコルレベルの VNC 設定の作成と編集 ................................................................................ 367
15
監査トレイルの閲覧 ..................................................................................................................................... 369
15.1
監査トレイルの検索 - SCB 接続データベース ........................................................................... 369
15.1.1
接続の詳細....................................................................................................................................... 372
15.1.2
コンテクスト検索でのワイルドカードの使用......................................................................... 377
15.1.3
接続メタデータ ................................................................................................................................. 382
15.1.4
検索フィルターの使用と管理 ..................................................................................................... 390
15.1.4.1
以後の利用のためのフィルターの作成と保存.......................................................... 390
15.2
検索結果の統計表示 ............................................................................................................................. 391
15.3
監査トレイルのインデックス付けとレポート ................................................................................... 394
15.3.1
監査トレイルのフルテキストインデックス化設定................................................................ 396
15.3.2
インデクサーサービスのステータスの監視.......................................................................... 400
15.3.3
監査トレイル内容からのレポート作成 ................................................................................... 401
16
セッション情報の閲覧と監査トレイルの再生 ..................................................................................... 405
16.1
Audit Player のインストールと設定 ................................................................................................... 406
16.1.1
Audit Player アプリケーションのインストール...................................................................... 406
16.1.2
監査インデックス化サービスの有効化 .................................................................................. 408
16.1.3
管理者権限無しでの Audit Player 実行 ................................................................................ 410
16.1.4
マルチコアプロセッサでの Audit Player 実行 ..................................................................... 411
16.2
監査トレイルの再生 ................................................................................................................................ 411
16.2.1
SCB から監査トレイルのダウンロード ................................................................................... 412
16.2.2
Audit Player でのセッションの再生 ......................................................................................... 414
16.2.3
SCP と SFTP セッションの再生 ................................................................................................. 418
16.2.4
HTTP セッションの再生................................................................................................................ 419
16.3
Audit Player の使用 ................................................................................................................................ 423
16.3.1
特定の監査トレイルの検索 ........................................................................................................ 425
16.3.2
プロジェクトの使用 ......................................................................................................................... 429
16.3.3
暗号化された監査トレイルの再生と処理 ............................................................................. 429
16.3.3.1
MMC での証明書のインポート ........................................................................................ 430
16.3.3.2
証明書の場所 ........................................................................................................................ 431
16.3.3.3
OpenSSL を用いた証明書の変換.................................................................................. 432
16.3.3.4
Firefox を用いた証明書の変換...................................................................................... 432
16.3.4
グラフィカルストリームの検索 ................................................................................................... 433
16.3.5
新しいフォントの OCR データベースへの追加 ................................................................... 434
16.3.6
X11 トレイルを表示させるための新しいフォントの追加 .................................................. 435
16.3.7
HTTP インデックス付けと検索 .................................................................................................. 436
16.4
Audit Player のトラブルシューティング ............................................................................................ 437
16.4.1
Audit Player のログ記録 ............................................................................................................. 437
16.4.1.1
ユーザーモードでの Audit Player ログ記録 ............................................................... 437
16.4.1.2
Indexer サービス Audit Player ログ記録 ..................................................................... 438
16.4.1.3
Indexer サービス Audit Player コアダンプ................................................................... 439
16.4.2
鍵と証明書 ........................................................................................................................................ 440
16.4.3
鍵フレーム構築エラー .................................................................................................................. 441
17
高度な認証と承認技術............................................................................................................................... 442
17.1
ユーザーマッピングポリシーの設定 ................................................................................................. 442
17.2
ゲートウェイ認証の設定........................................................................................................................ 445
17.2.1
アウトバンドゲートウェイ認証の設定 ..................................................................................... 446
17.2.2
SCB でのアウトバンドゲートウェイ認証の実行.................................................................. 450
17.2.3
SSH と Telnet 接続でのインバンドゲートウェイ認証の実行 ......................................... 452
17.2.4
RDP 接続でのインバンドゲートウェイ認証の実行 ............................................................ 453
17.2.5
ゲートウェイ認証のトラブルシューティング .......................................................................... 454
17.3
4-eyes 承認の設定 ................................................................................................................................. 455
17.3.1
4-eyes 承認の設定 ....................................................................................................................... 455
17.3.2
17.4
SCB での 4-eyes 承認の実行 .................................................................................................. 458
サーバー側認証での証明書ストアの使用 ..................................................................................... 461
17.4.1
ローカル証明書ストアの構成 .................................................................................................... 462
17.4.2
RDP 8.x でローカル証明書ストアを使用して RDP サーバーへのゲートウェイ認証の
実行
465
17.4.3
パスワード保護された証明書ストアの設定 ......................................................................... 466
17.4.4
証明書ストアの解除 ...................................................................................................................... 470
17.4.5
Lieberman ERPM を使用するターゲットホストでの承認 ................................................. 471
17.4.6
カスタム証明書ストアプラグインを使用するターゲットホストでの認証 ..................... 475
17.4.7
カスタム証明書ストアプラグインの作成 ................................................................................ 476
17.5
17.4.7.1
利用できる Python 環境 .................................................................................................... 477
17.4.7.2
プラグインのファイル構成 ................................................................................................. 477
17.4.7.3
プラグインのバージョン管理............................................................................................. 478
17.4.7.4
プラグインのトラブルシューティング .............................................................................. 478
チケッティング・システムとの統合 ..................................................................................................... 478
17.5.1
ターゲットホストへの接続の承認にチケッティングプラグインを使う .......................... 479
17.5.2
端末接続でのチケッティングの統合で認証を実行する .................................................. 480
18
レポート ............................................................................................................................................................. 481
18.1
初期設定レポートの内容 ...................................................................................................................... 483
18.2
カスタムレポートの設定......................................................................................................................... 483
18.3
カスタムデータベースクエリからの統計作成 ................................................................................ 486
18.4
カスタムクエリで利用できるデータベーステーブル .................................................................... 490
18.4.1
alerting テーブル ............................................................................................................................. 492
18.4.2
aps テーブル..................................................................................................................................... 493
18.4.3
archives テーブル.......................................................................................................................... 494
18.4.4
audit_trail_downloads テーブル ................................................................................................. 494
18.4.5
channels テーブル......................................................................................................................... 495
18.4.6
closed_connection_audit_channels ビュー ............................................................................ 500
18.4.7
closed_not_indexed_audit_channels ビュー ........................................................................... 500
18.4.8
connection_events ビュー .......................................................................................................... 501
18.4.9
connection_occurrences ビュー ................................................................................................ 502
18.4.10
events テーブル ............................................................................................................................. 503
18.4.11
connections ビュー ........................................................................................................................ 504
18.4.12
file_xfer ビュー.................................................................................................................................. 507
18.4.13
http_req_resp_pair テーブル ....................................................................................................... 507
18.4.14
lucene 検索関数を用いるトレイルコンテンツの検索 ........................................................ 508
18.4.15
occurrences テーブル................................................................................................................... 509
18.4.16
progresses テーブル...................................................................................................................... 509
18.4.17
results テーブル .............................................................................................................................. 510
18.4.18
sphinx 関数でのトレイルコンテンツの検索 .......................................................................... 510
18.4.19
skipped_connections テーブル .................................................................................................. 512
18.4.20
usermapped_channels ビュー ..................................................................................................... 512
18.5
19
部分レポートの設定 ................................................................................................................................ 517
SCB RPC API ................................................................................................................................................. 520
19.1
RPC API 使用の要件 ............................................................................................................................. 520
19.2
RPC クライアントの要件 ........................................................................................................................ 521
19.3
RPC API から SCB 設定のロック ....................................................................................................... 522
19.4
RPC API のドキュメント.......................................................................................................................... 522
19.5
RPC API の SCB アクセス有効化 ..................................................................................................... 522
20
ベストプラクティスと設定例 ....................................................................................................................... 524
20.1
SCB での公開鍵認証設定 ................................................................................................................... 524
20.1.1
ローカル鍵での公開鍵認証の設定 ........................................................................................ 524
20.1.2
LDAP サーバーと固定鍵による公開鍵認証の設定......................................................... 525
20.1.3
LDAP サーバーと生成された鍵による公開鍵認証の設定............................................ 527
20.2
Bastion(バスシオン)モードでの接続 ............................................................................................... 528
20.2.1
ポート番号ベースの接続............................................................................................................. 528
20.2.2
エイリアス IP アドレスベースの接続 ....................................................................................... 529
20.2.3
SSH による Bastion(バスシオン)モードの SCB ホストへのアクセス ........................ 530
20.3
非透過 Bastion(バスシオン)モードの設定 ................................................................................... 531
20.4
非透過 Bastion(バスシオン)モードの使用 ................................................................................... 533
20.4.1
PuTTY でのインバンド(inband)宛先選択の使用 .............................................................. 533
20.4.2
OpenSSH でのインバンド(inband)宛先選択の使用 ........................................................ 535
20.4.3
PuTTY でのインバンド(inband)選択と標準でないポートの使用 ................................ 535
20.4.4
OpenSSH でのインバンド(inband)選択と標準でないポートの使用........................... 537
20.4.5
PuTTY でのインバンド(inband)宛先選択とゲートウェイ認証の使用........................ 538
20.4.6
OpenSSH でインバンド(inband)宛先選択とゲートウェイ認証の使用 ....................... 540
21
SCB シナリオ .................................................................................................................................................. 541
21.1
22
公開鍵を使った AD における SSH ユーザーマッピングと 鍵マッピング ........................... 541
SCB のトラブルシューティング ................................................................................................................. 550
22.1
ネットワークのトラブルシューティング .............................................................................................. 550
22.2
システムの問題についてのデータ収集 .......................................................................................... 551
22.3
SCB でのログ閲覧 .................................................................................................................................. 552
22.4
SCB のログの詳細度の変更............................................................................................................... 553
22.5
エラーレポート用のログとシステム情報の収集 ........................................................................... 554
22.6
ステータスヒストリーと統計データ ..................................................................................................... 556
22.6.1
22.7
カスタム接続統計データの表示 ............................................................................................... 558
SCB クラスターのトラブルシューティング ....................................................................................... 558
22.7.1
SCB クラスタのステータスの理解............................................................................................ 559
22.7.2
両方のノードが故障した場合の SCB 復旧 .......................................................................... 563
22.7.3
スプリットブレイン状況からの復旧 .......................................................................................... 564
22.7.4
SCB クラスターでの HA ノードのリプレース ........................................................................ 567
22.7.5
クラスターノード間での IP アドレスの重複の解決手順 ................................................... 568
22.8
SCB 設定とデータのリストア ............................................................................................................... 570
付録 1
Secure Shell プロトコルの概要 ..................................................................................................... 572
1.1
SSH の基本操作 ...................................................................................................................................... 572
1.2
暗号パラメーターの設定 ....................................................................................................................... 573
付録 2
BalaBit Shell Control Box ハードウェア導入ガイド............................................................... 575
2.1
SCB ハードウェアの導入 ...................................................................................................................... 575
2.2
2台の SCB ユニットを HA モードで導入する手順 ...................................................................... 578
用語集.............................................................................................................................................................................. 579
変更履歴
版
発行日
第 1.0 版
2015/4/6
変更内容
新規作成 (Shell Control Box 4)
まえがき
本書では、BalaBit Shell Control Box (SCB) の設定および管理方法について説明します。
製品の技術的な背景やコンセプトについても紹介します。
1. 本ガイドの構成
本ガイドは以下の章から構成されています。
第1章
イントロダクション
SCB の主な機能と目的について説明します。
第2章
SCB のコンセプト
SCB の技術概念と基本原理について説明します。
第3章
ウェルカムウィザードと最初のログイン
SCB の設置後にすべきことについて、初期設定をステップバイステップで説明します。
第4章
基本設定
SCB の設定と管理について詳しく説明します。
第5章
ユーザー管理とアクセスコントロール
SCB にアクセスするユーザーの Authetication(認証)、Authorization(承認)、Accounting
(アカウンティング)設定について説明します。
第6章
SCB の管理
SCB の管理について詳しく説明します。
第7章
接続の設定
一般的な接続の設定について説明します。
第8章
HTTP - 固有の設定
HTTP プロトコル固有の設定について説明します。
第9章
ICA - 固有の設定
BalaBit Shell Control Box 4 LTS
Rev. 1.0
1
ICA プロトコル固有の設定について説明します。
第10章 RDP - 固有の設定
RDP プロトコル固有の設定について説明します。
第11章 SSH - 固有の設定
SSH プロトコル固有の設定について説明します。
第12章 Telnet - 固有の設定
Telnet プロトコル固有の設定について説明します。
第13章 VMware View 接続
SCB で VMware View 接続を制御、監査する方法について説明します。
第14章 VNC - 固有の設定
Virtual Networking (VNC) プロトコル固有の設定について説明します。
第15章 監査トレイルの閲覧
SCB の各種ログメッセージと監査トレイルの閲覧方法と、それらが含む情報について説
明します。
第16章 セッション情報の閲覧と監査トレイルの再生
監査トレイルの検索と表示、レポートの生成、監査セッションの再生について説明しま
す。
第17章 高度な認証と承認技術
ゲートウェイ認証および 4-eyes 認証の設定方法について説明します。
第18章 レポート
レポートについて説明します。
第19章 SCB RPC API
RPC(リモートプロシージャコール) での SCB へのアクセスについて詳しく説明します。
第20章 ベストプラクティスと設定例
SCB 固有の設定手順についてステップバイステップで説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
2
第21章 SCB シナリオ
SCB の一般的なシナリオについて説明します。
第22章 SCB のトラブルシューティング
SCB のトラブルシューティングやメンテナンスの手順について説明します。
付録 1 Secure Shell プロトコルの概要
Secure Shell プロトコルを簡単に紹介します。
付録 2 BalaBit Shell Control Box ハードウェア導入ガイド
BalaBit Shell Control Box (SCB) ハードウェアのセットアップ方法を説明します。
用語集
このガイドで使用される重要な用語の意味を説明します。
2. 対象読者
このガイドは、監査役、コンサルタント、サーバー管理(特にリモートサーバー管理)プロセスのセ
キュリティ、監査、監視を担当するセキュリティ専門家を対象にしています。また、サーバーのセキ
ュリティと監査能力を向上させるツール、あるいはサーベンス・オクスリー法(Sarbanes-Oxley
Act(SOX))、医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and
Accountability Act(HIPAA))、バーゼルⅡ(Basel II)、Payment Card Industry(PCI)スタンダードの順
守を容易にするツールを探している情報システム部門担当者にも役立ちます。
SCB 管理者に必要なスキルと知識は以下の通りです。
システム管理の基礎知識
ネットワーク、TCP/IP プロトコル、一般的なネットワーク専門用語の理解
UNIX あるいは Linux OS の知識(必須ではありませんが、あれば大変役に立ちま
す。)
様々なサーバーアプリケーションに関する専門的な知識(フォレンジック目的)
3. 対象製品
このガイドでは、BalaBit Shell Control Box version 4 LTS の使用方法について説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
3
4. 本ガイドの表記
本ガイドをお読みいただく前に、この文書で使用される用語とアイコンの意味をご理解ください。
本ガイドで使用される専門用語と略称については、用語集を参照してください。
次の表記規則を使用します。
ヒント
ヒントでは、ベストプラクティスと推奨を提供します。
注記
注記では、トピックに関する追加情報を提供し、重要事項と考慮すべき事柄
を強調します。
警告
警告では、指示に従わない場合にデータの喪失やデバイスの設定ミスを引
き起こす可能性があることを示します。
等幅(例: command)
実行するコマンド
参照項目
ファイル名(/path/to/file)
パラメーターや属性名(Parameters)
太字(例: Button)
GUI メッセージやダイアログのラベル
メニューバーのサブメニューやメニュー項目
ダイアログウィンドウのボタン
BalaBit Shell Control Box 4 LTS
Rev. 1.0
4
1
イントロダクション
この章では、技術仕様ではなく、どのように、そしてなぜ BalaBit Shell Control Box(SCB)が有益な
のかについて説明し、現在の IT インフラにどのように付加的なセキュリティを提供するかについて
紹介します。
1.1
SCB とは
SCB は、サーバーへのリモート管理アクセスを制御、監視、そして監査するデバイスで、サーバー
管理に使用される暗号化された接続を制御することによって、サーバー管理者とサーバー管理プ
ロセスを監視するツールです。SCB は外付けの透過的なデバイスで、クライアントとサーバーから
完全に独立しています。SCB を使用するためにサーバーとクライアントのアプリケーションを変更
する必要は一切ありません。そのため、現在お使いのインフラにスムーズに組み込むことができま
す。
SCB は、設定の変更やコマンドの実行などを含む、あらゆる管理トラフィックを監査トレイルに記録
します。全データは、変更や操作を避けるため、暗号化されたタイムスタンプつきの署名ファイル
に保存されます。サーバーの設定ミスやデータベース操作、予期しないシャットダウンなど、何か
問題があったとき、イベントの状況をすぐに監査トレイルから取り出せます。従って、起こったこと
の原因を簡単に特定することができます。記録された監査トレイルは映画のように表示することが
でき、管理者の全ての行動を再生することができます。全監査トレイルは、インデックスがつけら
れ、再生中に早送りしたり(例えば、マウスクリックや Enter キーを押したなどの)イベントを検索し
たり管理者がテキストを見たりすることも可能です。レポートと自動検索を設定することもできます。
また、通信に含まれる機密情報を保護するために、双方向のトラフィック(クライアントからサーバ
ー、サーバーからクライアント)を切り離して、異なる鍵で暗号化することができます。そのため、パ
スワードのような取扱いに注意が必要な情報は、必要なときにだけ表示することができます。
SCB は、トラフィックから暗号を取り除いて、侵入検知システム(Intrusion Detection System (IDS))
に暗号化されていないトラフィックを送ることもでき、暗号化されたトラフィック内容の分析を可能に
します。これにより、IDS 分析がアクセスできなかったトラフィックをリアルタイムに調査できるように
なります。同様に SSH トンネルを使用する他のプロトコルも調査することができます。また、暗号化
さ れ た プ ロ ト コ ル で 転 送 ・ ア ク セ ス さ れ た フ ァ イ ル の リ ス ト を 情 報 漏 洩 防 止 ( Data Leakage
Prevention (DLP))システムに送ることができます。
SCB は、管理者の仕事のフレームワークである SSH, RDP, Telnet, TN3270, Citrix ICA, VNC 接続
BalaBit Shell Control Box 4 LTS
Rev. 1.0
5
を完全に制御します。SCB の特筆すべき特長は以下の通りです。
必要ではないチャンネルや機能(例えば、TCP ポートフォワード、ファイル転送、
VPN など)の無効化
選択した認証方法(パスワード、公開鍵など)の強制使用
SCB ゲートウェイでのアウトバウンド認証の要求
リアルタイム監視と監査機能をもつ 4-eyes 承認の実行
選択したチャンネルの監査。(監査トレイルは暗号化されたタイムスタンプつきのデ
ジタル署名ファイル)
LDAP データベースからのユーザーグループメンバーの読み出し
アクセスしたサーバーのホスト鍵とホスト証明書の検査
SCB の設定および管理は、HTTPS 接続、JavaScript、cookies をサポートする Web ブラウザから
行います。
1.2
SCB の範囲外
SCB はファイアーウォールではありません。高度なファイアーウォール技術を使用していますが、
サーバー管理プロセスに焦点をあててアクセス制御とアクセス監査を行うデバイスです。実際は、
サーバーへのリモート管理アクセスを制御、監視、監査します。
SCB はリモートでサーバーにアクセスしている管理者の、通過するトラフィックだけを監視します。
そのため、ローカルアクセスからサーバーを守ることはできず、そのようなイベントを発見すること
もできません。ローカルコンソールからサーバーに誰かがアクセスした場合、その人が何をしようと
SCB には分かりません。
SCB はサーバーへの管理アクセスを制御するために使用することができます。大規模サーバーフ
ァームの場合に、それぞれのサーバーの構成を1つずつ変更する必要はなく、例えば SSH でパス
ワードベースの認証を無効にする、RDP チャンネルを制御する、または管理者アカウントを拒否す
るなど、アクセスポリシーを変更するか、または、制限するための簡単な方法を提供します。しかし
ながら、SCB はサーバーの適切な構成を置き換えるために使用できませんし、するべきではあり
ません。適切な設定が行われていないサーバー構成は必然的に SCB の範囲を超えたセキュリテ
ィリスクをもたらします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
6
1.3
SCB が必要な理由
サーバーに関する重要なイベントを全て記録するためには、サーバー管理を監査する必要があり
ます。しかし、セキュリティ上の問題から、サーバーはほぼ例外なく暗号化されたプロトコルだけを
使って管理されているため、システム管理を監視、監査することは難しくなっています。信頼できる
監査を実施するためには、データ収集は透過的で、クライアントとサーバーから独立したものでな
ければなりません。一方、経験のある管理者(または攻撃者)は、自分のアクションやその他のイ
ベントの痕跡を隠すためにログを操作することもあり得ます。SCB は、管理で使用される暗号化さ
れたチャンネルを透過的に監視し、システム管理者を監視するための、独立した監査層を導入す
ることで、これらの問題を解決します。
SCB の RDP(VMware ビューを含む)や VNC 監査機能は、シンクライアントアプリケーションで行な
われたアクションの記録を取ったりアーカイブに保管したりでき、ヘルプデスクにとっても有益で
す。
SCB による SSH/Telnet/TN3270/HTTP の監査は、ネットワークデバイスの管理を記録したりアー
カイブに保管したりするときに便利です。
1.4
SCB の想定ユーザー
SCB はサーバーを持つ全ての人、そして管理者のアクティビティを制御、監査したい全ての人に有
益です。特に SCB は以下の点で威力を発揮します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
7
ポリシーコンプライアンス
サーベンス・オクスリー法(Sarbanes-Oxley Act (SOX))やバーゼルⅡ(Basel II)の
ような規制は、金融関連の責任者に、監査機関に提出した全てのファイナンシャル
データが正確で、変更されていないことを保証するように要求しています。他の産
業にも個人情報やクレジットカード情報を守るための同じような規制(例えば、医療
保険の携行と責任に関する法律(Health Insurance Portability and Accountability
Act (HIPAA))や Payment Card Industry (PCI))があります。そのようなデータは通常、
セントラルサーバーのデータベースで保管されており、会計ソフトウェアのような専
用のアプリケーションを通じてのみアクセスすることができます。これらのアプライア
ンスは常にポリシーコンプライアンスに必要なログとレポートを作成しています。し
かし、これらのアプリケーションは、データベースへの正式なアクセスのみを認識し
ます。データベースを保管しているサーバーは、メンテナンスの理由でサーバー管
理者もアクセス可能でなくてはなりません。サーバーのスーパーユーザー特権を持
っている管理者は、データベースに直接アクセスし、操作することができ、サーバー
ログからそのようなアクションの痕跡を消すことができます。しかし、SCB は、ログや
他のアプリケーションのレポートを完全に行うことで、管理者のアクションを監査す
ることができます。
IT アウトソーシングを利用している企業
多くの企業や組織がサーバーや IT サービスの設定、メンテナンス、監視作業を外
部の企業に委託しています。これは、全てのデータ(例えば、プライベートやビジネ
スの E メール、顧客情報など)または、オンラインショップのオペレーションのような
ビジネスの重要なサービスにおいてさえ、組織が外部の企業の管理者を信用しな
ければならないということを意味します。このような状況では、全ての管理アクティビ
ティを確実に記録できる独立したデバイスを持つことが大きな安心を与えてくれます。
SCB はまさにその機能を備えており、サーバーのあらゆる問題について詳細な情
報を提供し、それらの責任の所在を簡単に明らかにすることができます。4-eyes 認
証方法を使えば、リモートサーバーアクセスと管理者アクションをリアルタイムで制
御できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
8
リモート管理を提供している企業
サーバーホスティング会社や Web ホスティング会社のようなアウトソースを提供す
る組織も SCB から利益を得ることができます。SCB は管理者を監視・監査すること
ができ、そして彼らの効果を評価するツールとしても使用することができます。記録
された監査トレイルは、リモートで管理されたサーバーの問題を解決した証拠として
使用することができます。サービスの達成度は記録された監査トレイルとアクセスレ
ポートを使って検証できるので、SCB はサービスレベルに関する合意(Service
Level Agreements(SLA))を向上させます。
シンクライアントを使用している企業
SCB は、一般的なシンクライアントソリューションで使用されるチャンネルを監査す
ることができ、アプリケーションに依存しない方法で全てのクライアントのアクティビ
ティを記録・監視できます。
リアルタイムのファイル転送とファイルアクセスの監視
SCB は、外部の情報漏洩防止(Data Leakage Prevention (DLP))システムにアクセ
スされたファイルや転送されたファイルのリストを送ることができます。DLP システム
は、機密データへのアクセス(保存データ(data at rest))と転送(実行データ(data in
motion))を検知し、追跡やアラート発報を行うことができます。SCB を使用すること
でこれまで制御できなかった SSH、SFTP のような暗号化されたプロトコルにも DLP
ポリシーを拡張することができます。
SSH を制御する必要のある組織
多くの組織は外部への SSH 接続を許可しなければなりません。しかし、事実上あら
ゆるプロトコルは SSH でトンネルしうるので、制御なしにこれを許可するのは望まし
くありません。SCB は、SSH 接続で許可するトラフィックタイプを制御でき、ターミナ
ル接続、SFTP ファイル転送、ポートフォワード、X11 フォワード、エージェントフォワ
ードのような異なるトラフィックタイプを区別できます。
ジャンプホストを使用している組織
多くの企業や組織はリモートサーバーやサービスにアクセスするために、ジャンプ
ホストを使用しています。SCB は、ジャンプホストへの全てのアクセスの認証と監査
に使用することができます。SCB は強力な認証方法(例えば、X.509 証明書認証)と
ユーザーディレクトリ(例えば、Microsoft Active Directory やその他の LDAP データ
ベース)認証をサポートしており、ホストの鍵やパスワードの管理を単純化すること
ができます。これは、多くのリモートホストへアクセスしなければならない組織やたく
さんのジャンプホストを持つ組織に特に便利です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
9
1.5
BalaBit Shell Control Box の参考情報
SCB を使用している企業の一部をご紹介します。
Alfa Bank (Read Case Study)
Arcui
Emerging Markets Payments Jordan (Read Case Study)
Dubai Islamic Bank PJS
National Bank of Kuwait
Svenska Handelsbanken AB (Read Case Study)
The Central Bank of Hungary
Ankara University (Read Case Study)
ČEZ Group (Read Case Study)
Fiducia IT AG (Read Case Study)
Leibniz Supercomputing Centre (LRZ) (Read Case Study)
MTS Ukraine Mobile Communications
Orange Romania (Read Case Study)
Telenor Group (Read Case Study)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
10
2
SCB のコンセプト
この章では、SCB の技術的な概念について説明します。
2.1
SCB の信条
SCB は、Secure Shell (X11 転送を含む SSH)、Secure Copy (SCP)、SSH File Transfer Protocol
(SFTP)、Remote Desktop (RDP)、Independent Computing Architecture (ICA)、Telnet、VMware
View、VNC 接続を検査するデバイスで、その他のタイプのトラフィックは無視して単にフォワードさ
せます。SCB は、中間者(man-in-the-middle)技術を使って、検査された接続を解読したり、処理
を終了させたりします。この技術は接続を2つの部分(クライアント - SCB、SCB - サーバー)に分
け、全てのトラフィックを検査します。そのため、サーバーとクライアントの間で直接データが転送さ
れることはありません。
注記
SCB はアプリケーションレベル技術を使っています。特に、Zorp アプリケーシ
ョンレベルゲートウェイの SSH,RDP,telnet プロキシを使っています。Zorp と、
この技術についてより詳しく知りたい方は Balabit の Web サイトをご覧くださ
い。
図 2-1 SCB での SSH トラフィックの検査
トラフィックはレイヤー7 または OSI モデルのアプリケーション層で検査されます。全ての通信は、
それぞれのプロトコルの規格に準拠していなければなりません。SCB は全てのプロトコル違反と例
外を拒絶し、攻撃からサーバーを保護します。これにより、サーバーはサーバーアプリケーション
の脆弱性を突く未知の攻撃からも保護されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
11
SCB は、クライアントとサーバーが通信時に使用する暗号化のパラメーターを決める、接続の最初
のネゴシエーションフェーズを完全に制御します。SCB は、様々なアルゴリズムの使用を制限する
ことができ、弱いものの使用は禁止することができます。これはダウングレードアタックを防ぐ効果
的な防御となります。
SCB は、クライアント - サーバー間の接続を2つの別々の接続に分割するので、クライアント側と
サーバー側で異なるアルゴリズムを使用することができます。
SCB は、(ユーザー認証を含む)最初から接続を正しく制御します。認証方法やサーバーへのアク
セスを許可するユーザーも制限することができるため、ユーザー情報が利用可能であるプロトコル
(例えば、SSH)の厳密認証を簡単に要求することができます。
SCB は様々なポリシーを使って、誰が、いつ、どのように、接続やプロトコルの特定チャンネルにア
クセスできるかを制限します。ユーザー名や使用されている認証方法などに基づくこれらのポリシ
ーは、特定のクライアントとサーバー間の接続や、接続の特定のチャンネル(例えば、SSH のター
ミナルセッションのみか、RDP でのデスクトップ共有)にも適用することができます。
図 2-2 プロトコルチャンネルの制御
SCB の設定は、管理者または監査役が Web ブラウザから行います。
2.2
サポート対象プロトコルとクライアントアプリケーション
SCB は、以下のプロトコルとクライアントをサポートします。原則として、特にテストされないクライ
アントアプリケーションであっても、適切なプロトコル規格に従っていれば SCB で処理できるはずで
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
12
HTTP
SCB は HTTP 1.0 と 1.1 standards をサポートします。
SSH (Secure Shell Protocol)
SCB は SSHv2 プロトコル(RFC 4251-54)のみをサポートします。それ以前の安全
ではない v1 バージョンはサポートしません。
サポート対象のクライアントおよびサーバーアプリケーション: OpenSSH, Tectia®,
PuTTY
RDP (Remote Desktop Protocol)
RDP バージョン 4-8 をサポートします。
サ ポート 対象の クライ アン ト およびサー バーアプリケー シ ョン : Windows XP,
Windows Server 2003 R2, Windows Vista, Windows Server 2008 R2, Windows 7,
Windows 8, Windows 8.1, Windows Server 2012 プラットフォームのビルトインアプリ
ケーション(SCB のリリース時点のサービスパックをサポートします。)
リモートデスクトップサービスへのアクセス(RemoteApp programs)もサポートしま
す。
注記
その他のリモートデスクトップクライアントは、積極的にサポートし
ていませんが、SCB と互換性がある場合があります。サポート外
のクライアントアプリケーションを使用する場合は、以下の制限に
ご注意ください。
rdesktop アプリケーションや rdesktop コードベースで構
築された他のクライアントアプリケーション(例:Java クライア
ント)は RDP シャドウイングと Terminal Services Gateway(タ
ーミナルサービスゲートウェイ)接続をサポートしていませ
ん。
Remote Desktop Connection Client for Mac アプリケーション
は、RDP シャドウイングと Terminal Services Gateway(ターミ
ナルサービスゲートウェイ)接続をサポートしていません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
13
ICA
サポート対象のクライアントバージョン: Windows と Linux OS の Online plugin
11,12,13,14。
サポート対象サーバーバージョン:
・XenApp 5: Windows 2003 と 2008
・XenApp 6: Windows 2008 R2
・XenApp 6.5: Windows 2008 R2
・XenDesktop 5: Windows 2008 R2
・XenDesktop 5.5: Windows 2008 R2
・XenDesktop 7.0: Windows 2008 R2
・Receiver for Windows 4.1
・Receiver for Linux 13.0
詳細については、9.4 Citrix 環境での SCB 展開シナリオを参照してください。
Telnet
Telnet トラフィックは RFC 854 に準拠している必要があります。RFC 856-861,
652-658, 698, 726-27, 732-736, 749, 779, 885, 927, 933, 1041, 1043, 1053, 1073,
1079, 1091, 1096-97, 1184,1372, 1408, 1572, 2066, 2217, 2840, 2941, 2946 は拡張
規格です。
TN3270
Telnet 3270 と 3270E ターミナルプロトコル
Terminal Services Gateway Server Protocol
SCB は、Terminal Services Gateway (ターミナルサービスゲートウェイ)として動作
することができ、incoming 接続を RDP 接続に転送することができます。
Virtual Network Computing
VNC バージョン 3.3-3.8 をサポートします。
サポート対象のクライアントとサーバーアプリケーション: RealVNC, UltraVNC,
TightVNC, KVM, Vino
VMware View
RDP プロトコルを使って、リモートサーバーにアクセスする VMware View クライアン
トをサポートします。詳細については、13VMware View 接続を参照してください。
2.3
オペレーションのモード
SCB には Bridge(ブリッジ), Router(ルーター), Bastion(バスシオン)の 3 つのオペレーショ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
14
ンモードがあります。どれを使うかはネットワークのレイアウトに依存します。
ヒント
運用およびサーバー管理トラフィックのみが SCB を通過するように、ネットワ
ークトポロジーを設計することをおすすめします。これにより、SCB がダウンし
ているときでもサーバーで起動しているサービスやアプリケーションにアクセ
スすることができ、SCB が単一障害点となることを防ぎます。
また、SCB は nontransparent(非透過)モードをサポートします。このモードは上記3つのオペ
レーションモードのいずれとでも利用可能ですが、通常 Bastion(バスシオン)モードで使用されま
す。
2.3.1
Bridge(ブリッジ)モード
注記
Bridge(ブリッジ)モードは、今後削除されます。SCB 4 LTS ではサポートされ
ますが、今後のフィーチャーリリース版から削除されます。どうしても必要とさ
れない限り、Bridge(ブリッジ)モードは使用しないでください。
他の動作モードへの移行についての推奨については、弊社にお問合せくださ
い。
Bridge(ブリッジ)モードでは、SCB はネットワークスイッチとして振る舞い、管理者のネットワークセ
グメントと保護サーバーのセグメントをデータリンク層(OSI モデルのレイヤー2)で接続します。
図 2-3 Bridge(ブリッジ)モードの SCB
SCB を通過する全てのトラフィックは、SCB のブリッジインターフェースの MAC アドレスから出てい
BalaBit Shell Control Box 4 LTS
Rev. 1.0
15
きます。SCB は、ARP 応答内の全ての MAC アドレスを SCB 自身の MAC アドレスに置換するので、
全てのトラフィックは SCB を通過しなければなりません。
注記
Bridge(ブリッジ)モードの場合、SCB は外部インターフェースと内部インター
フェース間で DHCP トラフィックをフォワードしますが、他のマルチキャストトラ
フィック、ブロードキャストトラフィックをブロックします。
SCB の両側で、レイヤー3 デバイス(ルータかファイアーウォール)を使います。
Bridge(ブリッジ)モードの使用は、以下のネットワークトポロジーで推奨されます。
図 2-4 Bridge(ブリッジ)モードでの推奨トポロジー
または、
図 2-5 Bridge(ブリッジ)モードでの推奨トポロジー
SCB の Bridge(ブリッジ)モードはルーティングテーブルを使用します。デフォルトゲートウェイの反
対側に1つ以上のサブネットが SCB と接続している場合、ルーティングテーブルを使います。詳細
については、4.3.2 管理インターフェースへの管理トラフィックの経路指定を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
16
図 2-6 Bridge(ブリッジ)モードでルーティングが必要な場合
警告
Bridge(ブリッジ)モードとハイアベイラビティを一緒に使用するときは、SCB の
両側に専用スイッチを置き、これらのスイッチには他のデバイスを接続しない
でください。
図 2-7 ハイアベイラビリティでの Bridge(ブリッジ)モードの使用
2.3.2
Router(ルーター)モード
Router(ルーター)モードでは、SCB は透過的なルーターとして振る舞い、管理者のネットワークセ
グメントを保護サーバーのセグメントにネットワーク層(OSI モデルのレイヤー3)で接続します。全
ての接続はサーバーに到達する前に SCB を通らなければなりません。SCB はプロキシゲートウェ
イであり、保護サーバーを他のネットワークから完全に切り離します。制御された接続とトラフィック
は、アプリケーションレベルで検査されますが、その他の接続タイプはパケットレベルで単純にフォ
ワードされます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
17
図 2-8 Router(ルーター)モード
警告
Router(ルーター)モードはマルチキャストトラフィックをサポートしません。
ヒント
Router(ルーター)モードを使用しており、クライアント側とサーバー側両方の
トラフィックに外部インターフェースを経由させたい場合、内部インターフェー
スに存在しない IP アドレス(ネットワーク上に存在しないアドレス)を設定して
ください。この場合、SCB はトラフィックを外部インターフェースからデフォルト
ゲートウェイに送信します。
2.3.3
Single-interface Router(ルーター)モード
Single-interface Router(ルーター)モードは Router(ルーター)モード(ルーターモードの詳細は
2.3.2 Router(ルーター)モード)を参照してください。と似ていますが、クライアント側とサーバー側
の両方とも同じインターフェースを使います。外部デバイス(代表例、ファイアーウォールまたはル
ーター)は、SCB への監査トラフィックの直接リダイレクトが要求されます。これを達成するには、外
部デバイスはアドバンスドルーティング(ポリシーベースルーティングとも呼ばれています)をサポ
ートしなければなりません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
18
図 2-9 Single-interface Router(ルーター)モード
Single-interface Router モードを使うメリット:
クライアントは完全に透過的で、設定変更の必要がありません。
ネットワークトポロジーは変更されません。
監査対象のトラフィックだけSCBにルーティングされ、その他のトラフィックはルーテ
ィングされません。
Single-interface Router モードを使うデメリット:
SCB はクライアントと対象サーバーの中間に入ります。そのため、接続はクライアン
トと SCB 間、もう一つは SCB とサーバー間となります。SCB の設定に依存しますが、
SCB とサーバー間接続で使用されるソースの IP は、SCB の IP アドレスまたはクラ
イアントの IP アドレスになります。クライアント IP アドレスの場合、SCB が透過のル
ータモードの時(シングルインターフェースルータモードも含む)、SCB は IP スプーフ
ィングを実行します。ネットワーク管理者に IP スプーフィングが許可されているかセ
キュリティポリシーについて相談して下さい。
トラフィックは外部デバイスを使って、SCBに動的にルーティングされなければなり
ません。その結果として、ネットワーク管理者はルーティングルールの変更によって、
SCBを無効にできます。
新しいポートやサブネットに監査対象コネクションのリストに新しいポートやサブネッ
トを追加すると、外部デバイスの設定も同様に修正しなければなりません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
19
2.3.4
Bastion(バスシオン)モード
Bastion(バスシオン)モードでは、SCB は要塞ホストとして振る舞います。管理者は SCB のみをア
ドレス指定でき、管理対象サーバーが直接ターゲットになることはありません。SCB からの接続の
みがサーバーにアクセスできるようにネットワークのファイアーウォールを設定しなければなりませ
ん。SCB は、incoming 接続パラメーター(管理者の IP アドレス、ターゲット IP とポート)に基づいて、
どのサーバーに接続するか決定します。
Bastion(バスシオン)モードは本質的に、制御された(運用およびサーバー管理)トラフィックのみ
が SCB に到達することを保証します。これにより、SCB がダウンした場合でもサーバーで起動して
いるサービスやアプリケーションを確実に利用できます。このため SCB は単一障害点にはなりま
せん。制御する SSH、RDP、Telnet、VNC トラフィックが SCB に向かうようにサーバーの前にあるフ
ァイアーウォールまたはルーターを設定しなければなりません。これは IP レベルで達成することが
できます。
図 2-10 Bastion(バスシオン)モード
ヒント
Bastion (バスシオン)モードは、全体の(検査されていない)トラフィックが非
常に多く、SCB でフォワードできない場合に有益です。
Bastion (バスシオン)モードは、通常 Nontransparent(非透過)モードと一緒に使用されます。
詳細については 2.3.5 Nontransparent(非透過)モードを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
20
2.3.5
Nontransparent(非透過)モード
Nontransparent(非透過)モードでは、シングル接続ポリシーを作成することができ、ユーザー名に
ターゲットサーバー名を含むことによって、ユーザーは任意のサーバーにアクセスすることができ
ます(例: ssh username@targetserver:port@scb_address)。SCB は、ユーザー名か
らアドレスを抽出し、接続をターゲットサーバーへ向かわせることができます。
図 2-11 Nontransparent (非透過)モード
クライアントアプリケーションにはユーザー名に @ や : の使用を認めないものもあるため、代わ
りの文字を使うこともできます。
ユーザー名とターゲットサーバーを分けるため、@ や % を使います。
例: username%targetserver@scb_address
ターゲットサーバーとポート番号を分けるため、:, +, / を使います。
例: username%targetserver+port@scb_address
Windows RDP クライアントは、通常ユーザー名の先頭 9 文字のみをサーバーに送信するので、
Nontransparent (非透過)オペレーションが難しくなります。RDP4 または RDP5 プロトコルを使用し
ている場合、RDP 接続の開始時にユーザー名を含む必要はありません(例えば、@server のみ
を使用)。ユーザーはグラフィカルログイン画面で、後からユーザー名を入力することができます。
しかし、RDP6 接続ではユーザー名を指定しなければなりません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
21
2.4
SCB 経由のサーバー接続
クライアントがサーバーへ接続を開始すると、SCB は接続で使用されるプロトコルに応じて以下の
ような処理を行います。
SSH 接続の処理については、2.4.1 SSH を使用する SCB 経由のサーバー接続を参
照してください。
RDP とその他の接続の処理については、2.4.2 RDP を使用する SCB 経由のサーバ
ー接続を参照してください。
2.4.1
SSH を使用する SCB 経由のサーバー接続
目的
以下の手順は、クライアントが SCB を経由してサーバに接続する時何が発生するか、異なった構
成オプションと SCB のポリシーが如何にこのプロセスに影響するかを解説します。この手順では、
インバンド デスティネーション セレクション または インバンド ゲートウェイ認証のストーリをカ
バーしていないことに注意してください。
Steps:
Step 1.
クライアントがサーバーへ接続を試みます。SCB は接続要求を受けとり、クライアントと
TCP 接続を確立します。
Step 2.
SCB が接続要求を検査します(クライアントの IP アドレスと宛先サーバーの IP アドレスと
ポート番号をチェックします)。この要求のパラメーターが SCB で設定された接続ポリシ
ーと一致した場合、SCB は接続を詳しく検査します。その他の接続については、無視し
パケットレベルで単にフォワードします。
選択された接続ポリシーが接続の全ての設定とパラメーターを決定します。
注記
SCB は、ポリシーリストの先頭のポリシーから1つずつ、接続要求
のパラメーターと比較します。接続要求と完全に一致した最初の
接続ポリシーが、接続に適用されます。詳細については、7.1
接続の設定を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
22
Step 3.
SCB が接続ポリシーの Target(ターゲット)パラメーターを基に宛先サーバーを選択しま
す。アドレス変換(Network Address Translation (NAT))はここで行われます。詳細につい
ては 7.2 宛先アドレスの修正を参照してください。
Step 4.
SCB が接続ポリシーの SNAT パラメーターに基づきサーバー側の接続に使用する宛先
アドレスを選択します。詳細については、7.4 送信元アドレスの修正を参照してください。
Step 5.
SCB がサーバーへの TCP 接続を確立します。
Step 6.
チケッティングポリシーが接続ポリシーに設定されている場合、SCB はユーザーにプロ
ンプト(ID 入力用)を表示します。ユーザが正しいチケット ID を入力した場合のみ接続で
きます。このチケット ID は SCB により社内の発行トラッキングシステムで検証されます。
詳細については 17.5 チケッティング・システムとの統合を参照してください。
Step 7.
クライアントは、Authentication Policy(認証ポリシー)で許可された認証方法を用いて、
クライアント自身を認証します。接続ごとに異なる認証ポリシーを設定できるので、異な
る認証方法を使用できます。公開鍵認証が使われている場合、認証ポリシーはサーバ
ーに接続できるユーザーを制限することもできます。SCB はローカルユーザーデータベ
ース、リモート LDAP(例:マイクロソフトのアクティブディレクトリ)または RADIUS サーバ
ーのユーザーを認証することができます。この認証手順に使用されるユーザー名は、ゲ
ートウェイユーザー名と呼ばれ、ゲートウェイグループメンバーであるかどうかを調べる
のに使用されます。詳細については 11.3 Authentication Policy (認証ポリシー)を参照
下さい。
Step 8.
ゲートウェイ認証オプションが接続ポリシーに設定されると、SCB はユーザーが SCB
web インターフェースでアウトバンドゲートウェイ認証を終了するまで接続を一時停止に
します。詳細については 2.7 ゲートウェイ認証プロセス を参照下さい。
Step 9.
ユーザーマッピングポリシーオプションが接続ポリシーに設定されると、SCB は、ゲート
ウェイグループのユーザーがサーバー側の接続で使用するユーザー名でアクセスする
ことを許可しているかユーザーマッピングポリシーを確認します。
Step 10. サーバー側の接続が確立する前に、SCB は接続が許可されているかどうかチャンネル
ポリシーを評価します。たとえば、時間ポリシーで拒否されている接続かどうかです。
SSH Control > Settings > Enable pre channel check オプションが有効化の場合、SCB
はこのチェックを行います。詳細については、11.5 プロトコルレベルの SSH 設定の作成と
編集を参照してください。
SSH プロトコルについては、SCB は Connection policy(接続ポリシー)の Channel policy
(チャンネルポリシー)で設定されている From (クライアントの IP アドレス)、Gateway
group(ゲートウェイグループ)と Time policy(タイムポリシー)の制限をチェックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
23
Step 11. サーバー側接続
Step a. SCB がサーバーへ TCP 接続を確立します。
Step b. SCB は Connection Policy(接続ポリシー)の SSH Control>Settings に従い、
接続のためのプロトコルパラメータ(たとえば、SSH 暗号化パラメータ)をや
りとりします。
Step c. SCB は、クライアントに SSH ホストキーを表示します。このホストキーは
SCB で生成されたものか(SCB 上にある場合)サーバーのホストキーです。
Connection Policy(接続ポリシー)によりクライアントにホストキーを表示す
るかどうかが決まります。
警告
接続の SSH 設定が、RSA 鍵のみを有効とする場合、クライアント
に示される RSA 鍵を接続ポリシーで設定する必要があります。同
様に、DSA 鍵のみが許可されている場合は、DSA 鍵を設定する
必要があります。
Step d. SCB は Connection Policy(接続ポリシー)の Server side hostkey setting(サ
ーバー側ホスト鍵設定)オプションに従いサーバーのホスト鍵または証明
書を確認します。(一般的に、SSH Control > Server Host Keys のページで
サーバーのホスト鍵を管理できます。) 今までサーバーに接続していない
場合、SCB はサーバーのホスト鍵を受け入れて保存します。または、サー
バーのホスト鍵をマニュアルで SCB にアップロードできます。詳細は、11.4
サーバーのホスト鍵と証明書を参照してください。
Step 12. SCB は以下の情報によりサーバーを認証します。
クライアント側認証におけるクライアントの入力
Local User Database(ローカルユーザーデータベース)(詳細は 7.13 ローカルユーザ
ーデータベースの作成を参照してください。)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
24
ローカルまたは外部の証明書ストア(詳細は 17.4 サーバー側認証での証明書スト
アの使用を参照してください。)
Step 13. SCB はチャンネルポリシーに従って接続を認証します。以下をチェックします。
チャンネルポリシーが Gateway group または Remote group に対する User list(ユー
ザーリスト)制限を含む場合、SCB はユーザーが接続を許可されているかどうかを
チェックします。必要であれば、SCB は LDAP Servers ポリシーで設定された LDAP
サーバーに接続し、ユーザーがグループのメンバーであることを確認します。(詳細
は、7.8 ユーザーリストの作成と編集を参照してください。)
SCB がチャンネルポリシーに割り当てられた Time Policy(タイムポリシー)を調べま
す。チャンネルは許可された期間内のみで開くことができます
ヒント
Time Policy(タイムポリシー)は、特定の時間枠内のみサーバー
へのアクセスを許可したい場合に便利です。
Step 14. サーバー側とクライアント側の両方の接続が確立されました。これ以降、クライアントは
接続のあらゆるタイプのチャンネルをいくつでも開くことができます。
Step 15. Channel Policy(チャンネルポリシー)で 4-eyes 承認が設定されている場合、クライアント
の SSH セッションは、承認者がクライアントにサーバーへの接続を許可するまで中断し
ます。Connection policy(接続ポリシー)の Access Control(アクセス制御)設定により誰が
セッションの接続を承認できるかが決まります。詳細については 2.8 4-eyes 承認を参照
してください。
Step 16. クライアントがサーバー上で作業を開始します。接続情報は Search>Search ページで確
認できます。
チャンネルポリシーで監査が有効な場合、SCB はすべての通信を電子的に暗号化
した監査トレイルで記録します。詳細は 7.5 チャンネルポリシーの作成と編集、7.10
監査ポリシーを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
25
チャンネルポリシーでコンテンツポリシーが構成されていると、SCB はリアルタイム
で接続を監視します。ユーザーが不正な操作を行えばアラートをあげるか接続を終
了させます。詳細は、7.6 コンテンツポリシーとリアルタイムコンテンツの監視を参照
してください。
もしユーザーが同じ接続で別のチャンネルを開くと SCB は接続のチャンネルポリシーで
接続が許可されているか確認して、それに従い処理します。
Step 17. 接続後の処理
Step e. クライアントが接続を閉じた後、または、なんらかの理由で終了した時(たと
えばタイムアウトの時や、コンテンツポリシーや 4-eyes 承認者が終了させ
た時)、チャンネルポリシーの Audit(監査)オプションと接続ポリシーの
Enable indexing(インデックスの有効化)が設定されている場合には、SCB
は監査トレイルのコンテンツにインデックスを付けます。
Step f.
接続ポリシーでバックアップポリシーとアーカイブポリシーが設定されてい
ると、SCB はリモートサーバーにデータと接続の監査トレイルをバックアップ
して、アーカイブします。
Step g. Channel database cleanup(チャンネルデータベースクリーンナップ)期間を
過ぎると SCB はデータベースから接続に関するデータをすべて削除しま
す。
2.4.2
RDP を使用する SCB 経由のサーバー接続
目的
以下の手順は、クライアントが SCB を経由してサーバに接続する時何が発生するか、異なった構
成オプションと SCB のポリシーが如何にこのプロセスに影響するかを解説します。
Steps:
Step 1.
クライアントがサーバーへ接続を試みます。SCB は接続要求を受けとり、クライアントと
TCP 接続を確立します。
Step 2.
SCB が接続要求を検査します(クライアントの IP アドレスと宛先サーバーの IP アドレスと
ポート番号をチェックします)。この要求のパラメーターが SCB で設定された接続ポリシ
ーと一致した場合、SCB は接続を詳しく検査します。その他の接続については、無視し
パケットレベルで単にフォワードします。選択された接続ポリシーが接続の全ての設定と
パラメーターを決定します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
26
注記
SCB は、ポリシーリストの先頭のポリシーから1つずつ、接続要求
のパラメーターと比較します。接続要求と完全に一致した最初の
接続ポリシーが、接続に適用されます。詳細については、7.1 接
続の設定を参照してください。
Step 3.
SCB が接続ポリシーの Target(ターゲット)パラメーターを基に宛先サーバーを選択しま
す。アドレス変換(Network Address Translation (NAT))はここで行われます。詳細につい
ては、7.2 宛先アドレスの修正を参照してください。
Step 4.
SCB が接続ポリシーの SNAT パラメーターに基づきサーバー側の接続に使用する送信
元アドレスを選択します。詳細については、7.4 送信元アドレスの修正を参照してくださ
い。
Step 5.
SCB が接続ポリシーの Protocol settings(プロトコル設定)で有効化されている RDP プロ
トコルのバージョンかどうかをチェックします。プロトコルのバージョンにより、接続で異な
る暗号化が使用されます。そして接続ポリシーで異なるパラメータが要求されます。
Step 6.
サーバー側の接続が確立する前に、SCB は、接続が許可されているか決定するために
チャンネルポリシーを評価します。たとえば、タイムポリシーで拒否されていないかです。
SCB は RDP Control(RDP 制御)>Settings(設定)>Enable pre channel check(事前チャ
ンネルチェックの有効化)オプションが有効かどうかのチェックを実施します。詳細につい
ては、10.2 プロトコルレベルの RDP 設定の作成と編集を参照下さい。
Step 7.
サーバー側接続
Step a. SCB がサーバーへの TCP 接続を確立します。
Step b. SCB が接続ポリシーの Protocol settings(プロトコル設定)に従って、接続
のプロトコルパラメーター(例: 使用する RDP プロトコルのバージョン)をチ
ェックします。RDP ハンドシェイクはサーバー間とクライアント間で同時に行
なわれます。
Step 8.
サーバーが、ユーザーが認証を行えるように Drawing チャンネルを開きます。
Step 9.
SCB は、チャンネルポリシーに基づき接続を許可します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
27
チャンネルポリシー が Gateway group(ゲートウェイグループ )または Remote
group(リモートグループ)用の User List(ユーザーリスト)制限を含むならば、SCB は
ユーザーがサーバーにアクセスできるかチェックします。もし必要なら、SCB は
LDAP Servers(LDAP サーバー) ポリシーにある LDAP サーバーに接続してユーザ
ーのグループメンバーシップを解決します。詳細については、7.8 ユーザーリストの
作成と編集を参照下さい。
SCB が接続に割り当てられた Time Policy(タイムポリシー)を調べます。接続は許
可された期間だけ受容されます。
ヒント
Time Policy(タイムポリシー)は、特定の時間枠内のみサーバー
へのアクセスを許可したい場合に便利です。
Step 10. 接続ポリシーでゲートウェイ認証が設定されている場合、クライアントのセッションは、ユ
ーザーが SCB の Web 画面でゲートウェイ認証を完了するまで中断します。これは独立し
た接続で実施されるので、アウトバンド認証です。詳細については、2.7 ゲートウェイ認
証プロセスを参照してください。
Step 11. SCB は以下の情報によりサーバーを認証します。
クライアント側認証におけるクライアントの入力
Local User Database(ローカルユーザーデータベース)(詳細は 7.13 ローカルユーザ
ーデータベースの作成を参照してください。)
ローカルまたは外部の証明書ストア(詳細は 17.4 サーバー側認証での証明書スト
アの使用を参照してください。)
Step 12. SCB がサーバー側の接続を確立し、サーバーでクライアントを認証します。理由が何で
あれ認証が失敗した場合は、SCB はクライアント側の接続も終了します。再びサーバー
へのアクセスを試みるとき、クライアントのユーザー名の検証が必要となります。
Step 13. Channel Policy(チャンネルポリシー)で 4-eyes 承認が設定されている場合、クライアント
のセッションは、承認者がクライアントにサーバーへの接続を許可するまで中断します。
Connection policy(接続ポリシー)の Access Control(アクセス制御)設定により誰がセッシ
ョンの接続を承認できるかが決まります。詳細については 2.8 4-eyes 承認を参照してくだ
さい。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
28
Step 14. クライアントがサーバー上で作業を開始します。接続情報は Search>Search ページで確
認できます。
チャンネルポリシーで監査が有効な場合、SCB はすべての通信を電子的に暗号化
した監査トレイルで記録します。詳細は 7.5 チャンネルポリシーの作成と編集、7.10
監査ポリシーを参照してください。
チャンネルポリシーでコンテンツポリシーが構成されていると、SCB はリアルタイム
で接続を監視します。ユーザーが不正な操作を行えばアラートをあげるか接続を終
了させます。詳細は、7.6 コンテンツポリシーとリアルタイムコンテンツの監視を参照
してください。
もしユーザーが同じ接続で別のチャンネルを開くと SCB は接続のチャンネルポリシーで
接続が許可されているか確認して、それに従い処理します。
Step 15. 接続後の処理
Step a. クライアントが接続を閉じた後、または、なんらかの理由で終了した時(たと
えばタイムアウトの時や、コンテンツポリシーや 4-eyes 承認者が終了させ
た時)、チャンネルポリシーの Audit(監査)オプションと接続ポリシーの
Enable indexing(インデックスの有効化)が設定されている場合には、SCB
は監査トレイルのコンテンツにインデックスを付けます。
Step b. 接続ポリシーでバックアップポリシーとアーカイブポリシーが設定されてい
ると、SCB はリモートサーバーにデータと接続の監査トレイルをバックアップ
して、アーカイブします。
Step c. Channel database cleanup(チャンネルデータベースクリーンナップ)期間を
過ぎると SCB はデータベースから接続に関するデータをすべて削除しま
す。
2.4.3
RD ゲートウェイを使用する SCB 経由のサーバー接続
目的
以下の手順は、クライアントがターミナルサービスゲートウェイ(リモートデスクトップゲートウェイま
たは RD ゲートウェイとも呼びます。)を利用して SCB を経由してサーバに接続する時何が発生す
るか、異なった構成オプションと SCB のポリシーが如何にこのプロセスに影響するかを解説します。
構成プロセスの詳細は、10.7 ターミナル サービス ゲートウェイとしての SCB 使用 を参照してくだ
さい。
Steps
BalaBit Shell Control Box 4 LTS
Rev. 1.0
29
Step 1.
クライアントがリモートデスクトップソフトウェアで構成されたターミナルサービスゲートウ
ェイのポート番号443へ接続します。ターミナルサービスゲートウェイのアドレスは SCB
のエイリアス IP アドレスです。接続要求を処理するために、SCB のチャンネルポリシーで
エイリアス IP で RDP 接続要求を処理するように構成して、Act as a TS gateway(TS ゲー
トウェイとして振舞う)オプションを有効化する必要があります。
Step 2.
クライアントは(SCB 上の)ターミナルサービスゲートウェイで認証します。技術的にはこ
れは SCB が所属するドメインのドメインコントローラでのインバンドのゲートウェイ認証で
す。(SCB はドメインのメンバーである必要があります。詳細は、10.3 SCB のドメイン参加
を参照してください。)この認証ステップ使用するユーザー名は Gateway username(ゲー
トウェイユーザー名)として参照されます。そして、ユーザーの Gateway group(ゲートウェ
イグループ)のメンバーシップを決定するために使用されます。
Step 3.
クライアントはサーバーへの接続を試みます。この時点から、この接続は 2.4.2 RDP を使
用する SCB 経由のサーバー接続 で記述されたように処理されます。
2.5
SSH ホスト鍵
SSH 通信は、単純なホスト鍵か X.509 証明書のどちらかを使用する公開鍵暗号方式を用いてリモ
ート SSH サーバーを認証します。クライアント認証でも、公開鍵暗号を使用することができます。リ
モートサーバーの identity(身元)はホスト鍵か証明書を調べることによって検証することができま
す。SCB を経由してサーバーへ接続しようとするとき、クライアントは SCB が示すホスト鍵(または
証明書)を参照します。この鍵は、SCB のホスト鍵またはサーバーのオリジナルのホスト鍵(SCB
にアップロードされたサーバーの秘密鍵)です。後者の場合、クライアントは直接サーバーとやり取
りをしているのではなく、SCB とやり取りしていることに気づかないでしょう。
2.6
SSH で公開鍵認証を使ったクライアント認証
公開鍵認証は、秘密鍵と公開鍵(または X.509 証明書)が SCB 上で利用できることを要求します。
まず、ユーザーの公開鍵は、クライアント側の SSH 接続において identity(身元)の検証が必要で
す(クライアントが提示した鍵が SCB で保存されていた鍵と比較されます)。SCB はサーバー側の
接続で自分自身をサーバーに認証するため秘密鍵を使用します。ユーザーの秘密鍵が SCB にア
ップロードされていた場合は、SCB はユーザーの秘密鍵を使えます。あるいは、SCB は新しい鍵
ペアを生成してサーバー側の認証でその秘密鍵を使うか、Agent-forwarding を使ってクライアント
をそれ自身の鍵で認証することもできます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
30
警告
SCB がサーバー側の認証のために秘密鍵を作成する場合、鍵ペアの公開
部分をサーバーにインポートする必要があります。インポートしない場合、
認証は失敗します。あるいは、SCB は LDAP データベースに公開鍵(または
生成された X.509 証明書)をアップロードできます。
2.7
ゲートウェイ認証プロセス
目的:
接続にゲートウェイ認証が要求される場合、ユーザーは SCB 上でも同様に認証を行わなければ
なりません。この追加の認証は、SCB の Web インターフェースで行うことができ、プロトコルに依存
しない outband の認証方法を提供します。プロトコル自身が認証データベースをサポートしていな
い場合でも、中央認証データベース(例えば、LDAP や RADIUS)で接続を認証することができます。
また、一般的なユーザー名(例えば、root, Administrator など)を使った接続を実際のユー
ザーアカウントに関連付けることができます。
注記
SSH と RDP 接続では、SCB の Web インターフェースにアクセスすることなく
ゲートウェイ認証を inband で実行することも可能です。
SSH 接続の場合、inband ゲートウェイ認証はクライアント側の
認証が構成されるときに実行される必要があります。クライア
ント側の認証の構成に関する詳しい情報については、11.3.2
クライアント側の認証設定を参照してください。
RDP 接続の場合、inband ゲートウェイ認証は SCB がターミナ
ルサービスゲートウェイとして機能しているときに実行される
必要があります。この場合、クライアントはドメインコントロー
ラーで認証します。詳しい情報については、10.7 ターミナル
サービス ゲートウェイとしての SCB 使用を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
31
図 2-12 ゲートウェイ認証
ゲートウェイ認証のプロセスは以下の通りです。
Steps
Step 1.
ユーザーがクライアントから接続を開始します。
Step 2.
接続にゲートウェイ認証が要求された場合、SCB は接続を中断します。
Step 3.
ユーザーが SCB Web インターフェースにログインし、中断された接続のリストから接続を
有効にします。認証セッションと Web セッションが同じクライアント IP からのものであるこ
とを要求することもできます。
Step 4.
ユーザーがサーバー上で認証を行います。
注記
ゲートウェイ認証は、他の高度な認証や 4-eyes 承認、クライアン
ト側認証、サーバー側認証などの認証技術と一緒に使用すること
もできます。
2.8
4-eyes 承認
接続に 4-eyes 承認が要求される場合、ユーザー(承認者)は SCB 上でも同様に接続を認証する
必要があります。この承認は、ユーザーがリモートサーバーへアクセスするために要求される認証
またはグループメンバーシップに追加されます。どの接続でも 4-eyes 承認を使用でき、プロトコル
に依存しない outband の認証および監視方法を提供します。
承認者は、いつでも接続を終了させる可能性があり、承認された接続のイベントをリアルタイムに
監視する可能性もあります(SCB は、承認者(または別の監査者)が、ユーザーがサーバー上で何
をしているかを、映画を観ているかのように正確に観察できる Audit Player アプリケーションにトラ
フィックを流すことができます)。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
32
注記
監査者は、要求された暗号鍵が Audit Player アプリケーションを起動してい
るホスト上で利用可能な場合には、イベントのみを見ることができます。
図 2-13 4-eyes 承認
4-eyes 承認のプロセスは以下の通りです。
Steps:
注記
4-eyes 承認は、ゲートウェイ認証、クライアントサイド認証、サーバーサイド
認証などの、他の高度な認証と承認テクニックと一緒に使用できます。
Step 1.
ユーザーがクライアントから接続を開始します。
Step 2.
接続に 4-eyes 承認が要求された場合、SCB は接続を中断します。
Step 3.
承認者が SCB の Web インターフェースにログインし、中断された接続のリストからその接
続を有効にします。
Step 4.
ユーザーがサーバー上で認証を行います。
Step 5.
監査者(承認者である可能性もありますが役割を分けることもできる)は、ユーザーのア
クションをリアルタイムで観察します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
33
2.9
ネットワークインターフェース
SCB ハードウェアには、internal(内部)、external(外部)、management(管理)、HA、IPMI の 5 つの
ネットワークインターフェースがあります。ハードウェア導入の詳細は、付録 2 BalaBit Shell
Control Box ハードウェア導入ガイドを参照してください。
internal(内部)インターフェースは、SCB と保護されたサーバー間の通信でのみ使用されます。
内部インターフェースは3(または INT)というラベルがついたイーサネットコネクターを使用します。
external(外部)インターフェースは、SCB とクライアント間の通信に使用されます。保護された
サーバーにアクセスする、クライアントの制御された接続(例えば、サーバーを管理するシステム
管理者の SSH 接続)はこのインターフェースを経由します。また、SCB の初期設定は、外部インタ
ーフェースを使って行われます(初期設定に関する詳細については、3.2 ウェルカムウィザードでの
SCB の設定を参照してください)。管理インターフェースが設定されていない場合は、外部インター
フェースは管理目的でも使用されます。外部インターフェースは1(または EXT)というラベルがつ
いたイーサネットコネクターを使用します。
Management(管理)インターフェースは、SCB と監査者または SCB 管理者間の通信でのみ使用
されます。incoming 接続は SCB Web インターフェースへのアクセスのみ許可され、その他への接
続は拒否されます。管理インターフェースは2(または MGMT)というラベルがついたイーサネット
コネクターを使用します。
ルーティング規則がどのインターフェースが SCB のリモートバックアップやシスログメッセージの転
送に使用されるかを決定します。
ヒント
バックアップ、シスログ、SNMP メッセージ、E メールアラートは管理インター
フェースへ向かわせることをお勧めします。詳細は 4.3.2 管理インターフェー
スへの管理トラフィックの経路指定を参照してください。
管理インターフェースが設定されていない場合は、外部インターフェースが管理インターフェース
の役割を果たします。
HA インターフェースは、SCB クラスターノード間の通信のために予約されています。HA インターフ
ェースは4(または HA)というラベルがついたイーサネットコネクターを使用します。詳細について
は、2.10 SCB でのハイアベイラビリティ(High Availability)サポートを参照してください。
Intelligent Platform Management Interface (IPMI)は、システム管理者がリモートでシステムの状
BalaBit Shell Control Box 4 LTS
Rev. 1.0
34
態を監視し、SCB のイベントを管理できるようにするインターフェースです。IPMI は、SCB のオペレ
ーティングシステムとは独立して動作します。
2.10
SCB でのハイアベイラビリティ(High Availability)サポート
ハイアベイラビリティ クラスターは、ノードがビルや都市、さらに大陸をまたがって、長距離でも構
成できます。HA クラスターのゴールは場所に依存しないロードバランスとフェールオーバーを提供
することによって、企業の事業継続を支援することです。
ハイアベイラビリティ(HA)モードでは、同一の設定を持つ2つの SCB ユニット(マスターノードとス
レーブノード)が同時に動作します。マスターノードはスレーブノードと全てのデータを共有し、マス
ターノードが機能を停止した場合、スレーブノードが即座にアクティブになるのでサーバーは引き
続きアクセスできます。スレーブノードはマスターノードのインターフェースの MAC アドレスを引き
継ぎます。
ハイアベイラビリティ SCB クラスターを管理するより多くの情報については、6.2 ハイアベイラビリテ
ィ SCB クラスターの管理 に記載されています。
2.11
SCB のファームウェア
SCB のファームウェアは、external(外部)ファームウェアと internal(内部)ファームウェアの
2つに分かれています。
external(外部)ファームウェア(boot(ブート)ファームウェア)は、SCB を起動し、
ハイアベイラビリティサポートを提供し、internal(内部)ファームウェアを起動し
ます。外部ファームウェアはめったに変更されません。
internal(内部)ファームウェア(core(コア)ファームウェア)は、その他全て(Web
インターフェースの提供、接続の管理など)を処理します。内部ファームウェアは、
SCB に新たな機能が加えられるたびに定期的に更新されます。
どちらのファームウェアも SCB Web インターフェースから更新することができます。詳細について
は、6.3SCB のアップグレードを参照してください。
2.11.1
ファームウェアとハイアベイラビリティ
ハイアベイラビリティモードで SCB ノードの電源を入れたとき、両方のノードが起動しブートファー
ムウェアを開始します。そしてブートファームウェアは、どちらのユニットがマスターかを決めます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
35
コアファームウェアは、マスターノード上でのみ開始します。
SCB ファームウェアを Web インターフェースから更新すると、両方のノード上のファームウェアを自
動的に更新します。
2.12
SCB のバージョンとリリース
2011 年 6 月より、SCB は以下のポリシーに従います。
長期サポートまたは LTS リリース(例: SCB 4 LTS)
オリジナルの発行日から 3 年間と次の LTS リリース発表後 1 年間(どちらか遅い方)
サポートされます。リリースの 2 番目の数字(例: SCB 3.0.1)は 0 です。メンテナン
スリリースは不具合修正とセキュリティ更新のみが含まれます。
Feature(機能)バージョン(例: SCB 4 F1)
オリジナルの発行日から6カ月、Feature または LTS リリースから 2 カ月(どちらか
遅い方)サポートされます。Feature リリースは機能強化と(1 回のリリースで1~3つ
の)新機能を含みます。最新の Feature リリースのみがサポートされます。(新しい
Feature リリースが発表されると、前の Feature リリースは 2 カ月後にサポートされな
くなります。)
リリースの詳細については、“Stable and feature releases”を参照してください。
警告
以前の(つまりサポートされていない)Feature リリース、または Stable リリー
スへのダウングレードはサポートされません。Stable リリース(例: 4.0)か
ら Feature リリース(例: 4.1)にシステムを更新した場合、次の Stable バー
ジョンリリース(例: 5.0)が発表されるまで新しい Feature リリースへ更新す
る必要があります。
2.13
SCB へのアクセスと設定
SCB は Web インターフェースを持っており、ブラウザからの設定が可能です。SCB のユーザーをロ
ーカル、LDAP または RADIUS データベースを使って認証することができます。ユーザーの権限は
グループメンバーによって決まります(SCB のローカルまたは LDAP データベースで管理できます)。
グループへの権限割り当ては ACL に基づきます。LDAP データベースに存在するグループを SCB
の権限セットに一致させることも可能です。SCB のアクセスコントロールはとても細かいので、誰が
インターフェースのどの部分にアクセスできるかやどの保存データにアクセスできるかを正確に定
BalaBit Shell Control Box 4 LTS
Rev. 1.0
36
義することができます。
図 2-14 SCB ユーザーの承認
BalaBit Shell Control Box 4 LTS
Rev. 1.0
37
3
ウェルカムウィザードと最初のログイン
この章では SCB の初期設定手順について説明します。以下の作業を行う前に、ハードウェアの梱
包を解いて組み立て、電源を入れてください。また、少なくとも外部ネットワークインターフェースを
ローカルネットワークにつなぐか、SCB を設定するコンピューターに直接つないでください。
注記
ハードウェアの梱包を解いて組み立てる手順の詳細は、付録 2 BalaBit
Shell Control Box ハードウェア導入ガイドを参照してください。 ハイアベイ
ラビリティ SCB クラスタを構成する手順の詳細は、付録 2.2 2台の SCB ユ
ニットを HA モードで導入する手順を参照してください。
3.1
SCB への最初の接続
SCB へはクライアントマシンから任意の最近の Web ブラウザを使って接続できます。
注記
サポート対象の Web ブラウザの詳細については、 4.1 サポート対象の Web
ブラウザとオペレーティングシステムを参照してください。
SCB にはローカルネットワークからアクセスすることができます。バージョン 3.1 からは、SCB は
DHCP から自動的に IP アドレスを受信しようとします。自動的に IP アドレスを取得できなかった場
合は、192.168.1.1 IP アドレスで HTTPS 接続のリッスンを開始します。スイッチ設定やセキュリ
ティ設定が、SCB が DHCP から IP アドレスを受け取ることを妨げる場合があることにご注意くださ
い。SCB は、external(外部)インターフェース(EXT)経由で接続を受信します(ネットワークイ
ンターフェースに関する詳細については、2.9 ネットワークインターフェースを参照してください)。
ヒント
SCB コンソールは、外部インターフェースがリッスンしている IP アドレスを表
示します。
SCB が 192.168.1.1 アドレスでリッスンしている場合、192.168.1.0/24 サブネットがクライ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
38
アントからアクセスできなければならないことにご注意ください。クライアントマシンがサブネットは
異なる(例えば、IP アドレスが 192.168.10.X)が同じネットワークセグメントに存在する場合、ク
ライアントマシンにエイリアス IP アドレスを指定するのが一番簡単です。クライアントマシン上でエ
イリアス IP を作成すると、クライアントと SCB の両方を仮想的に同じサブネットに置かれるため、そ
れらは通信することができます。エイリアス IP は以下で説明する手順で作成できます。
Microsoft Windows でのエイリアス IP の作成に関する詳細については、3.1.1 エイリ
アス IP アドレスの作成(Microsoft Windows)を参照してください。
Linux でのエイリアス IP の作成に関する詳細については、3.1.2 エイリアス IP アドレ
スの作成(Linux)を参照してください。
なんらかの理由でエイリアスインターフェースを設定できない場合は、SCB の IP アド
レスを変更することができます。詳細については、3.1.3 SCB の IP アドレスの変更を
参照してください。
警告
ウェルカムウィザードへは、管理インターフェースがまだ設定されていない
ため、SCB の外部ネットワークインターフェースを使用してのみアクセスす
ることができます。
3.1.1
エイリアス IP アドレスの作成(Microsoft Windows)
目的:
ここでは、Microsoft Windows プラットフォームでエイリアス IP アドレスをネットワークインターフェー
スに割り当てる方法について説明します。
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
39
Step 1.
スタート > コントロールパネル を選択します。
図 3-1
Step 2.
ネットワークの状態とタスクの表示 > アダプターの設定の変更 を選択します。
Step 3.
ローカル エリア接続 をダブルクリックし、プロパティ をクリックします。
図 3-2
BalaBit Shell Control Box 4 LTS
Rev. 1.0
40
Step 4.
リストから、インターネット プロトコル バージョン 4 (TCP/IPv4) を選択し、プロパティを
クリックします。
図 3-3
Step 5.
詳細設定 をクリックし、TCP/IP 詳細設定ウィンドウを開きます。
図 3-4
BalaBit Shell Control Box 4 LTS
Rev. 1.0
41
Step 6.
IP 設定 タブを選択し、IP アドレス セクションで 追加 をクリックします。
図 3-5
Step 7.
IP アドレス フィールドに 192.168.1.2 と入力し、サブネット マスク フィールドに
255.255.255.0 と入力します。
警告
内部ネットワークが 192.168.1.0/24 IP アドレス範囲を使用
する場合、192.168.1.1 と 192.168.1.2 アドレスが既に
使用されている可能性があります。この場合は、ネットワークから
SCB を切り離し、一般的なクロスケーブルを使ってコンピューター
を外部インターフェースへ直接つないでください。
Step 8.
追加 をクリックして終了します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
42
3.1.2
エイリアス IP アドレスの作成(Linux)
目的:
ここでは、Linux プラットフォームでエイリアス IP アドレスをネットワークインターフェースに割り当て
る方法について説明します
Steps:
Step 1.
ターミナルコンソール(例: gnome-terminal, konsole, xterm など)を開始しま
す。
Step 2.
root として以下のコマンドを発行します。
ifconfig <ethX>:0 192.168.1.2
<ethX> にはクライアントのネットワークインターフェースの ID を入力します。通常
は eth0 か eth1 です。
Step 3.
ifconfig コマンドを発行します。<ethX>:0 インターフェースが出力に表示されます
(inet addr:192.168.1.2)。
Step 4.
ping -c 3 192.168.1.1 コマンドを発行し、SCB が利用可能であることを確認しま
す。以下のような結果が表示されます。
user@computer:~$ ping -c 3 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp-seq=1 ttl=63 time=0.357 ms
64 bytes from 192.168.1.1: icmp-seq=2 ttl=63 time=0.306 ms
64 bytes from 192.168.1.1: icmp-seq=3 ttl=63 time=0.314 ms
--- 192.168.1.1 ping statistics --3 packets transmitted, 3 received, 0% packet loss, time 2013ms
rtt min/avg/max/mdev = 0.306/0.325/0.357/0.030 ms
ブラウザから https://192.168.1.1 を開き証明書を承認すると、SCB のウェルカムウィザー
ドが表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
43
3.1.3
SCB の IP アドレスの変更
目的:
ここでは、独自の IP アドレス上で接続をリッスンするように SCB を設定する方法について説明しま
す。
警告
この手順は、SCB の初期設定前(ウェルカムウィザードの完了前)にのみ行
ってください。構成済み SCB システムの IP アドレスまたはネットワーク設定
の変更に関する詳細については、4.3 ネットワーク設定を参照してください。
Step :
Step 1.
ローカルコンソールから SCB にアクセスします。
Step 2.
username(ユーザー名)root、password(パスワード)default でログインします。
Step 3.
コンソールメニューで、Shells > Core shell を選択します。
Step 4.
以下のコマンドを使用して SCB の IP アドレスを変更します。
環境に合わせて、< IP アドレス> を IPv4 アドレスに置き換えてください。
ifconfig eth0 <IP アドレス> netmask 255.255.255.0
Step 5.
以下のコマンドを使用してデフォルトゲートウェイを設定します。
route add default gw <デフォルトゲートウェイの IP アドレス>
Step 6.
exit と入力し、コンソールメニューから Logout を選択します。
Step 7.
ブラウザから https://<SCB で設定した IP アドレス> を開き証明書を承認します。
SCB のウェルカムウィザードが表示されます。
3.2
ウェルカムウィザードでの SCB の設定
目的:
ウェルカムウィザードは SCB の基本設定作業をガイドします。全てのパラメーターは、最終 Step
の前に、ウィザードの Back(戻る)ボタンを使うか、後で SCB の Web インターフェースから変更する
ことができます。ここでは、ウェルカムウィザードでの設定手順を説明します。
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
44
Step 1.
ブラウザで、https://<SCB の外部インターフェイスアドレス>を開き、表示される証明書を
承認します。SCB のウェルカムウィザードが表示されます。
ヒント
SCB コンソールは、外部インターフェースがリッスンしている IP ア
ドレスを表示します。SCB は DHCP から自動的に IP アドレスを受
け 取 る か 、 DHCP サ ー バ ー が 利 用 で き な い 場 合 は
192.168.1.1 IP アドレスをリッスンします。
Step 2.
SCB を初めて設定する場合は、Next をクリックします。
図 3-6 ウェルカム ウィザード
バックアップファイルから、既存の設定をインポートすることも可能です。リカバリ後にバ
ックアップ設定を修復するときや、新しいデバイスに既存の SCB 設定を移行するときに、
この機能を使用します。
Step a. Browse をクリックし、インポートする設定ファイルを選択します。
注記
直接、GPG 暗号化された設定ファイルを SCB にイン
ポートできません。最初にローカルにおいて解読して
ください。
Step b. Encryption passphrase(暗号パスフレーズ)フィールドに設定をエクスポート
したときに設定したパスフレーズを入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
45
設定ファイルのバックアップから設定をリストアする詳細については、22.8
SCB 設定とデータのリストアを参照してください。
Step c. Import (インポート)をクリックします。
警告
ある SCB から他の SCB へ設定をコピーするために
インポート機能を使用する場合、2つ目の SCB の
IP アドレスを忘れずに設定してください。同じネット
ワーク上に同一の IP アドレスを持つデバイスが複
数存在するとエラーが引き起こされます。
Step 3.
エンドユーザーライセンスに同意し、SCB ライセンスをインストールします。
図 3-7 エンドユーザーライセンス同意とライセンスキー
Step a.
License agreement ( エ ン ド ユ ー ザ ー ラ イ セ ン ス 同 意 書 ) を 読 み 、
Confirmation 欄の I have read and agree with the terms and conditions(こ
の条項および条件を読み同意しました)のチェックボックスを選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
46
Step b. License file upload(ライセンスファイルのアップロード)の Browse(参照)を
クリックして SCB のライセンスファイルを選択し、Upload をクリックします。
注記
手動でライセンスファイルを解凍するようには要求さ
れません。圧縮したライセンス(例えば.zip アーカイブ)
もアップロードすることができます。
Step c. Next をクリックします。
Step 4.
フィールドに必要事項を入力し、ネットワーク設定を行います。各フィールドの意味は以
下に説明します。入力が必須のフィールドが空欄の場合、フィールドが赤色で表示され
ます。全てのパラメーターは、後で SCB のインターフェースから変更することができます。
図 3-8 ネットワークの初期設定
Step a. Hostname(ホスト名)
SCB を起動するマシンの名前(例: SCB)
Step b. Domainname(ドメイン名)
ネットワークで使用されているドメインの名前
BalaBit Shell Control Box 4 LTS
Rev. 1.0
47
Step c. DNS server(DNS サーバー)
ドメイン名解決のために使用されているネームサーバーの IP アドレス
Step d. NTP server(NTP サーバー)
NTP サーバーの IP アドレスまたはホスト名
Step e. Syslog server(シスログサーバー)
シスログサーバーの IP アドレスまたはホスト名
Step f.
SMTP server(SMTP サーバー)
E メール配信のために使用される SMTP サーバーの IP アドレスまたはホス
ト名
Step g. Administrator's e-mail(管理者の E メール)
SCB 管理者の E メールアドレス
Step h. Timezone(タイムゾーン)
SCB が存在する場所のタイムゾーン
Step i.
External interface — IP address(外部インターフェース – IP アドレス)
SCB の外部インターフェースの IP アドレス(例: 192.168.1.1)。対応する
物理サブネットの範囲から IP アドレスを選ぶこともできます。クライアントが
外部インターフェースに接続するので、これにアクセスできなければなりま
せん。
注記
以下の範囲の IP アドレスは設定できません。
1.2.0.0/16 (SCB クラスターノード間
のコミュニケーションのための予約)
127.0.0.0/8 (ローカル・ホスト IP アド
レス)
Step j.
External interface — Netmask(外部インターフェース – ネットマスク)
IP 形式で指定された範囲の IP ネットマスク。例えば、一般的なクラス C ネッ
トワークのネットマスクは、255.255.255.0 です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
48
Step k. SCB を Router(ルーター)モードで設定する場合は、内部インターフェース
の IP アドレスとネットマスクも同様に入力します。SCB は内部インターフェー
ス経由でサーバーに接続します。
Step l.
Default GW(デフォルトゲートウェイ)
デフォルトゲートウェイの IP アドレス。複数のネットワークカードを使用して
いる場合は、デフォルトゲートウェイは通常外部インターフェースの方向に
あります。
Step m. HA address(ハイアベイラビリティ アドレス)
ハイアベイラビリティ(HA)インターフェースの IP アドレス。このフィールドは
サポートチームから特別に要求された場合を除いて、Auto negotiation (自
動ネゴシエーション)のままにしておきます。
Step n. Next をクリックします。
Step 5.
Admin password(管理者パスワード)フィールドに、SCB にアクセスするために使用する
パスワードを入力します。
図 3-9 パスワード
注記
SCB のパスワードには、以下の特殊文字を含めることができま
す。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
BalaBit Shell Control Box 4 LTS
Rev. 1.0
49
Step a.
Admin password(Admin パスワード)
SCB の Web インターフェースにアクセスすることができる admin ユーザー
のパスワード
Step b. Root password(Root パスワード)
SSH 経由またはローカルコンソールから SCB にアクセスするために要求さ
れる root ユーザーのパスワード
注記
SSH を使用して SCB へアクセスする必要はほとん
どありません。上級ユーザーがトラブルシューティ
ング目的でのみ使用することをお勧めします。
Step c. ユーザーが SSH 経由で SCB にリモートアクセスすることを防ぎたい場合、
または SCB の root パスワードを変更するのを防ぎたい場合は、Seal the
box(このボックスを封印する)チェックボックスを選択します。シールドモー
ドは後で Web インターフェースから有効化することができます。詳細につい
ては、6.5 Sealed(シールド)モードを参照してください。
Step d. Next をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
50
Step 6.
SCB Web インターフェースの証明書を作成またはアップロードします。この SSL 証明書
は、Web インターフェースへの管理 HTTPS 接続を認証するために SCB によって表示さ
れます。
図 3-10 SCB の証明書作成
自己署名証明書を作成するために、Generate new self-signed certificate(新しい自己
署名証明書の生成)セクションのフィールドに入力し、Generate(生成)をクリックします。
証明書は SCB アプライアンスによって自己署名されます(SCB のホスト名が issuer(発行
元)と common name に使用されます)。
Step a. Country(国)
SCB が存在する国(例: JP-Japan)
Step b. Locality name(地域名)
SCB が存在する市区町村名(例: Fuchu)
Step c. Organization name(組織名)
SCB を所有している会社名(例: Example Inc.)
Step d. Organization unit name(部門名)
SCB を所有している会社の部署名(例: IT Security Department)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
51
Step e. State or Province name(都道府県名)
SCB が存在する都道府県名
Step f.
Generate(生成)をクリックします。
外部の認証局によって署名された証明書を使用したい場合は、Server X.509 certificate
(サーバー X.509 証明書)フィールドで
をクリックして証明書をアップロードします。
図 3-11 SCB の証明書アップロード
BalaBit Shell Control Box 4 LTS
Rev. 1.0
52
次に、Server private key(サーバー秘密鍵)フィールドの
をクリックして秘密鍵をアッ
プロードし、秘密鍵を保護するパスワードを入力します。
図 3-12 秘密鍵のアップロード
注記
SCB は PEM(RSA と DSA)、PUTTY、SSHCOM/Tectia 形式の秘
密鍵を受け入れます。パスワードで保護された秘密鍵もサポート
されます。
BalaBit は、2048-bit (またはそれ以上の)RSA 鍵を推奨します。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
BalaBit Shell Control Box 4 LTS
Rev. 1.0
53
Step 7.
これまでの Step で入力したデータを確認します。このページには、最後の Step で生成さ
れた証明書(SCB の RSA SSH 鍵)とライセンスファイルの情報も表示されます。
図 3-13 設定データの確認
全ての情報が正しければ、Finish をクリックします。
警告
Finish をクリックするとすぐにこの設定が有効になります。ネットワ
ーク設定が不正な場合、SCB にアクセスできなくなる可能性があ
ります。
これで、外部インターフェースの IP アドレス経由で通常の Web インターフェースから SCB
にアクセスすることができます。
Step 8.
SCB の Web インターフェースが表示されます。
図 3-14 SCB へのログイン
BalaBit Shell Control Box 4 LTS
Rev. 1.0
54
ブラウザは、SCB の外部インターフェースの IP アドレスへ自動的にリダイレクトされます。
ユーザーは、ユーザー名 admin、ウェルカムウィザードで設定したパスワードを使用し、
SCB の Web インターフェースにログインできます。
3.3
SCB へのログインと最初の接続設定
目的:
ウェルカムウィザードでの SCB の初期設定が完了したら、クライアントとサーバー間で接続を設定
する必要があります。SCB は Web インターフェースから設定された接続のみを調査します(その他
の全ての接続は検査なしでフォワードされます)。ここでは、シンプルな SSH ターミナルまたはリモ
ートデスクトップセッションを有効にする方法を説明します。
Steps:
Step 1.
SCB の Web インターフェースにログインします。
図 3-15 初回ログイン
Step a.
ブラウザから https://<外部インターフェースの IP アドレス>を開き、SCB の
Web インターフェースにアクセスします。<外部インターフェースの IP アドレ
ス>には、ウェルカムウィザードの Step i で設定した IP アドレスを指定しま
す。
Step b. ウェルカムウィザードの Web インターフェース証明書の作成で作成した証
明書が表示されます。それを承認します。
Step c. 表示されたログイン画面から SCB Web インターフェースにログインします。
Login フィールドに admin と入力します。
Password フィールドに Admin password で設定したパスワードを入力し
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
55
Login をクリックします。SCB 管理インターフェースのメインページが表
示されます。
Step 2.
新しい接続を設定します。この接続はあらゆるユーザーが特定のクライアントマシンから
特定のサーバーに接続するのを許可します。
Step a.
SSH 接続を設定する場合は、Main menu(メインメニュー)から SSH
Control >Connections をクリックします。ターミナルセッションのみ許
可されます。
RDP 接続を設定する場合は、Main menu(メインメニュー)から RDP
Control > Connections をクリックします。基本的なリモートデスクトップ
セッションのみ許可されます(クリップボードやファイル共有は許可され
ません)。
Step b. 左上にある
アイコンをクリックして、新しい接続を作成します。
Step c. Name ( 名 前 ) フ ィ ー ル ド に 名 前 を 入 力 し 、 接 続 を 識 別 し ま す ( 例 :
admin-mainserver)
ヒント
接続について説明する名前を使うことをお勧めし
ます(例: アクセス可能なサーバーの名前、アクセ
スが許可されたユーザーの名前など)。
Step d.
Bastion(バスシオン)モードの場合:
接続を定義する IP アドレスを入力します。SCB が Router(ルーター)また
は Bridge(ブリッジ)モードで設定されている場合は、この Step をスキップ
してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
56
図 3-16 Bastion(バスシオン)モードでの接続
From フィールドに、サーバーへのアクセスを許可するクライアントの IP
アドレスを入力します。
To フィールドに、SCB 外部インターフェースの IP アドレスを入力しま
す。
Port フィールドにポート番号を入力します。
Target(ターゲット)セクションの Use fix address (固定アドレスを使用
する)フィールドに、サーバーの IP アドレスを入力します。
Target(ターゲット)セクションの Port フィールドに、サーバーが接続を
受け入れるポート番号を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
57
Step e. Router(ルーター)モードおよび Bridge(ブリッジ)モードの場合
接続を定義する IP アドレスを入力します。SCB が Bastion(バスシオン)
モードに設定されている場合は、この Step はスキップしてください。
図 3-17 Router(ルーター)モードでの接続
From フィールドに、サーバーにアクセスすることができるクライアント
の IP アドレスを入力します。
To フィールドに、サーバーの IP アドレスを入力します。
Port フィールドに、サーバーが接続を受け入れるポート番号を入力し
ます。
Step f.
Enable indexing (インデックスの有効化)を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
58
Step g.
Commit
をクリックします。
この接続はあらゆるユーザーがクライアントマシンから指定されたサーバ
ーへ接続できるようにしますが、許可されるのはターミナルセッションのみ
です(TCP フォワーディングのようなその他の SSH チャンネルは許可され
ません)。
Step 3.
新しい設定をテストします。
クライアントからサーバーへ SSH または(および)RDP 接続を開始します。Bastion(バス
シオン)モードではクライアントは Bastion(バスシオン)モードの場合で設定した SCB の
外部 IP アドレスとポートを指定しますが、Router(ルーター)モードではクライアントは
Router(ルーター)モードで設定したサーバーの IP アドレスを指定することにご注意くださ
い。
Step 4.
サーバーに正常に接続したら、この接続で何か操作をしてください。たとえば、SSH では
簡単なコマンド(ls /tmp など)を実行してください。または、RDP ではアプリケーションを起
動してください。たとえば、Windows Explorer を起動してください。その後で、サーバーか
ら切断してください。
Step 5.
SCB Web インターフェースで Search > Search を選択します。セッションが接続リストに表
示されます。Bastion(バスシオン)モードではクライアントは Bastion(バスシオン)モード
の場合で設定した SCB の外部 IP アドレスとポートを指定しますが、Router(ルーター)モ
ードの場合で設定したサーバーの IP アドレスを指定することにご注意ください。
Step 6.
アイコンをクリックします。接続についてのサマリーが表示されます。接続で表示され
た文字をサーチボックスに入力します。たとえば、SSH で実行したコマンド、RDP でみた
メニュー項目や文字(たとえば、スタート)などです。SCB は接続においてテキストが表示
されたときのスクリーンショットを自動的に生成して表示します。ポップアップを閉じます。
Step 7.
Audit trail(監査トレイル)カラムの
アイコンをクリックし、セッションの監査トレイルを保
存します。
Step 8.
Audit Player アプリケーションを使ってダウンロードした監査トレイルを開き、アクションを
確認します。(Audit Player アプリケーションの導入についての詳細は、16.1.1 Audit
Player アプリケーションのインストールと 16.2.2 Audit Player でのセッションの再生を参
照してください。)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
59
4
基本設定
(更新ボタン)をク
SCB の構成は Web インターフェース経由で行います。設定の変更は
リックすると、自動的に反映されます。現在のページまたはタブの更新のみが有効になります(ペ
ージおよびタブごとに更新する必要があります)。
この章では SCB の設定、管理、運用方法について説明します。
サポート対象ブラウザに関する詳細については、4.1 サポート対象の Web ブラウザ
とオペレーティングシステムを参照してください。
SCB Web インターフェースの使い方に関する詳細については、4.2Web インターフェ
ースの構造を参照してください。
ネットワークインターフェース、名前解決、その他ネットワーク関連の設定方法に関
する詳細については、4.3 ネットワーク設定を参照してください。
SCB の制御(例: 再起動)、新しいファームウェアやライセンスのアップロード、現在
の設定のエクスポート、シスログトラフィックの受信停止に関する詳細については、
4.3 ネットワーク設定を参照してください。
システム時間の設定方法や NTP サーバーとの時間同期化に関する詳細について
は、4.4 日時設定を参照してください。
SNMP および E メールアラートの送信に関する詳細については、4.5 システムログ、
SNMP、E メールアラートを参照してください。
システム監視とアラートの設定に関する詳細については、4.6SCB でのシステム監
視設定を参照してください。
データと構成のバックアップに関する詳細については、4.7 データと設定のバックア
ップを参照してください。
アーカイブ設定に関する詳細については、4.8 アーカイブとクリーンナップを参照して
ください。
バックアップとアーカイブプロトコルに関する詳細については、4.9 バックアップとア
ーカイブのプロトコルのパラメーターを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
60
サポート対象の Web ブラウザとオペレーティングシステム
4.1
サポート対象ブラウザ
Mozilla Firefox 28.0 以降、Microsoft Internet Explorer 9 以降
ブラウザは HTTPS 接続、JavaScript、cookie をサポートしている必要があります。JavaScript
と cookie が有効であることをご確認ください。
注記
SCB はブラウザがサポートされていないか、JavaScript が無効の場合、
警告メッセージを表示します。
サポート対象オペレーティングシステム
Windows 2003 Server, Windows Vista, Windows 2008 Server,
Windows 7, Windows 8, Linux
SCB Web インターフェースへは、TLSv1 暗号と強力な暗号アルゴリズムを使用してのみアクセスで
きます。
Windows Server 2008 R2 Enterprise 上の Internet Explorer 8.0 を使用する場合は、Internet
Explorer のコンテンツ アドバイザーと保護モードを無効にします。コンテンツ アドバイザーを無効
にするには、ツール > インターネット オプション > コンテンツ > コンテンツ アドバイザー > 無
効にする を選択します。保護モードを無効にするには、ツール > インターネット オプション > セ
キュリティ を開き、保護モードを有効にするのチェックをはずします。すべての設定を適用し、
Internet Explorer を再起動します。
4.2
Web インターフェースの構造
Web インターフェースは以下のメインセクションから構成されています。
Main menu(メインメニュー): 各メニュー項目は、1 つ以上のタブ上にオプションを表示します。メ
インメニュー項目の前の をクリックすると利用可能なタブのリストが表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
61
図 4-1 Web インターフェースの構造
User menu(ユーザーメニュー):セキュリティ・パスフレーズ、永続または一時鍵のアップロード、
SCB のパスワードの変更、ログアウト、Preferences(プリファレンス)オプションを使ってダイアログ
やツールチップの無効化設定を行うことができます。
User info(ユーザー情報):ユーザーの現在のログイン情報を提供します。
User(ユーザー): ユーザー名
Host(ホスト): ユーザーのコンピューターの IP アドレス
Last login(最終ログイン): ユーザーが最後にログインした日付と IP アドレス
図 4-2 User menu と User info
BalaBit Shell Control Box 4 LTS
Rev. 1.0
62
System monitor(システム監視): 以下の情報を含む、SCB についてのアクセシビリティとシス
テム状態に関する情報を表示します。
図 4-3 System monitor
Time(時間): システム日時
Remaining time (残り時間): Web インターフェースセッションがタイムアウトするま
での残り時間
注記
タイムアウト設定を変更するには、Basic Settings > Management > Web
interface timeout を選択し、タイムアウト値を分単位で入力します。
Locked(ロックされた): もう一人の管理者(詳細に関しては、4.2.2 複数の Web ユー
ザーとロックを参照)によってインターフェースがロックされていることを示します。
HTTP, ICA, RDP, SSH, Telnet, VNC のトラフィックが保護されたサーバーへ許可さ
れているかどうかのインジケーター
Connections: アクティブな ICA, RDP, SSH, Telnet, VNC 接続の数。HTTP につい
ては、アクティブな HTTP セッションの数が表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
63
License (ライセンス情報) :
ライセンスが有効でない場合や評価版の期限切れな
どの情報
RAID デバイスの状態、ディスク間の同期が進行中の場合
HA: 2つの SCB ユニットがハイアベイラビリティクラスターで起動している場合、ア
クティブなノードの HA 状態と ID。冗長 Heartbeat(ハートビート)インターフェースが
設定されている場合は、それらの状態も同様に表示されます。クラスターのノードが
互いのデータを同期させている場合は、同期プロセスの進捗と残り時間も表示され
ます。
システムの平均負荷
Load 1: 直近の 1 分のシステム負荷
Load 15: 直近の 15 分のシステム負荷
CPU, Mem, Disk, Swap
CPU、メモリ、ハードディスク、スワップの使用量。
グラフ上にマウスを合わるとツールチップに詳細情報が表示されます。詳細レポー
トは、Basic Settings > Dashboard ページにも表示されます。
System monitor(システムモニター)は SCB の状態に関する最新情報を表示します。履歴情報に
ついては、Basic Settings > Dashboard から確認できます。詳細については、22.6 ステータスヒスト
リーと統計データを参照してください。
4.2.1
メインワークスペースの要素
メインワークスペースは、1つ以上のタブでグループ化されています。Main menu(メインメニュー)
の項目を選択すると、それに関連する設定が表示されます。タブ内の設定項目はグループまたは
セクションごとに整理されています(青いアウトラインマーク
でマーク)。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
64
図 4-4 メインワークスペース
(コミット)
各ページにはオレンジ色のアクションボタンがあります。Commit
(コミット)は最も頻
繁に使用するアクションボタンであり、ページの変更を保存し有効にします。
/
(詳細の表示/非表示)
追加のコンフィギュレーション設定とオプションの表示非表示を切り替えます。
,
(エントリーの作成)
新しい行またはエントリー(例: IP アドレスまたはポリシー)を作成します。
,
(エントリーの削除)
行またはエントリー(例: IP アドレスまたはポリシー)を削除します。
,
(リストの開閉)
オプションリストを開いたり、閉じたりします(例: 利用可能なレポートリスト)。
(エントリーの更新またはファイルのアップロード)
エントリー(例: ホストキー、リストなど)を編集したり、ファイル(例: 秘密鍵)をアップロードし
たりします。このアクションは、編集を行うためにポップアップウィンドウを開きます
,
(リスト項目の位置調整)
リストの項目の順番を変更します。リスト(例: 接続やチャンネルポリシーで許可されたチャン
ネルなど)の項目の並び順は、SCB がポリシーを探すとき、上から下へと評価し、検索基準に
完全に一致した最初の項目を選択するため、とても重要です。例えば、クライアントが保護さ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
65
れたサーバーへの接続を開始するとき、SCB はクライアントの IP アドレス、サーバーの IP ア
ドレス、ターゲットポート(接続の From, To, Port フィールド)と一致する最初の接続ポリシーを
選択します。
メッセージウィンドウ:ポップアップウィンドウは、ユーザーアクションへの SCB 応答を表示します
(例: “Configuration saved successfully(設定が正常に保存されました。)”)。エラー
メッセージもメッセージウィンドウに表示されます。全てのメッセージはシステムログに含まれます。
メッセージ履歴を含むシステムログに関する詳細については、Basic Settings (基本設定)メニュー
の Troubleshooting (トラブルシューティング) タブを参照してください。失敗したアクションのみを
メッセージウィンドウに表示させたい場合は、User menu > Preferences を選択し、Autoclose
successful commit messages (成功メッセージを自動的に閉じる)オプションを有効にしてください。
図 4-5 メッセージウィンドウ
4.2.2
複数の Web ユーザーとロック
複数の管理者が同時にSCB Webインターフェースにアクセスすることができますが、そのうち1人
のみが設定を変更することができます。これは設定を変更することができる最初の管理者が設定
ページ(例: Basic Settings, AAA メニュー)にアクセスしたときに、SCBの設定が自動的にロックさ
れることを意味します。設定をロックした管理者のユーザー名とIPアドレスはSystem Monitor(シス
テム監視)フィールドに表示されます。他の管理者は、ロックした管理者がログアウトするか、その
管理者のセッションがタイムアウトするのを待たなければなりません。しかし、Search (検索)と
Reporting(レポート)メニューにはアクセスし、ゲートウェイ認証や4-eyes承認を行うことができます。
view(閲覧)権限のみが付与されている場合は、設定を閲覧することが可能です(詳細については、
5.7ユーザー権限とユーザーグループの管理を参照してください)。
RPC APIを使用して設定を編集するためにSCBにアクセスすると、WebインターフェースからSCBに
アクセスするのと同様に設定をロックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
66
注記
管理者がローカルコンソールまたはリモート SSH 接続を使用して SCB にロ
グインした場合、Web インターフェースからのアクセスは完全にブロックされ
ます。非アクティブなローカルおよび SSH 接続は、Web 接続と同じくタイムア
ウトします。詳細については、6.4 SCB コンソールへのアクセスを参照してく
ださい。
4.2.3
Web インターフェース タイムアウト
デフォルトで、SCB は、10 分間操作がなければユーザのウェブ・セッションを終了します。
このタイムアウト値を変更は、Basic Settings > Management > Web interface timeout (Web インタ
ーフェース タイムアウト)オプションで行います。
図 4-6 Web インターフェース タイムアウト
4.3
ネットワーク設定
Network(ネットワーク)タブは、SCB のネットワークインターフェースおよび名前設定を含みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
67
図 4-7 ネットワーク設定
Interfaces > Operation mode(オペレーションモード)
SCB は Bastion(バスシオン)、Router(ルーター)、Bridge(ブリッジ)モードで
動作することができます。詳細については 2.3 オペレーションのモードを参照してくだ
さい。
警告
Bridge(ブリッジ)モードは、今後削除されます。SCB 4 LTS ではサポートされ
ますが、今後のフィーチャーリリース版から削除されます。どうしても必要とさ
れない限り、Bridge(ブリッジ)モードは使用しないでください。
異なる動作モードへの移行については弊社にお問合せください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
68
Interfaces > Internal interface(内部インターフェース)
保護されたサーバーに接続する SCB ネットワークインターフェースの IP アドレスと
ネットマスク。内部インターフェースは Router(ルーター)モードでのみ利用可能で
す。
注記
以下の範囲の IP アドレスは設定できません。
■ 1.2.0.0/16 (SCB クラスターノード間のコミュニケーション
のための予約)
■ 127.0.0.0/8 (ローカル・ホスト IP アドレス)
管理インターフェースが設定されている場合でも、この内部インターフェースから
SCB Web インターフェースへの接続を可能にするには、Permit administrator login
(管理ログイン許可)オプションを選択します。
このインターフェースから制限のある SCB Web インターフェース(ゲートウェイ認証
と 4-eyes 認証にのみ使用することができる)へアクセスを可能にするには、管理イ
ンターフェースが設定されても、Permit user login オプションを選択してください。こ
のインターフェースは、URL: https://<IP-address-of-the-interface>/user/で利用
可能です。Web インターフェースの他の機能がこのモードで利用可能にならないこ
とに注意してください。
Interfaces > External interface(外部インターフェース)
クライアント接続を受け取る SCB ネットワークインターフェースのアドレスとネットマ
スク。少なくとも一つの外部インターフェースを設定する必要があります。
アイコンをクリックして新しいエイリアス IP アドレス(エイリアスインターフェース)
を追加するか、
アイコンをクリックして既存の設定を削除します。複数の外部イン
ターフェースが設定されている場合は、最初のインターフェースは物理ネットワーク
インターフェースを参照しますが、その他はエイリアスインターフェースです。
管理インターフェースが無効の場合、外部インターフェースから SCB の Web インタ
ーフェースへアクセスすることができます。
管理インターフェースを設定した場合でも、Management enabled(管理有効)機能を
有効化することによって SCB Web インターフェースへアクセスできます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
69
警告
インターフェース上で管理アクセスを有効にし、同じインターフェ
ース上でエイリアス IP アドレスを設定した場合、SCB はインターフ
ェースのオリジナルアドレスでのみ、管理アクセスを受け入れま
す。
しかしながら、Basic Settings > Management > SSH settings >
Enable remote SSH アクセスを有効化していると、SCB は SSH 接
続をすべてのエイリアス IP アドレスで受け付けます。
注記
以下の範囲の IP アドレスは設定できません。
1.2.0.0/16 (SCB クラスターノード間のコミュニケー
ションのための予約)
127.0.0.0/8 (ローカル・ホスト IP アドレス)
管理インターフェースが設定されている場合でも、この内部インターフェースから
SCB Web インターフェースへの接続を可能にするには、Permit administrator login
(管理ログイン許可)オプションを選択します。
管理インターフェースが設定されている場合でも、このインターフェースから制限の
ある SCB Web インターフェース(ゲートウェイ認証と 4-eyes 認証にのみ使用するこ
とができる)へアクセスを可能にするには、Permit user login オプションを選択してく
だ
さ
い
。
こ
の
イ
ン
タ
ー
フ
ェ
ー
ス
は
、
URL
:
https://<IP-address-of-the-interface>/user/で利用可能です。Web インターフェ
ースの他の機能がこのモードで利用可能にならないことに注意してください。
注記
インターフェースの速度はインターフェースごとに表示されます。
インターフェースの速度を明示的に設定する場合は、Speed(速
度)フィールドから設定したい速度を選択します。上級ユーザー以
外のインターフェース速度の変更はお勧めできません。インター
フェース速度の変更は、SCB のネットワークカードがオリジナルか
ら別のもの変更されると反映されないことにご注意ください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
70
Interfaces > Management interface(管理インターフェース)
SCB Web インターフェースへのアクセスに使用する SCB ネットワークインターフェー
スのアドレスとネットマスク。管理インターフェースが設定されている場合は、他のイ
ンターフェースからのアクセスが有効になっている場合を除いて、このインターフェ
ースからのみ Web インターフェースへアクセスすることができます。詳しくは、4.3.2
管理インターフェースへの管理トラフィックの経路指定を参照してください。
注記
以下の範囲の IP アドレスは設定できません。
■ 1.2.0.0/16 (SCB クラスターノード間のコミ
ュニケーションのための予約)
■ 127.0.0.0/8 (ローカル・ホスト IP アドレス)
HA address(HA アドレス):ハイアベイラビリティ(HA)インターフェースの IP アドレス。
サ ポ ー ト チ ー ム か ら 特 別 に 要 請 され た 場 合 を除 き、 こ の フ ィー ル ドは Auto
negotiation(自動ネゴシエーション)のままにしておいてください。
Interfaces > Routing table(ルーティングテーブル):
リモートネットワークにパケットを送るとき、SCB はそれが送られるべきパスを決定
するために、ルーティングテーブルを調べます。ルーティングテーブルに何も情報が
なければ、そのパケットはデフォルトゲートウェイに送られます。特定のホスト、ある
いはネットワークへのスタティックルートを定義するには、ルーティングテーブルを使
用します。通常、デフォルトゲートウェイは外部インターフェースの方向にあるため、
内部インターフェースが複数のサブネットに接続されている場合、ルーティングテー
ブルを使用する必要があります。クリックして新しいルートを追加するか、
をクリッ
クして既存のルートを削除することができます。ルートは、Address/Netmask(アドレ
ス/ネットマスク)ネットワークに送られたメッセージが、Gateway(ゲートウェイ)に配
信されることを意味します。
詳しい例については、4.3.2 管理インターフェースへの管理トラフィックの経路指定を
参照してください。
Naming > Hostname(ホスト名): SCB を起動しているマシンの名前
BalaBit Shell Control Box 4 LTS
Rev. 1.0
71
Naming > Nick name (ニックネーム):
SCB のニックネーム。デバイスを識別するために使用してください。ニックネームは
コアおよびブート・ログイン・シェルに表示されます。
Naming > DNS search domain(DNS 検索ドメイン):
ネットワークで使用されているドメインの名前。監査接続のドメイン名を解決すると
き、SCB は、ターゲットアドレスのドメイン入力が空欄だった場合にターゲットホスト
名を解決するためにこのドメインを使います。
Naming > Primary DNS server(プライマリーDNS サーバー):
ドメイン名を解決するために使用されるネームサーバーの IP アドレス
Naming > Secondary DNS server(セカンダリーDNS サーバー):
プライマリサーバーにアクセスできない場合に、ドメイン名を解決するために使用さ
れるネームサーバーの IP アドレス
4.3.1
管理インターフェースの設定
目的:
ここでは、管理インターフェースを有効化する手順について説明します。
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
72
Step 1.
Basic Settings > Network > Interfaces に進みます。
図 4-8 管理インターフェースの設定
BalaBit Shell Control Box 4 LTS
Rev. 1.0
73
Step 2.
Management interface ( 管 理 イ ン タ ー フ ェ ー ス ) フ ィ ー ル ド で 、 Enable management
interface(管理インターフェースの有効化)を選択します。
Step 3.
Address(アドレス)フィールドに、SCB の管理インターフェースの IP アドレスを入力しま
す。
Step 4.
Netmask(ネットマスク)フィールドに、ネットマスクを入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
74
Step 5.
図 4-9 管理インターフェースの設定
オプションのステップ: 選択されたサブネットあるいは IP アドレスのみから SCB Web イ
ンターフェースへのアクセスを許可するには、Limit access to management inteface を選
択し、
をクリックし、管理上のホストの IP アドレスおよびネットマスクを入力します。
SCB 管理者はこれらのサブネットまたはホストからのみ SCB Web インターフェースにアク
セスすることができます。これらの設定が SCB への SSH アクセスに影響しないことに注
意してください。もしユーザ・ログインがインターフェース上で許されれば、これらの制限
は適用されません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
75
Step 6.
警告
Commit をクリックすると、Web インターフェースは管理インターフ
ェースからのみ利用可能となります(外部インターフェースで
Management enabled(管理有効)オプションが選択されている場
合を除き、現在の(外部)インターフェースからアクセスできなくな
ります)。
イーサネットケーブルのプラグが差し込まれていて、管理インター
フェースがネットワークに接続されていることをご確認ください
(Basic settings > Networks > Ethernet links > Management
interface > Link フィールドにある緑のチェックアイコンで識別でき
ます)。ハイアベイラビリティ(HA)を使用している場合は、SCB ユ
ニットの両方の管理インターフェースがネットワークに接続されて
いることをご確認ください。
ハイアベイラビリティインターフェースでリンクが見つかった場合、
HA interface(HA インターフェース)セクションに表示されます。
SCB が Hyper-V 下で稼動しているとき、ネットワークインターフ
ェースがネットワークに接続していることを確認してください。
Hyper-V 環境ではネットワークインターフェースは構成されてい
るが、ネットワークが接続されていない場合でも、Basic Settings
> Network > Ethernet links ページでリンクが表示されます。
Commit
4.3.2
をクリックします。
管理インターフェースへの管理トラフィックの経路指定
目的:
セキュリティ上の理由から(または外部・内部インターフェースでのネットワーク使用を減らすため
にも)、SCB の全ての管理関連トラフィックを管理ネットワークインターフェースに送ることをお勧め
BalaBit Shell Control Box 4 LTS
Rev. 1.0
76
します。管理関連のトラフィックには、Web インターフェースへのアクセス、データと設定のバックア
ップとアーカイブとクリーンナップ、システムログの設定、管理者に送信されるシステムログ、SNMP、
E メールアラートが含まれます。
警告
管理インターフェースが設定されている場合にのみ、以下の Step を完了し
てください。そうでない場合、SCB から送られたデータが失われます。管理
インターフェースの設定に関する詳細については、4.3.1 管理インターフェー
スの設定を参照してください。
Steps:
Step 1.
新しい経路指定を追加するためには、Basic Settings > Network > Interfaces に進み、
Routing table(ルーティングテーブル)フィールドで
をクリックします。
図 4-10 経路指定
Step 2.
Address(アドレス)フィールドにバックアップサーバー( 4.7.1 バックアップポリシーの作成
を参照してください)の IP アドレスを入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
77
Step 3.
Netmask(ネットマスク)フィールドにネットマスクを入力します。
Step 4.
Gateway(ゲートウェイ)フィールドにサブネット上で使用されるゲートウェイの IP アドレス
を入力します。
をクリックします。
Step 5.
Commit
Step 6.
必要であれば Step1 から Step5 を繰り返し、他のバックアップサーバーの経路指定を作
成します。
Step 7.
必要であれば Step1 から Step5 を繰り返し、シスログサーバーの経路指定を作成します
( 4.5 システムログ、SNMP、E メールアラートを参照してください)。
Step 8.
必要であれば Step1 から Step5 を繰り返し、SMTP サーバーの経路指定を作成します
( 4.5 システムログ、SNMP、E メールアラートを参照してください)。
4.4
日時設定
SCB の日時設定は、Basic Setting > Date & Time(日付と時間)タブで設定することができます。
図 4-11 日時の管理
警告
SCB で正確に日時を設定することはとても重要です。もし設定しなかった場
合は、ログや監査トレイルの日付情報は、不正確なものになります。
時間が同期しなくなった場合、SCB はこのページに警告を表示し、アラート
を送信します。
SCB で日時を明示的に設定するには、Date & time settings(日時設定)の、それぞれのフィールド
BalaBit Shell Control Box 4 LTS
Rev. 1.0
78
に現在の日時を入力し、Set Date & Time(日時の設定)をクリックします。
4.4.1
タイム(NTP)サーバーの設定
目的:
ここではタイムサーバーから日時を自動的に取得する方法を説明します。
Steps:
Step 1.
Timezone(タイムゾーン)フィールドで、タイムゾーンを選択します。
Step 2.
NTP タイムサーバーの IP アドレスを Address(アドレス)フィールドに入力します。
Step 3.
Commit
Step 4.
をクリックします。
をクリックして新しいサーバーを追加するか、
をクリックして、既存のサーバーを削
除します。
注記
SCB の時間設定が不正確な場合(システム時間と、実際の時間
が全く違う場合)、NTP サーバーから日時を修正するには、かなり
の時間がかかります。このような場合、Sync now(今すぐ同期す
る)をクリックすると、SNTP を使って、すぐに同期させることができ
ます。
ハイアベイラビリティモードで、2つの SCB ユニットが起動している
場合、Sync now(今すぐ同期する)ボタンは Sync Master(マスタ
ーを同期する)という名前になり、マスターノードの時間を NTP サ
ーバーに合わせます。マスターノードとスレーブノードを同期させ
るには、Sync Slave to Master(スレーブをマスターに同期する)を
クリックします。
4.5
システムログ、SNMP、E メールアラート
E メールアラートとシステムログは、Basic Settings > Management ページで設定することができま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
79
図 4-12 システムログと E メールアラートの設定
4.5.1
システムログの設定
目的:
SCB は、システムログメッセージをリモートのシスログサーバーに送ることができます。ここでは、リ
モートサーバーにログを送信する手順について説明します。
Steps:
Step 1.
Basic Settings > Management に進みます。
Step 2.
Syslog > Syslog receivers(シスログレシーバー)フィールドで
をクリックし、新しいシ
スログサーバーを追加します。
Step 3.
Address フィールドにシスログサーバーの IP アドレス、Port フィールドにシスログ受信に
使用するポート番号を入力します。
Step 4.
Protocol(プロトコル)フィールドで、メッセージを転送するために使用するネットワークプ
ロトコルを選択します。syslog-プレフィックスは RFC5424 に記載されている新しい IETF
シスログプロトコルに相当しますが、legacy-プレフィックスは RFC3164 に記載されて
いる legacy BSD-シスログプロトコルに相当します。まだ全てのシスログサーバーが、
IETF をサポートしているわけではないことにご注意ください。
syslog-TCP+TLS を選択し、TLS 暗号接続を使って、ログメッセージを送信します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
80
ヒント
TCP を使用してシスログメッセージを転送すると、サーバーは確
実にシスログを受信できます。
TLS 暗号を使用してシスログメッセージを転送すると、第三者にメ
ッセージが読まれることを防ぐことができます。しかし、全てのシ
スログサーバーが暗号接続を受け入れるわけではありません。
Syslog-ng プレミアムエディションとオープンソースエディションア
プリケーション、(ログ収集アプライアンスである)Syslog-ng Store
Box は、暗号接続と新しい IETF シスログプロトコルの両方をサポ
ートしています。これらの製品に関する詳細は、Syslog-ng プレミ
アムエディションと Syslog-ng Store Box を参照してください。
Step 5.
SCB HA クラスターのノードが送信するシスログメッセージのホスト名を分けて表示する
場合は、Include node ID in hostname in boot firmware messages(ブートファームウェアメ
ッセージのホスト名にノード ID を含む)オプションを選択します。シスログメッセージの
hostname(ホスト名)フィールドに含まれるノード ID は、ノードの HA インターフェースの
MAC アドレスです(コアファームウェアのメッセージは、常にマスターノードから送信され
ます)。
Step 6.
Syslog receivers > Protocol で syslog-TCP+TLS プロトコルを選択した場合、以下の
Step を完了してください。それ以外は、Commit
をクリックします。
Step a. SCB にシスログサーバーの証明書を確認させたい場合は、Server key
check(サーバー鍵チェック)フィールドで Required trusted(信頼済み必須)
を選択し、次の Step に進みます。
SCB にサーバーが示した任意の証明書をそのまま承認させたい場合は、
Server key check(サーバー鍵チェック)フィールドで Optional untrusted(任
意 - 信頼されない)を選択します。
注記
サーバーの証明書のチェックには以下のオプショ
ンも選択できます。
Optional trusted(信頼済み任
BalaBit Shell Control Box 4 LTS
Rev. 1.0
81
意)
サーバーが証明書を送信した場
合、SCB はその証明書が有効か
(有効期限内か)と証明書の
Common Name がサーバーのドメイ
ン名または IP アドレスを含んでいる
かチェックします。これらのチェック
が失敗した場合、SCB はその接続
を拒否します。しかし、サーバーが
証明書を送らなかった場合は接続
を受け入れます。
Required untrusted ( 要 求 信頼されない)
SCB がサーバーからの証明書を要
求し、証明書が受信されない、証明
書が無効(期限 切れ)、証明書 の
Common Name にサーバーのドメイ
ン名や IP アドレスが含まれない場
合は、接続を拒否します。
Step b. CA X.509 certificate(CA X.509 証明書)フィールドで、
アイコンをクリック
します。ポップアップウィンドウが表示されます。Browse(参照)をクリックし、
シスログサーバーの証明書を発行した認証局(Certificate Authority (CA))
の 証 明 書 を選 択 し、 Upload ( ア ップ ロ ー ド) をク リック します 。または 、
Copy-paste(コピーペースト)フィールドに証明書を貼り付け、Set をクリック
します。
SCB は、サーバーの証明書を検証するために、この CA 証明書を使用し、
この検証に失敗した場合は接続を拒否します。
Step c. シスログサーバーが相互認証を要求する場合、すなわち、SCB からの証明
書 を 求 め る 場 合 は 、 SCB の 証 明 書 を 生 成 し て 署 名 し 、 Client X.509
certificate(クライアント X.509 証明書)の
アイコンをクリックし、証明書
をアップロードします。そして Client key(クライアント鍵)フィールドの
アイ
コンをクリックし、証明書に対応する秘密鍵をアップロードします。
Step d. Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
82
Step 7.
アイコンをクリックして新しいサーバーを追加するか、
アイコンをクリックして既存の
サーバーを削除します。
注記
ネットワーク故障またはその他の問題により、シスログサーバー
が SCB からログメッセージを受け取らないリスクを軽減するため
に、SCB はシスログサーバーにアクセスできない場合、ハードデ
ィスクにログメッセージ最大 10MB までバッファします。
4.5.2
E メールアラートの設定
目的:
ここでは E メールアラートの設定手順について説明します。
Steps:
Step 1.
Basic Settings > Management > Mail settings に進みます。
Step 2.
SMTP server address(SMTP サーバーアドレス)フィールドにメールサーバーの IP アドレ
スまたはホスト名を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
83
図 4-13 E メール送信設定
Step 3.
Send e-mails as (E メール送信元)フィールドに E メールを受け取りたい E メールアドレ
スを入力します。これは電子メールをフィルタリングするのに役立ちます。SCB はここで
提供されるアドレスから電子メールを送ります。E メールアドレスが入力されなければ、
電子メールはデフォルト E メールアドレスから送られます。
Step 4.
Administrator's e-mail address(管理者の E メールアドレス)フィールドに、管理者の E-メ
ールアドレスを入力します。SCB はシステムイベントに関連する通知(アラートやレポート
ではない)をこのアドレスに送ります。
Step 5.
Send e-mail alerts to(E メールアラート送信先)フィールドに、管理者の E メールアドレス
を入力します。SCB はこのアドレスに監視アラートを送ります。
Step 6.
Send reports to(レポート送信先)フィールドに、SCB からのトラフィックレポートを受信す
る人の E メールアドレスを入力します。レポートの詳細については、18 レポートを参照し
てください。
Step 7.
Commit
をクリックします。
Step 8.
Test(テスト)をクリックし、テストメッセージを送信します。
テストメッセージがサーバーに届かない場合は、SCB がサーバーにアクセスできるかど
うかをチェックします。詳細については、22 SCB のトラブルシューティングを参照してくだ
さい。
Step 9.
Basic Settings > Alerting & Monitoring に進み、どの状況で E メールアラートを送るべき
かを選択します。詳細については、4.6 SCB でのシステム監視設定を参照してください。
Step 10. Commit
4.5.3
をクリックします。
SNMP アラートの設定
目的:
SCB は、SNMP(Simple Network Management Protocol)によって中央の監視サーバーにアラートを
送ることができます。ここでは、SNMP アラートの設定手順について説明します。
Steps:
Step 1.
Basic Settings > Management > SNMP trap settings に進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
84
Step 2.
SNMP server address(SNMP サーバーアドレス)フィールドに SNMP サーバーの IP アド
レスまたはホスト名を入力します。
図 4-14 SNMP アラートの設定
Step 3.
使用する SNMP プロトコルを選択します。
SNMP クエリに SNMP v2c プロトコルを使用する場合は、SNMP v2c を選択し、
Community(コミュニティー)フィールドに使用するコミュニティーを入力します。
SNMP v3 プロトコルを使用する場合は、SNMP v3 を選択し、以下の Step を完了しま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
85
図 4-15 SNMP v3 を使用した SNMP アラートの設定
Step a.
Username(ユーザー名)フィールドに使用するユーザー名を入力します。
Step b. Engine ID(エンジン ID)フィールドに、使用するエンジン ID を入力します。こ
のエンジン ID は、0xで始まる、少なくとも 10 桁の 16 進数
(例: 0xABABABABAB)です。
Step c. Authentication method(認証方法)フィールドから使用する認証方法(MD5
または SHA1)を選択します。
Step d. Authentication password(認証パスワード)フィールドに、使用するパスワ
ードを入力します。
Step e. Encryption method ( 暗 号 方 法 ) フ ィ ー ル ド か ら 、 使 用 す る 暗 号 方 法
(Disabled(無効), DES, AES)を選択します。
Step f.
Encryption password(暗号パスワード)フィールドに、使用する暗号パスワ
ードを入力します。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
BalaBit Shell Control Box 4 LTS
Rev. 1.0
86
をクリックします。
Step 4.
Commit
Step 5.
Basic Settings > Alerting & Monitoring に進み、どの状況で SNMP アラートを送るべきか
を選択します。詳細は 4.6SCB でのシステム監視設定を参照してください。
Step 6.
Commit
をクリックします。
4.5.4
エージェントを使用した SCB ステータス情報のクエリ
目的:
外部の SNMP エージェントは SCB のステータス情報をクエリすることができます。ここでは、SCB
へのクエリを許可する SNMP エージェントの設定手順について説明します。
Steps:
Step 1.
Basic Settings > Management > SNMP agent settings に進みます。
図 4-16 SNMP エージェントアクセスの設定
Step 2.
SCB のステータスは SNMP 経由で動的に問い合わせることができます。初期設定では、
あらゆるホストからステータスを問い合わせることができます。これらのデータへのアク
セスを単一のホストに制限するには、Client address(クライアントアドレス)フィールドに
ホストの IP アドレスを入力します。
Step 3.
任意で、System location(システムの場所)、System contact(システムの連絡先)、
System description(システムの説明)フィールドに、SNMP サーバーの詳細を入力する
ことができます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
87
Step 4.
使用する SNMP プロトコルを選択します。
SNMP クエリに SNMP v2c プロトコルを使用する場合は、SNMP v2c agent を選択し、
Community(コミュニティー)フィールドに使用するコミュニティーを入力します。
SNMP v3 プロトコルを使用する場合は、SNMP v3 agent を選択し、以下の Step を完
了します。
Step a.
をクリックします。
Step b. Username(ユーザー名)フィールドに SNMP エージェントが使用するユーザ
ー名を入力します。
Step c. Auth. Method(認証方法)フィールドから使用する認証方法(MD5, SHA1)
を選択します。
Step d. Auth. password(認証パスワード)フィールドに、SNMP エージェントが使用
するパスワードを入力します。
Step e. Encryption method ( 暗 号 方 法 ) フ ィ ー ル ド か ら 、 使 用 す る 暗 号 方 法
(Disabled(無効), DES, AES)を選択します。
Step f.
Encryption password(暗号パスワード)フィールドに、使用する暗号パスワ
ードを入力します。
Step g.
他のエージェントを追加する場合は、
をクリックします。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 5.
Commit
をクリックします。
4.6
SCB でのシステム監視設定
SCB は初期設定では、管理ネットワークインターフェースを使って SNMP アラートを送信します。管
理インターフェースが無効の場合は、外部インターフェースを使用します。SCB は SNMPv2c と
SNMPv3 プロトコルをサポートします。Management(管理)タブで設定された SNMP サーバーは
SCB から、ステータス情報をクエリすることができます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
88
ヒント
中央監視システムで SCB が送信する SNMP アラートを認識させたい場合、
監視システム内に SCB-specific Management Information Base (MIB)をイ
ンポートします。Basic Settings > Alerting & Monitoring に進み、Download
MIBs(MIB のダウンロード)をクリックして MIB をダウンロードし、監視システ
ムにインポートしてください。詳細については、監視システムのドキュメント
を参照してください。
図 4-17 SNMP と E メールアラートの設定
4.6.1
監視設定
目的:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
89
ここでは、監視の設定手順を説明します。
Steps:
Step 1.
Basic Settings > Alerting & Monitoring に進みます。
Step 2.
パラメーターの、初期設定の閾値はほとんどの状況に適しています。必要な場合のみ、
閾値を調節してください。
をクリックします。
Step 3.
Commit
Step 4.
Basic Settings > Management に進み、SNMP trap settings(SNMP トラップ設定)と Mail
settings(メール設定)が正しいこと確認します。SCB は、Send e-mail alerts to(E メール
アラート送信先)のアドレスと SNMP サーバーにのみアラートを送ります。
警告
この設定が正しくない場合、アラート送信が失敗します。
以下のセクションでは、アラートで受信できるパラメーターについて説明しています。
状態監視アラートに関する詳細については、4.6.2Health monitoring(状態監視)を参
照してください。
システム監視アラートに関する詳細については、4.6.4System related traps(システ
ム関連トラップ)を参照してください。
トラフィック監視アラートに関する詳細については、4.6.5Traffic related traps(トラフィ
ック関連アラート)を参照してください。
4.6.2
Health monitoring(状態監視)
SCB は、ハードウェアとその環境のパラメーターの数を継続的に監視します。パラメーターがクリテ
ィカルレベル(各 Maximum(最大)フィールドで設定する)に達した場合、SCB は警告を与えるため
に、管理者に E メールと SNMP メッセージを送信します。
Disk utilization maximum(最大ディスク使用量)
ハードディスクの利用可能な空き容量の割合。監査トレイルが設定値より多くの容
量を使用する場合、SCB はアラートを送ります。容量を空けるには、監査トレイルを
バックアップサーバーにアーカイブしてください。詳細については、4.8 アーカイブと
クリーンナップを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
90
注記
アラートメッセージは、Web インターフェース上で設定された上限
ではなく、実際のディスク使用率を含んでいます。例えば、ディス
ク使用率が 10%以上増加した場合にアラートを出すように設定す
るとします。SCB のディスク使用率がこの上限(例: 17%)を超え
て増加した場合、以下のようなアラートメッセージが送信されま
す。
less than 90% free (= 17%)
つまり 10%以上(上限として設定した値。空き容量が 90%以下とい
うこと)ディスク容量が使用されている、つまり 17%が使用されてい
る、ということを意味します。
Load average
最後の 1 分、5 分、または 15 分の間での SCB の平均ロード値
Swap utilization maximum
SCB によって使用されるスワップ領域の比率。SCB は設定した値よりもスワップ領
域の比率が高いと、アラートを送信します。
4.6.3
ディスクの容量不足の予防
目的:
ここでは、ディスクの空き容量が不足するのを防ぐための設定について説明します。
Steps:
Step 1.
Basic Settings > Management > Disk space fill up prevention に進みます。
Step 2.
Disconnect clients when disk are(ディスク使用率が...を超えたらクライアントを接続す
る)フィールドに最大ディスク使用率の上限を設定します。ディスクの使用率が設定した
上限を超過した場合、SCB は全てのクライアントを切断します。0 を入力すると、この機
能はオフになります。初期設定値は 0 です。
Step 3.
(任意)Automatically start archiving(アーカイブを自動的に開始する)オプションを有効
にすると、ディスク使用率が上限を超過したとき、設定されたアーカイブ/クリーンアップ
ジョブを自動的に開始します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
91
注記
アーカイブポリシーが設定されていない場合、このオプションを有
効にしてもアーカイブは自動実行されません。
Step 4.
Basic Settings > Alerting & Monitoring > System related traps に進み、Disk usage is
above the defined ratio(ディスク使用率が設定値を超過した)アラートを有効にします。
Step 5.
Commit
をクリックします。
4.6.4
System related traps(システム関連トラップ)
名前
SNMP アラート ID
説明
Login failed
xcbLoginFailure
SCB Web インターフェースからの
ログイン試行の失敗
Successful login
xcbLogin
SCB Web インターフェースへの
ログイン試行の成功
Logout from the
xcbLogout
management interface
SCB Web インターフェースからの
ログアウト
Configuration changed
xcbConfigChange
SCB 設定の変更
General alert
xcbAlert
SCB で発生する一般的なアラートと
General error
xcbError
エラーメッセージ
注記: SCB システムログにアラート
またはエラーレベルメッセージがあ
る
場
合
に
、
General
alert/General error アラート
が送信されます。これらのメッセー
ジは非常に詳細なため、デバッグ
の目的でのみ有益です。
これらのアラートを有効にすると、
同じイベントについて複数の E メー
ルまたは SNMP トラップが送信され
る場合があります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
92
名前
Data
and
configuration
SNMP アラート ID
説明
xcbBackupFailed
バックアップ処理が失敗したときの
backup failed
Data archiving failed
アラート
xcbArchiveFailed
アーカイブ処理が失敗したときのア
ラート
Database error occurred
xcbDBError
SCB が接続メタデータを保存する
データベースで発生したエラー。弊
社までご連絡ください。
License limit
xcbLimitReached
reached
SCB ライセンスで設定された上限
に達した保護サーバーの数(また
は同時接続セッション数)。クライア
ントは SCB を使って新しいサーバ
ーに接続することはできません。
HA node state changed
xcbHaNodeChanged
SCB クラスターノードの状態の変
化。例えばテイクオーバーの発生。
Timestamping error
xcbTimestampError
occured
タイムスタンプ処理中に発生したエ
ラー。例えば、タイムスタンプサー
バーからの反応がないなど。
Time sync lost
xcbTimeSyncLost
システムの時間が同期していない。
Raid status changed
xcbRaidStatus
ノードの RAID デバイスのステータ
スの変更
Hardware error occured
xcbHWError
SCB が発見したハードウェアエラー
Firmware is tainted
xcbFirmwareTainted
コンソールから、ユーザーがローカ
ルでファイルを変更した場合
Disk usage is above the
defined ratio
xcbDiskFull
Disk space fill up prevention で設定
されたリミットを越えてのディスクス
ペースの使用
表 4-1 System related traps(システム関連トラップ)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
93
4.6.5
Traffic related traps(トラフィック関連アラート)
名前
SNMP アラート ID
説明
Channel opening denied
scbChannelDenied
ユーザーがチャンネルポリ
シーで許可されていないチャ
ンネルを開こうとした
Connection denied
scbConnectionDenied
ユーザーが接続ポリシーで
許可されていないサーバー
に接続しようとした
User successfully
scbAuthSuccess
authenticated
ユーザーが SSH 接続を使っ
て、保護されたサーバーで
の認証に成功した
User authentication
scbAuthFailure
failed
ユーザーが SSH 接続を使っ
て、保護されたサーバーで
の認証に失敗した
SSH host key mismatch
scbSshHostKeyMismatch
サーバーの SSH ホスト鍵が
SCB に保存されている鍵と
一致しない
New SSH host key learned
scbHostKeyLearned
SCB が新しい SSH ホスト鍵
を記憶した
Connection timed out
scbConnectionTimedout
保護されたサーバーへの接
続の時間切れ
Protocol violation
scbProtocolViolation
接続は RFC または プロトコ
ル・ドキュメンテーションで指
定されるプロトコルに違反し
ました。これは非互換性のア
プリケーションあるいは意図
的な攻撃によって引き起こさ
れることがあります。
Connection to the server
failed
scbConnectionFailed
保護されたサーバー接続に
失敗
BalaBit Shell Control Box 4 LTS
Rev. 1.0
94
名前
SNMP アラート ID
説明
Audit trail rate limit
scbAuditRateLimit
監査トレイルの増加率がプ
exceeded
ロ ト コ ル の Global Options
(グローバルオプション)で設
定された上限を越えた。これ
は意図的な攻撃によって引
き起こされることがありま
す。
Audit trail size limit
scbAuditSizeLimit
exceeded
監査トレイルのサイズがプロ
トコルの Global Options(グ
ローバルオプション)で設定
されたファイル上限を越えた
User successfully
scbGWAuthSuccess
ゲートウェイ認証処理の一
authenticated on the
部として、ユーザーが SCB
gateway
接続の認証に成功した
User authentication
scbGWAuthFailure
failed on the gateway
User mapping failed on the
接続のゲートウェイ認証に
失敗
scbUserMappingFailure
gateway
Usermapping policy(ユーザ
ーマッピングポリシー)が接
続に適当なマッピングを見つ
けられなかった
Decryption of a
credential store failed
scbCredStoreDecrpytError
SCB がパスワード保護され
た証明書ストアを開けなかっ
た。証明書ストアを開くに
は、Unlock Credential Store
に行き、パスワードを入力し
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
95
名前
SNMP アラート ID
説明
The requested credential
scbCredStoreClosed
ユーザーがパスワード保護
store is closed
された証明書ストアを使用す
る接続ポリシーへのアクセス
を試みたが、証明書ストアが
開かなかった。証明書ストア
を 開 く に は 、 Unlock
Credential Store に行き、パ
スワードを入力します。
Failed to unlock
scbCredStoreUnlockFailure
credential store
ユーザーが正しくないパスワ
ードでパスワード保護された
証明書ストアのロック解除を
試みた。証明書ストアを開く
に は 、 Unlock Credential
Store に行き、パスワードを
入力します。
Real time audit event
scbRealTimeAlert
detected
リアルタイムの監査イベント
が発生。
表 4-2 Traffic related alerts(トラフィック関連アラート)
4.7
データと設定のバックアップ
バックアップは SCB の設定やデータのスナップショットを作成します。これらは、エラーが発生した
場合、リカバリーに使用できます。
SCB は、設定と保存済みの監査トレイルをリモートサーバーに自動バックアップできます。バックア
ップを構成するには、まずバックアップポリシーを作成します。それから、(設定のバックアップのた
めに)システムバックアップポリシーとして、または(ログスペースのバックアップのために)データ
バックアップポリシーとして、それを設定します。
バックアップはターゲットディレクトリからすべての他のデータを削除します。(バックアップをリスト
アすると、SCB からすべてのほかのデータは削除されます。) バックアップから設定とデータをリ
ストアする詳細については、22.8 SCB 設定とデータのリストアを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
96
4.7.1
バックアップポリシーの作成
目的:
バックアップポリシーはバックアップサーバーのアドレス、使用するプロトコルやその他のパラメー
ターを定義します。
Steps:
Step 1.
Policies > Backup & Archive/Cleanup に進み、Backup policies(バックアップポリシー)セ
クションで
アイコンをクリックして新しいバックアップポリシーを作成します。
図 4-18 バックアップの設定
Step 2.
タブ上の入力フィールドにバックアップポリシーの名前(例: config-backup)を入力し
ます
Step 3.
Start time(開始時間)フィールドに、バックアップ処理の開始時間を HH:MM 形式で入力
します(例: 23:00)
Step 4.
Target settings > Target server(ターゲットサーバー)フィールドにリモートサーバーの IP
アドレスかホスト名(例: backup.example.com)を入力します。
Step 5.
SCB は異なるプロトコルで、リモートサーバーにアクセスすることができます。利用可能
なプロトコルから使用するものを選択します。
Rsync over SSH
Secure Shell プロトコル経由で rsync コマンドを実行します。バックア
ップサーバーは rsync バージョン 3.0 以降を実行しなければならない
ことにご注意ください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
97
SMB/CIFS
Microsoft Windows ネットワークで使用される Server Message Block
(SMB)プロトコル
警告
NetApp ストレージデバイスの CIFS 実装は、SCB
で使用される CIFS 実装と互換性がありません。そ
の た め 、 CIFS プ ロ ト コ ル を 使 っ て SCB か ら
NetApp にバックアップやアーカイブを作成するこ
とはできません(以下のようなエラーメッセージで
操作が失敗します。:
/opt/scb/mnt/14719217504d4137051404
3/reports/2010":Permission
denied
(13) '2010/day/' rsync: failed toset
times on)
この問題を解消するには、以下のいずれかを行っ
てください。
NFS プロトコルを使用して NetApp デバイスに
アクセスする
Windows や Linux Samba のような SCB と互
換性のある CIFS 実装を持つバックアップデ
バイスを使う
BalaBit Shell Control Box 4 LTS
Rev. 1.0
98
警告
ファイルのバックアップやアーカイブのために CIFS
プロトコルを使用するとき、対象サーバーが
NTLMv2 認証を使用する Windows 2008 R2 で動作
する場合、以下のようなエラーメッセージで操作が
失敗します。:
CIFS VFS: Unexpected SMB signature
Status code returned 0xc000000d
NT_STATUS_INVALID_PARAMETER
CIFS VFS: Send error in SessSetup = -22
CIFS VFS: cifs_mount failed w/return code = -22
CIFS VFS: Server requires packet signing to be
enabled in /proc/fs/cifs/SecurityFlags.
CIFS VFS: cifs_mount failed w/return code = -95
CIFS VFS: Server requires packet signing to be
enabled in /proc/fs/cifs/SecurityFlags.
CIFS VFS: cifs_mount failed w/return code = -95
この問題を解消するには、以下のいずれかを行っ
てください。
NFS プロトコルを使用して Windows 2008 R2
サーバーにアクセスする
Windows 2008 R2 サーバーのレジストリを変
更するまたは、ホットフィックスを適用する。詳
しくは、Microsoft® サポートサイトの Article
957441 を参照してください。
NFS
Network File System プロトコル
Step 6.
選択した方法のプロトコル固有のパラメーターを設定します。プロトコル固有のパラメー
ターについては、4.9 バックアップとアーカイブのプロトコルのパラメーターを参照してくだ
さい。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
99
Step 7.
バックアップの E メール通知を受け取る場合は、Send notification on errors only(エラー
発生時のみ通知を送信する)または、Send notification on all events(全てのイベントに
関する通知を送信する)オプションを選択します。通知は、Basic Settings > Management
> Mail settings > Send e-mail alerts to: で設定した管理者の E メールアドレスに送信さ
れます。
バックアップされたファイルのリストを e-mail に含むには、Send notification on all events
(全てのイベントに関する通知を送信する)オプションを選択し、Include file list オプショ
ンを有効化します。しかしながら、もしリストが非常に長い場合(たとえば、SCB が 20000
以上の監査トレイルを保存している場合)SCB の web インターフェースはアクセス不能
になるかもしれません。この場合、Maximum number of files in notification (通知におけ
る最大ファイル数)を低く設定します。このファイル数に到達した後は、ファイル名は通知
には含まれません。
注記
この E メール通知は Alerting & Monitoring タブで設
定したものとは異なります。アラートはアラート E メ
ールアドレスに送信されますが、この通知は、管理
者の E メールアドレスに送信されます(4.6SCB での
システム監視設定を参照してください)。
Step 8.
Commit
をクリックします。
4.7.2
設定バックアップの作成
設定のバックアップを作成するには、SCB の System backup policy としてバックアップポリシーを
割り当てます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
100
ヒント
バックアップサーバーではなく、自分のマシンに SCB の設定のバ
ックアップをすぐに作成する場合は、Basic Settings > System >
Export configuration を選択します。
この設定のエクスポートは、システム設定と変更ログを含む設定
ファイルのみを含みます。システムバックアップはレポートやアラ
ートのような追加情報と接続データベースも含みます。
Steps:
Step 1.
Basic Settings > Management > System backup に進みます。
図 4-19 システムバックアップ設定
Step 2.
System backup > System backup policy(システムバックアップ)フィールドで SCB の設定
をバックアップするために使用するバックアップポリシーを選択します。
Step 3.
Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
101
Step 4.
(任意)すぐにバックアッププロセスを開始するには、Backup now をクリックします。この
Backup now の機能はバックアップポリシーが選択されてコミットされた後にのみ動作し
ます。
4.7.3
データバックアップの作成
データのバックアップを構成して、バックアップポリシーを接続に割り当てます。
Steps:
Step 1.
Connections に進みます。
Step 2.
バックアップを行いたい Connections(接続)を選択します。
Step 3.
Backup policy フィールドでバックアップポリシーを選択します。
Step 4.
Commit
Step 5.
(任意)すぐにバックアッププロセスを開始するには、Backup または、Backup ALL をク
をクリックします。
リックします。この Backup または、Backup ALL の機能はバックアップポリシーが選択さ
れてコミットされた後にのみ動作します。
4.7.4
設定のバックアップの GPG 暗号化
目的:
システムバックアップ中に SCB の設定ファイルは公開 GPG 鍵で暗号化できます。SCB のシステム
バックアップは他の情報(たとえばデータベースの情報)も含みます。しかし、設定ファイルのみが
暗号化されます。システムバックアップは監査トレイルのデータを含まないことにご注意ください。
アップロードする GPG 鍵は暗号化できるものでなければなりません。署名専用の鍵は設定ファイ
ルの暗号化には使用できません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
102
注記
GPG 暗号化された設定を SCB に直接インポートすることはできません。ま
ず、復号する必要があります。
設定のバックアップから設定をリストアする手順の詳細は、22.8 SCB 設定とデータのリストアを参
照してください。
Steps:
Step 1.
Basic Settings > System > Management > System backup に進みます。
Step 2.
Encrypt configuration(設定を暗号化する)を選択します。
Step 3.
Public GPG key(公開 GPG 鍵)の
を選択します。
鍵ファイルをアップロードする場合は、Browse(参照)をクリックして、公開 GPG 鍵を
含むファイルを選択して Upload(アップロード)をクリックします。SCB はバイナリと
ASCII-armored の両方の GPG 鍵に対応しています。
クリップボードから鍵をコピー&ペーストする場合は、Key フィールドにキーをペースト
して Set をクリックします。
Step 4.
4.8
Commit
をクリックします。
アーカイブとクリーンナップ
アーカイブは、データを SCB から外部ストレージに転送します。クリーンナップは古いファイルを削
除します。アーカイブデータはアクセスできて、検索可能ですが、SCB アプライアンスにリストアす
ること(戻すこと)はできません。保持期間がすでに過ぎていて、ファイルが閉じられた監査トレイル
のみがアーカイブされます。
データをアーカイブするためには、アーカイブポリシーを作成して、それをアーカイブしたい接続に
BalaBit Shell Control Box 4 LTS
Rev. 1.0
103
割り当てる必要があります。
注記
アーカイブされた接続のデータは接続のデータベースから自動
的に削除されます。詳細は、7.15 SCB 接続データベースのクリー
ンアップ設定を参照してください。
4.8.1
アーカイブポリシーの作成
アーカイブポリシーはリモートストレージのアドレス、アクセスに使用するプロトコル、その他のパラ
メータを設定します。
Step 1.
Policies > Backup & Archive/Cleanup に進んで、Archive/Cleanup policies(アーカイブ/
クリーンアップポリシー)セクションの
をクリックして新しいアーカイブポリシーを作成し
ます。
図 4-20 バックアップとアーカイブ設定
BalaBit Shell Control Box 4 LTS
Rev. 1.0
104
Step 2.
タブ内の入力フィールドにアーカイブポリシーの名前を入力します。
Step 3.
Start time(開始時間)フィールドに、アーカイブ処理を開始したい時間を、HH:MM 形式
(例: 23:00)で入力します。
Step 4.
SCB に収集したデータを 1 日に 1 回以上アーカイブするには、
をクリックして、アーカ
イブ処理の開始時間を入力します。この Step を必要なだけ繰り返します
注記
次のアーカイブ処理が開始するまでにアーカイブ処理が完了しな
かった場合、次のアーカイブ処理は前の処理が完了するまで待機
します。
Step 5.
SCB は異なるプロトコル経由でリモートサーバーにアクセスすることができます。利用可
能なプロトコルの中から使用するものを1つ選択して下さい。
Only cleanup, no archiving(クリーンアップのみ、アーカイブなし)
データをサーバーにアーカイブせず、Retention time in days(保持日数)で指定した
日数より古いデータは単に削除します。
警告
Only cleanup, no archiving(クリーンアップのみ、
アーカイブなし)を選択した場合、Retention time
in days(保持期間)での指定より古いすべての
監査トレイルとデータは、バックアップコピーまた
はアーカイブされることなく永久的に削除されま
す。このようなデータは失われ、復旧できませ
ん。このオプションを使う場合は、ご注意下さ
い。
この設定は外部の CIFS または NFS サーバーから既存のアーカイブを削除することは
ありません。
SMB/CIFS
Microsoft Windows ネットワークで使用される Server Message Block プロトコル
BalaBit Shell Control Box 4 LTS
Rev. 1.0
105
警告
NetApp ストレージデバイスの CIFS 実装は、SCB
で使用される CIFS 実装と互換性がありません。そ
のため、CIFS プロトコルを使って SCB から NetApp
にバックアップやアーカイブを作成することはでき
ません(以下のようなエラーメッセージで操作が失
敗します。:
/opt/scb/mnt/14719217504d413705140
43/reports/2010":Permission
denied
(13) '2010/day/' rsync: failed toset
times on)
この問題を解消するには、以下のいずれかをご選
択ください。
NFS プロトコルを使用して NetApp デバイスに
アクセスする
Windows や Linux Samba のような SCB と互
換性のある CIFS 実装を持つバックアップデバ
イスを使う
警告
バックアップのために CIFS プロトコルを使用する、
あるいは、NTLMv2 認証を使用する Windows 2008
R2 で動作する対象サーバーにアーカイブファイル
を使用する場合、以下のようなエラーメッセージで
操作が失敗します。:
CIFS VFS: Unexpected SMB signature
Status code returned 0xc000000d
NT_STATUS_INVALID_PARAMETER
CIFS VFS: Send error in SessSetup = -22
CIFS VFS: cifs_mount failed w/return code = -22
CIFS VFS: Server requires packet signing to be
enabled in /proc/fs/cifs/SecurityFlags.
CIFS VFS: cifs_mount failed w/return code = -95
CIFS VFS: Server requires packet signing to be
enabled in /proc/fs/cifs/SecurityFlags.
CIFS VFS: cifs_mount failed w/return code = -95
BalaBit Shell Control Box 4 LTS
Rev. 1.0
106
この問題を解消するには、以下のいずれかを行っ
てください。
NFS プロトコルを使用して Windows 2008 R2
サーバーにアクセスする
Windows 2008 R2 サーバーのレジストリを変
更するまたは、ホットフィックスを適用する。詳
しくは、Microsoft® サポートサイトの Article
957441 を参照してください。
NFS
Network File System プロトコル
警告
(例えば NFS から SMB/CIFS へ)アーカイブするために使用された
接続プロトコルを変更すれば、古いアーカイブはアクセス不能に
なります。
これを回避するために、新しい接続プロトコルを使用して、新しい
ア ー カ イ ブ ポ リ シ ー を 作 成 し 、 接 続 (<connection type> >
Connections > >Archive/Cleanup policy)に影響するすべてでそ
れを選択します。
この方法で、新旧両方のアーカイブトレイルは、アクセス可能にな
ります。
Step 6.
Target settings > Target server(ターゲットサーバー)フィールドにリモートサーバーの IP
アドレスまたはホスト名(例: backup.example.com)を入力します。
Step 7.
Retention time in days(保持期間)フィールドに入力します。ここで指定した値より古い監
査データだけが外部サーバーにアーカイブされます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
107
注記
アーカイブされたデータは、SCB から削除されま
す。
Step 8.
SCB は日時またはプロトコルに基づいて監査トレイルをディレクトリにまとめます。サブ
ディレクトリは、アーカイブディレクトリに直接作成されます。以下の Path template 下の
ディレクトリ構造の中から 1 つを選択します。
Protocol/Connection/Archive Date/
(プロトコル/接続/アーカイブ日/)
Archive Date/Connection/Protocol/
(アーカイブ日/接続/プロトコル/)
Connection Date/Protocol/Connection/
(接続日/プロトコル/接続/)
Archive Date/
(アーカイブ日/)
Connection Date/
(接続日/)
例えば、Protocol/Connection/Archive Date(プロトコル/接続/アーカイブ
日)のテンプレートの場合、サブディレクトリは、まず監査対象のプロトコル
(ssh, rdp, telnet, vnc)、次に接続ポリシーの名称、最後に日時
(YYYY-MM-DD 形式で年月日)の順で作成されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
108
注記
Connection Date(接続日)は接続が開始された時
間、Archive Date(アーカイブ日)はアーカイブされ
た時間を参照します。この2つの日時の差は、アー
カイブのポリシーで定めた保管時間に依存しま
す。
Step 9.
選択した方法に応じてプロトコル固有のパラメーターを設定します。プロトコルの固有の
パラメーターについては、4.9 バックアップとアーカイブのプロトコルのパラメーターを参照
してください。
Step 10. バックアップ E メール通知を受け取る場合は、Send notification on errors only(エラーの
場合のみ通知を送信する)または Send notification on all events(全てのイベントの通知
を送信する)オプションを選択します。Basic Settings > Management > Mail settings >
Send e-mail alerts to(E メールアラートの送信先)で設定された管理者の E メールアドレ
スに、バックアップされたファイルの一覧を含めて、通知が送信されます。
注記
この E メール通知は、Basic Settings > Alerting &
Monitoring タブで設定した通知とは異なります。通
知は管理者の E メールアドレスに送信されますが、
アラートはアラート用に設定した E メールアドレスに
送信されます(4.6 SCB でのシステム監視設定を参
照してください)。
Step 11. Commit
をクリックします。
4.8.2
収集データのアーカイブ
Step 1.
アーカイブしたい接続に進みます。(たとえば、SSH Control > Connections )
Step 2.
記録した監査トレイルからアーカイブしたい接続を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
109
Step 3.
Archive/Cleanup policy フィールドに使用したいアーカイブポリシーを選択します。
Step 4.
Commit
Step 5.
(任意) アーカイブプロセスをすぐに開始するには、Archive now をクリックします。
をクリックします。
Archive now の機能はアーカイブが構成された後でのみ動作します。
4.9
バックアップとアーカイブのプロトコルのパラメーター
この節では、データのバックアップとアーカイブに使用するプロトコルの詳細について説明します。
Rsync を使用する場合の詳細については、4.9.1Rsync over SSH の設定を参照して
ください。
Samba プロトコルを使用する場合の詳細については、4.9.2 SMB の設定を参照して
ください。
4.9.1
NFS を使用する場合の詳細については、4.9.3 NFS の設定を参照してください。
Rsync over SSH の設定
目的:
Rsync over SSH を使ったバックアップ方法は、SSH でターゲットサーバーに接続して、リモートサー
バーにデータをコピーするために rsync UNIX コマンドを実行します。SCB は公開鍵で認証を行い
ます。パスワードベースの認証はサポートされません。ここでは、Rsync over SSH の設定手順に
ついて説明します。
警告
バックアップサーバーで、rsync のバージョン 3.0 以降が起動している必要
があります
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
110
Step 1.
Policies > Backup & Archive/Cleanup > Backup policies に進んでバックアップ設定を展
開し、Target settings(ターゲット設定)のラジオボタンから Rsync over SSH を選択します。
図 4-21 rsync を使用するバックアップの設定
Step 2.
Username(ユーザー名)フィールドに、リモトートサーバーにログインするために使用す
るユーザー名を入力します。
Step 3.
Authentication key(認証鍵)フィールドの
をクリックします。ポップアップウィンドウが
表示されます。
Step 4.
Generate(生成)をクリックして新しい鍵ペアを作成するか、または既存の鍵をアップロー
ドまたはペーストします。鍵は、リモートサーバー上で SCB を認証するために使用されま
す。この鍵ペアの公開鍵は、リモートサーバーにインポートされる必要があります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
111
Step 5.
Server host key(サーバーホスト鍵)フィールドの
をクリックします。ポップアップウィン
ドウが表示されます。
Step 6.
Query(クエリ)をクリックしてサーバーのホスト鍵をダウンロードするか、ホスト鍵を手動
でペーストまたはアップロードします。SCB は、サーバーによって示されたホスト鍵とこの
鍵を比べて、2つの鍵が一致した場合にだけ接続します。
図 4-22 SSH 鍵の設定
Step 7.
Port(ポート)フィールドに、リモートマシンで稼動している SSH サーバーのポート番号を
入力します。
Step 8.
Path(パス)フィールドにターゲットサーバーのバックアップディレクトリのパス(例えば、
/backups)を入力します。SCB はすべてのデータをディレクトリに保存し、自動的にサ
ブディレクトリを作成します。その結果、同じバックアップポリシーが複数のログスペース
で使用されます。ログスペースの名前が変更されてもリストアできるようにログスペース
の永続内部 ID を用いてサブディレクトリを作成します。手動デバッグを容易にするため
に、ディレクトリにログスペースの名前をログスペースの内部 ID を含んでテキストファイ
ルとして保存します。このテキストファイルはトラブルシューティング用途だけに提供され
ており、SCB はこのテキストファイルを使用しません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
112
Step 9.
Commit
をクリックします。
4.9.2
SMB の設定
目的:
SMB/CIFS を使ったバックアップ方法は、ターゲットサーバーを共有するために Server Message
Block プロトコルで接続します。SMB/CIFS は、主に Microsoft Windows ネットワークで使用されま
す。ここでは、SMB/CIFS を使ったバックアップの設定手順について説明します。
警告
NetApp ストレージデバイスの CIFS 実装は、SCB で使用されている CIFS
実装には対応していません。そのため、SCB から NetApp デバイスに CIFS
プロトコルを使ってバックアップやアーカイブを作成することはできません。
(以下のようなメッセージが表示されて操作が失敗します:
/opt/scb/mnt/14719217504d41370514043/reports/2010":
Permission denied (13) '2010/day/' rsync: failed to set
times on)。
この問題は以下のいずれかの方法で解決してください。
NetApp デバイスへのアクセスに NFS プロトコルを使用する
SCB に対応した CIFS を実装した Windows や Linux Samba
などのバックアップデバイスを使用する
警告
バックアップのために CIFS プロトコルを使用する、あるいは、NTLMv2 認証
を使用する Windows 2008 R2 で動作する対象サーバーにアーカイブファイ
ルを使用する場合、以下のようなエラーメッセージで操作が失敗します。:
CIFS VFS: Unexpected SMB signature
Status code returned 0xc000000d
NT_STATUS_INVALID_PARAMETER
CIFS VFS: Send error in SessSetup = -22
CIFS VFS: cifs_mount failed w/return code = -22
CIFS VFS: Server requires packet signing to be enabled in
BalaBit Shell Control Box 4 LTS
Rev. 1.0
113
/proc/fs/cifs/SecurityFlags.
CIFS VFS: cifs_mount failed w/return code = -95
CIFS VFS: Server requires packet signing to be enabled in
/proc/fs/cifs/SecurityFlags.
CIFS VFS: cifs_mount failed w/return code = -95
この問題を解消するには、以下のいずれかを行ってください。
NFS プロトコルを使用して Windows 2008 R2 サーバーにアクセスする
Windows 2008 R2 サーバーのレジストリを変更するまたは、ホットフィ
ックスを適用する。詳しくは、Microsoft® サポートサイトの Article
957441 を参照してください。
Steps:
Step 1.
Target settings(ターゲット設定)のラジオボタンから SMB/CIFS を選択します。
図 4-23 SMB/CIFS を使用するバックアップ設定
BalaBit Shell Control Box 4 LTS
Rev. 1.0
114
Step 2.
Username フィールドに、リモートサーバーにログインするのに使用するユーザー名を入
力するか、または Anonymous login(匿名ログイン)オプションを選択します。
Step 3.
Password(パスワード)フィールドに、ユーザー名に対応するパスワードを入力します。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 4.
Share(共有)フィールドに、共有の名前を入力します。SCB はすべてのデータをディレク
トリに保存し、自動的にサブディレクトリを作成します。監査トレイルのバックアップは、
data サブディレクトリ、設定のバックアップは config サブディレクトリに保存されます。
Step 5.
Domain(ドメイン)フィールドに、ターゲットサーバーのドメイン名を入力します。
Step 6.
Commit
4.9.3
NFS の設定
をクリックします。
目的:
NFS を使ったバックアップ方法は、対象サーバーの共有ディレクトリに Network File Share プロトコ
ルで接続します。この方法を設定するには、Export(エクスポート)フィールドにエクスポートする
NFS の名前を入力します。SCB はすべてのデータをディレクトリに保存し、自動的にサブディレクト
リを作成します。監査トレイルのバックアップは、data サブディレクトリ、設定ファイルのバックアッ
プは config サブディレクトリに保存されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
115
図 4-24 NFS を使用するバックアップの設定
バックアップサーバーは、SCB からのバックアップを受信できるように設定されている必要がありま
す。ここでは、リモートサーバー上で NFS を設定する手順について説明します。
注記
これらの Step は、SCB ではなくリモートサーバー上で行う必要があります。
Steps:
Step 1.
SCB の設定の対応する行を、バックアップサーバーの/etc/exports ファイルに追加
します。行には、以下のパラメーターを含めるようにして下さい。
SCB のバックアップポリシーまたはアーカイブポリシーの Export(エクスポート)
フィールドで設定されたバックアップディレクトリへのパス
リモートサーバーにアクセスする際に使用する SCB のインターフェースの IP ア
ドレス(外部インターフェースのアドレスまたは管理インターフェースのアドレス。
ただし、後者は、機能を有効にしていて、SCB のルーティングテーブルが正しく
設定されている場合です。詳細については、4.3 ネットワーク設定を参照してくだ
さい。)
次のパラメーター:(rw,no_root_squash,sync)
例: リモートサーバー上で NFS を設定する
例えば、SCB を IP アドレス 192.168.1.15 からリモートサーバ
ーに接続してデータを/var/backups/SCB ディレクトリに保存
する場合、/etc/exports ファイルに以下の行を加えて下さい
BalaBit Shell Control Box 4 LTS
Rev. 1.0
116
/var/backups/SCB 192.168.1.15(rw,no_root_squash,sync)
Step 2.
次のコマンドを実行します
exportfs –a
Step 3.
rpc portmapper と rpc.statd アプリケーションが動作していることを確認します。
4.9.4
バックアップファイルの所有権
バックアッププロトコルが異なる場合、バックアップサーバーに保存されたファイルに、異なるファイ
ル所有権が割り当てられます。異なるプロトコルを使って作成されたバックアップファイルの所有
者は以下の通りです。
rsync
Web インターフェースで指定されたユーザー
SMB
Web インターフェースで指定されたユーザー
NFS
no-root-squash の root、そうでなければ nobody
警告
SCB はリモートサーバー上にすでに存在しているファイルの所有権を修正
することはできません。もしバックアッププロトコルを変更してもバックアップ
を保存するのにリモートサーバーと同じディレクトリを使う場合は、新しいプ
ロトコルに応じて既存のファイルの所有権を修正するようにして下さい。そ
うしないと、SCB はファイルを上書することができず、バックアップも失敗し
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
117
5
ユーザー管理とアクセスコントロール
AAA メニュー(Authentication(認証)、Authorization(認可)、Accounting(アカウンテ
ィング)を使えば、SCB にアクセスするユーザーの認証、認可、アカウンティングの設定をコントロ
ールすることができます。この節では、以下の内容を説明します。
SCB 上でローカル認証を行う方法に関する詳細については、5.1SCB ユーザーのロ
ーカル管理を参照してください。
外部の LDAP データベース(例: Microsoft Active Directory)を使ってユーザー認
証を行う方法に関する詳細については、5.4LDAP データベースからの SCB ユーザ
ー管理を参照してください。
外部の RADIUS サーバーを使ってユーザー認証を行う方法に関する詳細について
は、5.5RADIUS サーバーでのユーザー認証を参照してください。
ユーザーとユーザーグループの権限を管理する方法に関する詳細については、5.7
ユーザー権限とユーザーグループの管理を参照してください。
SCB の設定変更の履歴を表示する方法に関する詳細については、5.8 設定変更の
一覧と検索を参照してください。
5.1
SCB ユーザーのローカル管理
目的:
デフォルトでは、SCB ユーザーは SCB 上でローカルに管理されます。ここでは、ローカルユーザー
を作成したり削除したり、ローカルユーザーのグループメンバーを修正したり、ユーザーのパスワ
ードを変更したりする手順について説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
118
注記
admin ユーザーはデフォルトで作成され、すべての権限を利用できます。
このユーザーを削除することはできません。
LDAP 認証を使う場合、ローカルユーザーは管理できません(詳細について
は、5.4 LDAP データベースからの SCB ユーザー管理を参照してください)。
LDAP 認証を有効にすると、ローカルユーザーのアカウントは無効になり、
AAA > Local Users ページにも表示されませんが、削除されたわけではあり
ません。
RADIUS 認証をローカルユーザーと一緒に使う場合、ユーザーは RADIUS
サーバーで認証され、グループメンバーだけが SCB 上でローカルに管理
されます。詳細については、5.5 RADIUS サーバーでのユーザー認証を参
照してください。
Steps:
Step 1.
AAA > Local Users に進んで、
をクリックします。
図 5-1 ローカルユーザーの作成
Step 2.
User フィールドに、ユーザー名を入力します。
注記
SSH のユーザー名は、正当な UTF-8 文字のみ使用できます。
ユーザー名に次の文字は使えません。
\/[]:;|=,+*?<
BalaBit Shell Control Box 4 LTS
Rev. 1.0
119
Step 3.
Password(パスワード)と Verify password(確認用パスワード)フィールドに、ユーザーの
パスワードを入力します。パスワードを打ち込むと、パスワードの安全性が Password フ
ィールドの下に表示されます。パスワードの安全性に関するポリシーを設定するには、
5.2 ローカルユーザーのパスワードポリシーの設定を参照してください。ユーザーはパス
ワードを SCB の Web インターフェースから後から変更することができます。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 4.
Groups(グループ)セクションの
をクリックして、ユーザーをメンバーに加えるグループ
を選択します。ユーザーを複数のグループに追加する場合には、この Step を繰り返しま
す。異なるグループに関する詳細については、5.7 ユーザー権限とユーザーグループの
管理を参照してください。
ユーザーをグループから外すには、グループの隣の
ユーザーを削除するには、画面の右端の
をクリックします。
をクリックします。
Step 5.
Commit
をクリックします。
5.2
ローカルユーザーのパスワードポリシーの設定
目的:
SCB では、パスワードの最低限の安全性を保証したり、パスワードに有効期限を設定したりするた
めのパスワードポリシーを使用することができます。ここでは、パスワードポリシーの作成手順に
ついて説明します。
警告
サービスモードで Audit Player アプリケーションを実行する場合、Audit
Player アプリケーションが SCB にアクセスするのに有効なユーザーアカウ
ントが必要です。パスワードに有効期限を設定する場合、このユーザーの
パスワードが切れる前に変更されて、また、Audit Player ホスト上でも変更
される必要があります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
120
注記
パスワードポリシーは、ローカルで管理されるユーザーにのみ適用され、ユ
ーザーを LDAP から管理している場合、またはユーザーを RADIUS サーバ
ーに認証している場合は、機能しません。
パスワードは、内蔵されている admin ユーザーには適用されません。
注記
SCB のパスワード長は150文字までです。SCB のパスワードには、以下の
特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Steps:
Step 1.
AAA > Settings に進みます。
図 5-2 パスワードポリシーの設定
Step 2.
Authentication method(認証方法)が Password provided by database(データベースに
より提供されるパスワード)に設定されていること、User database(ユーザーデータベー
ス)が Local(ローカル)に設定されていることを確認します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
121
注記
フィールドの設定が異なる場合(例えば、LDAP または RADIUS の
場合)、SCB はパスワードをローカルに管理するようには設定さ
れません。
Step 3.
Password expiration(パスワード期限切れ)フィールドで、パスワードがどのくらいの期間
有効であるかを設定します。この期間が経過すると、SCB ユーザーはパスワードを変更
する必要があります。パスワードに有効期間を設けない場合は、0 を入力します。
Step 4.
Number of passwords to remember(記憶するパスワードの数)フィールドで、パスワード
の再利用(例えば、ユーザーがパスワードを2つ用意していて、新しいパスワードに変更
する代わりに2つのパスワードを交互に使う場合)を防ぐために、古いパスワードを再利
用する前に異なるパスワードをいくつ使用する必要があるかを設定します。
Step 5.
パスワードの安全性を高めるために、Minimal password strengt(最小パスワード強度)
フィールドでパスワードの複雑さを選択します。
注記
パスワードの安全性は、パスワードの長さだけでなく、エントロピ
ーによって決定されます。エントロピーとは、パスワードに使用さ
れている数字、文字、大文字、特殊文字のバリエーションのこと
です。
Cracklib で Enabled(有効)オプションを選択すると、脆弱なパスワ
ードを見つけるための簡単なディクショナリベースのアタックが実
行されます。
Step 6.
Commit
をクリックします。
注記
パスワードポリシーを変更しても、既存のパスワードには影響あ
りません。ただし、パスワードの有効期間を設定すると全てのユ
ーザーは有効期間が経過した後パスワードを変更する必要があ
り、新しいパスワードは、パスワードポリシーで新しく設定した強
度の要件を満たしている必要があります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
122
5.3
ローカルユーザーグループの管理
目的:
特 定 の ロ ーカ ルユ ー ザー グ ルー プ に属 している ユ ー ザー を表 示す る には、 AAA > Group
Management に進みます。ここでグループのメンバーを編集することもできます。
SCB のローカルユーザーと LDAP ユーザーの権限(誰が何を閲覧して何を設定できるか)を管理
するためにローカルグループを使用できます。
内蔵されているグループに関する説明については、5.7.5 SCB の組み込みユーザーグループを参
照してください。ここでは、新しいグループの作成手順について説明します。
Steps:
Step 1.
AAA > Group Management に進み、
をクリックします。
図 5-3 グループ管理
Step 2.
タブ上の入力フィールドにグループの名前を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
123
Step 3.
Members(メンバー)フィールドの
をクリックし、グループに属するユーザーの名前を選
択します。複数のユーザーを追加する場合は、この Step を繰り返します。
をクリックします。
Step 4.
Commit
5.4
LDAP データベースからの SCB ユーザー管理
目的:
SCB の Web インターフェースでは、SCB と既存のインフラの統合をより簡単に行えるようにユーザ
ーを外部の LDAP に認証することができます。また、最初のサーバーが利用できない場合に SCB
が2つ目のサーバーに接続を行うように、複数の LDAP サーバーを指定することも可能です。ここ
では、LDAP 認証を有効にする手順について説明します。
注記
admin ユーザーは初期設定で作成され、すべての権限を利用できます。こ
のユーザーを削除することはできません。
admin ユーザーは、LDAP 認証を使用する場合でも SCB にログインできま
す。
LDAP 認証を有効にすると、admin を除くローカルユーザーのアクセスは
自動的に無効になります。
SCB は Win 2000 以前のスタイルのアカウント名と Win 2003 のスタイルのア
カウント名(UPN: User Principal Name)両方に対応しています。UPN
は、ユーザー名、アットマーク(@)、ドメイン名で構成されています(例:
[email protected])。
SSH のユーザー名は、正当な UTF-8 文字のみ使用できます。
次の記号は、ユーザー名とグループ名に使用できません。
/\[]:;|=,+*)?<>@"
RADIUS 認証を LDAP ユーザーと一緒に使う場合、ユーザーは RADIUS サ
ーバーで認証され、グループメンバーだけが LDAP で管理されます。詳細
については、5.5 RADIUS サーバーでのユーザー認証を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
124
警告
ユーザは最大 10,000 のグループに属することができます。それ以上のグル
ープは無視されます。
警告
デフォルトで、LDAP サーバーにクエリする場合、SCB は入れ子のグループ
を使用しています。入れ子のグループは、Microsoft Active Directory にユ
ーザー認証するとき、主に有用ですが、LDAP ツリーが非常に大きい場合、
クエリの速度が低下し、接続がタイムアウトすることがあります。この場合
Enable nested groups オプションを無効にしてください。
Steps:
Step 1.
AAA > Settings > Authentication settings に進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
125
Step 2.
LDAP オプションを選択して、LDAP サーバーのパラメーターを入力します。
図 5-4 LDAP 認証の設定
Step a.
Server Address(サーバーアドレス)フィールドに、LDAP サーバーの IP アド
レスまたはホスト名とポートを入力します。SCB と LDAP サーバー間の通信
を暗号化する場合は、SSL / TLS の場合は、ポート番号として 636 を入力、
STARTTLS の場合は、ポート番号として 389 を入力します。
複数のサーバーを追加するには、
をクリックして、次のサーバーのアドレ
スを入力します。サーバーに接続できない場合、SCB はフェイルオーバー
形式で次の行のサーバーに接続しようとします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
126
警告
LDAP サーバーに接続するために、証明書の内容
を確認する際、TLS 暗号化を使用する場合は、
Server Address(サーバーアドレス)フィールドにフ
ルドメイン名(例: ldap.example.com)を使用
して下さい。そうでないと、証明書の確認が失敗し
ま す 。 LDAP サ ー バ ー の 名 前 は 、 証 明 書 の
Common Name に表示されます。
Step b. Type ( タ イ プ ) フ ィ ー ル ド で 、 LDAP サ ー バ ー の タ イ プ を 選 択 し ま す 。
Microsoft Active Directory サーバーに接続するには Active Directory を、
POSIX LDAP スキーマを使っているサーバーに接続するには Posix を選択
します。
Step c. Base DN フィールドに、クエリのベースとして使用する DN の名前を入力しま
す(例: DC=demodomain,DC=exampleinc)。
Step d. Bind DN フィールドに、データベースにアクセスする前に SCB が接続する
DN の名前を入力します(例: CN=Administrator,CN=Users,
DC=demodomain,DC=exampleinc)(実際は1行)。
注記
SCB は Win 2000 以前のスタイルのアカウント名と
Win 2003 のスタイルのアカウント名(UPN: User
Principal Name)両方に対応しています。
例えば、[email protected] も可能です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
127
注記
sAMAccountName は使用しないでください。bind
DN は、CN を期待しているからです。
Step e. Bind Password フィールドに、LDAP サーバーに接続する際に使用するパス
ワードを入力します。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 3.
SCB と LDAP サーバーの間の通信を暗号化する場合、暗号化では、SSL / TLS または
STARTTLS オプションを選択して、次の手順を実行します。
注記
TLS で暗号化して Microsoft Active Directory に接続する方法は、
Windows 2003 Server 以降のプラットフォームでのみサポートされ
ます。Windows 2000 Server ではサポートされません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
128
SCB に サ ー バ ー の 証 明 書 を 確 認 さ せ た い 場 合 、 Only accept certificates
authenticated by the specified CA certificate を選択して、CA X.509 certificate
(CA X.509 証明書)フィールドの
アイコンをクリックします。ポップアップウィンドウ
が表示されます。
Browse(参照)をクリックして、LDAP サーバーの証明書を発行した CA(Certificate
Authority)の証明書を選択して、Upload(アップロード)をクリックします。もしくは、証
明書を Copy-paste(コピー&ペースト)フィールドに貼り付けて、Set をクリックします。
SCB は、この CA 証明書を使用してサーバーの証明書を確認し、確認が失敗した場
合接続を拒否します。
警告
LDAP サーバーに接続するために証明書の内容を確認する際、
TLS 暗号化を使用する場合は、Server Address(サーバーアドレ
ス)フィールドに、フルドメイン名(例: ldap.example.com)を
使用して下さい。そうでないと、証明書の内容の確認が失敗しま
す。LDAP サーバーの名前は、証明書の Common Name に表示
されます。
LDAP サーバーが相互認証を要求する、つまり SCB からの証明書を要求する場合、
Authenticate as client を有効に設定し、 SCB の証明書を作成して署名し、Client
X.509 certificate(クライアント X.509 証明書)フィールドの
をクリックして証明書を
アップロードします。その後 Client key(クライアント鍵)フィールドの
をクリックして
証明書に対応する秘密鍵をアップロードします。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
129
Step 4.
(任意)オプションのステップ:LDAP サーバーがカスタム POSIX LDAP スキーマを使用し
ている場合は、LDAP 属性は、ユーザー名、またはグループメンバーシップを設定する属
性を格納した設定が必要になります。例えば、お使いの LDAP スキーマがユーザー名を
格納するために uid 属性を使用していない場合は、Username (userid) attribute name オ
プ シ ョ ン を 設 定 し ま す 。 POSIX group membership attribute name オ プ シ ョ ン と
GroupOfUniqueNames membership attribute name オプションを使用してグループ·メンバ
ーシップ属性をカスタマイズすることができます。
Step 5.
Server key check(サーバー鍵チェック)フィールドや接続に使用するキーを変更した場
合、以下の Step を実行します。
警告
この Step を実行すると、SCB を通るすべての制御された接続が
終了します。Step を開始する前に、保護されたサーバーからクラ
イアントへの接続を切って下さい。
Step 6.
Commit
をクリックします。
注記
SCB、また場合によっては LDAP のデータベースでユーザーグル
ープを設定する必要があります。ユーザーグループを使う場合の
詳細については、5.7.4 ユーザーグループの使用方法を参照して
ください。
Step 7.
5.5
接続をテストするには、Test(テスト)をクリックします。
RADIUS サーバーでのユーザー認証
目的:
SCB は外部の RADIUS サーバーに対してユーザーの認証を行うことができます。ユーザーのグル
ープメンバーシップが SCB でローカルに、または LDAP データベースで管理されている必要があり
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
130
警告
チャレンジ/レスポンス認証方式は、現在サポートされていません。他の認
証方式(例えば、パスワード方式、SecureID)では動作します。
ここでは、SCB ユーザーを RADIUS サーバーに認証する手順について説明します。
Steps:
Step 1.
AAA > Settings に進みます。
図 5-5 RADIUS 認証の設定
Step 2.
Authentication method(認証方法)フィールドで、RADIUS に設定します。
Step 3.
Address(アドレス)フィールドに、RADIUS サーバーの IP アドレスまたはドメイン名を入力
します。
Step 4.
Shared secret(共有秘密)フィールドに、SCB がサーバーにアクセスする際に使用できる
パスワードを入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
131
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 5.
さらに RADIUS サーバーを追加するには、
をクリックして Step 2 から Step 4 を繰り返
します。複数のサーバーを追加するには、この Step を繰り返します。サーバーに接続で
きない場合、SCB はフェイルオーバー形式で次の行のサーバーに接続しようとします。
Step 6.
ローカルユーザーデータベースを使用して RADIUS 認証を設定する場合は、次の手順を
実行します。
Step a.
Password expiration を 0 に設定
Step b. Number of passwords to remember を 0 に設定
Step c. Minimal password strength を disabled に設定
Step d. Cracklib check on password to disabled に設定
Step 7.
Commit
をクリックします。
警告
Commit
をクリックした後、SCB の Web インターフェー
スは RADIUS への認証に成功しないと利用できません。RADIUS
サーバーにアクセスできない場合でも、SCB のデフォルトの管理
者アカウントで通常通りログインできます。
5.6
X.509 証明書を持つユーザーの認証
目的:
SCBは、X.509クライアント証明書を持つWebインターフェースのユーザーを認証する方法を提供し
ます。クライアント証明書は、CAリストと照合され、ユーザー名が識別のためにクライアント証明書
からエクスポートされています。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
132
X.509クライアント証明書を持つSCBユーザーを認証するには、次の手順を実行します。:
Steps:
Step 1.
AAA > Settings > Authentication settings と進みます。
図 5-6 X.509 認証の設定
Step 2.
X.509 を選択します。
Step 3.
Authentication CA で信頼済み CA リストを選択します。信頼済み CA リストの作成に
ついての詳細は、7.11 認証局での証明書確認を参照してください。
Step 4.
X.509 DN field name of username フィールドに、ユーザー名の DN フィールド名を入力し
ます。(ほとんどの場合、CN または UID で、このフィールドでは、大文字と小文字が区別
されるため、適切な文字を使用していることを確認してください。)
Step 5.
X.509 認証を使用せずにログインを admin (管理)ユーザーに許可するために、Enable
fallback for admin を選択します。これは、パスワード認証にフォールバックします。
Step 6.
Commit
をクリックします。
5.7
ユーザー権限とユーザーグループの管理
SCB では、ユーザー権限はユーザーグループに割り当てられています。SCB には初期設定で定
義された多くのユーザーグループがありますが、独自にユーザーグループを定義することもできま
す。それぞれのグループには、それぞれがアクセスできる SCB の Web インターフェースのページ
の権限があり、また、ページを閲覧できるだけなのか、ページを修正できるのか、特定のアクション
を実行できるのかなども権限によって定められています。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
133
注記
それぞれのグループには、ページを閲覧のみまたは閲覧・書き込み/実行
するための権限があります。
既存のグループを修正する方法に関する詳細については、5.7.1 グループ権限の修
正を参照してください。
新しいユーザーグループを作成する方法に関する詳細については、5.7.2SCB の
Web インターフェース用に新規ユーザーグループの作成を参照してください。
特定の権限を持ったユーザーグループを見つける方法に関する詳細については、
5.7.3 特定のユーザーグループの検索を参照してください。
ユーザーグループを使用するヒントについては、5.7.4 ユーザーグループの使用方
法を参照してください。
内蔵されているユーザーグループの権限に関する詳細については、5.7.5SCB の組
み込みユーザーグループを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
134
図 5-7 SCB ユーザーの管理
5.7.1
グループ権限の修正
目的:
ここでは、既存のグループ権限を修正する手順について説明します。
Steps:
Step 1.
AAA > Access Control に進みます。
Step 2.
修正したいグループを見つけて、Edit(編集)
をクリックします。利用できる権限
の一覧が表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
135
Step 3.
アクセスしたいグループの権限(SCB のインターフェースのページ)を選択して、Save(保
存)をクリックします。
図 5-8 グループ権限の修正
警告
AAA ページで Search 権限をユーザーに割り当てると、Search in
all connections(全ての接続の検索)権限が自動的に有効にな
り、ユーザーが特定の接続ポリシーの Access control(アクセス
制御)オプションのリストに含まれるグループメンバーではなくて
も、すべての監査トレイルへのアクセスを許可します。
Step 4.
Type (タイプ)フィールドからアクセスタイプ( read(閲覧のみ)または read and
write/perform(閲覧および書き込み/実行))を選択します。
Step 5.
Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
136
5.7.2
SCB の Web インターフェース用に新規ユーザーグループの作成
目的:
ここでは、新しいグループの作成手順について説明します。
Steps:
Step 1.
AAA > Access Control に進んで、
をクリックします。
Step 2.
入力フィールドに、新しいグループの名前を入力します。グループの名前をつける方法
に関する詳細については、5.7.4 ユーザーグループの使用方法を参照してください。
Step 3.
Edit(編集)
ボタンをクリックします。利用できる権限の一覧が表示されます。
Step 4.
アクセスさせるグループの権限(SCB のインターフェースのページ)を選択して、Save(保
存)をクリックします。
注記
SCB の 設 定 フ ァ イ ル を エ ク ス ポ ー ト す る に は 、 Export
configuration(設定をエクスポートする)権限が必要です。
SCB の設定をインポートするには、Import configuration(設定をイ
ンポートする)権限が必要です。
ファームウェアをアップデートしてファームウェアを有効にするに
は、Firmware(ファームウェア)権限が必要です。
Step 5.
Type (タイプ)フィールドからアクセスタイプ( read(閲覧のみ)または read and
write/perform(閲覧および書き込み/実行))を選択します。
Step 6.
Commit
をクリックします。
admin ユーザーはデフォルトで作成され、すべての権限を利用できます。このユーザーを削除す
ることはできません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
137
5.7.3
特定のユーザーグループの検索
AAA > Access Control ページの Filter ACLs セクションでは、インターフェースを使ってユーザーグ
ループの名前や権限を簡単に検索したりフィルタリングしたりすることができます。
図 5-9 ユーザーグループの検索
特定の文字列ではじまるユーザーグループを選択するには、グループの名前のは
じめの文字を Group(グループ)フィールドに入力して、Search(検索)
を選択します。
特定の権限を持つユーザーグループを選択するには、Edit(編集)
をクリ
ックして、探したい権限を 1 つまたは複数選択して、Search(検索)
をク
リックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
138
読み込みまたは書き込みアクセスのフィルターをかけるには、Type(タイプ)オプショ
ンを使用します。
5.7.4
ユーザーグループの使用方法
ユーザーグループにどのような名前を付けるかは、SCB ユーザーをどのように管理するかによっ
て異なります。
ローカルユーザー
ローカルユーザーのみを使用する場合、AAA > Access Control ページでユーザー
グループを作成または修正します。また、AAA > Local Users または AAA > Group
Management ページで、グループにユーザーを追加できます。
LDAP ユーザーと LDAP グループ
LDAP からユーザーを管理する場合、または SCB ユーザーの希望通りグループ分
けできるような LDAP グループがある場合、AAA > Access Control ページでユーザ
ーグループを作成または修正して、LDAP グループの名前と SCB ユーザーグルー
プの名前を同じにします。例えば、admins LDAP グループのメンバーを SCB でも
使用できるようにするには、AAA > Access Control ページで admins というユーザ
ーグループを作成して、必要なグループ権限を編集します。
警告
ユーザーは最大 10,000 のグループに属することができます。それ
以上のグループは無視されます。
RADIUS ユーザーとローカルグループ
RADIUS からユーザーを管理するが LDAP ではグループを作成したくない、または
作成できない場合です。AAA > Access Control ページでローカルグループを作成し
て、AAA > Group Management ページで RADIUS ユーザーを作成したグループに追
加します。
5.7.5
SCB の組み込みユーザーグループ
SCB には、出荷時設定で以下のユーザーグループが存在します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
139
図 5-10 SCB の組み込みユーザーグループ
警告
SCB の Web インターフェースで LDAP 認証を使用していて、組み込みユー
ザーグループを使用したい場合、LDAP のデータベースでユーザーグルー
プを作成してユーザーをそのグループに割り当てる必要があります。
ユーザーグループの使い方に関する詳細については、5.7.4 ユーザーグル
ープの使用方法を参照してください。
basic-view
Basic Settings(基本設定)メニューで、SCB のシステムログを含む設定を閲覧しま
す。このグループのメンバーは、Troubleshooting(トラブルシューティング)タブでコ
マンドも実行できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
140
basic-write
Basic Settings(基本設定)メニューで設定を編集します。このグループのメンバー
は、SCB をホストとして管理することができます。
auth-view
AAA メニューで、SCB 管理者の名前と権限、設定されたユーザーグループ、認証設
定を閲覧します。このグループのメンバーは、設定の変更履歴を閲覧することがで
きます。
auth-write
認証設定を編集したり、ユーザーとユーザーグループを管理したりします。
警告
auth-write グループのメンバーおよび AAA メニューに書き込
み権限を持っているグループのメンバーは、あらゆる権限を自分
に与えることができるため、本質的に SCB のシステム管理者と同
義です。限定された権限しか持たないユーザーにこのような権限
を与えるべきではありません。
AAA メニューに書き込み権限を持ったユーザーが自分に新しい
権限を与えた(例えば新しいグループのメンバーになる)場合、新
しい権限を有効にするには、SCB の Web インターフェースにログ
インし直す必要があります。
search
Search(検索)メニューで、様々なログやアラートを閲覧したりダウンロードしたりし
ます。このグループのメンバーは、監査トレイルのファイルにもアクセスできます。
暗号化された監査トレイルファイルを開くには、適切な暗号鍵が必要です。
注記
SCB のバージョン 1.x では、監査トレイルファイルを閲覧するのと
ダウンロードするのに別々の権限が必要でした。現在、Search
(検索)グループのメンバーは自動的にこれらの権限を有します。
changelog
AAA > Accounting メニューで、SCB の設定ファイルの変更履歴を閲覧します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
141
report
Reports メニューで、レポートを閲覧したり作成したり管理したり、統計データに基づ
くチャプターをレポートに追加したりします。
注記
レポートにどの統計データに基づくチャプターとレポートを含むか
を ユ ー ザ ー が 正 確 に 管 理 す る た め に は 、 Use static
subchapters 権限を使用します。
policies-view
Policies(ポリシー)メニューで、ポリシーと設定を閲覧します。
policies-write
Policies(ポリシー)メニューで、ポリシーと設定を編集します。
ssh-view
SSH Control(SSH 制御)メニューで、全ての接続とポリシーの設定を閲覧します。
ssh-write
SSH Control(SSH 制御)メニューで、全ての接続とポリシーの設定を編集します。
rdp-view
RDP Control(RDP 制御)メニューで、全ての接続とポリシーの設定を閲覧します。
rdp-write
RDP Control(RDP 制御)メニューで、全ての接続とポリシーの設定を編集します。
telnet-view
Telnet Control(Telnet 制御)メニューで、全ての接続とポリシーの設定を閲覧しま
す。
telnet-write
Telnet Control(Telnet 制御)メニューで、全ての接続とポリシーの設定を編集しま
す。
vnc-view
VNC Control(VNC 制御)メニューで、全ての接続とポリシーの設定を閲覧します。
vnc-write
VNC Control(VNC 制御)メニューで、全ての接続とポリシーの設定を編集します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
142
indexing
自動的にインデックスを作成するために、Audit Player のアプリケーションを起動し
ているホストが監査トレイルにアクセスしたり監査トレイルをダウンロードしたりでき
るようにします。このグループのメンバーは、SCB の Web インターフェースにもアク
セスすることができ、あらゆる監査トレイルを直接ダウンロードすることができます。
ica-view
ICA Control(ICA 制御)メニューで、全ての接続とポリシー設定を閲覧します。
ica-write
ICA Control(ICA 制御)メニューで、全ての接続とポリシーの設定を編集します。
api
RCP 経由で SCB にアクセスするための、Access RPC API 権限のために権利を表
示し編集します。
http-view
HTTP Control(HTTP 制御)メニューで、全ての接続とポリシーの設定を閲覧しま
す。
http-write
HTTP Control(HTTP 制御)メニューで、全ての接続とポリシーの設定を編集しま
す。
indexer-view
Indexer(インデクサー)メニューで、全ての接続とポリシーの設定を閲覧します。
indexer-write
Indexer(インデクサー)メニューで、全ての接続とポリシーの設定を編集します。
注記
indexer-view と indexer-write ユーザーグループは SCB バージ
ョン 4 LTS で追加された新しいグループです。SCB バージョン 3.x
で Indexer status ページへのアクセス権があるユーザーは、アッ
プグレード後に、SCB バージョン 4 LTS でも同様にアクセスでき
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
143
5.8
設定変更の一覧と検索
SCB は自動的に設定の変更を追跡します。変更の履歴を表示するには、AAA > Accounting を選
択します。変更はログメッセージとして整理されていて、通常の SCB の検索用のインターフェース
を使って閲覧したり検索したりできます(詳細については、15 監査トレイルの閲覧を参照してくださ
い)。それぞれの変更に関して、以下の情報が表示されます。
図 5-11 設定変更の閲覧
Timestamp
変更があった日時
Author
SCB の設定を変更した管理者のユーザー名
Page
変更されたメニューアイテム
Field name
変更されたフィールドまたはオプションの名前
BalaBit Shell Control Box 4 LTS
Rev. 1.0
144
New value
設定パラメーターの新しい値
Message
管理者が投稿した変更ログかコミットログ。このフィールドは、Require commit log
(コミットログ必須)オプションが有効な場合のみ利用できます(詳細は下記を参照し
てください)。
Old value
設定パラメーターの古い値
Swap
ページでオブジェクトの順序が変更されたことの目印(たとえば、リスト内の2つのポ
リシーの順序)
管理者が設定を変更する度に説明の記載を要求するには、AAA > Settings > Accounting settings
に進んで、Require commit log(コミットログ必須)オプションを選択します。
5.8.1
内部検索インターフェースの使用
内部検索インターフェースは、SCB の構成変更とレポートを、閲覧したりフィルターしたりするため
に使用します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
145
図 5-12 内部検索インターフェース
選択範囲の結果数をバーで表示します。
と
アイコンでズームイン/ズームアウトします。矢
印で前後の範囲に移動します。日付を指定するには、Jump to を選択してカレンダーに日付を設
定します。Scale(スケール)オプションで、表示範囲を変更できます。
バー上にマウスを持っていくとエントリー数とバーが示す期間の開始日と終了日を表示します。テ
ーブルでその期間のエントリーを表示するにはカレンダー・バーをクリックします。Shift キーを押し
ながらバーをクリックすると、複数のカレンダー・バーを選択できます。
もしデータが1行に収まらない場合は、自動的に折り返されて、先頭行だけが表示されます。行を
展開するためには、 をクリックします。元のサイズに縮小する場合は、 をクリックします。全行
の展開/縮小は、テーブルヘッダーの該当ボタンを押します。当該行のダブルクリックでも展開/縮
小が可能です
5.8.1.1 フィルタリング
テーブルは、任意のパラメータ、もしくはパラメータの組み合わせでフィルターできます。リストをフ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
146
ィルターするためには、フィルター表現を適切な列の入力フィールドに入力して、エンターキーを押
すか、または、テーブルのエントリーをクリックします。
注記
フィルターを使うとバーはフィルター結果の統計を表示
します。
フィルターは部分一致も表示します。たとえば、AAA>Accounting 画面で、Author 列に admin で
フィルターすると、admin 文字列を含むユーザー名で行われたすべての変更が表示されます。
厳密な検索は、
アイコンで行います。逆フィルタリング(含まない)は、
列からフィルターをクリアするには、
アイコンで行います。
アイコンをクリックします。
元のテーブルを表示するには、Clear all filters をクリックします。
5.8.1.2 検索結果のイクスポート
検索結果のテーブルをファイルとして保存するには、Export as CSV をクリックします。これは、コ
ンマ区切り値を含むテキストファイルとして、テーブルを保存します。データのイクスポートの途中
でエラーが発生した場合、イクスポートされた CSV ファイルは、ゼロと問題の詳細から始まる行(通
常は最後の行)を含みます。たとえば、0;description_of_the_error という行を含みます。
警告
大量のデータをイクスポートする場合は、Export as CSV を使わ
ないでください。特に、システムが高負荷の場合に、データのイク
スポートは、非常に遅くなります。
5.8.1.3 内部検索インターフェースのカラムのカスタマイズ
目的:
ここでは、インターフェースに表示するデータをカスタマイズする手順について説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
147
Steps:
Step 1.
閲覧したいデータベース(例: AAA > Accounting)に進みます。
Step 2.
Customize Columns(カラムをカスタマイズする)をクリックします。Visible columns(表示
カラム)と Available columns(利用可能カラム)のリストを含むポップアップウィンドウが表
示されます。
図 5-13 一般的な検索インターフェースの列のカスタマイズ
Step 3.
Visible columns(表示カラム)フィールドに、表示パラメーターがリストされます。その他全
ての利用可能なパラメーターは Available columns(利用可能カラム)フィールドにリストさ
れます。
Visible columns(表示カラム)フィールドへパラメーターを追加する場合は、パラメー
ターを選択し、Add(追加)をクリックします。
Visible columns(表示カラム)フィールドからパラメーターを除去する場合は、パラメ
ーターを選択し、Remove(除去)をクリックします。
カラムを固定(水平スクロールしても、常に表示する)する場合は、希望するパラメ
ーター横の Freeze(固定)オプションを有効にします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
148
注記
複数のパラメーターを選択する場合は、Ctrl キーを押した状態で
項目をクリックします。
Step 4.
OK をクリックします。選択した情報が表示されます。
5.9
ユーザーおよびユーザーグループ特権の表示
SCB version 3.2 以降では、ユーザー権限と個別ユーザーおよびユーザーグループの特権を検索
するインターフェースが提供されます。ユーザーまたはユーザーグループの特権を表示するには、
AAA > Permission Query(パーミッションクエリ)を開き、関連フィールドにユーザーまたはグループ
の名前を入力して Filter(フィルター)をクリックします。以下にご注意ください。
ユーザー名とグループ名を同時にフィルターすることはできません。
部分一致も表示されます。
ユーザーグループには、ローカルユーザーグループ、ユーザーリスト、LDAP ユー
ザーグループを入力できます。
Web interface permissions (Web インターフェースパーミッション)
ユーザーまたはユーザーグループがアクセスできる SCB Web インターフェースページを
表形式で表示します。以下の情報が表示されます。
Page (ページ)
ページ名またはページグループ名(例: Basic Settings)
Element (要素)
グループがあるページのあるセクションにのみアクセス可能な場合、その要素の名
前
(例: ある Channel Policy)
Group (グループ)
ユーザーグループ名
BalaBit Shell Control Box 4 LTS
Rev. 1.0
149
Permission (パーミッション)
ユーザーまたはユーザーグループがこのページに対して有しているアクセスタイプ
(例: read または read and write/perform)
図 5-14 Web インターフェースパーミッションの表示
Connection permissions (接続パーミッション)
ユーザーまたはユーザーグループがアクセスできるサーバーを表示するため、SCB は
ユーザーまたはグループが使用を許可された接続に関する主要な情報を収集します。
以下の情報を表示します。
注記
特定の接続ポリシーにアクセスできるユーザーグループを表示するには、
Connection Policy(接続ポリシー)を開き、Connection(接続)ページの Show
connection permissions > Show をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
150
図 5-15 接続パーミッションの表示
Gateway group (ゲートウェイグループ)
接続にアクセスするために要求されるグループメンバーシップを表示します。グループメ
ンバーシップは、以下の場所で制限できます。
Connection > Gateway authentication > Groups
Channel Policies > Gateway group
Policies > Usermapping Policies > Groups
Source (送信元)
送信元 IP アドレス:クライアントの IP アドレス
To (宛先)
宛先 IP: クライアントによって要求されるサーバーの IP アドレス
To port (宛先ポート)
宛先ポート: クライアントによって要求されるサーバーのポート番号
Target (ターゲット)
サーバーIP: SCB によって接続されたサーバーの IP アドレス
Target port (ターゲットポート)
サーバーポート: SCB によって接続されたサーバーのポート番号
Remote user (リモートユーザー)
サーバー上のユーザー名: リモートサーバーにログインする際に使用するユ
ーザー名。接続で usermapping(ユーザーマッピング)が使用されている場合、
このユーザー名がクライアント側のユーザー名と異なる可能性があります。
usermapping(ユーザーマッピング)に関する詳しい情報については、17.1 ユー
ザーマッピングポリシーの設定を参照してください。
Remote group (リモートグループ)
(もしあれば)Usermapping Policy で設定されている宛先サーバーにアクセスで
BalaBit Shell Control Box 4 LTS
Rev. 1.0
151
きるグループ
Protocol (プロトコル)
プロトコル: 接続で使用するプロトコル(SSH, RDP, Telnet, VNC, ICA)
Connection (接続)
接続 ID: 接続の識別子
Authorizer (承認者)
4-eyes 認証: セッションを承認したユーザーのユーザー名。チャンネルで
4-eyes 認証が要求される場合のみ表示されます。4-eyes 認証に関する詳しい
情報については、17.3 4-eyes 承認の設定を参照してください。
Auth type (認証タイプ)
ゲートウェイ認証中にクライアント側接続で使用される認証方法
Channel (チャンネル)
チャンネルのタイプ(例: session-shell)
Time (タイム)
接続で使用される Time Policy(タイムポリシー)の名前
LDAP
(もしあれば)接続で使用される LDAP サーバーの名前
Credential store (証明書ストア)
(もしあれば)接続で使用される証明書ストアの名前
Audit (監査)
接続が監査トレイルに記録されるかどうかの識別
Ids
接続を侵入検知システム(Intrusion Detection System (IDS))にフォワードする
かどうかの識別
Usergroup membership (ユーザーグループメンバーシップ)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
152
ユーザーの検索が行われた場合、ユーザーに合致するグループメンバーシップを表形
式で表示します。ユーザーグループの検索が行われた場合、グループに合致するメン
バーを表示します。以下の情報を表示します。
User (ユーザー)
ユーザーのユーザー名
Group (グループ)
ユーザーグループ名またはユーザーリスト名
Exception (例外)
SCB のローカルで管理されている初期設定の deny ユーザーリストで拒否されてい
るユーザー名
図 5-16 ユーザーグループとユーザーリストメンバーシップの表示
BalaBit Shell Control Box 4 LTS
Rev. 1.0
153
6
SCB の管理
以下の節では、アプライアンスの基本制御、アップグレード、SCB のトラブルシューティングヒントな
ど、SCB の基本的な管理タスクについて説明します。
基本管理タスク(再起動とシャットダウン、トラフィックの無効化)に関する詳細につい
ては、6.1 SCB の制御 - 再起動、シャットダウンを参照してください。
ハイアベイラビリティクラスタの管理に関する詳細については、6.2 ハイアベイラビリ
ティ SCB クラスターの管理を参照してください。
SCB のアップグレードの手順に関する詳細については、6.3 SCB のアップグレード
を参照してください。
コンソールと SSH で SCB にアクセスする手順に関する詳細については、6.4 SCB コ
ンソールへのアクセスを参照してください。
Sealed(シールド)モード(リモートホストからの基本構成変更の無効化)の有効化に
関する詳細については、6.5 Sealed(シールド)モードを参照してください。
アウトオブバンド(IPMI)インターフェースの構成に関する詳細については、6.6 SCB
のアウトオブバンド管理を参照してください。
SCB 上で使用する証明書の管理に関する詳細については、6.7 SCB 上で使用する
証明書の管理を参照してください。
6.1
SCB の制御 - 再起動、シャットダウン
SCB を再起動、またはシャットダウンするには、Basic Settings > System > System control > This
node に進んで、それぞれのアクションのボタンをクリックします。Other node(他のノード)は、ハイ
アベイラビリティ SCB クラスターのスレーブノードのことです。ハイアベイラビリティクラスターにつ
いては、6.2 ハイアベイラビリティ SCB クラスターの管理を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
154
警告
クラスターのノードを再起動する際に、不必要なテイクオーバーを避け
るために、最初に Other(スレーブ)ノードを再起動します。
クラスタのノードをシャットダウンする場合は、最初に Other(スレーブ)
ノードをシャットダウンします。ノードの電源をオンにする場合は、不必
要なテイクオーバーを回避するために、最初にマスターノードを起動し
ます。
両方のノードが稼働している場合には、ノード間の接続を中断しないで
ください。:イーサネットケーブルを抜いたり、(もしあれば)ノード間のス
イッチやルーターを再起動したり、SCB の HA インターフェースを無効
にしたりしないでください。
図 6-1 基本設定
注記
SCB インターフェースへの Web セッションは継続され、SCB を再起動した後
もオープンしたままです。再起動の後、再度ログインする必要はありませ
ん。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
155
6.1.1
制御対象トラフィックの無効化
目的:
ここでは、保護されたサーバーへの制御されたトラフィックの一部またはすべてを一時的に無効に
する手順を説明します。
図 6-2 制御されたトラフィックの無効化
警告
この方法でトラフィックを無効にしても一時的なもので、SCB の Web インター
フェースから他に変更が記録されると接続は再度有効になります。トラフィ
ックを恒久的に無効にする方法の詳細については、6.1.2 制御対象トラフィッ
クの恒久的な無効化を参照してください。
注記
トラフィックを無効にして止まるのは、接続ポリシーで設定した特定トラフィッ
クだけです。それ以外のトラフィックは、たとえ「すべてのサービス」を止めた
としても、SCB を通過することができます。接続ポリシーの設定に関する詳
細については、7 接続の設定を参照してください。
Steps:
Step 1.
Basic Settings > System > Traffic control に進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
156
Step 2.
以下のいずれかの操作を行います。
SSH トラフィックを無効にするには、SSH traffic フィールドの Stop をクリックします。
例えば X11 のような SSH で転送される他のトラフィックも全て停止します。
RDP トラフィックを無効にするには、RDP traffic フィールドで Stop をクリックします。
Telnet と TN3270 のトラフィックを無効にするには、Telnet traffic フィールドで Stop
をクリックします。
VNC トラフィックを無効にするには、VNC traffic フィールドで Stop をクリックします。
すべてのタイプのトラフィックを無効にするには、All services フィールドで Stop をク
リックします。
System monitor(システムモニター)には、すべてのタイプのトラフィックのステータスが
表示されます。
6.1.2
制御対象トラフィックの恒久的な無効化
注記
トラフィックを無効にして止まるのは、接続ポリシーで設定した特定トラフィッ
クだけです。それ以外のトラフィックは、たとえ「すべてのサービス」を止めた
としても、SCB を通過することができます。接続ポリシーの設定に関する詳
細については、7 接続の設定を参照してください。
Steps:
Step 1.
無効にしたいトラフィックのタイプの Global Options(グローバルオプション)ページ、例え
ば SSH のトラフィックを無効にするには、SSH Control > Global Options に進みます。
図 6-3 制御されたトラフィックの恒久的な無効化
BalaBit Shell Control Box 4 LTS
Rev. 1.0
157
Step 2.
Traffic > Service フィールドを disabled に設定します。
Step 3.
Commit
6.2
ハイアベイラビリティ SCB クラスターの管理
をクリックします。
ハイアベイラビリティ(HA)クラスターは、ノードがビルや都市、さらに大陸をまたがって、長距離でも
構成できます。HA クラスターのゴールは場所に依存しないフェールオーバーとリカバリーを提供す
ることによって、企業の事業継続を支援することです。
ハイアベイラビリティ クラスターをセットアップするには、同一構成の 2 台の SCB ユニットをハイア
ベイラビリティモードで接続します。これは、マスター・スレーブ(アクティブ・バックアップ)ノードペア
を作成します。マスターノードが機能を停止したら、スレーブノードがマスターノードのインターフェ
ースの MAC アドレスを引き継ぎます。このようにして、SCB サーバーは継続的にアクセスできま
す。
注記
管理インターフェースとハイアベイラビリティモードを同時に使う場合は、両
方の SCB ノードの管理インターフェースをネットワークに接続しておきます。
こうしなければ、テイクオーバーが発生した時にリモートから SCB にアクセ
スできなくなるからです。
HA ネットワークインターフェース(SCB アプライアンスのラベルでは"4"または"HA")により、、マス
ターノードはスレーブノートとすべてのデータを共有します。HA サポートの正常動作のためには、
マスター・スレーブの各ノードのディスクが同期していなければなりません。(イーサネットのケーブ
ルを抜いたり、ノード間のスイッチやルーターを再起動したり、HA インターフェースを無効化したり
して) 稼動中のノード間の接続を中断すると、データの同期が失われ、スレーブが強制的にマスタ
ーになります。これはデータロスにつながる可能性があります。そのような問題を解決して SCB を
回復させる手順は、22.7 SCB クラスターのトラブルシューティングを参照してください。
Basic Settings > High Availability ページでは、SCB について HA クラスタと各ノードの情報が確認
できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
158
図 6-4 ハイアベイラビリティクラスターの管理
以下の情報が、クラスターに関して表示されます。
Status
SCB ノードがお互いに正常に認識しているかどうかを表示します。
また、SCB が High Availability(ハイアベイラビリティ)モードと Standalone(スタンドア
ローン)モードのどちらで稼動しているかを表示します。
個々の HA のステータスについては、22.7.1 SCB クラスタのステータスの理解を参
照してください。
Current master
ノードのハイアベイラビリティインターフェース(4 または HA とラベルづけされてい
ます。) の MAC アドレスです。このアドレスは SCB ユニットのトップカバーのラベル
に印刷されています。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
159
HA UUID
HA クラスターの固有の識別子(High Availability モード時のみ)
DRBD status
SCB ノードがお互いに正常に認識しているかどうかを表示します。
また、SCB が High Availability(ハイアベイラビリティ)モードと Standalone(スタンドア
ローン)モードのどちらで稼動しているかを表示します。
個々の DRBD のステータスについては、22.7.1 SCB クラスタのステータスの理解を
参照してください。
DRBD sync rate limit
マスターノードとスレーブノード間での最大同期速度
DRBD sync rate limit の構成については、6.2.1 DRBD の同期のスピードの調節を参
照してください。
アクティブ(マスター)SCB ノードは、This node として表示されます。このノードは SSH トラフィックを
検査して、web インターフェースを提供します。Other node として表示される SCB ノードは、スレ
ーブノードです。マスターノードが利用できないときに、このスレーブノードが活性化されます。
以下の情報が個々のノードについて表示されます。
Node ID
ノードの HA インターフェースの MAC アドレス。このアドレスは、SCB ユニットのカバ
ーの上部のラベルにもプリントされています。
SCB クラスターの場合、両方のノード ID は SCB の内部ログメッセージに含まれます。
中央ログサーバーが syslog-ng サーバーの場合、keep-hostname オプションを
syslog-ng サーバーで有効化する必要があります。
Node HA state
SCB ノードがお互いに正常に認識しているかどうかを表示します。また SCB ノード
が High Availability(ハイアベイラビリティ)モードと Standalone(スタンドアローン)モ
ードのどちらで稼動しているかを表示します。
個々の HA のステータスについては、22.7.1 SCB クラスタのステータスの理解を参
照してください。
Node HA UUID
クラスターの固有の識別子(High Availability モード時のみ)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
160
DRBD status
ノード間のデータの同期のステータス。
個々の DRBD のステータスについては、22.7.1 SCB クラスタのステータスの理解を
参照してください。
RAID status
ノードの RAID デバイスのステータス。
Boot firmware version
ブートファームウェアのバージョン番号
ブートファームウェアについては、2.11 SCB のファームウェアを参照してください。
HA link speed (HA リンク速度)
マスターノードとスレーブノード間の最大許容速度。HA リンク速度は、DRBD sync
rate limit を上回らなければなりません。そうしないと、web ユーザーインターフェー
スが応答しなくなり、データロスが起こりえます。
Interfaces for Heartbeat
他のノードが稼動しているか検出するための専用の仮想インターフェースです。ノ
ード間のデータの同期には使われません。(ハートビートメッセージのみ転送されま
す。)
冗長ハートビートインターフェースの構成については、6.2.2 ハートビートインターフェ
ースの冗長化設定を参照してください。
Next hop monitoring
マスターノードとスレーブノードの両方のノードから ICMP エコー(ping) を用いて常時
監視する IP アドレス(通常は、ネクスト ホップ ルーター)
監視アドレスのいくつかがマスターノードからアクセスできなくなり、スレーブノード
からはアクセスできるとき(別の言い方では、スレーブノードからより多くの監視アド
レスにアクセスできる場合)マスターノードがアクセスできないと仮定して(マスターノ
ードが稼動しているとしても)、強制的にテイクオーバーさせます。
ネクスト ホップ 監視の構成については、6.2.3 ネクストホップルーターの監視設定
を参照してください。
HA クラスターでは以下の構成と管理オプションが利用できます。
ハイアベイラビリティクラスターのセットアップ
HA クラスターのセットアップの詳細手順については、付録 2.2 2台の SCB ユニット
を HA モードで導入する手順を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
161
DRBD(マスター・スレーブ)の同期速度の調整
DRBD の同期レートの制限を変更できます。DRBD の同期速度の構成については、
6.2.1 DRBD の同期のスピードの調節を参照してください。
冗長ハートビートインターフェースの構成
他のノードの稼動状況を監視するために各々の HA ノードに仮想インターフェースを
構成できます。冗長ハートビートインターフェースの構成については、6.2.2 ハートビ
ートインターフェースの冗長化設定を参照してください。
ネクストホップ監視の構成
マスターノードとスレーブノードの両方のノードから ICMP エコー(ping) を用いて常時
監視する IP アドレス(通常は、ネクスト ホップ ルーター)を設定できます。
監視アドレスのいくつかがマスターノードからアクセスできなくなり、スレーブノード
からはアクセスできるとき(別の言い方では、スレーブノードからより多くの監視アド
レスにアクセスできる場合)マスターノードがアクセスできないと仮定して(マスターノ
ードが稼動しているとしても)、強制的にテイクオーバーさせます。
ネクスト ホップ 監視の構成については、6.2.3 ネクストホップルーターの監視設定
を参照してください。
HA クラスターの再起動
両方のノードを再起動するには、Reboot Cluster をクリックします。テイクオーバー
を避けるために、スレーブノードにトークンを置きます。トークンがある間、スレーブ
ノードはブートプロセスを停止して、マスターノードが先に起動することを確実にしま
す。再起動に続き、マスターノードはこのトークンをスレーブノードから取り除き、ス
レーブノードがブートプロセスを継続するようにします。
再起動後に、スレーブノードにもしトークンが残っていれば、Unblock Slave Node ボ
タンが表示されます。このボタンを押すとトークンが削除されて、スレーブノードが再
起動します。
ノードの再起動
選択したノードを再起動します。クラスターのノードを再起動するときは、Other node
(スレーブノード)を最初に再起動して、不要なテイクオーバーが起こらないようにし
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
162
ノードのシャットダウン
選択したノードを強制的にシャットダウンします。クラスターのノードをシャットダウン
するときは、Other node (スレーブノード)を最初にシャットダウンします。ノードに電
源を入れるときは、マスターノードを最初に起動して、不要なテイクオーバーが起こ
らないようにします。
手動テイクオーバー
他のノードを活性化して現在のアクティブノードを無効化するには、Activate slave
のボタンを押します。
スレーブノードの活性化は SCB のすべての接続を終了します。データロスがあるか
もしれません。スレーブノードは約 60 秒後に活性化します。その間、保護されたサ
ーバーにはアクセスできません。
6.2.1
DRBD の同期のスピードの調節
High Availability モードで2つの SCB ユニットを操作する際、データが入ってくる度にそのデータは
マスター(アクティブ)ノードからスレーブ(パッシブ)ノードにコピーされます。データの同期には多く
のシステムリソースを必要とするため、同期スピードの最大値は、初期設定では 10 MB/sec に制
限されています。しかし、これでは巨大なデータを同期するには非常に時間がかかってしまうため、
特定の状況、例えば1つのノードを HA クラスターにコンバートした後にディスクを同期する場合な
どには、同期スピードをあげると便利です。
Basic Settings > High Availability > DRBD status フィールドは(SCB 構成データ、監査トレイル、ロ
グファイルなどを含む)最新のデータが両方の SCB ノードで利用可能かどうかを示します。とりうる
ステータスについては、22.7.1 SCB クラスタのステータスの理解を参照してください。
DRBD の同期速度の制限を変更するには、Basic Settings > High Availability に進んで、DRBD
sync rate limit(DRBD 同期速度上限)を選択して、希望する値を選択します。
注意深く Sync rate(同期速度)の設定を行ってください。同期の処理に使われるリソースが増加す
ると SCB 全体のパフォーマンスが低下するため、SCB に大きな負荷がかかる場合、同期の速度を
あまり高い値に設定することは推奨されません。反対に、HA リンク速度は入ってくるログの速度
を超えなければなりません。そうでないと、ウェブ UI が応答しなくなり、データロスが起こりえます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
163
6.2.2
ハートビートインターフェースの冗長化設定
目的:
不必要なテイクオーバーを避け、スプリットブレイン状態になる可能性を最小限に抑えるために、
SCB で追加のハートビートインターフェースを設定することができます。この冗長化されたハートビ
ートインターフェースは他のノードが利用できることを検出するためだけに使用され、ノード間のデ
ータを同期するためには使用されません(ハートビートメッセージだけが転送されます)。
例えば、メインの HA インターフェースが故障した、もしくはたまたまこのインターフェースのケーブ
ルが抜かれた場合、ノードが冗長化された HA インターフェースで互いにアクセスできている場合、
メインの HA のリンクが復活するまではテイクオーバーは起こりません。しかし、メインの HA インタ
ーフェースが回復するまで、スレーブノードにデータは同期されません。同様に、冗長化されたハ
ートビートインターフェースの接続が切断されてメインの HA の接続は可能な場合、テイクオーバー
は起こりません。
冗長化したハートビートインターフェースが構成されている場合、そのステータスは、 Basic
Settings > High Availability > Redundant Heartbeat status(冗長化ハートビートステータス)と
System monitor の HA > Redundant(HA 冗長化)フィールドに表示されます。とりうるステータスに
ついての説明は、22.7.1 SCB クラスタのステータスの理解を参照してください。
冗長化されたハートビートインターフェースは、仮想の MAC アドレスを持つ仮想のインターフェース
で、SCB デバイスの既存のインターフェース(例えば外部インターフェースや管理インターフェー
ス)を使用します。インターフェースのオリジナルの MAC アドレスは、Basic Settings > High
Availability > Interfaces for Heartbeat > Production MAC に表示され、仮想の冗長化されたハート
ビートインターフェースの MAC アドレスは Basic Settings > High Availability > Interfaces for
Heartbeat > HA MAC に表示されます。
冗長化されたハートビートインターフェースの MAC アドレスは、物理インターフェースの MAC アド
レスに影響を与えない方法で生成されます。同様に、冗長化されたハートビートインターフェース
の HA トラフィックは、SCB がブリッジモードで使用されていないなら、インターフェースの他のトラフ
ックには影響をあたえません。ブリッジモードの場合は、冗長 HA 機能は管理インターフェースを使
用してください。ブリッジモードで、冗長 HA オプションを外部または内部インターフェースで使用す
るとネットワーク構成によっては、ネットワークエラーが発生します。
もし、メインの HA インターフェースでノードが接続を切断されて、その後、冗長化されたハートビー
トインターフェースでも接続が切断されたら、スレーブノードがアクティブになります。しかし、マスタ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
164
ーノードがしばらくの間アクティブなため、その期間はノード間でデータの同期ができないため、ス
プリットブレイン状況になります。HA の機能を復旧する前に、この状況を解決しなくてはいけませ
ん。詳細については、22.7.3 スプリットブレイン状況からの復旧を参照してください。
注記
冗長 HA のリンクが設定されている場合でも、専用の HA リンクに障害が発
生した場合、スレーブノードは High Availability ページに表示されません。
ここでは、ハートビートインターフェースの冗長化を設定する手順について説明します。
Steps:
Step 1.
Basic Settings > High Availability > Interfaces for Heartbeat に進みます。
Step 2.
冗長化したハートビートインターフェースとして使用したいインターフェースを選択します
(例: External)。インターフェースを冗長化したハートビートインターフェースとして使
用しても、そのインターフェースのオリジナルのトラフィックには影響ありません。
警告
SCB を Bridge(ブリッジ)モードで使用する場合、HA / Next hop monitoring
機能の冗長化に管理インターフェースを使用して下さい。Bridge モードで外
部または内部インターフェースで HA / Next hop monitoring オプションを有
効にすると、ネットワークの構成によってはネットワークエラーが発生する
可能性があります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
165
図 6-5 ハートビートインターフェースの冗長化設定
Step 3.
選択したインターフェースの This node > Interface IP フィールドに IP アドレスを入力しま
す。
2つのノードは、異なる Interface IP を持つ必要があります。
冗長インターフェースでネクストホップ監視を使用しない場合、どの Interface IP で
も使用できます。(たとえ、ネットワークに存在しなくてもです。)
冗長インターフェースでネクストホップ監視を使用する場合、この Interface IP アドレ
スは他のノードから見ることができる実際の IP アドレスでなくてはいけません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
166
冗長インターフェースでネクストホップ監視を使用する場合、この Interface IP はネク
ストホップアドレスから見ることができて、その反対向きでも見える必要があります。
ネクストホップ監視の詳細は、 6.2.3 ネクストホップルーターの監視設定を参照して
ください。
Step 4.
もし2つのノードが異なるサブネットに存在するなら、ローカルゲートウェイの IP アドレス
を This node > Gateway IP フィールドに入力します。ノードの Interface IP アドレスは、
Gateway IP アドレスからアクセスできなければなりません。
Step 5.
選択したインターフェースの Other node > Interface IP フィールドに IP アドレスを入力し
ます。
2つのノードは、異なる Interface IP を持つ必要があります。
冗長インターフェースでネクストホップ監視を使用しない場合、どの Interface IP で
も使用できます。(たとえ、ネットワークに存在しなくてもです。)
冗長インターフェースでネクストホップ監視を使用する場合、この Interface IP アドレ
スは他のノードから見ることができる実際の IP アドレスでなくてはいけません。
冗長インターフェースでネクストホップ監視を使用する場合、この Interface IP はネク
ストホップアドレスから見ることができて、その反対向きでも見える必要があります。
ネクストホップ監視の詳細は、 6.2.3 ネクストホップルーターの監視設定を参照して
ください。
Step 6.
もし2つのノードが異なるサブネットに存在するなら、ローカルゲートウェイの IP アドレス
を Other node > Gateway IP フィールドに入力します。ノードの Interface IP アドレスは、
Gateway IP アドレスからアクセスできなければなりません。
Step 7.
必要であれば、さらに冗長化したハートビートインターフェースを追加するのに上記の
Step を繰り返します。
Step 8.
Commit
をクリックします。
Step 9.
変更を有効にするには、両方のノードを再起動する必要があります。ノードを再起動する
には、Reboot Cluster(クラスターの再起動)をクリックします
6.2.3
ネクストホップルーターの監視設定
目的:
初期設定では、マスターノードの稼動が止まった場合またはスレーブノードからマスターノードに接
BalaBit Shell Control Box 4 LTS
Rev. 1.0
167
続できなくなった場合にのみ HA のテイクオーバーが起こります。しかし、これではスレーブノード
は(例えば、マスターノードとは違うルーターに接続されているため)外部にアクセスできるにも関
わらずマスターノードが(例えば、外部インターフェースや外部インターフェースに接続されている
ルーターやスイッチが故障するなどの原因で)外部にアクセスできなくなるケースをカバーしていま
せん。
このような状況に対応するために、ICMP エコー(ping)メッセージを使ってマスターノードとスレー
ブノードの両方から常に監視する IP アドレス(通常ネクストホップルーター)を指定できます。その
ようなアドレスは、インターフェースごとに設定できます。
ネクストホップの監視を設定する場合、マスターとスレーブノードが指定のアドレスに直接 ping を実
行できることを確認する必要があります。次のいずれかを実行できます。
ネクストホップアドレスと同じサブネット上にあるように、冗長 HA SCB インターフェー
スのアドレスを選択してください
対向の冗長 HA SCB インターフェースと同じサブネット上にある追加の IP アドレスを
ネクストホップデバイスに設定してください
監視対象のアドレスに、スレーブノードからは接続できるのにマスターノードから接続できなくなっ
たら(別の言い方では、スレーブノードからより多くの監視アドレスにアクセスできる場合)、マスタ
ーノードがアクセスできないと仮定して(たとえマスターノードがそれ以外は稼動しているとしても)、
強制的にテイクオーバーさせます。
当然ながら、(例えば現在のマスターノードからの未同期データが残っているなどの理由で)スレー
ブノードがマスターノードをテイクオーバー出来ない場合は、テイクオーバーは起こりません。
ここでは、ネクストホップ監視の設定手順について説明します。
Steps:
Step 1.
Basic Settings > High Availability > Next hop monitoring に進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
168
Step 2.
ネクストホップルーターの監視に使うインターフェースを選択します。
警告
SCB を Bridge(ブリッジ)モードで使用する場合、HA / Next hop monitoring
機能の冗長化に管理インターフェースを使用して下さい。Bridge モードで外
部または内部インターフェースで HA / Next hop monitoring オプションを有
効にすると、ネットワークの構成によってはネットワークエラーが発生する
可能性があります。
図 6-6 next hop 監視設定
BalaBit Shell Control Box 4 LTS
Rev. 1.0
169
Step 3.
選択したインターフェースの This node > Next hop IP フィールドに、現在のマスターノード
から監視する IP アドレス(例えば、インターフェースに接続しているルーターやスイッチの
IP アドレス)を入力します。この IP アドレスはインターフェースから見える実際の IP アドレ
スで、同じローカルネットワークセグメント上になくてはいけません。
Step 4.
選択したインターフェースの Other node > Next hop IP フィールドに、現在のスレーブノー
ドから監視する IP アドレス(例えば、インターフェースに接続しているルーターやスイッチ
の IP アドレス)を入力します。この IP アドレスはインターフェースから見える実際の IP ア
ドレスで、同じローカルネットワークセグメント上になくてはいけません。
Step 5.
必要であれば、他のインターフェースから監視する IP アドレスを追加するのに上記の
Step を繰り返します。
Step 6.
Commit
をクリックします。
警告
変更を有効にするには、両方のノードを再起動する必要がありま
す。ノードを再起動するには、Reboot Cluster(クラスターを再起
動する)をクリックします。
6.3
SCB のアップグレード
SCBアプライアンスは、最新の利用可能な長期サポート(Long Term Support:LTS)リリースが、プ
リインストールされています。各LTSリリースは、初版発行日後から3年間、およびLTSリリース公
開から後1年間(いずれか遅い日)サポートされています。後続のLTSリリースへのアップグレード
をお勧めします。
FeatureリリースはまだLTSリリースに統合されていない追加機能を提供します。これらの機能にア
クセスするには、次の条件で、アプライアンスでサポートされたFeatureリリースをインストールする
ことができます。
Feature リリースから、LTS リリースへロールバックすることはできません。
Feature リリースは、6(+2)ヶ月のタイムラインでリリースされ、サポートされています。
お使いのアプライアンスがサポートされていることを確実にするために常に最新の
Feature リリースに SCB をアップグレードする必要があります。
LTSリリースとFeatureリリースの両方において、BalaBitは、定期的にセキュリティパッチやバグ修
正を組み入れ、リリース済製品の改訂版を発行します。お客様が御使用中のソフトウェアリリース
BalaBit Shell Control Box 4 LTS
Rev. 1.0
170
については、常に最新版をインストールすることを強くお勧めします。
警告
最新の Feature リリースからのダウングレードは、LTS リリースへのダウン
グレードでさえも、SCB のサポートは無効となります。
以下のセクションでは、SCBをアップデートする方法と新しいライセンスをインストールする方法に
ついて説明します:
前提条件: 6.3.1 アップグレード チェックリスト
シングルノードのアップグレード: 6.3.2 SCB のアップグレード (シングルノード)
ハイ アベイラビリティ クラスターのアップグレード: 6.3.3 SCB クラスターのアップ
グレード
6.3.1
トラブルシューティング: 6.3.4 トラブルシューティング
ロールバック操作方法: 6.3.5 古いファームウェアバージョンの復元
SCB ライセンスの更新: 6.3.6 SCB ライセンスの更新
SCB 設定のエクスポート: 6.3.7 SCB の設定のエクスポート
SCB 設定のインポート: 6.3.8 SCB の設定のインポート
アップグレード チェックリスト
SCB 設定のバックアップの作成。
詳細な操作方法については、 6.3.7 SCB の設定のエクスポートを参照してくださ
い。
最 新 の SCB コ ア フ ァ ー ム ウ ェ ア と ブ ー ト フ ァ ー ム ウ ェ ア を
https://www.jtc-i.co.jp/support/download/index.php からダウンロードする。
異なるファームウェアの詳細については、2.11 SCB のファームウェアを参照してくだ
さい。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
171
アップデートする前に、ファームウェアのリリースノートを読む。リリースノートには、
ファームウェアのバージョンに固有の追加の指示が含まれる場合があります。
リ リ ー ス ノ ー ト は 、 こ こ か ら 入 手 で き ま す :
https://www.jtc-i.co.jp/support/releasenote/releasenoteindex.html
HA(high availability:高可用性)クラスターがある場合:
スレーブノードへの IPMI アクセス(または直接ローカルアクセス)。
ジオクラスタリングで HA クラスターが有効になっている場合:
実際のアップグレードの 1 時間前にファームウェアのアップロードステップを実行し
ます。ジオクラスタリングはマスター – スレーブ間の同期の遅れをもたらすことが
あり、スレーブ·ノードは、時間上マスターノードから新しいファームウェアを同期でき
ない場合があります。
アップグレード中、SCBは、IPMI(ILOM)、またはコンソールアクセスで監視することができ、アップ
グレードの進行状況に関する情報と可能性のある問題をコンソールへ表示します。
初めは、試験的な(仮想などの)環境でアップグレードプロセスをテストすることをお勧めします。
SCBをアップグレードすると、再起動が必要になります。潜在的なデータ損失を回避するために、
本番機アプライアンスのアップグレードは、メンテナンス時間中にのみ実行することを強くお勧めし
ます。
6.3.2
SCB のアップグレード (シングルノード)
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
172
Step 1.
Web インターフェースを使用して、SCB のコアファームウェアを更新します。
図 6-7 ファームウェア管理
Step a.
Basic Settings > System > Core firmwares と進みます。
Step b. 新しいコアファームウェアをアップロードします。
Step c. アップロードが終了したら、新しいファームウェアの After reboot オプション
を選択します。SCB はまだリブート(再起動)しないでください。
Step d. アップロードされたファームウェアのアップグレードノートを読むために、
アイコンをクリックします。ポップアップウィンドウにアップグレードノート
が表示されます。
Step 2.
Web インターフェースを使用して、SCB のブートファームウェアをアップロードします。
Step a.
Basic Settings > System > Boot firmwares と進みます。
Step b. 新しいブートファームウェアをアップロードします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
173
Step c. アップロードが終了したら、新しいファームウェアの After reboot オプション
を選択します。
Step d. アップロードされたファームウェアのアップグレードノートを読むために、
アイコンをクリックします。ポップアップウィンドウにアップグレードノート
が表示されます。
Step 3.
Basic Settings > System > System Control > This node と進みます。そして、Reboot を
選びます。
SCB は、新しいファームウェアで起動を試みます。プロセスが完了するのをお待ちくださ
い。
Step 4.
アップグレードが成功したことを確認するために、SCB Web インターフェースにログインし
ます。
Basic Settings > System > Version details に進んで確認するか、起動時に SCB が報告
するバージョン番号をシステムログで確認するかしてください。問題が発生した場合には、
6.3.4 トラブルシューティングの一般的なトラブルシューティング手順を参照してください。
6.3.3
SCB クラスターのアップグレード
Steps:
Step 1.
Web インターフェースを使用して、SCB のコアファームウェアを更新します。
Step a.
Basic Settings > System > Core firmwares と進みます。
Step b. 新しいコアファームウェアをアップロードします。
Step c. アップロードが終了したら、新しいファームウェアの After reboot オプション
を選択します。SCB はまだリブート(再起動)しないでください。
Step d. アップロードされたファームウェアのアップグレードノートを読むために、
アイコンをクリックします。ポップアップウィンドウにアップグレードノート
が表示されます。
Step 2.
Web インターフェースを使用して、SCB のブートファームウェアをアップロードします。
Step a. Basic Settings > System > Boot firmwares と進みます。
Step b. 新しいブートファームウェアをアップロードします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
174
Step c. アップロードが終了したら、新しいファームウェアの After reboot オプション
を選択します。SCB はまだリブート(再起動)しないでください。
Step d. アップロードされたファームウェアのアップグレードノートを読むために、
アイコンをクリックします。ポップアップウィンドウにアップグレードノート
が表示されます。
Step 3.
Basic Settings > System > High availability > Other node と進み、Shutdown を選択しま
す。
Step 4.
マスターノードを再起動します。:This node > Reboot を選択します。
SCB は、新しいファームウェアで起動を試みます。プロセスが完了するのをお待ちくださ
い。
Step 5.
マスターノードのアップグレードが成功したことを確認するために、SCB Web インターフェ
ースにログインします。
Basic Settings > System > Version details に進んで確認するか、起動時に SCB が報告
するバージョン番号をシステムログで確認するかしてください。問題が発生した場合に
は、6.3.4 トラブルシューティングの一般的なトラブルシューティング手順を参照してくださ
い。
Step 6.
IPMI インターフェースを使用してスレーブノードの電源をオンにしてください。
スレーブノードは、新しいファームウェアで起動し、マスターノードに再接続を試みます。
プロセスが終了するのをお待ちください。
Step 7.
Basic Settings > System > High availability と進み、スレーブノードが接続されていること、
マスターノードと同じバージョンのファームウェアであることを確認します。
6.3.4
トラブルシューティング
Webインターフェースで不可解な振る舞いが発生した場合、まず、ページのキャッシュされたバー
ジョンを削除するために、Shiftキーを押しながらブラウザの更新ボタンをクリックして、ページのリ
ロードをお試しください。
可能性は低いケースで、SCBがアップグレード処理中に問題が発生する、そして、元の状態に戻
すことができないとき、SCBは、次のアクションを実行します:
既に設定された IP アドレスを用いてネットワークインターフェースを初期化する
BalaBit Shell Control Box 4 LTS
Rev. 1.0
175
SCB は、Sealed(シールド)モードで実行されていない限り、SCB への SSH アクセス
を有効にします。こうすればアップグレード処理のログにアクセスすることができ、
弊社(または BalaBit の)サポートチームによる問題の診断・解決に役立つからです。
SSH アクセスは、管理アクセスがインターフェースに対して有効になっていない場合
でも、すべてのアクティブインターフェイスで有効にされることに注意してください。
SCBを再起動した後30分以内に、Webインターフェースを利用できない場合は、ローカルコンソー
ルに表示される情報をチェックし、弊社サポートチームにお問い合わせください。
6.3.5
古いファームウェアバージョンの復元
目的:
SCB は、最大5つまで異なるバージョンのファームウェアを保存して、必要であれば起動すること
ができます。利用できるファームウェアは Basic Settings > System > Boot firmwares および Basic
Settings > System > Core firmwares ページに表示されます。リストにはそれぞれのファームウェア
のバージョンに関する詳細(バージョン番号、リビジョン番号、ビルド日付を含む)が表示されます。
SCB 上で稼動しているファームウェアは、Current(現在)行に
が表示されます。次に SCB を再
起動した際に起動するファームウェアは、After reboot(再起動後)行に
が表示されます。
ここでは、古いバージョンのファームウェアを起動する手順について説明します。
警告
SCB をアップグレードする際、設定ファイルもアップデートされる可能性があ
ります。その場合、古いファームウェアは新しい設定ファイルを読み込むこ
とができないため、古いファームウェアを再起動するだけではダウングレー
ドが完了しません。その場合は、SCB のコンソールメニューにアクセスし
て、Revert Configuration(設定の復帰)オプションを選択し、設定ファイルを
ファームウェアのアップグレードの前の状態にリストアして下さい。コンソー
ルのメニューを使う方法に関する詳細については、6.4.1 SCB のコンソール
メニューを使用するを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
176
警告
最新の Feature リリースからのダウングレードは、LTS リリースへのダウン
グレードでさえも、SCB のサポートは無効となります。
Steps:
Step 1.
Basic Settings > System > Boot firmwares に進みます。
Step 2.
使用するファームウェアのバージョンを選択して、After reboot(再起動後)列の
をクリ
ックします。
Step 3.
Basic Settings > System > Core firmwares に進みます。
Step 4.
使用するファームウェアのバージョンを選択して、After reboot(再起動後)列の
をクリ
ックします。
Step 5.
シングルの SCB ノードをダウングレードする場合:
System control > This node > Reboot を選択して、SCB を再起動します。
Step 6.
SCB クラスターをダウングレードする場合:
6.3.3SCB クラスターのアップグレードで説明した手順に従ってください。(ただしアップロ
ードの手順はスキップしてください。)
以下は、必要なアクションの概要です。
Step a. 操作続行のためにスレーブノードに IPMI アクセス(または物理的に直接)ア
クセスする必要があります。
Step b. スレーブノードをオフラインにします。
Step c. マスターノードを再起動します。再起動後、マスターノードが正常にダウン
グレードされたことを確認します。
Step d. IPMI インターフェースを使用してスレーブノードの電源をオンにしてください。
スレーブノードがマスターに再接続され、正常にダウングレードされたこと
を確認します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
177
6.3.6
SCB ライセンスの更新
目的:
既存のライセンスの有効期限が切れる前、または、新しくライセンスを購入した際に、SCB のライ
センスを更新する必要があります。現在の SCB のライセンス情報は、Basic Settings > System >
License ページに表示されます。以下の情報が表示されます。
図 6-8 ライセンスの更新
Customer(顧客)
ライセンスの使用権を有する会社(例: Example Ltd)
Serial(シリアル)
ライセンス固有のシリアル番号
Limit type(制限のタイプ)
Host: SCB を介して接続することができるサーバーの数(個々の IP アドレス)を
制限する。
Session: 一度に SCB を通過できる同時セッション(並列接続)数を制限します
(例えば 25)。すでに確立された接続が閉じられるまで、SCB は、追加の接続要
求を拒否します。
Limit (制限)
セッションまたはホスト制限の実際の値
Valid (有効)
ライセンスが有効である期間。日付は YYYY / MM/ DD 形式で表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
178
ライセンスの有効期限が切れる1週間前に、SCBはアラートを発信します。また、保護されたサー
バーの台数がライセンスで設定された制限の90%を超えると、アラートが送信されます。
ここでは、ライセンスの更新手順について説明します。
警告
新しいライセンスにアップデートする前に、SCB の設定のバックアップを取
ることを推奨します。詳細は、6.3.7 SCB の設定のエクスポートを参照してく
ださい。
Steps:
Step 1.
Basic Settings > System > License に進みます。
Step 2.
Browse(参照)をクリックして、新しいライセンスファイルを選択します。
注記
手動でライセンスファイルを解凍する必要はありません。圧縮さ
れたライセンス(例えば.zip アーカイブ)もアップロードすることが
できます。
Step 3.
Upload(アップロード)をクリックして、Commit
をクリックします。
Step 4.
警告
この Step では SCB を通るすべての制御された接続が切断されま
す。処理を実行する前に、クライアントを保護されたサーバーから
切断して下さい。
新しいライセンスを有効にするには、Traffic control > All services に進み、Restart(再
開)をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
179
6.3.7
SCB の設定のエクスポート
目的:
Basic Settings > System ページから SCB の設定をエクスポートできます(手動アーカイブ、または
他の SCB ユニットへの移行のため)。希望の動作を実行するには、それぞれのアクションボタンを
使用します。
図 6-9 SCB の設定のエクスポート
Steps:
Step 1.
Basic Settings > System > Export configuration に進みます。
Step 2.
設定ファイルを暗号化する方法を選択します。
設定ファイルを暗号化しないでエクスポートするには、No encryption(暗号化なし)
を選択します。
警告
SCB の設定にはパスワードのハッシュや秘密鍵の
ような扱いに注意が必要な情報が含まれるため、
暗号化せずにエクスポートすることは推奨されま
せん。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
180
設定ファイルを単純なパスワードで暗号化するには、Encrypt with password(パス
ワードでの暗号化)を選択して、Encryption password(暗号パスワード)と Confirm
password(確認用パスワード)フィールドに、パスワードを入力します。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
GPG で暗号化するには、GPG encryption(GPG 暗号化)を選択します。このオプショ
ンでは自動システムバックアップを暗号化するのに使用するのと同じ GPG 鍵を使
用します。この鍵は、Basic Settings > Management > System backup に GPG 鍵の
公開部分をアップロードしている場合にのみ利用できます。詳細については、4.7.4
設定のバックアップの GPG 暗号化を参照してください。
Step 3.
Export(エクスポート)をクリックします。
注記
エクスポートされたファイルは、gzip 形式で圧縮されてアーカイ
ブされます。Windows プラットフォームでは、7-Zip フリーツール
のような一般的なアーカイブマネージャーで解凍できます。
エクスポートされたファイルの名前は
<hostname_of_SCB>-YYYMMDDTHHMM.config です。
パスワードで暗号化されたファイルには-encrypted、GPG で暗
号化されたファイルには-gpg が、接尾辞に追加されます。
6.3.8
SCB の設定のインポート
目的:
Basic Settings > System ページから SCB の設定をインポートできます。希望の動作を実行するに
は、それぞれのアクションボタンを使用します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
181
図 6-10 SCB の設定のインポート
警告
古いメジャーバージョン(例: 1.0)の設定ファイルを新しいバージョン(例:
2.0)にインポートすることはできません。
Steps:
Step 1.
Basic Settings > System > Import configuration に進みます。
Step 2.
Browse(参照)をクリックして、インポートする設定ファイルを選択します。
Step 3.
Decryption password(復号化パスワード)フィールドに、パスワードを入力して、Upload
(アップロード)をクリックします。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
BalaBit Shell Control Box 4 LTS
Rev. 1.0
182
6.4
SCB コンソールへのアクセス
この節では、SCB のコンソールメニューの使用方法、リモート SSH で SCB にアクセスする方法、
Web インターフェースから root パスワードを変更する方法を説明します。
6.4.1
SCB のコンソールメニューを使用する
SCB にローカルに、または Secure Shell (SSH)を使ってリモートから接続すると、SCB のコンソール
メニューにアクセスできます。コンソールメニューでは、SCB の基本的設定と管理設定の大部分に
アクセスできます。コンソールメニューは主にトラブルシューティング目的で使用します(SCB のメイ
ンインターフェースは Web インターフェースです)。
コンソールメニューには、ウェルカムウィザードで設定したパスワードを使って root ユーザーがア
クセスできます。
図 6-11 コンソールメニュー
コンソールメニューでは、以下のアクションを実行できます。
アクティブなコアファームウェアとブートファームウェアを選択したり、不要なファーム
ウェアを削除したりできます。アップデート後に新しいファームウェアが正しく動作し
ない場合や Web インターフェースが以前のファームウェアを有効にできない場合、
ファームウェアマネジメントにアクセスすると便利です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
183
バックアッププロセスを開始します。
root ユーザーと admin ユーザーのパスワードを変更します。
コアファームウェアとブートファームウェアのローカルシェルにアクセスします。これ
は通常は推奨されず、トラブルシューティングの際に必要な場合にのみ行います。
ネットワークトラブルシューティング機能にアクセスして、利用できるログファイルを
表示します。
システムの再起動とシャットダウンを行います。
シールドモードを有効または無効にします。詳細については、6.5 Sealed(シールド)
モードを参照してください。
設定ファイルを前の状態に戻します。詳細については、6.3.5 古いファームウェアバ
ージョンの復元を参照してください。
HA インターフェースの IP アドレスを設定します。
注記
コンソールメニューにログインすると、自動的に SCB のインターフェースが
ロックされます。コンソールメニューが使用されている間は、ユーザーは
Web インターフェースにアクセスできません。Web インターフェースにアクセ
スしているユーザーがいない場合にのみ、コンソールメニューにアクセスで
きます。コンソールメニューにアクセスすると Web インターフェースへの接続
は強制的に切断されます。
6.4.2
SCB ホストへの SSH アクセスの許可
目的:
トラブルシューティングの目的に限って、SSH を使って SCB ホストにアクセスできます。ウェルカム
ウィザードを完了すると SSH でのアクセスは自動的に無効になります。ここでは、SSH でのアクセ
スを再度有効にする手順を説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
184
警告
トラブルシューティングの目的を除いて、SSH を使って SCB ホストに直接ア
クセスすることは推奨もサポートもされません。この場合、サポートチーム
は、問題を解決するためにどうすればいいのか、細かな指示を与えます。
SSH サーバーを有効にすると、SCB ホストにリモートで接続して root ユーザーを使用してログイ
ンできます。root ユーザーのパスワードは、ウェルカムウィザードで入力したものです。Web イン
ターフェースから root パスワードを変更する方法の詳細については、6.4.3 SCB の root パスワー
ドの変更を参照してください。
Steps:
Step 1.
Basic Settings > Management > SSH settings に進みます。
図 6-12 SCB へのリモート SSH アクセスの有効化
Step 2.
Enable remote SSH access(リモート SSH アクセスを有効化する)オプションを選択しま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
185
注記
Sealed(シールド)モードが有効になっている場合、リモート SSH
ア ク セ ス は 自 動 的 に 無 効 に な り ま す 。 詳 細 に つ い て は 、 6.5
Sealed(シールド)モードを参照してください。
Step 3.
リモート SSH 接続の認証方法を設定します。
パスワードベースの認証を有効にするには、Enable password authentication(パス
ワード認証を有効にする)オプションを選択します。
公開鍵認証を有効にするには、Authorized keys フィールドの
をクリックして、
を
クリックし、SSH 経由でリモートから SCB にアクセスして管理を行うユーザーの秘密
鍵をアップロードします。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
Step 4.
Commit
をクリックします。
SCB の SSH サーバーは、管理インターフェースが設定されている時のみ管理インターフ
ェース上の接続を受け入れます。管理インターフェースが設定されていない場合、SSH
は外部インターフェースの接続を受け入れます。可能であれば、管理インターフェースが
設定されていない場合は SCB の SSH を有効にすることは避けて下さい。管理接続を有
効する際の詳細については、4.3.1 管理インターフェースの設定を参照してください。
SCB を Bastion(バスシオン)モードで使用していて管理インターフェースが設定されてい
ない場合、SCB ホストに SSH を使ってアクセスする方法の詳細については、20.2.3SSH
による Bastion(バスシオン)モードの SCB ホストへのアクセスを参照してください。
6.4.3
SCB の root パスワードの変更
目的:
SCB にローカルアクセスする場合、または SSH 接続経由でリモートアクセスする場合、root パス
ワードが必要です。root ユーザーのパスワードはコンソールメニューで変更することも可能です。
詳細については、6.4 SCB コンソールへのアクセスを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
186
Steps:
Step 1.
Basic Settings > Management > Change root password に進みます。
図 6-13 SCB の root パスワードの変更
Step 2.
New root password(新しい root パスワード)フィールドと Confirm password(確認用パ
スワード)フィールドに新しいパスワードを入力します。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、次の特殊文字を使用できます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 3.
Commit
をクリックします。
6.5
Sealed(シールド)モード
Sealed(シールド)モードを有効にすると、以下の設定が自動で適用されます。
メンテナンスのために SCB に SSH 経由でリモートアクセスできません。
Sealed(シールド)モードでは、SCB の root パスワードを変更できません。
Sealed(シールド)モードで、証明書ストアのプラグインをアップロード、または、削除
することはできません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
187
ローカルコンソールからのみ Sealed(シールド)モードを無効にできます。詳細につ
いては、6.5.1 Sealed(シールド)モードの無効化を参照してください。
Sealed(シールド)モードを有効にするには、以下の方法があります。
ウェルカムウィザードで Sealed mode(シールドモード)を選択します。
SCB の Web インターフェースで Basic Settings > System > Sealed mode > Activate
sealed mode を選択します。
SSH またはローカルコンソールを使って root として SCB にログインして、コンソー
ルメニューから Sealed mode > Enable を選択します。
6.5.1
Sealed(シールド)モードの無効化
目的:
ここでは、Sealed(シールド)モードを無効にする手順について説明します。
Steps:
Step 1.
SCB アプライアンスのローカルコンソールにアクセスします。
Step 2.
root としてログインします。
Step 3.
コンソールメニューから、Sealed mode > Disable を選択します。
Step 4.
Back to Main menu > Logout を選択します。
6.6
SCB のアウトオブバンド管理
SCB 4 LTS には、Intelligent Platform Management Interface (IPMI) v2.0 規格に適合するアウト
オブバンド管理専用のインターフェースがあります。IPMI インターフェースでは、SCB の OS とは独
立して、システム管理者が SCB のシステムヘルスを監視したりコンピューターのイベントをリモート
で管理したりできます。IPMI が物理的にネットワークに接続されている場合にのみ、IPMI インター
フェースを使って SCB にアクセスできます。
IPMI インターフェースへの接続の詳細は、付録 2 BalaBit Shell Control Box ハー
ドウェア導入ガイドを参照してください。
IPMI インターフェースの構成の詳細は、6.6.1 IPMI インターフェースの構成を参照
してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
188
SCB をリモートで監視および管理するように IPMI インターフェースを設定して利用
するには、次のドキュメントを参照してください(ドキュメントは英語です)。
Onboard BMC/IPMI User's Guide(BalaBit Hardware Documentation ページ
から入手可能)
IPMI インターフェースに関する基本的な情報は、SCB の Web インターフェースの Basic Settings >
High Availability ページで入手できます。以下の情報が表示されます。
図 6-14 IPMI インターフェースに関する情報
Hardware serial number(ハードウェアシリアル番号)
アプライアンス固有のシリアル番号
IPMI IP address(IPMI IP アドレス)
IPMI インターフェースの IP アドレス
IPMI subnet mask(IPMI サブネットマスク)
IPMI インターフェースのサブネットマスク
BalaBit Shell Control Box 4 LTS
Rev. 1.0
189
IPMI default gateway(IPMI デフォルトゲートウェイ)
IPMI インターフェース用に設定されたデフォルトゲートウェイの IP アドレス
IPMI IP address source(IPMI IP アドレス送信元)
IPMI インターフェースの IP アドレス設定の情報源(DHCP サーバーから動的に取得
するか、または固定のアドレスを使用しているか)
6.6.1
IPMI インターフェースの構成
目的:
ここでは、SCB のコンソールから、IPMI のネットワーク構成を変更する手順について説明します。
前提:
IPMI インターフェースが物理的にネットワークに接続しているときのみ、IPMI インターフェースを用
いて、SCB にアクセスできます。IPMI インターフェースへの接続詳細は、付録 2 BalaBit Shell
Control Box ハードウェア導入ガイドを参照してください。
警告
IPMI は、起動時に利用可能なネットワークインターフェースを検索します。
SCB の電源をオンする前に、IPMI が専用イーサネットインターフェースを通
じてネットワークに接続されていることを確認してください。
IPMIインターフェースは、インターネットからアクセス可能にする必要はありませんが、SCBの管理
者が、ベンダーのサポートが必要な場合には、サポートやトラブルシューティングの目的のために
アクセスできる必要があります。以下のポートがIPMIインターフェースで使用されます:
ポート 623(UDP):IPMI(変更できません)
ポート 5123(UDP):フロッピー(変更できません)
ポート 5901(TCP):ビデオディスプレイ(設定可能)
ポート 5900(TCP):HID(設定可能)
ポート 5120(TCP):CD(設定可能)
ポート 80(TCP):HTTP(設定可能)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
190
Steps:
Step 1.
ローカルコンソール(または、SSH)から SCB に root でログインします。
Step 2.
Shells > Boot shell を選択します。
Step 3.
インターフェースのネットワーク構成をチェックします。
# ipmitool lan print
本ガイドでは、channel 1 が LAN に使用されていると仮定します。お使いの環境が異な
る場合、以下のコマンドは読み替えてください。
Step 4.
インターフェースを構成します。DHCP を利用するか固定 IP アドレスを手動で設定できま
す。
DHCP を利用するには、次のコマンドを実行します。
#ipmitool lan set 1 ipsrc dhcp
固定 IP アドレスを利用するには、次のコマンドを実行します。
#ipmitool lan set 1 ipsrc static
IP アドレスの設定
#ipmitool lan set 1 netmask <IPMI-netmask>
ネットマスクの設定
#ipmitool lan set 1 defgw ipaddr <gateway-IP>
デフォルトゲートウェイの IP アドレスの設定
#impitool lan set 1 defgw ipaddr <gateway-IP>
Step 5.
専用イーサネットインターフェースを使うために IPMI を構成します。
N1000, T1, T4, T10 アプライアンスでは、次のコマンドを実行します。
#ipmitool raw 0x30 0x70 0xc 1 0
N1000d, N10000 アプライアンスでは、次のコマンドを実行します。
#ipmitool raw 0x30 0x70 0xc 1 1 0
Step 6.
IPMI のネットワーク構成を確認します。
#ipmitool lan print 1
表示されたネットワークアドレスにブラウザで接続します。
Step 7.
デフォルトパスワードを変更します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
191
Step a. デフォルトのログイン情報を使って、IPMI Web インターフェースへログインし
ます。(ユーザー名: ADMIN , パスワード: ADMIN または changeme ; これ
はハードウェアによります。)
注記
ログイン情報は、大文字・小文字の区別があります。
Step b. Configure > Users に進みます。
Step c. ADMIN を選択します。そして、Modify User を選択します。
Step d. パスワードを変更して、Modify で変更を保存します。
6.7
SCB 上で使用する証明書の管理
SCB は Basic Settings > Management > SSL certificate メニューから管理された複数の証明書を
異なるタスクに使用します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
192
図 6-15 SCB の Web 証明書の変更
ここでは次の証明書を変更できます。
CA certificate
SCB 内部の認証局(CA)証明書
Server certificate
SCB の Web インターフェースの証明書。SCB と管理者間の通信を暗号化するのに
使用されます。
注記
この証明書が変更されると、「サイトの証明書が変更された」とい
う警告が SCB ユーザーのブラウザに表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
193
TSA certificate
暗号化された監査トレイルを作成する際に使用されるタイムスタンプを提供する内
部のタイムスタンプ局の証明書
全ての証明書に関して、X.509 証明書の識別名(DN)と秘密鍵の fingerprint(フィンガープリント)が
表示されます。証明書全体を表示するには、DN をクリックします。秘密鍵の公開部分を表示する
には、fingerprint(フィンガープリント)をクリックします。SCB の Web インターフェースから秘密鍵そ
のものをダウンロードすることはできませんが、鍵の公開部分は異なる形式(例えば PEM、DER、
OpenSSH、Tectia)でダウンロードすることができます。また、X.509 証明書は、PEM と DER 形式で
ダウンロードすることができます。
注記
SCB のその他の部分では、ここで管理されない追加の証明書を使用する
場合があります。
初期設定中に、SCB は自己署名 CA 証明書を作成し、この CA を Web インターフェースの証明書
(Server certificate を参照)や内部タイムスタンプ局の証明書(TSA certificate)を発
行するために使用します。
SCB の証明書の管理方法には、以下の2通りの方法があります。
(推奨)独自の PKI ソリューションを使用して証明書を生成し、SCB にアップロードし
ます。
お客様の PKI ソリューションを使用して、CA 証明書を1つと、さらにこの CA で署名
した証明書を2つ生成し、SCB にアップロードします。サーバーと TSA 証明書につい
ては、秘密鍵もアップロードします 2048-bit 長(またはそれ以上の強度)の RSA 鍵
の使用を推奨します。
外部の PKI で作成した証明書と鍵をアップロードする方法については、6.7.2 外部の
証明書のアップロードを完了してください。
警告
サーバー証明書と TSA 証明書は同じ認証局によって発行される
必要があります。
SCB 上で生成された証明書を使用します。自己署名 CA 証明書を使用して SCB の
証明書と鍵を生成したい場合や新しい自己署名 CA 証明書を生成したい場合は、
6.7.1 SCB の証明書の生成を完了してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
194
注記
可能な限りお客様自身の PKI ソリューションを使って証明書を生
成し、SCB にアップロードして下さい。SCB 上で作成された証明書
は取り消すことができず、改ざんされた場合セキュリティ上危険で
す。
6.7.1
SCB の証明書の生成
目的:
ここでは、SCB の内部 CA を使用して SCB Web サーバーないしタイムスタンプ局の新しい証明書
を作成する手順、及び SCB の内部認証局向けに新たな自己署名 CA 証明書を作成する手順につ
いて説明します。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
Steps:
Step 1.
Basic Settings > Management > SSL certificate に進みます。
Step 2.
新しい証明書の以下のフィールドに、必要な情報を入力します。
Step a.
Country(国)フィールドで、SCB を設置する国を選択します
(例: JP – Japan)。
Step b. Locality name(地域名)フィールドに、SCB を設置する市町村名を入力しま
す(例: Fuchu)。
Step c. Organization name(組織名)フィールドに、SCB を所有する会社名を入力し
ます(例: Example Inc)。
Step d. Organizational unit name(組織ユニット名)フィールドに、SCB を所有する会
社の部署を入力します(例: IT Security Department)。
Step e. State or Province name(都道府県名)フィールドに、SCB を設置する都道
府県名を入力します。
Step 3.
生成したい証明書を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
195
SCB の Web インターフェースの新しい証明書を作成するには、Generate Server
(サーバー証明書を生成する)を選択します。
タイムスタンプ局の新しい証明書を作成するには、Generate TSA(TSA 証明書を生
成する)を選択します。
SCB の内部 CA の新しい証明書を作成するには、Generate All(全てを作成する)を
選択します。この場合、サーバーと TSA の証明書が自動的に新しく作成されます。
注記
新しい証明書を生成する際、サーバーと TSA の証明書は CA の
証明書を使って署名されます。外部の CA 証明書を秘密鍵ととも
にアップロードした場合、その証明書が新しいサーバーと TSA の
証明書を作成するために使用されます。秘密鍵無しで外部 CA 証
明書をアップロードした場合は、お客様の外部 PKI ソリューション
を使用してサーバー及び TSA の証明書を生成し SCB へアップロ
ードしてください。
警告
新しい証明書を生成すると、以前の証明書が自動的に削除され
ます。
Step 4.
Commit
をクリックします。
6.7.2
外部の証明書のアップロード
目的:
ここでは、外部 PKI システムによって生成された証明書を SCB にアップロードする手順について説
明します。
前提条件:
アップロードする証明書が必要です。TSA 証明書およびサーバー証明書を生成するには、さらに
その証明書の秘密鍵も必要です。
証明書は以下の要件を満たしている必要があります。
SCB は PEM 形式の証明書を受け入れます。DER 形式は現在サポートされていま
せん。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
196
SCB は PEM(RSA および DSA)、PUTTY、SSHCOM/Tectia 形式の秘密鍵を受け入
れます。パスワード保護の秘密鍵もサポートされます。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
SCB の内部 CA 証明書については、秘密鍵のアップロードは要求されません。
TSA 証明書については、X509v3 Extended Key Usage(X509 拡張鍵使用方
法)属性が有効であり、critical に設定されている必要があります。また、そのデフォ
ルト値に Time Stamping が設定されている必要があります。
サーバー証明書については、X509v3 Extended Key Usage(X509 拡張鍵使
用 方 法 ) 属 性 が 有 効 で あ り 、 そ の デ フ ォ ル ト 値 に TLS Web Server
Authentication が設定されている必要があります。また証明書の Common
Name は SCB ホストのドメイン名または IP アドレスを含んでいなけばなりません。
監査トレイルへの署名に使用される証明書については、X509v3 Extended Key
Usage(X509 拡張鍵使用方法)属性が有効であり、そのデフォルト値に TLS Web
Server Authentication が設定されている必要があります。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
Steps:
Step 1.
Basic Settings > Management > SSL certificate に進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
197
Step 2.
新しい証明書をアップロードするには、修正したい証明書の隣にある
をクリックします。
ポップアップウィンドウが表示されます。
図 6-16 証明書のアップロード
Browse(参照)を選択して、証明書を含むファイルを選択し、Upload(アップロード)をクリ
ックします。証明書チェーンをアップロードするには、単一のファイルとしてお互いの後に
証明書をコピーしてください。もしくは、Certificate(証明書)フィールドに証明書をコピー&
ペーストして、Set をクリックします。証明書チェーンをコピー&ペーストするには、それぞ
れの後に 1 つずつ証明書をコピーしペーストします。証明書が順番である必要はありま
せん、SCB はそれらを並び替えます。証明書チェーンは検証され、チェーンのメンバーが
欠落している場合は、エラーメッセージが表示されます。
Step 3.
証明書に対応する秘密鍵をアップロードするには、修正したい秘密鍵の隣にある
アイ
コンをクリックします。ポップアップウィンドウが表示されます。
Browse(参照)を選択して、秘密鍵を含むファイルを選択し、Upload(アップロード)をクリ
ックします。もしくは、Certificate(証明書)フィールドに証明書をコピー&ペーストして、Set
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
198
注記
証明書チェーンの場合は、秘密鍵は一番下のレベルの証明書の
ものと同じでなければなりません。
期待される結果:
新しい証明書がアップロードされます。証明書をインポートした後、Certificate issuer
mismatch(証明書発行者のミスマッチ) エラーメッセージが表示された場合は、同様に、証明書
に署名した CA 証明書をインポートする必要があります(CA 証明書の秘密鍵は必須ではありませ
ん)。
注記
以前にアップロードした証明書をダウンロードするには、証明書を
クリックして単一の PEM ファイルまたは DER ファイルとして証明書
(または証明書チェーン)をダウンロードします。もしくは、(もし証明
書チェーンの場合は、)単一の証明書ファイルを別々にダウンロ
ードします。
6.7.3
Windows 証明機関での TSA 証明書の生成
SCBと連動するWindows証明機関(Certificate Authority: CA)で、TSA証明書を生成するために、
OpenSSLを実行しているコンピューター上で、CSR(証明書署名要求)を生成し、Windows CAで署
名し、タイムスタンプをつけるために、SCBにこの証明書をインポートします。
前提条件:
次の拡張を持つ OpenSSL の正しい設定ファイル:
[ tsa_cert ]
extendedKeyUsage = critical,timeStamping
これを実現する最も簡単な方法は、SCB の/etc/xcb/openssl-ca.cnf ファイルを、署名に使用する
コンピューターへコピーして openssl-temp.cnf にリネームすることです。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
199
Steps:
Step 1.
新しい設定ファイルを使用して CSR を作成します:openssl req -set_serial 0 –config
openssl-temp.cnf -reqexts tsa_cert -new -newkey rsa:2048 -keyout timestamp.key -out
timestamp.csr –nodes
Step 2.
ご使用の環境に合わせて、必要なフィールドに入力します:
Generating a 2048 bit RSA private key
........................+++
......................................+++
writing new private key to 'timestamp.key'
----You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name
or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [AU]:HU
State or Province Name (full name) []:Budapest
Locality Name (eg, city) []:Budapest
Organization Name (eg, company) [Internet Widgits Pty Ltd]:BalaBit
IT Security
Organizational Unit Name (eg, section) []:Service Delivery
Common Name (eg, YOUR name) []:scb35-1-i1.tohuvabohu.balabit
Email Address []:[email protected]
Step 3.
このステップは、Windows Server 2008 用です。Windows Server 2012 用の手順はつぎ
のステップに進んでください。
お使いの Windows CA を用いて、生成された CSR に署名します。CSR ファイルが
Windows CA サーバーからアクセス可能であることを確認してください。
Step a. 新 し い 証 明 書 要 求 を 発 行 し 、 署 名 す る に は 、 Microsoft Certification
Authority 管理コンソールを開きます: [スタート] > [ファイル名を指定して
実行]を選択し、certsrv.msc を実行します。
Step b. サーバー名を右クリックし、(英語版でのメニュー表記)All Tasks > Submit
new request...と進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
200
図 6-17 新しい要求の提出
Step c. 先に Step 2 で作成した CSR を選択します。
Step d. 左側のウィンドウで、Pending Requests をクリックします。新しい証明書要
求が右ウィンドウに表示されます。
図 6-18 新しい証明書の発行
Step e. 新しい SSL 証明書を発行するには、保留中の証明書要求を右クリックし
て”All Tasks”を選択し、”Issue”をクリックしてください。
Step f. "Issued Certificates"を選択し、前のステップで発行された証明書をダブル
クリックします。
Step g. CA 証明書ウィンドウが開きます。 Details タブに移動します。Enhanced
Key Usage フィールドが表示されること、またその値に"Time Stamping"が
含まれていることを確認してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
201
図 6-19 証明書の詳細を確認
Step h. Copy to File をクリックします。Certificate Export Wizard が起動します。Next
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
202
Step i.
証明書のフォーマットとして、Base-64 encoded X.509 (.CER) を選択します。
Next をクリックします。
図 6-20 証明書ファイルフォーマットの選択
Step j.
証明書を保存する場所を選択し、保存してください。
Step k. Completing the Certificate Export Wizard スクリーンが表示されます。
Finish をクリックします。
Step 4.
このステップは、Windows Server 2012 用です。
認証局(CA)で、タイムスタンプ web サーバーのテンプレートを作成して構成します。そし
て、TSA 証明書を生成するために、それを使います。
Step a.
Certification Authority Microsoft Management Console を開始して、CA サ
ーバーを選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
203
Step b. Certificate Templates を右クリックして、Manage を選択します。
Certificate Templates Console が開きます。
図 6-21 証明書テンプレートの管理
Step c. Web Server テンプレートを右クリックして、Duplicate Template を選択しま
す。
Properties of New Template ウィンドウが表示されます。
Step d. 新しいテンプレートに以下の変更を行います。
General タブで、Template display name を TSA に変更します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
204
図 6-22 新しいテンプレートの作成
Request Handling タブで、Allow private key to be exported オプション
を有効化します。
Extensions タブで、以下のように変更します。
Application Policies を編集します:Server Authentication を削除しま
す。Time Stamping を追加します。Make this extension critical オプショ
ンを有効化します。それから、OK を選択します。
Key Usage を編集します: Signature is proof of origin オプションを有
効化して、OK を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
205
図 6-23 新しいテンプレートのプロパティの構成
Security タブで、Authenticated Users を選択して、Enroll を Allowed
に設定します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
206
図 6-24 テンプレートへの許可の構成
Step e. Apply を選択します。新しい TSA テンプレートがテンプレートのリストに表示
されます。
Step f.
Certification Authority メインスクリーンへ戻り、Certificate Templates フォ
ル ダ ー を 選 択 し ま す 。 リ ス ト の 下 を 右 ク リ ッ ク し て 、 New>Certificate
Template to Issue を選択します。Enable Certificate Templates ウィンドウ
が表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
207
図 6-25 新しいテンプレートの有効化
Step g.
TSA 証明書テンプレートを選択して、OK を選択します。
Step h. コマンドラインを開きます。それから、以下のコマンドを実行します。
certreq –submit –attrib “CertificateTemplate:TSA” <CSR>
<CSR>は、(2番目のステップで)以前に作成された CSR のフルパスで置
き換えます。
Step i.
Certificate Authority List が表示されます。CA を選択します。
Step j.
Save Certificate ウィンドウが表示されます。出力フォルダーを選択します。
指定したフォルダーに証明書が生成されます。
Step 5.
SCB で、Basic Settings > Management > SSL certificate と進みます。
Step 6.
TSA X.509 certificate の隣の
をクリックし、参照ボタンを押して以前に作成した証明
書ファイルを選択し、Upload をクリックします。
Step 7.
TSA private key の隣の
をクリックし、参照ボタンを押して以前に作成したキーを選択
し、Upload をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
208
注記
もし(SCB での他の証明書に使用した)ルート CA(Basic Settings
> Management > SSL certificate の CA X.509 フィールド) が TSA
証明書を署名するために使われた CA と異なる場合、警告が表
示されます。この場合、警告は無視してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
209
7
接続の設定
接続は、あるサーバーに特定のクライアントからアクセスできるかどうかを決めるものです。接続
の定義で使用されるポリシーにより、ユーザー名、時間、認証方法などに基づいて接続の可用性
を制限することができます。チャンネルポリシー(7.5 チャンネルポリシーの作成と編集を参照してく
ださい)は、すでに確立した接続の中で特定のチャンネルを使用できるかどうかを決定します。チ
ャンネルポリシーで使用されるポリシーにより、サーバーやクライアントの IP アドレス、ユーザー名
などに基づいてチャンネルの利用を制限することができます。接続の際に使用できるポリシーのタ
イプは、接続で有効にしたプロトコル(SSH、RDP など)次第です。
SCB は以下のプロトコルをサポートします。
HTTP プロトコル 1.0 と 1.1
ICA プロトコル
RDP バージョン 4-7
Secure Shell バージョン 2(SSHv2)
Telnet と TN3270(関連 RFC の記述の通り)
Terminal Services Gateway Server Protocol
Virtual Networking (VNC) プロトコル バージョン 3.3-3.8
VMware View : ただし VMware View Client がリモートサーバーにアクセスするため
Remote Desktop プロトコル(RDP) を使う場合。詳細については、13VMware View
接続を参照してください。
この節では、接続を設定する方法と、SCB が制御できる接続のそれぞれのタイプ(HTTP, ICA,
RDP, SSH, Telnet, VNC)に適用する一般設定のオプションやポリシーの詳細について説明しま
す。
プロトコル固有の設定オプションについては、それぞれの節で説明します。:
7.1
接続の設定
目的:
ここでは、接続の設定手順について説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
210
Steps:
Step 1.
メインメニューから接続のタイプを選択します。
HTTP 接続を設定するには、 HTTP Control > Connections を選択します。
ICA 接続を設定するには、ICA Control > Connections を選択します。
Remote Desktop 接続を設定するには、RDP Control > Connections を選択します。
Secure Shell 接続を設定するには、SSH Control > Connections を選択します。
Telnet 接続を設定するには、Telnet Control > Connections を選択します。
VNC 接続を設定するには、VNC Control > Connections を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
211
Step 2.
図 7-1 接続の設定
をクリックして新しい接続を定義し、Name(名前)フィールドに、接続を識別する名前
(例: admin_mainserver)を入力します。
ヒント
接続を説明するような名前を使用することを推奨します。例えば、
アクセス可能なサーバーの名前や許可されたクライアント名など
です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
212
Step 3.
From フィールドに、サーバーへのアクセスを許可されるクライアントの IP アドレスを入力
します。クライアントを追加するには、
Step 4.
をクリックします。
To フィールドに、クライアントが要求する IP アドレスを入力します。
Bastion(バスシオン)モードの場合、SCB の外部インターフェースの IP アドレスを入
力します。監査対象の接続が保護されたサーバー上で開始する場合、SCB の内部
インターフェースの IP アドレスを入力します。
Bridge(ブリッジ)モードの場合、保護されたサーバーの IP アドレスを入力します。
Router(ルーター)モードの場合、保護されたサーバーの IP アドレスを入力します。
IP アドレスを追加するには、
Step 5.
をクリックします。
プロトコルのデフォルトポートでなく、カスタムポートを使用してクライアントがサーバーへ
接続する場合は、Port フィールドにクライアントが要求するポート番号を入力します。ポ
ート番号を追加するには、
Step 6.
をクリックします。
Bastion(バスシオン)モードの場合は、Target フィールドに、ターゲットサーバーの IP アド
レスとポート番号を入力します。SCB は全ての入ってくるクライアント側接続をサーバー
に接続します。Bastion(バスシオン)モードで接続を構築する方法に関する詳細につい
ては、20.2.3 SSH による Bastion(バスシオン)モードの SCB ホストへのアクセスを参照し
てください。
Step 7.
必要に応じて、ネットワークアドレス変換、チャンネルポリシー、ゲートウェイ認証、各種
ポリシーやその他の設定を行います。
Step 8.
Commit
をクリックして接続を保存します。
ヒント
一時的に接続を無効にするには、接続の名前の前にあるチェック
ボックスのチェックをはずします。
Step 9.
ニーズや環境によっては、接続に関してさらに設定を行う必要があるかもしれません。
接続の宛先や送信元アドレスを修正するには、7.2 宛先アドレスの修正、7.4 送信元
アドレスの修正を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
213
監査トレイルと接続のインデックスに関しては、Backup Policy(バックアップポリシ
ー)と Archiving Policy(アーカイブポリシー)を選択します。詳細については、4.7.1
バックアップポリシーの作成と 4.8.1 アーカイブポリシーの作成を参照してください。
注記
接続のバックアップとアーカイブのポリシーの設定
は、接続の監査トレイルとインデックスに関しての
み動作します。Search(検索)ページに表示される
接続に関する一般的なデータは、SCB のシステム
バックアッププロセスの一環としてアーカイブおよ
びバックアップが行われます。
監査トレイルのタイムスタンプ、暗号化、署名を行いたい場合は、ニーズにあうよう
に Audit Policy(監査ポリシー)を設定します。詳細については、7.10 監査ポリシーを
参照してください。
ターゲットサーバー上だけでなく SCB 上でもユーザー認証を要求する場合は、17.2
ゲートウェイ認証の設定を参照してください。
監査人がリアルタイムで接続を監視している可能性があり、接続の際 4-eyes 承認
を要求する場合は、17.3 4-eyes 承認の設定を参照してください。
特定の接続やシナリオ(例えば、SSH 認証、ゲートウェイ認証、RDP6 接続)で、SCB
はユーザーを LDAP データベースで認証できます。またはユーザーのグループメン
バーシップを読み込めます。これらの機能を使用するには、LDAP Server(LDAP サ
ーバー)を選択します。詳細については、7.9 LDAP サーバーでのユーザー認証を
参照してください。
注記
特定の接続ポリシーにアクセスできるユーザーグ
ループを表示するには、接続ポリシー(Connection
Policy ) を 開 き 、 Connections ペ ー ジ で 、 Show
connection permissions > Show を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
214
1分間に1つのクライアントの IP アドレスから受け付ける接続リクエストの数を制限
する場合は、Connection rate limit(接続数の上限)フィールドに受け付ける接続の
最大数を入力します。
特定の接続の監査トレイルのダウンロードをログとして記録するには、各接続メニ
ューの Connections タブの Log audit trail downloads を有効します。
注記
Search メニューでこれらのイベントを表示するため
に 、 表 示 さ れ て い る 列 の リ ス ト に Audit trail
downloads(監査トレイルのダウンロード)を追加し
ます。詳しくは、5.8.1.3 内部検索インターフェース
のカラムのカスタマイズを参照してください。
注記
プロトコル固有の設定オプションについては、以下のそれぞれ
の節で説明します。9 ICA - 固有の設定、10 RDP - 固有の設
定、11 SSH - 固有の設定、12 Telnet - 固有の設定、14 VNC
- 固有の設定。
7.2
宛先アドレスの修正
目的:
宛先アドレスは、クライアントが最終的に接続するサーバーのアドレスです。ここでは、接続の宛
先アドレスを修正する手順について説明します。
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
215
Step 1.
接続を定義した Connections タブに進み、
をクリックして接続の詳細を表示します。
図 7-2 接続の設定
Step 2.
Target セクションでは、SCB のサーバー側で Network Address Translation (NAT) を設
定できます。NAT の宛先がサーバー側の接続のターゲット IP アドレスを決定します。必
要に応じて宛先アドレスを指定します。以下のオプションを利用できます。
注記
SCB に属する IP アドレスに対してトラフィックを直接向かわせるこ
とはできません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
216
Use the original target address of the client(クライアントのオリジナルターゲットアド
レスを使用する)
クライアントがターゲットとする IP アドレスに接続します。これは Router(ルーター)
モードと Bridge(ブリッジ)モードにおけるデフォルトの動作です。このオプションは
Bastian(バスシオン)モードでは利用できません。
NAT destination address(NAT 宛先アドレス)
ターゲットアドレスにおいてネットワークアドレス変換を行います。ターゲットアドレス
を IP アドレス/ネットマスク形式で入力します。
Use Fix Address(固定アドレスを使用する)
サーバーの IP アドレスとポート番号を入力します。接続は常にこのアドレスに接続
し、クライアントをサーバーにリダイレクトします。
Inband destination selection(インバンド宛先選択)
ユーザー名からサーバーのアドレスを抽出します。詳しくは、7.3 インバンド宛先選
択の設定を参照してください。
Step 3.
Commit
をクリックします。
7.3
インバンド宛先選択の設定
目的:
ユーザー名からサーバーのアドレスを抽出するために、接続ポリシーを設定するには、次の手順
を実行します。
注記
この方法は通常、非透過の Bastion(バスシオン)モードで使用されま
す。詳細については、20.3 非透過 Bastion(バスシオン)モードの設定
を参照してください。
RDP 接続で inband destination selection(インバンド宛先選択)を使用
するには、SCB を Terminal Services Gateway として使用することを推
奨します。詳しくは、10.7 ターミナル サービス ゲートウェイとしての
SCB 使用を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
217
前提条件:
Inband destination selection(インバンド宛先選択)は、TN3270とVNC接続では利用できません。
Steps:
Step 1.
変更したい接続ポリシーに移動します。例えば、SSH Control > Connections
Step 2.
Inband destination selection を選択します。
Step 3.
接続先サーバーのアドレス解決に使用するドメインネームサーバーの IP アドレス又はホ
スト名を、DNS server(DNS サーバー)フィールドに入力します。
Step 4.
サーバーを指定するときにクライアントがドメイン名を含めない場合(例えば、
[email protected] ではなく、username@server を使用する場
合)、SCB は自動的にドメイン情報を追加できます( 例: exmple.com)。Append
domain (ドメイン追加)フィールドに、追加するドメイン名を入力します。
さらにドメイン名を入力するには、(例えば接続がサブネットを通って拡張しているような
場合は)
をクリックしてください。Append domain (ドメイン追加)フィールドに複数の
ドメイン名がある場合、SCB は、ターゲットが使用して解決することができるリスト内に最
初のドメイン名を追加します。
Step 5.
SCB は CNAME レコードも解決することができます。
自動的にホスト名にサフィックスを追加するように SCB を構成するには、Append domain
(ドメイン追加)フィールドにサフィックスを入力します。DNS サフィックスを特定する場合
は、クライアントが要求にドメイン名を含まないことをご確認ください。
Step 6.
Targets(ターゲット)フィールドに、ユーザーがアクセスを許可されたサーバーのアドレス
を入力します。IP アドレス/ネットマスク(例: 192.168.2.16/32)形式を使用する、も
しくはサーバーのホスト名を入力します。ホスト名にはワイルドカード文字( * と ? )を
含められます。クライアントが IP アドレスを使用してサーバーをアドレス指定する場合、
Targets(ターゲット)リストにサーバーの IP アドレスが含まれていることをご確認ください。
これは、SCB はホスト名を IP アドレスに解決しますが、IP アドレスをホスト名には逆解決
しないためです。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
218
警告
サーバーのホスト名のみが設定されているが、クライアントが IP
アドレスを使用してサーバーをアドレス指定する場合、SCB は接
続を拒否します。
Step 7.
クライアントがサーバー上の指定されたポートのみにアクセスできるようにする場合は、
Port フィールドにポート番号を入力してください。Port が設定されていない場合、クライア
ントはサーバー上の任意のポートにアクセスすることができます。
Step 8.
ユーザーが Inband destination selection(インバンド宛先選択)を使用してターゲットにで
きないサーバーがある場合、それらを Exceptions(例外)フィールドに追加します。
Step 9.
Commit
をクリックします。
期待される結果:
接続ポリシーは、プロトコル情報の送信先サーバーのアドレスを抽出します。
Telnet接続でInband destination selection(インバンド宛先選択)を使用するようにクライアントを設
定する方法の詳細については、12.5 Telnet接続でのインバンド宛先の選択を参照してください。
注記
標準以外のポートまたはゲートウェイ認証を使用するシナリオな
ども含めて、SSH 接続を確立するために、インバンド宛先の選択
の使用方法の例については、20.4 非透過 Bastion(バスシオン)
モードの使用を参照してください。
7.4
送信元アドレスの修正
目的:
送信元アドレスは SCB がサーバーに接続するために使うアドレスです。サーバーはこのアドレスを
接続の送信元であるとみなします。ここでは、接続の送信元アドレスを修正する手順について説
明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
219
Steps:
Step 1.
接続を設定している Connections(接続)タブに進み、
をクリックして接続の詳細を表
示します。
図 7-3 接続の設定
Step 2.
SNAT セクションでは、SCB のサーバー側における Source Network Address Translation
(SNAT)を設定できます。SNAT は SCB がサーバー側の接続で使用する IP アドレスを決
定します。ターゲットサーバーは接続がこのアドレスからやってくるとみなします。次のオ
プションを利用できます。
Use the IP address of SCB(SCB の IP アドレスを使用する)
サーバー側の接続は、Router(ルーター)モードと Bridge(ブリッジ)モードの SCB 内
部インターフェースから、また Bastion(バスシオン)モードの外部インターフェースか
ら発生します。これは接続のデフォルト動作です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
220
Use the original IP address of the client(クライアントのオリジナル IP アドレスを使
用する)
サーバー側の接続は、SCB の外部インターフェースで見えるのと同じくクライアント
の IP アドレスから発生します。このオプションは、Bastion(バスシオン)モードの場合、
利用できません。
Use fix address(固定アドレスを使用する)
サーバー側の接続で送信元アドレスとして使用される IP アドレスを入力します。
警告
Use fix address(固定アドレスを使用する)オプションを使用する
場合は、忘れずにルーターと他のネットワークデバイスを適切に
設定してください。
サーバーがこのアドレスに送信したメッセージは、SCB に到達し
なければなりません。
Step 3.
Commit
をクリックします。
7.5
チャンネルポリシーの作成と編集
目的:
チャンネルポリシーは、接続で使用することができるチャンネル(例: SSH の terminal session や
SCP、RDP の Drawing や Clipboard)を表示します。チャンネルポリシーはクライアントまたはサー
バーの IP アドレス、ユーザーリスト、ユーザーグループ、タイムポリシーに基づきそれぞれのチャ
ンネルへのアクセスを更に制限することができます。例えば、全てのクライアントにサーバーへの
SSH ターミナルアクセスを許可するが、SCP アクセスは単一のクライアントのみに制限することが
できます。チャンネルポリシーで設定されたポリシーは、ユーザーが接続の特定のチャンネルタイ
プを開こうとした時にチェックされます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
221
図 7-4 チャンネルポリシーの設定
ここでは、新しいチャンネルポリシーの作成手順と既存のチャンネルポリシーの編集手順について
説明します。
Steps:
Step 1.
チャンネルポリシーはプロトコルごとに設定されます。チャンネルを作成したいプロトコル
(例えば、SSH Control > Channel Policies)の Channel Policies(チャンネルポリシー)タブ
に進み、
をクリックして新しいチャンネルポリシーを作成します。タブ上の入力フィール
ドに、チャンネルの名前(例:Shell_and_backup)を入力します。
Step 2.
Step 3.
をクリックし、新しいチャンネルを追加します。
Type(タイプ)フィールドから接続で有効にするチャンネルを選びます。次の Step で設定
する全ての制限は、このチャンネルタイプ上で有効となります。利用可能なチャンネルは
プロトコルごとに異なります。詳細については、以下の説明を参照してください。
HTTP プロトコルには、チャンネルが1つだけあります。特別な設定オプションはあり
ません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
222
Independent Computing Architecture プロトコルに関する詳細については、9.2 サポ
ート対象の ICA チャンネルタイプを参照してください。
Remote Desktop プロトコルに関する詳細については、10.1 サポート対象の RDP チ
ャンネルタイプを参照してください。
Secure Shell プロトコルに関する詳細については、11.2 サポート対象の SSH チャン
ネルタイプを参照してください。
Telnet プロトコルには、チャンネルが1つだけあります。特別な設定オプションはあ
りません。
VNC プロトコルには、チャンネルが1つだけあります。特別な設定オプションはあり
ません。
Step 4.
特定のクライアントにのみチャンネルの使用を許可するには、From フィールドの
をク
リックして、このチャンネルタイプの使用を許可するクライアントの IP アドレスを入力しま
す。クライアントが複数存在する場合は、この Step を繰り返して全てのクライアントを追
加します。
Step 5.
特定のサーバーにのみチャンネルの使用を許可するには、Target フィールドの
をクリ
ックして、このチャンネルタイプの使用を許可するサーバーの IP アドレスを入力します。
サーバーが複数存在する場合は、この Step を繰り返して全てのサーバーを追加しま
す。
注記
接続ポリシーの Target(ターゲット)フィールドで指定したサーバー
の実際の IP アドレスを使用します。これは、クライアントがアドレ
ス指定する IP アドレスと異なる可能性があります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
223
Step 6.
特定のユーザーにのみチャンネルの使用を許可するには、Remote Group(リモートグル
ープ)フィールドの
をクリックして、このチャンネルタイプの使用を許可するユーザーグ
ループの名前を入力します。ユーザーグループが複数存在する場合は、この Step を繰
り返して全てのユーザーグループを追加します。
ゲートウェイ認証を使用しているときにこのチャンネルの使用を制限するには、Gateway
Group(ゲートウェイグループ)フィールドの
をクリックして、このチャンネルタイプの使
用を許可するユーザーグループの名前を入力します。ユーザーグループが複数存在す
る場合は、この Step を繰り返して全てのユーザーグループを追加します。
ローカルユーザーリスト(7.8 ユーザーリストの作成と編集を参照してください)または
LDAP グループ(7.9 LDAP サーバーでのユーザー認証を参照してください)を設定する
こともできます。以下の SCB の動作にご注意下さい。
複数のグループを設定した場合、いずれかのグループのメンバーであればチャ
ンネルにアクセスできます。
注記
Remote Group セクションでホワイトリストとブラック
リストの両方が設定され、あるユーザー名が両方
のリストに存在する場合、このユーザーはチャンネ
ルにアクセスすることができます。
リストにグループを一つも追加しない場合は、誰でもチャンネルにアクセスする
ことができます。
注記
チャンネルが開いた時に、リモートグループがまだ
知られていない特定のケースがあります。例えば、
RDPやICAログイン画面の場合では、適切にログ
オン画面を表示するためにDrawingチャンネルを最
初に開かなければなりません。Remote groupフィ
ールドが空の場合にのみチャンネルルールが適用
されます。ネットワークレベル認証の場合は、すべ
ての必要な情報はすでに存在しているので、この
制限は適用されません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
224
ローカルのユーザーリストと LDAP グループに同じ名前が存在し、LDAP サーバ
ーがこのチャンネルポリシーを使う接続で設定されている場合、LDAP グループ
とローカルユーザーリストの両方のメンバーがチャンネルにアクセスできます。
注記
ユーザーリストと LDAP サポートは、現在 SSH と RDP プロトコル
のみで使用できます。他のプロトコルについては、17.2 ゲートウェ
イ認証の設定を参照してください。
Step 7.
チャンネルの使用時間を制限するには、Time(時間)フィールドからタイムポリシーを選
択します。7x24 が設定されている場合は、このチャンネルはいつでも利用できます。詳
細については、7.7 タイムポリシーの設定を参照してください。
Step 8.
チャンネルの中には追加のパラメーター設定が必要なものがあります。例えば、SSH の
ポート転送は送信元マシンと宛先マシンの IP アドレスとポート番号を必要とします。
Channel Details(チャンネル詳細)フィールドの
をクリックして、必要とされるパラメータ
ーを入力します。異なるチャンネルで使用されるパラメーターについては、11.2 サポート
対象の SSH チャンネルタイプと 10.1 サポート対象の RDP チャンネルタイプを参照してく
ださい。
Step 9.
チャンネルのアクティビティを監査トレイルに記録するには、Audit(監査)オプションを選
択します。通常、大きなファイルの転送(例えば、システムバックアップ、SFTP チャンネ
ル)は、監査トレイルのサイズが巨大になるため監査されません。このようなチャンネル
を監査する場合は、SCB のハードディスクの空き容量を定期的にチェックして下さい。デ
ィスク容量がフルとなった時にアラートを受け取るよう設定することもできます。詳細につ
いては、4.6.3 ディスクの容量不足の予防と 4.6.4 System related traps(システム関連ト
ラップ)を参照してください。
Step 10. チャンネルにアクセスするために 4-eyes 承認を要求するには、4-eyes オプションを選択
します。詳細については、17.3 4-eyes 承認の設定を参照してください。
Step 11. IDS または DLP システムへチャンネルのコンテンツを転送するには、IDS オプションを選
択します。詳細については、7.14 IDS または DLP システムへのトラフィック転送を参照し
てください。
Step 12. Step2 から Step11 を繰り返し、他のチャンネルをポリシーに追加します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
225
注記
ルールの順序が重要です。最初に一致したルールが接続に適用
されます。また、ポリシーを微調整するために、複数回、同じチャ
ンネルタイプを追加できることに注意してください。
Step 13. Commit
7.6
をクリックします。
コンテンツポリシーとリアルタイムコンテンツの監視
SCB3 F4以降、リアルタイムで特定の接続のトラフィックを監視し、コマンドラインや画面上に一定
のパターン(例えば特定コマンドやテキスト)が表示されたり、グラフィカルなプロトコルで特定タイト
ルがウィンドウに表示されたりした場合、様々なアクションを実行することができるようになりました。
コンテンツ監視はリアルタイムに実行されるので、SCBは、サーバー上で実行される有害なコマン
ドを防ぐことができます。 SCBはまた、クレジットカード番号かもしれない数字を検出することがで
きます。検索するパターンは、正規表現として定義することができます。 RDP接続の場合には、
SCBは、ウィンドウタイトルの内容を検出することができます。
次のアクションを実行できます。:
システムログにイベントを記録する。
すぐに接続を終了する。
イベントに関する電子メールまたは SNMP アラートを送信する。
SCB の接続データベースにイベントを格納する。
SCB は現在、SSH セッション・シェル接続、Telnet 接続、RDP 及び CitrixICA の Drawing チャンネル、
VNC 接続でコンテンツ監視をサポートしています。
7.6.1
新しいコンテンツポリシーの作成
目的:
事前に定義されたコンテンツが接続に現れた場合にアクションを実行するための新しいコンテンツ
ポリシーを作成するには、次の手順を実行します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
226
注記
コンテンツポリシーを使用すると、大幅に接続が遅くなります。(約5倍遅い)
図 7-5 コンテンツポリシー
Steps:
をクリックして、ポリシーの名前を入力します。
Step 1.
Policies > Content Policies に進み、
Step 2.
監視したいイベントのタイプを選択します。
Commands:
SSH 接続の session-shell(セッション・シェル)チャンネルや
Telnet 接続で実行されるコマンドが対象です。
警告
別の証明書がアップストリームトラフィックの暗号化に使用されて
いる場合、インデックス作成中にコマンド検出は動作しません。イ
ンデクサを実行している Windows マシン上では、通常アップストリ
ームのキーへアクセスできないからです。
Screen content: 画面表示されるすべてのテキストが対象です。例えば、SSH
や Telnet 接続の端末に表示されるすべてのテキストです。これには、端末のエ
コーがオフになっていない場合は、実行されたコマンドそのものも含みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
227
Credit card:
SSH や Telnet 接続で画面表示されるすべてのテキストを処理し
てクレジットカード番号を検出しようとします。SCB は、検出されたクレジットカー
ド番号の数が、Permitted number of credit card numbers として設定された値を
超えた場合にアクションを実行します。
クレジットカード番号検知は、Luhn アルゴリズムおよび既知のクレジットカード
番号接頭辞のリストに基づきます。
Window title detection: RDP、CitrixICA 及び VNC 接続の場合に、ウィンドウの
タイトルとして表示されるテキストが対象です。Windows クラシックテーマのみサ
ポートされています。丸みを帯びた角をもつテーマ、または Windows Aero テー
マはサポートされていません。
ウィンドウタイトルの最も一般的なカラースキームは JSON 形式の設定ファイル
に含まれています。
注記
何をやっているか正確に理解していない場合、以下の設定の調整や修正を
しないでください。
これらを設定ミスすることで、SCBのパフォーマンスが著しく低下します。
特 殊 な 色 が 使 用 さ れ て い る 場 合 、 SCB サ ー バ ー で
/opt/scb/etc/window-title-default を開き、RGB 形式でカラースキー
ムを追加します。単一色の場合は、"to": null を入力します。 新
しいカラーを追加した後は、一時的に SCB を通過するすべてのトラフィ
ックを無効にします。Basic Settings > System > Traffic control と進
み、All services フィールドで、Stop をクリックします。次にローカルで
(または SSH を使用してリモートで)root として SCB にログインし、コン
ソールメニューにアクセスします 。Shells > Core Shell を選択し、
zorpctl リスタートコマンドを実行します。
ウィンドウタイトルの最小と最大の高さと最小の幅は、
"minheight"、 "maxheight" 、"minwidth" として、ピクセル
単位で決定されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
228
Step 3.
Match を選択して、
をクリックし、文字列または正規表現を入力します。これに一致す
る表現が接続の中で発見された場合、Ignore リストに載っていなければ、SCB はアクショ
ンを実行します。例えば、ユーザーが SSH 接続で「rm -rf *」を実行しようとした場合、
SCB は接続を終了させることができます。必要に応じて更なる表現を追加するには、こ
の手順を繰り返します。
注記
Perl 互換正規表現(PCRE)を使用します。
次の文字は、バックスラッシュ文字を使用してエスケープする必要があ
ります。'(シングルクオート): 例えば、.*' の代わりに .*\' を使用し
ます。
SCB は、コンテンツ内の一致表現を見つけるために部分文字列検索を
使用しています。つまり SCB は、マッチする部分の前後にさらにコンテ
ンツがある場合でも、一致表現を探し当てます。例えば、conf パター
ン は 、 次 の テ キ ス ト と マ ッ チ し ま す : conf, configure,
reconfigure, arcconf など
複雑な正規表現を使用したり、多くの正規表現を使用したりすると、
SCB のパフォーマンスに影響します。
表現式が複数設定されている場合 SCB は一つずつ処理していき、最
初の一致が見つかった時点で、それ以降の式がやはり一致する可能
性があっても、コンテンツの処理を停止します。
したがって複数の式を使用する場合は、最も具体的な式から始め、そ
の後一般的な式を追加するようにしてください。
例 7.1:コンテンツポリシーの正規表現のサンプル
次のシンプルな正規表現は、コンテンツポリシーを使用して検出することが
できるイベントの種類を示すためのサンプルです。
enable : Cisco デバイスのコマンドで、ユーザーが特権モードに入るた
めのものです。
conf term : Cisco デバイスのコマンドで、ネットワークパラメータを設定
するためのものです。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
229
sudo 及び su - : Linux や他の UNIX プラットフォームでユーザー
が特権モードに入るためのコマンドです。
Step 4.
Match ルールに例外を追加するには、Ignore を選択し、
をクリックし、文字列や正規
表現を入力します。この式が接続で発見された場合、SCB は、いかなるアクションも実行
しません。例えば、SSH 接続で/tmp ディレクトリだけ削除できるようユーザーに許可する
には、rm -rf /tmp と入力します。必要に応じて更なる表現を追加するには、この手順を
繰り返します。
例 7.2:Ignore ルールを使用するコンテンツポリシーのサンプル
次の式は、任意の SQL コマンドが MySQL で使用される場合に、select
と help コマンドを除いて、アクションを実行するために使用します。
Match に式として、mysql>.* を入力します。
Ignore に、2 つの式を入力します: mysql> select.* と mysql>
help.*
Step 5.
Actions から実行するアクションを選択します。
Log: システムログにログメッセージを送信します。ログメッセージは、コンテン
ツにマッチした表現が含まれています。ログレベル 6 では、このメッセージには
マッチしたコンテンツそのものも含まれます。
Terminate:
た だ ち に 接 続 を 終 了 し ま す 。 Command イ ベ ン ト タ イ プ に
Terminate アクションを設定していると、コマンドが表現式と一致した場合はコマ
ンド実行前に接続が終了されます。 Terminate アクションを使用する場合は、
次の点に注意してください。
接続が終了された理由を簡単に知ることができるように、Log または、
Notify アクションも選択します。
接続がコンテンツポリシーによって終了した場合は、接続の Verdict は、
ACCEPT-TERMINATED となります。
Notify:
イベントに関する Email (電子メール)または SNMP アラートを送信しま
す。アラートの設定は、Basic Settings > Alerting & Monitoring と進み、Traffic
BalaBit Shell Control Box 4 LTS
Rev. 1.0
230
related traps 項目の Real time audit event detected (scbAuditRealTime) イベン
トに必要なアラートを設定します。
Store in connection database:
SCB 接続データベースにイベントを追加しま
す。これらのイベントは、Search > Search ページの Alerts カラムに表示されま
す。カラムが表示されない場合は、Customize columns...をクリックします。
Step 6.
特定グループに所属するユーザーだけにコンテンツポリシーを適用するには、Gateway
Group または Remote Group で
を選択し、必要に応じてユーザーグループを指定
します。 Gateway Group または Remote Group が設定されている場合、コンテンツポリ
シーは、これらのユーザーグループの接続に適用されます。
Step 7.
ポリシーに新しいルールを追加するには、
をクリックして、Step 2〜5 を繰り返しま
す。
Step 8.
Commit
をクリックします。
期待される結果:
新しいコンテンツポリシーが作成されます。
Step 9.
前の手順で作成したコンテンツポリシーを使用するには、接続を制御するために使用さ
れるチャンネルポリシーでポリシーを選択します。
注記
コンテンツポリシーを使用するために、監査を有効にする必要はあ
りません。
7.7
タイムポリシーの設定
目的:
タイムポリシーは、ユーザーが特定のチャンネルにアクセスできる時間枠を決定します。初期設定
では、時間の制約はなく、全てのチャンネルを 7x24 使用できます。ここでは、タイムポリシーの作
成および編集手順について説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
231
図 7-6 タイムポリシーの設定
Steps:
Step 1.
新規にタイムポリシーを作成する場合は、Policies > Time Policies へ進み、
をクリック
して新しいタイムポリシーを作成します。タブ上の入力フィールドに、ポリシーの名前を入
力します(例: workhoursonly)。
Step 2.
既存のタイムポリシーを編集する場合は、Policies > Time Policies へ進み、
をクリッ
クして曜日と許可された期間を表示します。
Step 3.
チャンネルへのアクセスを許可する時間帯を1日ごとに hh:mm 形式で入力します。
(例: 08:00(から) 16:00(まで))
Step 4.
1日のうちで複数の時間帯を設定する場合は、
をクリックします。
Step 5.
Commit
Step 6.
接続または前の Step で作成したポリシーに基づくチャンネルへのアクセスを実際に制限
をクリックします。
するには、以下を行います。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
232
7.8
チャンネルポリシーの Time(時間)フィールでこのポリシーを選択します。
Commit
をクリックします。
ユーザーリストの作成と編集
目的:
ユーザーリストはユーザーのホワイトリストまたはブラックリストです(誰が接続やチャンネルにアク
セスできるかを細かく設定することができます)。ここでは、ユーザーリストの作成および編集手順
について説明します。
警告
User Lists(ユーザーリスト)は、ユーザー名のホワイトリストあるいはブラ
ックリストです。これにより、どのユーザーがサーバーにリモートからアク
セスできるか決定します。しかし、このリストでは、ローカルターミナルから
サーバーにアクセスすることを防ぐことはできません。
図 7-7 ユーザーリストの設定
Steps:
Step 1.
新規にユーザーリストを作成する場合は、Policies > User Lists に進み、
をクリックし
てタブ上の入力フィールドにユーザーリストの名前(例: serveradmins)を入力しま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
233
Step 2.
既存のユーザーリストを編集する場合は、
をクリックし、ユーザーリストを表示しま
す。
Step 3.
Default policy(デフォルトポリシー)フィールドで、ユーザーリストの既定のポリシーを選
択します。ホワイトリストを作成する場合は、Reject(拒否)を選択します(次の Step で設
定するユーザーだけアクセスが許可されます)。ブラックリストを作成する場合は、
Accept(許可)を選択します(次の Step で設定するユーザーだけアクセスが拒否されま
す)。
Step 4.
をクリックし、表示されたフィールドにユーザー名を入力します。ユーザーが複数存在
する場合は、この Step を繰り返して全てのユーザーを追加します。
をクリックします。
Step 5.
Commit
Step 6.
前の Step で作成したユーザーリストに基づき、チャンネルへのアクセスを実際に制限す
るには、以下を行います。
制御したい接続のタイプの Channel Policies(チャンネルポリシー)タブに進み、
をクリックしてポリシーの詳細を表示します。
Group(グループ)セクションの
をクリックし、グループの名前を入力します。
他のグループを追加する場合は、この Step を繰り返します。
注記
複数のグループが設定されている場合、いずれか
のグループに所属するユーザーであればチャンネ
ルにアクセスできます。詳細については、7.5 チャン
ネルポリシーの作成と編集を参照してください。
Group セクションでホワイトリストとブラックリストの
両方が設定され、あるユーザー名が両方のリスト
に存在する場合、このユーザーはチャンネルにア
クセスすることができます。
Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
234
7.9
LDAP サーバーでのユーザー認証
目的:
注記
この機能は、現在 SSH と RDP 接続でのみ使用できます。他のプロトコルに
ついては、17.2 ゲートウェイ認証の設定を参照してください。
SCB は LDAP データベースに対して制御された接続のユーザーを認証することができます。ここで
は、LDAP データベースに対してユーザーを認証する設定手順について説明します。
警告
デフォルトでは、LDAP サーバーを照会するときに SCB は、ネスト
されたグループを使用しています。 ネストされたグループは、
Microsoft Active Directory へユーザーを認証する場合に、主に
有用ですが、LDAP ツリーが非常に大きい場合、クエリの速度が
低下し、接続がタイムアウトすることがあります。 この場合、
Enable nested groups オプションを無効にします。
Steps:
Step 1.
Policies > LDAP Servers に進み、
をクリックして新しい LDAP ポリシーを作成します。
Step 2.
タ ブ 上 の LDAP Policy フ ィ ー ル ド に 、 ポ リ シ ー の 名 前 を 入 力 し ま す ( 例 :
ldapservers)。
Step 3.
LDAP サーバーの情報を設定します。以下の Step を完了させます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
235
図 7-8 LDAP サーバーポリシーの構成
Step a. Server address: 項目の Address(アドレス)フィールドに、LDAP サーバー
の IP アドレスまたはホスト名、Server address: 項目の Port(ポート)にポ
ート番号を入力します。SCB と LDAP サーバー間の通信を暗号化する場合
は、SSL / TLS の場合は、ポート番号として 636 を入力し、STARTTLS の場
合は、ポート番号として 389 を入力します。
複数のサーバーを追加する場合は、
をクリックして次のサーバーのアド
レスを入力します。サーバーに到達できない場合、SCB はフェイルオーバ
ー形式で次のサーバーに接続しようとします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
236
警告
LDAP サーバーへの接続に証明書の内容確認が
ある TLS 暗号を使用する場合は、Server address
(サーバーアドレス)フィールドに、完全ドメイン名を
入力して下さい(例: ldap.example.com)。完
全ドメイン名が設定されていない場合、証明書の
内容確認が失敗します。LDAP サーバーの名前は
証明書の Common Name と一致しなくてはなりま
せん。
Step b. Type(タイプ)フィールドで LDAP サーバーの種類を選択します。Microsoft
Active Directory サーバーに接続する場合は、Active Directory を選択しま
す。POSIX LDAP スキーマを使うサーバーに接続する場合は、Posix を選
択します。
Step c. Base DN フィールドに、クエリのベースとして使用される DN の名前を入力し
ます(例: DC=demodomain,DC=exampleinc)。
Step d. Bind DN フィールドに、データベースにアクセスする前に SCB がバインドす
る必要がある DN の名前を入力します(例:
CN=Administrator,CN=Users,DC=demodomain,DC=examplei
nc(実際は一行で記述))。
注記
SCB は Win 2000 以前のスタイルのアカウント名と
Win 2003 のスタイルのアカウント名(UPN: User
Principal Name)両方に対応しています。
例えば、[email protected] も可
能です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
237
注記
sAMAccountName は使用しないでください。bind
DN は、CN を期待しているからです。
Step e. Bind Password(バインドパスワード)フィールドに、LDAP サーバーにバイン
ドする際に使用するパスワードを入力します。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 4.
ユーザー認証にパスワードを使用する場合は、この Step を省略します。
公開鍵認証を使用し LDAP データベースからユーザーの公開鍵を受信する場
合は、Publickey attribute name(公開鍵属性名)フィールドに、ユーザーの公開
鍵を保存する LDAP attribute(アトリビュート)の名前を入力します。LDAP デー
タベースでの公開鍵認証の使用に関する詳細については、20.1SCB での公開
鍵認証設定を参照してください。
認証で X.509 証明書を使用し LDAP データベースからユーザーの証明書を受
信する場合は、Certificate attribute name(証明書属性名)フィールドに、ユー
ザーの証明書を保存する LDAP attribute(アトリビュート)の名前を入力します。
Step 5.
ユーザー認証にパスワードを使用する場合は、この Step を省略します。
公開鍵認証を使用し SCB にサーバー側の暗号鍵を on the fly(動的に)生成さ
せて LDAP サーバーで別の attribute(アトリビュート)に保存したい場合は、
Generated publickey attribute name(生成された公開鍵属性名)フィールドに
attribute(アトリビュート)の名前を入力します。
証明書認証を使用し SCB にサーバー側の証明書を on the fly(動的に)生成さ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
238
せて LDAP サーバーで別の attribute(アトリビュート)に保存したい場合、
Generated certificate attribute name(生成された証明書属性名)フィールドに
attribute(アトリビュート)の名前を入力します。
Step 6.
SCB と LDAP サーバー間の通信を暗号化したい場合は、Encryption:項目で、SSL /
TLS または STARTTLS オプションを選択し、次の Step を実行します。
注記
Microsoft Active Directory への TLS 暗号化接続は、Windows
2003 Server 以降のプラットフォームでのみサポートされており、
Windows 2000 Server ではサポートされていません。
SCB にサーバーの証明書を確認させたい場合は、Only accept certificates
authenticated by the specified CA certificate を選択し、CA X.509 certificate
(CA X.509 証明書)フィールドの
をクリックします。ポップアップウィンドウが
表示されます。
Browse(参照)をクリックして、LDAP サーバーの証明書を発行した認証局(CA)
の証明書を選択し、Upload(アップロード)をクリックします。または Copy-paste
フィールドに証明書をペーストし、Set をクリックします。
SCB はこの認証局(CA)証明書を使用してサーバーの証明書を確認し、認証
確認が失敗したら接続を拒否します。
警告
LDAP サーバーに接続するために証明書の内容を確認
する際、TLS 暗号化を使用する場合は、Server Address
(サーバーアドレス)フィールドに、フルドメイン名(例:
ldap.example.com)を使用して下さい。そうでない
と、証明書の内容の確認が失敗します。LDAP サーバー
の名前は、証明書の Common Name と一致しなくてはな
りません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
239
LDAP サーバーが相互認証を要求する、つまり SCB からの証明書を要求する場合、
Authenticate as client を有効にします。.SCB の証明書を作成して署名し、Client
X.509 certificate(クライアント X.509 証明書)フィールドの
をクリックして証明書を
アップロードします。その後 Client key(クライアント鍵)フィールドの
をクリックして
証明書に対応する秘密鍵をアップロードします。
Step 7.
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
オプションのステップ:LDAP サーバーがカスタム POSIX LDAP スキームを使用している
場合、ユーザー名を格納する LDAP 属性の設定、またはグループメンバーシップ設定の
属性が必要になる場合があります。例えば、お使いの LDAP スキームがユーザー名を
格納するために uid 属性を使用していない場合は、Username (userid) attribute name
オ プ シ ョ ン を 設 定 し ま す 。 POSIX group membership attribute name と
GroupOfUniqueNames membership attribute name オプションを使用して、グループメン
バーシップ属性をカスタマイズすることができます。
をクリックします。
Step 8.
変更をコミットするために、Commit
Step 9.
Server certificate check(サーバー証明書チェック)フィールドや接続に使用するキーを
変更した場合、以下の Step を実行します。
警告
この Step を実行すると、SCB を通るすべての制御された接続が
終了します。Step を開始する前に、保護されたサーバーからクラ
イアントへの接続を切って下さい。
新しい設定を有効にするには、Basic Settings > System > Traffic control > All services
セクションに進んで、 Restart(再スタート)をクリックします。
Step 10. 接続をテストするために、Test をクリックします。
注記
SSL/ TLS および STARTTLS 暗号化接続のテストはサポートして
いません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
240
7.10
監査ポリシー
監査トレイルは管理者のアクティビティの記録を保存するファイルです。監査トレイルは全ての接
続に対して自動的に作成されるわけではないことにご注意ください。監査は、接続で使用されてい
るチャンネルポリシーで手動により有効化される必要があります。ただし、利用頻度の高いチャン
ネルの監査は、初期設定で有効になっています。監査トレイルは自動的に圧縮され、任意で暗号
化、タイムスタンプ付け、署名が行われます。監査トレイルは Audit Player アプリケーションを使用
して再生できます(詳細については、16 セッション情報の閲覧と監査トレイルの再生を参照してくだ
さい)。
ヒント
初期設定では、全ての接続が組み込みの default 監査ポリシーを使用しま
す。カスタムの監査ポリシーを使用していない場合に、defaullt 監査ポリシ
ーを修正すると、SCB を通過する接続の全ての監査対象チャンネルに影響
を与えます。
監査トレイルの暗号化の設定に関する詳細については、7.10.1 監査トレイルの暗号
化を参照してください。
タイムスタンプの設定に関する詳細については、7.10.2 組み込みタイムスタンプサ
ービスでの監査トレイルへのタイムスタンプ付け と 7.10.3 外部のタイムスタンプサ
ービスでの監査トレイルへのタイムスタンプ付け を参照してください。
監査トレイル署名の設定に関する詳細については、7.10.4 監査トレイルのデジタル
署名を参照してください。
その他の監査トレイルオプションに関する詳細については、7.10.5 監査トレイルの制
限を参照してください。
7.10.1
監査トレイルの暗号化
目的:
SCB は監査トレイルファイルへの不正アクセスを防ぐため監査トレイルを暗号化できます。以下の
種類があります。
トレイル全体
トレイル全体と追加の(セットの)証明書を伴うアップストリーム部分
BalaBit Shell Control Box 4 LTS
Rev. 1.0
241
アップストリーム部分のみ
アップストリーム暗号では、アップストリームトラフィックを暗号化するための証明書の秘密鍵を使
う場合のみパスワードが見れます。
注記
アップストリームトラフィックが別の証明書で暗号化されたとして
も、監査トレイルファイルは1セッションにつき一つだけ作成されま
す。
アップストリーム部分の暗号化には以下の制限があります。
TN3270, VNC, X11 のトレイルはアップストリーム暗号化鍵なしには再生できませ
ん。
Telnet と VNC のトレイルはアップストリーム暗号化鍵なしにはインデックス付けで
きません。
インデックス付けの途中では、アップストリーム暗号化鍵なしにはコマンド検出は動
作しません。
注記
監査トレイルのインデックス付けと再生に関する証明書のアップ
ロードについては、以下を参照してください。
■ 内部インデクサーへの証明書のアップロードについては、
15.3.1 監査トレイルのフルテキストインデックス化設定を参照し
てください。
■ Audit Player アプリケーションへの証明書のアップロードにつ
いては、16.3.3 暗号化された監査トレイルの再生と処理を参照
してください
暗号化には、1つ以上の X.509 証明書が必要です。2048-bit RSA 鍵 (または、それ以上の強度
の鍵)の使用を推奨します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
242
SCB が監査トレイルを暗号化するには以下のような方法があります。
単独の証明書で監査トレイルを暗号化する
これはもっともシンプルなアプローチです。SCB は監査トレイルを暗号化するために
1 つの証明書を使用します。その証明書の秘密鍵を持っている人は誰でも、監査ト
レイルを再生できます。その鍵を紛失した場合、監査トレイルを開くことができなくな
ります。
複数の証明書で監査トレイルを別々に暗号化する
SCB は監査トレイルを暗号化するために2つ以上の証明書を別々に使用します。
暗号証明書のうちの1つの秘密鍵を持っている人は誰でも、監査トレイルを再生で
きます。
2つの証明書で連携して監査トレイルを暗号化する
SCB は2つの証明書(証明書ペア)を一緒に監査トレイルを暗号化するために使用
します。両方の暗号証明書の秘密鍵が監査トレイルを再生するために必要です。こ
れは“4-eyes 承認”の一種です。
異なる暗号化方法を組み合わせることができます。例えば複数の証明書ペアで監査トレイルを暗
号化し、証明書ペアの秘密鍵が利用可能な場合のみトレイルを再生できます。これはアップストリ
ームのトラフィックを暗号化することにも当てはまります。極端な場合、監査トレイルを完全に再生
するために4つの秘密鍵が必要となります。2つの鍵は通常のトラフィックを開くため、あとの2つ
はアップストリームのトラフィックを表示するためです。
警告
暗号化の証明書が失効または期限切れの場合、Audit Player ア
プリケーションは監査トレイルを再生できません。このリスクを緩
和するには、複数の証明書(証明書のペア)を別々の暗号化で使
用することを検討してください。
SCB 自体は監査トレイルの暗号化に使用される証明書を作成できないことにご注意ください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
243
ヒント
2つの証明書が1つの行に表示されている場合、それらは証明書のペアで
あり、両方の秘密鍵が監査トレイルを再生するために必要です。2つの証
明書が別の行に表示されている場合、監査トレイルを再生するために秘密
鍵の1つが必要です。2つの証明書が複数の行に表示されている場合、い
ずれかの行の証明の秘密鍵が必要です。
図 7-9 監査トレイルの暗号化:証明書ペアによる結合暗号化
Steps:
Step 1.
Policies>Audit Policies に進み、接続で使用する監査ポリシーを選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
244
ヒント
デフォルトで全ての接続は組込みの default 監査ポリシーを使用
します。カスタムの監査ポリシーを使用せずにこの default 監査ポ
リシー自体を変更すると、SCB を通過する接続の監査対象チャネ
ルが全て影響を受けることになります。
Step 2.
Enable encryption(暗号を有効にする)オプションを選びます。
Step 3.
トレイル全体を暗号化するための証明書をアップロードします。
Step a. Encryption certificate 4-eyes encryption certificate(4 eyes 暗号証明書)
行の下の
Step b. 左の
をクリックします。
アイコンをクリックして SCB へ証明書をアップロードします。この証
明書は監査トレイルを暗号化するために使用されます。秘密鍵を含んでは
なりません。SCB に証明書をアップロードする手順の詳細は、6.7.2 外部の
証明書のアップロード を参照してください。
ヒント
監査トレイルを再生するには、Audit Player アプリケーションが起
動しているコンピューターにこの証明書の秘密鍵が必要です。
Step c. (任意の Step)他の証明書と組み合わせて監査トレイルを暗号化する場合
は、右の
アイコンをクリックして SCB へ証明書をアップロードします。監
査トレイルを再生するには、両方の証明書の秘密鍵が必要であることにご
注意ください。
(任意の Step)追加の証明書で監査トレイルを別々に暗号化する場合は、これらの Step
を繰り返します。
Step 4.
アップストリームのトラフィックを暗号するために証明書をアップロードする場合は、以下
の Step を完了します。
Step a. Encrypt upstream traffic with different certificates(異なる証明書でアップ
ストリームトラフィックを暗号化する)を選択します。 新しい Encryption
certificate 4-eyes encryption certificate 行が表示されます。
Step b. Encryption certificate 4-eyes encryption certificate(4 eyes 暗号証明書を
暗号化する)行の下の
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
245
Step c. 左の
アイコンをクリックして SCB へ証明書をアップロードします。この証
明書は監査トレイルを暗号化するために使用されます。秘密鍵を含んでは
なりません。SCB に証明書をアップロードする手順の詳細は、6.7.2 外部の
証明書のアップロードを参照してください。
注記
ア ップ スト リー ム部 分の監 査 ト レイ ル を再 生す るに は 、 Audit
Player アプリケーションが起動しているコンピューターにこの証
明書の秘密鍵が必要です。
Step d. (任意の Step)他の証明書と組み合わせて監査トレイルを暗号化する場合
は、右の
アイコンをクリックして SCB へ証明書をアップロードします。監
査トレイルを再生するには、両方の証明書の秘密鍵が必要であることにご
注意ください。
(任意の Step)追加の証明書でアップストリームを別々に暗号化する場合は、これら
の Step を繰り返します。
Step 5.
Commit
7.10.2
組み込みタイムスタンプサービスでの監査トレイルへのタイムスタンプ付け
をクリックします。
目的:
SCB の組み込みのタイムスタンプサービスを使用して、監査トレイルにタイムスタンプを追加する
には、次の Step を実行します。
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
246
Step 1.
タイムスタンプの間隔を構成します。構成したい各々のプロトコル(HTTP、ICA、RDP、
SSH、Telnet、VNC)で以下の手順を繰り返します。
図 7-10 ローカルタイムスタンプの構成
Step a. プロトコル制御設定で、Global Options > Timestamping に進みます。(例:
SSH Control > Global Options > Timestamping)
Step b. Local を選択します。
Step c. Signing interval を設定します。10 秒から 100,000 秒の値を設定できます。
注記
同じ時間間隔の設定が、タイムスタンプと署名に適
用されます。
をクリックします。
Step d.
Step 2.
タイムスタンプを使用する監査ポリシーを構成します。構成したい各々の監査ポリシーで
以下の手順を繰り返します。
Step a. Policies > Audit Policies に進み、接続で使用する監査ポリシーを選択しま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
247
ヒント
デフォルトでは、すべての接続は組み込みデフォルト監査ポリシ
ーを使用します。カスタム監査ポリシーを使わないのであれば、
デフォルト監査ポリシーを変更すれば、SCB を通過する接続のす
べての監査チャンネルに影響します。
Step b. Enable timestamping(タイムスタンプを有効にする)オプションを選びます。
図 7-11 監査トレイルのタイムスタンプ
Step c. Commit
をクリックします。SCB は監査対象かつこの監査ポリ
シーを使用する全ての接続の監査トレイルにタイムスタンプを自動的に追
加します。
注記
タイムスタンプに使用する証明書を変更する方法に関する詳細に
ついては、6.7 SCB 上で使用する証明書の管理を参照してくださ
い。
7.10.3
外部のタイムスタンプサービスでの監査トレイルへのタイムスタンプ付け
目的:
ここでは、リモートのタイムスタンプ局(TSA)からタイムスタンプを要求する設定について説明しま
BalaBit Shell Control Box 4 LTS
Rev. 1.0
248
す。
Steps:
Step 1.
リモート TSA と、タイムスタンプの間隔を構成します。構成したい各々のプロトコル
(HTTP、ICA、RDP、SSH、Telnet、VNC)で以下の手順を繰り返します。
図 7-12 リモート TSA の構成
Step a. プロトコル制御設定で、Global Options > Timestamping に進みます。(例:
SSH Control > Global Options > Timestamping)
Step b. Remote を選択します。
Step c. タイムスタンプサーバーのアドレスを URL フィールドに入力します。現在は
シンプルな HTTP サービスのみサポートされており、パスワード保護や
HTTPS サービスはサポートされていないことにご注意下さい。
Step d. 設定済のタイムスタンプポリシーがタイムスタンプサーバーに存在する場
合は、Timestamping policy(タイムスタンプポリシー)フィールドに、使用す
るポリシーの OID を入力します。SCB はタイムスタンプ局(TSA)に送信され
るタイムスタンプリクエストにこの ID を含めます。
Step e. Signing interval を設定します。10 秒から 100,000 秒の値を設定できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
249
注記
同じ時間間隔の設定が、タイムスタンプと署名に適
用されます。
Step f.
Step 2.
Commit
をクリックします。
タイムスタンプを使用する監査ポリシーを構成します。構成したい各々の監査ポリシーで
以下の手順を繰り返します。
Step a. Policies > Audit Policies に進み、接続で使用する監査ポリシーを選びま
す。
ヒント
デフォルトでは、すべての接続は組み込みデフォルト監査ポリシ
ーを使用します。カスタム監査ポリシーを使わないのであれば、
デフォルト監査ポリシーを変更すれば、SCB を通過する接続のす
べての監査チャンネルに影響します。
Step b. Enable timestamping(タイムスタンプ有効化)オプションを選択します。
図 7-13 監査トレイルのタイムスタンプ付け
BalaBit Shell Control Box 4 LTS
Rev. 1.0
250
Step c. Commit
をクリックします。SCB は監査対象かつこの監査ポリ
シーを使用する全ての接続の監査トレイルにタイムスタンプを自動的に追
加します。
7.10.4
監査トレイルのデジタル署名
目的:
監査トレイルファイルの改竄防止のため、SCB は監査トレイルへデジタル署名することが可能です。
これは X.509 証明書と証明書の秘密鍵を必要とします。SCB は証明書を作成するために使用でき
る秘密鍵を生成できすが、SCB 自体は監査トレイルの署名に使用される証明書を作成できないこ
とにご注意下さい。
Steps:
Step 1.
タイムスタンプの間隔を構成します。構成したい各々のプロトコル(HTTP、ICA、RDP、
SSH、Telnet、VNC)で以下の手順を繰り返します。
図 7-14 署名間隔の構成
Step a. プロトコル制御設定で、Global Options > Timestamping に進みます。(例:
SSH Control > Global Options > Timestamping)
Step b. Signing interval を設定します。10 秒から 100,000 秒の値を設定できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
251
注記
同じ時間間隔の設定が、タイムスタンプと署名に適
用されます。
Step c.
Step 2.
をクリックします。
Policies > Audit Policies に進み、接続で使用する監査ポリシーを選択します。
図 7-15 監査トレイルの署名
ヒント
default ポリシーは、全ての追加された接続でデフォルトとして使
用されます。全ての監査対象の接続を暗号化したい場合は、この
ポリシーを変更して下さい。
Step 3.
Enable signing を選択します。
Step 4.
証明書とそれに対応する秘密鍵を SCB にアップロードします。詳細については 6.7.2
外部の証明書のアップロードを参照してください。
SCB で鍵ペアを生成し、それを使ってお客様の PKI システムで証明書を作成する場合は、
以下の Step を行います。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
252
注記
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨
します。
Step a.
Private key(秘密鍵)フィールドで
をクリックします。ポップアップウィンド
ウが開きます。
Step b. Generate Key(鍵を生成する)フィールドで鍵の長さを選択します。
Step c. Key type(鍵タイプ)フィールドで、鍵のタイプ(RSA か DSA)を選択します。
Step d. Generate(生成)をクリックします。新しい秘密鍵の fingerprint(指紋)が
Private key(秘密鍵)フィールドに表示されます。
Step e. Commit
Step f.
をクリックします。
fingerprint(指紋)をクリックし、鍵の公開部分をダウンロードするための形
式を選択します。現在、鍵は Open SSH, Tectia,PEM,DER の形式でダ
ウンロードできます。
Step g.
PKI システムを使用して、ダウンロードされた鍵で証明書リクエストを作成し、
認証局(CA)で署名します。
Step h. X.509 certificate フィールドで
をクリックし、証明書を SCB にアップロード
します。
Step 5.
Commit
をクリックします。SCB は監査対象かつこの監査ポリシーを使用す
る全ての接続の監査トレイルに自動的に署名します。
Step 6.
必要に応じて、他の監査ポリシーに対して上記の Step を繰り返します。
7.10.5
監査トレイルの制限
目的:
監査トレイルファイルのサイズに上限を設定することで、ひとつの接続が SCB のハードディスクを
使いきらないようにできます。(これにより、サービス拒否(DOS)を回避できます。)監査トレイルが
Audit trail file limit に到達すると(構成により)SCB は接続を終了するか、その監査を中止します。
ファイルサイズの制限と SCB の振る舞いをそれぞれのプロトコル(HTTP、ICA、RDP、SSH、Telnet、
BalaBit Shell Control Box 4 LTS
Rev. 1.0
253
VNC)ごとに設定できます。
Steps:
Step 1.
プロトコル制御設定で、 Global options > Audit に進みます。(例:SSH Control > Global
Options > Audit)
図 7-16 監査トレイルファイルサイズ上限の設定
Step 2.
Audit trail file limit(監査トレイルファイル上限)を設定します。ファイルサイズの設定上
限値は、4096MB です。
Step 3.
Audit trail file limit(監査トレイルファイル上限)を超えた接続を、SCB がどのように処理
するかを構成します。
Terminate connection on file limit オプションを有効化して、接続を終了するように構
成します。
Terminate connection on file limit オプションを無効化して、監査なしで接続を継続す
るように構成します。
Step 4.
Commit
をクリックします。
7.11
認証局での証明書確認
目的:
SCB は、証明書を発行した認証局の証明書と証明書失効リストを使用して証明書の有効性をチェ
ックすることができます。これは、例えば SSH/RDP 接続でサーバー証明書を確認するために使用
BalaBit Shell Control Box 4 LTS
Rev. 1.0
254
されます。ここでは、証明書確認で使用する CA 証明書のリストの作成手順について説明します。
Steps:
Step 1.
Policies > Trusted CA Lists に進み、
をクリックして新しいリストを作成します。
図 7-17 信頼済み CA リストの作成
Step 2.
タブ上のフィールドに、CA リストの名前を入力します。
Step 3.
Certificate(証明書)フィールドで
をクリックし、証明書を確認するために使用される認
証局(CA)の証明書をアップロードします。詳細については、6.7.2 外部の証明書のアップ
ロードを参照してください。
Step 4.
CRL フィールドに、CA の Certificate Revocation List(証明書失効リスト)の
URL を入力します。CRL リストに含まれる証明書は自動的に拒否されます。
注記
.pem フォーマットの CRL のみが受け入れられることに注意してく
ださい。 PKCS7 フォーマット(.crl)の CRL は受け入れられませ
ん。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
255
Step 5.
さらに受け入れる証明書を制限する場合は、次のオプションを使用します。
Strict hostname check(厳密なホスト名チェック)
証明書の Common Name が証明書を提示するホストのホスト名または IP アドレス
を含むときのみ証明書を受け入れる場合は、このオプションを選択します。
Use DNS to lookup hostnames(ホスト名のルックアップに DNS を使用する)
証明書の確認のためにホスト名と IP アドレスを解決するため、Basic Settings >
Network > Naming で設定したドメインネームサーバー設定を使用する場合は、この
オプションを選択します。Strict hostname check(厳密なホスト名チェック)オプショ
ンが有効である場合は、通常このオプションも有効にします。
証明書の内容を基に受け取られた証明書を制限する場合は、User certificate
validation(ユーザー証明書確認)セクションの適切なフィールドに、必要な値を入力
します。例えば、Organization Name(組織名)フィールドに Example Inc.を含む
証明書のみを受け入れるには、Organization Name(組織名)に Example Inc.と
入力します。Common name, Email address, Alternative email address の各フィール
ドでは、接続で使用されるユーザー名を参照するために$username マクロを使用
できます。このマクロにより、ユーザーが自分の証明書を使用していることをチェッ
クできます。
Step 6.
Commit
をクリックします。
7.12
証明書の on-the-fly (必要時に動的な)署名
目的:
SCB は多くの場所でサーバー側の証明書を on-the-fly(必要時に動的に)生成することができま
す。この技術は、例えば SSL 暗号化された RDP セッションやネットワークレベル認証(CredSSP) を
使用する RDP セッション、X.509 ベース認証を使う SSH 接続で使用されます。ここでは署名 CA を
作成する手順について説明します。
注記
署名 CA の使用については、次の点に注意してください。:
署名 CA には、証明書の署名を許可された CA 証明書と対応する秘密
鍵が必要です。
これらの CA は監査トレイルの署名には使用できません。監査トレイル
に署名するための証明書の設定方法に関する詳細については、
BalaBit Shell Control Box 4 LTS
Rev. 1.0
256
7.10.4 監査トレイルのデジタル署名を参照してください。
生成された証明書のバージョンは、署名 CA のバージョンと同じになり
ます。
SCB は、生成された証明書に署名 CA の(crlDistributionPoints 拡張子
から)CRL を含みます。
Steps:
Step 1.
Policies > Signing CAs に進み、
をクリックします。
図 7-18 署名 CA の作成
Step 2.
タブ上のフィールドに CA の名前を入力します。
Step 3.
CA 証明書とその秘密鍵をアップロードする場合は、以下の Step を完了させます。SCB
で CA を生成する場合は、この Step は省略して下さい。
Step a.
CA X.509 certificate(CA X.509 証明書)フィールドで、
をクリックして認
証局の証明書をアップロードします。
Step b. CA private key(CA 秘密鍵)フィールドで、
をクリックして認証局の秘密
鍵をアップロードします。詳細については、6.7.2 外部の証明書のアップロー
ドを参照してください。
Step c. Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
257
Step 4.
SCB で CA 証明書を生成する場合は、以下の Step を完了させます。
Step a.
Common Name フィールドに、CA 証明書の Common Name を入力します。
この名前はこの CA によって署名された証明書の Issued By (発行元)
フィールドに表示されます。
Step b. 必要に応じて、他のフィールドも入力し、Generate private key & certificate
(秘密鍵と証明書を生成する)をクリックします。
Step c. Commit
7.13
をクリックします。
ローカルユーザーデータベースの作成
目的:
Local User Databases は、RDP、SSH および Telnet プロトコルで使用可能です。Local User
Databases を作成するには、次の Step を実行します。
Stesp:
Step 1.
Policies > Local User Databases と進み、
Step 2.
Local User Database の名前を入力します。
Step 3.
エントリーを追加するために、
をクリックします。
をクリックします。
図 7-19 キーと証明書のマッピング
Step 4.
Username フィールドにユーザーの名前を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
258
注記
Usermapping(ユーザーマッピング)ポリシーも使用する場合は、
クライアントがサーバー側で使用するユーザー名を入力します。
ゲートウェイ認証も使用する場合、ゲートウェイのユーザー名を
使用することも可能です。
Step 5.
クライアント側で公開鍵ベースの認証を使用する場合は、 Client Side (public
key/certificate) > Public keys フィールドで、
アイコンをクリックし、
をクリックし
て、クライアントの公開鍵をアップロードします。
クライアント側で証明書ベースの認証を使用する場合は、 Client Side (public
key/certificate) > Certificates フィールドで、
アイコンをクリックし、
をクリックし
て、クライアントの証明書をアップロードします。
SCB は、Step 3 で設定したユーザー名を使用しようとしているクライアントが、アップロー
ドされた公開鍵または証明書に対応する秘密鍵を使用して自身を認証していることを検
証します。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
Step 6.
サ ー バー 側 で公 開鍵 ベー スの 認 証 を使用 する場 合 は 、 Server Side (private
key/certificate) > Private key フィールドで、
をクリックして、新しい鍵を生成する
か、クライアントの秘密鍵をアップロードします。
サ ー バー 側 で証 明書 ベー スの 認 証 を使用 する場 合 は 、 Server Side (private
key/certificate) > Private key for server-side certificate フィールドで、
をクリック
して、クライアントの証明書用の秘密鍵をアップロードします。次に、サーバー側で
使用される証明書をアップロードします。
クライアントが、Step 3 で設定したユーザー名を使用しようとしている場合、SCB は、サ
ーバー上で認証するためにアップロードされた秘密鍵を使用します。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
Step 7.
必要に応じて、他のユーザーを追加するためには、Step 3.以降を繰り返します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
259
Step 8.
Commit
をクリックします。
Step 9.
それぞれのプロトコルの Authentication Policies タブに移動し、そこで、Local User
Database を選択します。
7.14
IDS または DLP システムへのトラフィック転送
目的:
SCB は更なる分析のため、トラフィックの内容を侵入検知システム(Intrusion Detection System
(IDS))や情報漏洩防止(Data Leak Prevention (DLP)) システムに転送できます。IDS または DLP
システムと SCB は(同じネットワークスイッチに接続して)同じネットワークセグメントに存在する必
要があります。SCB はトラフィックを変更しません。単に、暗号化されていないトラフィックを IDS もし
くは DLP に転送するだけです。例えば、HTTP トラフィックが SSH でトンネルされている場合、IDS
は HTTP トラフィックのみを受け取ります。そのようにして IDS もしくは DLP システムは暗号化され
たトラフィックの内容を調べることができます。ここでは、トラフィックの転送設定について説明しま
す。
Steps:
Step 1.
転送するトラフィック(例: SSH Control)タイプに進み、Global Options ページを選びます。
図 7-20 IDS 転送の設定
Step 2.
IDS > Interface で、SCB のどのインターフェースが IDS と同じネットワークセグメント(つ
まり同じスイッチ)に接続されているかを選択します。SCB の HA インターフェースは、こ
の目的には使用できないことにご注意下さい。
Step 3.
Destination MAC address(宛先 MAC アドレス)フィールドに、IDS システムのネットワー
クカードの MAC アドレスを入力します。
Step 4.
Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
260
Step 5.
Channel Policies(チャンネルポリシー)ページを開き、IDS に転送したい接続で使用する
チャンネルポリシーの
をクリックします。
図 7-21 IDS 転送の有効化
Step 6.
IDS に転送したいチャンネルの IDS オプションを選択します。
Step 7.
必要に応じて、他のチャンネルポリシーについて Step 5-6 を繰り返します。
Step 8.
Basic Settings > System > Traffic control に進み、トラフィックタイプの Restart を選択し
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
261
警告
この Step は、SCB を経由する全ての制御された接続を終了させ
ます。実行する前に、クライアントと保護されたサーバーの接続を
切断して下さい。
Step 9.
必要に応じて、他のトラフィックタイプについて上記の Step を繰り返します。
7.15
SCB 接続データベースのクリーンアップ設定
目的:
SCB は指定した保持時間より古い監査トレイルを自動的にアーカイブします。しかし対応する接続
のメタデータは、SCB の接続データベースから削除されません。古い接続に関する保存データを
削除すれば、データベースサイズが減り、検索が早くなります。また古いデータの削除は、ポリシ
ーや規則により要求される場合があります。メタデータが削除された後の期間は、プロトコル別(例
えば、SSH 接続に関するデータは他の接続より長く保存されます)や接続ポリシー別に設定できま
す。ここでは、特定のプロトコルで古い接続のメタデータを削除する設定について説明します。
Steps:
Step 1.
それぞれのプロトコルの Global Options ページ(例: SSH Control > Global Options)に
進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
262
Step 2.
Channel database cleanup(チャンネルデータベースクリーンアップ)フィールドに、SCB が
メタデータを保存する期間(日数)を入力します。例えば、365 と設定すると、SCB は1年
以上経過した接続データを削除します。ゼロ(0)を設定すると、データを無期限に保存し
ます(これは SCB のデフォルト動作です)。
図 7-22 プロトコルの接続データベースクリーンアップ設定
注記
期間は、このプロトコルの接続で使用されている Archive ポリシー
の Retention time in days(保持期間)より短い値を設定すること
はできません。
時間は、このプロトコルのそれぞれの接続ポリシーで設定されて
いる Channel database cleanup(チャンネルデータベースクリーン
アップ)より短い値を設定することはできません。
Step 3.
Commit
をクリックします。必要に応じて、他のプロトコルについて上記の
Step を繰り返します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
263
Step 4.
プロトコルの Global Options > Channel database cleanup フィールドに設定された時間よ
り前にある接続のメタデータを削除する場合は、その接続ポリシーに進み、Channel
database cleanup(チャンネルデータベースクリーンアップ)フィールドに、この接続ポリシ
ーのセッションのメタデータを保存する期間(日数)を入力します。プロトコルの設定を使
用する場合は、ゼロ(0)を入力します(これは SCB のデフォルト動作です)。
図 7-23 接続のデータベースクリーンアップ設定
注記
指定する時間は特定の接続で使用される Archive ポリシーの
Retention time in days より短くすることはできません。
Step 5.
Commit
をクリックします。必要に応じて、他のプロトコルについて上記の
Step を繰り返します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
264
予想される結果:
毎日 SCB は接続データベースから設定されたクリーンアップ期間より古い接続のメタデータを削
除します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
265
8
HTTP - 固有の設定
以下のセクションでは、HTTP プロトコル専用の設定内容について説明します。 誰が、いつ、どの
ように HTTP 接続にアクセスすることができるのかを制御するために、次のポリシーを使用します。
サポートされるクライアントアプリケーションのリストについては、2.2 サポート対象プロトコルとクラ
イアントアプリケーションを参照してください。SCB 経由の HTTP コントロールは、すべてのネットワ
ークトポロジーで構成することができます: Bastion(バスシオン)、Router(ルーター)、Bridge(ブリ
ッジ)
Channel Policy(チャンネルポリシー):
チャンネルポリシーは、どの HTTP チャンネルを接続で使用できるか、またそのチャ
ンネルを監査対象とするかどうかを決定します。それぞれのチャンネルの利用には、
チャンネルポリシーでの設定内容に応じて、一定の制限が行われる場合がありま
す。詳細については、7.5
チャンネルポリシーの作成と編集を参照してください。
注記
利用可能なチャンネルポリシーのオプションは次のとおりです:
From、Target、Time、Audit
Target を設定する場合は、次の点に注意してください:接続が
DNAT(NAT 宛先アドレス)を使用している場合、元のクライアント
のターゲットアドレスは、チャンネルポリシーの Target パラメータ
ーと比較されますが、それは必ずしもサーバーのアドレスと同じ
ではありません。接続が固定アドレスにリダイレクトされている場
合は、リダイレクトされたアドレスは、チャンネルポリシーの Target
パラメーターと比較されます。
HTTP connections(HTTP 接続):
詳細については、8.3 HTTP 接続を設定するを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
266
HTTP sessions(HTTP セッション):
HTTP 設定は、タイムアウト値などを含むプロトコルレベルでの接続のパラメーター
を決定します。詳細については、8.4 HTTP セッションハンドリングを参照してくださ
い。
HTTP settings(HTTP 設定):
HTTP 設定は、タイムアウト値などを含むプロトコルレベルでの接続のパラメーター
を決定します。詳細については、8.5 プロトコルレベルの HTTP 設定の作成と編集を
参照してください。
8.1
HTTP 接続を処理する際の制限事項
SCB の現在のバージョンは、他のプロトコルで使用できる次の機能をサポートしていません:
8.2
Gateway authentication(ゲートウェイ認証)
4-eyes authorization(4-eyes 認証)
Usermapping policies(ユーザーマッピングポリシー)
User authentication to LDAP servers(LDAP サーバーへのユーザー認証)
HTTP 環境における SCB の展開シナリオ
HTTPとHTTPS接続の監査は、透過モードと非透過モード(透過モードは、ルーターとブリッジモー
ドでのみ使用できます)の両方で可能です。 SCBはまた、HTTP / HTTPSプロキシとして使用でき、
クライアント構成とネットワーク環境への統合を簡素化できます。または、HTTPトンネルとして振舞
い、HTTPトラフィックを転送することもできます。
8.2.1
HTTP プロキシとの相互作用
HTTP プロキシへ HTTP 接続を転送することは現在サポートされていません。クライアントがターゲ
ットサーバーにアクセスするために HTTP プロキシを使用する場合は、プロキシの後ろに SCB を配
置します: クライアント - HTTP プロキシ - SCB
BalaBit Shell Control Box 4 LTS
Rev. 1.0
267
警告
クライアント –
SCB
- HTTP プロキシのシナリオはサポートさ
れていません。
8.3
HTTP 接続を設定する
このセクションでは、接続構成のHTTP固有の詳細を説明することに焦点を当てています。接続の
構成の詳細については、7 接続の設定を参照してください
8.3.1
透過的 HTTP 接続を設定する
目的:
透過的 HTTP 接続のセットアップは、次の Step を実行します。
前提条件:
HTTP 接続を透過的に監査するには、SCB はルーターモードでなければなりません。(HTTP 接続
をバスシオンモードで監査するには、8.3.2 HTTP プロキシとして動作するように SCB を有効にす
るを参照してください。)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
268
図 8-1 透過的 HTTP 接続
Steps:
Step 1.
接続ポリシーを識別する Name フィールドに接続の名前を入力します。
Step 2.
IP アドレスを入力します。オプションで、サーバーへのアクセスを許可されたクライアント
のネットマスクを入力します。 ネットマスクが指定されていない場合、SCB は/32 と仮定
します。
Step 3.
IP アドレスを入力します。オプションで、クライアントがターゲットとするネットマスクを入
力します。ネットマスクが指定されていない場合、SCB は/32 と仮定します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
269
Step 4.
Target において、Use original target address of the client を選択します。(このオプショ
ンは SCB がルーターモードのときのみ利用できます。)SNAT において、Use the original
IP address of SCB を選択します。
Step 5.
SCB は着信セッションが暗号化されているかどうかを自動的に判断することはできませ
んので、同じセッションに対して HTTPS 用に同内容の接続ポリシーをセットアップする必
要があります。その結果、HTTP と HTTPS セッションは別々のトレイルに保存されます。
Step a. 上記と同じ設定で新しい接続ポリシーをセットアップ。
Step b. Port を 443 に設定。
Step c. SSL 暗号化を有効にします。詳細については、8.3.3 HTTP で SSL 暗号化を
有効にするを参照してください。
8.3.2
HTTP プロキシとして動作するように SCB を有効にする
目的:
SCBをHTTPプロキシとして動作させるには、次のStepを実行します。
図 8-2 HTTP プロシキとしての動作
BalaBit Shell Control Box 4 LTS
Rev. 1.0
270
Steps:
Step 1.
HTTP プロキシとして SCB を使用するようにクライアントを設定するには、Act as HTTP
proxy を有効にします。
Step 2.
Target として、Inband destination selection を選択します。
Step 3.
任意の HTTP サーバーへのアクセスを許可するには、Domain フィールドに 0.0.0.0/0
を入力してください。別の方法として、アクセスを許可する HTTP アドレスの IP アドレスま
たはサブネットを入力します。
Step 4.
宛先サーバーの任意のポートへ HTTP アクセスを許可するには、Domain の Port フィー
ルドを空にしておきます。
それ以外の場合は、クライアントは指定したポートのみにアクセスを許可されます。
Step 5.
SCB が HTTP 接続を受け入れるべきポートを、To > Port フィールドに入力します。 Act
as HTTP proxy 設定を使用するときのデフォルトのポート番号は 3128 です。この値は、
クライアント上のプロキシポートの設定と同じである必要があります。
Step 6.
クライアント上でプロキシとして SCB を設定していることを確認してください。
8.3.3
HTTP で SSL 暗号化を有効にする
目的:
SSL 暗号化を有効にするには、次の Step を実行します。この設定では、SSL 暗号化を強制するか、
あるいは HTTP リクエストでも HTTPS リクエストでも受け入れるかのどちらかになります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
271
図 8-3 HTTP で SSL 暗号化を有効にする
Steps:
Step 1.
SSL Settings で、Permit HTTPS traffic を選択します。同じ接続ポリシーを使用して、プ
レーンな HTTP トラフィックを制御するには、Allow HTTP traffic を有効にします。
Step 2.
クライアントに提示するための証明書を選択します。
セッションごとに同じ証明書を使用する場合は、Use the same certificate for
each connection を選択します。
注記
接続ポリシーで Use the same certificate for each connection オ
プションを使用し、かつ HTTPS で複数サーバーへのアクセスが可
能な設定の場合、クライアントのブラウザでは警告が表示されま
BalaBit Shell Control Box 4 LTS
Rev. 1.0
272
す。これは接続で使用する証明書が無効になるから、つまり証明
書の Common Name(共通名)が、サーバーのホスト名または IP ア
ドレスと一致しないからです。
セッションごとに別々の証明書を使用するには、次の Step を実行します。
Step a. まず認証局を作成し、SCB がサーバーに提示する証明書へこれを使用し
て署名します。詳細については、7.12 証明書の on-the-fly (必要時に動的
な)署名を参照してください。
Step b. Bridge certificate を選択します。この場合、SCB は、証明書の橋渡しを実
行、つまり、選択された Certificate Authority(認証局)によって発行された
新しいものへ、サーバーの証明書からデータをコピーします。
注記
Bridge certificate オプションは他のプロトコルの設定
の Generate certificate on-the-fly オプションと同じよ
うには動作しません。
Step c. Signing CA フィールドで、使用する認証局を選択します。
注記
クライアントに署名する Certificate Authority(認証
局)の証明書をインポートします。
インポートしない場合は、未知の認証局であるのでク
ライアントブラウザが警告を表示することになりま
す。
Step 3.
SCB がサーバーを認証する方法を選択します。
証 明 書 を 要 求 す る こ と な く 、 サ ー バ ー へ の 接 続 を 許 可 す る た め に 、 No
validation を選択します。
特定の CA によって署名された有効な証明書を持つサーバーへのみ接続を許
BalaBit Shell Control Box 4 LTS
Rev. 1.0
273
可するには、次の Step を実行します。
Step a. サーバーの証明書を検証するために使用される、信頼された認証局のリス
トを作成します。信頼された CA リストの作成の詳細については、7.11 認証
局での証明書確認を参照してください。
Step b. Only accept certificates authenticated by the trusted CA list を選択しま
す。
Step c. Trusted CA フィールドで、使用する認証局リストを選択します。
8.3.4
HTTP で片側 SSL 暗号化の設定
目的:
片側SSL暗号化を有効にするには、クライアント側はHTTPS、サーバー側はHTTPとして、以下の
Stepを実行します。
図 8-4 HTTP で片側 SSL 暗号化を有効にする
BalaBit Shell Control Box 4 LTS
Rev. 1.0
274
制限事項:
SSL と TLS のサーバー名表示(Server Name Indication = SNI)の拡張機能は、適切なクライアント
OS とブラウザの組み合わせでのみサポートされています。制限事項の詳細につい ては、
Browsers with support for TLS server name indication を参照してください。いくつかサポートされて
いないシナリオがあります。例えば、Windows XP の Internet Explorer のすべてのバージョン、
Ubuntu Lucid の Mozilla Firefox の特定のバージョンなどです。クライアントが SNI に対応していな
い場合、CN(Common Name、共通名)にはターゲット IP が含まれるので、これらのサーバーにアク
セスするときにクライアントブラウザは警告を表示します。
注記
Generate certificate on-the-fly を選択し、接続が透過的なセットアップであ
るとき、CN(Common Name)フィールドには、SNI(サーバー名表示)を使用し
てサーバー名が埋められています。クライアントが SNI に対応していない場
合、CN にはターゲット IP が入っているので、クライアントブラウザ上で証明
書検証の警告が発生する可能性があります。
Steps:
Step 1.
SSL Settings で、Require HTTPS on client side and HTTP on server side を選択します。
注記
この接続の Target が Use fix address で構成され、ポート番号が 443 に設定
されている場合でも、Require HTTPS on client side and HTTP on server
side を選択している場合、SCB はまだ自動的に、サーバーに接続するため
にポート 80 を使用します。
Step 2.
固定の証明書を使用するには、Use the same certificate for each connection を選択し
て、証明書をコピーまたはアップロードします。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
Step 3.
提供された Signing CA(署名 CA)によって署名された証明書を on-the-fly(必要時に動
的)で生成するには、Generate certificate on-the-fly を選択します。このオプションでは
署名 CA のパラメーターを使用しますが、ターゲットホスト名が入っている CN フィールド
は除きます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
275
注記
Generate certificate on-the-fly を選択し、接続が透過的なセットアップであ
ると、CN フィールドは、SNI(サーバー名表示)を使用して満たされます。クラ
イアントが SNI をサポートしていない場合には、CN はクライアントのブラウザ
上で証明書の検証の警告が発生する可能性があるターゲット IP を含みま
す。
8.4
HTTP セッションハンドリング
HTTP 通信は、クライアントからの要求及びサーバーの応答で成りたっています(交換とも呼ばれ
ます)。SSH のような他のプロトコルとは異なり、これらの要求 - 応答のペアは、明確に定義され
た、継続的な接続を形成しません。
そのため、SCB は、以下の点に該当する場合、HTTP 要求と応答のペアが特定のセッションに属し
ているとみなします。
クライアントの IP アドレスが同じである
ターゲットサーバ(IP アドレスではなく)のホスト名が同じである
同じクライアント-サーバー間での最後の要求-応答ペアからの経過時間が、セッ
ションタイムアウト値(デフォルトで 15 分)未満である。
SCB はセッションごとに別々の監査トレイルを作成し、アクセスした URL を記録します。これらは
Search > Search ページに表示されます。表示されていない列がある場合は、Customize columns...
をクリックして表示可能です。
8.5
プロトコルレベルの HTTP 設定の作成と編集
目的:
HTTP設定は、タイムアウト値などを含むプロトコルレベルでの接続のパラメーターを決定します。
HTTP設定プロファイルを新規作成する、または既存を編集するには、以下のStepを実行します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
276
警告
HTTP 設定の編集は上級ユーザーにのみお奨めします。 何をしているか正
確に理解していない場合、これらの設定を変更しないでください。
Steps:
Step 1.
HTTP Control メニュー項目の Settings タブに移動して、HTTP の設定プロファイルを作
成するために、
をクリックします。プロファイルの名前を入力します(例:
http_special)。
Step 2.
接続のパラメーターを表示するには、
Step 3.
必要に応じてパラメーターを変更します。次のパラメーターが用意されています。
をクリックしてください。
Idle timeout(アイドルタイムアウト):
セッションのタイムアウト値をミリ秒単位で設定します。早々とタイムアウトにな
るのを避けるため、大きな値、例えば 1 週間(604800000 ミリ秒)などに設定しま
す。
警告
接続のアイドル判定は、ユーザーのアクティビティではなく、
接続で発生するネットワークトラフィックに基づいて行われま
す。例えばアプリケーションやデスクトップ画面のタスクバー
で1分毎に時間を更新表示する場合、これはネットワークトラ
フィックを毎分発生させるので、1分より大きく設定したタイム
アウト値の効果を無効にし、SCBに接続を閉じさせません。
Session timeout (セッションタイムアウト):
セッションのタイムアウト値を秒単位で設定します。
Enable pre channel check (事前チャンネルチェックの有効化):
サーバー側の接続を確立する前に、接続とチャンネルポリシーを評価する場合、
このオプションを選択します。接続が一切許可されない場合、SCB はサーバー
側の接続を確立しません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
277
注記
このオプションを無効にすることはできません。
Step 4.
Commit
をクリックします。
Step 5.
接続の HTTP settings フィールドで、この設定プロファイルを選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
278
9
ICA - 固有の設定
以下の節では、ICA プロトコル固有の設定について説明します。誰が、いつ、どのように ICA 接続
にアクセスできるかについて、以下のポリシーを使用します。
ICA connections(ICA 接続)
詳細については、9.1 ICA 接続の設定を参照してください。
Channel Policy(チャンネルポリシー)
チャンネルポリシーは、どの ICA チャンネル(例: クリップボード、ファイル共有など)
が接続で使用できるか、それらが監査されるか否かを決定します。それぞれのチャ
ンネルの利用には、チャンネルポリシーでの設定内容に応じて、一定の制限が行
われる場合があります。詳細については、7.5 チャンネルポリシーの作成と編集を参
照してください。
ICA settings(ICA 設定)
ICA 設定はプロトコルレベルでの接続パラメーターを決定し、これにはタイムアウト
値や表示パラメーターが含まれます。詳細については、9.3 プロトコルレベルの
ICA 設定の作成と編集を参照してください。
展開シナリオ
Citrix 環境で利用可能な SCB 展開シナリオについて説明します。詳細については、
9.4 Citrix 環境での SCB 展開シナリオを参照してください。
9.1
ICA 接続の設定
ここでは、ICA 接続の固有設定について説明します。接続設定に関する詳細については、7 接続
の設定を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
279
警告
クライアントのアクセス先のリモートアプリケーションやデスクトップが、
Anonymous ( 匿 名 ) ユ ー ザ ー で共 有 され ている ( つ ま り Citrix Delivery
Service Console でアプリケーションの Users プロパティが Allow anonymous
users(匿名ユーザーを許可)に設定されている)場合、実際のリモートセッ
ションは Anonymous(匿名)アカウント名(例: Anon001, Anon002 など)で実
行されます。リモートサーバーにアクセスするために使用されるユーザー名
ではありません。このため Anon* ユーザー名への usermapping(ユーザー
マッピング)を有効にする必要があります。
これを完了するには、ユーザーマッピングポリシーを作成して Username
オプションに Anon* 、Groups オプションに * を設定し、ICA 接続にこの
ユーザーマッピングポリシー使用します。ユーザーマッピングポリシーに関
する詳細については、17.1 ユーザーマッピングポリシーの設定を参照してく
ださい。
Reliable connection(安定した接続)は Common Gateway Protocol(CGP)として知られています。
CGP はネットワーク障害の際にサーバーへ再接続を試みます。この機能を使用するためには、
Reliable connections(安定した接続)を有効にして右上角の Port(ポート)フィールドにデフォルトポ
ート番号を入力します。
SCB を SOCKS プロキシとして使用するクライアントを構成する場合は、Act as SOCKS proxy
(SOCKS プロキシーとして動作)を有効にします。このオプションを有効にすると、Target(ターゲッ
ト)として Inband destination selection(帯域内宛先の選択)を選択できます。Address(アドレス)フ
ィールドにこの接続ポリシーでクライアントが使用するブローカー(Citrix XML Broker)の IP アドレス
または IP アドレス/ネットマスクを入力します。クライアントは通常最初に 443 ポートを使用しブロー
カーへのアクセスを試みるため、443 ポートでブローカーにアクセスできるようにすることをお奨め
します。443 ポートが無効の場合、SCB の Search(検索)インターフェースに接続試行の度に接続
拒否が表示される(しかしクライアントはサーバーに接続できる)原因となります。
警告
SCB はブローカーとクライアント間のトラフィックの監査や監視は行わず、
SCB の Search(検索)インターフェースに表示しません。クライアントと実際
に監査されるサーバーの間の接続のみを監査、監視します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
280
警告
SCB が SOCKS プロキシとして動作する場合、SCB 設定でアクセスを不許
可にしたサーバーにクライアントがアクセスしようとしても、SCB は接続を拒
否します。しかし、Citrix クライアントアプリケーションは、サーバーがクライ
アントから直接アクセス可能な場合、自動的にプロキシを使用せずに直接
サーバーに接続を試み、接続を成功させます。SCB はこのような直接接続
は監査できないので、これを防げるよう適切にファイアーウォールが設定さ
れていることをご確認ください。
注記
Reliable connection(安定した接続)または Act as SOCKS proxy(SOCKS プ
ロキシーとして動作)を初めて有効にするとき、特定の設定に基づいて使用
されるデフォルトポートを提案する警告メッセージが表示されます。またこ
れらのオプションのツールチップには、デフォルトポート番号に関する最新
情報が含まれています。
9.2
サポート対象の ICA チャンネルタイプ
利用可能な ICA チャンネルタイプと機能について説明します。サポートされるクライアントアプリケ
ーションのリストについては、2.2 サポート対象プロトコルとクライアントアプリケーションを参照して
ください。
Drawing (Thinwire)
サーバーのデスクトップ(画面)へのアクセスを可能にします。このチャンネルはグラ
フィックとユーザー入力(キーボード、マウス)をリモートで使用するためのものです。
このチャンネルは ICA の動作のため有効にする必要があります。
Audio Mapping
サーバーのサウンドデバイスへのアクセスを可能にします。
Drive Mapping
サーバー上でクライアントハードドライブへのアクセスを可能にします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
281
Clipboard
サーバーのクリップボードへのアクセスを可能にします。リモートデスクトップのクリ
ップボードをローカルアプリケーションにペーストできます(逆も可能)。SCB は
Clipboard チャンネルを監査できますが、Audit Player は現在そのコンテンツを検
索したり表示したりすることができないことにご注意ください。
Smartcard
クライアント側でインストールされたスマートカードをサーバー側アプリケーションで
使用することを可能にします。
Printer(COM1)
シリアルポート COM1へのアクセスを可能にします。
Printer(COM2)
シリアルポート COM2 へのアクセスを可能にします。
Printer(LPT1)
パラレルポート LPT1へのアクセスを可能にします。
Printer(LPT2)
パラレルポート LPT2 へのアクセスを可能にします。
Printer Spooler
リモートデスクトップとアプリケーションからクライアントのプリンターへのアクセスを
可能にします。
HDX Mediastream
ユーザーウィジェット(例: Flash player)の中にはサーバー上で動かないがクライア
ント上で動くものがあります。これらのウィジェットはこのチャンネルを使用してサー
バー側から管理されます。これは Audit Player でサポートされておらず、初期設定
は無効です。
USB
クライアント側でインストールされた USB デバイスをサーバー側アプリケーションで
使用することを可能にします。
Seamless
デスクトップ全体にアクセスする代わりに ICA サーバー上で単一のアプリケーション
を実行するシームレスチャンネルを有効にします。無効にすると、空のデスクトップ
とともにアプリケーションウィンドウがアクセスされます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
282
Speedbrowse
Web のブラウザを高速化します。Audit Player では現在サポートされていません。初
期設定では無効にしてください。
Custom
アプリケーションは、サーバーにリモートで接続するクライアントに対してカスタムチ
ャンネルを開くことができます。カスタムチャンネルを有効にすると、これらのカスタ
ムチャンネル全てにクライアントがアクセスできます。特定のチャンネルのみ許可す
る場合は、Details(詳細)フィールドにチャンネルに固有の名前を入力します。
注記
チャンネルが開いたとき、リモートグループがまだ知られていない特定のケ
ースがあります。例えば、RDPやICAログイン画面の場合では、Drawingチャ
ンネルが適切にログオン画面を表示するために最初に開かれなければなり
ません。Remote groupフィールドが空の場合にのみチャンネルルールが適
用されます。ネットワークレベル認証の場合は、すべての必要な情報がすで
に存在していますので、この制限は適用されません。
注記
マルチストリーム ICA は、SCB 4 LTS ではサポートされません。
9.3
プロトコルレベルの ICA 設定の作成と編集
目的:
ICA settings(ICA 設定)は、プロトコルレベルでタイムアウト値などを含む接続パラメーターを決定
します。ここでは、新しい ICA settings(ICA 設定)プロファイルを作成、または既存のものを編集す
るため手順について説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
283
図 9-1 ICA settings(ICA 設定)
警告
ICA 設定の編集は上級ユーザーにのみお奨めします。 何をしているか正
確に理解していない場合、これらの設定を変更しないでください。
Steps:
Step 1.
ICA setting(ICA 設定)プロファイルを新しく作成する場合は、ICA Control > Settings タ
ブに進み、
をクリックしてエントリーを追加します。タブ上の入力フィールドに、ICA
setting の名前を入力します(例: ica_special)。
Step 2.
既存の ICA setting(ICA 設定)プロファイルを編集する場合は、
をクリックして設定を表
示させます。
Step 3.
必要に応じてパラメーターを修正します。以下のパラメーターを利用できます。
Idle timeout(アイドルタイムアウト)
接続タイムアウト(ミリ秒)の値。早々とタイムアウトになるのを避けるため、大きな
値、例えば 1 週間(604800000 ミリ秒)などに設定します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
284
警告
接続のアイドル判定は、ユーザーのアクティビティでは
なく、接続で発生するネットワークトラフィックに基づいて
行われます。例えばアプリケーションやデスクトップ画
面のタスクバーで1分毎に時間を更新表示する場合、こ
れはネットワークトラフィックを毎分発生させるので、1
分より大きく設定したタイムアウト値の効果を無効にし、
SCB に接続を閉じさせません。
Reconnect timeout(再接続タイムアウト)
Reliable connections(安定した接続)が有効な場合、SCB が再接続をタイムアウト
す る ま で の 時 間 ( ミ リ 秒 ) 。 Reliable connections ( 安 定 し た 接 続 ) は Common
Gateway Protocol(CGP)を使用します。
Server connection attempts(サーバー接続試行)
SCB がターゲットサーバーへの接続を試みる回数。
Reconnection intervals(再接続インターバル)
サーバー側での接続試行間に SCB が待機する時間(ミリ秒)
Enable pre channel check(事前チャンネルチェックの有効化)
サーバー側の接続を確立する前に、接続とチャンネルポリシーを評価する場合、有
効します。接続が全く許可されない場合、SCB はサーバー側の接続を確立しませ
ん。
注記
Reliability(信頼性)セクションの設定は、ICA Control >
Connections で Reliable connection(安定した接続)を有
効にしている場合のみ適用されます。
Step 4.
Commit
をクリックします。
Step 5.
接続の ICA settings(ICA 設定)フィールドで、この setting(設定)プロフィールを選択しま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
285
9.4
Citrix 環境での SCB 展開シナリオ
この節では、Citrix 環境で利用可能な SCB 展開シナリオを説明します。矢印上のテキストは(ステ
ップ番号)ターゲットポートの形式です。ターゲットポートは通信で使用されるプロトコルを定義しま
す。
80
Web サービス、HTTP
ブローカー(v12 と、v11 は XenApp のみ)からの XML 形式で取得される利用可能な
リソースのリスト。ブローカーはセキュアゲートウェイとサーバーアドレスを含む必要
な全ての情報をクライアントに送信します。
8080
XML サービス、HTTP + XML
アプリケーションの発見、ロードバランシング(v12 と、v11 は XenApp のみ)。(ロード
バランシングなどに使用される)ブローカーからクライアントによるアプリケーション/
デスクトップへのターゲットを取得するために使用されます。
443
SSL でラップされた、XML サービスアクセス、SOCKS/ICA、CGP/ICA。クライアント
は全てに対してこのポートでセキュアゲートウェイと通信します。
1080
SOCKS
SOCKS プロキシを使用してターゲットサーバーやブローカーにアクセスするよう、ク
ライアントを設定できます。
1494
Plain ICA
2598
CGP/ICA(Reliable モードが有効の場合)
警告
XenDesktop へのアクセスは、次のシナリオでのみサポートされています。信
頼性の高い接続(CGP)だけがサポートされています。
クライアント – ブローカー – SCB – サーバー(透過モード)
クライアント – ブローカー – SOCKS プロキシ(SCB) - サーバー
BalaBit Shell Control Box 4 LTS
Rev. 1.0
286
クライアント – SCB – サーバー(透過モード)
SCB をクライアントとサーバー間に展開し、クライアントはブローカーやセキュアゲートウェイなしで
事前定義済みの接続ファイルまたは Program Neighborhood を使用します。クライアントはオリジナ
ルの ICA/CGP サーバーへ接続を試みます。
図 9-2 クライアント – SCB – サーバー(透過モード)
クライアント – SCB – サーバー(非透過モード)
SCB をクライアントとサーバー間に展開し、クライアントはブローカーやセキュアゲートウェイなしで、
事前定義済みの接続ファイルまたは Program Neighborhood を使用します。クライアントは SCB に
接続を試み、この SCB が、例えば送信元 IP に基づいて、あるいは SCB 自体が IP アドレスを複数
持つことによって、接続先ターゲットを識別できるという形態です。
図 9-3 クライアント – SCB – サーバー(非透過モード)
クライアント – ブローカー – SCB – サーバー(透過モード)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
287
クライアントは利用可能なアプリケーションとサーバーのリストを提供するファームブローカーを使
用していますが、ネットワークでセキュアゲートウェイを使用していません。SCB は透過モードでク
ライアントとサーバー間に配置され、クライアントがブローカーから得たサーバーIP アドレスに接続
を試みるときに接続を受け取ります。
図 9-4 クライアント – ブローカー – SCB – サーバー(透過モード)
クライアント – ブローカー – オリジナル セキュアゲートウェイ - Secure Ticket Authority(STA)
- SCB – サーバー
このセットアップでは、セキュアゲートウェイがネットワーク内で使用されており、SCB はこのゲート
ウェイとサーバー間に透過モードで配置されています。クライアントは利用可能なアプリケーション
/サーバーのリストを得るため最初はブローカーに接続し、以後はオリジナルのセキュアゲートウェ
イ経由で接続します。ゲートウェイは接続をブローカーまたは CGP/ICA サーバーのいずれかにフ
ォワードしますが、SCB は後者を傍受し、監査、制御します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
288
図 9-5 クライアント - ブローカー-オリジナル セキュアゲートウェイ
- Secure Ticket Authority(STA)- SCB - サーバー
クライアント – ブローカー – SOCKS プロキシ(SCB) - サーバー
このセットアップでは、SCB はクライアントに対して SOCKS プロキシとして振舞います。これは、手
動で設定、もしくはブローカーにより特定されます。これ以降クライアントからブローカーやサーバ
ーへの全接続はプロキシとしての SCB を使用して行うため、SCB がこれらの接続を監査・管理で
きます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
289
図 9-6 クライアント – ブローカー – SOCKS プロキシ(SCB) - サーバー
9.5
トラブルシューティング - Citrix 関連の問題
Remote Desktop Protocol を使用する Citrix サーバーアクセス
Remote Desktop Protocol を使用する Citrix サーバーアクセスは、特定の状況で失敗する場合が
あります。この場合接続が終了し、クライアント上で「ERROR: error while decompressing packet」エ
ラーメッセージが表示されるか、もしくはサーバー上で「Event56, TermDD, The Terminal Server
security layer detected an error in the protocol stream and has disconnected the client.」メッセー
ジが表示されます。
この問題を解決するには、サーバーのネットワークカードの設定を修正し、Large Send Offload オ
プションを無効にします。
注記
この問題は、あなたの環境で SCB を使用することと関係はありません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
290
10
RDP - 固有の設定
以下の節では、RDP プロトコル固有の設定について説明します。誰が、いつ、どのように RDP 接続
にアクセスできるかについて、以下のポリシーを使用します。
Channel Policy(チャンネルポリシー)
Channel Policy(チャンネルポリシー)は、どの RDP チャンネル(例: クリップボ
ード、ファイル共有など)が接続で使用することができるか、またそれらを監査する
か否かを決定します。それぞれのチャンネルの利用には、チャンネルポリシーでの
設定内容に応じて、一定の制限が行われる場合があります。詳細については、7.5
チャンネルポリシーの作成と編集を参照してください。
RDP settings(RDP 設定)
RDP 設定はプロトコルレベルでの接続パラメーターを決定し、これにはタイムアウト
値、表示パラメーター、さらには許可される RDP のバージョンが含まれます。詳細に
ついては、10.2 プロトコルレベルの RDP 設定の作成と編集を参照してください。
Domain membership(ドメインメンバーシップ)
ネットワークレベル認証(Network Layer Authentication)(CredSSP)を使用する場
合、SCB はドメインメンバーである必要があります。詳細については、10.3SCB のド
メイン参加を参照してください。
SSL 暗号化接続
SSL 暗号化 RDP 接続のセットアップ方法に関する詳細については、10.5 SSL 暗号
化 RDP 接続の使用と 10.6 暗号化された接続での RDP サーバーの証明書の検証
を参照してください。
SCB をターミナルサービスゲートウェイとする
SCB が Terminal Services Gateway Server Protocol を使用する接続を受け入れる
ように設定する方法については、10.7 ターミナル サービス ゲートウェイとしての
SCB 使用を参照してください。
Content Policy(コンテンツポリシー)
コンテンツポリシーを使用すれば、接続のコンテンツを検査してさまざまなテキスト
パターンを探し、パターンが見つかった場合にアクションを実行することができます。
例えば RDP 接続や VNC 接続で特定のウィンドウタイトルが表示された場合、SCB
は E メールでアラート送信することができます。詳細については、7.6.1 新しいコンテ
ンツポリシーの作成を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
291
マルチモニター(Multimon)の使用がサポートされています。 Multimon を有効にするには、次の 3
つの方法のいずれかを使用します。
クライアントマシンのリモートデスクトップ接続 (mstsc.exe)ウィンドウで、画面タブ
の「リモートセッションですべてのモニターを使用する」オプションを有効にします。
10.1
mstsc.exe のコマンドラインに /multimon スイッチを使用
RDP ファイルに、use multimon:i:1 行を追加
サポート対象の RDP チャンネルタイプ
ここでは、利用可能な RDP チャンネルタイプとその機能について説明します。サポートされるクライ
アントアプリケーションのリストについては、2.2 サポート対象プロトコルとクライアントアプリケーショ
ンを参照してください。
Drawing(描画)
サーバーのグラフィカルデスクトップ(スクリーン)へのアクセスを有効にします。
RDP で作業するには、このチャンネルを有効にする必要があります。
注記
Drawing チャンネルが無効かつ SCB の負荷が高い場合、または
接続が 4-eyes 承認を要求し承認者が接続を受け入れるのが遅
い場合は、クライアントは以下のエラーメッセージを受け取る可能
性があります。
The Remote Desktop Gateway server administrator
has ended the connection.
Try reconnecting later or contact your network
administrator for assistance
(リモートデスクトップゲートウェイサーバー管理者の接続が終了
しました。再接続するかネットワーク管理者に連絡して援助を仰
いで下さい。)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
292
Clipboard(クリップボード)
サーバーのクリップボードへのアクセスを有効にします。リモートデスクトップのクリ
ップボードをローカルアプリケーションにペーストすることができます(その逆も可能
です)。SCB は Clipboard(クリップボード)チャンネルを監査することができます
が、現在は Audit Player でそのコンテンツを検索したり表示したりできないことにご
注意ください。
Redirects(リダイレクト)
RDP で利用できる全てのデバイスリダイレクト(例: ファイル共有、プリンター共有、
デバイス(例: CD-ROM)共有など)へのアクセスを有効にします。
Search > Search ページの File operations カラムでファイル操作のリストを利用
可能にするには、プロトコルの Channel Policies(チャンネルポリシー)ページに
移動し、Log file transfers to database(ログファイルをデータベースに転送す
る)オプションを有効にします。このオプションはデフォルトでは無効になってい
ます。
システム·ログにファイル操作を送信するために、Log file transfers to syslog(ロ
グファイルをシスログに転送する)オプションを有効にします。このオプションは
デフォルトでは無効になっています。
注記
ロギングの設定をすると、わずかにパフォーマンスが低下する可
能性があります。トラフィックの負荷により処理が遅くなる場合
は、オプションを無効にしてください。このオプションが有効でなく
ても、Audit Player でファイルリストを確認することができます。
リダイレクトを特定のタイプのみ有効にする場合は、以下のチャンネルを使用します。
Serial redirect(シリアル リダイレクト)
シリアルポートのリダイレクトを有効にします
Parallel redirect(パラレル リダイレクト)
パラレルポートのリダイレクトを有効にします
Printer redirect(プリンター リダイレクト)
共有プリンターへのアクセスを有効にします
Disk redirect(ディスク リダイレクト)
共有ディスクドライブへのアクセスを有効にします
BalaBit Shell Control Box 4 LTS
Rev. 1.0
293
SCard redirect(スマートカード リダイレクト)
共有スマートカードデバイスへのアクセスを有効にします
特定のリダイレクトのみを許可する場合は、Channel details(チャンネル詳細)
フィールドにユニークなリダイレクト名を入力します。例えば、共有ディスクドラ
イブ C:\ へのアクセスのみを有効にしたい場合は、Disk redirect(ディスク リ
ダイレクト)チャンネルを有効にし、Channel details(チャンネル詳細)フィールド
に C:\ と入力します。デバイスの名前はデバイスそのものに由来することに
ご注意ください。つまり、これは大文字小文字が区別され、セキュリティの観点
からは必ずしも信頼できるものではありません。
Sound
サーバーのサウンドデバイスへのアクセスを有効にします。
Custom(カスタム)
アプリケーションはリモートでサーバーに接続するクライアントにカスタムチャンネル
を開くことができます。Custom(カスタム)チャンネルを有効にすると、クライアントは
全てのカスタムチャンネルにアクセスできます。特定のチャンネルのみを許可する
場合は、Channel details(チャンネル詳細)フィールドにチャンネルの名前を入力し
ます。
Seamless(シームレス)
デスクトップ全体にアクセスするのではなく、RDP サーバー上で単一のアプリケーシ
ョンを実行するシームレスチャンネルを有効にします。
Dynamic virtual channel(動的仮想チャンネル)
サーバーが動的にクライアントに戻るチャンネルをオープンできるようにします。特
定の動的チャンネルのみを許可する場合は、Channel details(チャンネル詳細)を
選択して
をクリックし、許可するチャンネルの名前をフィールドに入力します。
注記
チャンネルが開いたとき、リモートグループがまだ知られていない特定のケ
ースがあります。例えば、RDPやICAログイン画面の場合では、Drawingチ
ャンネルが適切にログオン画面を表示するために最初に開かれなければ
なりません。Remote groupフィールドが空の場合にのみチャンネルルール
が適用されます。ネットワークレベル認証の場合は、すべての必要な情報
がすでに存在していますので、この制限は適用されません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
294
10.2
プロトコルレベルの RDP 設定の作成と編集
目的:
RDP 設定は、プロトコルレベルでタイムアウトや接続で許可された RDP のバージョン、ディスプレイ
パラメーターを含む接続パラメーターを決定します。ここでは、新しい RDP 設定プロファイルの作成
手順と既存設定の編集手順について説明します。
図 10-1 RDP 設定
警告
RDP 設定の修正は、上級ユーザーのみ行ってください。不明な場合は、こ
れらの設定を変更しないで下さい。
Steps:
Step 1.
(新しい RDP 設定を作成する場合は)RDP Control > Settings に進み、
をクリックして
RDP 設定プロファイルを作成します。タブ上の入力フィールドにプロファイル名(例:
rdp5only)を入力します。
Step 2.
(既存の RDP 設定を編集する場合は)
をクリックし、RDP 接続設定を表示させます。
Step 3.
必要に応じてパラメーターを修正します。以下のパラメーターを使用できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
295
Idle timeout(アイドルタイムアウト)
接続タイムアウト(ミリ秒)の値。初期のタイムアウトを回避するために、例えば
大きな値、1 週間(604800000 ミリ秒)に設定します。
警告
接続がアイドルかどうかの決定は、ユーザーのアク
ティビティではなく、接続で発生したネットワークトラ
フィックに基づきます。例えば、アプリケーションやグ
ラフィカルなデスクトップのタスクバーが毎分更新さ
れた時間を表示する場合、これは毎分ネットワークト
ラフィックを発生させ、1 分以上のタイムアウト値の
効果を無効にし、SCB が接続を閉じるのをさまたげ
ます。
警告
Idle timeout(アイドルタイムアウト値)が31秒未満に
設定されている場合は、RDP Control > Connections
で、Act as a TS Gateway を有効に設定している場
合、MSTSCは失敗して、再接続できない可能性があ
ります。これを防ぐには、Idle timeout(アイドルタイム
アウト値)を少なくとも31秒に設定します。
Maximum display width(最大表示幅)
リモートデスクトップの最大幅 (ピクセル)(例: 1024)
Maximum display height(最大表示高さ)
リモートデスクトップの最大高さ(ピクセル)(例: 768)
注記
最大表示幅と高さは、クライアントのモニタセットアッ
プとの組み合わせでの解像度をカバーするのに十分
な大きさで指定してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
296
Maximum display depth(最大表示深度)
リモートデスクトップの最大色深度(ビット)(例: 24)
有効値: 8, 15, 16, 24, 32
注記
32 ビット色深度の使用は、現在サポートされていま
せん。
32 ビットの色深度を要求するクライアントの接続は
自動的に 24 ビットになります。
警告
Windows バージョンの中には、24 ビット色深度をサ
ポートしていないものもあります。この場合は、16 ビ
ット深度のみをご使用ください。SCB は自動的にそ
の設定を 16 ビットに変更します。
Enable RDP4(RDP 4 を有効にする)
Remote Desktop Protocol のバージョン 4 を有効にする場合は、このオプション
を選択します。
Enable RDP5(RDP 5 を有効にする)
Remote Desktop Protocol のバージョン 5 を有効にする場合は、このオプション
を選択します。このオプションにより、RDP での SSL 暗号化が可能になります。
Enable RDP6 or newer(RDP 6 以降 を有効にする)
資格情報のセキュリティサービスプロバイダー(CredSSP、またはネットワーク
レベル認証(Network Level Authentication または、NLA))の使用を有効にする
場合は、このオプションを選択します。このオプションを有効にする場合以下の
どちらかの必要があります。すなわち、
Local User Database を使用します。詳細については、7.13 ローカルユ
ーザーデータベースの作成を参照してください。または、
SCB をドメインに参加させる必要があります。ターゲットサーバーおよ
び SCB は、同じドメイン内にある必要があります。または、ターゲット
サーバーおよび SCB が含まれているドメイン間の信頼関係を確立す
る必要があります。要求される信頼関係のタイプの詳細については、
10.4 複数ドメインにわたる SCB の使用を参照してください。SCB をドメ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
297
インに参加させる構成手順について、詳細については、10.3 SCB のド
メイン参加を参照してください。
以下の点に、ご注意ください。
SSL 暗号化接続には(RDP 6 の場合であっても)このオプションは必要
ありません。ネットワークレベル認証(Network Level Authentication)
の場合にのみ要求されます。
このオプションが有効である場合は、スマートカード認証を使用できま
せん。
警告
RDP6 を使用して Windows 2008 Server R2 を稼働し
ているホストにアクセスする場合は、Enable RDP4
style authentication(RDP4 スタイル認証を
有効にする)オプションも選んで下さい。
警告
Windows XP SP3 で RDP6 を使用して CredSSP でサ
ーバーにアクセスする場合は、CredSSP を有効にし
てください。詳細については、Windows XP Service
Pack 3 での資格情報のセキュリティ サポート プロ
バイダー (CredSSP) の説明を参照してください。
Enable RDP4 style authentication(RDP4 スタイル認証を有効にす
る)
RDP5 プロトコル内で RDP4 認証を有効にする場合は、このオプションを選択し
ます。これは特定のクライアントアプリケーションについて互換性の理由から必
要となる場合があります。
Enable pre channel check(事前チャンネルチェックを有効にする)
サーバー側の接続を確立する前に、接続ポリシーとチャンネルポリシーを評価
する場合は、このオプションを選択します。接続が許可されない場合、SCB は
サーバー側の接続を確立しません。
Enable compression (圧縮を有効にする)
RDP チャンネルの圧縮を有効にする場合は、このオプションを選択します。以
BalaBit Shell Control Box 4 LTS
Rev. 1.0
298
下にご注意ください。
圧縮を無効にすると、RDP 接続のネットワーク負荷が著しく増加します。
正確な増加率は接続の内容に依存しますが、平均してネットワーク負
荷が 500%分増加すると予想できます。
Drawing チャンネルはこの設定に関わらず常に圧縮されます。
RDP 接続において信頼性の問題(例: ディスクリダイレクションチャン
ネルでコピーしたファイルが壊れている)が発生した場合は、圧縮を無
効化してください。
Autologon domain suffix (自動ログイン時のドメインサフィックス)
ネットワークレベル認証(CredSSP)と連携する自動ログインを使用する場合、
クライアントがドメインに追加するサフィックスを入力してください。
Step 4.
Commit
をクリックします。
Step 5.
接続の RDP Settings(RDP 設定)フィールドで、この設定プロファイルを選択します。
10.3
SCB のドメイン参加
目的:
資格情報のセキュリティサービスプロバイダー(CredSSP またはネットワークレベル認証(Network
Level Authentication))を使用する場合、SCB をドメインに参加させる必要があります。ここではそ
の設定手順について説明します。
前提条件:
ターゲットサーバーおよび SCB が同じドメイン内にあるか、あるいはターゲットサーバーのドメイン
と SCB のドメインとの間に信頼関係が確立されている必要があります。要求される信頼関係のタ
イプの詳細については、10.4 複数ドメインにわたる SCB の使用を参照してください。
Steps:
Step 1.
RDP Control > Domain membership に進み、Enabled(有効にする)を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
299
Step 2.
Domain(ドメイン)フィールドに、ドメイン名(例: mydomain)を入力します。
図 10-2 ドメイン参加
Step 3.
Full domain name(フルドメイン名)フィールドに、レルム名
(例:mydomain.example.com)を入力します。
注記
DNS 設定が正しく、フルドメイン名を SCB から解決できることをご
確 認 く だ さ い 。 こ れ を チ ェ ッ ク す る に は 、 Basic Settings >
Troubleshooting > Ping に進み、Hostname(ホスト名)フィールドに
フルドメイン名を入力し、Ping host を選択します。
Step 4.
Commit
をクリックします。
Step 5.
Join domain(ドメイン参加)をクリックします。ポップアップウィンドウが表示されます。
Step 6.
ドメインに参加するため、SCB にはドメインのアカウントが必要です。
以下の情報を入力します。
Username(ユーザー名)フィールドにユーザー名
Password(パスワード)フィールドに対応するパスワード
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
BalaBit Shell Control Box 4 LTS
Rev. 1.0
300
Domain controller(ドメインコントローラー)フィールドに、ドメインコントローラーの名
前を入力します。このフィールドが空白の場合は、SCB は自動的にドメインコントロ
ーラーを見つけようとします。
注記
DNS 設定が正しく、ドメインコントローラーのホスト名を SCB から
解決できることをご確認ください。これをチェックするには、Basic
Settings > Troubleshooting > Ping に進み、Hostname フィールド
にドメインコントローラー名を入力し、Ping host を選択します。
Organization unit (組織単位)フィールドに組織単位名
Step 7.
Join domain(ドメイン参加)をクリックします。
Step 8.
成功すれば、SCB は参加したドメインの名前を表示します。
10.4
複数ドメインにわたる SCB の使用
ユ ー ザ ー が あ る ド メ イ ン (EXAMPLE-DOMAIN) 内 で 作 業 し 、 SCB も そ の ド メ イ ン
(EXAMPLE-DOMAIN)にあるが、ユーザーが他のドメイン(OTHER-DOMAIN)にあるサーバーにアク
セスする必要がある場合、ドメイン間の信頼レベルを設定する必要があります。以下のテーブルに
まとめます。
クライアントのドメインユーザー名
ターゲットサーバーのドメイン
結果
EXAMPLE-DOMAIN\myusername
EXAMPLE-DOMAIN
接続が確立される
EXAMPLE-DOMAIN\myusername
OTHER-DOMAIN
OTHER-DOMAIN
が
EXAMPLE-DOMAIN を 信 頼
すれば、接続が確立される。
OTHER-DOMAIN\myusername
OTHER-DOMAIN
双
方
向
信
頼
OTHER-DOMAIN
が
と
EXAMPLE-DOMAIN で確立さ
れていれば、接続が確立さ
れる。
OTHER-DOMAIN\myusername
EXAMPLE-DOMAIN
双
方
向
信
OTHER-DOMAIN
頼
が
と
EXAMPLE-DOMAIN で確立さ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
301
れていれば、接続が確立さ
れる。
10.5
SSL 暗号化 RDP 接続の使用
目的:
RDP5 と RDP6 接続は、クライアントとサーバー間の通信を暗号化するために SSL 暗号化を使用す
る場合があります。クライアントとサーバーの両方が SSL 暗号化をサポートしている場合、接続が
暗号化されます。
注記
ネットワークレベル認証(CredSSP)は、自動的に SSL 暗号化を使用します
が、署名 CA は必要ではありません。
SSL 暗号化を有効にする場合は、Enable RDP5 オプションを接続のプロトコ
ル設定で有効にする必要があります。これは、デフォルトで有効です。
ネットワークレベル認証(CredSSP)を有効にする場合は、Enable RDP6 オ
プションが接続のプロトコル設定で有効である必要があります。これは、デ
フォルトで有効ではありません。詳細については、10.2 プロトコルレベルの
RDP 設定の作成と編集を参照してください。
RDP 接続が SSL 暗号化されている場合、SCB はクライアントに対して証明書を示さなければなり
ません。ここでは、これらの証明書に署名するために使用される認証局を設定する手順について
説明します。
Steps:
Step 1.
まず認証局を作成します。この認証局は SCB がクライアントに提示する証明書への署
名に使用されます。詳細については、7.12 証明書の on-the-fly (必要時に動的な)署名
を参照してください。
Step 2.
RDP Control > Connections に進み、修正する接続ポリシーを選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
302
Step 3.
Signing CA(署名 CA)フィールドで、使用する認証局を選択します。
図 10-3 RDP 接続での SSL 暗号化使用
警告
Signing CA が選択されていない場合、SSL 暗号化 RDP 接続は自
動的に拒否されます。
注記
ネ ッ ト ワ ー ク レ ベ ル 認 証 ( Network Level Authentication )
(CredSSP)を使用する接続には署名 CA は必要ありません。これ
は自動的に作成される自己署名済証明書を使用するためです。
Step 4.
Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
303
10.6
暗号化された接続での RDP サーバーの証明書の検証
目的:
初期設定では、SCB はサーバーから示されたあらゆる証明書を受け入れます。ここでは、検証し
た証明書のみを受け入れる設定について説明します。
Steps:
Step 1.
まず信頼できる CA 証明書のリストを作成します。このリストはサーバー証明書の検証に
使用されます。詳細については、7.11 認証局での証明書確認を参照してください。
Step 2.
RDP Control > Connections に進み、修正する接続ポリシーを選択します。
Step 3.
Verify server certificate(サーバー証明書を検証する)を選択します。
図 10-4 RDP 接続での SSL 暗号化の使用
BalaBit Shell Control Box 4 LTS
Rev. 1.0
304
Step 4.
Trusted CA list(信頼できる CA リスト)フィールドから、サーバーの証明書を検証するた
めに使用する CA リストを選択します。
をクリックします。
Step 5.
Commit
Step 6.
(任意の Step)着信 RDP 接続について、上記の認証局で署名された証明書を示すよう
に、Windows サーバーを構成します。以下に手順を示します。
Step a.
Common Name(CN)フィールドにターゲットサーバーの IP アドレスまたはホ
スト名を含む証明書を生成します。さらに Step1 で SCB の Trusted CA list
(信頼できる CA リスト)に証明書を追加しておいた認証局で、この証明書に
署名します。
Step b. ターゲットサーバーの署名済み証明書を、秘密鍵を含む PKCS12 形式に変
換します。
Step c. ターゲットサーバーで Microsoft 管理コンソール(MMC)を開始し、スナップ
インの追加と削除 > 証明書 > コンピューター アカウントを選択します。
Step d. 個人ストアを右クリックして すべてのタスク > インポート を選択し、サー
バー用に作成された証明書を選択します。
Step e. 証明書のインポート ウィザードを完了させます。拡張証明書プロパティオ
プションを選択しないで下さい。
Step f.
スタート > 管理ツール > ターミナル サービス > ターミナル サービス構
成を選びます。
Step g.
構成したい接続を選択して右クリックし、プロパティ > 全般を選択します。
Step h. セキュリティ層で SSL を設定します。
Step i.
証明書 > 選択をクリックし、インポートされた証明書を選択します。サーバ
ーはこれを使用して、incoming RDP 接続の identity(身元)を検証します。
10.7
ターミナル サービス ゲートウェイとしての SCB 使用
目的:
ターミナル サービス ゲートウェイ(TS Gateway)は「ターミナルサービス」サーバーロールの役割
サービスです。権限を与えられたリモートユーザーに対して、インターネットに接続されたあらゆる
デバイスから内部/プライベートネットワーク内にあるリソースへのアクセスを許可します。アクセス
可能なリソースは、ターミナルサーバー、リモートアプリケーション、リモートデスクトップなどです。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
305
Terminal Services Gateway Server Protocol は、転送方法に HTTPS を使用するリモートプロシー
ジャコール(RPC)プロトコルで、主にクライアントからサーバーへのトラフィックをファイアウォール
越しにトンネルするために使用されます。SCB は、ターミナル サービス ゲートウェイとして振舞う
ことができ、Terminal Services Gateway Server Protocol を使用する接続を受信し、RDP プロトコル
を使用するターゲットサーバーに転送します。
Terminal Services Gateway Server Protocol はインバンド宛先選択を可能にします。これは SCB
がクライアント接続からターゲットサーバーのアドレスを抽出できることを意味します。多くのプラッ
トフォームにおいて、特に Bastion(バスシオン)モードで、ユーザー名の長さに上限があるため大
きな問題でしたが、これにより、ユーザー名にターゲットサーバー名前をエンコードする必要がなく
なり、SCB 上で接続の管理を単純化します。
前提条件:
ターミナル サービス ゲートウェイを使用してリモートサーバーにアクセスするには、
クライアントはリモートデスクトップアプリケーションのバージョン 6.1 以降を使用する
必要があります。より新しいバージョンもインストールできますが、公式には、バー
ジョン 6.0 のみ Windows 2003 Server で利用可能であることにご注意ください。しかし、
これは Windows 2003 Server が接続のターゲットの場合ではなく、Windows 2003
Server ホストから RDP 接続を開始する場合のみの問題です。
Windows XP クライアントは、SP3 かつ CredSSP の修正がインストール済みである
場合のみ、ターミナル サービス ゲートウェイにアクセスできることにご注意ください。
詳細については、Windows XP Service Pack 3 での資格情報のセキュリティ サポ
ート プロバイダー (CredSSP) の説明を参照してください。
SCB は Windows ドメインのメンバーでなければなりません。詳細については、10.3
SCB のドメイン参加を参照してください。
ドメインコントローラー、ターゲットサーバー、クライアント、SCB のシステム時間が同
期していることをご確認ください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
306
SCB Web インターフェースでのゲートウェイ認証は、SCB をターミナル サービス ゲ
ートウェイとして使用する接続ポリシーでは使用できません。しかしクライアントのリ
モートデスクトップアプリケーションは2つの異なる認証を実行できるように設定でき
ます(1つはターミナル サービス ゲートウェイ(つまり SCB)での認証、もう1つはタ
ーゲットサーバーでの認証)。クライアントのリモートデスクトップアプリケーションが
ゲートウェイ認証を実行できるように設定する手順の詳細については、10.8 ゲート
ウェイ認証のためのリモートデスクトップクライアント設定を参照してください。
Terminal Services Gateway Server Protocol はネットワークレベル認証(Network
Level Authentication)(NTLM)とスマートカード認証をサポートします。ターミナル サ
ービス ゲートウェイとして動作する SCB は、ネットワークレベル認証(Network
Level Authentication)(NTLM) のみをサポートします。
SCB は、Bastion(バスシオン)、Router(ルーター)、Bridge(ブリッジ)モードでターミ
ナル サービス ゲートウェイとして使用されますが、一般的には Bastion(バスシオ
ン)モードで使用されます。Bastion(バスシオン)モードの場合、SCB をターミナル
サービス ゲートウェイとして使うよう、ターミナルサービスクライアントを設定する必
要があることにご注意ください。この場合、SCB は認証後に(インバンドで選択され
た)サーバーへ接続します。
ターミナル サービス ゲートウェイには証明書が必要です。後述する Step を開始す
る前に、固定の証明書を使用したいかまたは on the fly(必要時に動的に)生成され
た証明書を使用したいかを決定し、証明書を準備します。
接続のポート設定を調整する必要があります。RDP 接続のデフォルトポートは 3389
ですが、Terminal Services Gateway Server Protocol は 443 を使用します。しかし、
SCB Web インターフェースもポート 443 を使用し、他の接続ポリシーも既にポート
443 を使用している可能性があります。このため、SCB 管理がターミナル サービス
接続を受信するインターフェース上で有効な場合は、SCB のインターフェース(例:
外部インターフェース)にエイリアスの IP アドレスを追加し、接続ポリシーとクライア
ント設定でこのエイリアスを使用します。詳細については、4.3 ネットワーク設定を参
照してください。
Steps:
Step 1.
RDP Control > Connections に進み、Terminal Services Gateway Server Protocol を使用
する着信クライアント接続を処理する新しい接続ポリシーを作成します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
307
Step 2.
Act as a Terminal Services Gateway(ターミナル サービス ゲートウェイとして動作する)
オプションを有効にします。
図 10-5 ターミナル サービス ゲートウェイとして動作する SCB の設定
Step 3.
接続のターゲットを設定します。
すべての着信接続を単独のターゲットサーバーへ直接接続する場合は、Use fix
address(固定アドレスを使用する)を選択し、ターゲットサーバーのアドレスを設定し
ます。
Terminal Services Gateway Server Protocol から宛先アドレスを抽出する場合は、
Inband destination selection(インバンド宛先選択)を選択し、Target > Domain フィー
ルドでクライアントがアクセスを許可されたサーバーのアドレスを設定します。詳細
については、7.2 宛先アドレスの修正を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
308
注記
Bastion(バスシオン)モードの場合は、To フィールド
にターミナル サービスゲートウェイサービス用に生
成した IP アドレスを入力します。SCB 管理用の通常
の IP アドレスを入力しないで下さい。
Step 4.
ターミナル サービス ゲートウェイとして動作させるため、SCB はクライアントに対して証
明書を提示する必要があります。
常に同じ証明書を示す場合は、Use the same certificate for every connection(全て
の接続で同じ証明書を使用する)を選択し、X.509 証明書と対応する秘密鍵をアップ
ロードします。2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨しま
す。
警告
証明書の Common Name(CN)は SCB の FQDN(クラ
イアントアプリケーションで特定されたターミナルサ
ービス ゲートウェイのアドレス)でなければなりませ
ん。そうでない場合、クライアントは接続を拒否しま
す。
全てのクライアントに SCB で新しい証明書を自動作成する場合は、Generate
certificate on-the-fly(必要時に動的に証明書を生成する)を選択し、Signing CA フ
ィールドから生成された証明書に署名する認証局(CA)を選択します。詳細について
は、7.12 証明書の on-the-fly (必要時に動的な)署名を参照してください。デフォル
ト で 、 生 成 さ れ た 証 明 書 の
Common
Name ( CN ) は
<SCB-hostname.domainname>です。 Custom Common Name フィールドにカス
タム Common Name を設定することができます。
注記
SCB が提示する証明書への署名に使用される CA
証明書を DER 形式で保存し、クライアントのローカ
ルコンピュータ > 信頼されたルート証明機関 スト
アにインポートしてください。これにより、クライアント
は SCB の identity(身元)を確認できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
309
Step 5.
認証に Active Directory を使用するためには、Active Directory を選択します。
認証に Local User Database(ローカルユーザデータベース)を使用するには、Local
User Database を選択し、Domain を入力し、リストから Local User Database を選択し
ます。
注記
アップグレードプロセスは、すでに存在する SSH 認証ポリシーの
Local User List( ロ ー カ ル ユ ー ザ ー リ ス ト ) か ら 、 Local User
Database(ローカルユーザーデータベース)を生成します。SCB 4
LTS での RDP TS ゲートウェイ接続でこれらのローカルユーザーデ
ータベースを使用する場合は、NT ハッシュがないために、誤った
パスワードが含まれる可能性があります。この問題を解決するた
めに、再度パスワード(複数可)を入力してください。
Step 6.
環境に応じて、接続ポリシーのその他のパラメーターを設定します。
注記
接続のポート設定を調整する必要がある場合があります。RDP
接 続 の デ フ ォ ル ト ポ ー ト は 3389 で す が 、 Terminal Services
Gateway Server Protocol は 443 を使用します。しかし、SCB Web
インターフェースもポート 443 を使用し、他の接続ポリシーも既に
ポート 443 を使用している可能性があります。このため、SCB 管
理がターミナル サービス接続を受信するインターフェース上で有
効な場合は、SCB のインターフェース(例: 外部インターフェー
ス)にエイリアスの IP アドレスを追加し、接続ポリシーとクライアン
ト設定でこのエイリアスを使用します。SCB での IP エイリアス作成
の詳細については、4.3 ネットワーク設定を参照してください。
Step 7.
Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
310
10.8
ゲートウェイ認証のためのリモートデスクトップクライアント設定
目的:
クライアントのリモートデスクトップアプリケーションを設定して、2つの別の認証を実行するように
します。1つはターミナル サービス ゲートウェイ(つまり SCB)での認証、もう1つはターゲットサー
バーでの認証です。ターミナル サービス ゲートウェイとして動作する SCB の設定に関する詳細
については、10.7 ターミナル サービス ゲートウェイとしての SCB 使用を参照してください。
前提条件:
SCB はターミナルサービスゲートウェイとして動作するよう設定されていなければな
りません。詳細については、10.7 ターミナル サービス ゲートウェイとしての SCB 使
用を参照してください。
クライアントは、リモートデスクトップアプリケーションのバージョン 6.1 以降を使用す
る必要があります。
クライアントとターゲットサーバーは同じドメインのメンバーでなければなりません。
SCB の外部インターフェースは、クライアントからアクセスできなければなりません。
これを実現するために、外部インターフェースのアドレスを
Windows/System32/Drivers/etc/hosts ファイルに追加する必要がある場
合があります。
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
311
Step 1.
Windows クライアントで、リモートデスクトップ接続アプリケーションを開始し、オプション
> 詳細設定 > 設定 を選択します。
図 10-6 ターミナル サービス ゲートウェイとして SCB を使用するための
リモートデスクトップクライアントの設定
BalaBit Shell Control Box 4 LTS
Rev. 1.0
312
Step 2.
ターミナル サービス ゲートウェイとして SCB を使用するクライアントを設定します。接続
設定 > 次の RD ゲートウェイ サーバー設定を使用するを選択します。
図 10-7 ターミナル サービス ゲートウェイとして SCB を使用するための
リモートデスクトップクライアントの設定
Step 3.
サーバー名フィールドに、SCB のアドレスを入力します。RDP 接続を受け入れるように設
定済みの SCB の外部インターフェースのアドレスを使用します。
Step 4.
ログオン方法 > パスワードを要求する(NTLM)を選択します。
Step 5.
ローカル アドレスには RD ゲートウェイ サーバーを使用しない と リモート コンピュ
ーターに RD ゲートウェイの資格情報を使用する オプションのチェックを外します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
313
注記
技術的には、リモート コンピューターに RD ゲートウェイの資格
情報を使用するオプションが選択されている場合も、ゲートウェイ
認証が実行されますが、ゲートウェイとリモートサーバーで同じ証
明書が使用されます。
Step 6.
OK をクリックします。
Step 7.
ユーザー名にドメインユーザー名(例: exampledomain\exampleusername)を入
力します。
Step 8.
接続をクリックします。
注記
ネットワークの環境によっては、接続が確立するまでに1分程度
かかる場合があります。
10.9
RDP 接続におけるユーザー名
Windows サーバーの DontDisplayLastUserName(直前にログオンしたユーザー名を表示しない)セ
キュリティ設定は、SCB が RDP 接続のサーバー側のユーザー名を処理する方法に影響を与えま
す。このパラメーターのレジストリー設定は、Windows 2000 サーバー以降のバージョンの場合は、
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Dont
DisplayLastUsername(それ以前の Windows バージョンの場合は、
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\DontDisplayLastUsername)です。この設定は前回
の成功したログインからユーザー名が次回のログインのためデフォルトとしてログイン画面に表示
されるかどうかを特定します。詳細については、DontDisplayLastUserName 記事を参照してくださ
い。
しかし DontDisplayLastUserName(直前にログオンしたユーザー名を表示しない)オプションを有効
にすると、ユーザー名が RDP プロトコル内で転送されず、SCB がそれを記録または処理する方法
がなくなるという副作用があります。SCB に接続で使用されるユーザー名にアクセスさせたい場合
は、ターゲットサーバーの DontDisplayLastUserName レジストリー設定を無効にして下さい。以下
のような状況が考えられますが、必ずしもこれらに限られるわけではありません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
314
接続でゲートウェイ認証を使用したい場合。この場合、SCB はサーバー上のユーザ
ー名とゲートウェイ上のユーザー名を比較します。SCB はサーバーから空のユーザ
ー名を受け取るので、与えられたグループの全てのユーザーを許可する接続がポ
リシーに設定されていない限り、接続はユーザーマッピングポリシーにより拒否され
ます。このようなポリシーを追加するには、ユーザーマッピングポリシーの
Username on the server(サーバー上のユーザー名)フィールドに * を設定して下
さい。ユーザーマッピングポリシーとゲートウェイ認証に関する詳細については、
17.1 ユーザーマッピングポリシーの設定と 17.2 ゲートウェイ認証の設定をそれぞれ
参照してください。
SCB 検索インターフェースでユーザー名によって接続を検索したりフィルターをかけ
たり、ユーザー名を基にした自動統計を作成したりしたい場合。
注記
レジストリー設定は、Group Policy(グループポリシー)設定で上書きされます。
SCB は、以下のような状況で DontDisplayLastUserName レジストリー設定と無関係にユーザー名
を記録できます。
ネットワークレベル認証 (CredSSP) を使用する RDP
接続が確立される前に、ユーザー名とパスワードがクライアントアプリケーションで
特定され、認証が成功する。
注記
特 定 の 場 合 に 、 RDP 接 続 の ユ ー ザ 名 が Search 、 Four Eyes 、 Active
Connections のページには表示されません。例えば、サーバー側の認証がな
いときなど。
10.10 Windows 上の RDP ログイン認証情報の保存
Windows 上で自動 RDP ログインを使用できますが、保存されている資格情報は、デフォルトでは
信頼されていないので、接続ごとにパスワードを入力する必要があります。保存された資格情報を
委任できるように、クライアント上で次の Step でローカルポリシーを作成します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
315
Step 1.
ローカルグループポリシーエディターを起動します。:
gpedit.msc を実行します。
Step 2.
ローカル コンピューター ポリシー > コンピューターの構成 > 管理用テンプレート >
システム > 資格情報の委任 と進みます。
Step 3.
NTLM のみのサーバー認証で保存された資格情報の委任を許可する を開きます。
Step 4.
有効のラジオボタンを選択し、表示をクリックして、TERMSRV/*を入力します。
Step 5.
適用をクリックし、OK を押します。
Step 6.
保存された資格情報の委任を許可する を開きます。
Step 7.
有効のラジオボタンを選択し、表示をクリックして、TERMSRV/*を入力します。
Step 8.
適用をクリックし、OK を押します。
Step 9.
NTLM のみのサーバー認証で既定の資格情報の委任を許可する を開きます。
Step 10. 有効のラジオボタンを選択し、表示をクリックして、TERMSRV/*を入力します。
Step 11. 適用をクリックし、OK を押します。
Step 12. 既定の資格情報の委任を許可する を開きます。
Step 13. 有効のラジオボタンを選択し、表示をクリックして、TERMSRV/*を入力します。
Step 14. 適用をクリックし、OK を押します。
Step 15. 保存された資格情報の委任を拒否する を開き、リストに TERMSRV/* が含まれていな
いことを確認します。
Step 16. ローカルグループポリシーエディターを終了します。
Step 17. コマンドラインから、gpupdate /force コマンドを発行します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
316
11
SSH - 固有の設定
以下の節では、SSH プロトコル固有の設定について説明します。誰が、いつ、どのように SSH 接続
にアクセスできるかについて、以下のポリシーを使用します。
ホスト鍵とホスト証明書
SCB ではクライアントホストとサーバーの identity(身元)の確認方法を設定できま
す。詳細については、11.1 SSH ホスト鍵と接続の証明書の設定を参照してくださ
い。
Authentication Policy(認証ポリシー)
Authentication Policy(認証ポリシー)は、接続で許可される認証方法を説
明します。クライアント側とサーバー側の接続で異なる方法を使用することができま
す。詳細については、11.3 Authentication Policy (認証ポリシー)を参照してくださ
い。
User List(ユーザーリスト)
User List(ユーザーリスト)は、接続の使用が許可されている、もしくは使用が禁
止されているユーザー名のリストです。本質的にはブラックリストあるいはホワイトリ
ストです。デフォルトでは、接続の他の要件に適合する全てのユーザーが受け入れ
られます。詳細については、7.8 ユーザーリストの作成と編集を参照してください。
Channel Policy(チャンネルポリシー)
Channel Policy(チャンネルポリシー)は、どの SSH チャンネル(例: ターミナル
セッション、SCP など)が接続で使用することができるか、またそれらを監査するか
否かを決定します。異なるチャンネルはチャンネルポリシーで設定された特定の条
件下でのみ利用可能である場合があります。詳細については、7.5 チャンネルポリ
シーの作成と編集を参照してください。
SSH settings(SSH 設定)
SSH 設定は、プロトコルレベルでタイムアウト値や接続のグリーティングメッセージ
を含む接続パラメーターを決定します。鍵交換、ホスト鍵、暗号、MAC、圧縮アルゴ
リズムのパラメーターにより、接続でどのアルゴリズムを使用するかを決定します。
パラメーターはクライアント側とサーバー側で別々に設定できます。デフォルト値は、
全ての可能なアルゴリズムを含みます。詳細については、11.5 プロトコルレベルの
SSH 設定の作成と編集を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
317
Content Policy(コンテンツポリシー)
コンテンツポリシーを使用すると、さまざまなテキストパターンの接続のコンテンツを
検査し、パターンが見つかった場合にアクションを実行することができます。例えば、
SCB は、SSH ターミナルセッションで特定のコマンドが使用されている場合に、電子
メールアラートを送信することができます。詳細についは、7.6.1 新しいコンテンツポ
リシーの作成を参照してください.
Ticketing Policy(チケッティングポリシー)
チケッティングポリシーを使用すると、ターゲットサーバーでの認証の前に、ユーザ
ーからチケット ID を要求できます。このようにして、SCB は、ユーザーがサーバーに
アクセスする正当な理由を持っているか、オプションとして、理由がない場合に接続
を終了させるかを検証できます。詳細については、17.5 チケッティング・システムと
の統合を参照してください
11.1
SSH ホスト鍵と接続の証明書の設定
目的:
初期設定では、接続が最初に確立された時に、SCB はホスト鍵またはサーバー証明書を受け取り
保存します。ここでは、接続で使用し受け入れる SSH 鍵と証明書を手動で設定する手順について
説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
318
Steps:
Step 1.
SSH Control > Connections に進み、
をクリックして接続の詳細を表示します。
図 11-1 接続の SSH ホスト鍵の設定
Step 2.
ホスト鍵を基にサーバーの identity(身元)を確認する場合は、Server-side hostkey
settings > Allow plain host keys を選択します。
注記
Server-side hostkey settings(サーバー側ホスト鍵設定)オプショ
ンのうち、少なくとも1つは有効でなければなりません。
Accept the key for the first time(初回に鍵を受け入れる)を選択した場合、最初の
接続でサーバーが示す鍵を自動的に記録します。SCB は以降の接続でサーバーか
らこの鍵のみを受け入れます。これは SCB のデフォルト動作です。
サーバーの鍵が既に SCB で利用可能である場合は、Only accept trusted keys(信
BalaBit Shell Control Box 4 LTS
Rev. 1.0
319
頼済みの鍵のみを受け入れる)を選択します。SCB はサーバーから保存済みの鍵
のみを受け入れます。サーバーのホスト鍵の設定に関する詳細については、11.4
サーバーのホスト鍵と証明書を参照してください。
SSH ホストキーの検証を無効にするために No check required を選択します。
警告
SSH ホストキーの検証を無効にすると、SCB はサーバーの
identity(身元)を確認して man-in-the-middle(MITM)攻撃を
防ぐことが不可能となります。
Step 3.
X.509 ホスト証明書を基にサーバーの identity(身元)を確認する場合は、Server-side
hostkey settings > Allow X.509 host certificates を選択します。
注記
Server-side hostkey settings(サーバー側ホスト鍵設定)オプショ
ンのうち、少なくとも1つは有効でなければなりません。
Accept certificate for the first time(初回に鍵を受け入れる)を選択した場合、最初
の接続でサーバーが示す証明書を自動的に記録します。SCB は以降の接続でサー
バーからこの証明書のみを受け入れます。
サーバーの証明書が既に SCB で利用可能である場合は、Only accept uploaded
certificates(アップロード済みの証明書のみを受け入れる)を選択します。SCB はサ
ーバーから保存済みの証明書のみを受け入れます。サーバーのホスト鍵の設定に
関する詳細については、11.4 サーバーのホスト鍵と証明書を参照してください。
サーバーのホスト証明書を CA 証明で確認する場合は、Only accept certificates
authenticated by the trusted CA list(信頼済み CA リストで認証された証明書のみを
受け入れる)を選択し、Trusted CA list(信頼済み CA リスト)フィールドで使用する信
頼済み CA リストを選択します。CA リストの作成に関する詳細については、7.11 認証
局での証明書確認を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
320
注記
初期設定では、初回に SCB はプレーンテキストのホ
スト鍵のみを受け入れます。
SSH ホストキーの検証を無効にするために No check required を選択します。
警告
SSH ホストキーの検証を無効にすると、SCB はサーバーの
identity(身元)を確認して man-in-the-middle(MITM)攻撃を
防ぐことが不可能となります。
Step 4.
SCB がクライアントに示す RSA および DSA ホスト鍵を設定する場合は、Client side
hostkey settings > Allow plain host keys を選択し、RSA host key(RSA ホスト鍵)もしく
は DSA host key(DSA ホスト鍵)フィールドで
をクリックし、RSA ホスト鍵と DSA ホスト
鍵をそれぞれ設定します。鍵のアップロード、貼り付け、または新しい鍵の生成が可能で
す。fingerprint(指紋)をクリックすると、鍵の公開部分が表示されます。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
警告
DSA 鍵を生成する場合、鍵のサイズを 1024 ビットに変更します。
Step 5.
SCB に、クライアントに対して X.509 証明書を示させる場合は、Client side hostkey
settings > Allow X.509 host certificates を選択します。
常に同じ証明書を使用する場合は、Use the same certificate for every connection
(同じ証明書を使用する)を選択し、秘密鍵と証明書をアップロードします。
(全てのセッション用ではないが)接続ポリシー用に新しい証明書を生成する場合は、
Generate certificates on-the-fly(証明書を on-the-fly で生成する)を選択し、
Signing CA(署名 CA)フィールドで、証明書の署名に使用する CA を設定します。署
名 CA の作成に関する詳細については、7.12 証明書の on-the-fly (必要時に動的
な)署名を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
321
Step 6.
Commit
をクリックします。
11.2 サポート対象の SSH チャンネルタイプ
ここでは、利用可能な SSH チャンネルタイプとその機能について説明します。サポートされるクライ
アントアプリケーションのリストについては、2.2 サポート対象プロトコルとクライアントアプリケーシ
ョンを参照してください。
Agent(エージェント)
クライアントからサーバーに SSH 認証エージェントを転送します。
注記
ターゲットサーバー上でエージェントベースの認証を実行するた
めに、接続によって使用されるチャンネルポリシーでエージェント
フォワーディングチャンネルを有効にする必要はありません。エー
ジェントフォワーディングチャンネルは、他のデバイスにターゲット
サーバーからの接続を確立し、クライアント上で実行中のエージ
ェントを使用して認証するために必要とされます。
X11 Forward(X11 転送)
サーバーからクライアントにグラフィカルな X サーバーセッションを転送します。
Channel details(チャンネル詳細)フィールドにクライアントのアドレスを入力し、特定
されたクライアントのみに X11-forwarding を許可します。IP アドレスまたはネッ
トワークを(IP アドレス/ネットマスク の形式で)設定します。
X11 トレイルを表示するには、特定のフォントが必要です。詳しくは、16.3.6 X11 トレ
イルを表示させるための新しいフォントの追加を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
322
注記
特定のクライアントのアプリケーションはホストネームとしてターゲ
ットアドレスを送る一方、他は IP アドレスとして送ります。異なるク
ライアントのアプリケーションを混合して使用している場合は、チ
ャンネルルールを複製して同じルールの IP アドレスとホストネー
ム版を作成しなくてはいけないでしょう。
Local Forward(転送)
クライアントのローカルポートに到達するトラフィックをリモートホストに転送します。
選択したホスト間のみ転送を有効にするには、Channel details(チャンネル詳細)フ
ィールドにその IP アドレスを入力します。Channel details(チャンネル詳細)フィール
ドが空の場合、ローカル転送は制限なく有効となり、クライアントはリモートホストに
どんなトラフィックも転送できます。Originator address(発信元アドレス)フィールドに、
転送されたトラフィックの送信元を、Target address(ターゲットアドレス)フィールドに、
トラフィックのターゲットを入力します。IP アドレスまたは(IP アドレス/ネットマスク形
式で)ネットワークを設定します。これらのパラメーターは転送されたトラフィックのエ
ンドポイント(つまり、データをリモートホストに送信するローカル・ホスト)であり、
SSH サーバーまたはクライアントではありません。例えば、192.168.20.20 のホ
ス ト か ら 192.168.50.50 の リ モ ー ト ホ ス ト に 転 送 で き る よ う に す る に は 、
Originator address(発信元アドレス)フィールドに 192.168.20.20 を、Target
address(ターゲットアドレス)フィールドに 192.168.50.50 を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
323
図 11-2 ローカル TCP 転送
注記
あるクライアントアプリケーションは、ホスト名として
Originator(発信元)と Target(ターゲット)アドレスを送信し
ますが、一方で IP アドレスとして送信するものもあります。異なる
クライアントアプリケーションを混在して使用する場合は、チャン
ネルルールを複製し同じルールの IP アドレス版とホスト名版を作
成してください。
警告
SCB を横断するポートフォワードは、ある SSH クライアント-サー
バーの組み合わせで失敗する可能性があります。これは、ポート
フォワードリクエスト(SSH_MSG_GLOBAL_REQUEST)中にプロト
コル内で、リモートホストのアドレスがホスト名として設定されてい
る が 、 ホ ス ト 名 は チ ャ ン ネ ル 開 放 リ ク エ ス ト
(SSH_MSG_CHANNEL_OPEN)で IP アドレスとして解決される場
合に、発生します。初期設定では、SCB はこのような接続を拒否
します。
これらの接続を有効にする場合は、SSH Control > Settings に進
み、Strict mode(厳密なモード)オプションを無効にします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
324
Remote Forward(リモート転送)
サーバーのリモートポートに到達するトラフィックをクライアントに転送します。選択
したホスト間のみ転送を有効にするには、Channel details(チャンネル詳細)フィー
ルドにその IP アドレスを入力します。Channel details(チャンネル詳細)フィールドが
空の場合、リモート転送は制限なく有効となり、SSH サーバーはクライアントホスト
にどんなトラフィックも転送できます。Originator address(発信元アドレス)フィールド
に、転送されたトラフィックの送信元を、Target address(ターゲットアドレス)フィール
ドに、トラフィックのターゲットを入力します。IP アドレスまたは(IP アドレス/ネットマ
スク形式で)ネットワークを設定します。これらのパラメーターは転送されたトラフィッ
クのエンドポイント(つまり、データをクライアントホストに送信するリモートホスト)で
あり、SSH サーバーではありません。例えば、192.168.20.20 のリモートホスト
か ら 192.168.50.50 の ク ラ イ ア ン ト ホ ス ト に 転 送 で き る よ う に す る に は 、
Originator address(発信元アドレス)フィールドに 192.168.20.20 を、Target
address(ターゲットアドレス)フィールドに 192.168.50.50 を入力します。
図 11-3 リモート TCP 転送
注記
あるクライアントアプリケーションは、ホスト名として
Originator(発信元)と Target(ターゲット)アドレスを送信し
ますが、一方で IP アドレスとして送信するものもあります。異なる
クライアントアプリケーションを混在して使用する場合は、チャン
ネルルールを複製し同じルールの IP アドレス版とホスト名版を作
成してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
325
警告
SCB を横断するポートフォワードは、ある SSH クライアント-サー
バーの組み合わせで失敗する可能性があります。これは、ポート
フォワードリクエスト(SSH_MSG_GLOBAL_REQUEST)中にプロト
コル内で、リモートホストのアドレスがホスト名として設定されてい
る が 、 ホ ス ト 名 は チ ャ ン ネ ル 開 放 リ ク エ ス ト
(SSH_MSG_CHANNEL_OPEN)で IP アドレスとして解決される場
合に、発生します。初期設定では、SCB はこのような接続を拒否
します。
これらの接続を有効にする場合は、SSH Control > Settings に進
み、Strict mode(厳密なモード)オプションを無効にします。
Session exec(セッション実行)
shell セッションを開かずにリモートコマンド(例: rsync)を実行します。Channel
details(チャンネル詳細)フィールドに、許可されたコマンドを入力します。正規表現
を使用して、コマンドを設定できます。
警告
Session exec チャンネルで利用可能なコマンドを制限することは、
他のコマンドが実行されないことを保証するものではありません。
コマンドは名前を変更されるか、またはこのような制限を回避す
るためにシェルスクリプトから実行される可能性があります。
Session exec SCP(SCP セッションの実行)
Secure Copy (SCP) プロトコルを使用してファイルを転送します。
Search > Search ページの File operation カラムでファイル操作を表示するには、
プロトコルのチャンネルポリシーのページ に進み、Log file transfers to
database(ログファイルをデータベースに転送する)オプションを有効にします。
このオプションはデフォルトで無効になっています。
システムログにファイル操作を送信する場合は、Log file transfers to system
(ログファイルをシステムに転送する)オプションを有効にします。このオプション
はデフォルトで無効になっています。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
326
注記
ロギングを有効にすると、少しだけ性能が劣化する可
能性があります。トラフィックの負荷により処理が遅い
場合は、このオプションを無効にして下さい。このオプ
ションが有効でなくても、Audit Player でファイルリスト
を確認することができます。
警告
WinSCP のアプリケーションは、適切に SCP プロトコル
の RFC に従いませんが、Session Exec SCP チャンネ
ルの代わりに、SessionShell チャンネル内でファイル
を転送します。これは次のような結果となります。
Session Shell チャンネルが Channel Policy(これ
も同様に、SSH ターミナルセッションのために必
要とされる)で有効になっている場合、およびユ
ーザーが File protocol > SCP オプションを使用し
て WinSCP を使用する場合は、サーバーとの間で
ファイルを転送できるようになります。また、これ
らのファイルは Search > Search ページの File
operations フィールドに表示されず、Audit Player
アプリケーションを使用して、監査トレイルからフ
ァイルを保存することはできません。
これらの問題を回避するには、クライアントが File
protocol > SFTP オプションを使用して WinSCP を
使用することを強制する必要があります。
WinSCP は、デフォルトでは、SFTP を使用します
が、SCP を使用するように手動で変更することが
できますし、サーバーが SFTP を拒否した場合、
SCP の使用に戻ります。
ユーザーが Session Shell チャンネルを使用して
WinSCP でファイルを転送する場合、接続を終了
するためには、スクリーンコンテンツで、 WinSCP:
this is end-of-file の文字列と一致した Content
BalaBit Shell Control Box 4 LTS
Rev. 1.0
327
Policy を作成し、接続ポリシーで、そのポリシーを
使用します。コンテンツポリシーについての詳細
は、7.6 コンテンツポリシーとリアルタイムコンテン
ツの監視を参照してください。このソリューション
は、WinSCP のバージョン 5.1.5 でテストされてい
ます:もし、お客様のバージョンで動作しない場合
は、弊社サポートにお問い合わせください。
Session Subsystem(サブシステムセッション)
サブシステムを使用します。Channel details(チャンネル詳細)フィールドに、許可さ
れたサブシステムの名前を入力します。
Session SFTP(SFTP セッション)
Secure File Transfer Protocol (SFTP) を使用してファイルを転送します。
Search > Search ページの File operation カラムでファイル操作を表示するには、
SSH Control > Channel Policies に進み、Log file transfers to database(ログフ
ァイルをデータベースに転送する)オプションを有効にします。このオプションは
デフォルトで無効になっています。
システムログにファイル操作を送信する場合は、Log file transfers to system
(ログファイルをシステムに転送する)オプションを有効にします。このオプション
はデフォルトで無効になっています。
注記
ロギングを有効にすると、少しだけ性能が劣化する可
能性があります。トラフィックの負荷により処理が遅い
場合は、このオプションを無効にして下さい。このオプ
ションが有効でなくても、Audit Player でファイルリスト
を確認することができます。
Session Shell(shell セッション)
伝統的なリモートターミナルセッション
BalaBit Shell Control Box 4 LTS
Rev. 1.0
328
警告
WinSCP のアプリケーションは、適切に SCP プロトコルの RFC に
従 いませ ん が 、Session Exec SCP チャン ネ ル の代 わ り に 、
SessionShell チャンネル内でファイルを転送します。これは次のよ
うな結果となります。
Session Shell チャンネルが Channel Policy(これも同様に、
SSH ターミナルセッションのために必要とされる)で有効にな
っている場合、およびユーザーが File protocol > SCP オプシ
ョンを使用して WinSCP のを使用する場合は、サーバーとの
間でファイルを転送できるようになります。また、これらのファ
イルは Search > Search ページの File operations フィールド
に表示されず、Audit Player アプリケーションを使用して、監
査トレイルからファイルを保存することはできません。
これらの問題を回避するには、クライアントが File protocol >
SFTP オプションを使用して WinSCP を使用することを強制す
る必要があります。 WinSCP は、デフォルトでは、SFTP を使
用しますが、SCP を使用するように手動で変更することがで
きますし、サーバーが SFTP を拒否した場合、SCP の使用に
戻ります。
ユーザーが Session Shell チャンネルを使用して WinSCP でフ
ァイルを転送する場合、接続を終了するためには、スクリー
ンコンテンツで、WinSCP: this is end-of-file の文字列と一致
した Content Policy を作成し、接続ポリシーで、そのポリシー
を使用します。コンテンツポリシーについての詳細は、7.6 コ
ンテンツポリシーとリアルタイムコンテンツの監視を参照して
ください。このソリューションは、WinSCP のバージョン 5.1.5 で
テストされています:もし、お客様のバージョンで動作しない
場合は、弊社サポートにお問い合わせください。
11.3
Authentication Policy (認証ポリシー)
Authentication Policy(認証ポリシー)は、接続で使用される認証方法のリストです。接続は、どの
ようにクライアントがターゲットサーバーに対して認証できるかを決定するために、Authentication
BalaBit Shell Control Box 4 LTS
Rev. 1.0
329
Policy(認証ポリシー)を参照します。接続のクライアント側とサーバー側で異なる認証方法を使用
することができます。
図 11-4 認証ポリシー
11.3.1
新しい認証ポリシーの作成
目的:
ここでは、新しい認証ポリシーの作成手順について説明します。
Steps:
Step 1.
SSH Control > Authentication Policies に進み、
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
330
図 11-5 認証ポリシーの設定
Step 2.
タブ上の入力フィールドにポリシーの名前を入力します。
Step 3.
Client-side gateway authentication backend(クライアント側ゲートウェイ認証バックエン
ド)フィールドで、クライアント側で使用される認証ポリシーを選択します。クライアント側
の認証設定に関する詳細については、11.3.2 クライアント側の認証設定を参照してくださ
い。
Step 4.
Relayed authentication methods(リレー認証方式)フィールドで、サーバー側で使用され
る認証ポリシーを選択します。リレー認証設定に関する詳細については、11.3.3 リレーさ
れた認証方法を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
331
Step 5.
Commit
をクリックします。
注記
ク ライ ア ン ト 側 の 認 証 設 定 で は 、ユ ー ザ ー をイ ン バ ン ド
(inband)(つまり SSH プロトコル内)で SCB ゲートウェイに対し
て認証します。これは SCB Web インターフェース上で実行さ
れるゲートウェイ認証と独立しています。Web ベースのゲート
ウェイ認証は接続ポリシーによって要求されるアウトバンド
(outband) の ゲ ー ト ウ ェ イ 認 証 方 法 で す 。 ア ウ ト バ ン ド
(outband)ゲートウェイ認証については、17.2.1 アウトバンドゲ
ートウェイ認証の設定を参照してください。SCB Web インター
フェースでのゲートウェイ認証は、認証ポリシーと一緒に使
用することができます。これは、極端な設定の場合、ユーザ
ーは3つの認証(SSH プロトコル内のクライアント側のゲート
ウェイ認証、SCB Web インターフェースでのアウトバンド
(outband)ゲートウェイ認証、ターゲットサーバーでの最終認
証)を実行しなければならないことを意味します。
接続ポリシーで証明書ストアが使用されている場合、接続ポ
リシーはサーバー側認証の設定(Relayed authentication
methods(リレーされた認証方法)で設定する)を無視しま
す。
Step 6.
この接続に使用する Local User Database(ローカルユーザーデータベース)を選択しま
す。詳細については、7.13 ローカルユーザーデータベースの作成を参照してください。
11.3.2
クライアント側の認証設定
クライアント側の接続では、SCB は以下の認証方法を使用してクライアントをインバンド(inband)
(SSH プロトコル内)で認証できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
332
図 11-6 認証ポリシーの設定
LDAP
SCB は接続ポリシーの LDAP Server に設定された LDAP データベースでクライアン
トを認証します。クライアント側で LDAP 認証を使う場合は、Client-side gateway
authentication backend > LDAP を選択し、許可する認証方法(Password(パスワー
ド)、Public key(公開鍵)、X.509 certificate(X.509 証明書))を選択します。複数の
方法を利用できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
333
注記
SCB はクライアント側の接続を接続ポリシーで設定された
LDAP サーバーで認証します。これは SCB Web インターフェ
ースにアクセスするユーザーを認証するために使われる
LDAP サーバーと必ずしも同じである必要はありません。
LDAP デ ー タベー スに 保存 され る ユ ー ザ ー の 公開 鍵 は
OpenSSH 形式である必要があります。
Local(ローカル)
SCB ゲートウェイのローカルでクライアントを認証します。詳細については、11.3.2.1
クライアント側のローカル認証を参照してください。
RADIUS
SCB は指定された RADIUS サーバーでクライアントを認証します。Client-side
gateway authentication backend > RADIUS を選択して、Address(アドレス)フィール
ドに RADIUS サーバーの IP アドレスかホスト名を入力し、Port フィールドに、RADIUS
サーバーのポート番号を入力します。Shared secret(共有シークレット)フィールドに
RADIUS サーバーの共有シークレットを入力します。(ワン・タイムパスワードを含
む)パスワード認証のみがサポートされており、チャレンジ・レスポンス認証はサポ
ートされていません。
None(なし)
クライアント側の認証は実行しません。クライアントはターゲットサーバーでのみ認
証します。
警告
セキュリティ違反の危険があります!None 認証オプションがクラ
イアント側で選択され、サーバーで公開鍵または証明書ベースの
認証を使用するように設定されている場合、ゲートウェイ認証が
接続で要求されない限り、ユーザーは全く認証されません。
クライアント側のインバンドでのゲートウェイ認証の成功は、クライアント側の証明書に依存してお
り、Trusted CA(信頼された CA)のリストが、SSH/Telnet Control > Authentication Policies >
BalaBit Shell Control Box 4 LTS
Rev. 1.0
334
Client-side gateway authentication backend > X.509 certificate に設定されているかどうかに依
存します。
信頼されたCAのリストは、認証ポリシ
ーで設定されている
YES
クライアントに示す証明書は自己署名され、且つ、ユー
NO
成功
成功
成功
不成功
不成功
不成功
ザーはローカルユーザーデータベースにあり、データベ
ースに設定された自己署名証明書を持っている
クライアントに示す証明書は、CA署名され、且つ、ユー
ザーはローカルユーザーデータベースにある
クライアントに示す証明書は、CA署名され、且つ、ユー
ザーは、ローカルユーザーデータベースに存在しない
表 11-1 異なる証明書を使用した場合のクライアント側のインバンドのゲートウェイ認証
11.3.2.1 クライアント側のローカル認証
目的:
ここでは、クライアント側の接続を SCB でローカル認証する設定について説明します。
注記
パスワード、SCB にアップロードされた公開鍵または X.509 証明書でユーザ
ーを認証することができます。SCB 3.2 以降でのみ、ローカルクライアント側
認証でパスワードを使用できます。
SCB Web インターフェースにアクセスするために作成されたアカウントは、
SSH 接続を認証するためには使用できません。
Steps:
Step 1.
SSH Control > Authentication Policies に進み、変更する認証ポリシーを選びます。
Step 2.
Client-side gateway authentication backend > Local を選択し、許可する認証方法
(Password(パスワード)、Public key(公開鍵)、X.509 certificate(X.509 証明書))を選
択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
335
Step 3.
ポリシーの下部に進み、サーバーにアクセスできるユーザーを定義するために、Local
User Database でプルダウンリストからローカルユーザーデータベースを選択します。
Local User Database を作成するには、次の手順 7.13 ローカルユーザーデータベースの
作成を実行します。
Step 4.
Commit
をクリックします。
11.3.3
リレーされた認証方法
サーバー側の接続(SCB とターゲットサーバー間の接続)では、以下の認証方法を利用できます。
注記
これらの設定は、サーバー側接続を参照しますが、クライアント側は選択さ
れた認証方法をサポートしており、それが有効である必要があります。例え
ば、サーバー側で公開鍵認証を使用する場合、クライアントで別の認証方
法が使用されている場合であっても、公開鍵認証をサポートしているだけで
なく、「偽」公開鍵を提供する必要があります。
接続ポリシーで証明書ストアが使用されている場合、接続ポリシーはサー
バー側の認証設定(Relayed authentication methods)を無視します。
Password(パスワード)
ユーザー名とパスワードをベースとする認証です。パスワードベースの認証が既に
クライアント側で成功していたとしても、サーバーはユーザーからのパスワードを要
求します。
Public Key(公開鍵)
公開鍵と秘密鍵のペアをベースとする認証です。2048-bit RSA 鍵 (または、それ
以上の強度の鍵)の使用を推奨します。SCB は以下の公開鍵認証のシナリオをサ
ポートします。
Agent(エージェント)
クライアントにエージェント転送(agent forwarding)の使用を許可し、サーバー
側で自分の鍵ペアを使用します。このオプションが使用される場合、SCB はタ
ーゲットサーバーでの認証にその SSH エージェントを使用するようクライアント
に要求します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
336
注記
エージェントベースの認証は、同一の認証ポリシー
中の他の認証方法と組み合わせることができます。
このようにして、もし、クライアントでキーがないか、
提供されたキーでの認証が失敗した場合に他の方
法に切り替えできます。
提供されるキーが認証のために受理される場合、他
の認証方法への切り替え、例えば、パスワード認証
は可能ではありません。
注記
ターゲットサーバー上でエージェントベースの認証を
実行するためには、接続によって使用されるチャン
ネルポリシーで Agent-forwarding(エージェント
フォワーディング)チャンネルを有効にする必要はあ
りません。Agent-forwarding(エージェントフォ
ワーディング)チャンネルは、他のデバイスにターゲ
ットサーバーからの接続を確立し、クライアント上で
実行中のエージェントを使用して認証するために必
要とされます。
Fix(固定)
サーバー側の接続で指定された秘密鍵を使用します。Relayed authentication
methods > Server side private and public key > Public key > Fix を選択し、
を
クリックして秘密鍵をアップロードします。
Map(マップ)
SCB はユーザーの公開鍵と全てのユーザーの鍵ペアを保存します。この鍵ペ
アはサーバー側の接続で使用されます。詳細については、7.13 ローカルユー
ザーデータベースの作成を参照してください。
Publish to LDAP (LDAP 認証)
SCB は鍵ペアを生成し、サーバー側の接続でこの鍵ペアを使用します。この鍵
ペアの公開鍵は、接続ポリシーの LDAP Server で設定された LDAP データベー
スにアップロードされます。このようにして、サーバーはクライアントを LDAP デ
ータベースのユーザーのユーザー名のもとに保存された生成済み公開鍵で認
BalaBit Shell Control Box 4 LTS
Rev. 1.0
337
証することができます。Relayed authentication methods :で、Publickkey を有
効にし、Server side private and public key > Publish to LDAP を選択します。
注記
SCB は全てのセッションにではなく、接続ポリシーの
全ユーザーのために鍵ペアを生成します。
X.509 certificate(X.509 証明書)
X.509 証明書をベースとする認証です。2048-bit RSA 鍵 (または、それ以上の強
度の鍵)の使用を推奨します。SCB は以下の証明書ベースの認証シナリオをサポ
ートします。
Agent(エージェント)
クライアントにエージェント転送(agent forwarding)の使用を許可し、サーバー
側で自分の証明書を使用します。このオプションが使用される場合、SCB はタ
ーゲットサーバーでの認証にその SSH エージェントを使用するようクライアント
に要求します。
注記
エージェントベースの認証は、同一の認証ポリシー
中の他の認証方法と組み合わせることができます。
このようにして、もし、クライアントでキーがないか、
提供されたキーでの認証が失敗した場合に他の方
法に切り替えできます。
提供されるキーが認証のために受理される場合、他
の認証方法への切り替え、例えば、パスワード認証
は可能ではありません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
338
注記
ターゲットサーバー上でエージェントベースの認証を
実行するためには、接続によって使用されるチャン
ネルポリシーで Agent-forwarding(エージェント
フォワーディング)チャンネルを有効にする必要はあ
りません。Agent-forwarding(エージェントフォ
ワーディング)チャンネルは、他のデバイスにターゲ
ットサーバーからの接続を確立し、クライアント上で
実行中のエージェントを使用して認証するために必
要とされます。
Fix(固定)
サ ー バ ー 側 の 接 続 で指 定 され た 秘 密 鍵 と証 明 書 を 使 用 します 。 Relayed
authentication methods : で 、 X.509 certificate を 有 効 に し 、 Server side
certificate > Fix を選択し、
をクリックして Private key(秘密鍵)と Certificate
(証明書)をアップロードします。
Map(マップ)
SCB は X.509 証明書と対応するユーザーの秘密鍵を保存し、この保存した証
明書をサーバー側の接続で使用します。詳細については、7.13 ローカルユーザ
ーデータベースの作成を参照してください。
Generate(生成)
SCB は全ての接続ポリシーに対して X.509 証明書と対応する秘密鍵を生成し、
サ ー バ ー 側 の 接 続 で こ の 証 明 書 を 使 用 し ま す 。 Relayed authentication
methods :で、X.509 certificate を有効にし、Server side certificate > Generate
を選択し、Signing CA フィールドで生成された証明書の署名に使用する認証局
(CA)を選択します。詳細については、7.12 証明書の on-the-fly (必要時に動
的な)署名を参照してください。
Publish to LDAP(LDAP 認証)
SCB は全ての接続ポリシーに対して X.509 の証明書と対応する秘密鍵を生成
し、サーバー側の接続でこの証明書を使用します。この証明書は接続ポリシー
の LDAP Server で設定された LDAP データベースにもアップロードされます。こ
のようにしてサーバーは、LDAP データベースのユーザーのユーザー名下に保
存された生成済み証明書でクライアントを認証することができます。Relayed
authentication methods : で 、 X.509 certificate を有 効 に し 、 Server side
certificate > Publish to LDAP を選択し、Signing CA フィールドから生成済み証
BalaBit Shell Control Box 4 LTS
Rev. 1.0
339
明書の署名に使用する認証局(CA)を選択します。詳細については、7.12 証明
書の on-the-fly (必要時に動的な)署名を参照してください。
注記
SCB は全てのセッションにではなく、接続ポリシーの
全ユーザーのために証明書を生成します。
11.3.4
Kerberos(ケルベロス)環境の設定
目的:
クライアントが Kerberos(ケルベロス)チケットを使用して、ターゲットサーバー上で認証できるように、
お使いの Kerberos(ケルベロス)環境で SCB を統合するには、適切な環境を構成する必要がありま
す。次の Step を実行します。
Steps:
Step 1.
DNS サーバーを構成します。
Step a.
ドメインネームサーバー(DNS)に、キー配布センター(KDC)は、どのドメイ
ンに属しているかを記述する SRV レコードを追加します。TCP および UDP
の各ドメインの両方のエントリーを追加します。
ド メ イ ン が example.com で あ り 、 KDC サ ー バ ー の ホ ス ト 名 が
kdc.example.com である場合、このエントリーは次のようになります:
_kerberos_tcp_example.com 0 0 88 kdc.example.com
_kerberos_udp_example.com 0 0 88 kdc.example.com
Step b. ご使用の環境に複数のレルム名を使用している場合は、すべてのレルム
名のために前の Step を繰り返します。
Step c. クライアントが、SCB を介して接続するサーバーは、適切な逆 DNS エントリ
ーを持っていることを確認します。それ以外の場合は、SCB の Inband
destination selection(インバンド宛先選択)機能を使用しているならば、ク
ライアントがターゲットサーバーにアクセスすることはできません。
Step 2.
SCB 用の keytab ファイルを作成します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
340
Step a. KDC サーバー上で、SCB のドメイン名を使用して、SCB ホストのプリンシパ
ルを作成します。例えば:
host/[email protected]
Step b. ご使用の環境に複数のレルム名を使用している場合は、すべてのレルム
名の KDC で、前の Step を繰り返します。
Step c. keytab ファイルにプリンシパルのキーをエクスポートします。
Step d. ご使用の環境に複数のレルム名を使用している場合、、例えば、ktadd ま
たは、ktutil ユーティリティを使用して、単一のファイルに異なるレルム
名の keytab ファイルをマージします。
Step e. ご使用の環境に複数のレルム名を使用している場合は、すべてのレルム
名の KDC に、前の Step を繰り返します。
Step 3.
ケルベロス(GSSAPI)チケットの転送を可能にするために、クライアントのホストの SSH
アプリケーションを設定します。 (ほとんどのアプリケーションではこれがデフォルトで無
効になっています。)
Step 4.
期待される結果:
SCB で Kerberos(ケルベロス)認証を使用するように環境を構成し、そして SCB ホストの
ために keytab ファイルを作成しました。 keytab ファイルをアップロードする方法と SCB
設定の詳細については、11.3.5 Kerberos(ケルベロス)認証の設定を参照してください。
11.3.5
Kerberos(ケルベロス)認証の設定
目的:
Kerberos(ケルベロス)で認証を実行するには、次のStepを実行します。
注記
Kerberos(ケルベロス)認証が接続するように構成されている場合には、他
の認証方式にフォールバックすることはできません。
前提条件:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
341
SCBにKerberos(ケルベロス)認証を設定する前に、正しくKerberos(ケルベロス)環境を設定し、そ
して、keytabファイルを取得していることを確認してください。詳細は、11.3.4 Kerberos(ケルベロス)
環境の設定を参照してください。
Steps:
Step 1.
SSH Control > Authentication Policies と進みます。
Step 2.
新しい認証ポリシーを作成し、GSSAPI-based single sign-on を有効に設定します。こ
れは、他のすべての認証方式を無効にします。Commit
をクリックしてくださ
い。
Step 3.
SSH Control > Global Options > GSSAPI と進みます。
Step 4.
Kerberos keytab file:を参照し、Upload をクリックしファイルを選択し、Upload をクリックし
ます。アップロードされたプリンシパルは、Currently uploaded principals に表示されま
す。
Step 5.
オプションのステップ:複数のレルム名がネットワーク上に展開されている場合は、その
レルム名にサーバーの DNS ドメイン名のマッピングを指定する必要があります。
Kerberos レルム上にホスト名をマッピングするには、Domain to realm mapping: の
を
クリックしてください。
Step 6.
SSH Control > Connections に移動し、次のように SSH 接続を設定します。一般的な接
続の設定の詳細については、7.1 接続の設定を参照してください。
Step a. Target として、Use fix address または、Inband destination selection を選
択します。
Step b. Authentication policy で、Kerberos を選択します。
Step c. Gateway authentication を有効に設定します。
注記
Usermapping ポリシーは、Kerberos 認証ポリシーと共に使用するこ
とはできません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
342
11.4
サーバーのホスト鍵と証明書
SSH Control > Server Host Keys タブを使用し、信頼するサーバーのホスト鍵と X.509 証明書を管
理することができます。クライアントがサーバーへの接続を試みるとき、SCB はサーバーのホスト
鍵または証明書を確認します。接続ポリシーで Accept key for the first time または Accept
certificate for the first time オプションが有効である場合を除き、SCB はこのページでリストされた
サーバーにのみ接続を許可します。
ホストの格納されているホスト鍵を表示するには、Host IP address フィールドにその
IP アドレスを入力し、Search をクリックします。検索は正確な IP アドレスを必要とし、
ワイルドカード文字をサポートしていないことに注意してください。
格納されているホスト鍵のリストを表示するには、Show All をクリックします。 250
以上のホストがデータベース内に存在する場合、この機能は動作しませんので注
意してください。この場合は、代わりに、Generate CSV を使用します。
リスト全体をコンマ区切りのリストとしてエクスポートするには、Generate CSV をクリ
ックします。
図 11-7 サーバーホスト鍵
11.4.1
サーバーのホスト鍵とホスト証明書の SCB への自動追加
目的:
サーバーのホスト鍵とホスト証明書は、自動もしくは手動で追加することができます。ここでは、ホ
スト鍵またはホスト証明書を自動で追加する設定について説明します。
Steps:
Step 1.
SSH Control > Connections に進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
343
Step 2.
接続を設定します。(新しい接続ポリシーを作成する場合は)
をクリックし、Name,
From, To, Port フィールドに適切な情報を入力します。SCB が Bastion(バスシオン)モー
ドで設定されている場合は、Target(ターゲット)フィールドにも入力します。
注記
SCB が Router(ルーター)モードの場合は、To フィールドにサー
バーの IP アドレスを入力します。
SCB が Bastion(バスシオン)モードの場合は、Target(ターゲット)
フィールドにサーバーの IP アドレスを入力します。
Step 3.
(既存の接続ポリシーを修正する場合は)
をクリックして詳細設定を表示し、Server
side hostkey settings > Plain host key check オプションで Accept key for the first time
(初回に鍵を受け入れる)に設定されていることを確認します。サーバーが X.509 証明書
を使用する場合は、Allow X.509 host certificates(X.509 ホスト証明書を許可する)を選
択し、X.509 host certificate check(X.509 ホスト証明書チェック)オプションで Accept
certificate for the first time(初回に証明書を受け入れる)に設定されていることを確認
します。
Commit
Step 4.
をクリックします。
クライアントからサーバーへ SSH 接続を開始します。SCB はサーバーのホスト鍵を自動
的に記録します。サーバーの IP アドレスとホスト鍵が SSH Control > Server Host Keys
ページに表示されます。
11.4.2
サーバーのホスト鍵とホスト証明書の SCB への手動追加
目的:
ここでは、ホスト鍵またはホスト証明書を手動で追加する手順について説明します。
注記
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨
します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
344
Steps:
Step 1.
SSH Control > Server Host Keys に進み、
をクリックします。
Step 2.
Address(アドレス)フィールドにサーバーの IP アドレス、Port(ポート)フィールドにサーバ
ーのポート番号を入力します。
Step 3.
サーバーのホスト鍵を設定する場合は、以下の Step を実行します。
Step a. 以下のいずれかを実行します。
サーバーの RSA fingerprint(指紋)を追加する場合は、Public key
(RSA) フィールドの
をクリックします。
サーバーの DSA fingerprint(指紋)を追加する場合は、Public key
(DSA) フィールドの
をクリックします。
ポップアップウィンドウが表示されます。
Step b. 以下のいずれかを実行します。
サーバーからホスト鍵を取り出す場合は、Query を選択します。
ホスト鍵を手動でアップロードする場合は、Browse(参照)を選択して
ファイルを指定し Upload (アップロード)をクリックします。または
Copy-paste key(鍵のコピー ペースト)セクションに鍵をペーストし Set
を選択することも可能です。
ウィンドウを閉じるために、Close を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
345
図 11-8 サーバーホスト鍵のアップロード
Step 4.
サーバーのホスト証明書を設定する場合は、以下の Step を実行します。
Step a.
以下のいずれかを実行します。
サーバーの RSA 証明書を追加する場合は、X.509 certificate (RSA)
フィールドの
をクリックします。
サーバーの DSA 証明書を追加する場合は、X.509 certificate (DSA)
フィールドの
をクリックします。
ポップアップウィンドウが開きます。
Step b. 証明書を手動でアップロードする場合は、Browse(参照)を選択してファイ
ルを指定し、Upload(アップロード)をクリックします。または Copy-paste
certificate(証明書のコピー ペースト)セクションに証明書をペーストし Set
を選択することも可能です。
Step 5.
Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
346
11.5
プロトコルレベルの SSH 設定の作成と編集
目的:
SSH 設定は、タイムアウトや接続のグリーティングメッセージと同様に、プロトコルレベルで接続パ
ラメーターを決定します。サーバー側接続の確立時を含みます。
鍵交換、ホスト鍵、暗号、MAC、圧縮アルゴリズムのパラメーターで、接続で使用されるアルゴリズ
ムを決定します。クライアント側とサーバー側で異なるパラメーターを設定できます。ここでは、新し
い SSH 設定プロファイルの作成手順と既存設定の編集手順について説明します。
警告
SSH 設定の暗号化の設定の修正は、上級ユーザーのみ行ってください。不
明な場合は、これらの設定を変更しないで下さい。
図 11-9 SSH 設定
Steps:
Step 1.
(新しい SSH 設定を作成する場合は)SSH Control > Settings に進み、
をクリックして
SSH 設定プロファイルを作成します。タブ上の入力フィールドにプロファイル名(例:
strongencryption)を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
347
をクリックし、SSH 接続設定を表示させます。
Step 2.
(既存の SSH 設定を編集する場合は)
Step 3.
(RFC 4252 - セキュアシェル(SSH)認証プロトコルで指定されているように)認証前にク
ライアントにバナーメッセージを表示するには、Banner フィールドにメッセージを入力しま
す。例えば、このバナーは、接続が監査されていることをユーザーに通知することができ
ます。
Step 4.
サーバーを接続した後、クライアントに挨拶メッセージを表示するには、Greeting フィー
ルドにメッセージを入力します。
Step 5.
必要なら暗号化パラメーターを修正します。パラメーターはクライアント側接続とサーバ
ー側接続を別々に設定できます。利用可能なパラメーターのリストについては、付録 1.2
暗号パラメーターの設定を参照してください。
Step 6.
接続のプロトコルレベルのパラメーターを厳密にチェックする場合は、Strict Mode(厳密
なモード)オプションを選択します。このオプションはデフォルトで有効です。このオプショ
ンが有効である場合、SCB は非現実的なパラメーター(例えば、数千文字での数千ター
ミナル)や、ポート転送(port-forwarding)要求とチャンネルオープン(channel-opening)
要求のアドレスが一致しないポート転送(port-forwarding)接続を拒否します。このオプ
ションは特定のクライアントまたはサーバーアプリケーションの使用の妨げとなる可能性
があることにご注意ください。
Step 7.
サーバー側の接続を確立する前に、SCB は接続とチャンネルポリシーを評価し、接続が
完全に許可されるかどうか、例えば Time Policy(タイムポリシー)で拒否されないかを判
断することができます。この機能を有効にする場合は、Enable pre channel check(事前
チャンネルチェックを有効にする)オプションを選択します。そのようにして、SCB は評価
されたポリシーが、クライアントにサーバーへのアクセスを許可する場合のみサーバー
側の接続を確立します。
Step 8.
Commit
をクリックします。
Step 9.
接続の SSH Settings フィールドで、この設定プロファイルを選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
348
12
Telnet - 固有の設定
以下の節では、Telnet プロトコル固有の設定について説明します。誰が、いつ、どのように Telnet
接続にアクセスできるかについて、以下のポリシーを使用します。サポートされるクライアントアプ
リケーションのリストについては、2.2 サポート対象プロトコルとクライアントアプリケーションを参照
してください。
TLS support(TLS のサポート)
Telnet 接続の TLS 暗号化を有効にするには、12.1 Telnet 接続用 TLS 暗号化の有
効化を参照してください。
Authentication Policy(認証ポリシー)
認証ポリシーは、接続で許可される認証方法を説明します。別の方法を、クライア
ントとサーバー側の接続に使用することができます。詳細については、12.2 新しい
認証ポリシーの作成を参照してください。
Telnet settings(Telnet 設定)
Telnet 設定は、プロトコルレベルでタイムアウト値などを含む接続パラメーターを決
定します。詳細については、12.4 プロトコルレベルの Telnet 設定の作成と編集を参
照してください。
User Lists in Channel Policies(チャンネルポリシーでのユーザーリスト)
User List(ユーザーリスト)は、ゲートウェイ認証と共に使用される場合のみ Telnet
接続に影響を与えます。詳細については、17.2 ゲートウェイ認証の設定を参照して
ください。
Content Policy(コンテンツポリシー)
コンテンツポリシーを使用すると、さまざまなテキストパターンの接続のコンテンツを
検査し、パターンが見つかった場合にアクションを実行することができます。例えば、
特定のコマンドが Telnet の端末セッションで使用されている場合に、SCB は、電子
メールアラートを送信することができます。詳細については、7.6.1 新しいコンテンツ
ポリシーの作成を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
349
Ticketing Policy(チケッティングポリシー)
チケッティングポリシーを使用すると、ターゲットサーバーでの認証前にユーザーか
らチケット ID を要求するようにできます。このようにして、SCB はユーザーがサーバ
ーへアクセスする正当な理由を持っているかどうか検証します。さらにオプションと
して、ユーザーが正当な理由を持っていない場合、接続を終了させることができま
す。詳細については、17.5 チケッティング・システムとの統合を参照してください。
12.1
Telnet 接続用 TLS 暗号化の有効化
目的:
Telnet接続ポリシーでTLS暗号化を有効にするには、次のStepを実行します。暗号化を使用して
いる場合、SCBは自動的に接続ポリシーのポート番号を992に変更することに注意してください。
前提条件:
要件に応じて、以下の1つ以上が必要になることがあります:
X.509 証明書と秘密鍵。 SCB は、クライアント側とサーバー側でピアにこの証明書
を表示することができます。また、クライアント側とサーバー側に別の証明書を使用
することができます。これらは、SCB では作成することができないので、これらの証
明書を生成するために、独自の PKI システムを使用してください。証明書の
Common Name(共通名)は、ドメイン名または SCB の IP アドレスが含まれている必
要があることに注意してください。そうでない場合、クライアントは、証明書を拒否す
ることがあります。
接続用の on-the-fly (必要時に動的な)署名を生成するには、署名認証局が必要
となります。署名 CA 作成の詳細については、7.12 証明書の on-the-fly (必要時に
動的な)署名を参照してください。
SCB のピアが特定の認証局によって署名された X.509 証明書を持つように要求す
るには、信頼できる認証局のリストが必要になります。信頼された CA リスト作成の
詳細については、7.11 認証局での証明書確認を参照してください。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
Steps:
Step 1.
Telnet Control > Connections に移動し、TLS を有効にしたい接続ポリシーを選択しま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
350
図 12-1 Telnet 接続用 TLS 暗号化の有効化
Step 2.
Client-side transport security settings セクションでは、クライアントと SCB の間で使用さ
れる暗号化設定を設定します。
暗号化するために、SSL/TLS を選択します。接続が暗号化されるとき、SCB はピア
に証明書を示さなければなりません。
STARTTLS メソッドを使用して暗号化接続を有効にするには、STARTTLS を選択し
ます。ピアが STARTTLS メソッドを使用しなければならないことに注意してください。
暗号化されていない接続は、短い期間の後に終了します。
Step 3.
ピアに表示するために証明書を選択します。
すべてのピアで同じ証明書を使用するには、次の Step を実行します。
Step a. PKI システムで、SCB のための証明書を生成し署名し、証明書と秘密鍵を
エクスポートします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
351
Step b. Use the same certificate for each connection を選択します。
Step c. Private key for host certificate を選択し、
をクリックして、秘密鍵を
Upload します。
Step d. X.509 host certificate を選択し、
をクリックして、証明書を Upload します。
すべての接続のために別々の証明書を使用するには、次の Step を実行します。こ
のオプションを使用するときに、クライアントは SCB に証明書を示さなければならな
いので注意してください。Client-side transport security settings > Peer certificate
validation > Only accept certificates authenticated by the trusted CA list オプショ
ンを設定しなければなりません。
Step a. SCB がピアに示した証明書に署名するために使用される認証局を作成し
ます。詳細については、7.12 証明書の on-the-fly (必要時に動的な)署名
を参照してください。
Step b. Generate certificate on-the-fly を選択します。
Step c. Signing CA フィールドで、使用する証明機関を選択します。
Step 4.
SCB がピアを認証する方法を選択します。
証明書を要求することなく、ピアからの接続を許可するには、No certificate is
required を選択します。
特定の CA によって署名された有効な証明書を持つピアからの接続を許可するには、
次の Step を実行します。
Step a. ピアの証明書を検証するために使用される、信頼された認証局のリストを
作成します。信頼された CA のリストの作成の詳細については、7.11 認証局
での証明書確認を参照してください。
Step b. Only accept certificates authenticated by the trusted CA list を選択しま
す。
Step c. Trusted CA フィールドで、使用する認証局のリストを選択します。
Step 5.
Server-side transport security settings セクションで、SCB とサーバー間で使用される
暗号化設定を設定します。
暗号化するために、SSL/TLS を選択します。接続が暗号化されるとき、SCB はピア
に証明書を示さなければなりません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
352
STARTTLS メソッドを使用して暗号化接続を有効にするには、STARTTLS を選択し
ます。ピアが STARTTLS メソッドを使用しなければならないことに注意してください。
暗号化されていない接続は、短い期間の後に終了します。
Step 6.
サーバーに表示するための証明書を選択します。
サーバーが SCB からの証明書を必要としない場合は、None を選択します。
すべてのピアで同じ証明書を使用するには、次の Step を実行します。
Step a. PKI システムで、SCB のための証明書を生成し署名し、証明書と秘密鍵を
エクスポートします。
Step b. Use the same certificate for each connection を選択します。
Step c. Private key for host certificate を選択し、
をクリックして、秘密鍵を
Upload します。
Step d. X.509 host certificate を選択し、
をクリックして、証明書を Upload します。
すべての接続のために別々の証明書を使用するには、次の Step を実行します。こ
のオプションを使用するときに、クライアントは SCB に証明書を示さなければならな
いので注意してください。Client-side transport security settings > Peer certificate
validation > Only accept certificates authenticated by the trusted CA list オプショ
ンを設定しなければなりません。
Step a. SCB がピアに示した証明書に署名するために使用される認証局を作成し
ます。詳細については、7.12 証明書の on-the-fly (必要時に動的な)署名
を参照してください。
Step b. Generate certificate on-the-fly を選択します。
Step c. Signing CA フィールドで、使用する認証局を選択します。
Step 7.
SCB がピアを認証する方法を選択します。
証明書を要求することなく、ピアからの接続を許可するには、No certificate is
required を選択します。
特定の CA によって署名された有効な証明書を持つピアからの接続のみを許可する
には、次の Step を実行します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
353
Step a. ピアの証明書を検証するために使用される、信頼された認証局のリストを
作成します。信頼された CA のリストの作成の詳細については、7.11 認証局
での証明書確認を参照してください。
Step b. Only accept certificates authenticated by the trusted CA list を選択しま
す。
Step c. Trusted CA フィールドで、使用する認証局のリストを選択します。
Step 8.
Commit
をクリックします。
期待される結果:
暗号化設定が、接続ポリシーに適用されます。
12.2
新しい認証ポリシーの作成
目的:
認証ポリシーは、接続で使用することができる認証方式のリストです。接続の定義は、クライアント
がターゲットサーバーに認証できる方法を決定するために、認証ポリシーを参照します。個別の認
証方法は、クライアントとの接続のサーバー側で使用することができます。
新しい認証ポリシーを作成するには、以下の Step を行います。
Steps:
Step 1.
Telnet Control > Authentication Policies に移動し、
をクリックしてください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
354
図 12-2 Telnet の認証ポリシーの設定
Step 2.
Name フィールドにポリシーの名前を入力します。
Step 3.
Client-side gateway authentication backend フィールドで、クライアント側で使用する認
証方式を選択します。クライアント側の接続の場合、SCB は、次の認証方法を使用して
(Telnet プロトコル内で)クライアントをインバンド(inband)で認証することができます:
LDAP(エルダップ):
SCB は、接続ポリシーの LDAP Server に設定された LDAP データベースでクライア
ントを認証します。クライアント側で LDAP 認証を使用するために、Client-side
gateway authentication backend > LDAP を選択します。
注記
SCB は、接続ポリシーで設定された LDAP サーバーにクライアン
ト側の接続を認証します。これは必ずしも、SCB Web インターフェ
イスにアクセスするユーザーを認証するために使用する LDAP サ
ーバーと同じではありません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
355
Local(ローカル):
SCB ゲートウェイ上でローカルにクライアントを認証します。ポリシーの最下部に移
動し、
をクリックしてください。ユーザー名フィールドにユーザーの名前を入力し
ます。Client Side Passwords にユーザーのパスワードを入力してください。必要に
応じて、より多くのユーザーを追加します。
注記
SCB のパスワード長は150文字までです。SCB のパスワードに
は、以下の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
RADIUS(ラディウス):
SCB は、指定された RADIUS サーバーにクライアントを認証します。 Client-side
gateway authentication backend > RADIUS を選択し、Address フィールドに、
RADIUS サーバーの IP アドレスまたはホスト名を、Port フィールドに、RADIUS サー
バーのポート番号を、Shared secret フィールドに、RADIUS サーバーの共有秘密を
入力します。パスワード認証(ワンタイムのパスワードを含む)のみがサポートされ
ており、チャレンジレスポンスベースの認証ではありません。
複数の RADIUS サーバーを追加するには、
をクリックして、それぞれのフィールド
に入力します。
None(なし):
クライアントは、ターゲットサーバーで認証し、クライアント側の認証を実行しません。
警告
セキュリティ侵害の危険性!
None 認証オプションは、クライアント側で選択され、SCB
がサーバー上で公開鍵または証明書ベースの認証を使
用するように構成されている場合は、ゲートウェイ認証が
接続のために必要な場合を除き、ユーザーはまったく認
証されません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
356
Step 4.
Commit
をクリックします。
注記
クライアント側の認証設定は SCB ゲートウェイへのユーザーのインバ
ンド(inband)(つまり SSH プロトコル内)認証に対して適用されます。これ
は SCB Web インターフェース上で実行されるゲートウェイ認証と独立し
ています。Web ベースのゲートウェイ認証は接続ポリシーによって要求
されるアウトバンド(outband)のゲートウェイ認証方法です。アウトバンド
(outband)ゲートウェイ認証については、17.2.1 アウトバンドゲートウェイ
認証の設定を参照してください。SCB Web インターフェースでのゲート
ウェイ認証は、認証ポリシーと一緒に使用することができます。これ
は、極端な設定の場合、ユーザーは3つの認証(SSH プロトコル内のク
ライアント側のゲートウェイ認証、 SCB Web インターフェースでの
outband ゲートウェイ認証、ターゲットサーバーでの最終認証)を実行し
なければならないことを意味します。
接続ポリシーで証明書ストアが使用されている場合、接続ポリシーは
サーバー側認証の設定(Relayed authentication methods)を無視しま
す。
Step 5.
この接続に使用する Local User Database を選択します。詳細については、7.13 ローカ
ルユーザーデータベースの作成を参照してください。
12.3
Telnet 接続からユーザー名を抽出する
目的:
特定のデバイスのために、パターンを使用して、Telnet接続からユーザー名を抽出することが可能
になりました。
パターンを選択するには、以下のStepを実行する、または、カスタムパターンをリクエストします。
Steps:
Step 1.
Telnet Control > Authentication Policies に移動し、Extract username from the traffic を
有効に設定します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
357
Step 2.
使用可能なターゲットデバイスのリストを表示するために、Select target devices をクリッ
クします。Available devices 欄でそれぞれのデバイス(複数可)を選択し、Add をクリック
します。Target devices 欄からデバイスを削除するには、それを選択して Remove.をクリ
ックします。
Step 3.
OK をクリックします。Selected devices:に、ターゲットデバイスがリストされます。
Step 4.
使用可能なターゲットデバイスのリストでデバイスを検出できない場合は、カスタムパタ
ーンセットをリクエストしてください。これを行うには、弊社サポートチームにお問い合わ
せください。
Step 5.
入手したカスタムパターンをアップロードするために、Telnet Control > Pattern Sets へ移
動し、ファイルを参照し、Upload をクリックします。
Step 6.
SCB からカスタムパターンセットを削除するには、それぞれの行の X をクリックします。一
般的な BalaBit パターンセットを削除することはできません。
12.4
プロトコルレベルの Telnet 設定の作成と編集
目的:
Telnet 設定は、プロトコルレベルでタイムアウト値などを含む接続のパラメーターを決定します。こ
こでは、新しい Telnet 設定プロファイルの作成または既存設定の編集手順について説明します。
警告
Telnet 設定の修正は、上級ユーザーのみが行ってください。不明な場合
は、設定を修正しないで下さい。
Steps:
Step 1.
(新しい Telnet 設定を作成する場合は)Telnet Control > Settings タブに進み、
をクリ
ックして Telnet 設定プロファイルを作成します。タブ上の入力フィールドにプロファイルの
名前(例: telnet_special)を入力します。
Step 2.
(既存の設定を編集する場合は)
をクリックし、接続のパラメーターを表示させます。
Step 3.
必要に応じて、パラメーターを修正します。以下のパラメーターを利用できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
358
Idle timeout(アイドルタイムアウト)
接続タイムアウト(ミリ秒)の値。早すぎるタイムアウトを回避するために、例えば大
きな値、1 週間(604800000 ミリ秒)に設定します。
警告
接続がアイドル状態かどうかは、ユーザーのアクティビ
ティではなく、接続により生じたネットワークトラフィック
に基づいて決定されます。例えば、グラフィカルデスクト
ップのアプリケーションやタスクバーが更新時間を毎分
表示する場合、これは毎分ネットワークトラフィックを発
生させるので、1分以上のタイムアウト設定は効果を失
い、SCB が接続をクローズすることを妨げます。
Enable pre channel check(事前チャンネルチェックを有効にする)
サーバー側の接続を確立する前に、接続ポリシーとチャンネルポリシーを評価する
場合は、このオプションを選択します。接続が許可されない場合、SCB はサーバー
側の接続を確立しません。
Cipher strength(暗号強度)
OpenSSL の中で定義された暗号の強度には様々な種類があります。暗号強度は、
サーバー側とクライアント側の接続のために別々に設定することができます。以下
の暗号強度の設定を使用できます。
High: 128 ビット長以上の鍵を使用する暗号の使用のみを許可します。この設定
は、OpenSSL の”高”暗号化暗号スイート(encryption cipher suites)に対応して
います。
Medium: 少なくとも 128 ビット長の鍵を使用する暗号の使用のみを許可します。
この設定は、OpenSSL の”中”暗号化暗号スイート(encryption cipher suites)に
対応しています。
Low: すべての暗号を許可します。この設定は、OpenSSL の”低”暗号化暗号
スイート(encryption cipher suites)に対応しています。
Custom: OpenSSL 標準による暗号強度。カスタムのデフォルト設定は、より強
力な暗号を選び、すべての暗号を許可しています。
Step 4.
Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
359
Step 5.
認証の前にクライアントにバナーメッセージを表示するために、Banner フィールドにメッ
セージを入力してください。例えば、このバナーは、接続が監査されていることをユーザ
ーに通知することができます。
Step 6.
Telnet Control > Connections >Telnet Settings(Telnet 設定)フィールドで、この設定プ
ロファイルを選択します。
12.5
Telnet 接続でのインバンド宛先の選択
Telnet接続でinband destination selection(インバンド宛先選択)を使用している場合、ユーザーは
次のメソッドを使用して、サーバーのアドレスとユーザー名を提供することができます:
server:port フォーマットで、SERVER 環境変数を使用して Telnet ENVIRON オプショ
ンを設定することによって。
user@server:port フォーマットで、USER 環境変数を使用して Telnet ENVIRON オプ
ションを設定することによって。
SERVER 環境変数 も USER 環境変数のいずれも設定されていない場合、SCB が
端末のプロンプトを表示して、ユーザーがユーザー名とサーバーのアドレスを入力
することができます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
360
13
VMware View 接続
この節では、SCB で VMware View 接続を制御、監査する方法について説明します。SCB を使用し
て、VMware View 接続を制御、監査する場合は、以下の要件と制限が適用されます。
リモートデスクトップ(RDP)ディスプレイプロトコルを使用する接続のみサポートされ
ます。PCoIP や HP Remote Graphics Software ディスプレイプロトコルを使用する接
続はサポートされません。
直接接続、トンネル接続両方ともサポートされます。
VMware View 接続は SCB を直接通過しなければなりません。SCB を Router(ルー
ター)または Bridge(ブリッジ)モードで VMware View でアクセスする Virtual Desktop
の直前に展開するのがベストです。SCB をこのように展開すると、クライアントが
View Connection Server を使わずに、Virtual Desktops に直接アクセスしても、接
続を監視できるという利点があります。
注記
VMware View トラフィックが外部デバイス(例: ファイアーウォー
ル)で SCB に届くように設定されている場合は、Bastion(バスシオ
ン)モードも使用できます。
SCB は、これらの条件を満たす VMware View 接続を通常の RDP 接続として扱います。RDP 接続
で使用できる全ての SCB の機能(例えば、4-eyes 承認、監査、再生、記録された監査トレイルのイ
ンデックス化など)を VMware View 接続でも使用できます。RDP 固有の設定に関する詳細につい
ては、10 RDP - 固有の設定を参照してください。
13.1 VMware 環境での SCB 展開シナリオ
SCB は、多彩な展開シナリオをサポートします。これにより SCB の展開において柔軟に対応でき
ます。次のネットワークトポロジーでは、代表的な SCB VMware View 展開シナリオを説明します。
Client –
Broker – SCB – Server(クライアント - ブローカー – SCB - サーバー)
SCB をブローカー(Broker)と仮想デスクトップの間に配置し、RDP トラフィックをクライアントとブロ
ーカー間の HTTPS トンネルに通します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
361
図 13-1 Client – Broker –SCB – Server
Client – SCB – Server(クライアント – SCB - サーバー)
SCB をクライアントと仮想デスクトップの間に配置し、ブローカーを通さずサーバーに直接 RDP 接
続をさせます。
図 13-2 Client – SCB – Server
BalaBit Shell Control Box 4 LTS
Rev. 1.0
362
14
VNC - 固有の設定
以下の節では、Virtual Networking (VNC) プロトコル固有の設定について説明します。誰が、いつ、
どのように VNC 接続にアクセスできるかについて、以下のポリシーを使用します。サポートされる
クライアントアプリケーションのリストについては、2.2 サポート対象プロトコルとクライアントアプリ
ケーションを参照してください。
TLS support(TLS サポート):VNC 接続で TLS 暗号を有効にするには、14.1
TLS 暗号の有効化を参照してください。
VNC settings(VNC 設定):VNC 設定で、タイムアウトの値などを含むプロトコルレベ
ルの接続パラメーターを決定します。詳細については、14.2 プロトコルレベルの
VNC 設定の作成と編集を参照してください。
User lists in Channel Policies:ユーザーリストは、ゲートウェイ認証と一緒に使われ
た時だけ VNC 接続に影響します。詳細については、17.2 ゲートウェイ認証の設定を
参照してください。
Content Policy(コンテンツポリシー):コンテンツポリシーは、多様なテキストパター
ンで接続の内容を検査し、パターンが見つかったらアクションを実行します。例えば、
SCB は、RDP や VNC 接続で特定のウィンドウタイトルが現れたら、E メールアラート
を送ることができます。詳細については、7.6.1 新しいコンテンツポリシーの作成を参
照してください。
14.1
TLS 暗号の有効化
目的:
VNC 接続ポリシーで TLS 暗号を有効にする手順について説明します。
前提条件:
要件にもよりますが、一つまたは一つ以上の手順が必要かもしれません。
X.509 証明書と公開鍵: SCB はクライアント側とサーバー側でピアにこの証明書
を表示できます。また、クライアント側とサーバー側に別の証明書も使用できます。
これらは、SCB では作成することができないので、これらの証明書を生成するため
に、独自の PKI システムを使用してください。証明書の Common Name(共通名)は、
ドメイン名または SCB の IP アドレスが含まれている必要があることに注意してくださ
い。そうでない場合、クライアントは、証明書を拒否することがあります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
363
接続用の on-the-fly(必要時に動的な)証明書を生成するには、署名認証局が必
要となります。署名 CA 作成の詳細については、7.12 証明書の on-the-fly (必要時
に動的な)署名を参照してください。
SCB のピアが特定の認証局によって署名された X.509 証明書を持つように要求す
るには、信頼できる認証局のリストが必要になります。信頼された CA リスト作成の
詳細については、7.11 認証局での証明書確認を参照してください。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
Steps:
Step 1.
VNC Control > Connections タブに進み、TLS を有効にしたい接続ポリシーを選択しま
す。
図 14-1VNC 接続での TLS 暗号の有効化
BalaBit Shell Control Box 4 LTS
Rev. 1.0
364
Step 2.
Client-side transport security settings セクションでクライアントと SCB 間で使用される暗
号方式を設定します。
暗号化を要求するには、SSL/TLS を選択します。接続が暗号化されると、SCB はピアに
証明書を示さなければなりません。
Step 3.
SCB のピアに提示する証明書を選択します。
同じ証明書を使う手順について説明します。
Step a. PKI で SCB の証明書生成と署名、証明書と秘密鍵のエクスポート
Step b. Use the same certificate for each connection(各接続で同じ証明書を使う)
を選択
Step c. Private key for host certificate を選択、
をクリックして秘密鍵をアップロ
ード
Step d. X.509 host certificate を選択、
をクリックして証明書をアップロード
各接続で違う証明書を使う手順について説明します。このオプションを使う際は、ク
ライアントは SCB に証明書を示し Client-side transport security settings > Peer
certificate validation > Only accept certificates authenticated by the trusted CA
list オプションを設定しなければなりません。
Step a.
SCB がピアに提示する証明書を署名する認証局を作成。詳細については、
7.12 証明書の on-the-fly (必要時に動的な)署名を参照してください。
Step b. Generate certificate on-the-fly(必要時に動的な証明書の生成)を選択
Step c. Signing CA フィールドで使用する認証局を選択
Step 4.
SCB がピアを認証する方法を選択します。
証明書を要求することなく、ピアからの接続を許可するには、No certificate is
required を選択します。
特定の CA によって署名された有効な証明書を持つピアからの接続を許可するに
は、次の Step を実行します。
Step a. ピアの証明書を検証するために使用される、信頼された認証局のリストを
作成します。信頼された CA のリストの作成の詳細については、 7.11 認証
局での証明書確認を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
365
Step b. Only accept certificates authenticated by the trusted CA list (信頼された
CA リストで認証された証明書のみ許可)を選択します。
Step c. Trusted CA フィールドで使用する認証局リストを選択します。
Step 5.
Server-side transport security setting セクションで SCB とサーバー間で使われる暗号
方式を設定します。
暗号化を要求するため SSL/TLS を選択します。接続が暗号化されると、SCB はピアに
証明書を提示します。
Step 6.
サーバーに示す証明書を選択します。
サーバーが SCB からの証明書を要求しないなら None を選択します。
すべてのピアで同じ証明書を使う手順について説明します。
Step a. PKI で SCB の証明書生成と署名を行い、、証明書と秘密鍵をエクスポートし
ます。
Step b. Use the same certificate for each connection(各接続で同じ証明書を使う)
を選択します。
Step c. Private key for host certificate を選択、
をクリックして秘密鍵をアップロ
ードします。
Step d. X.509 host certificate を選択、
をクリックして証明書をアップロードしま
す。
各接続で違う証明書を使う手順について説明します。このオプションを使う際は、ク
ライアントは SCB に証明書を示し Client-side transport security settings > Peer
certificate validation > Only accept certificates authenticated by the trusted CA
list オプションを設定しなければなりません。
Step a. SCB がピアに提示する証明書を署名する認証局を作成します。詳細につ
いては、7.12 証明書の on-the-fly (必要時に動的な)署名を参照してくださ
い。
Step b. Generate certificate on-the-fly(必要時に動的な証明書の生成)を選択しま
す。
Step c. Signing CA フィールドで使用する認証局を選択します。
Step 7.
SCB がピアを認証する方法を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
366
証明書の要求なしでピアからの接続を許可するには、No certificate is required を
選択します。
特定の CA によって署名された有効な証明書を持つピアからの接続を許可するに
は、次の Step を実行します。
Step a. ピアの証明書を検証するために使用される、信頼された認証局のリストを
作成します。信頼された CA のリストの作成の詳細については、7.11 認証局
での証明書確認を参照してください。
Step b. Only accept certificates authenticated by the trusted CA list (信頼された
CA リストで認証された証明書のみ許可)を選択します。
Step c. Trusted CA フィールドで使用する認証局リストを選択します。
Step 8.
Commit
をクリックします。
期待される結果:
暗号化設定は接続ポリシーに適用されました。
14.2
プロトコルレベルの VNC 設定の作成と編集
目的:
VNC 設定は、プロトコルレベルでタイムアウト値などを含む接続のパラメーターを決定します。ここ
では、新しい VNC 設定プロファイルの作成または既存設定の編集手順について説明します。
警告
VNC 設定の修正は、上級ユーザーのみが行ってください。不明な場合は、
設定を修正しないで下さい。
Steps:
Step 1.
(新しい VNC 設定を作成する場合は)VNC Control > Settings タブに進み、
をクリック
して VNC 設定プロファイルを作成します。タブ上の入力フィールドにプロファイルの名前
(例: vnc_special)を入力します。
Step 2.
(既存の VNC 設定を編集する場合は)
をクリックし、VNC 接続のパラメーターを表示さ
せます。
Step 3.
必要に応じて、パラメーターを修正します。以下のパラメーターを利用できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
367
Idle timeout
接続のタイムアウト値(ミリ秒)。タイムアウトを長くするにはより大きな値を設定して
下さい。例えば、1週間(604800000 ミリ秒)
警告
接続がアイドル状態かどうかは、ユーザーのアクティビ
ティではなく、接続により生じたネットワークトラフィック
に基づいて決定されます。例えば、グラフィカルデスクト
ップのアプリケーションやタスクバーが更新時間を毎分
表示する場合、これは毎分ネットワークトラフィックを発
生させるので、1分以上のタイムアウト設定は効果を失
い、SCB が接続をクローズすることを妨げます。
Enable pre channel check(事前チャンネルチェックを有効にする)
サーバー側の接続を確立する前に、接続ポリシーとチャンネルポリシーを評価する
場合は、このオプションを選択します。接続が許可されない場合、SCB はサーバー
側の接続を確立しません
Cipher strength(暗号強度)
OpenSSL では多様なタイプの定義された暗号強度があります。暗号強度はサーバ
ー側とクライアント側の接続は別々に設定することができます。設定可能な暗号強
度は次の通りです。
High: 128 ビット鍵長以上の暗号使用のみ許可。この設定は OpenSSL‘high
encryption cipher suites’に対応します。
Medium : 少 なく とも 128 ビ ッ ト 鍵 長 の 暗 号 使 用 の み 許 可 。 この 設 定 は
OpenSSL‘medium encryption cipher suites’に対応します。
Low: 全ての暗号を許可。この設定は OpenSSL‘low encryption cipher suites’
に対応します。
Cutom: OpenSSL スタンダードに準じた暗号強度。初期設定は全ての暗号を
許可
Step 4.
Commit
をクリックします。
Step 5.
接続の VNC Settings(VNC 設定)フィールドで、この設定プロファイルを選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
368
15
監査トレイルの閲覧
ここでは、SCB に保存された監査トレイル、または、リモートサーバーにアーカイブされた監査トレ
イルの閲覧方法について説明します。
検索インターフェースの使用方法とカスタマイズ方法、SCB で利用できる接続メタデ
ータについての説明、ワイルドカードとブーリアン検索オペレータの例については、、
15.1 監査トレイルの検索 - SCB 接続データベースを参照してください。
検索結果からカスタム統計を作成する手順と、レポートで使用するための保存手順
については、15.2 検索結果の統計表示を参照してください。
監査トレイルのインデックス付け使用とインデクサーの監視に関する詳細について
は、15.3 監査トレイルのインデックス付けとレポートを参照してください。
15.1
監査トレイルの検索 - SCB 接続データベース
SCB は監査トレイルを閲覧するために、検索インターフェースを持っています。この接続データベ
ースは、接続と接続要求の各種メタ情報を含みます。検索クエリは、 英数字(alphanumerical
characters)だけを含むことができます。
検索インターフェースを使うには、Search > Search ページに進みます。Search(検索)ページは、
以下の権限を有するユーザーだけがアクセスできます。
Search 権限を設定したグループのメンバー
接続ポリシーの Access Control(アクセス制御)フィールドで、Audit または
Audit & Authorize 権限を持つグループのメンバー。これらのユーザーはそれ
ぞれの接続の監査トレイルだけにアクセスできます。SCB 管理者が変更しない限り、
Search グループのメンバーはデフォルトで全ての監査にアクセスできます。
admin ユーザー
ユーザーの権利の構成については、5.7 ユーザー権限とユーザーグループの管理を参照してくだ
さい。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
369
図 15-1 接続データベースの閲覧
時間間隔の変更:
選択範囲の結果数をバーで表示します。
と
アイコンでズームイン/ズームアウトします。矢
印で前後の範囲に移動します。日付を指定するには、Jump to を選択してカレンダーに日付を設
定します。Scale(スケール)オプションで、表示範囲を変更できます。
バー上にマウスを持っていくとエントリー数とバーが示す期間の開始日と終了日を表示します。テ
ーブルでその期間のエントリーを表示するにはカレンダー・バーをクリックします。Shift キーを押し
ながらバーをクリックすると、複数のカレンダー・バーを選択できます。
検索接続:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
370
注記
この機能は監査とフルテキストインデックス付けが要求された接
続でのみ利用できます。詳細については、15.3.1 監査トレイルの
フルテキストインデックス化設定を参照してください。
インデックス付き監査トレイルの内容を検索するには、検索キーワードを Screen content(トレイル
内容)フィールドに入力し、Filter(フィルター)をクリックします。検索は大文字小文字を区別します。
複雑な検索表現とブーリンオペレータを使用できます。詳細については、15.1.2 コンテクスト検索で
のワイルドカードの使用を参照下さい。
検索結果のフィルター:
接続メタデータは、カスタマイズ可能なカラムに表示されます。このカラムは、任意のパラメータや、
パラメータの組み合わせでフィルターできます。検索結果のリストをフィルターするには、適切なカ
ラムの入力フィールドにフィルター表現を入力して、エンターキーを押すか、テーブルのエントリー
をクリックします。
利用可能なカラムについては、15.1.3 接続メタデータを参照してください。
フィルターの使用および保存方法については、15.1.4 検索フィルターの使用と管理を参照してくだ
さい。
注記
フィルターを使うときは、表示バーはフィルター結果の統計を表示
します。
フィルタリングは部分一致も表示します。厳密な検索は、
(含まない)は、
アイコンで行います。逆フィルタリング
アイコンで行います。カラムからフィルターをクリアするには、
アイコンをクリッ
クします。
元のテーブルを表示するには、Clear conditions をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
371
ヒント
単一プロトコルについてのリストをすばやくフィルターするには、
Protocol カラムのドロップダウンメニューを使います。
検索結果の保存(Export):
後で検索結果を Audit Player アプリケーションで処理するため、検索結果を特別なフォーマットで
出力できます。Export format > Audit Player を選択し、Export(エクスポート)をクリックします。この
ファイルを Audit Player アプリケーションで開くと、Audit Player は検索結果に相当する監査トレイ
ルをダウンロードします。
検索結果は CSV ファイルとしてエクスポートできます。Export format > CSV を選択して Export(エ
クスポート)をクリックします。
検索結果の統計を表示する方法については、15.2 検索結果の統計表示を参照してください。
接続の詳細の閲覧:
接続のサマリーを表示するには、
をクリックするか、または、(たとえば、Events の)対応する接
続の詳細をみるには、ショートカット
をクリックしてください。接続のサマリーは接続の詳細を表
示するポップアップウィンドウに表示されます。詳細については、15.1.1 接続の詳細を参照下さい。
セッションの監査トレイルをダウンロードするには、Audit-trail カラムのアイコン をクリックしてく
ださい。
15.1.1
接続の詳細
詳細のポップアップウィンドウは、接続データベースに保存されたそれぞれのインデックス付き監
査トレイルについての詳細情報を提供します。これは、インデックス付きセッションとイベントについ
ての状況に関する洞察を得るために使用できます。
ポップアップウィンドウは、2つの主要な部分から構成されます。ヘッダーとトレイルの詳細です。
ヘッダーでは、以下のことができます。
検索ページでリストされている前後のトレイルへ、
と
ボタンで移動できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
372
現在のトレイルを検索できます。検索は表示されている監査トレイルのみで実行さ
れます。トレイルを移動すると、検索ページで用いた(入力した)クエリはリセットされ
ます。ボタン でクエリを元に戻せます。検索表現の詳細については、15.1.2 コンテ
クスト検索でのワイルドカードの使用を参照下さい。
トレイルの書き出しと追跡。 ボタン
は、ボタン
をクリックして、トレイルを書き出します。また
をクリックして、実行中の接続を追跡できます。トレイルのデータ
は .srs 形式で書き出されて、Audit Player で開くことができます。
図 15-2 監査トレイルの詳細
トレイルの詳細:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
373
詳細セクションは、(左側の)タブと(右側)のスクリーンショットとして構成されています。詳細タブは
いつも表示されます。すべての結果(All results)、イベント(Events)、アラート(Alerts)はトレイル内に
該当するコンテンツがあれば、動的に表示されます。
詳細(Details)タブ:(ユーザー、サーバー、時間についての)接続の詳細の簡単なサマリーです。
ユーザー情報:リモートとゲートウェイのユーザー名
接続情報:プロトコル、クライアントとサーバーのアドレス、接続の判定
セッション時間:接続の開始と終了時間
トレイル情報:トレイルがインデックス付きかどうか、アーカイブされているかどうか
図 15-3 詳細(Details)タブ
すべての結果(All results)タブ:日付順で、検索ページ(またはトレイルのコンテンツ)での検索にお
ける一致した結果
一致したイベントの日付と時間
検索ランク。表示されたランクは、検索結果が検索クエリとどれくらい近いかを示し
ます。
スクリーンショット。トレイルのスクリーンショットが利用できる場合、対応するスクリ
ーンショットを閲覧するためには、それぞれの検索結果をクリックします。
トレイルが Audit Player で索引付けされている場合、この機能は利用できません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
374
図 15-4 すべての結果(All results)タブ
イベント(Events)タブ:日付順での接続イベント
イベントの日付と時間
イベントのタイプ(コマンド、スクリーンの内容、ウィンドウタイトル)
イベントの詳細
図 15-5 イベント(Events)タブ
アラート(Alerts)タブ:日付順で、接続内で発生したコンテンツポリシーのアラート
アラートの日付と時間
アラートのタイプ(コマンド、スクリーンコンテンツ、クレジットカード番号、ウィンドウタ
イトル)
一致するコンテンツ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
375
端末バッファーのコンテンツ。スクリーンショットでアラートが表示されていない場合、
すべての端末バッファーのコンテンツを閲覧するには、ボタン をクリックします。
スクリーンショット。スクリーンショットがトレイルで利用できる場合、対応するスクリ
ーンショットを閲覧するためにおのおののアラートをクリックします。
この機能は、トレイルが Audit Player で索引づけされている場合、利用できませ
ん。
図 15-6 アラート(Alerts)タブ
Screenshots は、トレイルが開くと検索結果とアラートに対して、そして、引き続く検索に対して生
成されます。スクリーンショット間をスクロールできます。そして、フルサイズでそれぞれのスクリー
ンショットを閲覧できます。スクリーンショットを選択すると対応する検索結果やアラートがハイライ
トされます。
スクリーンショットは以下の場合利用できません。
実行中の接続
インデックスづけされていないトレイル
Audit Player でインデックスづけされた監査トレイル
HTTP 接続のトレイル
(必要な証明書がない場合の)暗号化されたトレイル
BalaBit Shell Control Box 4 LTS
Rev. 1.0
376
注記
SSH と Telnet のトレイルでは、トレイルデータは秒単位でまとめら
れます。スクリーンショットは、その秒の最後で見えている端末バ
ッファーを反映しています。このときにデータがスクリーンの外に
出ているとき、検索はそれを見つけますが、生成されたスクリーン
ショットには表示されません。
15.1.2
コンテクスト検索でのワイルドカードの使用
以下の条件をみたせば、インデックス付き監査トレイルのコンテンツの検索にワイルドカードとブー
ル演算子を使用できます。
監査トレイルに全文テキスト検索を構成していて、かつ、
Internal indexer が監査トレイルのインデックス付けに使用されている。
異なる検索クエリに対する例を以下のセクションに示します。
完全一致の例は、完全一致の検索をご覧ください。
検索キーワードを結合するためのブール演算子の使用例は、検索キーワードの結
合をご覧ください。
ワイルドカード検索の例は、ワイルドカード検索の使用をご覧ください。
特殊文字で検索する例は、特殊文字での検索をご覧ください。
ファジー検索で類似のスペルの単語を見つける例は、ファジーマッチでの検索をご
覧ください。
特別な距離内に出現する単語を検索する近隣検索の例は、近隣検索をご覧くださ
い。
検索語の関連性の調整については、検索語の関連性の調整をご覧ください。
完全一致の検索
デフォルトでは、SCB はキーワードを全体の単語として検索して、完全に一致したもののみ返しま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
377
例 15.1. 完全一致の検索
検索表現
example
一致
example
不一致
examples
example.com
query-by-example
exam
完全なフレーズを検索するには、検索キーワードを2重引用
符で囲みます。
検索表現
“example command”
一致
example command
不一致
example
command
example: command
検索キーワードの結合
検索キーワードを結合するためには、ブール演算子 “ AND, OR, NOT と + (必要であれば) “ を
使います。より複雑な検索表現は括弧を用いて構成できます。
例 15.2. 検索でのキーワードの結合
検索表現
keyword1 AND keyword2
一致
(両方のキーワードを含む結果)
検索表現
keyword1 OR keyword2
一致
(少なくともどちらかのキーワードを含
む結果)
検索表現
“keyword1 keyword2” NOT
“keyword2 keyword3”
一致
(最初のフレーズを含み、2番目のフレー
ズを含まない結果)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
378
検索表現
+keyword1 keyword2
一致
(keyword1 を含み、keyword2 を含むかも
知れない結果)
ブーリアン演算子として解釈される表現(たとえば、AND)を
検索する場合は、以下の形式を使用します。
“AND”
例 15.3. 検索で括弧を使う場合
より複雑な検索表現をつくるために括弧を使います。
検索表現
一致
(keyword1 OR keyword2) AND keyword3
(keyword1 と keyword3 を含むか、
keyword2
と keyword3 を含む結果)
ワイルドカード検索
検索表現で、? と * のワイルドカードを使用できます。
例 15.4. 検索で、ワイルドカード ? を使う場合
?(疑問符)ワイルドカードは、任意の一文字を意味します。
UTF-8 でない文字、マルチバイト文字を見つけることには使
えないことにご注意ください。もし、これらの文字に対して
検索したい場合、??が使えるかもしれません。または、* ワ
イルドカードを使うことができます。
検索の最初の文字に、* や ? を使うことはできません。
検索表現
example?
一致
example1
examples
example?
不一致
example.com
example12
query-by-example
BalaBit Shell Control Box 4 LTS
Rev. 1.0
379
検索表現
example??
一致
example12
不一致
example.com
example1
query-by-example
例 15.5. 検索で、ワイルドカード * を使う場合
*ワイルドカードは、0 文字以上の任意の文字を意味します。
UTF-8 でない文字やマルチバイト文字も検索できます。
検索表現
example*
一致
example
examples
example.com
不一致
query-by-example
example*
例 15.6. 検索で、ワイルドカード を組み合わせて使う場合
ワイルドカードは、組み合わせて使用できます。
検索表現
ex?mple*
一致
example1
examples
example.com
exemple.com
example12
不一致
exmples
query-by-example
特殊文字の検索
特殊文字、たとえば、疑問符 (?)、アスタリスク(*)、バックスラッシュ(\)または、空白文字( )を検索
するには、これらの文字の前に、バックスラッシュ(\)を付ける必要があります。バックスラッシュの
後の文字は、検索対象の文字として処理されます。次の文字は特殊文字です。+ - && || ! () {} [] ^
BalaBit Shell Control Box 4 LTS
Rev. 1.0
380
“~*?:\
例 15.7. 特殊文字の検索
特殊文字を検索する場合、バックスラッシュ(\)を使います。
検索表現
example\?
一致
example?
不一致
examples
example1
特殊文字のバックスラッシュ文字を検索する場合、2つのバ
ックスラッシュ(\\)を使います。
検索表現
c: \\Windows
一致
c: \Windows
検索表現
\ (1\+1\)\:2
一致
(1+1):2
ファジー一致の検索
ファジー検索は、チルダ記号~を単一キーワードの最後に使って、キーワードに対する類似のス
ペルを含む結果を見つけます。
例 15.8. ファジー一致の検索の場合
検索表現
roam~
一致
roams
foam
近隣検索
近隣検索は、チルダ記号~をフレーズの最後に使って、お互いに指定された距離内にあるフレー
ズからキーワードを検出します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
381
例 15.9. 近隣検索の場合
検索表現
“keyword1 keyword2”~10
一致
(keyword1 と keyword2 を含みお互いの
距離が 10 文字以内のものを検出しま
す。)
検索語の関連性の調整
デフォルトでは、検索表現のすべてのキーワードまたはフレーズは、等しく取り扱われます。キャレ
ット記号^を使うと、あるキーワードや表現を他のものより重要にできます。
例 15.10. 検索語の関連性の調整
検索表現
一致
keyword1^4 keyword2
(keyword1 と keyword2 を含み、keyword1 が4倍
重みがある。)
検索表現
一致
“keyword1 keyword2”^5 “keyword3 keyword4”
(keyword1,keyword2 と keyword3,keyword4 を
含み、keyword1,keyword2 が5倍重みがある。)
15.1.3
接続メタデータ
SCB は接続に関する以下のパラメーターを保存します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
382
Alerting(アラート)
接続でアラートのトリガーとなる Content ポリシーのリスト。アラートごとに、次の情
報が表示されます。
Time of alert
アラート日付と時間
Alerting type
イベントのタイプ(コマンド、スクリーンコンテンツなど)
Matched rule value
content に一致した表現
Matched context
一致した content の context を表示するには、このカラムをクリックします。例え
ば、スクリーンの内容またはコマンドライン。アラートのトリガーとなる値がハイ
ライトされます。
例えば、SSH 接続で“sudo”コマンドの全ての実行を検知する content ポリシ
ー を 、 次 の エ ン ト リ ー に 生 成 し ま す 。 : 2012-10-05 15:46:17.902004:
(adp.event.command) ‘sudo’
Application(アプリケーション名)
シームレス Citrix ICA 接続でアクセスしたアプリケーションの名前
Archive date(アーカイブ日付)
接続をアーカイブまたは消去した日付
Archive path(アーカイブパス)
リモートサーバーにアーカイブした監査トレイルへのパス
Archive server(アーカイブサーバー)
監査トレイルをアーカイブしたリモートサーバーホスト名または IP アドレス
Audit trail download(監査トレイルのダウンロード)
監査トレイルのダウンロード
Audit trail(監査トレイル)
チャンネルトラフィックを保存した監査ファイル名と ID。セッションが監査トレイルを
持つ場合、ダウンロードアイコン
が表示されます。以下の文字がダウンロードア
イコンに表示されます。
C
監査トレイルが消去されたので、もう利用できません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
383
A
監査トレイルはアーカイブ済み。SCB はアーカイブサーバーから読み込みを試
みます。
X
何らかの理由で、監査トレイルが利用できません。
以下の値で、Audit-trail 欄をフィルターできます。
no audit trail(監査トレイルなし):監査トレイルのないチャンネル
has audit trail(監査トレイルあり):監査トレイルのあるチャンネル
online(オンライン):監査トレイルがリモートサーバーにアーカイブ済みのチ
ャンネルで、SCB がリモートサーバーから監査トレイルをダウンロードできる
archived(アーカイブ済み):監査トレイルがリモートサーバーにアーカイブ済
みのチャンネルだが、SCB が監査トレイルにアクセスできない
Authentication Method(認証方法)
接続に使用された認証方法
Channel Policy(チャンネルポリシー)
チャンネルオープン要求に適用されたチャンネルポリシー
Channel Type(チャンネルタイプ)
チャンネルタイプ
Channel’s indexing status(チャンネルインデックシングステータス)
チャンネルがインデックスされているかどうかを示します。次の値が可能です。
0: チャンネル接続が、まだオープンです。
1: 接続の全チャンネルが、クローズされました。
2: チャンネルが、インデックスされています。
3: チャンネルのインデックシングが、完了しました。
4: チャンネルのインデックシングが、要求されていません。
Client X.509 Subject(クライアント X.509 サブジェクト)
VNC や TELNET でのクライアント認証
BalaBit Shell Control Box 4 LTS
Rev. 1.0
384
Events(イベント)
ターミナルセッションでユーザーが発行したコマンドが示すテーブル。これらのコマ
ンドはコマンドプロンプトと一緒に検索できます。Audit Player インデックスサービス
が監査トレイルを処理した場合には、Telnet と SSH session の shell 接続だけが可
能です。Audit Player インデックス付け設定に関する詳細については、15.3.1 監査ト
レイルのフルテキストインデックス化設定を参照してください。
Connection ID(接続 ID)
接続 ID
Connection Policy(接続ポリシー)
クライアント接続リクエストに適用された接続ポリシー
Destination IP(宛先 IP)
クライアントから要求されたサーバーの IP アドレス
Destination Port(宛先ポート)
クライアントから要求されたサーバーのポート番号
Device Name(デバイス名)
RDP 接続で使用された共有(リダイレクト)デバイスの名前または ID
Duration(期間)
セッションの長さ
Dynamic Channel(ダイナミックチャンネル)
RDP 接続で開かれたダイナミックチャンネルの名前または ID
End Time(終了時間)
チャンネルをクローズした日付
Environment(環境)
クライアントから送信された環境変数
Exec Command(実行コマンド)
Session Exec チャンネルで実行されたコマンド
File Operations(ファイル操作)
クライアントが実行したファイル操作リスト(例: ファイルアップロード、ディレクトリ生
成)。Log file transfers to database(ログファイルをデータベースに転送する)オプシ
ョンが接続のチャンネルポリシーで有効化されている場合、SCP、SFTP セッション
(Session exec SCP と Session SFTP SSH チャンネル)でのみ有効です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
385
注記
SFTP 接続では、このフィールドはパスとファイル名を含みます。
SCP 接続では、ファイル名だけを含みます(パスは SCP Path フィ
ールドに表示されます)。
Windows と Unix システムでは、パス名の区切り文字が異なりま
す。Windows では、半角円記号(\)で Unix では、スラッシュ(/)で
す。SCP と SFTP プロトコルはセパレータを指定しないので、SCB
はスラッシュ(/)を使用します
(例: /var/log/messages)。
ヒント
特定のファイルを含むセッションを見つけるには、カラムヘッダー
でフィルターを使用します(例えば、.gz 拡張子を持つファイルア
クセスセッションをリストする場合は、.gz を入力します)。現在は
ファイル名とパスのみが検索可能で、権限変更を検索することは
できないことにご注意ください。
Four-eyes Authorizer(4-eyes 承認者)
セッションを承認したユーザーの名前。そのチャンネルに 4-eyes 承認が要求された
場合だけ利用可能です。4-eyes 承認に関する詳細については、17.3 4-eyes 承認
の設定を参照してください。
Four-eyes Description(4-eyes 説明)
セッション承認者による説明
Hints and rank(ヒントとランク)
監査トレイルの内容を検索するとき、インデックス付きトレイルでのみ利用可能です。
この欄は自動的に表示されます。
内部インデクサーでインデックス付けされたチャンネルは、監査トレイルでのヒ
ット(検索結果)の数と検索キーワードに関する監査トレイルのランク(関連性)
が表示されます。Rank(ランク)は、1-5個の星マークで表示されます。Hits(ヒッ
ト)は、監査トレイルの 100 件までの結果の数字として表示されます。100 件以
上ある場合、正確な数字は表示されません。
Audit Player インデクサーサービスでインデックス付けされたチャンネルは、ラ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
386
ンクを利用できません。ヒット数の正確な数字も表示されません。トレイルで、す
くなくとも一回見つかった検索キーワードのみが表示されます。この場合、Hits
and rank 欄はひとつ以上表示されます。
Port-forward target IP(ポートフォワードターゲット IP)
Remote Forward と Local Forward チャンネルでトラフィックがフォワードされた IP ア
ドレス
Port-forward target Port(ポートフォワードターゲットポート)
Remote Forward と Local Forward チャンネルでトラフィックがフォワードされたポート
Port/X11 forward Originator IP(ポート/X11 フォワード発信者 IP)
Remote Forward と Local Forward チャンネルでチャンネル発信ホストの IP アドレス。
このホストはかならずしも SSH 接続のクライアントやサーバーではありません
Port/X11 forward Originator Port(ポート/X11 フォワード発信者ポート)
Remote Forward と Local Forward チャンネルでフォワードされたポート番号
Protocol(プロトコル)
接続(SSH, RDP, Telent, VNC, ICA)で使用されたプロトコル
Rule number(ルール番号)
チャンネルに適用されたチャンネルポリシーの行番号
SCP Path(SCP パス)
SCP でコピーしたファイル名とパス。接続のチャンネルポリシーで Log file transfers
to database(ログファイルをデータベースに転送する)オプションが有効化された
SCP セッション(Session exec SCP SSH チャンネル)でのみ可能
注記
こ の フ ィ ー ル ド は パ ス だ け を 含 み ま す ( フ ァ イ ル 名 は File
Operations フィールドに表示されます)。
Windows と Unix システムでは、パス名の区切り文字が異なりま
す。Windows では、バックスラッシュ(\)で Unix では、スラッシュ
(/)です。SCP と SFTP プロトコルはセパレータを指定しないので、
SCB はスラッシュ(/)を使用します
(例: /var/log/messages)。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
387
Server IP(サーバーIP)
SCB が接続したサーバーIP アドレス
注記
HTTP の場合、これはセッションの最初のリクエストのターゲット IP
です。全ページコンテンツが同じサーバーから来ることが保証さ
れないためです。
Server-local IP(サーバーローカル IP)
サーバー側接続で使用した SCB の IP アドレス
Server-local Port(サーバーローカルポート)
サーバー側接続で使用した SCB のポート番号
Server Port(サーバーポート)
SCB が接続したサーバーのポート番号
Session ID(セッション ID)
TCP セッションの ID 番号
Source IP(送信元 IP)
クライアント IP アドレス
Source Port(送信元ポート)
クライアントポート番号
Start Time(開始時間)
チャンネルを開始した日付
Subsystem Name(サブシステム名)
チャンネルで使用された SSH サブシステム名
URLs(URL リスト)
HTTP セッションでのアクセスされた URL リスト(ポップアップウィンドウでリストが表
示されます。)
Username(ユーザー名)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
388
Username on server(サーバーのユーザー名)
リモートサーバーログインに使用されたユーザー名。接続でユーザーマッピングが
使用された場合、このユーザー名はクライアント側のユーザー名と異なる場合があ
ります。ユーザーマッピングに関する詳細については、17.1 ユーザーマッピングポリ
シーの設定を参照してください。
Verdict(決定)
チャンネルについて SCB が決定したことを示します。
ACCEPT: 受け入れ
ACCEPT-TERMINATED: コ ネ ク シ ョ ン が 受 け 入 ら れ 確 立 し ま し た が 、
content ポリシーが終了させました。content ポリシーに関する詳細につい
ては、7.6 コンテンツポリシーとリアルタイムコンテンツの監視を参照してくださ
い。
CONN-AUTH-FAIL: ユーザー認証失敗
CONN-DENY: 接続の拒否
CONN-FAIL: 失敗、SCB は通過できたがサーバー接続でタイムアウト
CONN-KEY-FAIL: SSH での公開鍵認証失敗
DENY: 拒否
FAILED: 何らかの理由で失敗
注記
Verdict(決定)欄は、大文字のみを受け入れます。
注記
拒否された(CONN-DENY)HTTP リクエストは、データベース内に
多すぎるエントリーが作成されることを避けるために、ひとつのセ
ッションの中に集められます。(例えば、ユーザーが禁止ページに
訪問したり、何度もページをリロードした時、ただ一つのセッション
だけが他のリクエストの代わりに表示されます。)拒否されたセッ
ションはタイムアウトやセッション ID を持ちます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
389
15.1.4
検索フィルターの使用と管理
検索結果をフィルターするには、必要なフィルターを設定し Filter(フィルター)をクリ
ックします。
事前定義済みフィルターを適用するには、Predefined filter conditions(事前定義済
みフィルター条件)フィールドからフィルターを選択します。
フィルターを作成し保存するには 15.1.4.1 以後の利用のためのフィルターの作成と
保存を実行します。フィルターは修正できません。削除のみ可能です。
事前定義済みフィルターを削除するには、Predefined filter conditions(事前定義済
みフィルター条件)フィールドからフィルターを選択し、Delete(除去)をクリックしま
す。
注記
グローバルフィルターを削除するには、Manage global filters (グ
ローバルフィルターの管理)権限が必要です。ユーザー権限の管
理については、5.7 ユーザー権限とユーザーグループの管理を参
照してください。
15.1.4.1 以後の利用のためのフィルターの作成と保存
目的:
ここでは、後で使用できるようにフィルターを作成し保存する手順について説明します。
Steps:
Step 1.
Search > Search ページに進みます。
Step 2.
必要なフィルターを設定します。
Step 3.
Predefined filter conditions > Save As を選択します。ポップアップウィンドウが表示され
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
390
Step 4.
Name(名前)フィールドに、フィルター名を入力します。
図 15-7 フィルター条件の保存
Step 5.
このフィルターを他の SCB ユーザーも利用できるようにするには、Global(グローバル)を
選択します。このフィルターの利用を特定のユーザーに制限したい場合は、Scope >
Global を選択して
をクリックし、フィルターの使用を許可するメンバーのグループ名を
入力します。必要に応じてこの Step を繰り返し、他のグループを追加します。Local(ロー
カル)フィルターは、このフィルターを作成したユーザーにのみ表示されます。
注記
フィルターは後で変更することはできず、削除だけが可能です。フ
ィルターはそれを作成したユーザーと Search > Manage global
filters 権限を持つグループのユーザーが削除できます。
Step 6.
検索の時間幅を変更する場合は、Interval(期間)を選択し、検索の開始と終了日時を設
定します。これは特定のイベントの接続のみを表示したい場合に便利です。Global フィル
ターには常に Interval(期間)を設定する必要があることにご注意ください。
Step 7.
OK をクリックします。
15.2
検索結果の統計表示
目的:
SCB は検索結果の様々な情報から統計(棒グラフ、円グラフ、表)を作成できます(例: ターゲット
ホストの分布など)。ここでは、接続に関する統計を表示する手順について説明します。
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
391
Step 1.
Search > Search ページに進みます。
Step 2.
必要なフィルターを設定します。
Step 3.
テーブルヘッダーの円グラフアイコンをクリックします。ポップアップウィンドウが表示され
ます。
図 15-8 統計の表示
Step 4.
Statistics based on(ベースとする統計)フィールドから統計を作成したいメタデータの種
類(例: Source IP)を選択します。
Step 5.
表示するグラフの種類を Bar(棒グラフ)、Pie(円グラフ)、List(表)から選択します。この
グラフは同じポップアップウィンドウ上に表示されます。
Step 6.
初期設定では、統計はエントリー数の多い順に表示されます。エントリー数の少ない順
に統計を表示するには、Least(最小)をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
392
Step 7.
表示するデータグループを Number of entries(エントリー数)フィールドから選択します。
例えば、接続数の多い順に10ホストの統計(Top Talker)を表示したい場合は、10 を選
択します。上位10ホストは個別に表示されますが、その他のホストは集計され Others と
いうラベルで表示されます。
注記
Pie(円グラフ)と Bar(棒グラフ)では、5, 10, 15 を選択できます。
List(表)では、5, 10, 15, 50, 100 を選択できます。
図 15-9 表示種類の選択
Step 8.
(任意)統計データを CSV ファイルにエクスポートするには、List(表)を選択してエントリ
ー数を設定し、Export all to CSV(すべてを CSV にエクスポートする)をクリックします。
SCB は選択したデータを results.csv ファイルに集めます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
393
注記
このアクションは現在表示されている行ではなく、全ての行をエクス
ポートします。
Step 9.
(任意)さらにこれらの統計を保存し、レポートの節としてレポートに含めることができま
す。これらの節をレポートに含めるには、Reports > Configuration メニューで設定を行い
ます。
Step a. レポート用にカスタム統計としてこれらの統計を保存するには、Save As
Custom Statistics For Reporting(レポート用カスタム統計として保存する)
をクリックします。
Step b. Name(名前)フィールドに統計の名前を入力します。
Step c. Group(グループ)フィールドで既に存在するグループからグループを選択し
ます。オートコンプリート機能がユーザーの選択を助けます。
Step d. (任意)Add to report as a subchapter(節としてレポートを追加する)機能を
使用すると、選択したレポートにこの統計を節として即座に追加できます。
Step e. Save(保存)をクリックします。このアクションにより、保存済みの統計が選
択可能な節として Reporting > Configuration に含まれます。この節をレポー
トに追加する手順については、18.2 カスタムレポートの設定を参照してくだ
さい。
15.3
監査トレイルのインデックス付けとレポート
SCB は処理のために監査トレイルを Audit Player アプリケーション、または、SCB の内部インデク
サーに送信できます。インデクサーは監査トレイルからテキストを抽出しトークンとしてセグメント化
します。トークンとは空白を含まないテキスト部分(例: 語句、日付(2009-03-14)、MAC や IP ア
ドレスなど)のことです。次にインデクサーは抽出したトークンを SCB に返します。SCB は処理され
た監査トレイルのトークンから総合的なインデックスを生成します。
これにより Web インターフェースから処理された監査トレイルを検索できます(例: 端末セッション
でのユーザーが入力したコマンド、ユーザーが見たテキスト)。SCB は RDP, Citrix ICA, VNC のよう
なグラフィカルプロトコルからテキストのコンテンツを抽出できます。これにより、Web インターフェー
スからこれらのセッションのコンテンツを検索できます。
SCB は、2つの異なるインデクサーのソリューションをサポートします。一度には、どちらかしか使
用できません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
394
SCB アプライアンス上で稼動している内部のオンボックスインデクサー
内部インデクサーの OCR エンジンは、ラテン、ギリシア、キリル文字を使う言語と中
国語、日本語、韓国語もサポートします。これにより、SCB は、100 以上の言語で、
グラフィカルな監査トレイルからテキストを認識できます。
外部の Microsoft Windows サーバーでの Audit Player アプリケーションをサービス
モードで実行
Audit Player の OCR エンジンはラテン文字のみサポートします。そして、事前導入
済みのフォントのみ認識します。
警告
ラテン文字の場合でも、内部インデクサーは Audit Player インデクサーサ
ービスよりもよい結果を提供します。グラフィカルプロトコルで監査トレイル
の内容を検索するとき、Audit Player の検索結果は、内部インデクサー
に比べて劣ります。
Audit Player で監査トレイルをインデックス付けするとき、SCB は監査トレイルを処理する複数の
Audit Player(AP)ホストと連携します。これは特に多数の監査トレイルが生成されるトラフィックの
多いシステムや、多数のカスタムレポートが設定されたり、多数の接続でフルテキストインデックス
化が要求されたりする監査トレイルが、多くの処理を要求する場合に必要です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
395
図 15-10 監査トレイルのインデックス付け処理
監査する接続の全ての内容にインデックスを作成する手順については、15.3.1 監査
トレイルのフルテキストインデックス化設定を参照してください。
監査トレイルのインデックスを作成しているサーバーの状態を確認する手順につい
ては、15.3.2 インデクサーサービスのステータスの監視を参照してください。
監査トレイルの内容からカスタムレポートを作成する手順については、15.3.3 監査ト
レイル内容からのレポート作成を参照してください。カスタムレポートの作成にはフ
ルテキストインデックスは必要ないことにご注意ください。
15.3.1
監査トレイルのフルテキストインデックス化設定
目的:
SCB は処理のために監査トレイルを Audit Player アプリケーション、または、SCB の内部インデク
サーに送信できます。インデクサーは監査トレイルからテキストを抽出しトークンとしてセグメント化
します。トークンとは空白を含まないテキスト部分(例: 語句、日付(2009-03-14)、MAC や IP ア
ドレスなど)のことです。次にインデクサーは抽出したトークンを SCB に返します。SCB は処理され
た監査トレイルのトークンから総合的なインデックスを生成します。
これにより Web インターフェースから処理された監査トレイルを検索できます(例: ユーザーが入
力したコマンド、ユーザーが見たテキスト)。ここでは、フルテキストインデックスを設定する手順に
ついて説明します。
警告
Audit Player インデクサーサービスの使用:
カスタム監査トレイルレポートを作成するには、Audit Player インデクサーサ
ービスはフルテキストインデックス化は必要ではありません。詳細について
は、15.3.3 監査トレイル内容からのレポート作成と 16.1.2 監査インデックス
化サービスの有効化を参照してください。
VNC と X11 接続の監査トレイルのアンチエイリアステキストは、Audit Player
の OCR エンジンでは認識されません。これらの接続のトレイルのインデック
ス付けを適切に行うには、アンチエイリアスを無効にします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
396
警告
フルテキストインデックス化は(CPU とハードディスク)資源を消費するオペ
レーションであり、監査トレイル処理数と SCB を通過する並列接続に依存し
ますが、SCB の性能に影響を与えます。本番環境でこれらの機能を有効化
する前に、高負荷環境下でテストしてください。
接続ポリシーのフルテキストインデックス化後に作成された監査トレイルの
みが処理されます。既存監査トレイルを処理することはできません。
注記
すでに、Audit Player でインデックス化している場合に、内部インデクサー
を使い始めたい場合には、次のようにします。
内 部 イ ン デ ク サ ー を 使 う 場 合 に は 、
Backup&Archive/Cleanup>Archive/Cleanup
policies/Retention time in days の最小値は、30 日です。す
でに、これより小さな値を設定している場合、内部インデクサ
ーが使用されるとき、30 日でインデックスをアーカイブしま
す。
Steps:
Step 1.
Indexer > Options > Indexer settings に進みます。
SCB のオンボックスインデクサーを使う場合、Internal indexer を選択します。
AP のインデクサーを使う場合、Audit Player indexer service を選択します。インデ
ックス付けに Audit Player を使う前に、Audit Indexing Service enabled で、Audit
Player アプリケーションを導入します。詳細は、16.1.1 Audit Player アプリケーショ
ンのインストールと 16.1.2 監査インデックス化サービスの有効化をご覧ください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
397
警告
ラテン文字の場合でも、内部インデクサーは Audit Player インデクサーサ
ービスよりもよい結果を提供します。グラフィカルプロトコルで監査トレイル
の内容を検索するとき、Audit Player の検索結果は、内部インデクサー
に比べて劣ります。
注記
内部インデクサーのみが、インデックス付けとスクリーンショットを生成し
ます。
Step 2.
(任意)Intenal indexer を選択すると、Maximum parallel audit trails to index を定義します。
これにより、並行して実行するインデックス付けとスクリーンショット生成タスクの最大数
を決定します。初期値は 4 です。これは、4 コアマシンに最適です。
注記
監査トレイルのインデックス付けには、(SSH, Telnet, TN3270)端末セッショ
ンで、50-100M バイトが必要であり、(RDP, ICA, VNC, X11)グラフィカル
セッションで、150-300M バイト必要です。この値を変更する前に、SCB の
メモリー使用量を考慮してください。
Step 3.
( 任 意 ) 監 査 ト レイ ル を 暗号 化 して、イ ン デッ ク ス 付け をす る 場合、Indexer > Key
management に進みます。X.509 証明書と秘密鍵をアップロードします。
て、それぞれの証明書と鍵を選択、Upload をクリックします。
をクリックし
をクリックしま
す。
Search メニューで監査トレイルからスクリーンショットを生成するためには、User menu >
Private keystore へ、恒久的な鍵または一時鍵をアップロードします。
SCB へ証明書をアップロードする手順の詳細は、6.7.2 外部の証明書のアップロードを参
照してください。
Step 4.
トラフィックタイプ(例: SSH Control)の Control ページに進み、インデックス化する接続
ポリシーを選択します
BalaBit Shell Control Box 4 LTS
Rev. 1.0
398
Step 5.
Enable indexing(インデックスを有効にする)を選択し、Commit をクリックします。
インデックス化されたトレイルの場合、インデックスもアーカイブされます。
Internal indexer を 使 う 場 合 :
30 日 ご と か 、 Backup&Archive/Cleanup >
Archive/Cleanup policies / Retention time in days のフィールドが、30 より大きい
値のとき、 その日数が経過してからのみ、インデックスがアーカイブされます。たと
えば、Retention time in days が、60 日のとき、インデックスは 60 日ごとにアーカイ
ブされます。アーカイブされたインデックスの内容は、アーカイブの前の X 日間、利
用できます。ここで、X は Retention time in days の値です。
Audit Player を使う場合: Retention time in days + 50 日ごとです。
警告
データ損失の危険
アーカイブに加えて、データのバックアップも取得するようにしてください。
(詳細は、4.7 データと設定のバックアップをご覧ください。)
システムがクラッシュしたら、インデックスは30日おきにしかアーカイブさ
れないので、30日分のインデックスを失います。
Step 6.
接続で使用されているチャンネルポリシーをチェックし、Connection policies ページに進
みます。
Step 7.
インデックス化する接続で使われているチャンネルポリシーを選択し、インデックス化し
たいチャンネルの Audit(監査)オプションが選択されていることを確認(例えば、SSH の
Session shell チャンネル、または RDP の Drawing チャンネル)します。
Step 8.
Commit
をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
399
ヒント
その後、この接続ポリシーを使用するセッションを開始(クライア
ントからサーバーに接続)します。
セッション終了後、Indexer > Indexer status ページに進み、Audit
Player ホスト、または、内部インデクサが監査トレイルを処理して
いることを確認します。
監査トレイルが暗号化されている場合は、Audit Player ホストに復
号鍵が必要です。または、Indexer > Key management から必要
となる複合鍵をアップロードします。
15.3.2
インデクサーサービスのステータスの監視
監査トレイルの処理のステータスは、Indexer > Indexer status のページに表示されます。
内 部 イ ン デ ク サ を 使 う 場 合 に は 、 Internal indexer status セ ク シ ョ ン が
Capacity(Maximum parallel audit trails to index) とインデクサーの負荷( Load) を
表示します。
外部の Audit Player インデクサーを使う場合には、Registered Audit Players セク
ションが AP アプリケーションをサービスモードで起動していて、SCB に現在接続し
ているホストのステータスをリスト表示されます。
インデックス付けなし監査トレイル(Unindexed audit trails)セクションは処理待ちの監査トレイルをリ
スト表示されます。
図 15-11 Audit Player クライアントのステータス監視
BalaBit Shell Control Box 4 LTS
Rev. 1.0
400
15.3.3
監査トレイル内容からのレポート作成
目的:
SCB は処理のために監査トレイルを Audit Player アプリケーション、または、SCB の内部インデク
サーに送信できます。インデクサーは監査トレイルからテキストを抽出しトークンとしてセグメント化
します。トークンとは空白を含まないテキスト部分(例: 語句、日付(2009-03-14)、MAC や IP ア
ドレスなど)のことです。次にインデクサーは抽出したトークンを SCB に返します。SCB は処理され
た監査トレイルのトークンから総合的なインデックスを生成し、検索キーワードの出現統計と監査ト
レイルのスクリーンショットを作成します。
SCB は、検索キーワードの出現頻度の統計も、監査トレイルからのスクリーンショットと同様に作
成します。これらの統計とスクリーンショットは subchapter(節)としてカスタムレポートに含めること
ができます。
注記
検索結果から生成されたスクリーンショットは、検索キーワー
ドの最初の出現を含みます。もし、長期間にわたり監査トレイ
ルに検索キーワードが見える場合には、最初の出現はもっと
も適切とはいえない可能性があります。
技術的な理由から、端末接続(SSH と Telnet)のトレイルデー
タは、各秒ごとにまとめられています。レポート用に生成され
たスクリーンショットは、その秒の最後に見えるので、端末バ
ッファーを反映しています。この秒のときに検索キーワードを
含むデータが画面外にあったら、検索はそれを見つけます
が、生成されたスクリーンショットでは見えません。同様に、
複数のキーワードを検索するなら、同じ画面上にはおのおの
のキーワードはすべては含まれていない結果を受け取る可
能性があります。(しかし、一秒間隔で別々に見ることができ
ます。)
ここでは、監査トレイルの内容からカスタムレポートを作成するための設定について説明します。
注記
content subchapter(節)の構成後に作成された監査トレイルだけが処理さ
れます。既存の監査トレイルからレポートを作成することはできません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
401
内部インデクサーの前提条件: 内部インデクサーで監査トレイルをインデックス付けするならば、
レポートに含めたい接続について、全文検索が有効であることを確認してください。そうでないなら
ば、監査トレイルの内容についてのレポート生成は動作しません。詳細は、15.3.1 監査トレイルの
フルテキストインデックス化設定を参照してください。
Audit Player インデクサー・サービスの前提条件: 外部の Audit Player インデクサーで監査トレイ
ルをインデックス付けするならば、以下の事項にご注意ください。
監査トレイルの内容を処理するには、Audit Player をサービスモードで実行する
別々の Microsoft Windows サーバーが必要です。このサービスのセットアップの詳
細は、監査インデックスサービスの有効化を参照してください。
SCB が、インデックス付けに Audit Player を使うように構成されていることを確認し
てください。詳細は、接続の詳細を参照してください。
監査トレイルが暗号化されている場合、AP ホスト上で、必要な復号化鍵が利用でき
ることを確認してください。
警告
VNC や X11 接続の監査トレイルの中の anti-aliased テキストは、Audit
Player の OCR エンジンで認識されません。これらの接続の監査トレイルを
正しくインデックス付けするためには、anti-aliasing を無効にして下さい。
監査トレイルのレポートを使うときは、AP は、指定された検索キーワードのみを抽
出します。監査トレイルでの他のテキストはインデックス付けされません。監査トレ
イルから、すべてのテキストを抽出するには、全文検索を用います。(詳細は、
15.3.1 監査トレイルのフルテキストインデックス化設定を参照してください。)コンテン
ツサブチャプターの作成は、全文検索よりはるかに少ないリソース(ハードディスク、
CPU)ですみます。
Steps:
Step 1.
SCB Web インターフェースにログインし、Reports > Content subchapters に進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
402
図 15-12 監査トレイルレポートの構成
Step 2.
Step 3.
をクリックし、subchapter(節)の名前を入力します。
Search keyword(s)(検索キーワード)フィールドに、検索キーワード(あるいはその一部)
を入力します。検索は大文字・小文字を区別しません。ワイルドカードや正規表現はサ
ポートされません。正確な語句や表現を検索するには、キーワードを二重引用符で囲み
ます(例: “program files”)。
Step 4.
フィルターを設定し、インデックス化する監査トレイルを選択します。以下のフィルターが
を利用できます。
Protocol(プロトコル)
指定トラフィックタイプ(例: SSH)の監査トレイルだけを処理します。
Connection(接続)
指定接続ポリシーの監査トレイルだけを処理します。
Channel policy(チャンネルポリシー)
指定チャンネルポリシーの監査トレイルだけを処理します。
Username(ユーザー名)
接続で指定ユーザー名を使用した監査トレイルだけを処理します。ユーザー名
を知ることができる(例: SSH)プロトコルだけ有効です。
Source(送信元)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
403
指定クライアント IP アドレスまたはポートを使用した監査トレイルだけを処理し
ます。
Server(サーバー)
指定サーバーIP アドレスまたはポートを使用した監査トレイルだけを処理しま
す。
注記
フィルターを何も設定していない場合は、すべての利用可能な監
査トレイルが処理されます。監査トレイルはチャンネルポリシーで
特定チャンネルの Audit(監査)オプションが有効化されたチャン
ネルだけ作成されます。
Step 5.
Commit をクリックします。
Step 6.
Reporting > Configuration に進み、新しい subchapter(節)を既存のレポートに追加する
か新しいレポートを作成します。監査トレイルの内容を検索して作成される subchapter
(節)は Misc 下に表示されます。詳しくは 18.2 カスタムレポートの設定を参照してくださ
い。
図 15-13 レポートへの subchapter(節)の追加
BalaBit Shell Control Box 4 LTS
Rev. 1.0
404
16
セッション情報の閲覧と監査トレイルの再生
SCB は通過したセッション情報を接続データベースに記録します。セッション情報は SCB Web イン
ターフェースからオンラインで表示できます(詳細については、15 監査トレイルの閲覧と 15.1 監査ト
レイルの検索 - SCB 接続データベースを参照してください)。Audit Player(AP)は記録した監査トレ
イルを再生するデスクトップアプリケーションであり、メディアプレイヤーによるムービー再生に似て
います。
Audit Player(AP)は以下の 32 ビットおよび 64 ビットプラットホームで利用できます。
Microsoft Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows 8
Audit Player(AP)の要求する最小解像度は 1024x600 になります。
Audit Player(AP)アプリケーションは以下のセッションタイプを再生できます。
SSH ターミナルセッション
SSH トラフィック中でフォワードされるリモート X11 セッション。デスクトップ全体は表
示されずにリモートアクセスアプリケーションのウィンドウのみを表示します。
RDP4, RDP5, RDP6, RDP7 セッションの Drawing チャンネル(デスクトップ)(Aero(エ
アロ)グラフィカルインターフェイスを使用するデスクトップは除外)
Telnet と TN3270 ターミナルセッション
VNC セッション
SCP セッション
SFTP セッション
BalaBit Shell Control Box 4 LTS
Rev. 1.0
405
HTTP セッション
Audit Player(AP)アプリケーションのインストレーションや使い方の詳細については、以下のセクシ
ョンで説明します。
Audit Player(AP)アプリケーションのインストレーションに関する詳細については、
16.1.1 Audit Player アプリケーションのインストールを参照してください。
監査トレイル再生に関する詳細については、16.2 監査トレイルの再生を参照してく
ださい。
監査トレイルの検索に関する詳細については、16.3 Audit Player の使用を参照して
ください。
SCB からの監査トレイル自動ダウンロードと Audit Player(AP)の処理に関する詳細
については、16.1.2 監査インデックス化サービスの有効化と 15.3.1 監査トレイルのフ
ルテキストインデックス化設定を参照してください。
16.1
Audit Player のインストールと設定
ここでは、Audit Player アプリケーションのインストールと設定の手順について説明します。
16.1.1
Audit Player アプリケーションのインストール
目的:
ここでは、Audit Player アプリケーションのインストール手順について説明します。
警告
Audit Player のインストールには管理者権限が必要です。インストールした
Audit Player は権限を設定すると、実行できるユーザーを制限することがで
きます。
注記
インストールフォルダは次の通りです。
Windows system(32 ビット): C:\Program Files\Audit Player
BalaBit Shell Control Box 4 LTS
Rev. 1.0
406
Windows system(64 ビット): C:\Program Files (x86)\Audit Player
一時ファイルはシステム一時ディレクトリに保存されます。
ディレクトリ名は Windows バージョンによります。(例、TMP, TEMP,
TMPDIR 等)
Audit Player ホームフォルダのパス: C:\Users\<username>\ap\.
(例えば、次のファイルはここに保存されます。)
the preferences file(prefs.cfg)
the projects (<homefolder>\project\<projectname>.ap)
Steps:
Step 1.
Audit Player プリケーションを入手します(弊社までお問い合わせください)。
Step 2.
ダウンロードしたファイルを実行します。
Step 3.
Audit Player のエンドユーザー契約書を読み I Agree(合意する)をクリックします。
Step 4.
Audit Player によってインストールされるいくつかのフォントには、別の版権ライセンスが
あります。I Agree(合意する)をクリックします。
Step 5.
Audit Player をインストールするフォルダを選択し、Install(インストール)をクリックしま
す。
Step 6.
インストーラが自動的にインストールを行い、X11 監査トレイル処理の改善のためのフォ
ントを登録します。Audit Player で X11 監査トレイルを再生する場合は、これらのフォント
をインストールすることを推奨します。
注記
X11 フォントは、Audit Player バージョン 2011.2 以降でのみインス
トールされます。これらのフォントのインストールは自動的に
Windows Explorer の Windows\Fonts フォルダを開くことにご注
意ください。これは正常の動作であり、ホストの再起動を避けるた
めに必要です。このウィンドウを閉じてください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
407
Step 7.
Audit Player をサービスモードで実行し、SCB から自動的に監査トレイルのダウンロード
と処理を行う詳細については、16.1.2 監査インデックス化サービスの有効化を参照してく
ださい。もしくは Save setting をクリックして下さい。
16.1.2
監査インデックス化サービスの有効化
インストール中にインデックス化サービスとして Audit Player の起動を選択できます。
注記
インストール後に監査インデックス付けサービスの設定を変更するには、ス
タートメニュー > すべてのプログラム > Audit Player > Configure Audit
Indexer Service を選択して下さい。
警告
VNC や X11 接続の監査トレイルの中の anti-aliased テキストは、Audit
Player の OCR エンジンで認識されません。接続の監査トレイルを正しくイン
デックス付けするためには、anti-aliasing を無効にして下さい。
Step 1.
Enable Audit Indexing Service(Audit Indexing サービスを有効にする)を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
408
Step 2.
Server address(サーバーアドレス)フィールドに、SCB の IP アドレスまたはホスト名を入
力します。
図 16-1 Audit Player のサービスモードの設定
警告
このアドレスは、SCB 証明書の Common Name に表示されるもの
と同一でなければなりません。もしこれがホスト名であれば、
Audit Player を実行するホストから DNS またはローカルファイルで
名前解決できなければなりません。
Step 3.
Audit Player が SCB にアクセスするための SCB ユーザーアカウントの Username(ユー
ザー名)と Password(パスワード)を入力します。このユーザーは indexing グループの
メンバーでなければなりません。SCB で LDAP や RADIUS 認証が使用されている場合、
LDAP や RADIUS ユーザーは次のアクセス権限が設定されているグループのメンバーで
な け れ ば な り ま せ ん 。 AAA > Access Control: Reporting ま た は Audit Player
communication interface であり、Type が read and write/perform とする。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
409
注記
監査トレイルをダウンロードするには Search > Search in all
connections 権限が必要です。または Audit パーミッションとともに
接続ポリシーの Access Control セクションにリストされているグル
ープのユーザーである必要があります。
Step 4.
SCB との通信を可能にするには、(SCB Web インターフェースの Basic Settings >
Management > SSL Certificate > Server Certificate で設定される)SCB サーバー証明書
または SCB の証明書を署名した認証局の証明書をインストールします。
注記
証明書は DER 形式でなければなりません。
証明書がインストールされていて Audit Player が SCB と通信で
きない場合は、16.4.2 鍵と証明書を参照してください。
Step 5.
Save settings(設定を保存する)をクリックします。
Step 6.
インストレーションが終了したら、Close(閉じる)をクリックします。
Step 7.
SCB Web インターフェースで、Indexer > Indexer status に進むと、Register Audit Player
(登録済み Audit Player)リストに新しく登録した Audit Player が表示されます。
16.1.3
管理者権限無しでの Audit Player 実行
注記
ユーザーアカウントコントロールされている Windows システム上
では、ローカル管理者アカウントは標準ユーザーアカウントとして
実行するので、‘管理者として実行’オプションで Audit Player を
実行する必要があります。
任意: Audit Player を権限昇格の要求無しで実行するには、以下の Step を実行します。
Step 1.
ユーザーに、C:\Program Files\Audit Player\var フォルダへの書き込みと変更を許可し
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
410
Step 2.
ユーザーに、C:\Program Files\Audit Player\bin\Textract.Log ファイルへの書き込みと
変更を許可します。ファイルが存在しない場合は、作成します。
Step 3.
ユーザーに、C:\Program Files\Audit Player\bin\Textract.ini ファイルへの書き込みと変
更を許可します。
16.1.4
マルチコアプロセッサでの Audit Player 実行
任意: Audit Player をマルチコアプロセッサで実行するには、以下の Step を実行します。
Step 1.
regedit を開始します。
Step 2.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\APService に
移動します。
Step 3.
ImagePath キーを右クリックし修正を選択します。
Step 4.
値のデータフィールドで、.exe ファイルの後に -C スイッチと必要な値を入力します。
例 16.1. -C スイッチ使用
C:\Program Files\Audit Player\
bin\audit-indexer-services.exe -C 4
注記
最適なパフォーマンスを得るには、コア数の 1
-1.5 倍の値にします。
Step 5.
OK をクリックします。
16.2
監査トレイルの再生
監査トレイルを再生するには、監査トレイルを Audit Player 実行するコンピューターに置く、もしくは
Audit Player を実行するコンピューターのブラウザから SCB 検索インターフェースへアクセスする
必要があります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
411
SCB から監査トレイルをダウンロードする手順に関する詳細については、16.2.1
SCB から監査トレイルのダウンロードを参照してください。
Audit Player による監査トレイルの再生手順に関する詳細については、 16.2.2
Audit Player でのセッションの再生を参照してください。
Audit Player による SCP や SFTP の再生手順に関する詳細については、16.2.3
SCP と SFTP セッションの再生を参照してください。
Audit Player による HTTP セッションの再生手順に関する詳細については、16.2.4
HTTP セッションの再生を参照してください。
16.2.1
SCB から監査トレイルのダウンロード
Steps:
Step 1.
SCB Web インターフェースにログインします。
Step 2.
Search > Search に進みます。
Step 3.
カレンダーバーもしくは Jump to およびフィルターで再生するセッションを指定します。
Step 4.
セッションの Audit trail カラムの
をクリックし、監査トレイルをコンピューターにダウンロ
ードします。
Audit trail カラムが表示されていない場合は、このカラムを表示可能カラムに追加し
ます。詳しくは 5.8.1.3 内部検索インターフェースのカラムのカスタマイズを参照してく
ださい。
Audti trailカラムは表示されているが空の(
アイコンがない)場合は、チャンネル
ポリシーで Audit(監査)が有効になっていないため、そのセッションに監査トレイル
が記録されていません。詳細については、7.5 チャンネルポリシーの作成と編集を
参照してください。
アイコンがグレイアウトの場合は、HTTP セッションがまだオープンで、クローズさ
れるまで監査トレイルはダウンロードできません。
監査トレイルのファイル名を変更するには、User menu > Preferences に進み Audit trail filename
template
を 変 更 し て 下 さ い 。 初 期 の テ ン プ レ ー ト は 、
{protocol}-{starttime}-{gw-username}-{remote-username}-{dst-ip}.zat です。テンプレートにはなん
でも含むことができて、Key({}の中)は実際の値に置き換えられます。キーは以下になります。
connection-policy: 接続ポリシー
BalaBit Shell Control Box 4 LTS
Rev. 1.0
412
dst-ip:宛先 IP アドレス
dst-port:宛先ポート
gw-username:ゲートウェイのユーザー名
protocol:プロトコル
remote-username:リモートユーザー名
session-id:セッション ID
src-ip:送信元 IP アドレス
starttime:セッション開始時間
注記
監査トレイルをダウンロードするには、Search > Search in all
connections 権限を持つか、もしくはユーザーグループが接続ポ
リシーの Access Control(アクセス制御)セクションで Audit(監査)
権限付きでリストされている必要があります。
ヒント
検索結果の全ての監査トレイルをダウンロードするには、Export
Format > Audit Player を選択し、Export(エクスポート)をクリックし
ます。
Step 5.
接続の監査トレイルダウンロードのログをとるには、Connections メニューで Log audit
trail downloads を有効にします。
注記
Search (検 索) メニュー でこれ らのイ ベン ト を表 示す るには 、
visible columns のリストに Log audit trail downloads を追加しま
す。詳細については、5.8.1.3 内部検索インターフェースのカラム
のカスタマイズを参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
413
16.2.2
Audit Player でのセッションの再生
目的:
ここでは、セッションの再生手順について説明します。
図 16-2 監査トレイルの再生
Steps:
Step 1.
以下のいずれかの方法で監査トレイルを開きます。
Audit Player アプリケーションを開始し、File > Add Audit Trail を選択して監査トレイ
ルファイルを選択します。
Windows Explorer で監査トレイルをダブルクリックします。この方法は、ファイル名ま
たはパスにアクセント文字や、OS がネイティブサポートしていない文字が含まれる
場合は機能しません
(例えば、ellenőrzött-adminisztrátori-kapcsolat.zat ファイルは英
語ロケールで使用する Windows 上では機能しません)。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
414
Audit Player はファイルを開き Project Trails(プロジェクトトレイル)パネルのファイルに保
存されたセッションを表示します。
注記
複数の監査トレイルを開くには、Shift と Control キーを使用しま
す。
監査トレイルが暗号化されている場合、監査トレイルを再生する
前に、監査トレイルを暗号化した証明書の秘密鍵をインポートす
る必要があります。詳細については、16.3.3 暗号化された監査ト
レイルの再生と処理を参照してください。
監査トレイルの拡張子は.log または.zat です。名前は、
audit-scb-protocolname-timestamp-sequencenumb
er となります。
Step 2.
再生するストリームをダブルクリックします。セッションが別のウィンドウに表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
415
Step 3.
Audit Player がストリームを処理するまで待ちます。処理の進捗は時間線のオレンジバ
ーで示されます。Play(再生)をクリックします。
図 16-3 ユーザー入力の表示
再生速度を調整するには、Replay Speed(再生速度)オプションを調整します。
Audit Player バージョン 2012.1 から、再生速度を live に設定できます。live モー
ドでは、AP は、アイドル期間を飛ばして監査トレイルをすばやく再生します。そして、
現在の監査トレイルの最後に到着するとリアルタイム再生に変わります。これは、
live ストリームを再生するデフォルトの再生モードです。(SCB の web インターフェー
スで Follow をクリックします。)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
416
セッション中にユーザーが入力した文字(例えば、コマンド、パスワードなど)を表示
するには、Show user input(ユーザー入力を表示する)を有効にします。利用できる
キーボードレイアウトは英語、フランス語、ドイツ語、ハンガリー語、ロシア語です。
ユーザーの入力は、時間バーの上に表示されます。アップストリームトラフィックが
他の証明書セットで暗号化されている場合、ユーザー入力を表示するには適切な
復号鍵が必要です。
実際のウィンドウサイズに調整するには、Auto scale を有効にします。ICA、RDP、
VNC、X11 プロトコルで利用できます。
再生される監査トレイルをフルスクリーンモードで見るには、再生ウィンドウをダブ
ルクリックするか F11 キーを押して下さい。フルスクリーンモードでは Auto scale や
Show user input の設定は変更できません。
ヒント
以下のホットキーは再生中でも使用できます。
Page Up/Page Down
ストリームの 1/5 を先送りまたは巻き戻し
Home/End
ストリームの先頭または最後に移動
Left/Right
ストリームの 1/10 を先送りまたは巻き戻し
Up/Down
前または次の監査に移動
F11
フルスクリーンモードに(トグルで)変更
ヒント
セッションをパケットキャプチャ(PCAP)にエクスポートするには、
接続を選択して、ローカルメニューから Export to PCAP を選択し
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
417
16.2.3
SCP と SFTP セッションの再生
目的:
ここでは、SCP と SFTP セッションの再生について説明します。
Steps:
Step 1.
File > Add Audit Trail を選択し、監査トレイルファイルを選択します。Audit Player はファ
イルを開き、Project Trails パネルのファイルに保存されたセッションを表示します。
注記
SCP と SFTP セッションは、Find で検索できません。
SCB Web インターフェースでファイル名をフィルターするには、
Search > Search を開いて Customize columns...(カラムのカスタ
マイズ)をクリックし、visible columns(表示されるカラム)に File
operations(ファイル操作)を追加します。次に File operations(フ
ァイル操作)欄の Filter フィールドでファイル名をフィルターしま
す。
Step 2.
再生したいセッションをダブルクリックします。セッションは新しいウィンドウに表示されま
す。セッションはリモートホストの全ファイル転送とファイル管理アクション(例えば、ファイ
ル削除、ファイルアップロード、属性変更など)を一覧表示します。
図 16-4 SFTP セッション
BalaBit Shell Control Box 4 LTS
Rev. 1.0
418
Step 3.
セッションからアップロードしたファイルをダウンロードできます。これらのファイルは
Action 欄に太字の upload(アップロード)または download(ダウンロード)ラベルでマーク
されます。ファイルをダウンロードするには、それを選択し Save(保存)をクリックします。
16.2.4
HTTP セッションの再生
目的:
ここでは、HTTP セッションの再生について説明します。
Steps:
Step 1.
File > Add Audit Trail を選択し、監査トレイルファイルを選択します。Audit Player はファ
イルを開き、Project Trails パネルのファイルに保存されたセッションを表示します。
Step 2.
再生したいセッションをダブルクリックします。セッションは新しいウィンドウに表示されま
す。セッションは全ての HTTP 交換(クライアントのリクエストやサーバーのレスポンス)を
一覧表示します。
図 16-5 HTTP セッション
Step 3.
HTTP 交換やイメージを見るには URL をクリックします。コンテンツが Preview タブに表示
されます。HTTP 交換のヘッダー部分を見るには Headers タブを選択します。HTTP 交換
のデータ部分を見るには Data タブを選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
419
注記
サーバーからダウンロードされたファイルだけが監査トレイル内
に物理的に存在します。以前クライアントが Web ページに訪問し
ていたら、キャッシュされたコンテンツ(例えばイメージ)が一覧表
示されます。しかし、プレビューや保存はできません。
ページがキャッシュされたら“304 Not Modified HTTP”レスポンス
が Headers タブの Responses 部分の最初のラインに表示されま
す。
Step a. 表示された HTTP 交換はハイライトされます。ハイライトのスタイルを選択
するには、Preview ウィンドウを右クリックし Style を選択、ハイライトスタイ
ルを選択します。
Step b. 表示された HTTP 交換はファイルタイプ(例えば、CSS、HTML、Java、sh
等)に応じてハイライトされます。ファイルタイプを選択するには、Preview ウ
ィンドウを右クリックし Language を選択、ファイルタイプを選択します。
Step c. ライン番号を表示するには Preview ウィンドウを右クリックし Line numbers
を選択します。
Step 4.
特定の HTTP 交換をフィルターするには、Filtering フィールドに正規表現フォーマット
(regexp)のフィルター表現を入力し Apply をクリックまたは Enter を押します。フィルター
表現にマッチする HTTP 交換の数が Filtering フィールド上に表示されます。
全カラムで表現をフィルターするには Filtering フィールドにフィルター表現を入力し
ます。
特定のカラムで表現をフィルターするには次のシンタックスを使います。:
<columnname>=<regexp1>. 次のカラムはフィルターとして利用できます。: id, info,
method, status, timestamp, type, url.
注記
Timestamp と Url カラムはツリービューで見ることができます。他
のカラムのデータを見るにはマウスを HTTP 交換のうえにホバー
させます。カラムのコンテンツがツールチップに表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
420
複雑なフィルター実行するには次のシンタックスを使います。:
<columnname1>=<regexp1><columnname2>=<regexp2>. これらの表現は AND 関
係です。
r egexp が ス ペ ー ス を 含 む 場 合 、 そ の 表 現 を 引 用 符 で く く り ま す 。 : <regular
expression>
例 16.2. Audit Player での HTTP 交換フィルタリング
timestamp=”09/14/12 12:35” url=example.com
Filtering フィールドをクリアーにするには Clear をクリックします。
注記
正当なフィルター表現を使うことを保証するには、Filtering フィー
ルドの色を確認します。
緑(Green): フィルター表現は正当(特定のカラム
のフィルタリングの場合)
黄(Yellow): フィルター表現は正当(全カラムのフ
ィルタリングの場合)
Step 5.
赤(Red): フィルター表現は無効
ブラウザモードでフィルターされた HTTP 交換を見るには、Preview をクリックするか
exchange をダブルクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
421
図 16-6 閲覧モード
リソースをリストするには Resources を有効にします。クリップボードにリソース
をコピーするにはリソースを選択し Ctrl+C を押します。複数のリソースを選択す
るにはリストのリソースをクリックしている間 Ctrl を押し下げます。複数の隣接
するリソースを選択するには、最初のリソースをクリックし最後のリソースをクリ
ックする間 Shift を押し下げます。全リソースを選択するには Crtl+A を押しま
す。
緑(Green):正当なリソース
青(Blue):不明なリソース
赤(Red):無効なリソース HTTP 交換が指定した URL でみつかったが
全てリダイレクトされたことを意味します。(code 3xx)
ブラウザモードで Java スクリプトを表示するには Javascript を有効にします。
前の HTTP 交換(または利用可能ならフォームデータ)を見るには Previous をク
リックします。
次の HTTP 交換(または利用可能ならフォームデータ)を見るには Next をクリッ
クします。
スライドショーモード(5秒ごとに次の HTTP 交換に移動します)を有効にするに
は Play をクリックします。
フォームに送信された POST データを見るには Fill form data をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
422
Step 6.
セッションからファイルを保存するには、保存するファイルを右クリックします。
リクエストデータだけを保存するには Save request data を選択します。
レスポンスデータだけを保存するには Save response data を選択します。
リクエスト/レスポンスデータ両方とも保存するには Save both を選択します。
フィルターで選択された全 HTTP 交換を保存するには、SaveFiltered を選択します。セッ
ションから全ファイルを保存するには、Save All を選択します。
16.3
Audit Player の使用
メインウィンドウで監査トレイルとセッションのソートと編成を行えます。
図 16-7 Audit Player のメインウィンドウ
Audit Player にロードした監査トレイルは、全て Project Trails タブで見ることができます。監査トレ
イルはツリーに編成できます。ツリーには以下のレベルがあります。
Protocol(プロトコル)
監査プロトコルタイプ: HTTP, SSH, RDP, X11, VNC, SCP, SFTP, Telnet
BalaBit Shell Control Box 4 LTS
Rev. 1.0
423
Connection(接続)
監査トレイルを生成した接続ポリシー名
Session(セッション)
監査トレイルに保存された接続の詳細。接続日付、期間、送信元、ターゲットを含む
(おのおのの監査トレイルは 1 セッションだけを含む)
ヒント
ストリームをソートするには、カラムのヘッダーをクリックします。
Stream(ストリーム)
再生可能なトラフィック。セッションはいくつかのストリーム(例えば、SSH 接続はタ
ーミナルセッションストリームや X フォワードストリームを含む)を含む場合がありま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
424
ヒント
View > Show Details を選択し、それぞれの Stream Details(ストリ
ーム詳細)ウィンドウに選択したストリームの追加情報を表示でき
ます。Search(検索)ページ(詳細については、15.1 監査トレイル
の検索 - SCB 接続データベースを参照してください。)で利用可
能なパラメーターや、デスクトップやターミナルサイズのような他
のパラメーターを含みます。
図 16-8 Audit Player ストリーム詳細ウィンドウ
16.3.1
特定の監査トレイルの検索
監査トレイルの構成変更は簡単です。Project Trails(プロジェクトトレイル)タブに、それぞれのロ
ードされた監査トレイルが表示されます。新しいタブを開くには、File > New Trailset を選択し、トレ
イルセットの名前を入力します。その後、興味のあるストリームをこのタブにドラッグ&ドラッグ、あ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
425
るいはストリームを右クリックし Copy to another set(他のセットにコピーする)または Move to
another set(他のセットに移動する)を選択します。
トレイルセットからストリームを削除するには、ストリームをクリックし、ローカルメニューから Delete
(削除)を選択します。Project Trails(プロジェクトトレイル)タブからストリームを削除するとすべて
のトレイルセットからストリームが削除されます。
トレイルセットで監査トレイルをフィルターするには、Edit > Find を選択し、Text フィールドに検索キ
ーワードを入力します。特定のキーやイベント(例えば、Esc キー押下など)を検索するには、Key
sequence フィールドを使います。
警告
SSH や Telnet ターミナルセッションの監査トレイルを検索する場合は、Edit
> Preferences > Terminal encoding の文字エンコーディング設定が検索結
果に影響を及ぼします。セッションが異なるエンコーディングを使用する場
合、特殊文字が認識されず、検索結果から除外されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
426
図 16-9 Audit Player での監査トレイル検索
トレイルのメタデータを検索する場合は、More Options > Trail properties を選択します。以下のメタ
データをフィルターの条件に使用できます。
Time(時間)
From と To フィールドを使って、他の検索条件を満たすストリームの期間をフィルタ
ーします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
427
Protocol(プロトコル)
ストリームで使われるプロトコル:HTTP, SSH, RDP, Telnet
Username(ユーザー名)
(可能であれば)セッションで使われるユーザー名
Server IP(サーバー IP)
SCB が接続するサーバーの IP アドレス
Server Port(サーバー ポート)
SCB が接続するサーバーのポート番号。0 は全てのポートに一致します。
Client IP(クライアント IP)
クライアントコンピュータの IP アドレス
Client Port(クライアントポート)
接続確立に使用されるクライアントコンピュータのポート。0 は全てのポートに一致
します。
Connection(接続)
特定セッションを識別する session_id
Channel Type(チャンネルタイプ)
ストリーム(例えば、ターミナルセッション、描画など)で使用されるチャン
ネルタイプ。サポートされるチャンネルタイプについては次のセクションを参
照してください。8 HTTP - 固有の設定、11 SSH - 固有の設定、10 RDP - 固
有の設定、12 Telnet - 固有の設定。
Channel Policy(チャンネルポリシー)
セッションに適用されるチャンネルポリシー
HTTP 検索の場合、URL とテキストの内容は検索可能です。下部(白いライン部分)の検索結果ラ
インのツールチップで、検索結果が見えます。ツールチップは、交換 ID 番号を含みます。フィルタ
ーされた監査トレイルを開いた後は、フィルター表現を含む交換のみが表示されます。検索ヒット
内容は、Search hit context 欄に表示されます。すべての交換を表示するには、show
search hits only を無効にします。この場合、フィルター表現を含む交換は青色の背景で表
示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
428
16.3.2
プロジェクトの使用
すべてのトレイルセットと検索結果を含む、監査ファイルのセットを保存するには、File > Save
project に進み、プロジェクト名を入力して、パスワードを入力します。センシティブデータを含む場
合は、ワークスペースファイルを、パスワードで暗号化します。
警告
AP は、監査トレイルファイルを暗号化するのではなく、ワークスペースファ
イルのみを暗号化します。監査トレイルが SCB で暗号化されていない場
合、センシティブデータが、監査トレイルから復元される可能性があります。
16.3.3
暗号化された監査トレイルの再生と処理
暗号化された監査トレイルを再生するには、監査トレイルを暗号化するために用いた証明書の秘
密鍵が、AP を実行するマシンで利用できなければなりません。この鍵は、Windows の Personal
Certificate Store(個人証明書ストア)/My Store へインポートするか、USB トークンで利用できな
ければなりません。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
秘密鍵をインポートするには、Edit > Import key へ進み、鍵を含むファイルを選択して、OK をクリ
ックします。それから、必要であれば、鍵のパスワードを入力します。
注記
秘密鍵は、PKCS12 形式でなければなりません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
429
16.3.3.1 MMC での証明書のインポート
目的:
サービスモードで動作している Audit Player アプリケーションで暗号化された監査トレイルを処理す
るには、監査インデクサーサービスのプライベート証明書ストアで、適切な秘密鍵が利用できなけ
ればなりません。このストアに証明書を追加するには、以下の手順を実行します。
前提条件:
証明書と秘密鍵は、PKCS12 形式でインポートしなければなりません。証明書の key_usage パラ
メータは AT_KEYEXCHANGE でなければなりません。AT_SIGNATURE をもつ証明書は動作しませ
ん。
ヒント
証明書を別の形式(たとえば、 .pfx)から PKCS12 に変換するには、
OpenSSL ソフトウェアパッケージ、または、Internet Explorer や、Mozilla
Firefox のようなウェブブラウザを使います。詳細については、 16.3.3.3
OpenSSL を用いた証明書の変換と 16.3.3.4 Firefox を用いた証明書の変
換を、それぞれ参照してください。
Steps:
Step 1.
Microsoft 管理コンソールを起動するために、mmc.exe を実行します。(Start メニューの
Run application)
注記
mmc.exe を実行するには、管理者権限が必要です。
Step 2.
ファイル > スナップインの追加と削除 へ進みます。
Step 3.
証明書を選択して、追加をクリックします。
Step 4.
表示されたウィンドウで、システムアカウントを選択して、次へをクリックします。
Step 5.
Audit Indexer を選択して、次へをクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
430
Step 6.
ローカルコンピュータを選択して、完了をクリックします。
Step 7.
秘密鍵をインポートするには、コンソールルート > 証明書 > Audit Indexer > 個人 を選
択します。
Step 8.
Certificates フォルダーで右クリックして、現れたメニューから、すべてのタスク > イン
ポート を選択します。証明書のインポートウィザードの開始 が表示されます。次へをク
リックします。
任意のステップ:監査トレイルを復号化するために用いる証明書は秘密鍵を含みます。
必要な場合は、秘密鍵のパスワードを提供します。
Step 9.
サマリーウィンドウの完了をクリックして、証明書のインポートの成功を示すウィンドウで
OK をクリックします。
16.3.3.2 証明書の場所
Microsoft 管理コンソールを開始するために、mmc.exe を起動します。ファイル > スナップインの
追加と削除 へ進みます。証明書(Current User)と証明書(Local Computer)を選択して、クリックし
ます。それぞれで、選択して Trusted Root Certification Authorities を右クリックします。View >
Options に進み、Physical certificate stores を有効化します。証明書(Current User)と証明書
(Local Computer)の両方でこれを実行します。(設定を保管することが可能です。)
証明書の場所は以下になります。
暗号化キー アップ・ダウン ストリーム:
Certificates-Current User/Personal/(Registry)/Certificates
SCB の主証明書:
Certificates-Local
Computer/Trusted
Root
Certification
Root
Certification
Authorities/(Registry)/Certificates
署名 CA の署名者:
Certificates-Local
Computer/Trusted
Authorities/(Registry)/Certificates
署名 CA(監査ポリシー):
Certificates – Current User/Personal/(Registry)/Certificates
これは必須ではありません。この署名者のみで十分です。
TSA cert :
Certificates – Current User/Personal/(Registry)/Certificates
これは必須ではありません。SCB の主証明書のみで十分です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
431
16.3.3.3 OpenSSL を用いた証明書の変換
目的:
OpenSSL ソフトウェアパッケージを用いて、証明書と秘密鍵を PKCS12 形式に(たとえば、.pfx 形
式から)変換するためには、以下の手順を実行します。
Steps:
Step 1.
.pfx ファイルを PEM 形式に変換します。端末コンソールで次のコマンドを実行します。
openssl pkcs12 –in <certificate>.pfx –out <certificate>.pem –nodes
Step 2.
<certificate>.pem ファイルをテキストエディターで開きます。そして、証明書と秘密鍵を
別々のファイルにコピーします。たとえば、<mycertificate>.pem と<mycertificate>.key の
ようにです。
Step 3.
証明書と秘密鍵を PKCS12 形式に変換します。次のコマンドを実行します。
openssl pkcs12 –export –out <mycertificate>.p12 –inkey <mycertificate>.key –in
<mycertificate>.pem
Step 4.
もし、元の .pfx 証明書が証明書ストアにインポートされていたら、それを削除して、新し
い証明書(つまり、<mycertificate>.p12)をインポートします。証明書のインポートは、
16.3.3.1 MMC での証明書のインポートを参照してください。
16.3.3.4 Firefox を用いた証明書の変換
目的:
Mozilla Firefox ウェブブラウザを用いて、証明書と秘密鍵を PKCS12 形式に(たとえば、.pfx 形式
から)変換するためには、以下の手順を実行します。
Steps:
Step 1.
Firefox を起動します。Edit > Preferences > Advanced > Encryption > View Certificates >
Your Certificates > Import を選択します。そして、.pfx ファイルをインポートします。もし
必要であれば、秘密鍵のパスワードも同様に入力します。
Step 2.
新しくインポートした証明書を選択して、Backup をクリックします。
Step 3.
PKCS12 形式を選択して、ファイルの名前(たとえば、mycertificate)を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
432
Step 4.
もし、元の .pfx 証明書が証明書ストアにインポートされていたら、それを削除して、新し
い証明書(つまり、<mycertificate>.p12)をインポートします。証明書のインポートは、
16.3.3.1 MMC での証明書のインポートを参照してください。
16.3.4
グラフィカルストリームの検索
Remote Desktop Protocol (RDP), Virtual Network Computing (VNC), X11 プロトコルは、リモートア
プリケーションで表示されるテキストの多くをグラフィカルデータで転送します。これらのテキストを
検索可能にするため、Audit Player は開いた監査トレイルを自動的に処理し、ストリーム上で光学
文字認識 (OCR)を実行します。
インストレーション中に、Audit Player はシステムにインストールされたフォントからデータベースを
生成し、これらのフォントを光学文字認識(OCR)に使用します。これは RDP でアクセスするサーバ
ーとアプリケーションで使用されるフォントが、Audit Player を実行するホストにインストールされて
いなければならないことを意味します。そうでなければ、Audit Player は全てのフォントタイプを正し
く認識できず、テキストの一部を見逃します。
警告
Audit Player アプリケーションをインストール後にインストールしたフォントは
光学文字認識(OCR)プロセスで自動的には使われません。新たにインスト
ールしたフォントを含めるには、16.3.5 新しいフォントの OCR データベースへ
の追加を参照してください。
日本語、中国語または絵文字(Webdings)のようなラテン語アルファベットで
ないフォントとシンボルは、光学文字認識(OCR)プロセスをスローダウンす
るので、フォントがホストにインストールされていたとしても、初期設定では
フォントデータベースから除外されています。そのようなフォントに対して光
学文字認識(OCR)を有効にするには、16.3.5 新しいフォントの OCR データ
ベースへの追加を参照してください。
警告
VNC や X11 接続の監査トレイルで Anti-aliased テキストは Audit Player の
光学文字認識(OCR)エンジンで認識されません。これらの接続のトレイル
に対して適切にインデックス付けするには、Anti-aliasing を無効にします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
433
16.3.5
新しいフォントの OCR データベースへの追加
目的:
ここでは、Audit Player 光学文字認識(OCR)データベースへ新しいフォントを追加する手順につい
て説明します。
Steps:
Step 1.
まだインストールされていない場合は、Audit Player が動作するホストにフォントをインス
トールします。
たとえば、Windows XP では、Windows 7 の監査トレイルのためには、Segoe UI と Calibri
フォントが含まれるかもしれません。
Step 2.
日本語、中国語または絵文字(Webdings)のようなラテン語アルファベットでないフォント
は、光学文字認識(OCR)プロセスをスローダウンするために、初期設定では、ホストに
これらのフォントが導入済みでもフォントデータベースから除外されています。
Step a. テ キ ス ト エ デ ィ タ ( 例 え ば 、 メ モ 帳 ) で 次 の フ ァ イ ル を 開 き ま す 。
<installation-directory-of-audit Player>\bin\textract.ini
Step b. ファイルの中に[Recognition] セクションを検索します。
Step c. Include1, Include2, Exclude キーで検索します。
Step d. Exclude リストから使用したいフォントを移動します。
Step e. Include1 または Include2 リストへ使用したいフォントを追加します。リ
ストの要素はカンマによって区切られます。* ワイルドカード文字はフォン
トファミリーを参照することができます。例えば、日本語フォントを光学文字
認 識 ( OCR ) す る に は 、 Exclude リ スト か ら MS Gothic を移 動 し、
Include リ ス ト に MS Gothic,MS Gothic*, MS Mincho,MS
Mincho*,MS
Pmincho*,MS
Pgothic*,MS
UI*,Franklin*,Meiryo*を追加します。
注記
より多くのフォントを追加すると、より多くのリソースを Audit Player
が消費します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
434
警告
MaxNFonts の値が Include1 と Include2 リストの中のフォ
ントの数より小さい場合、インデックス付けするたび徐々にフォン
トは消えていきます。
こ れ を避 ける ために は 、 MaxNFonts の 値が Include1 と
Include2 リストの中のフォントの数より大きくなるよう設定して
下さい。
Step 3.
Audit Player アプリケーションをスタートし Edit > Rebuild OCR database を選択して下さ
い。
Expected result(期待される結果):
Audit Player アプリケーションは、フォントデータベースをアップデートします。新たに追加
されたフォントは、データベースにアップデート後インデックス付けされた監査トレイルで
認識されます。
注記
ユーザーアカウント制御(UAC)が有効な Windows システム(例え
ば 、 Vista や Windows 7 ) で は 、 再 イ ン デ ッ ク ス 付 け は 、
Textract-related ファイルの書き込み修正権限のあるユーザーの
み可能です。詳細は、16.1.3 管理者権限無しでの Audit Player 実
行を参照してください。
16.3.6
X11 トレイルを表示させるための新しいフォントの追加
目的:
X11 監査トレイルのテキストは、Audit Player がインストールされる X フォントを使うことで表示され
ます。ここでは、表示されないフォントを追加する手順について説明します。
Steps:
Step 1.
<installation-directory-of-Audit Player>\fonts フォルダへフォントをコピーします。
Step 2.
http://ftp.psu.ac.th/pub/xming/Xming-tools-and-clients-6-9
-0-28.zip から Xming ツールをダウンロードします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
435
Step 3.
<installation-directory-of-Audit Player>\fonts フォルダへフォントを mkfontscale.exe ツ
ールを展開します。
Step 4.
コマンドシェルをスタートし、<installation-directory-of-Audit Player>\fonts フォルダへ
移動します。
Step 5.
次のコマンドを実行します。: mkfontscale –s –l -b
16.3.7
HTTP インデックス付けと検索
HTTP インデックス付け/検索の設定ファイルは、C:\Documents and Settings\<ユーザー名
>\ap\httpconfig.ini に保存されます。このファイルは、インストール時に生成されます。
.ini ファイルは次の Glib KeyFile フォーマットです。
ファイル構成は次の通りです。
ホワイトリストやブラックリストの要素は、正規表現として扱われます。属性や Stripped タグはストリ
ングスとして扱われます。文字は“;”で区切られます。正規表現に“;”を含む場合は、“¥;”を使う
必要があります。
[Text] セクションは、インデックス付けや検索対象のテキストを定義する一般的なパラメーターを
含みます。[Html] セクションは、text/html コンテンツタイプを扱います。ある部分は、たとえば、タ
グ、または、タグの内容でさえ、HTTP コンテンツから取り除かれます。
Whitelist(ホワイトリスト): HTTP コンテンツタイプでマッチしたパターン。リストされ
た MIME タイプは、インデックス付け/検索に含まれます。
Blacklist(ブラックリスト): このリストの要素は、インデックス付け/検索から除
外されます。
Attributes(属性): このリストの要素は、インデックス付け/検索されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
436
StrippedTags: このリストにあるタグやタグのコンテンツは、インデックス付け/検索
されません。タグの属性が Attributes リストにあれば、インデックス付け/検索されま
す。
.ini ファイルを変更して保存後は、新しいジョブは修正されたファイルを使用しそれに応じてインデッ
クス付けされます。
注記
httpconfig.ini が無かったり、構文が正しくなかったりした場合は、
default.ini に戻して下さい。これはログメッセージでも見れます。
注記
繰り返してインデックス付けをすることはできません。SCB が既に
トレイルをインデックス付けした場合は、AP は再インデックス付け
ができません。
次 の パ ラ メ ー タ ー で 、 検 索 時 ト ー ク ン 化 で き ま す 。 : ヘ ッ ダ ー 部 の url, hostname,
content-type
URL でエンコードされた GET, POST データとも、key=value トークンとしてト
ークン化されます。HTML コンテンツでは、次のメタデータはメタタグからインデックス付けされま
す。: description, keywords, author, application
16.4
Audit Player のトラブルシューティング
ここでは、Audit Player アプリケーションの一般的な問題を解決する助けとなる情報について説明
します。
16.4.1
Audit Player のログ記録
初期設定で、Audit Player アプリケーションはエラーメッセージをアプリケーションイベントログコン
テナーに送信します。問題解決に必要な詳細ログを作成するには、コマンドラインパラメーターで
指定する必要があります。
16.4.1.1 ユーザーモードでの Audit Player ログ記録
目的:
ここでは、ユーザーモードで実行する Audit Player のデバッグログを作成する手順について、説明
します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
437
Steps:
Step 1.
スタート > ファイル名を指定して実行 フィールドに、cmd と入力し、コマンドプロンプト
を開きます。
Step 2.
Audit Player アプリケーションをインストールするフォルダに移動します。
例: cd "C:\Program Files\Audit Player\bin\"
Step 3.
以下のコマンドを入力します。
audit-player.exe --verbose 3 --log-file "audit-player.log"
Audit Player アプリケーションが起動し、ログファイルを作成します。
Step 4.
Audit Player でエラーを再現し、生成されたログファイルをチェックします。
Step 5.
必要であれば、さらにログレベルを上げて Step 3 を繰り返します
(例: --verbose 7)。
16.4.1.2 Indexer サービス Audit Player ログ記録
目的:
ここでは、Indexer サービスとして起動している Audit Player のデバッグログの作成手順について説
明します。
Steps:
Step 1.
スタート > ファイル名を指定して実行 フィールドに、mmc と入力して Microsoft 管理コ
ンソールを起動し、ファイル > スナップインの追加と削除 を選択します。
Step 2.
サービスを選択して、追加をクリックします。
Step 3.
ローカル コンピューター を選択し、完了をクリックします。
Step 4.
OK をクリックします。
Step 5.
コンソール ルート > サービスを選択して、Audit Indexer Service をダブルクリックし、停
止を選択します。
Step 6.
開始パラメーターフィールドに、以下のパラメーターを入力します。
-d 3 -f "C:\Program Files\Audit Player\service.log" -D 3 -F "C:\Program Files\Audit
Player\audit-player.log"
BalaBit Shell Control Box 4 LTS
Rev. 1.0
438
(実際には 1 行で記述します。)
Step 7.
開始を選択します。Audit Indexer Service が開始し、指定したログファイルを作成します。
Audit Indexer Service の ID が接尾辞としてログファイル名に追加されます(例:
audit-player.log.001)。
Step 8.
エラーを再現し、作成されたログファイルをチェックします。
Step 9.
必要であれば、さらにログレベルを上げて Step 2 - 4 を繰り返します(例: -d 7)。
Step 10. 問題が解決したら、ログレベルを初期設定に下げるため、開始パラメーターを除去して
Audit Indexer Service を再起動します。
16.4.1.3 Indexer サービス Audit Player コアダンプ
目的:
ここでは、Indexer サービスとして起動している Audit Player のコアダンプの作成手順について説明
します。
注記
この特徴は、開発者の意図された高度なデバッギング目的のためだけのも
のです。
Steps:
Step 1.
スタート > ファイル名を指定して実行 フィールドに、mmc と入力して Microsoft 管理コ
ンソールを起動し、ファイル > スナップインの追加と削除 を選択します。
Step 2.
サービスを選択して、追加をクリックします。
Step 3.
Audit Indexer Service をダブルクリックして、停止を選択します。
Step 4.
開始パラメーターフィールドに次のパラメータを入力します。: --enable-core-dump
Step 5.
開始を選択します。
Expected result(期待される結果):
Audit Indexer サービスが開始します。Indexer が予期せぬ停止をしたら、コアダンプファ
イルを <installation-directory-of-Audit Player>\bin フォルダ内に作成します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
439
注記
デフォルトのロギングレベルを低くするには、--enable-core-dump パラ
メーターを削除し、サービスを再起動します。
16.4.2
鍵と証明書
Audit Player アプリケーションは、様々な機能を使用するために暗号化鍵と証明書が必要です。以
下に、Audit Player の機能を正しく使用するために、鍵と証明書を Windows のどこに格納するべき
かについて説明します。
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
通常のアプリケーションとして実行する場合、Audit Player は下記を必要とします。
SCB に接続し監査トレイルをダウンロードするには、SCB の認証局証明書がローカ
ル コンピューター > 信頼されたルート証明機関 下に必要です。認証局証明書は
タイムスタンプ付き監査トレイルを確認するためにも使用されます
暗号化された監査トレイルを再生するには、暗号化証明書の秘密鍵が現在のユー
ザー > 個人 下に必要です。
デジタル署名された監査トレイを確認するには、監査トレイルの署名に使われた証
明書または関連する認証局証明書がローカル コンピューター > 信頼されたルー
ト証明機関下に必要です。
Indexer サービスを起動している場合、Audit Player は下記を必要とします。
SCB に接続し監査トレイルをダウンロードするには、SCB の認証局証明書がローカ
ル コンピューター > 信頼されたルート証明機関 下に必要です。認証局証明書は、
タイムスタンプ付き監査トレイルを確認するためにも使用されます。
暗号化された監査トレイルを再生するには、暗号化証明書の秘密鍵がサービス
(Audit Indexer Service) > APService\個人 下に必要です。
デジタル署名された監査トレイを確認するには、監査トレイルの署名に使われた証
明書または関連する認証局証明書がローカル コンピューター > 信頼されたルー
ト証明機関下に必要です。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
440
16.4.3
鍵フレーム構築エラー
非常に多くのオブジェクト(代表的なものは、X11 トラフィックの監査トレイル)を含む監査トレイルの
ローディング時に、Audit Player アプリケーションは監査トレイル処理を停止し終了する場合があり
ます。これは初期設定 10000 の GDI Object Handle Limit(オブジェクト処理上限)に達したことによ
ります。
こ の 問 題 に 対 処 す る に は 、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\GDIProcessHandleQuota レジストリーキーの値を増や
し(最大 65535)、コンピューターを再起動します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
441
17
高度な認証と承認技術
この章では SCB で利用できる高度な認証と承認技術について説明します。
ユーザーマッピングポリシーの作成に関する詳細については、17.1 ユーザーマッピ
ングポリシーの設定を参照してください。
ゲートウェイ認証の設定に関する詳細については、17.2 ゲートウェイ認証の設定を
参照してください。
4-eyes 承認とリアルタイム監視の設定に関する詳細については、17.3 4-eyes 承認
の設定を参照してください。
証明書ストアの設定に関する詳細については、17.4 サーバー側認証での証明書ス
トアの使用を参照してください。
17.1
ユーザーマッピングポリシーの設定
目的:
SSH, RDP, Telnet および Citrix ICA 接続では、ユーザーマッピングポリシーを定義できます。ユー
ザーマッピングポリシーは、誰が特定のユーザー名でリモートサーバーにアクセス可能かを記述し
ます。特定のローカルまたは LDAP ユーザーグループ(例: administrators)メンバーだけが
サーバーの特定のユーザー名(例: root)を使用できます。ここでは、ユーザーマッピングの設
定手順について説明します。
警告
SSH 接続ではユーザー名として、gu=username@remoteusername を
使用しなければなりません。username は LDAP ディレクトリで使われるユ
ーザー名であり、SCB はこのユーザー名でグループメンバーシップを決定
します。remoteusername はリモートサーバーで使用するユーザー名で
す。例えば、example.com サーバーに root としてアクセスするには、
gu=yourldapusername@[email protected] とします。
SSH ユーザーの名前は、妥当な UTF-8 文字列のみ使用できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
442
警告
Telnet 接続では、トラフィックからユーザー名の抽出が有効な場合のみ、ユ
ーザーマッピングポリシーは動作します。詳細については、12.3 Telnet 接続
からユーザー名を抽出するを参照してください。
ICA 接続を設定する場合は下記も考慮します。
警告
Anonymous(匿名)ユーザーで共有されたリモートアプリケーションまたはデ
スクトップにクライアントがアクセスする(つまりアプリケーションの Users プ
ロ パ テ ィ が Citrix Delivery Service Console で Allow
anonymous users(匿名ユーザーを許可)に設定されている)場合、実際
のリモートセッションは Anonymous(匿名)アカウント名(例: Anon001,
Anon002 など)で実行されます。リモートサーバーにアクセスするために使
用されるユーザー名ではありません。このため、usermapping(ユーザーマッ
ピング)で、Anon* ユーザー名を有効にする必要があります。
これを行うには、ユーザーマッピングポリシーを作成して Username オプシ
ョンに Anon* 、Groups オプションに * を設定し、ICA 接続にこのユーザ
ーマッピングポリシー使用します。ユーザーマッピングポリシーに関する詳
細については、17.1 ユーザーマッピングポリシーの設定を参照してくださ
い。
注記
SCB version 3.2 から、ゲートウェイ認証が同時に使用される場合のみ、ユ
ーザーマッピングを利用できます。
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
443
Step 1.
Policies > Usermapping Policies に進みます。
図 17-1 ユーザーマッピングポリシーの設定
Step 2.
をクリックして新しいポリシーを作成し、ポリシー名を入力します。
Step 3.
をクリックし、Username on the server(サーバー上のユーザー名)フィールドに、リモ
ートサーバーへのアクセスに使うユーザー名(例: root)を入力します。SCB はサーバ
ー側の接続に、このユーザー名を使用します。サーバー側の接続に任意のユーザー名
を許可する場合は、アスタリスク(*)を入力します。
Step 4.
Groups を選択して、
をクリックし、Username on the server(サーバー上のユーザー
名)フィールドに設定したリモートユーザー名の利用を許可するユーザーを指定します。
ユーザーマッピングを使用する接続ポリシーで設定した LDAP サーバーがある
場合は、ローカルまたは LDAP ユーザーグループ(例: admins)を入力します。
そのメンバーはリモートユーザー名の使用が許可されます。LDAP 認証に関す
る詳細については、7.9 LDAP サーバーでのユーザー認証を参照してください。
注記
接続ポリシーで設定された LDAP サーバーは、SCB
Web インターフェー スアクセスユーザーを認証する
LDAP サーバーと同一である必要はありません。
LDAP サーバーへの接続を認証しない場合は、リモートユーザー名の使用が許
可されるメンバーのユーザーリストを入力します。ユーザーリスト使用に関する
詳細については、7.8 ユーザーリストの作成と編集を参照してください。
この Step を繰り返して必要なグループを追加します。
Step 5.
必要に応じて、Step 3-4 を繰り返してユーザー名を追加します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
444
Step 6.
ユーザーマッピングポリシーにリストされていない他のユーザーを許可するには、Allow
other unmapped usernames オプションを選択します。これらのユーザーは、SCB ゲート
ウェイとリモートサーバーで同じユーザー名を使わなければならないことを注意します。
Step 7.
Commit をクリックします。
Step 8.
トラフィックの Connections ページ(例: SSH Control > Connections)に進み、変更する
接続ポリシーを選択します。
Step 9.
Usermapping policy(ユーザーマッピングポリシー)フィールドから、Step 2 で作成したユ
ーザーマッピングポリシーを選択します。
Step 10. Commit をクリックします。
注記
RDP 接続では、ユーザーマッピングはゲートウェイ認証が使われ
る場合だけ利用できます。RDP 接続のユーザーマッピング設定に
ついては、17.2.1 アウトバンドゲートウェイ認証の設定を参照し
て、ゲートウェイ認証を構成してください。
17.2
ゲートウェイ認証の設定
接続にゲートウェイ認証が必要な場合、ユーザーは SCB でも認証しなければなりません。この追
加認証は、プロトコルごとに SCB Web インターフェースへアウトオブバンドで実行されます。ゲート
ウェイ認証の概要については、2.7 ゲートウェイ認証プロセスを参照してください。
注記
SSH、Telnet と RDP 接続については、SCB Web インターフェースへのアク
セスなしで、ゲートウェイ認証はインバンドでも行えます。
SSH と Telnet 接続については、クライアント側の認証が設定
されている場合は、インバンドのゲートウェイ認証が必須で
す。クライアント側認証の設定に関する詳細については、
11.3.2 クライアント側の認証設定を参照してください。
RDP 接続については、SCB がターミナルサービスゲートウェ
イとして振舞っている場合は、インバンドのゲートウェイ認証
が必須です。この場合、クライアントはドメインコントローラー
BalaBit Shell Control Box 4 LTS
Rev. 1.0
445
に対して認証します。詳細については、10.7 ターミナル サー
ビス ゲートウェイとしての SCB 使用を参照してください。
注記
ゲートウェイ認証は、4-eyes 認証やクライアント/サーバー側認証などの他
の高度な認証と承認技術と一緒に使用できます。
SSH や Telnet 接続では、ゲートウェイ認証は SCB Web インターフェースへ
アクセスせず、プロトコル内でインバンドで実行できます。
警告
プロトコル内で使用されているユーザー名が、ゲートウェイ認証の実行のた
めに SCB Web インターフェースへアクセスするユーザー名と異なる場合、
ユーザーマッピングがこの接続について設定されていなければなりませ
ん。ユーザーマッピングに関する詳細については、17.1 ユーザーマッピング
ポリシーの設定を参照してください。
注記
ゲートウェイ認証で証明書ストアを設定するには、17.4 サーバー側認証で
の証明書ストアの使用を参照してください。
17.2.1
アウトバンドゲートウェイ認証の設定
目的:
ここでは、ゲートウェイ認証の設定手順について説明します。
警告
admin ユーザーは、特殊な SCB ユーザーであり、どのユーザーグル
ープのメンバーでもなく、どのユーザーグループにも属することはでき
ません。ユーザーマッピングポリシーはユーザーグループベースのた
め、admin ユーザーによるゲートウェイ認証の実行は、ユーザーマッ
ピングエラーになる可能性があります。
RDP 接続に SSL を使用しているまたは資格情報のセキュリティサービ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
446
スプロバイダー (CredSSP)を使用している場合、Microsoft RDP クライ
アントの中には認証プロセス中に接続を再起動するものがあります。こ
れは、ユーザーに SCB Web インターフェースでのゲートウェイ認証を2
回要求します。SCB はこの状況を回避するために、クライアントが接続
確立中のあるステップで接続を終了する場合、成功したゲートウェイ認
証結果を一時的にキャッシュします。このキャッシュはユーザーインタ
ラクションなしで再開された接続を自動認証するために使用されます。
この場合、同じ送信元 IP からきて同じ宛先 IP:ポートのペアをターゲッ
トとする再開された接続がキャッシュから認証されます。このキャッシュ
は3分が経過するか接続がキャッシュから認証されたときに削除され
ます。
しかし、認証結果のキャッシュには、次のようなサイドイフェクトがあり
ます。SCB が元の接続の再確立であるとみなす短い時間内に、異なる
接続が見たところ同じ送信元 IP アドレスから同じ宛先 IP:ポートのペア
をターゲットとする場合、新しい接続は SCB ゲートウェイでの認証なし
でターゲットサーバーにアクセスできてしまうという副作用があります。
通常は、これはクライアントが NAT 越しに存在する場合にのみ発生す
る場合があります。
クライアントがネットワークアドレス変換(NAT)を行うデバイスの後ろに
存在する場合、SCB には各接続が同じ IP アドレスからのものであると
みえます。つまりこのような場合(特に RDP 接続の場合)は、セキュリ
ティの理由からアウトバンドゲートウェイ認証を推奨しません。可能で
あれば、代わりにインバンドゲートウェイ認証を使用して下さい。
Steps:
Step 1.
トラフィックの Connections ページ(例: SSH Control > Connections)に進み、変更する
接続ポリシーを選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
447
Step 2.
Gateway authentication(ゲートウェイ認証)オプションを選択します。
図 17-2 ゲートウェイ認証の設定
Step 3.
接続を開始したホストからのみゲートウェイ認証を受け入れる場合は、Require same IP
(同じ IP を要求する)を選択します。
注記
このオプションは、クライアントがネットワークアドレス変換(NAT)
を行うデバイスの後ろにある場合は効果がありません。この場合
は代わりにインバンドゲートウェイ認証を使用して下さい。
Step 4.
初期設定では、どのユーザーでもこの接続のゲートウェイ認証を実行できます。特定グ
ループのメンバーだけに、この接続ポリシーの接続の認証を許可するには、Groups を
選択し
をクリック、接続を認証できるメンバーのグループ名を入力します。このグルー
プは AAA > Group Management ページに存在しなければなりません。ユーザーグループ
の作成と管理に関する詳細については、5.7 ユーザー権限とユーザーグループの管理を
参照してください。必要に応じて、この Step を繰り返してさらにグループを追加します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
448
Step 5.
SSH, RDP, Citrix ICA 接続では、Usermapping policy(ユーザーマッピング ポリシー)フィ
ールドでユーザーマッピングポリシーを設定することができます。ユーザーマッピングポ
リシーに関する詳細については、17.1 ユーザーマッピングポリシーの設定を参照してくだ
さい。
Step 6.
Commit をクリックします。その後、これらの接続にアクセスするユーザーは、17.2.2 SCB
でのアウトバンドゲートウェイ認証の実行に説明するようにゲートウェイ認証を実行しま
す。
Step 7.
(任意の Step)ゲートウェイ認証で使用するユーザー名をベースとする接続で選択され
ているチャンネルの利用を制限したい場合は、接続で使用するチャンネルポリシーを編
集します。
Step a. 接続で使用するチャンネルポリシー(例: SSH Control > Channel Policies)
を開きます。
Step b. Gateway Group を選択し
をクリック、このチャンネルタイプの使用を許
可するユーザーグループ名を入力します。ユーザーグループはゲートウェ
イ認証で使用されるユーザー名に対応していなければなりません。この
Step を全ての許可グループの追加が終了するまで繰り返します。
7.8 ユーザーリストの作成と編集で説明したようにローカルユーザーリストま
たは、LDAP グループを登録(SCB から LDAP サーバーへのアクセスに関
する詳細については、7.9 LDAP サーバーでのユーザー認証を参照してくだ
さい。)しているかもしれません。SCB の以下の振る舞いにご注意ください。
複数のグループを登録した場合、いずれかのグループに所属するメン
バーがチャンネルにアクセスできます。
注記
Group セクションにはホワイトリストとブラックリストの
両方がリスト表示されます。あるユーザーが両方の
リストに存在する場合、このユーザーはこのチャンネ
ルにアクセスできます。
ローカルユーザーリストと LDAP グループが同じ名前を含んでおり、
LDAP サーバーがこのチャンネルポリシーを使用する接続で設定され
ている場合は、LDAP グループのメンバーとローカルユーザーリストの
メンバーがこのチャンネルにアクセスできます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
449
Step c. Commit をクリックします。
Step 8.
(任意の Step)SCB の設定にマネージメントインターフェースを使用する、またはゲートウ
ェイ認証や 4-eyes 承認だけ使用するユーザーに SCB Web インターフェースを制限した
い場合は、Basic Settings > Network でインターフェースの Permit user login を選択しま
す。詳細については、4.3 ネットワーク設定を参照してください。
Step 9.
(任意の Step)インバンド認証で SCB にアクセスするユーザーへのメッセージを構成する
ことができます。SCB へログインするとメッセージが表示されます。
Step a. Basic Settings > Management > Web gateway authentication banner に進
みます。
Step b. Enable web gateway authentication banner を選択します。
Step c. Banner フィールドにメッセージを入力します。以下のテキスト形式を使うこ
とが出来ます。
== Title ==
=== Subtitle ===
This is plain text.
[http://address.to/ Link text]
# First numbered list item.
# Second numbered list item.
* First bulleted list item.
* Second bulleted list item.
Step d.
17.2.2
をクリックします。
SCB でのアウトバンドゲートウェイ認証の実行
Steps:
Step 1.
クライアントから接続を開始します。接続にゲートウェイ認証が要求される場合、SCB は
接続を中断します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
450
注記
SSH と Telnet 接続では、接続の開始時にユーザー名として
gu=gatewayusername@remoteusername を使用できます。
gatewayusername は、SCB Web インターフェースへのログイン
に使用するユーザー名(ゲートウェイユーザー)です。
remoteusername は、リモートサーバー上で使用するユーザー
名です。
Step 2.
できれば接続を開始したホスト上でブラウザを開き、SCB ログインページを開きます。
警告
プロトコル内で使用されるユーザー名が SCB Web インターフェイ
スアクセスでゲートウェイ認証に使用されるユーザー名と異なる
場合、この接続にユーザーマッピング設定が必要です。ユーザー
マッピングに関する詳細については、17.1 ユーザーマッピングポ
リシーの設定を参照してください。
Step 3.
SCB にログインし、メインメニューから Gateway Authentication(ゲートウェイ認証)を選
択します。ゲートウェイ認証待ちリストが表示されます。
図 17-3 ゲートウェイ認証の実行
注記
SCB Web インターフェースにアクセスするユーザーが LDAP
サーバーで認証される場合、ユーザーは AAA > Settings ペ
ージで設定された LDAP サーバーで認証に成功しなければ
なりません。
このページにアクセスするには、他の SCB 権限は不要で
BalaBit Shell Control Box 4 LTS
Rev. 1.0
451
す。
Step 4.
開始した接続を選択し、Assign をクリックします。
Step 5.
SCB Web インターフェースからログアウトします。
Step 6.
サーバーでの認証を継続します。
17.2.3
SSH と Telnet 接続でのインバンドゲートウェイ認証の実行
Steps:
Step 1.
クライアントから接続を開始します。接続にゲートウェイ認証が要求される場合、SCB は
接続を中断します。
Step 2.
SCB はゲートウェイ認証で使用するユーザー名を要求します。Gateway username:プロ
ンプトで、ゲートウェイユーザー名を入力します。パスワード認証が使用されている場合
は、ゲートウェイユーザーのパスワードも入力します。
Step 3.
リモートサーバー用のログインプロンプトが表示されます。Username プロンプトにリモー
トサーバー上で使用するユーザー名を入力します。パスワード認証が使用される場合は、
このユーザーのパスワードも入力します。
警告
このプロトコル内で使用するユーザー名が SCB Web インターフェ
ースでゲートウェイ認証を行うユーザー名と異なる場合、この接
続にユーザーマッピング定義が必要です。ユーザーマッピングに
関する詳細については、17.1 ユーザーマッピングポリシーの設定
を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
452
注記
接続の開始時に、ユーザー名として
gu=gatewayusername@remoteusername を使用できます。
gatewayusername は、SCB Web インターフェースへのログイン
に使用するユーザー名(ゲートウェイユーザー)です。
remoteusername は、リモートサーバー上で使用するユーザー
名です。パスワード認証が使用されている場合は、プロンプトで
ユーザー名を入力する必要はありません。
SCB がクライアント側認証を要求する場合は、クライアント側で
gatewayusername ユーザーが認証されなければなりません。
17.2.4
RDP 接続でのインバンドゲートウェイ認証の実行
Steps:
Step 1.
クライアントから接続を開始します。接続でゲートウェイ認証が要求される場合、SCB は
接続を中断します。
Step 2.
グラフィカルログインウィンドウが表示されます。
リモートデスクトップアプリケーションで、詳細設定 > 任意の場所から接続する :
設定 > ログオン設定 : リモートコンピューターに TS ゲートウェイの資格情報を
使用する オプションが有効である場合、通常の資格設定を使用してリモートサー
バーにログインします。SCB もドメインコントローラーでのゲートウェイ認証にこれら
の資格を使用します。
リモートデスクトップアプリケーションで、詳細設定 > 任意の場所から接続する :
設定 > ログオン設定 : リモートコンピューターに TS ゲートウェイの資格情報を
使用する オプションが無効である場合、最初に SCB ゲートウェイで認証を行う必
要があります。ドメインコントローラーのユーザー名とパスワードを入力します。
最初の認証が成功したら、2つ目のログインウィンドウが表示されます。アクセスし
ようとするリモートサーバーのユーザー名とパスワードを入力します。
SCB がターゲットサーバーにログインするために証明書ストアを使用するように設
定されている場合は、以下を入力します。
Username フィールドにドメイン名、-AUTO 接尾辞、ユーザー名を入力します
(例: Exampledomain-AUTO\Administrator)。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
453
注記
-Auto 接 尾 辞 は SCB の RDP Control > Settings >
Autologon domain suffix オプションの初期値です。SCB 管理
者がこのオプションを変更した場合、-Auto の代わりに適切
な接尾辞を使用して下さい。
Password フ ィ ー ル ド に ユ ー ザ 名 ( ド メ イ ン 無 し の ユ ー ザ ー 名 の み 。 例 :
Administrator)を入力します。
Step 3.
認証が成功したら、リモートサーバーのデスクトップが表示されます。
17.2.5
ゲートウェイ認証のトラブルシューティング
ユーザーが接続を開始し SCB Web インターフェースにログインすると、この接続が Gateway
Authentication(ゲートウェイ認証)ページに表示されないことがあります。SCB はユーザーに接続
待ちを表示するかを決定するために以下をチェックします。
警告
admin ユーザーは特殊な SCB ユーザーでありどのユーザーグループの
メンバーでもなく、どのユーザーグループにも属することはできません。ユ
ーザーマッピングポリシーはユーザーグループベースのため、admin ユ
ーザーがゲートウェイ認証を実行するとユーザーマッピングエラーになる
可能性があります。
SCB Web インターフェースへのアクセスに使用するユーザー名がこの接続ポリシー
の Gateway authentication > Groups フィールドにリストされたグループのメンバーで
ある。
SCB がプロトコルからゲートウェイ認証を実行するために SCB Web インターフェー
スへアクセスするユーザー名を知ると、この接続はこのユーザーだけに表示されま
す。SSH 接続では、SCBはユーザー名を以下の条件で決定できます。
クライアントが gu=webusername@server-side-username@server 形
式を使用するプロトコル内の Web インターフェースのユーザー名として指定しま
す。
クライアントがインタラクティブなプロンプトを使うプロトコル内でユーザー名を指
定します。
クライアントが上記オプションを使用しない場合は、SCB はリモートユーザー名
を使います。この場合、Web インターフェースのユーザー名はリモートユーザー
BalaBit Shell Control Box 4 LTS
Rev. 1.0
454
名と同じでなければなりません。さもなければ、接続は表示されません。
Gateway authentication > Requier same IP オプションが有効であれば、接続待ちは
ユーザーが接続待ちクライアントと同一 IP アドレスから SCB Web インターフェース
にアクセスする場合だけ表示されます。
注記
admin ユーザーは全ての接続待ちを確認できます。
17.3
4-eyes 承認の設定
接続で 4-eyes 承認が要求される場合、ユーザー(認証者)も SCB 上で接続を承認する必要があり
ます。この承認は、ユーザーがリモートサーバーアクセスに必要な認証やグループメンバーシップ
要件に追加されます。4-eyes 承認の概要については、2.8 4-eyes 承認を参照してください。
17.3.1
4-eyes 承認の設定
目的:
ここでは、接続に 4-eyes 承認を要求する設定について説明します。
Steps:
Step 1.
トラフィックの Connections ページ(例: SSH Control > Connections)に進み、変更する
接続ポリシーを選択します。
Step 2.
Access Control(アクセス制御)セクションで、
をクリックします。
図 17-4 4-eyes 承認の設定
BalaBit Shell Control Box 4 LTS
Rev. 1.0
455
Step 3.
Authorizer(承認者)フィールドに、この接続ポリシーのセッションを承認することが許可さ
れるメンバーのユーザーグループ名を入力します。このグループは、AAA > Group
Management ページに定義されていなければなりません。ユーザーグループの作成と管
理に関する詳細については、5.7 ユーザー権限とユーザーグループの管理を参照してく
ださい。
Step 4.
初期設定では、承認者はこの接続ポリシーのあらゆるセッションを承認できます。承認
者が特定のユーザーグループのセッションのみを承認できるようにするには、Subject >
Only を選択し、承認者が承認できるセッションのユーザーリスト名を入力します。4-eyes
承認をゲートウェイ認証無しで使用する場合、ユーザーリストの代わりに LDAP グループ
を指定できます。
警告
接続ポリシーでゲートウェイ認証と 4-eyes 承認を同時に使用する
場合、ゲートウェイユーザー名のユーザーグループを指定しま
す。リモートユーザー名グループではありません。指定されたグ
ループはローカルまたは LDAP グループでなければなりません。
Step 5.
Permission(許可)フィールドに、設定したユーザーグループの権限を設定します。
Authorizer(承認者)グループがセッションの承認(有効化する)と監査(リアルタ
イム監視と監査トレイルのダウンロード)できる場合は、Permission > Audit &
Authorize を選択します。
Authorizer(承認者)グループがセッションの承認(有効化する)だけできる場合
は、Permission > Authorize を選択します。
注記
このオプションは、HTTP 接続では有効ではありません。
Authorizer(承認者)グループがセッションの監査(リアルタイム監視と監査トレ
イルのダウンロード)だけできる場合は、Permission > Audit を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
456
注記
Subject > Only フィールドを設定すると、承認者は指定したユーザ
ーグループのセッションのみ監視できます。しかし、Subject >
Only フィールドが設定されていると承認者は Search(検索)ペー
ジにアクセスできません。この問題を避けるためには、Subject フ
ィールドを設定せずに承認者に別のアクセス制御ルールを追加し
ます。
admin ユーザーは全ての接続の監査と承認が可能です。
Step 6.
自己承認を防ぐためクライアントと承認者が違う IP アドレスを使用することを保証するに
は、Require different IP を有効にします。これを有効にするとクライアントと承認者が違う
IP アドレスを持たないと、違う IP アドレスを持つまで接続や 4-eyes 認証の全アクション
が無効になります。
Step 7.
自己承認を防ぐためクライアントと承認者が違うユーザー名を使用することを保証する
には、Require different Username を有効にします。これを有効にするとクライアントと承
認者が違うユーザー名を持たないと、違うユーザー名を持つまで接続や 4-eyes 認証の
全アクションが無効になります。
Step 8.
必要に応じて、Steps 2-6 を繰り返して他の承認者またはとユーザーグループを追加し
ます。
Step 9.
Commit をクリックします。
Step 10. トラフィックの Channel Policies ページ(例: SSH Control > Channel Policies)に進み、接
続で使用するチャンネルポリシーを選択します。
図 17-5 チャンネルポリシーでの 4 eyes 認証設定
Step 11. アクセスに 4-eyes 承認が必要なチャンネルの 4-eyes オプションを有効にします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
457
注記
接続が 4-eyes 承認を必要とする二次的なチャンネルを使用する
場合(例えば、RDP 接続が Drawing(描画)チャンネルを許可する
が、Disk redirection(ディスクリダイレクト)チャンネルが 4-eyes 承
認を必要とする場合)、接続は承認者が Four Eyes ページでチャ
ンネルを受け付ける、あるいは、4-eyes 要求がタイムアウトされ
るまで接続がロックされます。この間、クライアントアプリケーショ
ンの応答がなくなります(例えば、グラフィカルデスクトップは表示
されるが、マウスクリックに反応しなくなります)。
注記
Citrix ICA 接続では、4-eyes 承認はユーザーが宛先サーバーに
ログインする前に要求します。サーバー側のユーザー名が既に
知られていてログイン後 4-eyes 承認だけ要求するには、Perform
4 eyes after user login オプションを選択します。
Step 12. Commit をクリックします。その後、変更されたチャンネルポリシーで接続にアクセスする
ユーザーは、17.3.2 SCB での 4-eyes 承認の実行で説明するように承認されなければな
りません。
Step 13. (任意の Step)SCB の設定にマネージメントインターフェースを使用して、かつゲートウェ
イ認証や 4-eyes 承認だけ使用するユーザーに SCB Web インターフェースへの制限さ
れたアクセスを提供したい場合は、Basic Settings > Network でインターフェースの
Permit user login を選択します。詳細については、4.3 ネットワーク設定を参照してくださ
い。
17.3.2
SCB での 4-eyes 承認の実行
Steps:
Step 1.
ユーザーがクライアントから接続を開始し、その接続に 4-eyes 承認が必要であれば
SCB は接続を中断します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
458
注記
4-eyes 承認はチャンネルごとに設定できます。しかし、既存の接
続で新たな 4-eyes 承認が必要なチャンネルがオープンされると、
既にオープンされたチャンネルは 4-eyes 承認が成功するまで中
断されます。
Step 2.
SCB にログインし、メインメニューから Four Eyes を選択します。承認待ち接続リストが表
示されます。
図 17-6 4 eyes 承認の実行
注記
SCB にログインしたユーザーのユーザーグループが、
Authorize(承認)または Audit&Authorize(承認と監査)権
限を持つ場合のみこれらの接続が表示されます。このページにア
クセスするには他の SCB 権限は不要です。
Step 3.
接続を有効にするには、その接続の Accept(許可)をクリックします。接続を拒否する場
合は Reject(拒否)、接続を有効にしリアルタイムに監視を行う場合は、Accept & Follow
(許可と追跡)を選択します。
注記
セッションの追跡には、以下が必要です。
接続のチャンネルポリシーの特定チャンネルに対
し、Audit(監査)オプションが有効化されているこ
と。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
459
承認者のコンピューターに Audit Player アプリケー
ションがインストールされていること。
接続の Audit(監査)ポリシーで暗号化を使用する
場合、承認者のコンピューターで適切な復号化鍵
が利用できること。
Audit Player バージョン 2012.1 では、live モードでライブストリーム
を再生したり、再生速度を上げたり、アイドル時間をスキップした
り、現在のストリームの終わりに到達するとリアルタイム再生に戻
します。
Step 4.
表示されたダイアログボックスに、接続の許可/拒否理由を入力します。この説明は、接
続の他のメタデータと一緒に接続データベースに保存されます。
Step 5.
何らかの理由で継続中の接続を終了しなければならない場合、メインメニューから
Active Connections(アクティブな接続)を選択します。継続中の接続がリスト表示されま
す。
図 17-7 アクティブな接続の表示
Step 6.
停止する接続の Terminate(終了)をクリックします。
注記
Audit Player アプリケーションで接続を追跡している場合、承認者
は Audit Player アプリケーションから Terminate(終了)をクリックし
てこの接続を終了できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
460
図 17-8 Audit Player での接続終了
17.4
サーバー側認証での証明書ストアの使用
証明書ストアはユーザー資格情報(例: パスワード、秘密鍵、証明書)を保存する方法を提供し、
ユーザーが資格情報にアクセスすることなくこれらを使用してターゲットサーバーにログインします。
この場合、ユーザーは SCB で通常のパスワード(または LDAP データベース)でゲートウェイ認証
を実行するだけで、ターゲットサーバーへのアクセスが許可されていれば、SCB が自動的に証明
書ストアを使用してログインします。ある意味では、証明書ストアの使用は SSH 接続で利用可能な
キーマップの改良版です。(キーマップの詳細は、7.13 ローカルユーザーデータベースの作成を参
照してください。)ゲートウェイ認証に関する詳しい情報については、17.2 ゲートウェイ認証の設定
を参照してください。
注記
証明書ストアを使う場合は、キーボード認証はサポートされませ
ん。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
461
図 17-9 証明書ストアを使用する認証
証明書ストアは SCB ローカルまたはリモートデバイスで保存できます。リモートの証明書ストアに
ついては、SCB は Lieberman Enterprise Random Password Manager(ERPM)をサポートしていま
す。
ローカル証明書ストアを構成する手順については、17.4.1 ローカル証明書ストアの
構成を参照してください。
ローカル、パスワード保護証明書ストアを構成する手順については、17.4.3 パスワ
ード保護された証明書ストアの設定を参照してください。
ローカル、パスワード保護証明書ストアを解除する手順については、17.4.4 証明書
ストアの解除を参照してください。
リモート証明書ストアを構成する手順については、17.4.5 Lieberman ERPM を使用す
るターゲットホストでの承認を参照してください。
カスタム証明書ストアプラグインを構成する手順については、17.4.6 カスタム証明書
ストアプラグインを使用するターゲットホストでの認証を参照してください。
17.4.1
ローカル証明書ストアの構成
目的:
ここでは、ターゲットホストへのログインに使用される資格情報を保存するローカル証明書ストアを
設定する手順について説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
462
前提条件:
注記
ターゲットサーバーで認証を行うため証明書ストアを使用する接続にアク
セスするユーザーはゲートウェイ認証を使用して SCB で認証を行う必要
があります。つまり、これらの接続でゲートウェイ認証が設定されていなけ
ればなりません。詳しくは、17.2 ゲートウェイ認証の設定を参照してくださ
い。
Steps:
Step 1.
Step 2.
Policies > Credential Stores へ進みます。
をクリックし、証明書ストアの名前を入力します。
Step 3.
Local(ローカル)を選択します。
Step 4.
Encryption key > Built-in を選択します。これにより資格情報がビルトインパスワードで
暗号化され、SCB の起動時に証明書ストアが自動で利用可能になります。カスタムパス
ワードを使用して証明書ストアを暗号化したい場合は、17.4.3 パスワード保護された証明
書ストアの設定を参照してください。
図 17-10 ローカル証明書ストアの設定
Step 5.
資格情報を証明書ストアに追加します。
Step a.
をクリックし、宛先ホストとユーザー名を入力します。宛先ホストには、ホ
スト名、IP アドレス、サブネットのいずれかを使用できます。以下にご注意く
ださい。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
463
Username は大文字小文字を区別します。
Windows ドメインユーザーを認証するには、Host フィールドにドメイン
名を入力します。
Step b. ユーザー名に対応するパスワードを入力するか、
をクリックして
をクリ
ックし、秘密鍵または証明書をアップロードします。この証明書ストアが接
続ポリシーで選択されている場合、SCB はこの資格情報を使用して宛先ホ
ストにログインします。1つのホスト-ユーザーのペアに1つ以上の資格情
報が設定されている場合、SCB は宛先ホストが要求する資格情報を使用
することを試みます。
注記
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の
使用を推奨します。
注記
秘密鍵がパスフレーズで保護される場合は、パスフ
レーズを入力します。パスフレーズはアップロード中
に1回のみ要求されます。認証ストアのその後の操
作には必要ありません。
注記
SCB のパスワード長は150文字までです。SCB の
パスワードには、以下の特殊文字を含めることがで
きます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step c. 必要に応じて、上の手順を繰り返してさらに資格情報をユーザー名に追加
します。
Step 6.
必要に応じて、上の手順を繰り返してさらにホストまたはユーザー名を追加します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
464
注記
証明書ストアはターゲットホスト上のユーザー管理を簡略化する
ためにユーザーマッピングポリシーと一緒に使用することができ
ます。詳しくは、17.1 ユーザーマッピングポリシーの設定を参照し
てください。
Step 7.
Commit をクリックします。
Step 8.
証明書ストアを使用したい接続ポリシーを開き(例: SSH Control > Connections)、
Credential Store フィールドで証明書ストアを選択して、Commit をクリックします。
注記
接続ポリシーは、証明書ストアが設定されている場合、サーバー
側認証(Relayed authentication methods)を無視します。
17.4.2
RDP 8.x でローカル証明書ストアを使用して RDP サーバーへのゲートウェイ認証の
実行
目的:
ここでは、Windows 8 または Windows 2012 クライアントで RDP 8.x を使って接続する場合に、ロー
カル証明書ストアを使用して RDP サーバーへのゲートウェイ認証を実行する手順について説明し
ます。
Steps:
Step 1.
RDP サーバーへ接続します。
Step 2.
Web ゲートウェイ認証中に証明書を入力します。
Step 3.
次の通り入力します。
Username フィールドに、ドメイン名、-AUTO サフィックス(接尾辞)、ユーザー名
を入力します。例) Exampledomain-AUTO\Administrator
BalaBit Shell Control Box 4 LTS
Rev. 1.0
465
注記
-AUTO サ フ ィッ ク ス( 接 尾 辞 ) は 、S C Bの RDP
Control > Settings > Autologon domain suffix オプシ
ョンのデフォルト値です。SCBの管理者がこのオプ
ションを変更する場合は、-AUTO の代わりに適切な
サフィックス(接尾辞)を使用します。
Password フィールドにユーザー名(ドメインなしユーザー名のみ)を入力します。
例) Administrator
Step 4.
認証に成功したら、リモートサーバーのデスクトップが表示されます。
17.4.3
パスワード保護された証明書ストアの設定
目的:
ここでは、ターゲットホストへのログインに使用される資格情報を保存するローカル証明書ストアを
設定する手順について説明します。証明書ストアはカスタムパスワードで保護されます。証明書ス
トアを利用可能にするため、SCB の再起動のたびにこのパスワードを入力する必要があります。
前提条件:
注記
ターゲットサーバーで認証を行うため証明書ストアを使用する接続にアク
セスするユーザーは、ゲートウェイ認証を使用して SCB で認証を行う必要
があります。つまり、これらの接続でゲートウェイ認証が設定されていなけ
ればなりません。詳しくは、17.2 ゲートウェイ認証の設定を参照してくださ
い。
Steps:
Step 1.
Step 2.
Step 3.
Policies > Credential Stores へ進みます。
をクリックし、証明書ストアの名前を入力します。
Local(ローカル)を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
466
Step 4.
Encryption key > Password-protected を選択します。
注記
証明書ストアの内容もパスワードと同様 SCB の設定バックアップ
に含まれます。設定バックアップを暗号化していることをご確認く
ださい。
Step 5.
Master passwords >
を選択します。
証明書ストアを1つのパスワードで保護する場合は、Single password(単一パスワ
ード)を選択し、Password と Verify password フィールドにパスワードを入力します。
このパスワードを知っていて Unlock Credential Store(証明書ストアの解除)権限を
持っているユーザーであれば、証明書ストアを開くことができます。SCB の再起動の
たびに SCB Web インターフェースまたはコンソールでパスワード保護された証明書
ストアを解除する必要があります。
証明書ストアを複数のパスワードで保護する場合は、Compound password(複合パ
スワード)を選択して
をクリックし、パスワードを入力します。
をクリックし追加の
パスワードを入力します。すべてのパスワードを登録し終わったら、Add(追加)をク
リックします。証明書ストアを解除するには、これらすべてのパスワードが必要です。
注記
SCB のパスワード長は150文字までです。SCB の
パスワードには、以下の特殊文字を含めることがで
きます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
BalaBit Shell Control Box 4 LTS
Rev. 1.0
467
図 17-11 パスワード保護された証明書ストアの構成
Step 6.
上の手順を繰り返して、他の単一または複合パスワードを追加します。これにより、異な
るパスワードセットを証明書ストアに定義することができます。例えば、1つの単一パス
ワードと1つの複合パスワードが設定されている場合、管理責任者は単一パスワードを
使用して証明書ストアを解除でき、彼の部下のうち2人はそれぞれの複合パスワードの
1要素を知っていれば一緒に証明書ストアを開くことができます。
ヒント
パスワードを変更する場合は、
をクリックして古いパスワードを
削除して、必要な新しいパスワードを追加します。
Step 7.
資格情報を証明書ストアに追加します。
Step a.
をクリックし、宛先ホストとユーザー名を入力します。宛先ホストには、ホ
スト名、IP アドレス、サブネットのいずれかを使用できます。以下にご注意く
ださい。
Username は大文字小文字を区別します。
Windows ドメインユーザーを認証するには、Host フィールドにドメイン
名を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
468
Step b. ユーザー名に対応するパスワードを入力するか、
をクリックして
をクリ
ックし、秘密鍵または証明書をアップロードします。この証明書ストアが接
続ポリシーで選択されている場合、SCB はこの資格情報を使用して宛先ホ
ストにログインします。1つのホスト-ユーザーのペアに1つ以上の資格情
報が設定されている場合、SCB は宛先ホストが要求する資格情報を使用
することを試みます。
注記
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の
使用を推奨します。
注記
秘密鍵がパスフレーズで保護される場合は、パスフ
レーズを入力します。パスフレーズはアップロード中
に1回のみ要求されます。認証ストアのその後の操
作には必要ありません。
注記
SCB のパスワード長は150文字までです。SCB の
パスワードには、以下の特殊文字を含めることがで
きます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step c. 必要に応じて、上の手順を繰り返してさらに資格情報をユーザー名に追加
します。
Step 8.
必要に応じて、上の手順を繰り返してさらにホストまたはユーザー名を追加します。
注記
証明書ストアはターゲットホスト上のユーザー管理を簡略化する
ためにユーザーマッピングポリシーと一緒に使用することができ
ます。詳しくは、17.1 ユーザーマッピングポリシーの設定を参照し
BalaBit Shell Control Box 4 LTS
Rev. 1.0
469
てください。
Step 9.
Commit をクリックします。
Step 10. 証明書ストアを使用したい接続ポリシーを開き(例: SSH Control > Connections)、
Credential Store フィールドで証明書ストアを選択して、Commit をクリックします。
Step 11. Basic Settings > Alerting & Monitoring > Traffic related traps に進み、Decryption of a
credential failed (scbCredStoreDecryptError) (失敗した資格情報の解読)と
The requested credential store is closed (scbCredStoreClosed) (要求された証明
書ストアのクローズ)を有効にします。このようにして、SCB は、証明書ストアを開く必要
があるたびに、自動的にアラートを送信します。
警告
パスワード保護された証明書ストアは、SCB が再起動するたびに
解除する必要があります。パスワード保護された証明書ストアを
使用する接続は、証明書ストアが解除されるまで自動的に失敗し
ます。
証明書ストアを解除するには、Unlock Credential Store(証明書ス
トアの解除)権限または特定の証明書ストアに対して編集(read
および write)権限が必要です。
17.4.4
証明書ストアの解除
目的:
ここでは、証明書ストアを解除し、使用できるようにする手順について説明します。
前提条件:
証明書ストアを解除するには、Unlock Credential Store(証明書ストアの解除)権限または特定の
証明書ストアに対して編集(read および write)権限が必要です。
Steps:
Step 1.
SCB Web インターフェースにログインします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
470
Step 2.
Unlock Credential Stores(証明書ストアの解除)に進み、解除する証明書ストアを選択し
ます。
Step 3.
証明書ストアのパスワードを入力します。複数パスワードの場合は、複数パスワードの
各要素を正しい順番で入力します。
注記
SCB のパスワード長は150文字までです。SCB の
パスワードには、以下の特殊文字を含めることがで
きます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 4.
Unlock(解除)をクリックします。
Step 5.
必要に応じて、上の手順を他の証明書ストアに対して繰り返します。
注記
証明書ストアは SCB コンソールメニューから解除することもできま
す。
17.4.5
Lieberman ERPM を使用するターゲットホストでの承認
目的:
ここでは、Lieberman Enterprise Random Password Manager (ERPM)からターゲットホストにログイ
ンするために使用される資格情報を取得するように SCB を設定する手順について説明します。
前提条件:
注記
ターゲットサーバーで認証を行うため証明書ストアを使用する接続にアク
セスするユーザーは、ゲートウェイ認証を使用して SCB で認証を行う必要
BalaBit Shell Control Box 4 LTS
Rev. 1.0
471
があります。つまり、これらの接続でゲートウェイ認証が設定されていなけ
ればなりません。詳しくは、17.2 ゲートウェイ認証の設定を参照してくださ
い。
Steps:
Step 1.
Policies > Credential Stores へ進みます。
をクリックし、証明書ストアの名前を入力します。
Step 2.
Step 3.
Lieberman を選択します。
Step 4.
ERPM address フィールドに、Lieberman Enterprise Random Password Manager (ERPM)
のホスト名または IP アドレスを入力します。
ERPM が外部認証方法を使うように構成されていれば、Authenticator フィールドに、
ERPM サーバーで設定した認証サーバー(認証ソース)の名前を入力します。もし、空白
であれば、SCB は明示的認証システムを使用します。
Step 5.
SCB が ERPM サーバーにログインするのに使用するアカウントを指定します。
常に同じアカウントを使用するには、Fixed username(固定ユーザー名)を選択しユ
ーザー名とパスワードを入力します。
SSH 接続の場合、SCB はゲートウェイ認証プロセス中にユーザーが提供したユーザ
ー名とパスワードを使用することができます。このアカウントを使用するには、Use
credentials provided at gateway authentication(ゲートウェイ認証で提供された資格
情報を使用する)を選択します。
注記
SCB のパスワード長は150文字までです。SCB の
パスワードには、以下の特殊文字を含めることがで
きます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
BalaBit Shell Control Box 4 LTS
Rev. 1.0
472
Step 6.
ERPM サーバーの証明書を確認するには、Verify server certificate(サーバー証明書を
確認する)を選択し、Trusted CA list(信頼できる CA リスト)から ERPM サーバーの証明
書に署名した CA 証明書を含む CA リストを選択します。信頼できる CA リストを作成する
詳しい手順については、7.11 認証局での証明書確認を参照してください。
Step 7.
ホストは Lieberman ERPM の名前空間において構成されます。名前空間はユーザー名
にドメイン名が与えられていない場合に使用されます。
Default namespace(名前空間初期設定)フィールドにアカウントの初期名前空間
(例: [Linux], [LDAP], [IPMI], W2003DOMAIN)を入力します。
クライアントのホスト名(システム名)を使用するには、{HOST}を入力します。
クライアントの IP アドレスを使用するには、{IP}を入力します。
注記
Default namespace に{HOST}と{IP}を両方とも使用することは
できません。
Step 8.
ドメインマッピングを使用する場合は、Primary DNS server(プライマリ DNS サーバー)と
Secondary DNS server(セカンダリーDNS サーバー)フィールドにホスト名の解決に使用
する DNS サーバーの IP アドレスを入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
473
図 17-12 Lieberman ERPM を使用するターゲットホスト認証
Step 9.
RDP でドメイ ン ユ ー ザーを持 つ コン ピ ュ ー ター に自 動 ロ グ イ ン を行 いたい場 合 、
Domain/Host mapping(ドメイン/ホストマッピング)でドメイン名とドメインコントローラーの
ホスト名をマッピングします。そうすれば、SCB は Lieberman ERPM で適切なホストのユ
ーザーパスワードを検索します。これを行うには、
をクリックしドメイン名とホストを入
力します。
注記
クライアントがドメインメンバーでない時に、Default namespace に
{HOST}または{IP}を設定していれば、ドメインマッピングを設
定する必要はありません。
図 17-13 Lieberman ERPM ドメイン/ホストマッピングの使用
BalaBit Shell Control Box 4 LTS
Rev. 1.0
474
Step 10. Commit をクリックします。
Step 11. 認証ストアを使用したい接続ポリシーを開き(例: SSH Control > Connections )、
Credential Store フィールドで使用する証明書ストアを選択して Commit をクリックします。
17.4.6
カスタム証明書ストアプラグインを使用するターゲットホストでの認証
目的:
ここでは、カスタムプラグインを使用してターゲットホストにログインするために使用される証明書
を取得するように SCB を設定する手順について説明します。
前提条件:
カスタム証明書ストアプラグインを使うには、SCB に動作している証明書ストアプラグインをアップ
ロードする必要があります。このプラグインは、外部証明書ストアまたはパスワードマネージャへア
クセスするための SCB API を使用するスクリプトです。このようなプラグインの作成については、弊
社へお問合せください。
注記
ターゲットサーバーで認証を行うため証明書ストアを使用する接続にアク
セスするユーザーは、ゲートウェイ認証を使用して SCB で認証を行う必要
があります。つまり、これらの接続でゲートウェイ認証が設定されていなけ
ればなりません。詳しくは、17.2 ゲートウェイ認証の設定を参照してくださ
い。
受取ったカスタム証明書ストアプラグインをアップロードするには、Basic Settings > Plugins に進
み、ファイルを選択して Upload をクリックします。SCB がシールド(Sealed)モードの場合は、証明書
ストアプラグインをアップロードまたは削除できません。
Steps:
Step 1.
Step 2.
Policies > Credential Stores へ進みます。
をクリックし、証明書ストアの名前を入力します。
Step 3.
External Plugin を選択し、使用するプラグインを指定します。
Step 4.
Credential Store address フィールド内に証明書ストアサーバーのホスト名または IP アド
レスを入力します。
Step 5.
証明書ストアサーバーにログインする SCB のアカウントを入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
475
いつも同じアカウントをしようするには、Fixed username を選択しユーザー名と
パスワードを入力します。
SSH 接続では、SCB はゲートウェイ認証プロセス中に提供されるユーザー名と
パスワードが使用できます。このアカウントを使用するには、Use credentials
provided at gateway authentication を選択します。
注記
SCB のパスワード長は150文字までです。SCB の
パスワードには、以下の特殊文字を含めることがで
きます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 6.
証明書ストアサーバーの証明書を確認するには、Verify server certificate を選択し、
Trusted CA list フィールドからパスワードマネージャーサーバーで署名された CA 証明書
を含む CA リストを指定します。Trusted CA lists の作成に関する詳細については、7.11
認証局での証明書確認を参照してください。
Step 7.
Commit をクリックします。
Step 8.
証明書ストアを使用したい接続ポリシーを開き(例、SSH Control > Connections)、
Credential Store フィールドで使用する証明書ストアを選択して Commit をクリックします。
17.4.7
カスタム証明書ストアプラグインの作成
ここでは、外部証明書ストアサーバー(例えば、パスワードマネージャー)を使用してターゲットサ
ーバーで認証されるカスタム証明書ストアプラグインの簡単な概要について説明します。既存プラ
グインの使用に関する詳細については、17.4.6 カスタム証明書ストアプラグインを使用するターゲ
ットホストでの認証を参照してください。もし、そのようなプラグインを作成する場合は、弊社にお問
合せください。
証明書ストアプラグインは、Python スクリプトまたは Python バンドルです。バンドルは pure Python
モジュールを含む複数ファイルで構成することができますが、圧縮されていないサイズが 20MB を
超えることはできません。プラグインは通信に標準インプットと標準アウトプット(stdin と stdout)を
使用し、標準アウトプット出力後すぐに終了します。プラグインは同期ブロッキングモードで動作し
ます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
476
17.4.7.1 利用できる Python 環境
プラグインは Python バージョン 2.6.5 と互換性があり、次の Python モジュールにアクセスする必要
があります。
dns
httplib
json
lxml
openssl
urllib
urllib2
xml
xmllib
xmlrpclib
17.4.7.2 プラグインのファイル構成
プラグインは、MANIFESTファイルと実行可能なPythonファイル(ルートディレクトリにある
main.py)を含まなければならないzip形式のファイルです。MANIFESTファイルはYAMLファイル
であり、YAML仕様のバージョン 1.2(version 1.2 of the YAML specification)に適合する必要があ
ります。プラグインについては、次の情報を含む必要があります。
name: プラグインの名前
type: プラグインのタイプ。カスタム証明書ストアプラグインでは、credentialstore で
ある必要があります。
version: プラグインのバージョン番号。プラグインのバージョン管理に関する詳
細については、17.4.7.3 プラグインのバージョン管理を参照してください。
api: SCB APIのバージョン番号
description: プラグインの記述。SCB Webインターフェースに表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
477
17.4.7.3 プラグインのバージョン管理
プラグインとSCB APIのバージョン番号は、<major number>.<minor number>の形式である必要
があります。バージョン管理については、以下の点に注意します。
SCBは単一バージョンのプラグインAPIのみサポートします。
プラグインの api フィールドのメジャーバージョン番号は、SCB APIと同じである必
要があります。
プラグインの api フィールドのマイナーバージョン番号は、SCB APIより低いか同じ
である必要があります。
例えば、SCBのAPIバージョンが 1.3 の場合は、SCBが使用できるバージョン番号は 1.0, 1.1,
1.2, 1.3 になります。
注記
現在は、API のバージョン番号は、1.0 でなければなりません。
17.4.7.4 プラグインのトラブルシューティング
デフォルトのログレベルでは、SCBはプラグインが stderr へ書き込む全てをログします。デバッグ
ログレベルでは、プラグインの標準インプットとアウトプットをログします。
17.5
チケッティング・システムとの統合
SCB は、外部チケッティング(または、チケット発行)システムと統合するためのプラグインフレーム
ワークを提供しています。これにより、ターゲットサーバーで認証する前にユーザーからチケット ID
を要求できます。このようにして、SCB はユーザーがサーバーへアクセスする正当な理由があるこ
とを確認できます。オプションとして、正当な理由がない場合、接続を終了します。チケット ID の要
求は、現在、以下のプロトコルをサポートしています。
セキュアシェル(SSH)
TELNET
TN3270
BalaBit Shell Control Box 4 LTS
Rev. 1.0
478
チケッティング・システムとやり取りするプラグインを要求するには、弊社へご連絡く
ださい。
プラグインを使うように SCB を構成するための詳細については、17.5.1 ターゲットホ
ストへの接続の承認にチケッティングプラグインを使うを参照してください。
17.5.1
ターゲットホストへの接続の承認にチケッティングプラグインを使う
目的:
ターゲットホストへアクセスする前に、ユーザーからチケットを要求するか、ID を発行するように
SCB を構成するには、以下の手順に従います。
前提条件:
カスタムチケットプラグインを使うには、動作しているチケットプラグインを SCB へアップロードする
必要があります。このプラグインは、外部チケッティング(またはチケット発行)システムへアクセス
するための SCB API を使用するスクリプトです。このようなプラグインの作成については、弊社へ
お問合せください。
受取ったカスタムチケットプラグインをアップロードするには、Basic Settings > Plugins に進み、フ
ァイルを選択して Upload をクリックします。SCB がシールド(Sealed)モードの場合は、プラグインを
アップロードまたは削除できません。
Steps:
Step 1.
Step 2.
Policies > Ticketing Integration へ進みます。
をクリックし、チケッティングポリシーの名前を入力します。
Step 3.
Plugin を選択し、使用するプラグインを指定します。
Step 4.
Ticket ID prompt フィールド内に端末接続でユーザーに示すテキストを入力します。
(例:作業するチケットの ID を入力してください)
Step 5.
正しくないチケット ID を入力したユーザーの接続を終了するには、Require valid
ticket ID オプションを選択します。
任意のチケット ID を受け付けるためには、Require valid ticket ID オプションを
選択からはずします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
479
実際のプラグインは、どのチケットを不正とみなすかを決定することに注意してくだ
さい。
Step 6.
Commit をクリックします。
Step 7.
チ ケ ッ テ ィ ン グ ポ リ シ ー を 使 用 し た い 接 続 ポ リ シ ー を 開 き ( 例 、 SSH Control >
Connections)、Ticketing policy フィールドで使用するポリシーを選択して Commit をクリ
ックします。
Step 8.
構成が正しく動作しているか検証します。テスト接続を試みて、チケット ID が要求される
か確認します。詳細については、17.5.2 端末接続でのチケッティングの統合で認証を実
行するを参照してください。
17.5.2
端末接続でのチケッティングの統合で認証を実行する
目的:
サーバーへの端末接続(SSH, TELNT または TN3270)を確立するためには、チケット ID を入力し
なければならないように構成するには、以下の手順を実施します。
Steps:
Step 1.
サーバーに接続します。
ユーザー名の一部として作業中のチケット ID を使用できます。
ssh ticket_id=id@user@serve
これは、ポート転送でも動作します。
ssh –l ticket_id=id@user server
両方のコマンドにおいて、id はチケット ID で置き換えてください。
Step 2.
プロンプトが表示されたら、作業しているチケット ID を入力します。
Step 3.
サーバーで認証します。
Step 4.
認証が成功すると、サーバーに接続できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
480
18
レポート
SCB は処理したトラフィック同様、管理者アクティビティや SCB ヘルス情報などのレポートを定期的
に作成します。これらに加えて、接続の統計からカスタムレポートを作成するために、接続データ
ベースを使用できます。
これらのレポートはメインメニューから Reporting > Reports を選択すると PDF 形式で作成されます。
レポートは、検索インターフェースに表示されます。この検索インターフェースを使用したり、カスタ
マイズする手順は、5.8.1 内部検索インターフェースの使用を参照してください。
これらのレポートはレポート設定で他の指定が無い限り、Basic Settings > Management > Mail
settings > Send report to で設定したメールアドレスに送信されます。
注記
Basic Settings > Management > Mail settings > Send reports to でアドレス
が設定されていない場合、レポートは SCB 管理者メールアドレスに送信さ
れます。
図 18-1 レポートの閲覧
レポートは以下の通りに生成されます。
日報:
毎日 00:01
週報:
月曜日 00:01
月報:
毎月 1 日 00:01
BalaBit Shell Control Box 4 LTS
Rev. 1.0
481
必要であれば、部分的なレポートを作成することもできます。18.5 部分レポートの設定を参照して
下さい。
SCB Web インターフェースからレポートにアクセスするには、適切な権限が必要です。(カスタムレ
ポートについては、デフォルトの要件は、search グループのメンバーである必要があります。)さら
に、個別のレポートは、異なるアクセス要件が構成されているかもしれません。ユーザーの権限の
構成については、5.7 ユーザー権限とユーザーグループの管理を参照して下さい。
レポートでは下記情報も利用可能です。
Download
レポートダウンロードリンク
Name
レポート名
Interval
レポート期間の長さ(例: week, month など)
Report from
レポート期間の開始
Report to
レポート期間の終わり
Generate time
レポート作成日
ヒント
特定期間のレポートを見つけるには、時間バーを使います。期間を選択
(例えば、バーをクリック)すると、その期間の情報を含むレポートのみが表
示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
482
18.1 初期設定レポートの内容
SCB の初期設定レポート(operational-report)は Adobe Portable Document Format(PDF)
が利用でき、指定期間内の以下の情報を含みます。
Configuration changes(設定変更)
ページごと、ユーザーごとの SCB 設定変更数のリスト。設定変更の頻度はグラフに
も表示されます。
Main reports(主要レポート)
SCB を通過した全トラフィックに関する統計。各接続ポリシーのセッション数、ユー
ザー名、クライアント、サーバーなども含まれます。
注記
レポート生成時に進行中の接続は、レポートから除外されます。
Reports by connection(接続別レポート)
SCB で設定した接続ポリシー別の統計
System health information(システムヘルス情報)
SCB によるファイルシステムとネットワーク使用に関する情報と平均負荷
18.2 カスタムレポートの設定
目的:
レポートを構成するには、章を作成して、既存の節 (subchapters)のいくつかを章に割り当てます。
以下のソース(統計または、他のクエリ)がレポートの節として利用できます。
監査トレイルのインデックス付き内容:
これは 15.3 監査トレイルのインデックス付
けとレポートに記載されています。
監査トレイル検索の統計:
これは 15.2 検索結果の統計表示に記載されていま
す。
接続データベースのカスタムクエリ:
これは 18.3 カスタムデータベースクエリか
らの統計作成に記載されています。クエリ対象のテーブルとフィールドのリストは、
18.4 カスタムクエリで利用できるデータベーステーブルに記載されています。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
483
カスタムレポートを作成するために SCB を構成する手順を説明します。Reporting > Content
subchapters に Read&Write/Perform 権限が必要です。
ユーザーの権限の構成については、5.7 ユーザー権限とユーザーグループの管理を参照して下さ
い。
Steps:
Step 1.
SCB Web インターフェースにログインし、Reporting > Configuration に進みます。
図 18-2 カスタムレポートの設定
Step 2.
Step 3.
をクリックし、カスタムレポートの名前を入力します。
レポートは Chapter(章)と Subchapter(節)で構成されます。Table of contents > Add
Chapter を選択し、Chapter(章)の名前を入力して OK をクリックします。必要に応じて、こ
の Step を繰り返し、さらに Chapter(章)を作成します。
Step 4.
Add Subchapter(節を追加する)を選択し、さまざまなレポートと統計を Chapter(章)に追
加します。利用可能なレポートがポップアップウィンドウに表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
484
カスタム統計から作成された Subchapter(節)は Search statistics の下に表示され
ます。カスタム統計からレポートを作成する手順については、15.2 検索結果の統計
表示を参照してください。
カスタムデータベースクエリから作成された Subchapter(節)は Advanced statistics
の下に表示されます。カスタムクエリからレポートを作成する手順については、18.3
カスタムデータベースクエリからの統計作成を参照してください。
監査トレイルの内容を検索して作成された Subchapter(節)は Misc.の下に表示され
ます。監査トレイルの内容からレポートを作成する手順については、15.3 監査トレイ
ルのインデックス付けとレポートを参照してください。
図 18-3 レポートへの subchapter(節)の追加
注記
HTTP 接続ではキーワードを検索する subchapter を生成すると、
結果のタイムスタンプだけレポートに表示され、データは表示され
ません。
Step 5.
必要に応じて、矢印を使用し subchapter(節)の順番を変更します。
Step 6.
Generate this report every(このレポートを生成する頻度)フィールドから SCB がレポート
を作成する頻度を選択します。Weekly(週次)レポートは月曜日、Monthly(月次)レポート
は毎月1日にレポートします。手動でのみレポートを生成したい場合は、このフィールドを
空欄のままにします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
485
Step 7.
初期設定では、search グループのメンバーのみが SCB Web インターフェースからカス
タムレポートにアクセスできます。これを変更するには、Reports are accessible by the
following groups (次のグループがレポートにアクセス可能)フィールドに異なるグループ
の名前を入力するか、
をクリックして他のグループにアクセスを許可します。
注記
Reporting > Reports ページに read アクセスを持っていないグルー
プであっても、ここにリストされたグループのメンバーはこれらの
カスタムレポートにのみアクセスできます。アクセスが許可された
グループには、これらのレポートのみが表示されます。
Step 8.
初期設定では、SCB は E メールでレポートを Basic Settings > Management > Mail
settings > Send reports to フィールドで設定したアドレスに送信します。
注記
このアドレスが設定されていない場合、レポートは SCB 管理者の
E メールアドレスに送信されます。
E メール送信を無効にする場合は、Send reports in e-mail(E メールでレポートを送
信する)の選択をはずします。
レポートを別のアドレスに E メール送信する場合は、Recipient > Custom address を
選択しレポートを送信したい E メールアドレスを入力します。必要に応じて、
をクリ
ックし複数の E メールアドレスを入力します。
Step 9.
Commit をクリックします。
18.3
カスタムデータベースクエリからの統計作成
目的:
ここでは、SCB の接続データベースでのカスタムクエリから統計を作成する手順について説明しま
す。これらのカスタム統計は通常のレポートにも追加できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
486
警告
サービス妨害(DoS)の危険があります。SCB のこの機能は、ユーザーに
SCB のデータベース上で read-only クエリの実行を許可します。データベー
スが大きい(大量の接続データを保存している)場合やクエリが最適でない
場合、クエリの実行がかなりの CPU とメモリリソースを消費し、SCB の性能
を大幅に低下させる可能性があります。この機能は、あなたが SQL クエリ
に関する十分な知識を有している場合にのみ使用してください。
Steps:
Step 1.
Reporting > Advanced statistics ページに進み、
をクリックします。
Step 2.
統計の名前を入力します。作成した統計は節としてレポートで利用できます。
Step 3.
Query(クエリ)フィールドに、必要なデータを戻す SQL クエリを入力します。以下の重要
な点にご注意ください。
クエリは完全な PostgreSQL クエリである必要があります。
円グラフや棒グラフに使用される SQL クエリは title(タイトル)と cnt(カウント)
カラムを戻す必要があります。
例:
select
remote_username as title,
count(*) as cnt
from channels
group by title
クエリは、データベーステーブルおよび監査された接続に関するメタデータを含んで
いるビュー、インデックス付けが使用されている場合は監査された接続の内容(例:
セッションで実行されたコマンド)上で実行されます。これらのテーブルはアップスト
リームトラフィックからのデータを含まないことにご注意ください。つまりユーザーが
入力したパスワードはデータベースでは利用できません。
クエリは 5000 行(LIMIT=5000)までに制限しなければなりません。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
487
アクセス可能なテーブルの構造は SCB の将来のバージョンで変更される可能性が
あります。テーブルおよびそれらの内容に関する詳細については、18.4 カスタムク
エリで利用できるデータベーステーブルを参照してください。
クエリには次のマクロを含めることができます: :range_start, :range_end
レポートが統
計を含んでいる場合、これらのマクロはレポート期間の開始と終了日付を参照します。
Preview(プレビュー)をクリックすると、マクロは当日の開始と終了を参照します。
例: 次のクエリは、admin のダウンロードを除いた、(標準日付形式を用いて)レポート期
間内の監査トレイルのダウンロードの一覧を生成します。
select
to_timestamp(audit_trail_downloads.download_time),
audit_trail_downloads.username,
channels.channel_type,
channels.connection,
audit_trail_downloads.ip
from audit_trail_downloads,
channels
where channels._connection_channel_id = audit_trail_downloads.id
and audit_trail_downloads.download_time <= :range_start
and audit_trail_downloads.download_time > :range_end
and audit_trail_downloads.username != 'admin'
order by audit_trail_downloads.download_time;
BalaBit Shell Control Box 4 LTS
Rev. 1.0
488
図 18-4 カスタムデータベースクエリの作成
Step 4.
表示するグラフの種類を Bar(棒グラフ)、Pie(円グラフ)、List(表)から選択します。
Bar(棒グラフ)の場合、Y axis title(Y 軸タイトル)フィールドに Y 軸の名前を入力しま
す。
List(表)の場合、カラム名をカスタマイズできます。
をクリックして Column titles
(カラムタイトル)フィールドにカラムの名前を入力します。
Step 5.
Preview(プレビュー)をクリックし、クエリをテストします。
Step 6.
(任意)初期設定では、search グループのユーザーがレポートにこれらの統計を追加で
きます。他のグループを指定するには、Subchapter is accessible by the following groups
>
を選択します。
注記
Advanced Statistics にアクセスするには、Reporting > Advanced
statistics 権限が付与されている必要があります。
Step 7.
Commit をクリックしてクエリを保存します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
489
Step 8.
この新しい節をレポートに追加します。節を選択したレポートに追加する手順については、
18.2 カスタムレポートの設定を参照してください。
18.4
カスタムクエリで利用できるデータベーステーブル
ここでは、Reporting > Advanced statistics ページのカスタムクエリで使用できるデータベーステー
ブル、ビュー、SCB 関数について説明します。一般的にビューは、テーブルが生データを含んでい
るのに対し、より整理されたデータセットを含んでいます。
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更される
可能性があります。
データベーステーブル
種類
説明
alerting
テーブル
アラートイベントのリスト。
詳しくは、18.4.1 alerting テーブルを参照してくだ
さい。
aps
テーブル
SCB で利用できる Audit Player indexing サービ
スのリスト。
詳しくは、18.4.2 aps テーブルを参照してくださ
い。
archives
テーブル
アーカイブ処理に関するデータ。
詳しくは 18.4.3 archives テーブルを参照してくだ
さい。
audit_trail_downloads
テーブル
監査トレイルのダウンロードに関するデータ。
詳しくは 18.4.4 audit_trail_downloads テーブルを
参照してください。
channels
テーブル
チャンネルオープン要求とオープンされたチャン
ネルに関するメタデータを含む。これは接続に
関するデータを含む主要テーブルです。
詳しくは 18.4.5 channels テーブルを参照してく
ださい。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
490
closed_connection_audi
ビュー
t_channels
クローズされたコネクションの全監査チャンネル
のビュー。
詳しくは、
18.4.6 closed_connection_audit_channels ビュー
を参照してください。
closed_not_indexed_aud
ビュー
it_channels
クローズされたコネクションでまだインデックスさ
れていない全監査チャンネルのビュー。
詳しくは、
18.4.7 closed_not_indexed_audit_channels ビュー
を参照してください。
connection_events
ビュー
接続で使用されたコマンドまたはウィンドウタイ
トルの一覧。
詳しくは 18.4.8 connection_events ビューを参照
してください。
connection_occurrences
ビュー
コンテンツレポート(監査トレイル内容からのレ
ポート)の検索キーワードとして使用されるトー
クンとこれらのトークンが監査トレイルのどこに
出現するかを含む。
詳しくは 18.4.9 connection_occurrences ビュー
を参照してください。
connections
ビュー
接続データを含むビュー。このデータは Search
> Search ページで利用できる情報と同じ。
詳しくは 18.4.11 connections ビュー
を参照してください。
events
テーブル
インデックス付き監査トレイルから抽出されたコ
マンドまたはイベント。詳しくは 18.4.10 events
テーブルを参照してください。
file_xfer
テーブル
監査された接続でのファイル転送に関するデー
タ(SCP, SFTP)
詳しくは 18.4.12 file_xfer ビューを参照してくださ
い。
http_req_resp_pair
テーブル
HTTP と HTTPS セッションでのリクエスト・レスポ
ン ス に つ い て の 情 報 。 詳 し く は 18.4.13
http_req_resp_pair テ ー ブ ル を 参 照 し て く だ さ
い。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
491
occurrences
テーブル
コンテンツレポート(監査トレイルの内容からの
レポート)で検索キーワードとして使用されるト
ークンとそれらのトークンが監査トレイルのどこ
に出現するかを含む。
詳しくは 18.4.15 occurrences テーブルを参照し
てください。
progresses
テーブル
どの監査トレイルがどの Audit Player に処理を
割り当てられたかに関するデータ。
詳しくは 18.4.16 progresses テーブルを参照して
ください。
results
テーブル
コンテンツレポート(監査トレイルの内容からの
レポート)で検索キーワードとして使用されるト
ークンとそれらのトークンが監査トレイルのどこ
に出現するかを含む。
詳しくは 18.4.17 results テーブルを参照してくだ
さい。
sphinx
関数
Full-text インデックスを使用して処理された監
査トレイルの内容を検索する SQL 関数。
詳しくは 18.4.18 sphinx 関数でのトレイルコンテ
ンツの検索を参照してください。
skipped_connections
テーブル
監査トレイルの処理中に発生したエラーの一
覧。
詳しくは 18.4.19 skipped_connections テーブルを
参照してください。
usermapped_channels
ビュー
接続で usermapping(ユーザーマッピング)が実
行されたセッションに関する情報
詳しくは 18.4.20 usermapped_channels ビューを
参照してください。
表 18-1 カスタムクエリのためのデータベーステーブル、ビュー、関数
18.4.1
alerting テーブル
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
492
カラム
型
説明
alerting_time
timestamp
アラートのタイムスタンプ
alerting_type
text
アラートのタイプ
channel_id
integer
イベントが発生したチャンネルテーブルの ID の参照する
値
matched_content
text
マッチしたコンテンツ
matched_regexp
text
マッチした正規表現
rule_name
text
コンテンツのポリシールール名
表 18-2 alerting テーブルのカラム
18.4.2
aps テーブル
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
このテーブルは、Audit Player インデクサーサービスについての情報のみを含みます。内部イン
デクサーについての情報は含みません。
カラム
型
説明
ap_id
integer
監査トレイルを処理している Audit Player インデクサーサ
ービスの ID
dead
boolean
このホスト上の Audit Player インデクサーサービスが利用
できないとみなされている場合、1 を設定する。
id
integer
エントリーのユニークな ID 番号
last_poll
integer
最後にこのホスト上の Audit Player インデクサーサービス
が SCB から監査トレイルを要求したタイムスタンプ
remote_addr
text
Audit Player インデクサーサービスを起動中のホストのア
ドレス
表 18-3 aps テーブルのカラム
BalaBit Shell Control Box 4 LTS
Rev. 1.0
493
18.4.3
archives テーブル
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
id
integer
エントリーのユニークな ID 番号
orig_filename
text
SCB に保存されているファイルのオリジナルの名前
policy_id
text
ファイルをアーカイブしたアーカイブポリシーの ID
saved_filename
text
ファイルを含んできるアーカイブファイルの名前
server
text
ファイルがアーカイブされたサーバーのアドレス
type
text
ファイル種類の識別子:audit または index
表 18-4 archives テーブルのカラム
18.4.4
audit_trail_downloads テーブル
このテーブルは、ダウンロードされた監査トレイルについての情報を含みます。
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
channel_id
integer
ダウンロードが発生したチャンネルテーブル ID への参照値
download_time
integer
ダウンロードを開始した時間
from_api
boolean
(RPC)API を経由でダウンロードされたら“true”、
Web ユーザーインタフェース経由であれば“false” の値
id
integer
エントリーのユニークな ID
ip
text
クライアント IP アドレス
username
text
Web ユーザーインタフェース上でダウンロードしたユーザー
名。インデクサーが使われていたら、その時のログインユ
ーザー名
表 18-5 audit_trail_downloads テーブルのカラム
BalaBit Shell Control Box 4 LTS
Rev. 1.0
494
18.4.5
channels テーブル
別のカラムに関する詳細については、15.1.3 接続メタデータを参照してください。
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
application
text
Application(アプリケーション名):
シームレス Citrix ICA 接続でアクセスされたアプリケーシ
ョンの名前
_archive_date
date
Archive date(アーカイブ日):
接続がアーカイブまたはクリーンアップされた日付
_archive_path
text
Archive path(アーカイブパス):
リモートサーバー上にアーカイブされた監査トレイルの
パス
_archive_policy
text
_archive_server
text
Archive server(アーカイブサーバー):
監査トレイルがアーカイブされたリモートサーバーのホス
ト名または IP アドレス
audit
text
Audit trail(監査トレイル):
このチャンネルのトラフィックを保存している監査ファイ
ルの名前と ID。セッションが監査トレイルを持っている場
合、ダウンロードアイコンが表示されます。ダウンロード
アイコンに文字が表示される場合があります。
auth_method
text
Authentication Method(認証方法):
この接続で使用された認証方法
channel_policy
text
Channel Policy(チャンネルポリシー):
チャンネルオープン要求に適用されたチャンネルポリシ
ー
channel_type
text
Channel Type(チャンネルタイプ):
チャンネルの種類
Client_x509_subj
text
ect
Client X.509 Subject(クライアント X.509 サブジ
ェクト):
VNC や TELNET でのクライアント認証
_close_cleanup
boolean
BalaBit Shell Control Box 4 LTS
Rev. 1.0
495
command_extracte
boolean
d
インデクサーサービスが再度抽出する必要がないように
ウィンドウタイトルとコマンドが(アラート中に)リアルタイ
ムで抽出されると、true です。インデックス中にのみ抽
出されると、false です。
_connection_chan
text
nel_id
connection_id
text
Connection ID(接続 ID):
接続の識別子
connection
text
Connection Policy(接続ポリシー):
クライアントの接続要求に適用された接続ポリシー
device_name
text
Device Name(デバイス名):
RDP 接続で使用された共有デバイス(リダイレクト)の名
前または ID
dst_ip
text
Destination IP(宛先 IP):
クライアントが要求したサーバーの IP アドレス
dst_port
integer
Destination Port(宛先ポート):
クライアントが要求したサーバーのポート番号
dynamic_channel
text
Dynamic Channel(動的チャンネル):
RDP 接続でオープンされた動的チャンネルの名前また
は ID
environment
text
Environment(環境):
クライアントが送信する環境変数
exec_cmd
text
Executed Command(実行コマンド):
Session exec チャンネルで実行されたコマンド
four_eyes_author
text
izer
Four-eyes Authorizer(4-eyes 監査者):
セッションを承認したユーザーのユーザー名。
チャンネルで 4-eyes 承認が要求されている場合のみ利
用可能。4-eyes 承認に関する詳しい情報については、
17.3 4-eyes 承認の設定を参照してください。
four_eyes_descri
text
ption
id
Four-eyes Description(4-eyes 説明):
セッションの監査者によって提供された説明
integer
エントリーのユニークな ID
BalaBit Shell Control Box 4 LTS
Rev. 1.0
496
index_status
integer
Channel’s indexing status(チャンネルインデッ
クシングステータス):
チャンネルがインデックスされているかどうかを表示。以
下の値をとりうる。
0:
チャンネルのコネクションがまだオープン
1:
コネクションの全チャンネルがクローズ
2:
チャンネルがインデックスされている途中である
3:
インデックシングが完了
4:
インデックシングは要求されていない。
local_ip
text
Server-local IP(サーバー – ローカル IP):
サーバー側接続で使用される SCB の IP アドレス
local_port
integer
Server-local Port(サーバー – ローカルポート):
サーバー側接続で使用される SCB のポート番号
originator_addr
text
Port/X11 forward Originator IP(ポート/X11
フォワード送信元 IP):
Remote Forward および Local Forward チャンネルでチ
ャンネルを開始したホストの IP アドレス。このホストは必
ずしもクライアントまたはサーバーの SSH 接続ではない
ことにご注意ください。
originator_port
integer
Port/X11 forward Originator Port(ポート/X11
フォワード送信元ポート):
Remote Forward および Local Forward チャンネルでチ
ャンネルでフォワードされたポート番号
protocol
text
Protocol(プロトコル):
接続で使用されるプロトコル(SSH, RDP, Telnet, VNC,
ICA)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
497
remote_username
text
Username on server(サーバー上のユーザー名):
リモートサーバーにログインするために使用されるユー
ザー名。接続で usermapping(ユーザーマッピング)が使
用されている場合、このユーザー名がクライアント側の
ユーザー名と異なる可能性があります。usermapping(ユ
ーザーマッピング)については、17.1 ユーザーマッピング
ポリシーの設定を参照してください。
rule_num
text
Rule number(ルール番号):
チャンネルに適用されたチャンネルポリシーの行番号
scp_path
text
SCP Path(SCP パス):
SCP 経由でコピーされたファイルの名前とパス。
接 続 の チ ャ ン ネ ル ポ リ シ ー で Log file transfers to
database(ファイル転送をデータベースに記録する)オプ
ションが有効な場合、SCP セッション(Session exec SCP
SSH チャンネル)でのみ利用可能。
server_ip
text
Server IP(サーバーIP):
SCB が接続したサーバーの IP アドレス
server_port
integer
Server Port(サーバーポート):
SCB が接続したサーバーのポート番号
session_end
integer
End Time(終了時間):
チャンネルがクローズされた日付
session_id
text
Session ID(セッション ID):
TCP セッションの ID 番号
session_start
integer
Start Time(開始時間):
チャンネルが開始された日付
src_ip
text
Source IP(送信元 IP):
クライアントの IP アドレス
src_port
integer
Source Port(送信元ポート):
クライアントのポート番号
subsystem_name
text
Subsystem Name(サブシステム名):
チャンネルで使用された SSH サブシステムの名前
target_addr
text
Port-forward Target IP(ポートフォワードのター
ゲット IP):
Remote Forward および Local Forward チャンネルでト
ラフィックがフォワードされた IP
BalaBit Shell Control Box 4 LTS
Rev. 1.0
498
target_port
integer
Port-forward Target Port(ポートフォワードター
ゲットポート):
Remote Forward および Local Forward チャンネルでト
ラフィックがフォワードされたポート番号
username
text
Username on server(サーバー上のユーザー名):
リモートサーバーにログインするために使用されたユー
ザー名。接続で usermapping(ユーザーマッピング)が使
用されている場合、このユーザー名がクライアント側の
ユーザー名と異なる可能性があります。usermapping(ユ
ーザーマッピング)については、17.1 ユーザーマッピング
ポリシーの設定を参照してください。
verdict
text
Verdict(決定):
チャンネルについて SCB が決定したことを示します。
ACCEPT: 受け入れ
ACCEPT-TERMINATED: コネクションが
受け入られ確立しましたが、content ポ
リシーが終了させました。content(コン
テンツ)ポリシーに関する詳細について
は、7.6 コンテンツポリシーとリアルタイムコ
ンテンツの監視を参照してください。
CONN-AUTH-FAIL: ユーザー認証失敗
CONN-DENY: 接続の拒否
CONN-FAIL: 失敗、SCB は通過できた
がサーバー接続でタイムアウト
CONN-KEY-FAIL: SSH での公開鍵認証
失敗
DENY: 拒否
FAILED: 何らかの理由で失敗
BalaBit Shell Control Box 4 LTS
Rev. 1.0
499
window_title_ext
boolean
racted
インデクサーサービスが再度抽出する必要がないように
ウィンドウタイトルとコマンドが(アラート中に)リアルタイ
ムで抽出されると、true です。インデックス中にのみ抽
出されると、false です。
表 18-6 channels テーブルのカラム
18.4.6
closed_connection_audit_channels ビュー
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
このビューはクローズされた全監査チャンネルのコネクションをリターンします。このビューの定義
は以下の通りです。
create view closed_connection_audit_channels
as
select *
from channels
where audit is not null
and index_status = 1;
リターンされたカラムに関する詳しい情報については、18.4.5channels テーブルを参照してください。
18.4.7
closed_not_indexed_audit_channels ビュー
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
このビューは、接続がクローズされたが、まだインデックス付けされていない全監査チャンネルの
コネクションをリターンします。このビューの定義は以下の通りです。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
500
create view closed_not_indexed_audit_channels
as
select * from channels
where audit is not null
and (index_status = 1
or index_status = 2);
リターンされたカラムに関する詳しい情報については、18.4.5channels テーブルを参照してくださ
い。
connection_events ビュー
18.4.8
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
端末接続に関して、このビューは接続で発行されたコマンドを収集します。グラフィカル接続に関し
ては、このビューは、接続で検出されたウィンドウタイトルを収集します。このビューの定義は以下
の通りです。
select
channels._connection_channel_id as id,
events.event,
events.printable
from channels,
events
where channels.id = events.channel_id;
テーブルクエリ(例: select * from connection_commands limit 10;)は以下のよう
な結果を戻します。
id
command
printable
1
[user@exampleserver ~]$ ls
t
1
[user@exampleserver ~]$ exit
t
2
[user@exampleserver ~]$ su -
t
BalaBit Shell Control Box 4 LTS
Rev. 1.0
501
2
Password:
t
2
[root@exampleserver ~]#
t
2
[root@exampleserver ~]# ifconfig
t
2
[root@exampleserver ~]# ifconfig
t
2
[root@exampleserver ~]# ifconfig
t
4
[user@exampleserver ~]$
t
4
[user@exampleserver ~]$
t
connection_events ビューには以下のカラムが含まれます。
カラム
型
説明
event
text
チャンネルで実行されたコマンド、または、検出された
ウィンドウタイトル(例: ls, exit,Firefox)
id
integer
エントリーのユニークな ID 番号
printable
boolean
コマンドの文字ごとに表示される場合は、1 を設定
表 18-7 connection_events テーブルのカラム
18.4.9
connection_occurrences ビュー
このビューの定義は以下の通りです。
select channels._connection_channel_id as id,
results.token,
occurrences.start_time,
occurrences.end_time,
occurrences.screenshot
from channels,
results,
occurrences
where channels.id = results.channel_id
and results.id = occurrences.result_id;
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
end_time
integer
End Time(終了時間):
BalaBit Shell Control Box 4 LTS
Rev. 1.0
502
チャンネルが閉じられた日付
id
text
エントリーのユニークな ID
screenshot
text
検索トークンの出現に関する PNG スクリーンショットファイル
(SCB 上で保存されている)
start_time
integer
Start Time(開始時間):
チャンネルが開始された日付
token
text
スクリーンショット上で閲覧できる検索トークン
表 18-8 connection_occurrences テーブルのカラム
18.4.10 events テーブル
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
id
integer
エントリーのユニークな ID
channel_id
integer
チャンネルの ID。この値は、チャンネルテーブルの ID 欄
への実際の参照です。
printable
boolean
出力や制御が まったく ない制御文字 を含むならば、
FALSE を返す。
time
timesta
コマンドが実行された時間
mp
record_id
bigint
.zat ファイル内でのレコードを識別する。
type
adp_type
以下の値のいづれかをとる。
adp.event.command: SSH または Telnet で入力さ
れたコマンド
adp.event.screen.content: アラートがこのイベント
に対して構成されているかどうか示す。
adp.event.screen.creditcard: アラートテーブルでの
BalaBit Shell Control Box 4 LTS
Rev. 1.0
503
み表示される。イベントフィールドでは見えない。
adp.event.screen.windowtitle: グラフィックプロトコ
ルでのウィンドウタイトル (RDP のみ)
event
text
検出されたスクリーンコンテンツ、コマンド、ウィンドウタ
イトル
表 18-9 events テーブルのカラム
18.4.11 connections ビュー
このビューは接続のメタデータを収集します。このビューの定義は以下の通りです。
select
channels."connection",
channels.protocol,
channels._connection_channel_id as id,
channels.connection_id,
min(channels.session_start) as session_start,
max(channels.session_end) as session_end,
max(channels.src_ip) as src_ip,
max(channels.src_port) as src_port,
max(channels.server_ip) as server_ip,
max(channels.server_port) as server_port,
max(channels.username) as username,
max(channels.remote_username) as remote_username,
max(channels.channel_policy) as channel_policy,
sum(case
when channels.session_end is null then 1
else 0
end) as active
from channels
group by channels._connection_channel_id,
channels.protocol,
channels."connection",
BalaBit Shell Control Box 4 LTS
Rev. 1.0
504
channels.connection_id;
テーブルクエリ(例: select * from connections limit 10;)は以下のような結果を戻
します。
connection | protocol | id | connection_id | session_start |
session_end | src_ip | src_port | server_ip | server_port | username
| remote_username | channel_policy | active
-------------+----------+--------+-------------------------+------SSH_Access2 | ssh | 1 | 5516465814bc36d5570ec8 | 1271098736 |
1271099582 | 192.168.0.62 | 4312 | 192.168.0.20 | 22 | joe | joe
| shell-only | 0
SSH_Access | ssh | 10 | 20790868454bc33027964a0 | 1271258787 |
1271259645 | 10.100.58.27 | 2298 | 192.168.0.20 | 22 | joe | joe
| shell-only | 0
SSH_Access | ssh | 100 | 20790868454bc33027964a0 | 1272391671 |
1272396886 | 10.100.58.14 | 51342 | 192.168.0.20 | 22 | phil |
phil | shell-only | 0
SSH_Access | ssh | 1000 | 20790868454bc33027964a0 | 1274450541 |
1274475742 | 10.100.56.14 | 4633 | 192.168.0.20 | 22 | rick | rick
| all | 0
SSH_Access2 | ssh | 10000 | 5516465814bc36d5570ec8 | 1282753195 |
1282764804 | 192.168.40.34 | 53097 | 192.168.0.20 | 22 | vivian |
vivian | shell-only | 0
SSH_Access2 | ssh | 100000 | 5516465814bc36d5570ec8 | 1314979916 |
1314986038 | 192.168.40.85 | 34743 | 192.168.0.20 | 22 | elliot |
elliot | Shell-SCP | 0
SSH_Access2 | ssh | 100001 | 5516465814bc36d5570ec8 | 1314979917 |
1314984561 | 192.168.40.65 | 56405 | 192.168.0.20 | 22 | root |
root | Shell-SCP | 0
SSH_Access2 | ssh | 100002 | 5516465814bc36d5570ec8 | 1314979940 |
1314984171 | 192.168.40.100 | 1082 | 192.168.0.20 | 22 | allen |
allen | Shell-SCP | 0
SSH_Access2 | ssh | 100003 | 5516465814bc36d5570ec8 | 1314979955 |
1314981233 | 192.168.40.10 | 34263 | 192.168.0.20 | 22 | steve | steve
| Shell-SCP | 0
BalaBit Shell Control Box 4 LTS
Rev. 1.0
505
SSH_Access2 | ssh | 100004 | 5516465814bc36d5570ec8 | 1314980025 |
1314991838 | 192.168.40.33 | 58500 | 192.168.0.20 | 22 | clark | clark
| Shell-SCP | 0
(10 rows)
connections ビューは以下のカラムを含みます。別のカラムに関する詳しい情報については、
15.1.3 接続メタデータを参照してください。
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
active
bigint
channel_policy
text
説明
接続の特定のチャンネルに適用されたチャンネルポリシ
ーの名前
connection
text
SCB Web インターフェース上で設定された接続ポリシー
の名前
connection_id
text
TCP 接続のユニークな ID
id
text
接続内のチャンネルの ID
protocol
text
Protocol(プロトコル):
接続で使用されるプロトコル(SSH, RDP, Telnet, VNC,
ICA)
remote_username
text
Username on server(サーバー上のユーザー名):
リモートサーバーにログインするために使用されたユー
ザー名。接続で usermapping(ユーザーマッピング)が使
用されている場合、このユーザー名がクライアント側の
ユーザー名と異なる可能性があります。
usermapping(ユーザーマッピング)については、17.1 ユ
ーザーマッピングポリシーの設定を参照してください。
session_end
integer
End Time(終了時間):
このチャンネルが閉じられた日付
session_start
integer
Start Time(開始時間):
このチャンネルが開始された日付
src_ip
text
Source IP(送信元 IP):
クライアントの IP アドレス
BalaBit Shell Control Box 4 LTS
Rev. 1.0
506
src_port
integer
Source Port(送信元ポート番号):
クライアントのポート番号
username
text
クライアント側の接続で使用されたユーザー名
表 18-10 connections ビューのカラム
18.4.12 file_xfer ビュー
このテーブルは、接続で転送されたファイルに関する情報を含みます。
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
channel_id
integer
この値はファイル転送が行われた channels テーブルの
ID への参照です
details
text
ファイル転送の詳細な説明。このフィールドの正確な内
容はファイル転送に使用されるプロトコルに依存する。
event
text
発生したファイル操作の種類(例: Create file)
filename
text
ファイル操作によって影響を受けたファイルの名前
path
text
SCP Path(SCP パス):
SCP 経由でコピーされたファイルの名前とパス。
接 続 の チ ャ ン ネ ル ポ リ シ ー で Log file transfers to
database(ファイル転送をデータベースに記録する)オプ
ションが有効な場合、SCP セッション(Session exec SCP
SSH チャンネル)でのみ利用可能。
id
integer
エントリーのユニークな ID
start_time
integer
Start Time(開始時間):
チャンネルが開始された日付
表 18-11 file_xfer テーブルのカラム
18.4.13 http_req_resp_pair テーブル
このテーブルは、HTTP と HTTPS セッションでのリクエストとレスポンスに関する情報を含みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
507
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
id
integer
エントリーのユニークな ID
url
text
HTTP リクエストの URL
channel_id
integer
チャンネルの ID。この値は、チャンネルテーブルの ID カ
ラムへの実際の参照です。
response_code
text
HTTP レスポンスのステータスコード
request_time
integer
リクエストが受け取られたときの UNIX タイムスタンプ
表 18-12 http_req_resp_pair テーブルのカラム
18.4.14 lucene 検索関数を用いるトレイルコンテンツの検索
このテーブルは、HTTP と HTTPS セッションでのリクエストとレスポンスに関する情報を含みます。
警告
この機能は、監査トレイルのインデックス付けに SCB の内部インデクサー
を使っている場合のみ有効です。Audit Player のインデクサーサービスを
使っている場合は、18.4.18 sphinx 関数でのトレイルコンテンツの検索を参
照してください。
lucene_search(ルシーン検索)機能は、指定キーワードで全文インデックス付き監査トレイルのコン
テンツを検索して、検索キーワードを含むチャンネルの ID を返します。lucene_search(ルシーン検
索)機能は、3 つのパラメータを必要とします。
検索フレーズ: たとえば、SSH セッションで実行されたコマンドを探すキーワードま
たはフレーズ。キーフレーズは、&(AND) , | (OR) , ! (NOT) 特殊演算子を含むことが
できます。キーフレーズをグループ分けするために、括弧を使用できます。
開始タイムスタンプ:UNIX タイムスタンプ形式での日付。この日付以降に作成され
た監査トレイルのみが検索されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
508
終了タイムスタンプ:UNIX タイムスタンプ形式での日付。この日付以前に作成され
た監査トレイルのみが検索されます。
例:
select lucene_search
from lucene_search('root', 1287402232, 1318938150);
より複雑なキーフレーズを使う方法については、Apache Lucene に関する文書をご覧ください。
全文検索付けの詳細については、15.6.1 監査トレイルの全文検索付けの構成をご覧ください。
18.4.15 occurrences テーブル
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
end_time
integer
監査トレイルでトークン(キーワード)が存在しなくなった
時間
id
integer
エントリーのユニークな ID 番号
result_id
integer
トークンの出現を識別する ID。この値は、results テーブ
ルの id カラムの参照である。
screenshot
text
レポートで使用されるスクリーンショットのハッシュ。
実際のスクリーンショットはこのデータベースに保存され
ていない。
start_time
integer
監査トレイルでトークン(キーワード)が出現した時間
表 18-13 commands テーブルのカラム
18.4.16 progresses テーブル
このテーブルは、Audit Player インデックサーサービスについてのみの情報を含みます。内部イン
BalaBit Shell Control Box 4 LTS
Rev. 1.0
509
デクサーの情報は含みません。
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
audit
text
Audit trail(監査トレイル):
このチャンネルのトラフィックを保存している監査ファイ
ルの名前と ID。セッションが監査トレイルを持っている場
合、ダウンロードアイコンが表示されます。文字がダウン
ロードアイコンに表示されることがあります。
ap_id
integer
監査トレイルを処理している Audit Player インデクサー
サービスの ID
id
integer
エントリーのユニークな ID 番号
表 18-14 progresses テーブルのカラム
18.4.17 results テーブル
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
channel_id
integer
トークンが見つかったチャンネルの ID。
この値は channels テーブルの id カラムの参照。
id
integer
エントリーのユニークな ID 番号
token
text
トークン(検索キーワード)
表 18-15 results テーブルのカラム
18.4.18 sphinx 関数でのトレイルコンテンツの検索
BalaBit Shell Control Box 4 LTS
Rev. 1.0
510
警告
この機能は、監査トレイルのインデックス付けに Audit Player のインデク
サーサービスを使っている場合のみ有効です。SCB の内部インデクサー
を使っている場合は、18.4.14 lucene 検索関数を用いるトレイルコンテンツ
の検索を参照してください。
sphinx 関数を使用すれば、特定のキーワードでフルテキストインデックス付きの監査トレイルの内
容を検索し、検索キーワードを含むチャンネルの ID を戻すことができます。sphinx 関数は4つのパ
ラメーターを要求します。
search phrase:
検索するキーワードまたはキーフレーズ
(例: SSH セッションで発行されたコマンド(exit))。
キーフレーズは次の特殊演算子を含むことができます。&(AND), |(OR), !(NOT)
キーフレーズの部分をグループ化するには、括弧を使用します。
beginning_timestamp:
UNIX タイムスタンプ形式の日付。この日付以降に作成された監査トレイルのみがク
エリされます。
ending_timestamp:
UNIX タイムスタンプ形式の日付。この日付以前に作成された監査トレイルのみがク
エリされます。
empty_string:
空文字(’’)。必須。
例:
select sphinx
from sphinx('root', 1287402232, 1318938150, '');
より複雑なキーフレーズを使う方法については、Sphinx レファレンスマニュアルをご覧ください。
フルテキストインデックスに関する詳細については、15.3.1 監査トレイルのフルテキストインデック
ス化設定を参照下さい。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
511
18.4.19 skipped_connections テーブル
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更され
る可能性があります。
カラム
型
説明
channel_id
integer
チャンネルの ID。この値は channels テーブルの id カラム
の参照。
id
integer
occasions
integer
エントリーのユニークな ID 番号
表 18-16 skipped_connections テーブルのカラム
18.4.20 usermapped_channels ビュー
このビューは、usermapping(ユーザーマッピング)ポリシーを使用した接続に関するデータを収集
します。このビューの定義は以下の通りです。
select
channels.id,
channels.scp_path,
channels.subsystem_name,
channels.protocol,
channels.originator_port,
channels.channel_policy,
channels.target_addr,
channels._archive_path,
channels._close_cleanup,
channels.dynamic_channel,
channels.environment,
channels.session_start,
channels.remote_username,
channels.local_port,
channels.four_eyes_authorizer,
channels.src_ip,
channels.session_end,
BalaBit Shell Control Box 4 LTS
Rev. 1.0
512
channels._archive_server,
channels.server_port,
channels.username,
channels._archive_date,
channels.server_ip,
channels.exec_cmd,
channels._archive_policy,
channels.four_eyes_description,
channels.connection_id,
channels._connection_channel_id,
channels.rule_num,
channels.target_port,
channels.src_port,
channels.originator_addr,
channels.auth_method,
channels.audit,
channels.local_ip,
channels.session_id,
channels.device_name,
channels.channel_type,
channels."connection",
channels.verdict,
channels.dst_port,
channels.dst_ip
from channels
where channels.remote_username is not null
and channels.username <> channels.remote_username;
usermapped_channels ビューは以下のカラムを含みます。別のカラムについては、15.1.3 接続メタ
データを参照してください。
注記
これらのデータベーステーブルの構造は将来の SCB バージョンで変更さ
れる可能性があります。
カラム
型
説明
BalaBit Shell Control Box 4 LTS
Rev. 1.0
513
_archive_date
date
Archive date(アーカイブ日):
接続がアーカイブまたはクリーンアップされた日付
_archive_path
text
Archive path(アーカイブパス):
リモートサーバー上にアーカイブされた監査トレイルの
パス
_archive_policy
text
_archive_server
text
Archive server(アーカイブサーバー):
監査トレイルがアーカイブされたリモートサーバーのホ
スト名または IP アドレス
audit
text
Audit trail(監査トレイル):
このチャンネルのトラフィックを保存している監査ファイ
ルの名前と ID。セッションが監査トレイルを持っている
場合、ダウンロードアイコンが表示されます。ダウンロ
ードアイコンに文字が表示される場合があります。
auth_method
text
Authentication Method(認証方法):
この接続で使用された認証方法
channel_policy
text
Channel Policy(チャンネルポリシー):
チャンネルオープン要求に適用されたチャンネルポリシ
ー
channel_type
text
Channel Type(チャンネルタイプ):
チャンネルの種類
_close_cleanup
boolean
_connection_chan
text
nel_id
connection_id
text
connection
text
Connection Policy(接続ポリシー):
クライアントの接続要求に適用された接続ポリシー
device_name
text
Device Name(デバイス名):
RDP 接続で使用された共有デバイス(リダイレクト)の
名前または ID
dst_ip
text
Destination IP(宛先 IP):
クライアントが要求したサーバーの IP アドレス
dst_port
integer
Destination Port(宛先ポート):
クライアントが要求したサーバーのポート番号
BalaBit Shell Control Box 4 LTS
Rev. 1.0
514
dynamic_channel
text
Dynamic Channel(動的チャンネル):
RDP 接続でオープンされた動的チャンネルの名前また
は ID
environment
text
Environment(環境):
クライアントが送信する環境変数
exec_cmd
text
Exec Command(実行コマンド):
Session exec チャンネルで実行されたコマンド
four_eyes_author
text
izer
Four-eyes Authorizer(4-eyes 監査者):
セッションを承認したユーザーのユーザー名。
チャンネルで 4-eyes 承認が要求されている場合のみ利
用可能。4-eyes 承認に関する詳しい情報については、
17.3 4-eyes 承認の設定を参照してください。
four_eyes_descri
text
ption
Four-eyes Description(4-eyes 説明):
セッションの監査者によって提供された説明
id
integer
local_ip
text
Server-local IP(サーバー – ローカル IP):
サーバー側接続で使用される SCB の IP アドレス
local_port
integer
Server-local Port(サーバー – ローカルポート):
サーバー側接続で使用される SCB のポート番号
originator_addr
text
Port/X11 forward Originator IP(ポート/X11
フォワード送信元 IP):
Remote Forward および Local Forward チャンネルでチ
ャンネルを開始したホストの IP アドレス。このホストは必
ずしもクライアントまたは SSH 接続サーバーではないこ
とにご注意ください。
originator_port
integer
Port/X11 forward Originator Port ( ポ ー ト
/X11 フォワード送信元ポート):
Remote Forward および Local Forward チャンネルでチ
ャンネルでフォワードされたポート番号
protocol
text
Protocol(プロトコル):
接続で使用されるプロトコル(SSH, RDP, Telnet, VNC,
ICA)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
515
remote_username
text
Username on server(サーバー上のユーザー名):
リモートサーバーにログインするために使用されるユー
ザー名。接続で usermapping(ユーザーマッピング)が使
用されている場合、このユーザー名がクライアント側の
ユーザー名と異なる可能性があります。usermapping
(ユーザーマッピング)については、17.1 ユーザーマッピ
ングポリシーの設定を参照してください。
rule_num
text
Rule number(ルール番号):
チャンネルに適用されたチャンネルポリシーの行番号
scp_path
text
SCP Path(SCP パス):
SCP 経由でコピーされたファイルの名前とパス。
接 続 の チャ ンネ ル ポリ シー で Log file transfers to
database(ファイル転送をデータベースに記録する)オ
プションが有効な場合、SCP セッション(Session exec
SCP SSH チャンネル)でのみ利用可能。
server_ip
text
Server IP(サーバーIP):
SCB が接続したサーバーの IP アドレス
server_port
integer
Server Port(サーバーポート):
SCB が接続したサーバーのポート番号
session_end
integer
End Time(終了時間):
チャンネルがクローズされた日付
session_id
text
Session ID(セッション ID):
TCP セッションの ID 番号
session_start
integer
Start Time(開始時間):
チャンネルが開始された日付
src_ip
text
Source IP(送信元 IP):
クライアントの IP アドレス
src_port
integer
Source Port(送信元ポート):
クライアントのポート番号
subsystem_name
text
Subsystem Name(サブシステム名):
チャンネルで使用された SSH サブシステムの名前
target_addr
text
Port-forward Target IP(ポートフォワードのター
ゲット IP):
Remote Forward および Local Forward チャンネルでト
ラフィックがフォワードされた IP
BalaBit Shell Control Box 4 LTS
Rev. 1.0
516
target_port
integer
Port-forward Target Port(ポートフォワードター
ゲットポート):
Remote Forward および Local Forward チャンネルでト
ラフィックがフォワードされたポート番号
username
text
verdict
text
Verdict(決定):
チャンネルについて SCB が決定したことを示します。
ACCEPT: 受け入れ
ACCEPT-TERMINATED: コネクションが
受け入られ確立しましたが、content(コ
ン テ ン ツ )ポリ シー が 終了 させ ました。
content(コンテンツ)ポリシーに関する
詳細については、7.6 コンテンツポリシー
とリアルタイムコンテンツの監視を参照し
てください。
CONN-AUTH-FAIL: ユ ー ザ ー 認 証 失
敗
CONN-DENY: 接続の拒否
CONN-FAIL: 失敗、SCB は通過できた
がサーバー接続でタイムアウト
CONN-KEY-FAIL: SSH での公開鍵認
証失敗
DENY: 拒否
FAILED: 何らかの理由で失敗
表 18-17 usermapped_channels テーブルのカラム
18.5 部分レポートの設定
目的:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
517
ここでは、自動レポートでカバーされていない期間のレポートの作成手順について説明します。
Steps:
Step 1.
SCB Web インターフェースにログインし、Reporting > Configuration に進みます。
図 18-5 カスタムレポートの設定
Step 2.
作成したいレポートを選択します。
Step 3.
最後の日報からレポートを生成します。Generate partial daily report をクリックしま
す。例えば、11:30AM ボタンをクリックすると、レポートは 00:01 から 11:30 の期間
になります。
最後の週報からレポートを生成します。Generate partial weekly report をクリックし
ます。例えば、Wednesday 11:30AM ボタンをクリックすると、レポートは月曜日の
00:01 から水曜日の 11:30 までの期間になります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
518
最後の月報からレポートを生成します。Generate partial monthly report をクリックし
ます。例えば、11:30AM, December 13 ボタンをクリックすると、レポートは 12 月 1
日の 00:01 から 12 月 13 日の 11:30 までの期間になります。
レポートは、自動的にレポートリストに追加されます(Reporting >Reports)。また、レポートの設定
された受信者に E メールが送信されます。
Step 4.
Commit をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
519
19
SCB RPC API
SCB(BalaBit Shell Control Box)のバージョン3F3以降では、リモートプロシージャコールのアプリ
ケーションプログラミングインターフェース(RPC API)を使用してアクセスできます。
SCB RPC API はにより、リモートアプリケーションからSCBへのアクセス、クエリ、管理ができるよ
うになります。HTTPS での SOAP(Simple Object Access Protocol) プロトコルを使用して API にア
クセスできます。これは、SCBをお使いの環境に統合するためには、SOAPクライアントにアクセ
スできる任意のプログラミング言語を使用できることを意味します。SCB ウェブインターフェースか
ら Python や他の言語向けの簡単なサンプルクライアントをダウンロードできます。
RPC API でのSCBアクセスは、いくつかの利点があります。
19.1
カスタムアプリケーションや環境への統合
柔軟で動的な検索クエリと管理
RPC API 使用の要件
RPC API を使用してSCBへアクセスするには、次の要件に適合する必要があります。:
RPC API 経由でアプライアンス製品へのアクセスを、Webインターフェースで有効
にする必要があります。詳細については、19.5 RPC API の SCB アクセス有効化を
参照してください。
アプライアンス製品は、SOAP over HTTPS(認証された接続)を使用してアクセスで
きます。利用できるサービスを記述しているWSDL(Web Services Description
Language)は、 https://<ip-address-of-SCB>/rdc.php/<techversion>?wsdl で使用
できます。SCBでテストされたクライアントライブラリーに関する詳細については、
19.2 RPC クライアントの要件を参照してください。
RPC経由でSCBにアクセスできるユーザーアカウントは、Access RPC API 権限で
読み書き/実行権限(read and write/perform)である必要があります。これは、RP
Cアクセスのすべてのタイプで要求されます。たとえ、リードオンリーのアクセスであ
るとしても同じです。Api グループのメンバーは、自動的にこの権限を持ちます。ユ
ーザー権限の管理に関する詳細については、5.7.1 グループ権限の修正を参照して
ください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
520
警告
SCBリリースごとに、新しいAPIバージョン番号で別々のAPIが提供され
ます。対応するAPIバージョンでSCBバージョン 4LTS の使用を推奨しま
す。以前のバージョンはサポートされません。
RPC クライアントの要件
19.2
SCBアクセスで使用されるクライアントアプリケーションは、次の基準に適合する必要がありま
す。
SOAPバージョン 1.1 または 1.1 以上のサポート
WSDLバージョン 1.1 のサポート
複雑なオブジェクトタイプの適切な処理
検索オペレーションの結果を解釈するJSONデコーダー
次のクライアントライブラリーが、SCBでテスト済みです。
クライアント
名
Apache Axis
1
プログ
ラム言
状況
注釈
語
Java
動作
SCB は Expect HTTP ヘッダー機能をサポートしません。無効化
Built-in .NET
library
しなければなりません。
.NET
動作
例 System.Net.ServicePointManager.Expect100Continue =
false;
Scio
Python
部分的 複雑なオブジェクトタイプの処理を行いません。そのため、検索ク
に動作 エリを実行できません。
SOAP::Lite
Perl
動作
シンプルタイプは以下の形式で使用できます。
$service->$method(@params)
複雑なタイプは以下の形式でのみ動作します。
$service->call($method, @params)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
521
クライアント
名
プログ
ラム言
状況
注釈
語
少なくとも一回の$service->$method(@params) コール
の後で、$service->call()形式を用いたコールは動作
するようです。
例:ログイン
SOAP::WSDL Perl
Suds
非動作
Python 動作
表 19-1 SCBでテストされたSOAPライブラリー
19.3
RPC API から SCB 設定のロック
RPC API を使用したSCBへのアクセスは、Webインターフェースやコンソールのように他ユーザー
からSCBの特定の構成情報を変更できないようにロックします。RPC 経由での SCB のロックは、
明示的に lockAcquire ファンクションを呼び出だすか、もしくはオペレーションがロックを必要と
する時に暗黙の内に実行されます。どちらの場合も、アプリケーションはロックを取得して、構成情
報が他者によってロックされていても適切に処理することを検証することを忘れないでください。
(例えば、他のユーザーが Web インターフェースから構成情報にアクセスしている場合)
SCB ロック時の動作に関する詳細については、4.2.2 複数の Web ユーザーとロックを参照してくださ
い。
19.4
RPC API のドキュメント
SCB RPC API のドキュメントは、SCB Web インターフェースからオンラインで利用できます。:
Basic Settings > Management > RPC API settings > Open documentation を選択するか、直接次
の URL を指定します。: https://<ip-address-of-SCB>/rpc-api-doc/ このドキュメントは、利用
できるサービスやクラスの詳細な記述を含んでいます。
19.5
RPC API の SCB アクセス有効化
目的:
ここでは、RPC API 接続を SCB で許可する設定手順について説明します。
Steps:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
522
Step 1.
SCB Web インターフェースへログインします。
Step 2.
Basic Settings > Management > RPC API settings > Enable RPC API を選択します。
図 19-1 SCB への RPC API からのアクセスの有効化
Step 3.
Commit をクリックします。
Expected result(期待される結果):
Access RPC API 権 限 で 読 み 書 き / 実 行 権 限 ( read and write/perform ) を 持 つ
ユーザーグループに所属するユーザーアカウントは、RPC API 経由で SCB にアクセスで
きます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
523
20
ベストプラクティスと設定例
この章では、SCB の設定について順を追って説明します。
20.1 SCB での公開鍵認証設定
保護対象のサーバーがユーザーから公開鍵を要求する場合、以下のいずれかの処理を行いま
す。
20.1.1 ローカル鍵での公開鍵認証の設定では、SCB でのサーバー側接続に使用さ
れるユーザーの公開鍵と秘密-公開鍵ペアを SCB でローカルに保存します。
20.1.2 LDAP サーバーと固定鍵による公開鍵認証の設定では、LDAP サーバーから
ユーザーの公開鍵を受け取り、サーバー側接続でローカル保存した秘密-公開鍵
ペアを使用します。
20.1.3 LDAP サーバーと生成された鍵による公開鍵認証の設定では、SCB は LDAP
サーバーからユーザーの公開鍵を受け取り、サーバー側接続に使われる鍵ペアを
on the fly(必要時に動的に)生成し、ペアの公開鍵を LADP データベースにアップロ
ードします。この方法では、サーバーは SCB をユーザーの(新しく生成した)公開鍵
で認証できます。
20.1.1
ローカル鍵での公開鍵認証の設定
目的:
ここでは、サーバー側接続で使われるユーザー公開鍵と秘密-公開鍵ペアを SCB 上で保存する
手順について説明します。
Steps:
Step 1.
SSH Control > Authentication Policies に進み、新しい認証ポリシーを作成します。
Step 2.
Client-side gateway authentication backend > Local > Publickey を選択し、他の選択を
解除します。
Step 3.
Relayed authentication methods > Publickey > Map を選択し、他の選択を解除します。
Step 4.
Local User Database のドロップダウンリストから、適切なユーザーグループを選択します。
ローカルユーザーデータベースの作成とメンテナンスについての情報については、7.13
ローカルユーザーデータベースの作成を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
524
Step 5.
Commit をクリックします。
Step 6.
さらにユーザーを追加するには、構成済みのローカルユーザーデータベースを更新する
か、追加のローカルユーザーデータベースに対して、追加の認証ポリシーを構成するた
めにいままでの手順を繰り返します。
Step 7.
SSH Control > Connections に進み、新しい接続を作成します。
Step 8.
From フィールドにクライアントの IP アドレス、To フィールドにサーバーの IP アドレスを入
力します。
Step 9.
Authentication Policy フィールドで、Step 1 で作成した認証ポリシーを選択します。
Step 10. 必要に応じて、他のオプションを設定します。
Step 11. Commit をクリックします。
Step 12. 上記の設定をテストするために、クライアントからサーバーへ接続を開始します。
20.1.2
LDAP サーバーと固定鍵による公開鍵認証の設定
目的:
ここでは、LDAP サーバーからユーザーの公開鍵を取り込み、ローカル保存された秘密-公開鍵ペ
アをサーバー側接続で使用する手順について説明します。
ヒント
2048-bit RSA 鍵 (または、それ以上の強度の鍵)の使用を推奨します。
Steps:
Step 1.
SSH Control > Authentication Policies に進み、新しい認証ポリシーを作成します。
Step 2.
Client authentication backend > LDAP > Publickey を選択し、他の選択を解除します。
Step 3.
Server authentication methods > Publickey > Fix を選択し、他の選択を解除します。
Step 4.
Private key 選択し
をクリックします。ポップアップウィンドウが表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
525
Step 5.
Browse(参照)をクリックしてユーザーの秘密鍵を選択するか、または鍵を Copy-paste
フィールドに貼り付けます。Password フィールドに、秘密鍵のパスワードを入力し Upload
(アップロード)をクリックします。
ユーザーの秘密鍵が入手できない場合は、Generate(生成)をクリックして新しい秘密鍵
を生成します。Generate key(鍵の生成)フィールドで鍵サイズを設定できます。この場合、
忘れずに SCB から公開鍵をエクスポートしサーバーにインポートして下さい。SCB から
鍵をエクスポートするには、鍵をクリックしローカル コンピューターに保存します。
注記
SCB のパスワード長は150文字までです。SCB のパスワードには、以下
の特殊文字を含めることができます。
!"#$%&'()*+,-./:;<=>?@[\]^-`{|}
Step 6.
Server side (private and public key)(サーバー側の秘密-公開鍵)フィールドで鍵のフィン
ガープリントをクリックし、公開鍵を保存します。この公開鍵を忘れずにサーバーにイン
ポートして下さい。この新しい認証ポリシーを使う全ての接続がサーバー側でこの鍵ペ
アを使います。
Step 7.
Commit をクリックします。
Step 8.
Policies > LDAP Servers に進み、
Step 9.
LDAP サーバーのパラメーターを入力します。詳細については、7.9 LDAP サーバーでの
をクリックして新しい LDAP ポリシーを作成します。
ユーザー認証を参照してください。
Step 10. Publickey 属 性 値 が sshPublicKey で は な い 場 合 、 Publickey attribute name
(Publickey 属性名)フィールドにユーザーの公開鍵を保存する LDAP 属性の名前を入力
します。
注記
LDAP データベースに保存する公開鍵は、OpenSSH 形式でなけ
ればなりません。
Step 11. SSH Control > Connections に進み、新しい接続を生成します。
Step 12. From フィールドにクライアントの IP アドレスと To フィールドにサーバーの IP アドレスを
入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
526
Step 13. Authentication policy(認証ポリシー)リストから、Step 1 で作成した認証ポリシーを選択
します。
Step 14. LDAP server リストから、Step 7 で作成した LDAP ポリシーを選択します。
Step 15. サーバーが特定の IP アドレスのユーザーのみを受け入れる場合、SNAT セクションで
Use original IP address of the client(クライアントのオリジナル IP アドレスを使用する)ラ
ジオボタンを選択します。
Step 16. 必要に応じて、他の接続オプションを設定します。
Step 17. Commit をクリックします。
Step 18. 上記の設定をテストするため、クライアントマシンからサーバーに接続を開始します。
20.1.3
LDAP サーバーと生成された鍵による公開鍵認証の設定
目的:
ここでは、LDAP サーバーからユーザーの公開鍵の取り込み、サーバー側の接続で使用される鍵
ペアを SCB に on the fly(必要な時に動的に)生成させ、この鍵ペアの公開鍵を LDAP データベー
スにアップロードする手順について説明します。
Steps:
Step 1.
SSH Control > Authentication Policies に進み、新しい認証ポリシーを作成します。
Step 2.
Client authentication backend > LDAP > Publickey を選択し、他の選択を解除します。
Step 3.
Server authentication methods > Publickey > Publish to LDAP を選択し、他の選択を解
除します。
Step 4.
Commit をクリックします。
Step 5.
Policies > LDAP Servers で
Step 6.
LDAP サーバーのパラメーターを入力します。詳細については、7.9 LDAP サーバーでの
をクリックし、新しい LDAP ポリシーを作成します。
ユーザー認証を参照してください。
Step 7.
Publickey 属 性 値 が sshPublicKey で は な い 場 合 、 Publickey attribute name
(Publickey 属性名)フィールドにユーザーの公開鍵を保存する LDAP 属性の名前を入力
します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
527
注記
LDAP データベースに保存する公開鍵は、OpenSSH 形式でなけ
ればなりません。
Step 8.
Generated publickey attribute name(生成した publickey 属性名)フィールドに、SCB が生
成した鍵をアップロードする LDAP 属性名を入力します。
Step 9.
Commit をクリックします。
Step 10. SSH Control > Connections に進み、新しい接続を作成します。
Step 11. From フィールドにクライアントの IP アドレスと To フィールドにサーバーの IP アドレスを
入力します。
Step 12. Authentication policy(認証ポリシー)リストから、Step 1 で作成した認証ポリシーを選択
します。
Step 13. LDAP server リストから、Step 7 で作成した LDAP ポリシーを選択します。
Step 14. サーバーが特定の IP アドレスのユーザーのみを受け入れる場合、SNAT セクションで
Use original IP address of the client(クライアントのオリジナル IP アドレスを使用する)ラ
ジオボタンを選択します。
Step 15. 必要に応じて、他の接続オプションを設定します。
Step 16. Commit をクリックします。
Step 17. 上記の設定をテストするため、クライアントマシンからサーバーに接続を開始します。
20.2
Bastion(バスシオン)モードでの接続
SCB を Bastion(バスシオン)モードで使用する場合、管理者は保護サーバーにアクセスするため
SCB の外部インターフェースをアドレス指定しなければなりません。管理者が1台以上の保護サー
バーにアクセスする場合、SCB は管理者がアクセスしたいサーバーを決定できなければなりませ
ん。各保護サーバーに対し、管理者は外部インターフェースの異なるポート、または外部インター
フェースの異なるエイリアス IP アドレスを指定する必要があります。
20.2.1
ポート番号ベースの接続
目的:
BalaBit Shell Control Box 4 LTS
Rev. 1.0
528
ここでは、ポート番号ベースで接続を編成する手順について説明します。
ポート番号ベースでの接続の編成は、SCB の外部インターフェースが公開 IP アドレスを持ち、イン
ターネットから保護サーバーを管理する場合に有利です。
Steps:
Step 1.
SSH Control > Connection に進みます。
Step 2.
新しい接続を追加します。From フィールドに管理者の IP アドレスを入力し、Target フィー
ルドにサーバーの IP アドレスとポート番号を入力します。
Step 3.
To フィールドに SCB の外部インターフェースの IP アドレス、Port フィールドにポート番号
を入力します。
Step 4.
全ての保護サーバーに対して、Step 2-3 を繰り返します。しかし Step 3 では毎回異なる
ポート番号と入力します。
警告
ポート 22 または 443 を使用したい場合や管理接続がネットワー
クインターフェースで有効な場合は、インターフェース上にエイリ
アス IP アドレスを作成し接続ポリシーでエイリアス IP を使用して
下さい。
ポート 22 と 443 は、管理接続が有効なインターフェースのメイン
の IP アドレスで SCB アクセスに予約されています。エイリアス IP
アドレスの設定に関する詳細については、4.3 ネットワーク設定を
参照してください。
Step 5.
Commit をクリックします。管理者は保護サーバーに SCB の外部インターフェースの IP
アドレスに接続してアクセスし、ポート番号によりアクセスするサーバーを選択します。
20.2.2
エイリアス IP アドレスベースの接続
目的:
SCB の外部インターフェースがプライベートネットワークに接続されており、多数のプライベート IP
アドレスが使用可能である場合は、エイリアス IP アドレスベースの接続が有利です。ここではこの
設定手順について説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
529
Steps:
Step 1.
Basic Settings > Network に進みます。
Step 2.
External Interface(外部インターフェース)で、
をクリックして外部インターフェースに新
しいエイリアス IP アドレスを追加します。全ての保護サーバーに対しこの Step を繰り返し
ます。毎回異なる IP アドレスを使用します。
Step 3.
SSH Control > Connections に進みます。
Step 4.
新しい接続を追加します。From フィールドに管理者の IP アドレスを、Target フィールドに
サーバーの IP アドレスとポート番号入力します。
Step 5.
To フィールドに、SCB の外部インターフェースのエイリアス IP アドレスを入力します。
警告
SCB の管理インターフェースが設定されていない場合、外部イン
ターフェースのプライマリーIP アドレスを使用しないでください。こ
の IP アドレスを使用すると SCB の SSH サーバーにアクセスでき
ません。
Step 6.
Step 4-5 を全ての保護サーバーに繰り返します。Step 5 では毎回異なるエイリアス IP ア
ドレスを入力します。
Step 7.
Commit をクリックします。管理者は SCB 外部インターフェースのエイリアス IP アドレスに
接続して保護サーバーにアクセスできます。エイリアス IP アドレスはどのサーバーにアク
セスするかを決定します。
20.2.3
SSH による Bastion(バスシオン)モードの SCB ホストへのアクセス
管理インターフェースを設定していない場合、外部インターフェースの SSH ポート 22 でのみ SCB
ホストにアクセスできます。しかし外部インターフェースのプライマリーIP アドレスとポート 22 が接
続ポリシーで使用されていると、SCB をターゲットとする SSH 接続は保護サーバーにリダイレクトさ
れ、SCB へは SSH でアクセスできません。
接続ポリシーで外部インターフェースのポート 22 は使用しないでください。代わりに他のポート番
号またはエイリアス IP アドレスを使用します。詳細については、20.2.1 ポート番号ベースの接続と
20.2.2 エイリアス IP アドレスベースの接続を参照してください。可能であればこの方法を使用しま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
530
SCB の SSH サーバーの有効化に関する詳細については、6.4.2 SCB ホストへの SSH アクセスの
許可を参照してください。
20.3
非透過 Bastion(バスシオン)モードの設定
目的:
非透過モードでは、1つの接続ポリシーを作成し、ユーザー名にターゲットサーバー名を含む(例:
ssh username@targetserver@scb_address)ことで任意のサーバーにアクセスできます。
ここでは、非透過モード設定手順について説明します。
注記
非透過モードは、一般的に Bastion(バスシオン)モードで使用されます
が、他のモードでも動作します。
Steps:
Step 1.
メインメニューから接続タイプ(例: SSH Control > Connections)を選択します。
SSH 接続を構成するには、Secure Shell Control を選択します。
リモートデスクトップ接続を構成するには、RDP Control を選択します。
注記
Telnet プロトコルの非透過モードはサポートされていません。
Step 2.
Step 3.
をクリックして、接続を識別する名前(例: admin_mainserver)を入力します。
From フィールドにサーバーアクセスを許可されたクライアントの IP アドレスを入力します。
をクリックして追加クライアントを登録します。
Step 4.
To フィールドに SCB 外部インターフェースの IP アドレスを入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
531
警告
非透過モードで SSH 接続を使用する場合、クライアントは SCB 外
部インターフェースのポート 22 でアクセスしないでください。SCB
をリモートメンテナンスでアクセスできなくなります。詳細について
は、20.2.3 SSH による Bastion(バスシオン)モードの SCB ホスト
へのアクセスを参照してください。
Step 5.
をクリックして接続の詳細を表示し、Inband destination selection(帯域内宛先の選
択)を選択します。
Step 6.
DNS server フィールドに、ユーザー名からサーバーアドレスを解決する DNS サーバーの
IP アドレスまたはホスト名を入力します。
Step 7.
クライアントがサーバーの指定にドメイン名を含まない場合
(例: [email protected] ではなく username@server を使用)
SCB は自動的にドメイン情報(例: example.com)を追加します。Append domain(ドメ
イン追加)フィールドに追加するドメイン名を入力します。
注記
Append domain(ドメイン追加)フィールドに値が入力されている場
合、SCB は常にこのサフィックスをホスト名に加えます。DNS サフ
ィックスを特定する場合は、クライアントが要求にドメイン名を含ま
ないことをご確認ください。
ヒント
Windows RDP クライアントは、通常ユーザー名の先頭 9 文字のみ
をサーバーに送信するので、Nontransparent (非透過)オペレー
ションが難しくなります。Append domain パラメータは、欠けている
部分を完全にするために使用できます。また、RDP 接続の開始
時にユーザー名を含む必要はありません(例えば、@server の
みを使用)。ユーザーはグラフィカルログイン画面で、後からユー
ザー名を入力することができます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
532
Step 8.
をクリックし、Targets(ターゲット)フィールドに、ユーザーがアクセスを許可されたサー
バーのアドレスを入力します。IP アドレス/ネットマスク(例: 192.168.2.16/32)形式
を使用する、もしくはクライアントがアクセスするサーバーのホスト名を入力します。ホス
ト名は * と ? のワイルドカード文字を含む場合があります。前の Step で Append
domain(ドメイン追加)を設定済みであれば、ホスト名に DNS サフィックスを含まないでく
ださい。
クライアントが IP アドレスを使用してサーバーをアドレス指定する場合、Targets(ターゲ
ット)リストにサーバーの IP アドレスが含まれていることをご確認ください。これは、SCB
はホスト名を IP アドレスに解決しますが、逆に、IP アドレスをホスト名に解決しないため
です。そのためサーバーホスト名だけがリストされ、クライアントが IP アドレスでサーバー
を指定する場合、SCB は接続を拒否します。
Step 9.
クライアントがサーバーの任意ポートでアクセスする場合は、Port フィールドを空欄しま
す。もしくはポートを指定する場合は、特定のポートを入力します。
Step 10. 必要に応じて、他の接続パラメーターを設定します。
Step 11. Commit をクリックします。
20.4
非透過 Bastion(バスシオン)モードの使用
ここでは、SSH 接続を確立するインバンド(inband)宛先選択を使用した例を説明します。標準でな
いポートやゲートウェイ認証が使用されるシナリオを含んでいます。
いくつかのクライアントアプリケーションでは、ユーザー名に @ や : の文字を許可していないた
め、代わりの文字を同様に使うことができます。
ユーザー名とターゲットサーバーを分けるには、@, % 文字
例) username%targetserver@scb_address
ターゲットサーバーとポート番号を分けるには、:, +, / 文字
例) username%targetserver+port@scb_address
20.4.1
PuTTY でのインバンド(inband)宛先選択の使用
ここでは、Putty で SCB 経由の SSH 接続を確立する手順を説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
533
Step 1.
ユーザー名、ターゲットサーバーのホスト名(または IP アドレス)と SCB のホスト名(また
は IP アドレス)を、PuTTY 内の<username>@<server>@<scb>フォーマットを使用して入力
します。
例:
次の値を仮定します。
ユーザー名: training1
ターゲットサーバー: linux.training.balabit
SCB サーバー: scb
PuTTY に次の宛先を入力します。:
[email protected]@scb
図 20-1 PuTTY での SSH インバンド(inband)宛先の設定
Step 2.
代替アプローチ:
Step a. PuTTY で SCB のホスト名(または IP アドレス、設定によります)を入力しま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
534
Step b. ログインプロンプトで、ターゲットサーバー上のユーザー名とターゲットサー
バーのホスト名(または IP アドレス)を<username>@<server>フォーマットを
使用して入力します。
20.4.2
OpenSSH でのインバンド(inband)宛先選択の使用
ここでは、SCB 経由の SSH 接続を確立する手順を説明します。
Step 1.
次のコマンドを入力します。:
# ssh <username>@<server>@<scb>
ここで、 <username> はユーザー名、<server> はターゲットサーバーのホスト名(ま
たは IP アドレス)、<scb> は SCB のホスト名(または IP アドレス)です。
例:
次の値を仮定します。
ユーザー名: training1
ターゲットサーバー: linux.training.balabit
SCB サーバー: scb
次のコマンドを入力できます。:
# ssh [email protected]@scb
Step 2.
代替アプローチ:
Step a. SCB のホスト名(または IP アドレス、設定によります)だけを入力します。 #
ssh <scb>
Step b. ログインプロンプトで、ターゲットサーバー上のユーザー名とターゲットサー
バーのホスト名(または IP アドレス)を<username>@<server>フォーマットを
使用して入力します。
20.4.3
PuTTY でのインバンド(inband)選択と標準でないポートの使用
ここでは、標準でないポートがリスニングされているサーバー(Inband destination selection >
Targets > Port オプションが 22 番でない。)でクライアントがターゲットにしたポート番号は標準でな
いポート(Connection Policy の To > Port オプション)での、SSH 接続を確立する手順について説
明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
535
Step 1.
PuTTY で次の通り入力します。
Step a. Host Name フィールドで、ターゲットサーバー上のユーザー名、ターゲットサ
ーバーのホスト名(または IP アドレス)とポート番号、SCB のホスト名(また
は IP アドレス)を <username>@<server>:<port>@<scb>フォーマットで入力
します。
Step b. Port フィールドで、SCB サーバーのポート番号を入力します。
例:
次の値を仮定します。
ユーザー名: training1
ターゲットサーバー: 192.168.60.100
ターゲットサーバーのリスニングポート: 2121
SCB サーバー: scb
SCB サーバーのリスニングポート: 4444
PuTTY に次の宛先ホスト名を入力できます。:
[email protected]:2121@scb
SCB サーバーの宛先ポート番号も変更します。: 4444
BalaBit Shell Control Box 4 LTS
Rev. 1.0
536
図 20-2 PuTTY で標準ポートでない SSH インバンド(inband)宛先の設定
Step 2.
代替アプローチ:
Step a. PuTTY で SCB のホスト名(または IP アドレス、設定によります)とポート番
号だけを入力します。
Step b. ログインプロンプトで、ターゲットサーバー上のユーザー名とターゲットサー
バ ー の ホ ス ト 名 ( ま た は IP ア ド レ ス ) と ポ ー ト 番 号 を
<username>@<server>:<port>フォーマットを使用して入力します。
20.4.4
OpenSSH でのインバンド(inband)選択と標準でないポートの使用
ここでは、標準でないポートがリスニングされているサーバー(Inband destination selection >
Targets > Port オプションは 22 番ではありません。)でクライアントがターゲットにしたポート番号は
標準でないポート(Connection Policy の To > Port オプション)での、SSH 接続を確立する手順に
ついて説明します。
Step 1.
次のコマンドを入力します。:
# ssh –p <scb_port> <username>@<server>:<port>@<scb>
BalaBit Shell Control Box 4 LTS
Rev. 1.0
537
ここで、 <scb_port> は SCB のポート番号、<username> はターゲットサーバー上
のユーザー名、<server> はターゲットサーバーのホスト名(または IP アドレス)、
<port> はターゲットサーバーのポート番号、<scb> は SCB のホスト名(または IP
アドレス)です。
例:
次の値を仮定します。
ユーザー名: training1
ターゲットサーバー: 192.168.60.100
ターゲットサーバーのリスニングポート: 2121
SCB サーバー: scb
SCB サーバーのリスニングポート: 4444
次のコマンドを入力できます。:
# ssh –p 4444 [email protected]:2121@scb
Step 2.
代替アプローチ:
Step a. SCB のホスト名(または IP アドレス、設定によります)とポート番号だけを入
力します。 # ssh –p <scb_port> <scb>
Step b. ログインプロンプトで、ターゲットサーバー上のユーザー名とターゲットサー
バ ー の ホ ス ト 名 ( ま た は IP ア ド レ ス ) と ポ ー ト 番 号 を
<username>@<server>:<port>フォーマットを使用して入力します。
20.4.5
PuTTY でのインバンド(inband)宛先選択とゲートウェイ認証の使用
SCB はゲートウェイに対して SSH 接続の確立を試みるユーザーを認証できます。(詳細について
は、17.2 ゲートウェイ認証の設定を参照してください。)PuTTY でゲートウェイログイン証明書を提
供できます。
Step 1.
ゲートウェイユーザー名、ターゲットサーバー上のユーザー名、ターゲットサーバーのホ
ス ト 名 ( ま た は IP ア ド レ ス ) 、 SCB の ホ ス ト 名 ( ま た は IP ア ド レ ス ) を
gu=<gatewayusername>@<username>@<server>@<scb>フォーマットを PuTTY で入力しま
す。
例:
次の値を仮定します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
538
ユーザー名: training1
ターゲットサーバーのユーザー名: root
ターゲットサーバー: 192.168.60.100
SCB サーバー: scb
PuTTY に次の宛先を入力できます。:
gu=training1@[email protected]@scb
図 20-3 PuTTY で SSH インバンド(inband)宛先とゲートウェイ認証の設定
Step 2.
代替アプローチ:
Step a. PuTTY で SCB のホスト名(または IP アドレス、設定によります)だけを入力
します。
Step b. ログインプロンプトで、ターゲットサーバー上のユーザー名とターゲットサー
バーのホスト名(または IP アドレス)を<username>@<server>フォーマットを
使用して入力します。
Step c.
プロンプトが表示されたら、ゲートウェイユーザー名を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
539
20.4.6
OpenSSH でインバンド(inband)宛先選択とゲートウェイ認証の使用
SCB はゲートウェイに対して SSH 接続の確立を試みるユーザーを認証できます。(詳細について
は、17.2 ゲートウェイ認証の設定を参照してください。)ここでは、ゲートウェイログイン証明書を提
供する手順を説明します。
Step 1.
次のコマンドを入力します。:
# ssh gu=<gatewayusername>@<servername>@<server>@<scb>
ここで <gatewayusername> はゲートウェイユーザー名、<username> はターゲッ
トサーバー上のユーザー名、<server> はターゲットサーバーのホスト名(または IP
アドレス)、<scb> は SCB のホスト名(または IP アドレス)です。
例:
次の値を仮定します。
ユーザー名: training1
ターゲットサーバーのユーザー名: root
ターゲットサーバー: 192.168.60.100
SCB サーバー: scb
次のコマンドを入力できます。:
# ssh gu=training1@[email protected]@scb
Step 2.
代替アプローチ:
Step a. SCB のホスト名(または IP アドレス、設定によります)だけを入力します。
# ssh <scb>
Step b. ログインプロンプトで、ターゲットサーバー上のユーザー名とターゲットサー
バーのホスト名(または IP アドレス)を<username>@<server>フォーマットを
使用して入力します。
Step c. プロンプトが表示されたら、ゲートウェイユーザー名を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
540
21
SCB シナリオ
この章では SCB の共通のシナリオについて説明します。
21.1
公開鍵を使った AD における SSH ユーザーマッピングと
鍵マッピング
目的:
あるユーザーは、UNIX サーバーの管理者ユーザーについて、SSH でのパスワード認証を無効に
したいと思っています。しかし、ユーザーは Active Directory を使用しており、ゲートウェイ認証で毎
回ログインするたびにユーザー名/パスワードを入力したくありません。そのため、ユーザーには、
シングルサインオン(SSO)のようなシステムが必要です。そこでは、1つのグループのみが root
としてログインし、他のグループは XY ユーザーとしてサーバーにログインします。
Steps:
Step 1.
LDAP 認証ポリシーを作成します。新しい認証ポリシーの作成に関する詳細については、
11.3 Authentication Policy (認証ポリシー)を参照してください。このシナリオでは、重要
な点のみハイライトします。
Step a. Client authentication backend(クライアント認証バックエンド)フィールドで、
LDAP を選択し、クライアント側で使用する Authentication method(認証方
法)を設定します。これは認証のためにゲートウェイが公開鍵を得る Active
Directory です。Authentication method(認証方法)で Publickkey を有効に
し、他の方法を無効にします。
Step b. Server authentication methods ( サ ー バ ー 認 証 方 法 ) フ ィ ー ル ド で 、
Publickey を有効にし、他の方法を無効にします。Publickey で、エンドユー
ザーが鍵を知らないようにするため、Server side private and public key(サ
ーバー側の秘密鍵と公開鍵)を Map に設定します。
Step c. このポリシーの下部にある
をクリックします。
Step d. Username(ユーザー名)フィールドに、ユーザー名(例: root)を入力しま
す。Private key(秘密鍵)を生成し、公開部分をサーバーにアップロードしま
す。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
541
Step 2.
Active Directory をセットアップする LDAP サーバーポリシーを設定します。LDAP サーバ
ーでのユーザー認証に関する詳細については、7.9 LDAP サーバーでのユーザー認証を
参照してください。このシナリオでは、重要な点のみハイライトします。
ドメイン名が DEMO.balabit の場合、以下のように入力します。
Step 3.
Base DN:
DC=DEMO, DC=balabit
Bind DN:
CN=Administrator, CN=Users, DC=DEMO, DC=balabit
Bind Password: <管理者パスワード>
Publinkey attiribute name: sshPublicKey
初期設定では、Active Directory は SSH 公開鍵を保存する属性を持ちません。この問題
を解決するには、以下を実行します。
Step a. レジストリーを使ってスキーマ更新を有効にします。
スタート > ファイル名を指定して実行フィールドに、regedit と入力
し、Enter を押します。
次のレジストリーキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serv
ices\NTDS\Parameters
編集 > 新規 > DWORD 値をクリックします。
次のレジストリー値を入力します。
値の名前: Schema Update Allowed
種類: REG_DWORD 注記
ベース: Binary
1はこの機能を有効に、0 は無効にします。
値のデータ: 1
レジストリーエディタを終了します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
542
Step b. スキーマのスナップインをインストールするには、スタート > ファイル名を
指定して実行フィールドに、cmd と入力して Enter を押します。
コマンドプロンプトが開きます。
regsvr32 schmmgmt.dll と入力し、Enter を押します。
図 21-1 スキーマ スナップインのインストール
Step c. スタート > ファイル名を指定して実行フィールドに、mmc と入力し、Enter を
押します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
543
Step d. ファイル > スナップインの追加と削除 で、Active Directory スキーマを選
択して追加をクリックします。
図 21-2 スナップインの追加と削除
Step e. Active Directory スキーマを展開し、属性を右クリックします。
Step f.
属性の作成をクリックします。警告が表示されるので続行をクリックします。
図 21-3 属性の作成 – 警告
Step g.
共通名と LDAP 表示名に sshPublicKey を入力します。
Step h. 一意な X500 オブジェクト ID に、1.3.6.1.4.1.24552.1.1.1.13 を入
力します。
Step i.
構文から、IA5-String を選択します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
544
Step j.
複数値を有効にし、OK をクリックします。
図 21-4 新しい属性の作成
Step k.
クラスを右クリックし、クラスの作成をクリックします。警告が表示されたら
続行をクリックします。
Step l.
共通名と LDAP 表示名に、ldapPublicKey と入力します。
Step m. 一意な X500 オブジェクト ID に、1.3.6.1.4.1.24552.500.1.1.2.0
を入力します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
545
Step n. 親クラスに top と入力し、クラスの種類で Auxiliary(補助型)を選択します。
図 21-5 新しいスキーマ クラスの作成
BalaBit Shell Control Box 4 LTS
Rev. 1.0
546
Step o. 次へクリックし、オプションフィールドに sshPublicKey を追加し、完了を
クリックします。
図 21-6 新しいスキーマ クラスの作成(オプション)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
547
Step p. クラスを展開し、user を選択します。user を右クリックしてプロパティを選択
します。関係
> 補助型クラスで、クラスの追加をクリックし
ldapPublicKey クラスを追加し、適用をクリックします。
図 21-7 user プロパティ
Step 4.
次の Step で公開鍵をユーザーにマップします。ユーザーエディタでは作業できないので、
低レベルの LDAP ユーティリティを使用します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
548
Step a. スナップインの追加と削除で、ADSI エディタを追加します。
図 21-8 ADSI エディタの追加
Step b. ノードを右クリックし、Enter を押します。
Step c. ツリーでユーザーを見つけて右クリックし、プロパティを選択します。そこで
は 全 ての 属性 を編集 できる の で 、sshPublicKey も 編 集 できます 。
openssh に1つずつ公開鍵を追加します。
Step 5.
ユーザーマッピングポリシーを作成し、Active Directory からルートになれるグループを
設定します。ユーザーマッピングポリシーの作成に関する詳細については、17.1 ユーザ
ーマッピングポリシーの設定を参照してください。このシナリオでは、重要な点のみハイ
ライトします。
Step a. Username に root を設定し、権限を与えるグループを選択します。
Step b. ユーザーマッピング無しで他のユーザーを許可する場合は、Allow other
unmapped username(マッピングされていないユーザーを許可する)を有効
にします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
549
22 SCB のトラブルシューティング
ここでは、ネットワークの問題を検出するツールや、コアファイルの収集や SCB のシスログの見方
を説明します。
22.1
ネットワークのトラブルシューティング
目的:
Troubleshooting(トラブルシューティング)メニューでは、ネットワークの問題を解決するための診
断用コマンドが複数提供されます。SCB のログファイルもここで閲覧できます。詳細については
22.3 SCB でのログ閲覧を参照してください。
図 22-1 SCB でのネットワークトラブルシューティング
以下のコマンドを利用できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
550
ping
ネットワーク接続をテストするために指定したホストに簡単なメッセージを送信しま
す。
traceroute
SCB から指定したホストに簡単なメッセージを送信して、メッセージのパス上の全て
のホストを表示します。これはホスト間でメッセージが辿ったパスをトレースするた
めに使用できます。
connect
指定したポートを使って指定したホストへの接続を試みます。これはターゲットホス
ト上でアプリケーションが稼動しているかどうかやステータスをテストするために使
用できます。
ここでは、上記のコマンドの実行手順について説明します。
Steps:
Step 1.
Basic Settings > Troubleshooting に進みます。
Step 2.
使用したいコマンドの Hostname(ホスト名)フィールドに、ターゲットホストの IP アドレスま
たはホスト名を入力します。Connect コマンドに関しては、Port(ポート)フィールドに、タ
ーゲットポートを入力します。
Step 3.
それぞれのアクションボタンをクリックして、コマンドを実行します。
Step 4.
ポップアップウィンドウに表示された結果を確認します。ログファイルは別のブラウザウィ
ンドウに表示されます。
22.2
システムの問題についてのデータ収集
何らかの理由で、システムの重要なソフトウェアコンポーネント(例えば、Zorp)がクラッシュした場
合、SCB は自動的にコアファイルを作成します。サポートチームが問題を特定する際、このコアフ
ァイルが大変役に立ちます。アラートが正しく設定されていれば(詳細については、4.6 SCB でのシ
ステム監視設定と 4.5 システムログ、SNMP、E メールアラートを参照してください)、コアファイルが
作成されると SCB の管理者はアラートメールと SNMP トラップを受信します。もし、監視が構成され
ていない場合に、アラートのリストを表示するには、Search > Log Alerts へ進みます。
作成されたコアファイルを一覧表示して、ダウンロードするには、Basic Settings > Troubleshooting
> Core files に進みます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
551
初期設定では、コアファイルは 14 日後に削除されます。削除の時間枠を変更するには、Basic
Settings > Management > Core files に進みます。
22.3
SCB でのログ閲覧
目的:
Troubleshooting メニューでは、SCB の様々なコンポーネントで生成されたログを閲覧するためのイ
ンターフェースが利用できます。ここでは、ログの閲覧手順について説明します。
注記
パフォーマンス上の理由から、2MB 以上のログファイルは Web インターフェ
ースには表示されません。このファイルにアクセスするには、ファイルをダ
ウンロードする必要があります。
Steps:
Step 1.
Basic Settings > Troubleshooting > View log files に進みます。
Step 2.
Logtype(ログタイプ)リストからメッセージタイプを選択します。
SCB
SCB の Web インターフェースのログ
syslog
SCB ホストの全てのシステムログ
ssh
SCB を通過する SSH 接続のログ
rdp
SCB を通過する RDP 接続のログ
telnet
SCB を通過する Telnet 接続のログ
vnc
SCB を通過する VNC 接続のログ
Step 3.
以下のいずれかのアクションを実行します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
552
Step 4.
ログファイルをダウンロードするには、Download(ダウンロード)をクリックします。
現在のログをリアルタイムで追跡するには、Tail をクリックします。
ログメッセージを表示するには、View(閲覧)をクリックします。
直近7日間のログメッセージを表示するには、希望の曜日を Day(曜日)フィールドから選
択して、View(閲覧)をクリックします。
ヒント
選択されたホストまたはプロセスのメッセージだけを表示するに
は、Message(メッセージ)フィールドに、ホストまたはプロセスの名
前を入力します。
Message フィールドは全体的なフィルターとして機能します。キー
ワードを含むメッセージや正規表現にマッチするメッセージだけを
表示するには、キーワードまたは正規表現を入力します。
22.4
SCB のログの詳細度の変更
目的:
SCB のログレベルは、プロトコルごとに個別に設定できます。ここでは、SCB の詳細度(verbosity
level)の変更手順について説明します。
注記
Basic Settings > Management > Debug logging > Enable debug logs オプショ
ンは、トラフィックログの詳細度とは関係ありません。このオプションは、例
えば SCB の Web インターフェースから実行されたコマンドをログに追加する
などの、ネットワークに関係ないイベントのログのレベルを上げるものです。
図 22-2 詳細度の変更
BalaBit Shell Control Box 4 LTS
Rev. 1.0
553
Steps:
Step 1.
ログレベルを変更したいトラフィックの Global Options(グローバルオプション)ページに進
みます。例えば、SSH トラフィックのログレベルを変更したい場合は SSH Control >
Global Options、リモートデスクトップトラフィックのログレベルを変更したい場合は RDP
Control > Global Options に進みます。
Step 2.
Verbosity level(詳細度)フィールドから、希望するログレベルを選択します。
注記
詳細度は 1(記録なし)から 10(極めて詳細)まであり、初期設定
の通常レベルとしてはレベル 4 が設定されています。複雑な問題
をデバッグするには、詳細度を 6 まであげる必要があるかもしれ
ません。それ以上のレベルは、特別な場合にだけ必要です。
詳細度を上げると大量のログメッセージが生成されることにご注
意下さい。
22.5
エラーレポート用のログとシステム情報の収集
目的:
サポート要求に応えるために、サポートチームはシステム状態とデバッグ情報の収集をお願いす
るかもしれません。この情報は自動的に収集されます。情報にはログファイル、SCB の設定ファイ
ル、様々なシステムの統計データなどが含まれます。
注記
鍵ファイルやパスワードのような扱いに注意が必要なデータは、ファイルか
ら自動的に削除されます。
Basic Settings > Management > Debug logging > Enable debug logs オプショ
ンは、ログメッセージの詳細度とは関連ありません。このオプションは、SCB
の Web インターフェースから記録するログに実行されたコマンドを追加しま
す。
システム状態の情報を収集するには、Basic Settings > Troubleshooting > System debug に進んで、
Collect and save current system state info(現在のシステム情報を収集し保存する)をクリックし、
BalaBit Shell Control Box 4 LTS
Rev. 1.0
554
作成された zip ファイルを保存します。
ファイル名の形式は、debug_info-<hostname>YYYYMMDDHHMM です。
ここでは、特定のエラーに関する情報を収集する手順について説明します。
Steps:
Step 1.
Basic Settings > Troubleshooting > System debug に進みます。
図 22-3 デバック情報の収集
Step 2.
Start(開始)をクリックします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
555
注記
デバッグモードを開始すると、SCB のログレベルがあがります。シ
ステムが高負荷の状態にある場合、パフォーマンスに問題が生じ
る可能性があります。
Step 3.
エラーを引き起こしたイベント、例えばサーバーへの接続を再現します。
Step 4.
Stop(停止)をクリックします。
Step 5.
Save the collected debug info(収集したデバック情報を保存する)をクリックして、作成さ
れた zip ファイルを保存します。
ファイル名の形式は、debug_info-<hostname>YYYYMMDDHHMM です。
Step 6.
サポートチケットにファイルを添付します。
22.6
ステータスヒストリーと統計データ
SCB では、Basic Settings > Dashboard のダッシュボードにシステムデータと性能に関する様々な
統計データとステータス履歴が表示されます。ダッシュボードは、基本的には System monitor(シ
ステムモニター)の拡張機能です。System monitor(システムモニター)には現在の値しか表示され
ませんが、ダッシュボードではシステムパラメーターのグラフや統計データを作成できます。
ダッシュボードは異なるモジュールから構成されています。それぞれのモジュールには当日のシス
テムパラメーターの履歴が表示されます。さらに長期間(過去1週間、過去1カ月、過去1年間)の
グラフを表示するには、それぞれ Week、Month、Year のオプションを選択して下さい。モジュール
をマウスオーバーすると、グラフを拡大したり、グラフで使用されているカラーコードを表示したりす
ることができます。
グラフ上でクリックすると、モジュールの統計データを選択した期間の表として表示できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
556
図 22-4 ダッシュボード
SCB のダッシュボードには、以下のモジュールが表示されます。
Connection statistics
プロトコルごとのアクティブな接続の数
Memory
システムで使用されているメモリ
Disk
異なるパーティションのファイルシステムの使用率
CPU
CPU の使用率
BalaBit Shell Control Box 4 LTS
Rev. 1.0
557
Network connections
ネットワーク接続の数
External interface
外部インターフェースのトラフィック
Internal interface
内部インターフェースのトラフィック
Management interface
管理インターフェースのトラフィック
Load average
システムの負荷の平均
Processes
稼動しているプロセスの数
22.6.1
カスタム接続統計データの表示
目的:
ここでは、特定の接続ポリシーの統計データを表示する手順について説明します。
Steps:
Step 1.
Basic Settings > Dashboard > Connection statistics に進みます。
Step 2.
接続ポリシーの統計データを表示する場合は、Connection(接続)フィールドに、ポリシ
ーの名前を入力します。
Step 3.
Select resolution フィールドから表示する期間を選択します。
Step 4.
View graph(グラフを表示する)をクリックします。
22.7
SCB クラスターのトラブルシューティング
ハイアベイラビリティクラスターに関する問題を解決するには、以下の節が役立ちます。
SCB クラスタとそのノード、DRBD データストレージシステムと(もし構成されていれ
ば)ハートビートインターフェースのとりうるステータスについての記述は、22.7.1
SCB クラスタのステータスの理解を参照してください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
558
故障したクラスターを復旧する方法に関する詳細については 22.7.2 両方のノードが
故障した場合の SCB 復旧を参照してください。
一時的にクラスターのノードが同時にアクティブな時、スプリットブレイン状況を解決
する方法に関する詳細については、22.7.3 スプリットブレイン状況からの復旧を参照
してください。
新しいアプライアンス製品で故障したノードのリプレースに関する詳細については
22.7.4SCB クラスターでの HA ノードのリプレースを参照してください。
22.7.1
SCB クラスタのステータスの理解
目的:
このセクションでは、SCB クラスタとそのノード、DRBD データストレージシステムと(もし構成されて
いれば)ハートビートインターフェースのとりうるステータスを説明します。SCB は、これらの情報を、
Basic Settings > High Availability ページに表示します。
Status(ステータス)フィールドは、SCB のノードがお互いに正しく認識しているかどうかと、ハイアベ
イラビリティモードで動作するように構成されているかどうかを示します。SCB の各ノードのステー
タスは、それぞれのノードの Node HA status (ノード HA ステータス)に表示されます。以下のステ
ータスをとりえます。
Standalone(単独): standalone モードで稼動している唯一の SCB ユニットがありま
す。または、ユニットがクラスターにまだ変換されていません。(Node HA status は
両方のノードで、standalone です。)ハイアベイラビリティモードを有効にするには、
Convert to Cluster (クラスターへの変換)をクリックします。
HA: 二つの SCB ノードが、ハイアベイラビリティモードで稼動しています。Node HA
status は、両方のノードで、HA です。そして、Node HA UUID は両方のノードで同じ
です。
Half(ハーフ): ハイアベイラビリティモードが適切に構成されていません。片方のノ
ードが standalone であり、残りのノードが HA モードです。HA モードのノードに接
続して、Join HA をクリックして、ハイアベイラビリティモードを有効化します。
Broken(ブロークン):2つの SCB ノードはハイアベイラビリティモードで稼動しており、
Node HA status は、両方のノードで HA です。しかし、Node HA UUID が異なります。
この場合、弊社にお問合せください。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
559
Degraded(縮退):SCB は、ハイアベイラビリティモードで稼動していますが、片方の
ノードが見つかりません。(たとえば、ノードが壊れて落ちている、ネットワークから
取り除かれた)。見つからないノードの電源を入れるか、再度接続するか、修理して
ください。
Degraded(Disk Failure)(縮退 ディスク障害):スレーブノードのハードディスクが正し
く動作しておらず、交換しなければなりません。交換用ハードディスクの要求と、ハ
ードディスクの交換の詳細については、弊社にお問合せください。
Degraded Sync(同期中):SCB ユニットはハイアベイラビリティモードで結合していま
すが、ディスクの初期同期が実行中です。同期が完了するまで、待ちます。ディスク
が大きくて、保存されたデータが多数ある場合、ディスクの同期には、数時間以上
かかります。
Split brain(スプリットブレイン):2つのノードがお互いに接続を失っています。この場
合、一時的に両方のノードが、アクティブ(マスター)である可能性があります。
警告
データ損失の危険性があります!貴重な監査トレイルが SCB の
片方のノードにだけある可能性があります。このため、データ損
失を避けるため、特別な注意が必要です。この問題を解決するに
は、22.7.3 スプリットブレイン状況からの復旧 を参照してくださ
い。
両方のノードの再起動や、シャットダウンは行わないでください。
Invalidated(無効化):どちらかのノードのデータが同期していないとみなされており、
もう片方のノードからデータを更新する必要があります。DRBD を手動で無効化して、
スプリットブレインから復旧するときに、この状況は普通発生します。
Converted(変換済み):(Convert to Cluster をクリックして)ノードをクラスターに変換
後、または、(Join HA をクリックして)ハイアベイラビリティモードを有効化した後で、
なおかつ、両方のノードの再起動前の状態。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
560
注記
起動時に、HA クラスターノードがお互いのノードを見つけられな
いために問題に遭遇 している ならば、 Basic Settings > High
Availability に進み、Make HA IP permanent を選択します。この
ようにして、ノードの HA インターフェースの IP アドレスは固定され
て、ノード間の HA 接続が遅い場合に改善します。
DRBD status (DRBD ステータス)フィールドは、(SCB の構成、監査トレイル、ログファイルなどを含
む)最新のデータが両方の SCB のノードで利用可能かどうかを示します。マスターノード(このノー
ド)は、データ損失を防ぐために、必ず、consistent ステータスでなければなりません。Inconsistent
ステータスは、ノードのデータが最新ではなく、最新のデータを持つノードから同期しなければなら
ないことを、意味します。
DRBD status フィールドは、SCB ノードのディスクシステム間の接続状況を示します。以下のステ
ータスをとりえます。
Connected(接続済み): 両方のノードは正常に機能しています。
Connected(Disk Failure) (接続済み-ディスク障害): スレーブノードのハードディスク
が正しく動作しておらず、交換しなければなりません。交換用ハードディスクの要求
と、ハードディスクの交換の詳細については、弊社にお問合せください。
Invalidated(無効化):どちらかのノードのデータが同期しておらず、もう片方のノード
からデータを更新する必要があります。DRBD を手動で無効化して、スプリットブレ
インから復旧するときに、この状況は普通発生します。
Sync source (同期元)または Sync target (同期先):あるノード(Sync target)が、片方
のノード(Sync source)からデータをダウンロードしています。
データを同期するとき、System monitor に進捗と残り時間が表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
561
警告
2つのノードがデータの同期中のとき、マスターノードを再起動し
たり、シャットダウンしないでください。どうしても、データの同期中
にマスターノードをシャットダウンしなければならない場合、スレー
ブノードを先にシャットダウンして、それから、マスターノードをシャ
ットダウンします。
Split brain(スプリットブレイン):2つのノードがお互いに接続を失っています。この場
合、一時的に両方のノードが、アクティブ(マスター)である可能性があります。
警告
データ損失の危険性があります!貴重な監査トレイルが SCB の
片方のノードにだけある可能性があります。このため、データ損
失を避けるため、特別な注意が必要です。この問題を解決するに
は、22.7.3 スプリットブレイン状況からの復旧を参照してください。
WFConnection(接続待ち):あるノードが、もう片方のノードを待っています。両方のノ
ードの接続がまだ確立されていません。
冗 長 ハ ー ト ビ ー ト イ ン ター フ ェー ス が 構 成 さ れ てい る 場 合 、 こ の ス テ ー タス は 、 Redundant
Heartbeat status (冗長ハートビート ステータス)フィールドに表示されます。また、System monitor
の HA > Redundant フィールドにも表示されます。冗長ハートビートインターフェースについては、
6.2.2 ハートビートインターフェースの冗長化設定を参照してください。
以下のステータスメッセージが表示されます。
NOT USED (未使用): 冗長ハートビートインターフェースが構成されていません。
OK: 正常動作。各々の冗長ハートビートインターフェースは正しく動作しています。
DEGRADED-WORKING (縮退動作): 2つ以上の冗長ハートビートインターフェース
が構成されており、少なくともひとつは正しく機能しています。新しい冗長ハートビー
トインターフェースが構成されたが、まだ、SCB クラスターのノードがまだ再起動して
いない場合に、このステータスが表示されます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
562
DEGRADED (縮退): 冗長ハートビートインターフェースの接続が失われた。問題を
調査して、接続を復旧します。
INVALID (不正): 冗長ハートビートインターフェースでエラーが発生しています。弊
社にお問合せください。
22.7.2
両方のノードが故障した場合の SCB 復旧
目的:
(例えば、停電などが原因で)両方のノードが同時に故障する場合や、マスターノードが復旧する
前にスレーブノードが故障することも起こりえます。ここでは、SCB を適切に復旧する手順につい
て説明します。
Steps:
Step 1.
電源ボタンを押して離し、両方のノードの電源を切ります。
警告
データ損失の危険性があります!SCB の電源が落ちない場合、
電源ボタンを4秒程度押したままにして下さい。この方法では、
SCB を通過する全ての接続が切断されて、データが消える可能
性があります。
Step 2.
SCB が故障する前にマスターだったノードの電源を入れます。どちらのノードがマスター
だったかを調べるには、システムログを確認して下さい(ノードがマスターとして起動した
場合、またはテイクオーバーが起こった場合、SCB はマスターノードを識別するログメッ
セージを送信します)。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
563
ヒント
SCB に保存されているログにアクセスできなくなった場合でも、メ
ッセージを利用できるリモートサーバーに SCB のログメッセージを
送信するようにリモートのログ書き込みを設定して下さい。リモー
トのログ書き込みを設定する方法に関する詳細については、4.5
システムログ、SNMP、E メールアラートを参照してください。
Step 3.
ノードの起動のプロセスが完了するまで待ちます。
Step 4.
もう1つのノードの電源を入れます。
22.7.3
スプリットブレイン状況からの復旧
目的:
スプリットブレイン状況は、クラスターノード間のネットワークリンクが一時的に切断されて、その間
に両方のノードがアクティブ(マスター)に切り替わってしまうことによって起こります。これによって
(例えば、監査トレイルなどの)新しいデータが片方のノードに複製されることなく両方のノードで作
成されてしまいます。したがって、この状況では、2種類の異なるデータが作成され、簡単にはマー
ジできなくなってしまいます。
警告
データ損失の危険性があります!スプリットブレイン状況では、重要な監査
トレイルが同期せずに両方の SCB ノードで利用できますので、データを失っ
てしまわないように特にご注意下さい。
ノード間の接続が復旧すると、SCB のクラスターノードは自動的にスプリットブレイン状況を認識し、
データの損失を避けるためデータの同期を行いません。スプリットブレイン状況が検出されると、
SCB の System monitor(システムモニター)上とシステムログに表示され( Split-Brain
detected, dropping connection)、SCB からアラートが送信されます。
ここでは、SCB クラスターをスプリットブレイン状況から復旧する手順について説明します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
564
警告
ノードをシャットダウンしないで下さい!
Steps:
Step 1.
Basic Settings > System > Traffic control に進んで、All services フィールドの Stop をク
リックし、一時的に SCB を通過する全てのトラフィックを無効にします。
Web インターフェースにアクセスできないまたは不安定な場合は、以下の Step を完了し
て下さい。
Step a. SCB に root としてローカルに(または SSH を使ってリモートから)ログイン
し、コンソールメニューにアクセスします。
Step b. Shells > Core Shell を選択し、zorpctl stop コマンドを発行します。
Step c. date を発行し、システム日時をチェックします。システム日付が正しくない
(例えば、2000 January と表示されている)場合、システムバッテリーを
取り替えます。詳細については、アプライアンスのハードウェアマニュアル
を参照してください。
Step d. 他の SCB ノードでも上記の Step を繰り返します。
Step 2.
(データ復旧のための任意の Step)
SCB に保存された監査トレイルをチェックします。
Step a. ローカルコンソールからノードにログインします。
Step b. Shells > Core Shell を選択し、cd /var/lib/zorp/audit と入力します。
監査トレイルは、このディレクトリの下にあります。
Step c. スプリットブレイン状況が発生してから、どのファイルが修正されたかを確
認します。直近の n*24 時間の間に修正されたファイルを見つけるには、
find . -mtime –n を使用します。直近の n 分間の間に修正されたファ
イルを見つけるには、find . –mmin –n を使用します。
Step 3.
これ以降どのノードをマスターとするかを決定して、スレーブノードにするノード上で以下
の Step を実行します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
565
Step a. ローカルコンソールからノードにログインします。
Step b. (データ復旧のための任意の Step)
Shells > Core Shell を選択して、cd /var/lib/zorp/audit と入力しま
す。監査トレイルは、このディレクトリの下にあります。
Step c. (データ復旧のための任意の Step)
スプリットブレイン状況が発生してから修正された監査トレイルのバックアッ
プをとります。
警告
このデータは、スプリットブレイン状況が解決すると
SCB ノードから削除されます。SCB のデータベース
にデータをインポートして戻す方法はありません。
このデータはオフラインでのみ使用できます。
Step d. (データ復旧のための任意の Step)
Search(検索)ページの対応する情報を保存するには、
su postgres -c 'pg_dump scb -f /tmp/database.sql'
コマンドを使って接続データベースをエクスポートし、その後
/tmp/database.sql ファイルをバックアップします。
Step e. (データ復旧のための任意の Step)
コンソールメニューに戻るには、exit と入力します。
Step f.
Shells > Boot shell を選択します。スレーブノードにするノードがまだスレー
ブノードになっていない場合、
/usr/share/heartbeat/hb_standby
コマンドを発行しクラスターを他のノードにフェイルオーバーします。
Step g.
/etc/init.d/boot-xcb stop コマンドを発行し、コアファームウェアを
停止します。
Step h. 以下のコマンドを発行し、DRBD を無効にします。
/sbin/drbdsetup /dev/drbd0 disconnect
/sbin/drbdsetup /dev/drbd0 invalidate
Step 4.
スレーブノードにするノードを再起動します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
566
Step 5.
マスターノードにするノードを再起動します。SCB クラスターが機能して、以前の通りトラ
フィックを受け付けます。
Step 6.
両方のノードを再起動した後、クラスターのステータスは Degraded Sync、マスターのス
テータスは SyncSource、スレーブのステータスは SyncTarget になります。マスターノード
は、スレーブノードとデータの同期を行います。データの量によっては、同期に時間がか
かることもあります。同期のスピードを調節するには、6.2.1DRBD の同期のスピードの調
節を参照してください。
22.7.4
SCB クラスターでの HA ノードのリプレース
目的:
ここでは、SCB クラスターのユニットを新しいアプライアンス製品でリプレースする手順について説
明します。
Steps:
Step 1.
動作ノードの HA ステータスを確認します。Basic Settings > High Availability を選択しま
す。ノードの一つが故障または見つからない場合は、Status フィールドに DEGRADED が
表示されます。
Step 2.
Gateway IP アドレス、Heartbeat インターフェースの IP アドレスと Next hop monitoring
インターフェースの IP アドレスを記録します。
Step 3.
フルシステムバックアップを実行します。ノードをリプレースする前に、動作ノードの完全
システムバックアップを作成します。詳細については、4.7 データと設定のバックアップを
参照してください。
Step 4.
動作ノードを起動して、ファームウェアバージョンをチェックします。Basic Settings >
System > Version details を選択し、正確なバージョン番号を記録します。
Step 5.
動作ノードと同じ SCB バージョンの ISO ファイルを用意します。
Step 6.
リプレースメントユニットをネットワークに接続せずに、ISO ファイルからインストールしま
す。必要に応じて、IPMI インターフェースを使用します。
Step 7.
インストールが終了したら、HA または 4 のラベルがあるイーサネットコネクター経由で
2つの SCB ユニットをイーサネットケーブルで接続します。
Step 8.
リプレースメントユニットを再起動(Reboot)し、ブートが終了するまで待ちます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
567
Step 9.
動作ノードにログインし、HA ステータスを確認します。Basic Settings > High Availability
を選択し、Status フィールドに HALF が表示されていることを確認します。
Step 10. Gateway IP アドレス、Heartbeat インターフェースの IP アドレスと Next hop monitoring
インターフェースの IP アドレスを再設定します。Commit をクリックします。
Step 11. Other node > Join HA をクリックします。
Step 12. Other node > Reboot をクリックします。
Step 13. リプレースメントユニットがリブートし、動作ノードからデータの同期が開始します。Basic
Settings > High Availability > Status フィールドに、同期が終了するまで DEGRADED
SYNC が表示されます。同期の時間は、ハードディスクの容量や保存されているデータ
量によります。
Step 14. 同期終了後、環境に必要な他のイーサネットケーブル(EXT または 1 を外部ネットワー
クに,INT または 3 を内部ネットワークに,MGMT または 2 を管理ネットワークに)を接続
します。
期待される結果(Expected result):
SCB クラスターのノードは、新しいアプライアンスにリプレースされます。
22.7.5
クラスターノード間での IP アドレスの重複の解決手順
2つのノードを接続する HA インターフェースの IP アドレスは、起動中に自動的に検出されます。あ
るノードがオンラインになるとき、IP アドレス 1.2.4.1 に接続に行きます。もしタイムアウトするまで
他のノードが応答しない場合、それ自身の HA インターフェースの IP アドレスを 1.2.4.1 に設定しま
す。そうでない場合(つまり、他のノードが 1.2.4.1 を使用しているとき)は、それ自身の HA インタ
ーフェースの IP アドレスを 1.2.4.2 に設定します。
交換したノードは、HA 構成情報(もしくは、その他の HA 設定)をまだ知りません。そこで、同じよう
に自動的に IP アドレスの問合せを行います。なんらかの理由で、ネットワークが非常に遅くて、時
間内にノードと接続できない場合、交換したノードは 1.2.4.1 の IP アドレスで起動します。他のノー
ドが既に同じ IP アドレスを設定している場合、IP アドレスの重複が発生します。この場合、交換し
たノードは HA クラスターに参加できません。
手動で、正しい IP アドレスをノードの HA インターフェースに割り当てるためには、以下の手順を実
BalaBit Shell Control Box 4 LTS
Rev. 1.0
568
施します。
Steps:
Step 1.
IPMI インターフェースか、物理コンソールからノードにログインします。
HA クラスターに参加できないので、構成変更は新しい(交換された)ノードには伝わって
いません。SCB の root ユーザーのデフォルトパスワードを用います。付録 2 BalaBit
Shell Control Box ハードウェア導入ガイドを参照してください。
Step 2.
コンソールメニューから、10 HA address を選択します。
図 22-5 コンソールメニュー
BalaBit Shell Control Box 4 LTS
Rev. 1.0
569
Step 3.
ノードの IP アドレスを選択します。
図 22-6 コンソールメニュー
Step 4.
ノードを再起動します。
22.8
SCB 設定とデータのリストア
目的:
ここでは、SCB の設定とデータを完全なバックアップからリストアする方法を説明します。例えば、
ハードウェア交換後などに利用できます。
Steps:
Step 1.
バックアップサーバーに接続し、SCB がバックアップを保存するディレクトリに移動します。
設定のバックアップは config サブディレクトリのタイムスタンプ付ファイルに保存されま
す。最新の設定ファイルを見つけます(設定ファイルは、SCB-timestamp.config)。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
570
Step 2.
SCB に接続します。
ウェルカムウィザードの完了前であれば、Browse(参照)をクリックして設定ファイルを選
択し、Upload(アップロード)をクリックします。
ウ ェ ル カ ム ウ ィ ザ ー ド の 完 了 後 で あ れ ば 、 Basic Settings > System > Import
configuration > Browse をクリックし、設定ファイルを選択して Upload(アップロード)をクリ
ックします。
Step 3.
Policies > Backup & Archive/Cleanup に進みます。ターゲットサーバーとバックアッププ
ロトコル設定が正しいことを確認します。
Step 4.
Basic Settings > Management > System backup に進み、Restore now(今すぐリストアす
る)をクリックし、処理が完了するのを待ちます。バックアップデータの量とバックアップサ
ーバーの接続速度に依存しますが、長時間かかることがあります。
Step 5.
SSH Control > Connections に進み、Restore ALL(全てをリストアする)をクリックします。
他のトラフィックタイプでも、この Step を繰り返します。バックアップデータの量とバックア
ップサーバーの接続速度に依存しますが、長時間かかることがあります。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
571
付録 1 Secure Shell プロトコルの概要
Secure Shell プロトコルのオリジナルバージョン(SSH-1)は 1995 年に開発されましたが、1996 年に
セキュリティが向上し新機能を提供する SSH-2 が発表されました。この2つのバージョンには互換
性がありません。SSH-1 は、設計上に欠陥があり攻撃を受けやすいため、現在は一般的に使用
すべきではないと考えられています。ほとんど全てのサーバーやクライアントアプリケーションは、
SSH-2 をサポートしており、SSH-1 の使用は明示的に無効にすべきです。しかし残念ながら、
SSH-2 をサポートしていないソフトウェアがいまだに組織で使用されている可能性があります。こ
れはそういった組織に少なからぬセキュリティ脆弱性が存在することを意味します。
SSH は、システム管理者がリモートシステム管理作業のために使用する主要ツールです。SSH プ
ロトコルの実装は、組み込みシステムからメインフレームまで、全てのプラットフォーム(Windows,
Linux, Unix, Mac OSX、BSD など)で異なります。また、実装は入手方法(オープンソース、フリーウ
ェア、商用)や、それらが提供する完全性のレベルによっても異なります。例えば、WinSCP が安全
なファイル転送のみを提供するように、プロトコルの特定の部分のみを実装しているアプリケーシ
ョンもあります。
1.1
SSH の基本操作
SSH プロトコルの主要機能の1つは、ユーザー認証を含む、クライアントとサーバー間のほぼ全て
の通信を暗号化することです(当然、使用される暗号方式のネゴシエーションはプレーンテキスト
で行われます)。サーバー認証を行うセッションの開始中に、暗号化パラメーター、データ圧縮、転
送データの完全性検証がネゴシエートされます。このプロトコルはユーザー認証を強制し、パスワ
ード、RSA 鍵、S/Key や OPIE のようなチャレンジ/レスポンススキームなど、様々な方法でユーザ
ー認証を行うことができます。SSH の典型的な使用方法を以下に紹介します。
Remote shell
対話型コンソール端末経由で、管理者がコンピューターをリモート管理します。これ
は最も広く普及した SSH の使用方法の1つです。
Remote command execution
リモートマシンでコマンドを実行します。例えば、ファイルコピー(scp)、データやファ
イルの同期化(rsync)、アーカイブバックアップの作成(tar)などの作業をスケジュ
ール実行または手動実行するときに、重要なデータを転送できます。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
572
TCP IP forwarding(port forwarding)
クライアント、またはサーバーからのあらゆる TCP/IP 接続を暗号化された SSH チャ
ンネルにトンネルできます。さらに、セキュリティポリシーで禁止されているポートア
クセスのように、許可されていない通信も、これを使用すれば転送できます。これに
より(通常、暗号化された)安全なデータ転送が可能になります。VPN 接続を完全に
セットアップする必要がなく、安全にホスト間を接続する簡単な方法として、頻繁に
使用されています。
File transfer
SFTP を使用し、安全にファイルを転送します。
X11 forwarding
サーバー上で起動し、グラフィカル インターフェース(X Window)を要求するアプリケ
ーションがクライアントのモニターに表示されます。アプリケーションはサーバー上
で起動していますが、これにより遠隔地からアプリケーションを使用することができ
ます。
Agent forwarding
クライアントマシンに認証リクエストを転送します。
サーバーやクライアントのアプリケーションに依存しますが、SSH は異なるチャンネルのデータを、
同時に単一の接続で転送できます。このため、単一の接続のみを使用して、SFTP 経由でクライア
ントからサーバーにファイルを転送したり、remote shell 経由でサーバーをリモート管理したりでき
ます。
1.2
暗号パラメーターの設定
SCB は MAC や鍵交換など、使用が許可されたアルゴリズムのように、暗号化された SSH 通信の
様々な要素においてポリシーを強制することができます。パラメーターはクライアント側とサーバー
側で別々に設定できます。その属性は、有効な方式/アルゴリズムがコンマ区切りの文字列で優
先順に表されます。
以下のパラメーターを設定できます。
鍵交換 (KEX) アルゴリズム
diffie-hellman-group14-sha1 と diffie-hellman-group1-sha1 アル
ゴリズムをサポートします。
ホスト鍵アルゴリズム
BalaBit Shell Control Box 4 LTS
Rev. 1.0
573
ssh-rsa と ssh-dss アルゴリズムをサポートします。
注記
上記のアルゴリズムを使ってホスト鍵をクライアントに提示するには、対応
する秘密鍵が SCB の接続ポリシーに設定されている必要があります。
暗号化アルゴリズム
以下の対称暗号アルゴリズムをサポートしています。
aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour,
aes192-cbc, aes256-cbc.
MAC アルゴリズム
hmac-sha1 と hmac-md5 アルゴリズムをサポートします。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
574
付録 2 BalaBit Shell Control Box ハードウェア導入ガイド
ここでは、BalaBit Shell Control Box (SCB) ハードウェアのセットアップ手順を説明します。
2.1
SCB ハードウェアの導入
目的
一台の SCB ユニットを導入するための手順を説明します。
Steps:
Step 1.
SCB を箱から取り出します。
Step 2.
(任意の Step)SCB にスライドレールを取り付けてラックに導入します。スライドレールは、
すべての SCB アプライアンスに付属しています。
Step 3.
ケーブルを接続します。
Step a. LAN 環境につながるイーサネットケーブルを、1というラベルの付いたイー
サネットコネクターに接続します。これは、SCB の外部インターフェースであ
り、SCB を構成するために使用されます。(別のインターフェースの役割に
ついては、2.9 ネットワークインターフェースを参照してください。)
Step b. サーバーにつながるイーサネットケーブルを、3というラベルの付いたイー
サネットコネクターに接続します。これは、SCB の内部インターフェースです。
(別のインターフェースの役割については、2.9 ネットワークインターフェース
を参照してください。)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
575
Step c. SCB ハードウェアをリモートからサポートするために、SCB の IPMI インター
フ ェ ー ス に イ ー サ ネ ッ ト ケ ー ブ ル を 接 続 し ま す 。 詳 細 は 、 ”Onboard
BMC/IPMI
User’s
Guide”( 英 文 ) を 参 照 し て く だ さ い 。
http://www.balabit.com/support/documentation/ から参照できます。
IPMI インターフェースは必ずしも、インターネットからアクセスできる必要は
ありません。しかし、サポートやトラブルシューティングのためにベンダーサ
ポートが必要な場合に、SCB の管理者は、IPMI インターフェースにアクセス
できなければなりません。以下のポートが、IPMI インターフェースで使用さ
れます。
Port 623(UDP): IPMI (変更不可)
Port 5123(UDP): フロッピー (変更不可)
Port 5901(TCP): ビデオディスプレイ (変更可)
Port 5900(TCP): HID (変更可)
Port 5120(TCP): CD (変更可)
Port 80(TCP): HTTP (変更可)
IPMI インターフェース経由でのみ利用できる情報へのアクセスは必須では
ありません。しかしながら、サポートとトラブルシューティングをすみやかに
進めるために、IPMI 接続を強く推奨します。
警告
電源コードを接続する前に、IPMI 用のイーサネット
コネクターにケーブルを接続してください。順番を
間違えると、IPMI の失敗になります。
Step d. (任意の Step)SCB の初期構成後に、SCB を管理するために、イーサネット
ケーブルを、2というラベルの付いたイーサネットコネクターに接続します。
これは、SCB の管理インターフェースです。(別のインターフェースの役割に
ついては、2.9 ネットワークインターフェースを参照してください。)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
576
Step e. (任意の Step)SCB を別の SCB ノードに接続するために、イーサネットケー
ブルを、4というラベルの付いたイーサネットコネクターに接続します。これ
は、SCB のハイアベイラビリティ(HA)インターフェースです。(別のインターフ
ェースの役割については、2.9 ネットワークインターフェースを参照してくださ
い。)
Step 4.
ハードウェアの電源を入れます。
Step 5.
BalaBit Shell Control Box で、BIOS と IPMI のパスワードを変更します。デフォルトのパス
ワードは、お使いのハードウェアによりますが、ADMIN または changeme です。
Step 6.
SCB は、ブートすると、DHCP を利用して、自動的に IP アドレスを取得します。自動的に
IP アドレスを取得できなかった場合には、IP アドレス 192.168.1.1 で HTTPS の接続を待
ちます。別の IP アドレスで接続を待つように SCB を構成するには、以下の手順を実施し
ます。
Step a. ローカルコンソールから SCB にアクセスします。そして、ユーザー名 root
パスワード default でログインします。
Step b. コンソールメニューで、Shells > Core shell を選択します。
Step c. SCB の IP アドレスを変更します。
ifconfig eth0 <IP-address> netmask 255.255.255.0
<IP-address> をお使いの環境にあう IPv4 アドレスで置き換えてください。
Step d. デフォルトゲートウェイを設定します。
route add default gw <IP-of-default-gateway>
<IP-of-default-gateway>をお使いのデフォルトゲートウェイの IP アドレスで
置き換えてください。
Step e. exit とタイプします。それから、コンソールメニューから、Logout を選択しま
す。
Step 7.
クライアント機から、SCB ウェブインターフェースに接続して、3 ウェルカムウィザードと最
初のログインに従い、Welcom Wizard を完了します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
577
2.2
2台の SCB ユニットを HA モードで導入する手順
目的
SCB でハイアベイラビリティ サポートを構成するための手順を説明します。
Steps:
Step 1.
1台目の SCB ユニットは、付録 2.1SCB ハードウェアの導入を実施します。
Step 2.
2台目の SCB ユニットは、付録 2.1SCB ハードウェアの導入の Step 1-3 を実施します。
Step 3.
4というラベルの付いたイーサネットコネクターを用いて、イーサネットケーブルで2台の
ユニットを接続します。
Step 4.
2台目のユニットの電源を入れます。
Step 5.
2台目のユニットの BIOS と IPMI のパスワードを変更します。デフォルトのパスワードは、
お使いのハードウェアによりますが、ADMIN または changeme です。
Step 6.
クライアント機から、1台目のユニットの SCB ウェブインターフェースに接続して、ハイア
ベイラビリティモードを有効化します。Basic Settings > High Availability に進みます。そ
して、Convert to Cluster をクリックします。それから、ブラウザのページをリロードしま
す。
Step 7.
Reboot Cluster をクリックします。
Step 8.
スレーブユニットのディスクがマスターユニットとの同期が完了するまで待ちます。ハード
ディスクのサイズにより、数時間以上かかる場合があります。同期速度を変更するには、
Basic Settings > High Availability > DRBD sync rate limit から変更します。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
578
用語集
4-eyes authorization
2人の管理者のみがサーバーにアクセスを許可される高度な承認
(4-eyes 承認)
方法。管理者は、サーバー管理処理中の(偶然にせよ、意図的に
せよ)人的エラーを減らすように、お互いの仕事を監視することが
できる。
alias IP
すでに IP アドレスを持つインターフェースに割り当てられる追加の
(エイリアス IP)
IP アドレス。通常の IP アドレスとエイリアス IP アドレスは、両方とも
同じ物理インターフェースを参照する。
auditing policy
監査ポリシーはどのイベントが Microsoft Windows オペレーティン
(監査ポリシー)
グシステムを稼働中のホストにログされるかを決定する。
authentication
ネットワークシステムやサービスへのアクセスを許可する前にユー
(認証)
ザーまたはクライアントの認証を検証する処理。
Authentication Policy
接続で使用することができる認証方式のリスト。接続定義は、クラ
(認証ポリシー)
イアントがターゲットサーバーを認証する方法を決めるために、認
証ポリシーを参照する。
Audit trail
暗号化された形式で記録された管理者のアクティビティを保存す
(監査トレイル)
るファイル。監査トレイルは Audit Player アプリケーションで再生す
ることができる。
Audit Player
記録した監査トレイルを映画のように再生することができるデスク
トップアプリケーション。Microsoft Windows で利用可能。
BSD-syslog protocol
RFC 3164 The BSD syslog Protocol に記載されている古いシスロ
(BSD-シスログプロトコル)
グプロトコルの規格。レガシーシスログプロトコルとして参照される
こともある。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
579
CA
Certificate Authority(認証局)の略。証明書を発行する機関。
certificate
一意に所有者を識別するファイル。証明書は所有者の識別情報、
(証明書)
公開鍵、証明書の有効期限、証明書に署名した CA 名などのデー
タを含む。
Common Gateway Protocol
Common Gateway Protocol (CGP) として知られる安定した接続。
(CGP)
ネットワーク障害時にサーバーへの再接続を可能にする。デフォ
ルトのポート番号は2598。
Channel Policy
接続で使用することができるSSHチャンネル(ターミナルセッション
(チャンネルポリシー)
やSCPなど)のリスト。クライアントやサーバーのIPアドレス、ユー
ザーリスト、タイムポリシーに基づいて各チャンネルへのアクセス
をさらに制限することができる。
client mode
クライアントモードでは、syslog-ngはホストで作成されたローカル
(クライアントモード)
ログを収集し、ネットワーク接続からsyslog-ngセントラルサーバー
またはリレーに、収集したログをフォワードする。
controlled traffic
SCBは、接続とチャンネルポリシーで設定されたトラフィックのみを
(制御されたトラフィック)
監査、管理する。その他のトラフィックは検査せずにパケットレベ
ルでフォワードする。
disk buffer
syslog-ngのプレミアムエディションは、セントラルログサーバー
(ディスクバッファ)
や、サーバーへのネットワーク接続が利用できない場合、ローカ
ルハードディスクにメッセージを保管することができる。
disk queue
disk buffer(ディスクバッファ)を参照してください。
(ディスクキュー)
domain name
ネットワークの名前。例えば、balabit.com。
(ドメイン名)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
580
External network interface
(EXTとラベルされた)外部インターフェースは、クライアントとサー
(外部ネットワークインター
バーの一般通信で使用される。SCBアプライアンスのインターフェ
フェース)
ースが2つのみの場合、外部インターフェースは管理目的でも使
用される。
firmware
SCB 上で稼動するソフトウェアコンポーネントの集合体。ファーム
(ファームウェア)
ウェア全体のアップグレードは可能だが、ファームウェアを構成す
る個々のソフトウェアコンポーネントを SCB 上でアップグレードする
ことはできない。SCB には external(外部)ファームウェア(または
boot(ブート)ファームウェア)と internal(内部)ファームウェア(また
は core(コア)ファームウェア)の2つのファームウェアがある。この
2つのファームウェアはそれぞれ別にアップグレードすることがで
きる。
gateway
例えば、ローカルイントラネットと外部ネットワーク(インターネット)
(ゲートウェイ)
など、2箇所以上のネットワークを接続するデバイス。ゲートウェイ
は、他のネットワークへの入り口としての役割を果たす。
High Availability
ハイアベイラビリティ(HA)モードでは、1つ目の SCB ユニット(マス
(ハイアベイラビリティ)
ターノード)が機能を停止した場合でもサービスを利用できるよう
に、2つ目のユニット(スレーブノード)も動作する。
host
ネットワークに接続されているコンピューター。
(ホスト)
hostname
ネットワーク上でホストを特定するための名前。ホスト名には、英
(ホスト名)
数字(A-Z, a-z, 0-9)とハイフン(-)のみ使用できる。
HA network interface
SCB クラスターノード間の通信のための(HA ラベル付きの)インタ
(HA ネットワークインターフ
ーフェース。
ェース)
BalaBit Shell Control Box 4 LTS
Rev. 1.0
581
ICA
Citrix 製品のベースとなるプロトコル(デフォルトの TCP のポート番
号は 1494)。これにより TCP やその他のネットワークを通してデス
ク ト ッ プ や ア プ リ ケ ー シ ョ ン の リ モ ー ト 操 作 を 行 う 。 ICA は
Independent Computing Architecture の略で、Citrix Systems 社に
よって開発されたアプリケーションサーバーシステム独自のプロト
コルである。プロトコルは、サーバーとクライアント間でデータをや
りとるするための仕様を決定するが、プラットフォームは1つに限ら
ない。ICA の目的は、大筋では X Window System のような入出力
を司るウィンドウサーバーと同じである。また、これにより、クライア
ントからのユーザーによるインプットをサーバーにフィードバックす
ることもできる。また、サーバーで起動しているアプリケーションか
ら、グラフィカルなアウトプットや音声のようなその他のメディアを、
様々な方法でクライアントに送信することができる。
Internal network interface
internal(内部)インターフェース(INT ラベル付)は、SCB と保護さ
(内部ネットワークインター
れているサーバー間の通信に限って使用される。このインターフェ
フェース)
ースでは、外部からの接続は許可されない。
IETF-syslog protocol
Internet Engineering Task Force(IETF)が開発した標準のシスログ
(IETF シスログプロトコル)
プロトコル。RFC 5424 の The BSD syslog Protocol を参照してくだ
さい。
key pair
秘密鍵とそれに関連する公開鍵。秘密鍵は所有者のみが知って
(鍵ペア)
いる。公開鍵は自由に配布できる。秘密鍵で暗号化された情報
は、公開鍵を使わないと復号化することができない。
LDAP
Lightweight Directory Access Protocol の略。TCP/IP 上でディレク
トリサービスを使用してデータの検索と修正を行うためのアプリケ
ーションプロトコル。
License
SCB が保護するサーバー(IP アドレス)の数を決定する。internal
(ライセンス)
(内部)インターフェース上でアクセスできる IP アドレスの数はライ
センス数によって制限される。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
582
log path
送信元、フィルター、パーサー、リライトルール、宛先の組み合わ
(ログファイルのパス)
せ。syslogng-ng は、パスの送信元に届くすべてのメッセージを検
査して、すべてのフィルターに合致するメッセージを指定の宛先に
送信する。
Management network
管理インターフェース(MGMT ラベル付)は、SCB と監査者、または
interface
SCB と管理者の間の通信に限って使用される。この場合の通信に
(管理インターフェース)
は、Audit Player を使って SCB に保存された監査トレイルを再生す
る場合も含む。
master node
SCB を High Availability(ハイアベイラビリティ)モードで使用してい
(マスターノード)
る時にトラフィックを調査しているアクティブな SCB ユニット。
name server
ドメイン名に相当する IP アドレスを保存するネットワークコンピュー
(ネームサーバー)
ター。
node
High Availability(ハイアベイラビリティ)モードで起動している SCB
(ノード)
ユニット。
ping
ネットワーク上でホストから別のホストにメッセージを送るコマンド
で接続性とパケットロスをテストする。
port
送信されたデータの宛先アプリケーションを識別する 1 から 65535
(ポート)
までの数字。例えば、SSH は通常ポート 22 を使用し、Web サーバ
ー(HTTP)はポート 80 を使用する。
Public-key authentication
ユーザーあるいはクライアントの identity(身元)確認のために暗
(公開鍵認証)
号化された鍵ペアを使用する認証方式。
redundant Heartbeat
冗長 Heartbeat(ハートビート)インターフェースは SCB デバイスの
interface
既存のインターフェースを使用する仮想インターフェース。SCB ク
(冗長 Heartbeat(ハートビ
ラスターの他のノードがまだ利用できることを検出する。仮想イン
ート)インターフェース)
ターフェースはノード間のデータを同期させるためには使用され
ず、Heartbeat(ハートビート)メッセージだけが転送される。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
583
SCB
BalaBit Shell Control Box の略。
slave node
マスターが利用できなくなった際にアクティブユニット(マスターノー
(スレーブノード)
ド)に置き換わるパッシブ SCB ユニット。
SNMP
Simple Network Management Protocol(SNMP)はネットワーク管理
で使用される業界標準プロトコル。SCB は中央の SNMP サーバー
に SNMP アラートを送ることができる。
split brain
スプリットブレイン状況は何らかの理由(例: ノード間の接続喪失)
(スプリットブレイン)
により SCB クラスターの両ノードがアクティブ(マスター)になる際
に起こる。新しいデータ(例: 監査トレイル)が他のノードに対して
複製を作ることなしに両ノード上に作成される原因となるかもしれ
ない。そのため、この状況ではマージできない2つの異なるデータ
のセットが作成される可能性がある。
SSH settings
プロトコルレベルで接続のパラメーターを決定する。その中には、
(SSH 設定)
接続のタイムアウト値、グリーティングメッセージ、使用される暗号
化アルゴリズムも含まれる。
syslog-ng
syslog-ng アプリケーションは柔軟で拡張性の高いシステムロギン
グアプリケーションである。一般にはログメッセージを管理やログ
の一元管理するために使用される。
syslog-ng client
クライアントモードで syslog-ng を実行しているホスト。
syslog-ng Premium Edition
syslog-ng プレミアムエディションはオープンソースアプリケーション
の商用バージョンである。暗号メッセージの転送、Microsoft
Windows プラットフォーム用のエージェントといった追加の機能を
提供する。
syslog-ng relay
リレーモードで syslog-ng を実行しているホスト。
syslog-ng server
SCB のようにサーバーモードで syslog-ng を実行しているホスト。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
584
Time Policy
1日のうちどの時間にユーザーが接続あるいはチャンネルにアク
(タイムポリシー)
セスできるかを決定する。
traceroute
2つのホスト間の全てのルーティングステップ(メッセージのパス)
を表すコマンド。
User List
接続あるいはチャンネルにアクセスできる人を細かく管理できるユ
(ユーザーリスト)
ーザー名のホワイトあるいはブラックリスト。
BalaBit Shell Control Box 4 LTS
Rev. 1.0
585
日本語マニュアル発行日 2015 年 4 月 6 日
本マニュアル原文は『BalaBit Shell Control Box 4 LTS
Administrator Guide,
Publication date March 6, 2015』です
ジュピターテクノロジー株式会社 技術グループ
BalaBit Shell Control Box 4 LTS
Rev. 1.0
© Copyright 2024 ExpyDoc
