VNXのセキュリティ構成ガイド - EMC Japan

EMC® VNX® Series
バージョン VNX1, VNX2
VNX のセキュリティ構成ガイド
P/N 300-015-128 REV. 05
Copyright © 2012-2016 年 EMC ジャパン株式会社 . All rights reserved. （不許複製・禁無断転載） Published in the USA.
2016 年年 2 月発行
EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更される
ことがあります。
この資料に記載される情報は、「現状有姿」の条件で提供されています。EMC Corporation は、この資料に記載される情報に関す
る、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたし
ません。
EMC²、EMC、および EMC ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。他のすべての
名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。
ご使用の製品に関する規制等についての最新情報は、EMC オンライン サポート（https://support.emc.com）を参照してください。
EMC ジャパン株式会社
〒 151-0053 東京都渋谷区代々木 2-1-1新宿マインズタワー
http://japan.emc.com
お問い合わせは
http://japan.emc.com/contact
2
VNX1, VNX2 VNX のセキュリティ構成ガイド
目次
7
序文
第1章
9
はじめに
概要..............................................................................................................10
ユーザー インタフェースの選択......................................................................10
用語..............................................................................................................10
関連機能に関する情報..................................................................................12
Unisphere Management Suite 関連のホワイト ペーパー................................ 13
第2章
15
アクセス制御
アクセス制御設定..........................................................................................16
管理アクセスのセキュリティ........................................................................... 16
認証..............................................................................................................17
Unisphere の認証............................................................................ 17
VNX for Block の CLI の認証............................................................. 18
VNX for File の CLI の認証................................................................ 18
ユーザーの適用範囲........................................................................19
LDAP または Active Directory を使用した認証................................... 19
デフォルトのアカウント......................................................................21
認証せずに実行するユーザーのアクション....................................... 22
コンポーネント認証（Block）.............................................................. 22
許可..............................................................................................................22
Unisphere の主な役割..................................................................... 22
データ保護の役割............................................................................ 24
コンポーネントのアクセス制御....................................................................... 25
コンポーネント認証...........................................................................25
VNX for File の CLI の役割に基づくアクセス....................................... 26
UNIX ユーザーに対する Windows スタイルの認証情報.....................26
セッション トークンの保護..................................................................26
CIFS Kerberos 認証 CIFS Kerberos にんしょう.....................................26
NFS セキュリティ設定........................................................................26
NFS および CIFS のアクセス ポリシー................................................ 27
データ セキュリティ設定................................................................................. 27
データの整合性................................................................................27
格納データの暗号化........................................................................ 27
パスワード ポリシー.......................................................................................27
物理的セキュリティ統制.................................................................................28
ログイン バナーと今日のメッセージ................................................................28
第3章
29
ロギング
ログの設定....................................................................................................30
VNX for Block システムの監査ログ.................................................................30
VNX および RSA enVision.............................................................................. 31
VNX for File システムの監査.......................................................................... 31
格納データの暗号化の監査ログ.................................................................... 32
VNX1, VNX2 VNX のセキュリティ構成ガイド
3
目次
第4章
通信セキュリティ
33
通信のセキュリティの設定............................................................................. 34
ポートの使用.................................................................................................34
VNX for Block 上の Unisphere コンポーネントによって使用されるポート......... 34
ネットワーク上での VNX for file の機能.......................................................... 35
強固な防御...................................................................................... 36
VNX for File のネットワーク サービス................................................. 36
VNX for File のセッション タイムアウト................................................ 37
プライベート ネットワーク.................................................................. 37
VNX for File プライマリ ネットワーク サービス.....................................37
VNX for File 送信ネットワーク接続.....................................................55
ネットワークの暗号化.................................................................................... 59
VNX Unified/File システムでの SSL の構成....................................... 59
HTTPS の使用.................................................................................. 60
LDAP SSL の使用..............................................................................60
SSL 証明書................................................................................................... 60
SSL を使用したディレクトリ サーバーへの接続.................................. 61
VNX for File での公開鍵基盤の計画に関する考慮事項.................................. 62
ペルソナ...........................................................................................62
CA（認証局）の証明書.......................................................................63
CA としての Control Station の使用.................................................. 63
Control Station のお客様提供の証明書............................................64
VNX for File システム上の IP Packet Reflect....................................................65
フィルタリング管理ネットワークの効果............................................................65
vSphere Storage API for Storage Awareness（VASA）のサポート......................65
特別な構成................................................................................................... 66
プロキシ サーバー............................................................................66
Unisphere Client/Server および NAT................................................. 66
その他のセキュリティに関する考慮事項........................................................ 67
第5章
データ セキュリティの設定
69
格納データの暗号化の概要...........................................................................70
格納データの暗号化機能の起動................................................................... 71
Unisphere によるストレージ プロセッサの再起動.............................. 72
VNX OE for Block CLI によるストレージ プロセッサの再起動............... 72
暗号化ステータス.......................................................................................... 73
キーストア ファイルのバックアップ.................................................................. 74
データ イン プレース アップグレード................................................................74
ホット スペアの操作....................................................................................... 76
暗号化が有効になっている VNX へのディスク ドライブの追加.........................76
暗号化が有効になっている VNX からのディスク ドライブの取り外し................ 77
暗号化が有効になっている VNX でのシャーシと SP の交換............................ 77
第6章
セキュリティ保守
79
Control Station の ESRS................................................................................ 80
ストレージ プロセッサの ESRS デバイス クライアント....................................... 80
ESRS IP Client................................................................................................81
安全な保守設定（Block）................................................................................81
セキュア リモート サポートの考慮事項........................................................... 82
セキュリティ パッチ管理................................................................................. 82
マルウェア検出............................................................................................. 83
4
VNX1, VNX2 VNX のセキュリティ構成ガイド
目次
第7章
85
高度な管理機能
リモート管理.................................................................................................. 86
IPv6（インターネット プロトコル バージョン 6）による管理ポートのアドレス指定
..................................................................................................................... 86
VLAN タグ機能のサポート.............................................................................. 86
SNMP 管理 SNMP かんり...............................................................................86
FIPS 140-2 の管理サポート............................................................................87
付録 A
89
安全な展開と使用の設定
安全な環境での Unisphere の実装................................................................90
付録 B
TSL 暗号スイート
93
サポートされている TLS 暗号スイート............................................................. 94
付録 C
LDAP ベースのディレクトリ サーバーの構成
99
Active Directory ユーザーとコンピュータ.......................................................100
Ldap Admin.................................................................................................101
付録 D
VNX for File の CLI の役割に基づくアクセス
105
CLI の役割に基づくアクセスのセットアップ....................................................106
付録 E
VNX for File の CLI セキュリティ構成オプション
115
パスワード ポリシーの構成.......................................................................... 116
パスワード ポリシーの対話形式での定義....................................... 116
特定のパスワード ポリシー定義の規定.......................................... 116
パスワードの有効期限の設定........................................................ 117
セッション タイムアウトの構成...................................................................... 117
セッション タイムアウト値の変更..................................................... 118
セッション タイムアウトの無効化..................................................... 118
セッション トークンの保護.............................................................................118
SSL プロトコルを使用したネットワークの暗号化と認証の構成.......................119
VNX for File での HTTPS の使用...................................................... 119
VNX for File での LDAP SSL の使用................................................. 119
デフォルトの SSL プロトコルの変更................................................. 119
デフォルトの SSL 暗号スイートの変更.............................................120
事後条件....................................................................................... 121
PKI の構成.................................................................................................. 121
ペルソナによって提供される証明書の作成..................................... 121
CA としての Control Station の使用................................................ 121
CA 証明書の取得........................................................................... 122
鍵セットと証明書要求の生成.......................................................... 122
CA への証明書要求の送信............................................................ 125
CA 署名済み証明書のインポート.................................................... 126
利用可能な CA 証明書の一覧表示................................................. 127
CA 証明書の入手........................................................................... 128
CA 証明書のインポート...................................................................130
新しい Control Station CA 証明書の生成........................................ 130
証明書の表示................................................................................ 131
Control Station CA 証明書の配布................................................... 132
VNX1, VNX2 VNX のセキュリティ構成ガイド
5
目次
お客様提供の Control Station 用証明書の要求とインストール........ 133
PKI の管理.................................................................................................. 135
鍵セットと証明書のプロパティの表示.............................................. 136
期限切れの鍵セットのチェック........................................................ 136
鍵セットのクリア............................................................................. 137
CA 証明書のプロパティの表示........................................................137
期限切れの CA 証明書のチェック....................................................138
CA 証明書の削除........................................................................... 138
ログイン バナーのカスタマイズ.................................................................... 139
MOTD の作成.............................................................................................. 139
匿名 root ログインの制限............................................................................ 140
ログインの失敗回数が指定した回数を超えた場合にアカウントをロックする..141
索引
6
VNX1, VNX2 VNX のセキュリティ構成ガイド
143
はじめに
製品ラインのパフォーマンスと機能を改善および強化するための努力の一環として、EMC
ではハードウェアおよびソフトウェアのリビジョンを定期的にリリースしています。 そのため、
このドキュメントで説明されている機能の中には、現在お使いのソフトウェアまたはハードウ
ェアのバージョンによっては、サポートされていないものもあります。 製品機能の最新情報
については、お使いの製品のリリース ノートを参照してください。
製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合には、
EMC の担当者にお問い合わせください。
このマニュアルで使用される特記事項の表記規則
EMC では、特別な注意を要する事項に次の表記法を使用します。
☀椉
回避されなかった場合、死亡、または重傷につながる危険な状況を示します。
巵⛙
回避されなかった場合、死亡、または重傷につながる可能性のある危険な状況を示しま
す。
㽷㎞
回避されなかった場合、軽微な、または中程度の怪我につながる可能性のある危険な状況
を示します。
抩䩴
負傷に関連しない作業を示します。
㽷
重要ではあるが、危険ではない情報を表します。
サポート
EMC のサポート情報、製品情報、ライセンス情報は、次の場所で入手できます。
製品情報：ドキュメント、リリース ノート、ソフトウェアの更新、または EMC 製品、ライセン
ス、サービスに関する情報については、EMC オンライン サポート（登録が必要です）
http://Support.EMC.com をご覧ください。
トラブルシューティング：http://support.EMC.com から EMC オンライン サポートに進み
ます。 ログインした後、該当する［製品ごとのサポート］ページを検索してください。
テクニカル サポート：テクニカル サポートおよびサービス リクエストについては、EMC オ
ンライン サポート（http://Support.EMC.com）の EMC カスタマー サービスにアクセスしま
す。 ログインした後、該当する［Support by Product］ページを検索し、［ライブ チャット］ま
たは［サービス リクエストの作成］のいずれかを選択します。 EMC Online Support を通
してサービス要求を開始するには、有効なサポート契約が必要です。 有効なサポート契
約の入手方法の詳細や、アカウントに関する質問については、EMC 販売担当者にお問
い合わせください。
VNX1, VNX2 VNX のセキュリティ構成ガイド
7
はじめに
㽷
お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定のサ
ポート担当者へのお問い合わせはご遠慮ください。
ご意見
マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしておりま
す。
本書についてのご意見を以下のメール アドレスにお送りください。
[email protected]
8
VNX1, VNX2 VNX のセキュリティ構成ガイド
第1章
はじめに
この章では、VNX に実装されたさまざまなセキュリティ機能について簡単に説明します。
次のトピックが含まれます。
l
l
l
l
l
概要...................................................................................................................... 10
ユーザー インタフェースの選択..............................................................................10
用語...................................................................................................................... 10
関連機能に関する情報..........................................................................................12
Unisphere Management Suite 関連のホワイト ペーパー........................................ 13
はじめに
9
はじめに
概要
EMC® VNX®では、ユーザーとネットワーク アクセスの制御、システム アクセスと使用状況
の監視、暗号化されたデータの転送サポートを行う、多様なセキュリティ機能を実装します。
VNX for File に関連するセキュリティ機能は、Control Station と Data Mover に実装されま
す。 VNX for Block に関連するセキュリティ機能は、ストレージ プロセッサに実装されます。
このドキュメントでは、安全なシステム運用とストレージ処理の構成に利用できる機能と構
成オプションについて説明します。 また、これらのセキュリティ機能を使用する理由、状況、
方法についても説明します。 VNX のセキュリティを理解するうえで、これらの機能の基本知
識を身につけることが重要になります。
このドキュメントは、VNX のマニュアル セットの一部であり、VNX の全体的な構成と運用を
担当する管理者を対象としています。 関連機能に関する情報（12 ページ）には、このドキ
ュメントで解説されている機能に関する資料の一覧が記載されています。
このドキュメントは、次のソフトウェアを実行しているシステムに関連しています。
l
VNX Operating Environment（OE）for File バージョン 7.1 および 8.x
l
VNX OE for Block バージョン 5.32 および 5.33
例外については、該当箇所に記載されています。
ユーザー インタフェースの選択
VNX では、サポート環境やインタフェース設定に応じてネットワーク ストレージを柔軟に管理
することができます。 このドキュメントでは、EMC Unisphere®ソフトウェアを使用してセキュリ
ティ機能を設定および管理する方法について説明します。 VNX の構成と管理の詳細につい
ては、Unisphere オンライン ヘルプを参照してください。 これらのタスクは、EMC Unisphere
管理インタフェースを使用しても実行できます。 ファイルベースのサービスとブロックベース
のサービスでは、CLI（コマンド ライン インタフェース）が異なります。 VNX for Block システム
の構成と管理で使用する CLI コマンドについては、「EMC VNX for Block コマンド ライン インタ
フェース リファレンス」を参照してください。 VNX for File システムの構成と管理で使用する
CLI コマンドについては、「EMC VNX for File コマンド ライン インタフェース リファレンス」を参照
してください。 また、CLI スクリプトを使用して VNX for File のセキュリティを構成する方法の
詳細については、セキュリティ構成に関連する操作での VNX for File CLI の使用（115 ペー
ジ）を参照してください。
VNX の管理アプリケーションに関する最新の追加情報については、VNX リリース ノートを参
照してください。
用語
VNX 用語のリストについては、「VNX 用語集」を参照してください。
［ACE（アクセス制御エントリー）:］ Microsoft Windows 環境での ACL（アクセス コントロール
リスト）の構成要素。 この構成要素により、ユーザーまたはグループのオブジェクトに対する
アクセス権限が定義されます。
［ACL（アクセス制御リスト）:］ あるオブジェクトへのアクセスが許可されたユーザーとグルー
プに関する情報を提供する ACE（アクセス コントロール エントリー）のリスト。
［アクセス ポリシー:］ 一部のファイルシステムに対してマルチプロトコル アクセスを提供する
ように構成された環境で、ユーザーが VNX for File システム上のファイルにアクセスした場
合は、どのアクセス制御方式（NFS 権限または Windows ACL、もしくはその両方）が適用さ
れるかを定義したポリシー。 アクセス ポリシーは、server_mount コマンドを使用して設定し
ます。また、このポリシーでは、ユーザーがファイルまたはディレクトリに対してどのようなア
クションを実行できるかも決定します。
10
VNX1, VNX2 VNX のセキュリティ構成ガイド
はじめに
［認証：］ ファイルやディレクトリなどのリソースまたはオブジェクトにアクセスを試行している
ユーザーの ID を検証するプロセス。
［CA（認証局）:］ 公開鍵証明書にデジタル署名を行う、信頼できるサード パーティ。
［認証局の証明書:］ ID（認証局）と公開鍵の間のデジタル署名付き関連性。公開鍵証明書
のデジタル署名を検証するためにホストで使用されます。
［コマンド ライン インタフェース（CLI）:］ データベースと Data Mover の管理と構成や VNX for
File キャビネット コンポーネントの統計の監視など、各種タスクを実行する場合に、Control
Station からコマンドを入力するためのインタフェース。
［CIFS（Common Internet File System）:］ Microsoft SMB（Server Message Block）に基づい
たファイル共有プロトコル。 インターネットおよびイントラネットを介してファイル システムを
共有できます。
［Control Station：］ VNX for File システムのハードウェアおよびソフトウェア コンポーネント。
システムを管理し、VNX for File コンポーネントの管理ユーザー インタフェースを提供しま
す。
［Data Mover：］ VNX for File のキャビネット コンポーネント。ストレージ デバイスからファイル
を取得し、そのファイルをネットワーク上のクライアントが使用できるようにする独自のオペ
レーティング システムを実行します。
［ディレクトリ サーバー：］ コンピュータ ネットワークのユーザーとネットワーク リソースに関
する情報を格納および整理するサーバー。ネットワーク管理者は、このサーバーでリソース
に対するユーザーのアクセスを管理できます。最も有名なオープンのディレクトリ サービス
は X.500 です。 企業独自のディレクトリ サービスとしては、Microsoft の Active Directory が
あります。
［HTTP（Hypertext Transfer Protocol）:］ World Wide Web 上のサーバーへの接続に使用さ
れる通信プロトコル。
［HTTPS（Hypertext Transfer Protocol Secure）:］ SSL を使用した HTTP。 クライアントおよび
サーバー システム間のすべてのネットワーク トラフィックは暗号化されます。 サーバーとク
ライアントの ID を検証するオプションもあります。 通常、サーバー ID は検証されますが、ク
ライアント ID は検証されます。
［Kerberos：］ 認証、データ整合性、データ プライバシーの暗号化メカニズム。認証情報をエ
ンコードするために使用されます。 Kerberos は NTLM（Netlogon サービス）と共存し、ソケッ
ト キー暗号形式を使用して、クライアント/サーバー アプリケーションに対する認証を行いま
す。
［LDAP ベースのディレクトリ：］ LDAP によるアクセスを提供するディレクトリ サーバー。 LDAP
ベースのディレクトリ サーバーの例としては、OpenLDAP、Oracle Directory Server
Enterprise Edition を挙げることができます。
［LDAP（Lightweight Directory Access Protocol）:］ TCP/IP を使用して直接実行される業界
標準の情報アクセス プロトコル。 Active Directory および LDAP ベースのディレクトリ サーバ
ーのプライマリ アクセス プロトコルです。 LDAP バージョン 3 は、IETF（Internet Engineering
Task Force）の RFC 2251 において Proposed Standard の一連の文書で定義されています。
［LUN（論理ユニット番号）:］ SCSI コマンドを処理する SCSI または iSCSI オブジェクトの識別
番号です。 LUN とは、SCSI オブジェクトの SCSI アドレスの最後の部分です。 LUN は論理ユ
ニットの ID ですが、この用語はしばしば論理ユニット自体のことを指す場合にも使用されま
す。
［NFS（Network File System）:］ リモート ファイル システムへの透過的なアクセスを提供する
分散ファイル システム。 NFS を使用すると、すべてのネットワーク システムでディレクトリの
単一コピーを共有できます。
［OpenLDAP の場合：］ LDAP ベースのディレクトリ サービスのオープン ソース実装。
［役割：］ 秘密鍵とこの鍵に対応する公開鍵証明書を使用して、Data Mover の ID をサーバ
ーまたはクライアントとして提供する手段。 各ペルソナには最大で 2 個の鍵セット（現在の
用語
11
はじめに
ものと次のもの）を保持でき、現在の証明書の有効期限が切れる前に、新しい鍵と証明書
を生成できるようになっています。
［公開鍵証明書:］ 認証局によって発行される電子 ID。 デジタル証明書には、受信者が証明
書の有効性を検証できるように、ユーザーまたはサービスなどの他のエンティティの ID（ホ
スト名）、シリアル番号、有効期限、証明書所有者の公開鍵のコピー（メッセージとデジタル
署名の暗号化に使用）、証明書発行機関からのデジタル署名が含まれています。 詳細につ
いては、X.509 規格を参照してください。
［PKI（公開鍵基盤）:］ 秘密鍵とこの鍵に対応する公開鍵証明書を公開鍵暗号形式で使用で
きるように管理する手段。
［SNMP（Simple Network Management Protocol）:］ ネットワーク構成要素のネットワーク管
理ステーションとエージェント間で管理情報の通信に使用される方法。
［SSL（Secure Socket Layer）:］ 暗号化と認証を提供するセキュリティ プロトコル。 データを
暗号化し、メッセージとサーバーの認証を行います。 サーバーから要求された場合、クライ
アント認証もサポートします。
［Storage Processor (SP)：］ 独自のオペレーティング システムを稼働する VNX for Block シ
ステムのハードウェアおよびソフトウェア コンポーネント。システムを管理し、VNX for Block
コンポーネントの管理ユーザー インタフェースを提供します。
［TLS（Transport Layer Security）:］ SSL の後継プロトコル。一般的な通信認証と TCP/IP ネッ
トワークを使用した暗号化に対応しています。 TLS バージョン 1 は、SSL バージョン 3 とほ
ぼ同等です。
［X.509:］ デジタル証明書の定義に一般的に使用されている標準規格。
［XML API:］VNX for File をリモートで管理および監視するためのインタフェース。 このインタ
フェースでは、XML 形式のメッセージおよびニュートラルなプログラミング言語が使用されて
います。
関連機能に関する情報
このドキュメントで解説されている機能に関連する具体的な情報については、次の資料を参
照してください。
12
l
「EMC VNX for File コマンド ライン インタフェース リファレンス」
l
「EMC VNX Command Line Interface Reference for Block」
l
「File のマニュアル ページ」
l
「Parameters Guide for VNX 」
l
「VNX 用語集」
l
「VNX for File 管理アプリケーションのインストール 」
l
「VNX CIFS の構成と管理」
l
「VNX NFS の構成 」
l
「VNX でのマルチプロトコル環境の管理」
l
「VNX ネーム サービスの構成」
l
「VNX FileMover の使用方法」
l
「VNX for File のイベント通知の構成」
l
「VNX ネットワークの構成と管理」
l
「Celerra および VNX for File での監査ツールの構成および使用テクニカル ノート」
l
「EMC Secure Remote Support for VNX 」
l
「ESRS HTTPS リスナー サービスの SSL 証明書の管理テクニカル ノート」
VNX1, VNX2 VNX のセキュリティ構成ガイド
はじめに
l
「Using nas_stig Utility on VNX」
EMC VNX カスタマー向け資料一式は、EMC オンライン サポート用 Web サイト（http://
Support.EMC.com）から入手できます。 Web サイトにログインした後、［Support by
Product］ページをクリックして必要な特定の機能に関する情報を見つけます。
LDAP に関する一般的な情報については、次の資料を参照してください。
l
RFC 2307、「An Approach for Using LDAP as a Network Information Service」
Active Directory の LDAP および SSL 構成に関する具体的な情報については、次の資料を
参照してください。
l
Microsoft サポート技術情報「How to enable LDAP over SSL with a third-party
certification authority」（ID 321051）
OpenLDAP および SSL 構成に関する具体的な情報については、OpenLDAP の Web サイト
（www.openldap.org）を参照してください。 別の非 Active Directory LDAP ベースのディレクト
リ サーバーを使用している場合は、該当するベンダーのマニュアルで LDAP および SSL 構
成に関する情報を参照してください。
Unisphere Management Suite 関連のホワイト ペーパー
ホワイト ペーパーには、ドメインの管理を含む、Unisphere Management Suite の主要な側
面の説明が記載されています。 これらのホワイト ペーパーは、Unisphere 管理者およびユ
ーザー向けの標準的なドキュメントを補完するものです。 関連ホワイト ペーパー（13 ペー
ジ）に、これらのホワイトペーパーの一覧と概要を示します。 ホワイト ペーパーは、EMC オ
ンライン サポート用 Web サイト（http://Support.EMC.com）のパスワードで保護された EMC
の顧客とパートナー専用のエクストラネットに掲載されています。
表 1 関連ホワイト ペーパー
ホワイト ペーパー
説明
EMC Unisphere：
Unified Storage
Management
Solution
このホワイト ペーパーには、EMC® Unisphere®（VNX システムの単一の管
理インタフェース）およびレガシーの CLARiX®システムと Celerra®システムの
概要が記載されています。 Unisphere のすべての機能、および Unisphere
v1.0、v1.1、v1.1.25 でサポートされる機能の一覧が記載されています
Domain
このホワイト ペーパーには、Unisphere 1.1.25 ソフトウェアを使用した単一
Management with
ストレージ ドメインおよび複数ドメインの EMC ストレージ システムの構成と
VNX storage systems 管理についての説明が記載されています。
Unisphere Management Suite 関連のホワイト ペーパー
13
はじめに
14
VNX1, VNX2 VNX のセキュリティ構成ガイド
第2章
アクセス制御
この章では、VNX for File/Unified および VNX for Block システムに実装されたさまざまなア
クセス制御機能について説明します。
次のトピックが含まれます。
l
l
l
l
l
l
l
l
l
アクセス制御設定..................................................................................................16
管理アクセスのセキュリティ................................................................................... 16
認証...................................................................................................................... 17
許可...................................................................................................................... 22
コンポーネントのアクセス制御............................................................................... 25
データ セキュリティ設定......................................................................................... 27
パスワード ポリシー............................................................................................... 27
物理的セキュリティ統制.........................................................................................28
ログイン バナーと今日のメッセージ........................................................................28
アクセス制御
15
アクセス制御
アクセス制御設定
Unisphere プログラムは異なる戦略を使用してユーザーを認証します。これにより許可され
ていないユーザーが VNX システムにアクセスすることを防ぎます。 これらの戦略について
は、後続のセクションで説明します。
Unisphere と CLI はどちらも暗号化された認証通信を使用して同じレベルのセキュリティを
提供します。
管理アクセスのセキュリティ
VNX ストレージ システムでは、システムへのアクセスに次の管理アプリケーションを利用で
きます。
l
Unisphere - VNX システムを構成、監視、および管理するために使用する 2 つの主要な
アプリケーションの 1 つ。 Unisphere は、ブラウザで Control Station またはストレージ
プロセッサ（SP）の IP アドレスを指定することで起動できる Web ベースの GUI です。
l
CLI（コマンド ライン インタフェース） - VNX システムを管理するために使用するもう 1 つ
の主要なプログラム。 CLI はブロック サービスとファイル サービス用に分かれていま
す。 Block CLI は、VNX にネットワーク接続された任意のホストにインストールして実行
できます。 File CLI は、SSH を使用して Control Station へのリモート セッションを開くこ
とでアクセスできます。
l
USM（Unisphere Service Manager） - このソフトウェアを使用して、VMX システム ハード
ウェアとソフトウェアを更新、インストール、保守し、さらにサービス プロバイダに連絡先
とシステム情報を提供することができます。
l
Unisphere ホスト エージェントまたは Server Utility - これらのオプションのソフトウェア
プログラムは SAN 接続ホスト上で実行されます。 主な機能は、ホストの属性と LUN/ボ
リュームのマッピングのストレージ システムへの伝達を支援することです。
l
Unisphere Initialization Utility - このオプションのソフトウェアを使用して、VNX for Block
システムとネットワークの設定をワークステーションから初期化することができます。
l
VIA（VNX Installation Assistant） - このソフトウェアを使用して、VNX Unified（Block と
File）および VNX for File システムとネットワークの設定をワークステーションから初期化
することができます。
l
SNMP 管理ソフトウェア - このオプションのソフトウェアを使用して、VNX システムの状態
を監視することができます。
l
admsnap と admhost - これらのオプションの管理ユーティリティは、SnapView™および
SAN Copy™レプリケーション オブジェクトの管理を支援します。
l
リモート サポート サービス - VNX システムではリモート EMC サポートを利用できます。
多くのお客様は、このカスタマー サービス ソフトウェアを使用して、EMC がシステムの
構成と監視をサポートできるようにしています。
l
Unisphere サーバー ソフトウェア - このソフトウェアは、このガイドに記載されているスト
レージ管理機能を実行します。 このガイドでは、このソフトウェアはストレージ管理サー
バーとも呼ばれます。 VNX SP および Control Station にプリインストールされています。
このソフトウェアはオプションで Windows XP または Windows Server にインストールす
ることができます。
VNX 管理のコンポーネント（17 ページ）に示すように、さまざまなコンポーネントがインバ
ンドとバンド外の両方で VNX システムと通信します。 インバンド通信は、VNX システムへの
データ接続を介して送信されますが、バンド外通信は VNX システムへの管理接続を介して
送信されます。
16
VNX1, VNX2 VNX のセキュリティ構成ガイド
アクセス制御
図 1 VNX 管理のコンポーネント
VNX への管理接続を許可されたユーザーとアプリケーションに制限することが不可欠です。
管理アクセスを保護するために、VNX は、次の機能を実装します。
l
認証 - リクエストしているユーザーを識別します。
l
許可 - リクエスタがリクエストを実行するための権限を持っているかどうかを確認しま
す。
l
プライバシー - データをスヌーピング（のぞき見）から保護します。
l
信頼 - 通信相手の ID を確認します。
l
監査 - 誰がいつ何をしたかの記録を保持します。
認証
VNX システム上の管理アプリケーションは、認証を使用して許可されていないユーザーがシ
ステムにアクセスすることを防止します。
Unisphere の認証
Unisphere は、ユーザー名とパスワードを使用してユーザーを認証します。 Unisphere で
は、管理者が使いやすいダイアログ ボックスを使用してユーザー アカウントを作成すること
ができます。 コンピュータのブラウザを使用して Unisphere に接続すると、Java アプレットが
ブラウザに配信されます。 アプレットは、SSL/TLS を使用し、VNX 上でポート 443 経由のス
トレージ管理サーバー（ストレージ管理機能を実行するソフトウェア）との安全な接続を確立
します。
㽷
ブラウザーに https://とは表示されませんが、接続は保護されています。
EMC では、https://<vnx_ip>（ポート 443）を使用して Unisphere に接続することを推奨しま
す。ただし、VNX for Block の場合は、http://<vnx_ip>（ポート 80）を使用して接続することが
できます。
認証
17
アクセス制御
㽷
Control Station では、ポート 80 に送信されるすべての HTTP 管理トラフィックは、HTTPS ポ
ート（443）に自動的にリダイレクトされます。
セッションを開始するときには、Unisphere によって、ユーザー名、パスワード、および適用
範囲（ローカル、グローバル、LDAP）の入力を求められます。 これらの認証情報は、暗号化
されてストレージ管理サーバーに送信されます。 次に、ストレージ管理サーバーが、ユーザ
ー アカウント情報内で一致するユーザーを検索します。 一致するユーザーが見つかった場
合は、認証されたユーザーとして識別されます。
㽷
認証に失敗した場合、同じ IP アドレスから最大 6 回まで認証を再試行することができます。
6 回目の試行も失敗した場合、同じ IP アドレスからの認証の試行は 4 分間ブロックされま
す。つまり、システムは 4 分間にわたりその後の試行に応答しません。 最初の認証が成功
するか、前の失敗の 4 分後に新しい認証の試行が成功した場合、失敗カウントはクリアさ
れます。
VNX ゲートウェイを除いて、ストレージ管理サーバーは他のストレージ管理サーバーと通信
するときにも認証と暗号化を使用します。 ストレージ管理サーバー間の通信は、情報がドメ
イン全体にレプリケートされるときに実行されます。 たとえば、ユーザー アカウント情報が変
更された場合、この情報はドメイン内のストレージ管理サーバーの各インスタンスにレプリケ
ートされます。
VNX for Block の CLI の認証
VNX for Block の CLI では、コマンドごとにユーザー資格情報を渡す必要があります。 ユー
ザー資格情報を渡すには、次のいずれかの方法を使用します。
l
コマンドごとに認証情報を指定することができます。
l
addusersecurity コマンドを使用して、ホスト上にユーザー資格情報が含まれるフ
ァイルを作成することができます。 認証情報を指定せずに VNX for Block の CLI コマン
ドを入力した場合、CLI がこのファイルから認証情報を取得して、コマンドと共に認証情
報を送信します。
CLI コマンドと共に認証情報を明示的に指定しない場合、このセキュリティ ファイルに有
効な Unisphere 認証情報が含まれている必要があります。 このファイルはユーザーの
ホーム ディレクトリに保存され、その内容は暗号化されます。 このファイルおよびその
暗号化キーは、アクセス制御リスト（ACL）とコンピュータに固有なパス フレーズによって
保護されます。
VNX for File の CLI の認証
VNX for File の CLI では、SSH を使用してリモート ターミナルによって Control Station に接
続し、ローカル アカウントまたはグローバル アカウント、または SSH を使用する LDAP 認証
によるアカウントを使用して Control Station にログインする必要があります。 Control
Station には 2 個のデフォルトのローカル アカウントがあります（デフォルトのアカウント
（21 ページ）を参照してください）。また、このために新しいローカル アカウントを作成する
こともできます。
Control Station CLI を使用して、システムにログインします。
ドメインにマップされたユーザーが Control Station CLI にログインする場合、入力するドメイ
ン名は、VNX OE for File によって認識されているドメイン名または完全修飾ドメイン名と一致
している必要があります。
LDAP ドメインにマップされたユーザーに対して、サポートされているドメインにマップされた
ユーザーのログイン形式は次のとおりです。
18
VNX1, VNX2 VNX のセキュリティ構成ガイド
アクセス制御
l
<domain name>\<user>（例：mycompany\anne）
l
<user>@<domain name>（例：anne@mycompany）
ドメイン名は、完全修飾ドメイン名として指定できます。 次に例を挙げます。
l
<fully qualified domain name>\<user>（例：mycompany.com\anne）
l
<user>@<fully qualified domain name>（例：[email protected]）
㽷
ユーザーは 1 個のドメインにのみログインできます。 そのため、mycompany と
mycompany.com は同じドメインとして扱われます。
ストレージ ドメインにマップされたユーザーに対して、サポートされているドメインにマップさ
れたユーザーのログイン形式は次のとおりです。
l
storageDomain\<user>（例：storageDomain\anne）
l
<user>@storageDomain（例：anne@storageDomain）
㽷
storageDomain は大文字と小文字の区別があるキーワードで変数ではありません。正確に
そのまま入力する必要があります。
ユーザーの適用範囲
ストレージ管理サーバーでユーザー アカウントに次の 3 つの適用範囲のいずれかを設定
できます。
l
ローカル - このユーザーは単一の VNX にのみアクセスできます。
l
グローバル - このユーザーは Unisphere ドメイン全体にアクセスできます。
l
LDAP - このユーザーは、LDAP ディレクトリ内にアカウントをも持ち、LDAP サーバーを使
用してユーザーを認証する任意のストレージ システムにアクセスできます。
単一の VNX へのアクセスが必要な場合はローカル範囲が最も効果的です。 ユーザーにグ
ローバル範囲を割り当てると、1 つのアカウントを使用して Unisphere ドメイン内のすべての
VNX ストレージ システムにアクセスできるので管理が容易になります。 ユーザーに LDAP
範囲を割り当てると、アカウントがストレージ システムに固有ではなくなるため、最も柔軟性
が高くなります。
適用範囲が異なれば重複するユーザー名を使用できます。 たとえば、グローバル範囲の
「Sarah」というユーザーは、LDAP 範囲のユーザー「Sarah」とは異なります。
LDAP または Active Directory を使用した認証
ストレージ管理サーバーは、LDAP または LDAPS を使用し、Active Directory（Active
Directory は Microsoft のディレクトリ サーバーです）などのディレクトリ サーバーに対してユ
ーザーを認証することができます。 VNX ストレージ システムを管理するために別個の認証
情報セットが必要ないので、LDAP サーバーに対する認証により、管理が簡素化されます。
また、ストレージ環境とサーバー環境に対してエンタープライズ パスワード ポリシーを同様
に適用できるため、安全性が高まります。
LDAP ドメインの管理（File/Unified および Block）
VNX ドメインでは、File/Unified と Block の両方のセットアップで同じ LDAP サーバーが使用
されます。 LDAP ドメインを管理するには、Unisphere にログインし、［すべてのシステム ＞
ドメイン ＞ ユーザー］（タスク リスト）＞［LDAP ドメインの管理］を使用して、サーバー接続を
定義し、関連する証明書を受け入れるか検証し、ユーザー グループの役割をマッピングし
ます。 別の方法として、システムを選択し、［設定 ＞ セキュリティ設定］（タスク リスト）＞
［LDAP ドメインの管理］を使用できます。 このセットアップを 1 回実行すると、LDAP アカウン
ユーザーの適用範囲
19
アクセス制御
トで Unisphere または CLI へのログインを認証できます。 LDAP サーバーへの接続のセット
アップ方法については、Unisphere オンライン ヘルプを参照してください。
LDAP ドメイン（ゲートウェイ）の管理
VNX ゲートウェイ システムの LDAP 構成を管理するには、Unisphere にログインしてシステ
ムを選択し、［設定 ＞ セキュリティ設定］（タスク リスト）＞［LDAP ドメインの管理］を使用し
て、LDAP ベースのディレクトリ サーバーにアクセスできるように Control Station を構成しま
す。 LDAP サーバーへの接続のセットアップ方法については、Unisphere オンライン ヘルプ
を参照してください。
LDAP サーバーの接続情報を指定して Unisphere を構成し、Unisphere の役割を LDAP グ
ループにマッピングする設定を行うこのセットアップを 1 回実行すると、LDAP アカウントで
Unisphere または CLI へのログインを認証できます。 VNX ゲートウェイ システムの場合、
LDAP 構成情報は、VNX ゲートウェイ システムに固有で、他のシステムにレプリケートされま
せん。
LDAP サービスの構成オプション
Unisphere または CLI で LDAP ユーザーを認証できるようにするためには、LDAP サービスと
の通信を構成する必要があります。 Unisphere では、LDAP サーバーの IP アドレスと LDAP
接続パラメータを追加できます。 LDAP 接続パラメータを LDAP サービス管理者から入手す
る必要があります。 Unisphere で LDAP サービスを構成する場合は、次のベスト プラクティ
スに留意してください。
l
LDAP サービスとの高可用性通信を実現するには、2 台の LDAP サーバーとのサービス
接続を作成します。 1 台のサーバーが使用できない場合、ストレージ管理サーバーは
セカンダリ LDAP サーバーに認証リクエストを送信します。
l
最高レベルのセキュリティを実現するには、LDAPS プロトコルを使用するサービス接続
を構成します（LDAP サーバーがこれをサポートする場合）。 これにより、ストレージ管理
サーバーと LDAP サーバー間のすべての通信が SSL/TLS で暗号化され、ユーザー資
格情報が平文で送信されることはありません。
LDAP 構成は、各 Unisphere ドメイン内で 1 回だけ行います。この構成は、ドメイン内の他
のすべてのノードにレプリケーションされます。
役割のマッピング
LDAP サービスとの通信が確立されたら、特定の LDAP グループを Unisphere の役割にマッ
ピングして、Unisphere へのアクセスを提供する必要があります。 LDAP サービスでは、認
証を実行するだけです。 認証された後、そのユーザーの権限は、割り当てられた
Unisphere の役割によって判断されます。 最も柔軟性のある構成は、Unisphere の役割に
対応した LDAP グループを作成することです。 これにより、LDAP グループのメンバーを管理
することによって Unisphere へのアクセスを制御できます。
㽷
SP（ストレージ プロセッサ）に関連する LDAP ユーザー レベルの役割のマッピングおよび
Unisphere の役割は、VNX for Block CLI を使用して構成できます。 詳細については、「EMC
VNX for Block コマンド ライン インタフェース（CLI）リファレンス」を参照してください。
たとえば、「Storage Admins」という名前の LDAP グループがあり、Bob と Sarah がそのメン
バーになっているとします。 また、「Storage Monitors」という名前の別の LDAP グループが
あり、Mike と Cathy がメンバーになっているとします。 「Storage Admins」グループを
Unisphere 管理者の役割にマッピングすると、Bob と Sarah にストレージ システムの完全な
管理権限を付与できます。 「Storage Monitors」グループを Unisphere オペレータの役割に
マッピングすると、Mike と Cathy はストレージ システムに読み取り専用でアクセスできるよ
うになります。 6 カ月後に Mike がより信頼度の高い管理者になった場合、彼を「Storage
20
VNX1, VNX2 VNX のセキュリティ構成ガイド
アクセス制御
Admins」LDAP グループに追加するだけで、ストレージ システムに対する完全なアクセス権
（管理者の役割）を付与できます。
認証情報のキャッシュとアカウントの同期（Block）
ストレージ管理サーバーは、LDAP ユーザーが 1 度認証されると、その認証情報をローカル
にキャッシュします。 このキャッシュによって、認証要求によるレーテンシーが解消され、
LDAP サービスへのトラフィックを最小限に抑えられるとともに、ユーザーの操作性が向上し
ます。 ストレージ管理サーバーでは、ログイン時だけではなく、ストレージ システムの構成を
変更するすべてのコマンドについて認証が行われることに注意してください。 キャッシュによ
り、LDAP サーバーへの認証リクエストが繰り返されなくなります。
デフォルトでは、Unisphere は 24 時間ごとにローカル キャッシュを消去し、LDAP サーバー
上のアカウントとの同期化を実行します。 ユーザー アカウントの変更が多く、クレデンシャ
ル情報をフラッシュする必要がある環境では、パフォーマンスに大きな影響を与えることな
く、この同期化の間隔を 30 分ごとに変更することが可能です。 または、手動による同期化
を行い、ローカル キャッシュを即座に消去することもできます。 これは、離職した従業員の
ストレージ システムへのアクセスを直ちに停止する場合に便利です。
デフォルトのアカウント
管理アクセスとサービス アクセスのためのデフォルトのアカウントが存在します。
デフォルトの管理アカウント - デフォルトの管理アカウントの詳細および関連するパスワード
の変更方法については認証構成（21 ページ）を参照してください。
デフォルトのサービス アカウント - EMC サービス担当者がアクセスするための管理ポートと
サービス ポートのデフォルトの組み合わせが存在します。 EMC では、管理ポートのユーザ
ー名/パスワードの組み合わせを変更することを強く推奨します（詳細については、安全な
保守設定（Block）（81 ページ）を参照してください）。 サービス担当者にはユーザー名とパ
スワードが必要なので、この情報を開示できるように準備してください。
認証構成
VNX Unified/File と VNX for Block システムではセキュリティの初期化の方法が異なります。
VNX Unified/File システムには、工場出荷時に次の管理アカウントがインストールされま
す。
root - VNX for File のローカル アカウントで、Control Station で root レベルの権限を提
供します。
l
nasadmin - VNX for File のローカル アカウントで、Control Station で管理者レベルの権
限を提供します。
l
sysadmin - グローバル システム アカウントで、VNX for File と VNX for Block の両方に
対する管理者レベルの権限を提供します。
システム アカウントは、ブロック サービスとファイル サービスの間の内部通信に必要な特別
なグローバル アカウントです。 VNX Unified/File システムには、少なくとも 1 つのシステム
アカウントが必要です。 別のグローバル管理者アカウントまたはグローバル セキュリティ管
理者アカウントが使用可能になっていない限り、このシステム アカウントを削除することは
できません。
l
VNX Installation Assistant（VIA）は、VNX Unified/File システムを初期化するためのユーティ
リティです。 EMC では、VIA を使用して初めて VNX Unified/File システムを初期化するとき
に 3 つのアカウントのデフォルトのパスワードを変更することを推奨します。
VNX for Block システムにはデフォルトの管理アカウントはありません。 Unisphere
Initialization Wizard は、VNX for Block システムの初期化に使用するユーティリティです。
次の方法で VNX for Block システムのセキュリティを初期化することができます。
l
ユーザーが、Unisphere Initialization Wizard を使用してシステムを初期化するときにグ
ローバル アカウントの作成を選択できます。
デフォルトのアカウント
21
アクセス制御
l
ユーザーが、Unisphere に初めてログインするときにグローバル アカウントを作成でき
ます。
VNX for Block システムでは、システム アカウントは、特に必要ないのでデフォルトでは作成
されません。しかし、別の VNX Unified/File システムを VNX for Block システムのローカル ド
メインに追加するには、システム アカウントが必要なので、必要に応じてシステム アカウン
トを作成するように求めるプロンプトが表示されます。
すべての VNX システム（VNX Unified/File および VNX for Block）では、少なくとも 1 つのグ
ローバル アカウントが必要です。 このアカウントは、「管理者」または「セキュリティ管理者」
の役割を持っている必要があります。 LDAP 認証が必要な場合は、LDAP サーバーを構成
し、他のグローバル アカウントまたはローカル アカウントも作成することができます。
認証の構成に関するセキュリティ機能は、Unisphere または Secure CLI から実行できます。
認証せずに実行するユーザーのアクション
VNX システムは、認証せずに実行するすべてのアクションを許可しません。
コンポーネント認証（Block）
iSCSI イニシエータで使用する iSCSI の主要な認証メカニズムは、CHAP（Challenge
Handshake Authentication Protocol）です。 CHAP は、ターゲットでのログイン時および接続
中のさまざまな機会に、iSCSI イニシエータを認証するために使用する認証プロトコルです。
CHAP セキュリティは、ユーザー名とパスワードで構成されます。 イニシエータとターゲットの
CHAP セキュリティを構成して有効にすることができます。 Unisphere にログインし、［すべて
のシステム ＞ システムの一覧］を使用し、CHAP を構成するストレージ システムのエントリ
ーを右クリックして、［iSCSI ＞ CHAP 管理］を使用します。 CHAP を有効にするには、システ
ムを選択し、［設定＞ ネットワーク ＞ ブロックの設定］を使用します。 CHAP を構成して有効
にする方法の詳細については、Unisphere のオンライン ヘルプを参照してください。
CHAP プロトコルでは、イニシエータの認証を行う必要があります。 ターゲットの認証（双方
向 CHAP）はオプションです。
許可
ストレージ管理サーバーは、ユーザーの役割を基にしてユーザーのアクティビティを許可し
ます。 役割は、アクセス権の集まりであり、アカウント管理者がアクセス権を割り当てるため
の簡単なツールとして使用できます。 Unisphere と VNX for File CLI は、ユーザーの役割を
基にしてユーザーのアクティビティを許可します。 VXN for Block CLI は、ユーザーの認証情
報による認証を基にしています。 Unisphere には、8 種類の主要な役割（オペレータ、ネット
ワーク管理者、NAS 管理者、SAN 管理者、ストレージ管理者、管理者、セキュリティ管理
者、VM 管理者）および 3 つのデータ保護の役割（ローカル データ保護、データ保護、デー
タ リカバリ）があります。
㽷
Unisphere の主要な役割とデータ保護の役割には、グローバルまたはローカルの適用範囲
を指定できます。
Unisphere の主な役割
次のような主な役割があります。
22
l
オペレータ - ストレージおよびドメインの操作に関する読み取り専用の権限。セキュリテ
ィ操作に関する権限はありません。
l
ネットワーク管理者 - オペレータのすべての権限と、DNS、IP 設定、SNMP を構成する権
限があります。
VNX1, VNX2 VNX のセキュリティ構成ガイド
アクセス制御
l
NAS 管理者 - File 操作に関するすべての権限があります。 Block 操作とセキュリティ操
作に関するオペレータ権限があります。
l
SAN 管理者 - Block 操作に関するすべての権限があります。 File 操作とセキュリティ操
作に関するオペレータ権限があります。
l
ストレージ管理者 - File 操作と Block 操作に関するすべての権限があります。 セキュリ
ティ操作に関するオペレータ権限があります。
l
セキュリティ管理者 - ドメインを含むセキュリティ操作に関するすべての権限がありま
す。 File 操作と Block 操作に関するオペレータ権限があります。
l
管理者 - File 操作、Block 操作、セキュリティ操作に関するすべての権限があります。 こ
の役割は最も権限が高い役割です。
l
VM 管理者 - VMware の VASA（vSphere Storage APIs for Storage Awareness）を使用し
て、vCenter 経由で、VNX システムの基本的なストレージ コンポーネントを表示および
監視することができます。
㽷
セキュリティ管理者とストレージ管理者の権限を合わせたものが管理者の権限に相当しま
す。
セキュリティおよびシステムの整合性に関するベスト プラクティスとして、スーパーユーザー
（Unisphere の管理者）が、日常的な運用を行うときにすべての管理権限を持たないように
する必要があります。 許可される操作を別々のアカウントにセグメント化するときにはセキ
ュリティ管理者の役割を使用するようにします。 管理者の役割をセキュリティ管理者の役割
とストレージ管理者の役割に分割することによって、ストレージ管理者アカウントはストレー
ジ関連の操作の実行のみを許可され、セキュリティ管理者アカウントは、ドメインおよびセキ
ュリティ関連の機能の実行のみを許可されます。 セキュリティ管理者の役割を使用すること
で、完全な権限を持つアカウントを 1 つに減らし、日常的な運用のための職務を分離するこ
とができます。
Unisphere では、ユーザー アカウントを作成する必要があり、ユーザー アカウントは、ユー
ザー名、役割、およびスコープの固有の組み合わせによって識別されます。 この機能によ
り、ユーザー アカウントをセットアップするときの柔軟性が向上します。 ほとんどの IT 担当
者は、グローバル オペレータ アカウントを割り当てられると予想されるので、ドメイン内のす
べてのストレージ システムを監視することができます。 また、構成することを許可されてい
る特定のストレージ システムに対するローカル ストレージ管理者アカウントを IT 担当者に
割り当てることもできます。
それぞれの責務に適した権限を持つグローバル ユーザー アカウントを作成できます。 ロー
カル ドメインでグローバル ユーザー アカウントを作成するには、Unisphere にログインし、
［すべてのシステム ＞ ドメイン ＞ ユーザー］（タスク リスト）＞［グローバル ユーザーの管
理］を使用します。 あるいは、システムを選択した後、［設定 ＞ セキュリティ ＞ ユーザー管
理］（タスク リスト）を選択し、［グローバル ユーザー］を使用します。 選択したシステムがロ
ーカル ドメイン内のシステムの場合は、［設定］からしかグローバル ユーザーの機能にアク
セスできません。
それぞれの責務に適した権限を持つ File および Block システムのローカル ユーザー アカ
ウントを作成できます。 Block 用のローカル ユーザーは、ローカル システム上の Block 機
能のみ管理できます。 同様に、File 用のローカル ユーザーは、ローカル システム上の File
サーバー機能のみ管理できます。 新しい Block 用のローカル ユーザー アカウントを作成
するには、Unisphere にログインし、VNX for Block システムを選択して、［設定 ＞ ユーザー
管理］（タスク リスト）を選択し、［ロック用のローカル ユーザー］を使用します。 新しい File
用のローカル ユーザー アカウントを作成するには、Unisphere にログインし、VNX for File シ
ステムを選択して、［設定 ＞ ユーザー管理］（タスク リスト）を選択し、［ファイル用のローカ
ル ユーザー］を使用します。
Unisphere の主な役割
23
アクセス制御
ユーザー アカウント作成の詳細については、Unisphere のオンライン ヘルプを参照してくだ
さい。
データ保護の役割
データ保護（レプリケーション）タスクは、多くの場合サード パーティの担当者によって実行さ
れます。 以前のリリースではデータ保護タスクを実行するために、ユーザーがストレージ管
理者レベルの権限を持っている必要がありました。しかし、サード パーティの担当者にこの
レベルのアクセス権を許可するとセキュリティ上の問題が発生する可能性があります。 この
問題を解決するために、VNX システムには次の 3 つのデータ保護の役割が用意されてい
ます。
㽷
これらの役割のどれを使用する場合でも、ユーザーがスナップショット、クローン、SAN Copy
セッション、ミラーなどの新しいデータ保護オブジェクトを作成することはできません。 ユーザ
ーは、既存のデータ保護オブジェクトの制御のみを行うことができます。 ユーザーは自分が
制御できないオブジェクトのドメインを表示できます。これにより環境をよく理解することがで
きます。
l
ローカル データ保護 - SnapView（スナップショットとクローン）および Snapsure（チェック
ポイント）タスクのみを実行する権限を持ち、スナップショットのロールバックやクローン
のリバース同期などのリカバリ操作は実行できません。 また、新しいストレージ オブジ
ェクトを作成する権限もありません。
l
データ保護 - すべてのローカル データ保護権限タスク、MirrorView タスク、SAN Copy タ
スクが含まれますが、セカンダリのプロモートやミラーのフラクチャなどのデータ リカバリ
操作は実行できません。 また、新しいストレージ オブジェクトを作成する権限もありませ
ん。
l
データ リカバリ - ローカル データ保護とデータ保護の役割のすべての権限、およびデー
タ リカバリ タスクを実行する権限が含まれますが、新しいストレージ オブジェクトを作成
する権限はありません。
データ保護の役割の機能（24 ページ）に、データ保護タスクとそれらのタスクを実行する
権限を持つ役割の一覧を示します。 役割に基づくアクセスを使用して、特定のユーザーが
実行できる VNX for File の CLI コマンド（タスク）を決める方法については、VNX for File の
CLI の役割に基づくアクセス（105 ページ）を参照してください。
表 2 データ保護の役割の機能
タスク
ローカルなデータ データ保護
保護
データ リカバリ
（整合性のある）スナップ セッションの
開始
Yes
Yes
Yes
（整合性のある）スナップ セッションの
停止
Yes
Yes
Yes
スナップショット LUN に対するセッショ
ンのアクティブ化
Yes
Yes
Yes
スナップショット LUN のセッションの非
アクティブ化
Yes
Yes
Yes
クローンの同期
Yes
Yes
Yes
［SnapView］
24
VNX1, VNX2 VNX のセキュリティ構成ガイド
アクセス制御
表 2 データ保護の役割の機能 （続き）
タスク
ローカルなデータ データ保護
保護
データ リカバリ
クローンを切り離す
Yes
Yes
Yes
Snap セッションのロール バック
いいえ
いいえ
Yes
クローンのリバース同期
いいえ
いいえ
Yes
ミラー/コンシステンシ グループの同
期化
いいえ
Yes
Yes
ミラー/コンシステンシ グループのフラ
クチャ
いいえ
いいえ
Yes
非同期ミラーの更新パラメータの制御
いいえ
Yes
Yes
非同期ミラーの更新間隔の変更
いいえ
Yes
Yes
ミラー/コンシステンシ グループのスロ いいえ
ットル
Yes
Yes
同期または非同期セカンダリ ミラー/
コンシステンシ グループのプロモート
いいえ
いいえ
Yes
セッションの開始
いいえ
Yes
Yes
セッションの停止
いいえ
Yes
Yes
セッションの一時停止
いいえ
Yes
Yes
セッションの再開
いいえ
Yes
Yes
セッションにマークを付ける
いいえ
Yes
Yes
セッションのマーク解除
いいえ
Yes
Yes
セッションの検証
いいえ
Yes
Yes
セッションのスロットル
いいえ
Yes
Yes
［MirrorView］
［SAN Copy］
コンポーネントのアクセス制御
コンポーネントのアクセス制御設定により、外部または内部のシステムやコンポーネントに
よる製品へのアクセスが定義されます。
コンポーネント認証
ストレージ グループは、LUN のアクセス制御メカニズムです。 LUN のグループを特定のホ
ストによるアクセスから分離します。 ストレージ グループを構成するときには、1 つ以上のホ
ストによってのみ使用される LUN のセットを指定します。 これにより、ストレージ システムに
よって、そのホストから LUN へのアクセスが強制されます。 指定された LUN は、ストレージ
グループ内のホストにのみ提示され、ホストはそのグループ内の LUN のみを参照できます
（LUN マスキング）。 ストレージ グループを構成するには、システムを選択し、［ホスト ＞ スト
コンポーネントのアクセス制御
25
アクセス制御
レージ グループ］を使用します。 ストレージ グループの構成の詳細については、Unisphere
のオンライン ヘルプを参照してください。
IP フィルタリングを使用すると、管理者やセキュリティ管理者が、指定した IP アドレスへの管
理アクセスが制限されるようにストレージ システムを構成できるので、セキュリティの階層が
増加します。 これらの設定は、ローカル ストレージ システムに適用することも、ストレージ
システムのドメイン全体に適用することもできます。 IP フィルタリングの詳細については、安
全な保守設定（Block）（81 ページ）を参照してください。
VNX for File の CLI の役割に基づくアクセス
コマンド ライン インタフェースへのアクセスに使用する管理ユーザー アカウントは、特定の
権限（役割とも呼ばれる）に関連づけられます。 役割は、ユーザーが特定の VNX オブジェク
トに対して実行できる権限（操作）を定義します。 CLI、EMC Unisphere™、XML API を使用し
て VNX にアクセスするユーザーに対して、事前に定義された役割を選択したり、ユーザー
に特定の権限を与える独自の役割を定義したりする機能がサポートされています。
役割に基づくアクセスを使用して、特定のユーザーが実行できる VNX for File の CLI コマン
ドを決める方法については、VNX for File の CLI の役割に基づくアクセス（105 ページ）を参
照してください。
UNIX ユーザーに対する Windows スタイルの認証情報
VNX for File では、一般的な Windows スタイル（NT）の認証情報を作成できます。 そのた
め、ユーザーはファイル アクセス プロトコルに関係なく同じ認証情報を持つことになり、アク
セス コントロールの一貫性が確保されます。 この機能を構成する方法については、「VNX で
のマルチプロトコル環境の管理」を参照してください。
セッション トークンの保護
ユーザーと Unisphere 間の接続、および 2 つの VNX for File システム間の接続では、SHA1
を使用してチェックサムを生成することで、ログインしたユーザーを識別するためのセッショ
ン トークン（Cookie）を保護します。チェックサムを生成するために使用される SHA1 秘密値
は、インストール時にランダムに設定されます。ただし、セキュリティを強化するために、デフ
ォルトの SHA1 秘密値を変更できるようになっています。 この値を変更すると、既存のセッ
ション トークン（Cookie）は有効でなくなり、Unisphere の現在のユーザーはログインし直す
必要があります。 Control Station プロパティを変更するには、ユーザーが root である必要
があります。 詳細については、セッション トークンの保護（118 ページ）を参照してください。
CIFS Kerberos 認証 CIFS Kerberos にんしょう
VNX for File では、デフォルトで Kerberos 認証と NTLM 認証の両方が許可されています。
Windows 環境では Kerberos 認証方法が推奨されるため、NTLM 認証を無効化する場合が
あります この設定の構成方法については「server_cifs」 man page を参照し、認証について
は「VNX CIFS の構成と管理」を参照してください。
NFS セキュリティ設定
一般的に、NTF ファイル共有プロトコルは脆弱性があると考えられていますが、次の構成設
定を使用して NFS のセキュリティを向上させることができます。
l
一部（またはすべて）のホストに対して読み取り専用アクセスを定義する
l
特定のシステムまたはサブネットへの root アクセスを制限する
l
そのエントリーに対応するファイル システムにマウントする権利をクライアントが所有し
ていない場合は、エクスポートおよびマウント情報を非表示にする
また、強力な認証が必要な場合は、Kerberos を使用する Secure NFS を構成できます。 こ
れらの設定については、「VNX NFS の構成」を参照してください。
26
VNX1, VNX2 VNX のセキュリティ構成ガイド
アクセス制御
デフォルトでは、NFS エクスポートはすべて表示されます。 NFS エクスポートを非表示にする
には、server_param コマンドを使用して、マウント ファシリティ パラメーターの
［forceFullShowmount］値を変更する必要があります。
NFS および CIFS のアクセス ポリシー
VNX for File のカスタマイズ可能な一連のアクセス モードにより、現在の環境に合わせて、
NFS と CIFS アクセス間の最適な対話を選択できるようになります。 この機能を構成する方
法については、「VNX でのマルチプロトコル環境の管理」を参照してください。
セキュリティ属性を保持する方法、および NFS と CIFS ユーザー間の対話のタイプを選択で
きます。対話のタイプには、次のものがあります。
l
NATIVE
l
UNIX
l
NT
l
保護
l
MIXED
l
MIXED_COMPAT
NFSv4 を使用している場合、MIXED アクセス ポリシーが必要になります。
データ セキュリティ設定
データ セキュリティ設定を使用して、製品によって永続的に保存されたデータが不正な方法
で開示されることを防止するための管理方法を定義できます。
データの整合性
VNX システムは、いくつかの独自のデータ整合性機能を使用してシステム上の顧客データ
を保護します。
格納データの暗号化
格納データの暗号化機能（D@RE）（この機能は、VNX Operating Environment（OE）for Block
バージョン 5.33 以降を実行している VNX システムのみに関連しています）の詳細について
は、「データ セキュリティの設定（69 ページ）」を参照してください。
格納データの暗号化の詳細については、EMC オンライン サポート用 Web サイト（http://
Support.EMC.com）の「企業内の保存されたデータの暗号化へのアプローチ」を参照してくださ
い。
パスワード ポリシー
強力なパスワードは、セキュリティ戦略の重要な要素となります。 すべての VNX for File の
ローカル ユーザーに十分強力なパスワードを確実に使用させるため、ユーザー定義のパス
ワードに一定の複雑性を適用するパスワード品質ポリシーを定義できます。 この機能は、ド
メインにマップされているユーザーには適用されません。これらのユーザーのパスワード
は、ドメイン内のポリシーで管理されます。
デフォルトのパスワード ポリシーには、次の要件があります。
l
パスワードは 8 文字以上にする
l
許容される新しいパスワードを 3 回以内に定義しないと、コマンドが失敗する
NFS および CIFS のアクセス ポリシー
27
アクセス制御
l
前のパスワードで使用されていない文字を 3 文字以上含める
l
新しいパスワードには 1 文字以上の数字を含める
㽷
現在、パスワードでの特殊文字（!、@、#、$、%、&、^、*）や大文字/小文字の使用に関する
要件はありません。
VNX for File でのデフォルトのパスワード有効期限は 120 日です。
㽷
パスワード品質ポリシーを変更した場合、その変更はポリシーの改訂後に定義されたパス
ワードにのみ適用されます。
物理的セキュリティ統制
ストレージ システムを配置するエリアは、VNX システムの物理的セキュリティを確保できる
ように選択または構成する必要があります。 たとえば、十分なドアとロックを用意すること、
システムに対して監視下に置かれた許可された物理アクセスだけを認めること、信頼性の
高い電源を使用すること、標準的な配線のベスト プラクティスに従うことなど、基本的な対
策を行います。
さらに、シリアル ポート接続には特別な注意が必要です。 EMC および当社のサービス パー
トナーは、ストレージ プロセッサへのシリアル接続を使用して緊急アクセスを行うことができ
ます。 安全な保守設定（Block）（81 ページ）に記載されているように管理ポートへの許可
されたアクセスを管理すること、およびストレージ システムを物理的に安全な場所に設置す
ることはお客様の責任です。 これには、緊急保守用のシリアル ポートを含む、ストレージ プ
ロセッサへの物理的なアクセスの適切な保護が含まれます。
シリアル コンソールと SSH で匿名 root ログインを制限すると、VNX for File/Unified システ
ムのシステム セキュリティが強化されます。 詳細については、匿名 root ログインの制限
（140 ページ）を参照してください。
GRUB ブート ローダーをパスワードで保護すると、システムのセキュリティが強化されます。
GRUB のパスワードを設定するには、root アクセスが必要です。root ユーザーとして CLI に
ログインすることで設定できます。 GRUB 構成ファイルでパスワードを設定します。 多くの場
合、このファイルは、/etc/grub.conf、 /boot/grub/grub、/boot/grub/
menu.lst など、複数の場所のいずれかにあります。 平文のパスワードを設定するには、
GRUB 構成ファイルを編集して、コメント解除された最初の行の前に、次の行を追加します。
password［<password>］
ログイン バナーと今日のメッセージ
ログイン バナーと MOTD（今日のメッセージ）は、管理者が VNX for File ユーザーと連絡を取
る手段となります。 コマンド ライン インタフェースと Unisphere で、同じログイン バナーを確
認できます。 MOTD はコマンド ライン インタフェースからのみ確認できます。 Control
Station プロパティを変更するには、ユーザーが root である必要があります。
Unisphere からバナーを構成するには、［システム ＞ システム管理］（タスク リスト）＞
［Control Station のプロパティ］を選択します。 この機能については、Unisphere のオンライ
ン ヘルプを参照してください。
VNX for File CLI を使用してバナーと MOTD を構成する場合、詳細についてはセキュリティ構
成に関連する操作での VNX for File CLI の使用（115 ページ）を参照してください。
28
VNX1, VNX2 VNX のセキュリティ構成ガイド
第3章
ロギング
この章では、VNX（Block と File のみを含む）に実装されたさまざまなログ機能について説明
します。
次のトピックが含まれます。
l
l
l
l
l
ログの設定............................................................................................................30
VNX for Block システムの監査ログ.........................................................................30
VNX および RSA enVision...................................................................................... 31
VNX for File システムの監査.................................................................................. 31
格納データの暗号化の監査ログ............................................................................ 32
ロギング
29
ロギング
ログの設定
ログとは、システムにおける処理を時間ごとに記録したものであり、操作、手順、またはセキ
ュリティ関連のトランザクションにおけるイベント（最初から最終的な結果まで）に関連する、
あるいは、これらを引き起こした一連の処理を再現して検証する上で役立ちます。
VNX イベント ログには、ユーザー管理操作、サービス担当者による作業、ストレージ システ
ムの内部イベントに関連するメッセージが含まれており、ストレージ システムのソフトウェア
およびハードウェアの問題の診断と解決に役立ちます。
VNX for Block システムの監査ログ
監査ログは、すべてのアクティビティの記録を目的としており、次の機能を備えています。
l
疑わしいアクティビティのチェックを定期的に実行できます。
l
疑わしいアクティビティ範囲を決定できます。
規制当局の監査を受ける財務組織にとって、監査ログは特に重要です。
VNX for Block システムの監査情報は、各 SP 上のイベント ログに含まれています。 このロ
グには、ハードウェアとソフトウェアの診断情報および監査情報が含まれています。 タイム
スタンプ付きの各イベントのレコードが含まれ、各レコードには次の情報が含まれています。
l
イベント コード
l
イベントの説明
l
ストレージ システムの名前
l
対応する SP の名前
l
SP に関連づけられたホスト名
ストレージ管理サーバーがイベント ログに監査レコードを追加します。 ユーザーがログイン
するか、Unisphere を使用してリクエストを入力するか、Secure CLI コマンドを実行すると、そ
のたびに監査レコードが作成されます。 個々の監査レコードにはタイムスタンプが付き、各
リクエストについて次の追加情報を識別します。
l
リクエスタ（Unisphere ユーザー名）
l
要求タイプ
l
リクエストのターゲット
l
リクエストの成功または失敗
ストレージ管理サーバーは、監査ログをクリアする機能を管理者とセキュリティ管理者のみ
が使用できるように制限します。 許可されたユーザーによってログがクリアされるたびに、
新しいログの先頭にイベントが記録されます。 これにより、ユーザーが自分の操作の証拠
を削除できないようになっています。
RemotelyAnywhere ツールで実行するすべてのサービス アクションもログに記録されます。
これには、ログイン/ログアウト、失敗したログイン、ファイル転送、ファイルの変更、および
SP の再起動が含まれます。
VNX for Block システム上の SP イベント ログに保存できるイベントの数は固定されており、
制限を超えた場合は折り返されます。 制限を超えるまでには、ログ記録アクティビティに応
じて、数日、数週間、数カ月、数年かかることがあります。 そのため、セキュリティ要件で一
定期間にわたりすべてのログを保持する必要がある場合は、VNX for Block システムから定
期的にログをアーカイブする必要があります。 アーカイブは、CLI の［getlog］コマンドを使用
して実行できますが、Event Monitor テンプレートの［システム ログへの記録］オプションを使
30
VNX1, VNX2 VNX のセキュリティ構成ガイド
ロギング
用して Windows システム ログにイベントを記録するほうが統合的に実行できます。 その後
で必要に応じてこれらのログをアーカイブすることができます。
VNX および RSA enVision
VNX ストレージ システムのセキュリティをさらに強化するために、RSA enVision の継続的な
収集、モニタリング、および解析機能も活用します。 RSA enVision は、次の機能を実行しま
す。
l
［ログを収集］：ファイアウォールからデータベースまで、130 を超えるイベント ソースか
らイベント ログ データを収集します。 RSA enVision は、システムログ、OBDC、SNMP、
SFTP、OPSEC、または WMI など、標準の転送を使用して、独自のカスタム ソースからも
データを収集できます。
l
［ログを安全に保存］：ログの機密性と整合性を維持しながら、ログ データを後で分析す
る目的で保存できるように、圧縮して暗号化します。
l
［ログを分析］：データをリアルタイムで分析して、ただちにアラートや応答が必要な、異
常な動作がないかどうかを確認します。 RSA enVision 独自のログは、後のレポート作
成やフォレンジック解析にも最適化されています。 組み込み型のレポートとアラートを使
用すると、管理者や監査人は、理解しやすいログ データにすばやく簡単にアクセスでき
ます。
RSA enVision は、VNX ストレージ システムによってロギングされた管理イベントを収集およ
び分析し、VNX ストレージ システムに保存するこの情報のログを作成します。 これにより、
監査人は、VNX ストレージ システムで発生する管理イベントに関するスケジュール設定され
た、またはスケジュール設定されていないレポートに容易にアクセスできます。監査人は、
実際のデバイス自体にアクセスする必要がなく、また、VNX 管理アプリケーションの知識も
不要です。 具体的な用途には次のものがあります。
l
データのコピーを作成するための監査証跡の提供
l
レプリケーション サービスの異常時の、アラートおよびレポートの作成
l
日々のデバイス構成変更に関するレポートの作成
l
ユーザーのアクションに関するアラートおよびレポートの作成
l
取りはずされたディスクに関するアラートの作成
VNX for File システムの監査
VNX for File システムには、構成ファイルと、Control Station から開始された管理アクティビ
ティ（具体的には、主要なシステム ファイルとエンド ユーザー データへのアクセス）をキャプ
チャするコマンドがあります。 Control Station プロパティを変更するには、ユーザーが root
である必要があります。
VNX for File システムで監査を実装する方法の詳細については、EMC オンライン サポート用
Web サイト（http://Support.EMC.com）のテクニカル ノート「Celerra および VNX for File での
監査ツールの構成および使用」を参照してください。 テクニカル ノートにアクセスするには
1. ユーザー アカウント認証情報を使用して EMC オンライン サポート Web サイトにログイ
ンします。
2. ［Support by Product］をクリックします。
3. ［製品の検索］に「VNX シリーズ」と入力し、［>>］をクリックします。
4. ［ドキュメント>>］をクリックします。
5. ［タイトル］をクリックし、ドキュメントにスクロールします。
VNX および RSA enVision
31
ロギング
格納データの暗号化の監査ログ
格納データの暗号化機能（D@RE）では、個別に監査機能が提供されており、次のキースト
アの操作がログに記録されます。
l
機能の起動
l
キーの作成
l
キーの破棄
l
キーストアのバックアップ
l
ディスク暗号化の完了
l
SLIC の追加
キーストア操作の監査ログは、システムのプライベート領域に保存されます。 監査ログとチ
ェックサム情報を取得するには、VNX for Block securedata -auditlog CLI コマンドを
使用してください。 このコマンドの詳細については、「VNX for Block コマンド ライン インタフェ
ース リファレンス」を参照してください。
32
VNX1, VNX2 VNX のセキュリティ構成ガイド
第4章
通信セキュリティ
この章では、VNX、VNX for Fil、および VNX for Block システムに実装されたさまざまな通信
セキュリティ機能について説明します。
次のトピックが含まれます。
l
l
l
l
l
l
l
l
l
l
l
l
通信のセキュリティの設定..................................................................................... 34
ポートの使用......................................................................................................... 34
VNX for Block 上の Unisphere コンポーネントによって使用されるポート................. 34
ネットワーク上での VNX for file の機能.................................................................. 35
ネットワークの暗号化............................................................................................ 59
SSL 証明書............................................................................................................60
VNX for File での公開鍵基盤の計画に関する考慮事項.......................................... 62
VNX for File システム上の IP Packet Reflect............................................................65
フィルタリング管理ネットワークの効果....................................................................65
vSphere Storage API for Storage Awareness（VASA）のサポート..............................65
特別な構成........................................................................................................... 66
その他のセキュリティに関する考慮事項................................................................ 67
通信セキュリティ
33
通信セキュリティ
通信のセキュリティの設定
通信セキュリティ設定では、製品コンポーネント間および製品コンポーネントと外部システム
または外部コンポーネントの間での安全な通信チャネルを確立できます。
ポートの使用
さまざまのコンポーネントによってデータをやりとりするために使用されるポートは、
Unisphere の通信の重要な要素です。 高度なセキュリティを備えたネットワーク構成を必要
とするお客様は、さまざまな Unisphere コンポーネントがどのネットワーク ポートを必要とす
るかを理解する必要があります。 コンポーネント間にあるファイアウォールは、ソース コンポ
ーネントからデスティネーション コンポーネント上で指定されたポートへの接続を許可するよ
うに構成する必要があります。 また、ファイアウォールは、確立された接続のソースに戻さ
れるトラフィックも許可する必要があります（ほとんどの場合デフォルトで許可されます）。
VNX for Block のポートについては、VNX for Block 上の Unisphere コンポーネントによって
使用されるポート（34 ページ）を参照してください。 VNX for File（Control Station および
Data Mover）のポートについては、VNX for File プライマリ ネットワーク サービス（37 ペー
ジ）と VNX for File 送信ネットワーク接続（55 ページ）を参照してください。
VNX for Block 上の Unisphere コンポーネントによって使用されるポ
ート
Unisphere コンポーネントと通信に使用されるポートの一覧については、VNX for Block Unisphere コンポーネントによって使用されるポート（34 ページ）を参照してください。
表 3 VNX for Block - Unisphere コンポーネントによって使用されるポート
ソース コンポーネント
デスティネーション コ
ンポーネント
ネットワーク ポ プロトコル
ート
機能
タイプ
Unisphere
ストレージ マネジメント
サーバー
80/443 または
2162/2163a
HTTP/SSL
基本管理
アウトバンド
ストレージ マネジメント
サーバー
ストレージ マネジメント
サーバー
443 または
2163
HTTP/SSL
ストレージ システムからストレー アウトバンド
ジ システム ドメインへの通信
ストレージ マネジメント
サーバー
ホスト エージェント
6389
TCP
Unisphere に表示される LUN/
ボリューム マッピング情報
アウトバンド
SP エージェント（または
ホスト エージェント）
SMTP サーバー
25
TCP
メール アラート
アウトバンド
ホスト エージェント
SP Agent
6389
TCP
集中型の監視
アウトバンド
Unisphere Service
Manager
ストレージ マネジメント
サーバー
443 または
2163
TCP/SSL
サービス タスク
アウトバンド
Block CLI
ストレージ マネジメント
サーバー
443 または
2163
TCP/SSL
基本管理
アウトバンド
RemotelyAnywhere
RemotelyAnywhere ホス 9519、22
ト
TCP
リモート サポート、ログイン、
SSH アクセス
アウトバンド
34
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
表 3 VNX for Block - Unisphere コンポーネントによって使用されるポート （続き）
ソース コンポーネント
デスティネーション コ
ンポーネント
ネットワーク ポ プロトコル
ート
機能
タイプ
ストレージ マネジメント
サーバー
LDAP サーバー
389
TCP
Unsecure LDAP クエリー
アウトバンド
ストレージ マネジメント
サーバー
LDAP サーバー
636
TCP
Secure LDAP クエリー
アウトバンド
ストレージ管理サーバー
または iSCSI ポート b
iSNS Server
3205
TCP
iSNS（Internet Storage Naming
Service）
アウトバンド
iSCSI イニシエーター
VNX OE for block
3260
TCP
iSCSI データ接続
インバンド
Unisphere Storage
System Initialization
Utility
ストレージ マネジメント
サーバー
2162
UDP
アレイの検出
アウトバンド
ストレージ マネジメント
サーバー
Unisphere Storage
System Initialization
Utility
2163
UDP
検出リクエストに対する応答
アウトバンド
ストレージ マネジメント
サーバー
NTP サーバー
123
UDP
NTP 時間の同期化
アウトバンド
SP エージェント（または
ホスト エージェント）
SNMP マネージャ
161
UDP
SNMP トラップ
アウトバンド
ストレージ マネジメント
サーバー
ESX または Virtual
Center サーバー
443
HTTP/SSL
VM 対応 Unisphere
アウトバンド
a.
b.
2162/2163 は、デフォルトの HTTP および SSL/TLS ポートをターゲットとする攻撃から VNX for Block を隠すために使用できる代替のポ
ート ペアです（VNX Unified システムではサポートされません）。 保護されていない HTTP ポートでは Java アプレットのダウンロードのみ
が許可されます。 ストレージ システムとの他のすべての通信では保護された SSL/TLS ポートが使用されます。
iSNS の登録では、使用するポートに関係なくパケットが iSNS サーバーに正常にルーティングされます
ネットワーク上での VNX for file の機能
VNX for file は中核機能として CIFS（Common Internet File System）および NFS（ネットワー
ク ファイル システム）ファイル サーバーとして機能するように設計されています。 FTP および
TFTP サービスも使用できます。 これらの目的のために VNX for file にアクセスする方法（使
用するポートやプロトコルなど）は標準によって定義されています。 そのため、VNX for file
のネットワーク接続形態の大部分はこれらの標準によって規定されます。 さらに、すべての
ネットワーク デバイスと同じように、クライアント システムから必要とされる補助的なサービ
ス（VNX Replicator、ユーザー マッパなど）および互換性に関する考慮事項があり、VNX for
File がこれらのサービスを提供する理由となっています。
VNX for file のネットワーク接続形態については、いくつかの方法で検討および説明すること
ができます。 1 つの方法として、オープンなネットワーク ポートを想定し、それらの特徴（たと
えば、それらが標準のネットワーク サービスか VNX for file に固有のネットワーク サービス
か）を説明する方法があります。 これらのポートのほとんどは、標準のネットワーク ポートで
あり、外部向けの特性（ポート番号、認証方法、提供されるサービスなど）は既存の標準に
よって決定されます。 標準とは、通常は RFC（Request for Comments）のことですが、業界
標準を指す場合もあります （ほとんどの場合、業界標準は CIFS サービスに関連するもの
で、Microsoft のファイル サービスとの互換性が重要になります）。
ネットワーク上での VNX for file の機能
35
通信セキュリティ
VNX for file のネットワーク接続形態を説明する別の方法として、VNX for file 上のファイル
にアクセスするエンド ユーザーに提供されるサービスの種類、VNX for file を管理および監
視するために提供されるサービスの種類、ネットワーク環境で作業するために使用可能な
機能（たとえば、ポート 111 上のポートマップまたは rpcbind サービス）などを説明するより
高度な概念的アプローチをとることもできます。
VNX for File のネットワークの存在を確認および説明する別のコンテキスト的なアプローチと
して、次のような提供される適用可能なサービスの一覧を示すこともできます。
l
エンド ユーザーに提供されるサービス（VNX for File 上のファイルにアクセスするユーザ
ー）
l
VNX for File の管理および監視のために提供されるサービス
l
ネットワーク環境での作業に使用できるサービス（ポート 111 上のポートマップや
rpcbind サービスなど)
強固な防御
VNX for file 上のほとんどのオープン ネットワーク ポートの動作は、ネットワーク標準によっ
て規定されるため、関連するサービスを無効にしてポートを閉じる以外にこれらのポートを
保護するために VNX for file で使用できる追加手段はありません。 ポートマップなどのサー
ビスを無効にすると、VNX for file の一般的な操作の妨げとなり、場合によっては重大な影
響が発生します。
しかし、強固な防御の概念では、防御を強化してポートにアクセスできるユーザーを制御す
ることにより、すべての潜在的な脆弱性に対処する必要があります。 これは、ネットワーク
環境内のファイアウォール（VNX for file の外部）、または Control Station 上で IP テーブル
機能を有効にすることによって実現できる場合があります
さらに、VNX for file Data Mover は、ネットワーク接続を制御するための次の 2 つの強力な
メカニズムを提供します。
l
Packet Reflect
l
VLAN（仮想ローカル エリア ネットワーク）
Packet Reflect を使用すると、アウトバウンド（応答）パケットが、常に、インバウンド（リクエ
スト）パケットを受信したインタフェースと同じインタフェースを経由して送信されるようになり
ます。 Data Mover 上のネットワーク トラフィックの大部分（すべてのファイル システムの I/O
を含む）はクライアントによって開始されるため、Data Mover ではクライアント リクエストへ
の応答に Packet Reflect を使用します。 Packet Reflect を使用すると、応答パケットを送信
するルートを決定する必要がなくなります。 Packet Reflect はデフォルトで有効になっていま
す。
VLAN は物理ネットワーク構成から独立して機能する論理ネットワークです。 たとえば、
VLAN を使用すると、ある部門のすべてのコンピュータを同じ論理サブネット上に配置し、セ
キュリティを高めると同時にネットワーク ブロードキャストのトラフィックを軽減できます。
Packet Reflect、VLAN、およびこれらの機能の構成方法については、「VNX ネットワークの構
成と管理」を参照してください。
VNX for File のネットワーク サービス
Unisphere では、Control Station と Data Mover 上の一部のネットワーク サービス（および
関連する通信ポートとプロトコル）の現在の状態を一覧表示できます。 これらのサービスの
有効化、無効化、監視を行うことができます。 VNX for File のセキュリティを向上させるため
には、現在の環境で使用されていないネットワーク サービスを無効化して、VNX for File へ
のアクセスを制限する必要があります。 Control Station プロパティを変更するには、ユーザ
ーが root である必要があります。 Data Mover で実行されている一部のサービスについて
は、変更を適用するために再起動が必要になります。
36
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
Unisphere からネットワーク サービスを管理するには、［設定 ＞ ネットワーク ＞ ファイルの
設定 ＞ ネットワーク サービス］を選択します。 この機能については、Unisphere のオンライ
ン ヘルプを参照してください。
VNX for File のセッション タイムアウト
VNX for File では、Unisphere と Control Station シェルの両方がアクセスする管理セッション
に対して、セッション タイムアウトを適用します。 指定した期間、非アクティブな状態が続く
と、セッションはタイムアウトします。 セッションのタイムアウトは、デフォルトで有効にされて
います。 Control Station プロパティを変更するには、ユーザーが root である必要がありま
す。
Unisphere のセッション タイムアウトを管理するには、［設定］（タスク リスト）＞［アイドル タ
イムアウトの管理］を選択します。 この機能については、Unisphere のオンライン ヘルプを
参照してください。
VNX for File の CLI を使用してシェル セッション タイムアウトを管理することができます。 詳
細については、セッション タイムアウトの構成（117 ページ）を参照してください。
プライベート ネットワーク
VNX for File は、内部サブネットに 128.221.252、128.221.253、および 128.221.254 を使
用します。 これらのサブネットが既存のサブネットに干渉する場合は、EMC プロフェッショナ
ル サービスがシステムの初期インストール時にそれらを変更することができます。 インスト
ール中に、プライベート IP を使用して、EMC VNX for Block との接続が試行され（適切な場
合）、システムがゲートウェイまたは統合型システムのどちらであるかが特定されます。 そ
のため、インストール中にこれらのサブネットから特定の IP への ping が実行されます。 こ
のチェックはインストール中に限定されます。通常の動作中にはパブリック ネットワーク上で
のプライベート IP による通信は行われません。
VNX for File プライマリ ネットワーク サービス
VNX for File は、最上位レベルで NFS、CIFS、FTP、または TFTP ファイル アクセス サービスを
エンド ユーザーに提供します。 これらは、提供される最終的なサービスであり、VNX for file
がネットワーク環境内に存在する理由です。 VNX for file に関連する他のすべてのネットワ
ーク アクティビティは、ある程度はこれらの機能の補助的なものであり、これらの高レベル
のサービスをサポートするために追加のネットワーク サービスが存在します。
VNX for File に搭載されているネットワーク サービス コレクション（およびその対応するポー
ト）の概要については、VNX for File Data Mover のネットワーク ポート（41 ページ）と VNX
for File Control Station のネットワーク ポート（52 ページ）を参照してください。 VNX for
File Data Mover のネットワーク ポート（41 ページ）は Data Mover のサービスについて説
明しており、VNX for File Control Station のネットワーク ポート（52 ページ）は Control
Station のサービスについて説明しています。
㽷
すべての VNX for file の導入環境でこれらのすべてのサービスが使用できるわけではあり
ません。 たとえば、VNX for File システムが、CIFS ファイル サービスまたは NFS ファイル サ
ービスのどちらかを提供するように構成される場合があります。 また、一部のポートは動的
に割り当てられること、つまりサービスに関連づけられているポート番号が設定されていな
いことにも注意してください。 この場合、管理者は、以下の表とは異なるポートが使用されて
いることに気づく場合があります。
VNX for File のセッション タイムアウト
37
通信セキュリティ
VNX for File CIFS ネットワーク サービス
CIFS ネットワーク サービスが、VNX for File 上で有効になっていて、既存の Windows インフ
ラストラクチャ（Microsoft の Active Directory など）と連携するように構成されている場合、
広範囲に及ぶネットワーク サービス（およびそれらの対応するポート）を有効にする必要が
あります。 これらのポートの一部（Data Mover 上の 137、138、139）は、古い Windows シ
ステム（Windows NT 以前）をサポートするために存在します。 他のポートは、Active
Directory サーバーと通信し、ユーザーを認証したり GPO（グループ ポリシー オブジェクト）
構成ディレクティブを受信したりするために使用されます。
一般的に、ネットワーク トラフィックはマイクロソフトの方式に従って既存の標準セットを基に
して認証されます。 共有、ファイル、およびディレクトリへのアクセスは、Active Directory 認
証情報を使用して認証されます。 ただし、CIFS ユーザーの認証方法は非常に細かく制御さ
れます。 これは、VNX for file の管理に関するさまざまなドキュメントで詳しく説明されていま
す。 特に、次のドキュメントには役に立つ情報が記載されています。
l
「 VNX CIFS の構成と管理 」
l
「VNX でのマルチプロトコル環境の管理 」
CIFS ユーザーと NFS ユーザーが同時にファイルとディレクトリを使用できるようにする場合
は、これらのドキュメントが特に有効です。
Windows 2000 および 2003 環境の CIFS 用の標準の Kerberos ベースの Active Directory
認証方法に加えて、VNX for file は、Windows NT 環境および UNIX 用の NTLMv2 と、共有レ
ベルのパスワードもサポートします。 後者の 2 つの方法は推奨されません。これらは非常
に特別な環境をサポートするために存在しています。 CIFS の構成に関するドキュメントにこ
れらの使用方法の概要が記載されています。
同じ物理 Data Mover 内で複数の CIFS 環境を分離する場合、仮想 Data Mover（VDM）の使
用をお勧めします。 VDM は、VNX for File ソフトウェアの機能であり、管理者はこの機能を
使用して、ファイル システムと NFS および CIFS サーバーを仮想コンテナにグループ化する
ことができます。 各 VDM は多くの CIFS/NFS のポイント オブ プレゼンスをサポートすること
ができます。 単一の VDM に、DNS、LDAP、または NIS ユーザー ドメインが含まれます。 ご
使用の環境で複数の分離された AD ドメインが必要な場合は、各ドメインで別々の VDM を
使用する必要があります。 VDM の概念と管理方法の詳細については、「VNX 仮想 Data
Mover の構成」を参照してください。
VNX for file CIFS サービスの管理には、2 つの方向からのアプローチがあります。 ボリュー
ム、ファイル システム、および共有を作成するための初期プロビジョニングは、VNX for File
Control Station から（コマンド ライン インタフェースまたは Unisphere ソフトウェアのグラフィ
カル ユーザー インタフェースを使用して）実行されます。 ただし、共有のセキュリティ属性を
設定するには、Windows の管理ツールを使用する必要があります。 これは、従来の
Windows のワークフローや管理インフラストラクチャと統合したいというほとんどのお客様
の要望に沿うものです。
VNX for File CIFS ネットワーク接続形態
高レベルの CIFS サービスが、VNX for file 上で有効になっている場合、CIFS クライアント ア
クセスをサポートするために Data Mover 上でネットワーク サービスまたはポートのコレクシ
ョンが有効になります。 特定のポートの機能と動作については、VNX for File Data Mover の
ネットワーク ポート（41 ページ）を参照してください。 以下のポートがアクティブになりま
す。
38
l
ポート 137、138、および 139 — 古い CIFS クライアント用の NETBIOS サービス。
l
ポート 445 — CIFS ファイル サービス用の主要アクセスポイント。 これは、ポート 137、
138、および 139 を置き換えるものです。
l
ポート 12345 — Windows SID（セキュリティ識別子）を UNIX 形式の UID（ユーザー ID）
および GID（グループ ID）にマッピングする usermapper サービス用
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
SMB 暗号化と署名
VNX for File/Unified システムは、SMB 3.0 および Windows 2012 をサポートし、ネットワー
ク上の暗号化された CIFS トラフィックもサポートします。 この転送中のデータの暗号化で
は、CIFS サーバーとクライアント システムの間で送信されるすべての SMB データとリクエス
トをエンドツーエンドで暗号化し、それらの通信をネットワーク上の傍受やスヌーピング攻撃
から保護することができます。
SMB 暗号化は、共有ごと、あるいは CIFS または仮想 Data Mover（VDM）CIFS サーバーごと
に構成することができます。 共有の暗号化が定義されている場合、すべての SMB3 クライ
アントは共有に関するすべてのリクエストを暗号化する必要があります。暗号化しないと共
有へのアクセスが拒否されます。
㽷
SMB 暗号化の使用は、クライアントとサーバーの両方のパフォーマンスと CPU 使用率に影
響します。
SMB 暗号化を使用するには、server_export コマンドを使用するか、CIFS サーバーのレ
ジストリを使用して暗号化を設定します。 SMB クライアントで必要な設定はありません。
Encrypted という新しいタイプ オプションが server_export コマンドに追加されていま
す。 このオプションを設定した場合、CIFS 共有にアクセスするためにサーバーが暗号化さ
れたメッセージを必要とすることを示します。 たとえば、暗号化された SMB メッセージを介し
てのみアクセス可能な「share10」という共有を作成するには、server_export vdm1 -P
cifs -name share10 -o type=Encrypted /fs42/protected_dir1 と入力します。
CIFS/VDM CIFS サーバー レベルですべての共有を暗号化するために、EncryptData と
RejectUnencryptedAccess という新しい値が CIFS サーバーのレジストリ
（HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > LanmanServer >
Parameters）に追加されました。
表 4 SMB 暗号化のレジストリ値
レジストリ値
タイプ
デフォルト
値
EncryptData
DWORD 0（無効）
RejectUnencryptedAcc DWORD 1（有効）
ess
説明
有効な場合、SMB3 クライアントから CIFS サーバ
ーに対して確立されるすべてのセッションを暗号
化する必要があります。
有効な場合、SMB3 クライアントがメッセージを暗
号化する必要があります。 クライアントが暗号化
されていないメッセージを送信した場合、サーバ
ーは ACCESS_DENIED エラーを返します。 SMB1、
SMB2.0、および SMB2.1 クライアントも、暗号化さ
れたセッションを必要とする共有または CIFS サー
バーにアクセスすることはできません。
㽷
SMB 暗号化の設定の詳細については、「VNX for File コマンド ライン インタフェース リファレン
ス」および「VNX CIFS の構成と管理」テクニカル モジュールを参照してください。
受信トラフィックと送信トラフィックは、2 つの異なる秘密鍵を使用して暗号化されます。 どち
らもユーザーの認証が正常に完了した後に計算されます。 暗号化および複合化の 16 バイ
ト キーは、Counter Mode で KDF（Key Derivation Function）アルゴリズムを使用して生成さ
れます。 クライアントとサーバーの間のネットワーク上の SMB メッセージは、AES128-CCM
VNX for File プライマリ ネットワーク サービス
39
通信セキュリティ
暗号化アルゴリズムを使用して暗号化されます。 SMB2_NEGOTIATE と
SMB2_SESSION_SETUP を除く SMB2 メッセージを暗号化することができます。
また、SMB はデータ整合性検証（署名）も提供します。 このメカニズムを使用すると、パケッ
トがインターセプト、変更、またはリプレイされる心配がありません。 SMB 署名は、すべての
パケットに署名を追加し、第三者がパケットを変更していないことを保証します。 署名される
と、SMB2 メッセージで、メッセージの整合性を保証する 16 バイトの署名が SMB2_HEADER
バッファに含まれます。 SMB3 がネゴシエートされる場合、送信側は、AES128-CCM 暗号化
アルゴリズムを使用し、署名鍵を使用して SMB2 ヘッダからメッセージ全体の 16 バイトの
ハッシュを計算する必要があります。 署名鍵は、Counter Mode で KDF アルゴリズムを使用
して生成されます。 キーの取得で使用される PRF（Pseudo Random Function、疑似ランダム
関数）は HMAC-SHA256 にする必要があります。SMB 署名ポリシーは、グローバル ポリシ
ー オブジェクト（GPO）または Windows レジストリ設定を使用して変更することができます。
㽷
SMB 署名の構成の詳細については、「VNX CIFS の構成と管理」テクニカル モジュールおよび
「VNX for File パラメータ ガイド」を参照してください。
VNX for File NFS ネットワーク サービス
NFS ネットワーク サービスは、多くの場合、CIFS ネットワーク サービスよりも単純ですが、同
じレベルと認証およびエンタープライズ環境との密接な統合は提供しません。 高レベルの
NFS サービスが、VNX for file 上で有効になっている場合、NFS クライアント アクセスをサポ
ートするために Data Mover 上でネットワーク サービスまたはポートのコレクションが有効に
なります。 特定のポートの機能と動作については、VNX for file Data Mover のネットワーク
ポート（41 ページ）を参照してください。 以下のポートがアクティブになります。
l
Data Mover 上のポート 1234（マウントサービス用）
l
Data Mover 上のポート 2049（NFS および NFSv4 サービス用）
l
Data Mover 上のポート 31491（RFA（Remote File Access）サービス用）
VNX では、VDM（仮想 Data Mover）ごとに NFS サーバーを実装することにより、UNIX 環境
で Data Mover に対応するマルチネーミング ドメイン ソリューションが利用できます。 このソ
リューションは、「NFS エンドポイント」という名前の NFS サーバーを VDM ごとに実装します。
VDM は、NFS エンドポイントおよび/または CIFS サーバーによってエクスポートされるファイ
ル システムを含むコンテナとして使用されます。 VDM のこれらのファイル システムは、
VDM に接続された Data Mover ネットワーク インタフェースのサブセットを通じて表示されま
す。 同じネットワーク インタフェースをその VDM 上にある CIFS および NFS プロトコルの両
方で共有できます。 NFS エンドポイントおよび CIFS サーバーは、その特定の VDM に接続さ
れたネットワーク インタフェースを通じて対応されます。 この機能の詳細については、「VNX
仮想 Data Mover の構成」を参照してください。
㽷
NFS の情報については、「VNX NFS の構成」を参照してください。NFS と CIFS の両方をサポー
トするための VNX の構成に関する詳細については、「マルチプロトコル環境における VNX の
管理」を参照してください。
40
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
VNX for file Data Mover のネットワーク ポート
㽷
Unisphere を使用して、一部のネットワーク サービスを管理することができます。Unisphere
のインタフェースには、ほとんどのネットワーク サービスの現在のステータス（有効または無
効）が表示され、これによりサービスを簡単に有効または無効にすることができます。システ
ムを選択し、［ファイル設定］ > ［ネットワーク サービス］を選択します。ネットワーク サービス
の有効と無効の切り替えの詳細については、Unisphere オンライン ヘルプを参照してくださ
い。
表 5 VNX for file Data Mover のネットワーク ポート
ポート
プロトコル
デフォルトの状 サービス
態
備考
20
TCP
閉じている
FTP
FTP データ転送に使用されるポート。このポート
は、次の行で説明するように FTP を有効にするこ
とによって開くことができます。認証は、ポート 21
上で実行され、FTP プロトコルによって定義されま
す。
21
TCP
閉じている
FTP
ポート 21 は、制御ポートであり、FTP サービスは
このポート上で着信 FTP リクエストをリスンします。
すべての Data Mover が FTP サービスを実行しま
す。次のコマンドを使用して、FTP サービスを有効
にすることができます。
server_ftp ［<movername>］
-service -start
次のコマンドを使用して、FTP サービスを無効にす
ることができます。
server_ftp ［<movername>］
-service -stop
認証プロセスは FTP プロトコル定義（RFC 959）に
よって定義されており、変更できません。UNIX 名
または Windows のドメイン名とユーザー名
（domain\user）を使用して認証することができま
す。
Data Mover 上の FTP サービスの実行と管理の詳
細については、「VNX での FTP、TFTP、SFTP の使
用方法」を参照してください。
22
TCP
閉じている
SFTP（FTP over SSH）
SFTP はクライアント/サーバー プロトコルです。ユ
ーザーは SFTP を使用して、ローカル サブネット上
にある VNX システムでファイル転送を実行できま
す。基礎となる SSH バージョン 2 プロトコルは、シ
ステム間でのファイル転送を安全に行うための分
離レイヤーを提供します。
Data Mover 上の FTP サービスの実行と管理の詳
細については、「VNX での FTP、TFTP、SFTP の使
用方法」を参照してください。
VNX for File プライマリ ネットワーク サービス
41
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
69
UDP
閉じている
TFTP
備考
最初は、TFTP は UDP ポート 69 上でリスンしま
す。ポート 69 上でリクエストが読み取られると、
TFTP データ転送用に異なるポートがランダムに選
択されます。定義（RFC 1350）では、TFTP はリクエ
ストを認証しません。
TFTP サービスは、デフォルトでは開始されないの
で、手動で開始する必要があります。
次のコマンドを使用して、TFTP サービスを有効に
することができます。
server_tftp ［<movername>］
-service -start
次のコマンドを使用して、TFTP サービスを無効に
することができます。
server_tftp ［<movername>］
-service -stop
Data Mover 上の FTP サービスの実行と管理の詳
細については、「VNX での FTP、TFTP、SFTP の使
用方法」を参照してください。
111
TCP
UDP
開放
rpcbind（ネットワーク イ このポートは、標準の portmapper サービスまた
ンフラストラクチャ）
は rpcbind サービスによって開かれます。これは
補助的な VNX for file ネットワーク サービスです。
これは停止できません。定義上、クライアント シス
テムがポートへネットワーク接続できる場合、クエ
リーも実行できます。認証は行われません。
123
UDP
閉じている
NTP
このポートは NTP（Network Time Protocol）に関連
づけられています。このポートは、Data Mover 上
で NTP が構成されているときに開くことができま
す。
137
UDP
閉じている
NETBIOS Name Service
（CIFS）
次のコマンドを使用してこのポートを開くことがで
きます。
server_setup ［<movername>］
-Protocol cifs -option start
CIFS サービスを停止することによってこのポートを
閉じることができます。次のコマンドを使用しま
す。
server_setup［<movername>］-Protocol
cifs -option stop
これによりすべての CIFS 関連のサービスが無効
になることに注意してください。
NETBIOS Name Service は、VNX for file CIFS ファ
イル共有サービスに関連づけられており、この機
能のコア コンポーネントです。CIFS サービスが有
42
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
備考
効になっている場合、このポートは開かれていま
す。これは特に、Windows OS の初期バージョン
（Windows 2000 以前）で必要です。VNX for file
CIFS サービスに正当にアクセスできるクライアント
は、動作を続行するためにこのポートにネットワー
ク接続されている必要があります。
138
UDP
閉じている
NETBIOS Datagram
Service（CIFS）
次のコマンドを使用してこのポートを開くことがで
きます。
server_setup ［<movername>］
-Protocol cifs -option start
CIFS サービスを停止することによってこのポートを
閉じることができます。次のコマンドを使用しま
す。
server_setup［<movername>］-Protocol
cifs -option stop
これによりすべての CIFS 関連のサービスが無効
になることに注意してください。
NETBIOS Datagram Service は、VNX for file CIFS
ファイル共有サービスに関連づけられており、この
機能のコア コンポーネントです。CIFS サービスが
有効になっている場合、このポートは開かれてい
ます。これは特に、Windows OS の初期バージョ
ン（Windows 2000 以前）で必要です。VNX for file
CIFS サービスに正当にアクセスできるクライアント
は、動作を続行するためにこのポートにネットワー
ク接続されている必要があります。
139
TCP
閉じている
NETBIOS Session
Service（CIFS）
次のコマンドを使用してこのポートを開くことがで
きます。
server_setup ［<movername>］
-Protocol cifs -option start
CIFS サービスを停止することによってこのポートを
閉じることができます。次のコマンドを使用しま
す。
server_setup［<movername>］ -Protocol
cifs -option stop
これによりすべての CIFS 関連のサービスが無効
になることに注意してください。
NETBIOS Session Service は、VNX for File CIFS フ
ァイル共有サービスに関連づけられており、この
機能のコア コンポーネントです。CIFS サービスが
有効になっている場合、このポートは開かれてい
ます。これは特に、Windows OS の初期バージョ
ン（Windows 2000 以前）で必要です。VNX for file
CIFS サービスに正当にアクセスできるクライアント
VNX for File プライマリ ネットワーク サービス
43
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
備考
は、動作を続行するためにこのポートにネットワー
ク接続されている必要があります。
161
UDP
閉じている
SNMP
このポートは、SNMP（Simple Network
Management Protocol）を提供するために使用さ
れます。SNMP は、多くのサードパーティ管理ツー
ルによって使用される管理および監視サービスで
す。Data Mover 上で実行される SNMPD（SNMP
デーモン）は、SNMPv1、SNMPv2c、SNMPv3 をサ
ポートします。SNMPv3 は、IPv4 と IPv6 の他に、
SNMPv1 および SNMPv2c へのセキュリティ強化
機能をサポートします。
SNMPv1 と v2c の認証は、クライアント システム
が正しいコミュニティ文字列を使用していることが
基になります。デフォルトのコミュニティ文字列は
「public」であり、次のコマンドを使用して変更する
必要があります。
server_snmpd ［<movername>］ -modify
-community ［<community>］
SNMPv3 は認証パスワードとプライバシー パスワ
ードを使用します。次のコマンドを使用してこれら
を構成することができます。
server_snmpd ［<movername>］ -user
-create ［<user>］ -authpw -privpw
SNMP は、Control Station と Data Mover の間の
一部の通信で使用されます。無効にした場合、
server_netstat コマンドで適切に機能を終了
できます。
次のコマンドを使用して Data Mover 上の SNMP
サービスを無効にすることができます。
server_snmpd［<movername>］ -service
-stop
SNMP の詳細については、「VNX SNMPv3 の使用
方法」を参照してください。
445
TCP
開放
CIFS
このポートは、Windows 2000 以降のクライアント
用の新しいデフォルトの CIFS 接続ポートです。こ
のポートは、CIFS サービスを有効にすることによっ
て開かれます。次のコマンドを使用します。
server_setup ［<movername>］ Protocol cifs -option start
このポートは、CIFS サービスを停止することによっ
て閉じられます。次のコマンドを使用します。
server_setup ［<movername>］ Protocol cifs -option stop
44
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
備考
これによりすべての CIFS 関連のサービスが無効
になることに注意してください。
VNX for file CIFS サービスに正当にアクセスできる
クライアントは、動作を続行するためにこのポート
にネットワーク接続されている必要があります。認
証は、Microsoft の方式に従ってこのポート上で処
理されます。
500
UDP
閉じている
Iked
520
UDP
開放
RIP（Routing
次のコマンドを使用してこのポートを閉じることが
できます。
Information Protocol）
（ネットワーク インフラス
server_setup［<movername>］
トラクチャ）
-Protocol rip -option stop
このポートは、Internet Key Exchange デーモンに
よって使用されます
次のコマンドを使用してこのポートを開くことがで
きます。
server_setup ［<movername>］ Protocol rip -option start
RIP（Routing Information Protocol）は、1 つの組
織内でルートを作成するために最適化されたルー
ティング プロトコル（内部ゲートウェイ プロトコル）
です。RIP は、ホップ カウント（最大 15）をメトリック
として使用する距離ベクトル プロトコルです。RIP-1
では更新でマスクを送信しません。RIP-2 では更
新でマスクを送信します。
Data Mover 上の RIP サービスの目的と構成につ
いては、「VNX ネットワークの構成と管理」を参照し
てください。サービスを無効にする手順も記載され
ています。
989
TCP
閉じている
FTPS
FTPS データ転送ポート。最初にポート 990 上で接
続が確立され、データ接続はこのポート上で実行
されます。RFC 4217：「Securing FTP with TLS」を参
照してください。
990
TCP
閉じている
FTPS
FTPS セッションが最初に確立される FTPS 制御ポ
ート。認証プロセスは RFC 4217：「Securing FTP
with TLS」によって定義されています。UNIX 名また
は Windows のドメイン名とユーザー名（domain
\user）を使用して認証することができます。
FTPS と TSL/SSL の操作方法については、「VNX で
の FTP、TFTP、SFTP の使用方法」を参照してくださ
い。
1020
TCP（デフォルトで 閉じている
1024 より大きいポ
ート番号に設定さ
れます）
CDMS nfs FileMover for このポートは、CDMS nfs 移行サービスまたは
NFS
FileMover for NFS サービスで使用できます。両方
のサービスのクライアントは、動作を続行するため
VNX for File プライマリ ネットワーク サービス
45
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
UDP
備考
にこのポートにネットワーク接続されている必要が
あります。
ファイル システム移行操作の詳細については、
「NFS および CIFS 向け VNX File System Migration バ
ージョン 2.0」を参照してください。
FileMover 操作の詳細については、「VNX
FileMover の使用方法」を参照してください。
1021
TCP（デフォルトで 閉じている
1024 より大きいポ
ート番号に設定さ
れます）
UDP
CDMS nfs FileMover for このポートは、CDMS nfs 移行サービスまたは
NFS
FileMover for NFS サービスで使用できます。両方
のサービスのクライアントは、動作を続行するため
にこのポートにネットワーク接続されている必要が
あります。
ファイル システム移行操作の詳細については、
「NFS および CIFS 向け VNX File System Migration バ
ージョン 2.0」を参照してください。
FileMover 操作の詳細については、「VNX
FileMover の使用方法」を参照してください。
1234
TCP
UDP
開放
mountd（NFS）
このポートはマウント サービスのために使用され
ます。このサービスは、NFS サービス（バージョン
2 および 3）のコア コンポーネントであり、Data
Mover から外部的に認識される NFS エクスポート
がない場合でも、Control Station と Data Mover
の対話処理のために重要なコンポーネントです。
NFS エクスポートへのアクセスを制御するいくつか
の方法については「VNX NFS の構成」を参照してく
ださい。デフォルトのユーザー認証は AUTH_SYS
です。より強力な認証が必要な場合は、一般的に
Secure NFS を使用することができます。Secure
NFS は、エンド ユーザー向けの Kerberos 認証を
提供します。
2049
TCP
UDP
開放
NFS
このポートは、NFS サービスを提供するために使
用されます。NFS サービスは、Data Mover から外
部的に認識される NFS エクスポートがない場合で
も、Control Station と Data Mover の対話処理の
ために重要なコンポーネントです。
NFS エクスポートへのアクセスを制御するいくつか
の方法については「VNX NFS の構成」を参照してく
ださい。デフォルトのユーザー認証は AUTH_SYS
です。より強力な認証が必要な場合は、一般的に
Secure NFS を使用することができます。Secure
NFS は、エンド ユーザー向けの Kerberos 認証を
提供します。AUTH_SYS 認証を使用する場合、
VNX for file と NFSV4 クライアントの間でポート
2049 のみを開く必要があります。
46
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
2,400
TCP
UDP
閉じている
備考
FMP/Notify
このポートは、FMP/通知サービスを提供するため
に使用されます。このサービスは、VNX for File
NFS クラスタ製品によって使用されます。
NFS クラスタが構成されているかどうかを確認す
るには、nas_server -l コマンドを使用しま
す。クラスタのタイプは「group」です。NFS クラスタ
を削除するには、次のコマンドを使用します。
nas_server ［<cluster_name>］ -delete
4647
UDP
開放
lockd forward（NFS クラ これはパブリック サービスではありません。これ
スターのインフラストラ は、VNX for file 相互接続ネットワーク上でのみ使
クチャ）
用されます。外部クライアントはこのサービスに接
続する必要はありません。外部クライアントはファ
イアウォールによってブロックされる可能性があり
ます。このサービスは、VNX for file NFS クラスタ製
品によって使用されます。
NFS クラスタが構成されているかどうかを確認す
るには、nas_server -l コマンドを使用しま
す。クラスタのタイプは「group」です。NFS クラスタ
を削除するには、次のコマンドを使用します。
nas_server ［<cluster_name>］ -delete
4656
TCP
UDP
閉じている
FMP
（バージョン 8.x よりも前の VNX OE for File を実行
しているシステムにのみ該当）このポートは、
MPFS（Multi-Path File Services）機能と関連づけら
れます。次のコマンドを使用して、このポートを開く
ことができます。
server_setup ［<movername >］Protocol mpfs -option start
MPFS サービスが機能するには、クライアントが
FMP ポート上で VNX for file と通信することがで
き、VNX for file が FMP ポート（UNIX クライアント
の場合はポート 6907、Windows クライアントの場
合はポート 625）上でクライアントと通信できる必
要があります。
4658
TCP
開放
PAX（Portable Archive
Interchange）（バックア
ップ サービス）
PAX は、標準の UNIX テープ形式を処理する VNX
for file のアーカイブ プロトコルです。このプロトコ
ルは、Control Station と Data Mover 間でのみ使
用されます。プライベート ネットワークでのみ使用
されます。
ローカル テープ バップアップを使用しない場合
は、このサービスを無効化できます。このサービス
を無効にする方法については、Primus の ID
emc49339 を参照してください。
PAX のバックグラウンド情報は、バックアップおよ
び NDMP の関連する EMC マニュアルに記載され
ています。このトピックには、さまざまなバックアッ
VNX for File プライマリ ネットワーク サービス
47
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
備考
プ ツールを扱ったテクニカル モジュールがありま
す。
5033
TCP
開放
ネットワーク ブロック サ iSCSI に類似した（およびその先駆けである）EMC
ービス（NBS）
独自のプロトコル。このポートを開く NBS サービス
は、VNX for file のコア サービスであり、停止する
ことはできません。
外部的には、NBS はスナップショットおよびレプリ
ケーション制御機能に使用されます。
Control Station と Data Mover の通信で使用され
る場合、VNX for file のプライベート ファイル相互
接続ネットワークが使用されます。
5080
TCP
閉じている
HTTP（FileMover のサポ HTTP は、FileMover およびいくつかの Control
ートおよび内部インフラ Station と Data Mover の情報交換で転送メディア
ストラクチャ）
として使用されます。FileMover トラフィックは、ILM
関連ポリシー エンジンで Data Mover にコマンドを
送信するために使用されます。ポリシー エンジン
は、HTTP ダイジェスト認証方法を使用して認証さ
れます。詳細については、FileMover のドキュメン
トを参照してください。設定コマンドと監視コマンド
の説明については、「VNX FileMover の使用方法」
を参照してください。
Data Mover では HTTPS（HTTP over SSL）も使用で
きます。
HTTP 転送は、Control Station と Data Mover の対
話処理でも使用されるので、このサービスを無効
にすることはできません。ただし、この処理では、
Data Mover が VNX キャビネット内のプライベート
ネットワークを介して Control Station からの HTTP
リクエストを受け付けることがだけが必要です。外
部エージェントによる HTTP サービスへのアクセス
はデフォルトで無効になっています。
5081
TCP
開放
レプリケーション サービ Data Mover 間のレプリケーション コマンド。
ス
5083
TCP
開放
レプリケーション サービ このポートは、レプリケーション サービスに関連づ
ス
けられます。
5084
TCP
開放
レプリケーション サービ このポートは、レプリケーション サービスに関連づ
ス
けられます。
5085
TCP
開放
レプリケーション サービ このポートは、レプリケーション サービスに関連づ
ス
けられます。
7777
TCP
開放
統計情報モニタ サービ
ス
48
VNX1, VNX2 VNX のセキュリティ構成ガイド
これは、統計監視サービスのデフォルトのポート
です。次のコマンドを実行して、このサービスを閉
じることができます。 server_stats
［<movername>］ -service -stop
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
備考
このサービスの構成方法については、「VNX の統
計の管理」を参照してください。
8887
TCP
閉じている
レプリケーション サービ このポートは、プライマリ側でレプリケーションのた
めに使用されます。このポートは、DR（データ リカ
ス
バリ）がリクエストされたときに Replicator によって
開かれます。このポートは、DR が完了したときに
閉じられます。レプリケーション サービスを使用す
るクライアント（VNX for file システム以外）はこの
ポートと通信できる必要があります。
8888
レプリケーション
サービス
開放
RCP（レプリケーション
サービス）
このポートは、セカンダリ側で Replicator によって
使用されます。これは、何らかのデータのレプリケ
ーションが必要になると同時に、Replicator により
開かれたままになります。開始されたサービスを
停止する方法はありません。
レプリケーション サービスを使用するクライアント
（VNX for file サーバー以外）は、継続的に動作す
るために、同じファイアウォールの背後に置かれ
ている必要があります。
10000
TCP
開放
NDMP（バックアップ サ
ービス）
Network Data Management Protocol（NDMP）を使
用すると、サードパーティのソフトウェアをサーバ
ーにインストールしなくても、ネットワーク バックア
ップ アプリケーションで NDMP サーバーのバック
アップとリカバリを制御できます。VNX for file で
は、Data Mover が NDMP サーバーとして機能しま
す。
NDMP テープ バップアップを使用しない場合は、
NDMP サービスを無効化できます。
NDMP サービスの認証は、ユーザー名とパスワー
ドのペアが使用されます。ユーザー名は設定可能
です。さまざまな環境におけるパスワードの設定
方法については、NDMP マニュアルを参照してくだ
さい。
10001～
10004
TCP
閉じている
NDMP
単一の 3way バックアップ/リストアの場合のみ、
Data Mover 間の TCP 接続でポート 10001 を使用
します。複数の 3way バックアップ/リストア セッシ
ョンがある場合、Date Mover はポート 10001～
10004 を使用します。
12345
TCP
UDP
開放
UserMapper（CIFS）
このポートは、usermapper サービスにより開かれ
ます。このサービスは、VNX for file CIFS サービス
に関連づけられているコア サービスであり、特定
の環境では停止しないようにする必要がありま
す。
これは、SID ベースの Windows 認証情報を UNIX
ベースの UID および GID 値をマップするために使
用されるメソッドです。
VNX for File プライマリ ネットワーク サービス
49
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
備考
このポートは閉じることができます。このために
は、次のコマンドを使用します。
server_usermapper ［<movername>］
-disable
Windows のみの環境およびマルチプロトコル環
境でこのサービスを構成する方法については、
「VNX ユーザー マッピングの構成」を参照してくださ
い。
31491
UDP
開放
RFA（Remote File
Access）
NFS の機能
このポートを開くサービスは、RFA であり、NFS に
関連づけられている VNX for file のコア サービス
です。これは停止できません。
38914
UDP
閉じている
nfs forward（NFS クラス
ターのインフラストラク
チャ）
これはパブリック サービスではありません。これ
は、VNX for file 相互接続ネットワーク上でのみ使
用されます。外部クライアントはこのサービスに接
続する必要はありません。外部クライアントはファ
イアウォールによってブロックされる可能性があり
ます。このサービスは、VNX for File クラスタ製品
によって使用されます。
NFS クラスタが構成されているかどうかを確認す
るには、nas_server -l コマンドを使用しま
す。クラスタのタイプは「group」です。NFS クラスタ
を削除するには、次のコマンドを使用します。
nas_server ［<cluster_name>］ -delete
49152～
65535
TCP
UDP
開放
statd
NFS のサポート
statd は、NFS ファイル ロックのステータス モニタ
で、lockd と連動して機能して、NFS にクラッシュお
よびリカバリ機能を提供します（NFS は本質的にス
テータス情報を持たないプロトコルです）。
statd は、VNX for file のコア サービスですが、停
止することができます。このサービスを停止するに
は、次の手順を実行します。
1. vi を使用して次のファイルを編集します。
/nas/server/<server_name>/netd
2. statd 行をコメント アウトします。statd は
#statd になります。
3. Data Mover を再起動します。
これはアップグレード中に自動的にリセットされる
ことがあります。必ず再確認してください。VNX for
file NFS サービスに正当にアクセスできるクライア
ントは、このポートにネットワーク接続されている
必要があります。
49152～
65535
50
TCP
UDP
開放
VNX1, VNX2 VNX のセキュリティ構成ガイド
rquotad
クォータのサポート
rquotad デーモンは、ファイル システムをマウント
した NFS クライアントにクォータ情報を提供しま
す。VNX for file ファイル システムをマウントした
NFS ユーザーは、quota コマンドを使用して、ファ
通信セキュリティ
表 5 VNX for file Data Mover のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状 サービス
態
備考
イル システムのクォータ情報にアクセスできます。
このコマンドは、クライアント側で実行され、RPC を
使用して Data Mover の rquotad デーモンを調べ
ます。
この機能を使用するには、クライアントがファイル
システムをマウントしている必要があります。認証
は AUTH_SYS です。これは NFS プロトコルで使用
される認証に似ています。異なるユーザーのクォ
ータ情報を取得するには、ファイル システムに対
する root アクセス権を持っている必要がありま
す。rquotad を停止することはできません。
1. vi を使用して次のファイルを編集します。
/nas/server/<server_name>/netd
2. rquotad 行をコメント アウトします。rquotad
は#rquotad になります。
3. Data Mover を再起動します。
これはアップグレード中に自動的にリセットされる
ことがあります。必ず再確認してください。VNX for
file NFS サービスに正当にアクセスできるクライア
ントは、このポートにネットワーク接続されている
必要があります。
49152～
65535
TCP
UDP
開放
lockd
NFS のサポート
lockd は、NFS ファイル ロック デーモンです。この
デーモンは、NFS クライアントからのロック リクエ
ストを処理し、［statd］デーモンと連携して機能し
ます。
lockd は、VNX for file のコア サービスですが、停
止することができます。このサービスを停止するに
は、次の手順を実行します。
1. vi を使用して次のファイルを編集します。
/nas/server/<server_name>/netd
2. lockd 行をコメント アウトします。lockd は
#lockd になります。
3. Data Mover を再起動します。
これはアップグレード中に自動的にリセットされる
ことがあります。必ず再確認してください。
49152～
65535
TCP
UDP
開放
MAC
MAC は、Control Station と Data Mover の間の専
用管理プロトコルです。このプロトコルは、この 2
つの間のプライベート ネットワーク上でのみ使用
されます。
このプロトコルは、コア サービスであり、停止する
ことはできません。
VNX for File プライマリ ネットワーク サービス
51
通信セキュリティ
VNX for file Control Station のネットワーク ポート
㽷
Unisphere を使用して、一部のネットワーク サービスを管理することができます。Unisphere
のインタフェースには、ほとんどのネットワーク サービスの現在のステータス（有効または無
効）が表示され、これによりサービスを簡単に有効または無効にすることができます。システ
ムを選択し、［ファイル設定］ > ［ネットワーク サービス］を選択します。ネットワーク サービス
の有効と無効の切り替えの詳細については、Unisphere オンライン ヘルプを参照してくださ
い。
表 6 VNX for file Control Station のネットワーク ポート
ポート
プロトコル
デフォルトの状
態
サービス
コメント
22
TCP
オープン
SSH
SSH は、Control Station CLI を使用するためのシェ
ルを取得する際のデフォルトの方法です。Telnet お
よび他の関連サービスは、デフォルトでは有効にな
りません。SSH は、Control Station にアクセスする
ための推奨される方法です。認証は、Control
Station 上のローカル ユーザー アカウント情報を
使用して、SSH デーモンによって処理されます。
㽷
このポートはコマンド/sbin/service sshd
stop に続けて/sbin/chkconfig -levels
2345 sshd off を実行して閉じることができます
が、この方法は推奨されていません。
80
TCP
オープン
HTTP
これは標準の HTTP ポートです。このポートに送信
されるすべての HTTP 管理トラフィックは、HTTPS ポ
ート（443）に自動的にリダイレクトされます。ポート
80 上で提供されるサービスはありません。
111
TCP
UDP
オープン
rpcbind
このポートを開く標準の portmapper プロセスまた
は rpcbind プロセスは補助ネットワーク サービスで
す。このサービスは停止できません。クライアント
システムがポートにネットワーク接続されている場
合、クライアントはポートに対してクエリーを実行で
きます。認証は実行されません。
123
UDP
Closed
NTP
このポートは NTP（Network Time Protocol）に関連
づけられています。このポートは、Control Station
上で NTP が構成されているときに開くことができま
す。
161
UDP
Closed
SNMP
管理インフラストラクチ
ャ
SNMP は、多くのサードパーティの管理ツールによ
って使用される管理および監視サービスです。
Control Station では、RFC 1157 の定義に従って
SNMP バージョン 1 が使用されます。このバージョ
ンの SNMP では、監視対象の値を変更することは
できません。認証は、クライアント システムが正し
いコミュニティ文字列を使用していることが基になり
52
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
表 6 VNX for file Control Station のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状
態
サービス
コメント
ます。デフォルトのコミュニティ文字列は「public」で
あり、変更する必要があります。
SNMP を有効にするには、root アカウントからコマ
ンド/sbin/service snmpd start を実行し、
その後に［/sbin/chkconfig snmpd on］を実行し
ます。
SNMP サービスは、root アカウントからコマンド/
sbin/chkconfig snmpd off に続けて/
sbin/service snmpd stop を実行して無効
にすることができます。Control Station 上の SNMP
を無効にすると、外部 SNMP 管理プラットフォーム
は、自動検出も含めて、Control Station と通信でき
なくなります。エンタープライズ管理ソフトウェアを
使用しない場合、Control Station で SNMP を無効
にできます。
199
TCP
Closed
SMUX
このポートは、SNMP サービスに関連づけられてい
ます。
427
TCP
UDP
オープン
SLP
ストレージ システムにより提供される利用可能なサ
ービスをホスト（またはその他のリソース）が検出で
きるようにします。
443
TCP
オープン
HTTPS
これは、標準の HTTPS ポートであり、Unisphere と
Celerra Monitor の両方によって、Control Station
に送信される HTTP ベースの管理トラフィックで使
用されます。Unisphere で使用する場合、システム
へのアクセス権が付与されるには管理者がログイ
ンする必要があります。管理者は、ローカルの
Control Station の管理ユーザー アカウントに対し
て認証されます。Celerra Monitor には専用の認証
プロトコルがありますが、同じローカル管理ユーザ
ー アカウントのセットが使用されます。
631
TCP
UDP
Closed
CUPS
IPP
（バージョン 8.x よりも前の VNX OE for File を実行
しているシステムにのみ該当） このポートは、CUPS
（Common UNIX Printing System）または IPP
（Internet Printing Protocol）に関連づけられていま
す。
843
TCP
オープン
FLEX/フラッシュ
このポートは、crossdomain.xml ポリシー ファイル
に関連づけられています。
5988
TCP
オープン
SMI-S
デフォルトでは、EMC CIM サーバは、ポート 5988
（HTTP 用）とポート 5989（HTTPS 用）上でリスンしま
す。これらのポートが他のプロセスによって使用さ
れている場合、CIM サーバは起動しません。この
サービスの構成方法の詳細については、「VNX 用
SMI-S プロバイダ プログラマ向けガイド」を参照してく
ださい。
VNX for File プライマリ ネットワーク サービス
53
通信セキュリティ
表 6 VNX for file Control Station のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状
態
サービス
コメント
5989
TCP
オープン
SMI-S
詳細については、上の行の説明を参照してくださ
い。
6389
TCP
オープン
Naviagent
このポートはファイアウォールの背後に置くことが
できます。
8,000
TCP
オープン
HTTP
何らかの理由で HTTPS が不要な場合、Celerra
Monitor でこのポートを使用することができます。こ
のポートは、Control Station 間でやり取りされるレ
プリケーション コマンドでも使用されます。
Celerra Monitor が従うプロトコルでは、すべての受
信トラフィックが、認証され、有効なセッション トーク
ンを保持する必要があります。Control Station から
Control Station へのレプリケーション トラフィックで
は、Control Station 間の明示的な信頼関係が事前
に確立されている必要があります。その後で、各
HTTP リクエストが、送信元の Control Station によ
って暗号で署名されてから、受信先の Control
Station に送信されます。有効な署名がないと、
HTTP リクエストは受け付けられません。
このポートを有効なままにすることをお勧めしま
す。
8712
TCP
オープン
NBS
このポートは、NBS サービスによって VNX for file
上の Control Station ファイル システムにアクセス
するために使用されます。これは、Control Station
と Data Mover の間のプライベート ネットワークに
制限されます。
9823
TCP
オープン
nas_mcd
このポートは、2 つの nas_mcd プロセスが相互に
通信するために使用されます。これは、次の 2 つ
の場合に使用されます。
l
スタンバイ CS が、内部ネットワーク上でポート
9823 を使用するためにイベントを送信するよ
うにプライマリ CS に要求する場合。
l
VNX for File EMC SRDF および EMC
™
MirrorView で R1 および R2 の Control
Station がポート 9823 を使用して IP ネットワ
ーク経由で通信するように構成されている場
合。
®
MCD（Master Control デーモン）は、UNIX init プロ
セスと同じように、システムのモニターとして機能し
ますが、NAS を重視する NAS 固有の機能です。
このポートは、nas_mcd プロセス間の通信専用で
あり、非常に限定されたインタフェースを提供しま
すが、追加の認証は実行されません（標準の補助
ネットワーク サービスと同じです）。
9824
54
TCP
オープン
VNX1, VNX2 VNX のセキュリティ構成ガイド
共通キャッシュ
このサービスは、複数の内部ネットワーク インター
フェイスにバインドされる必要があり、その結果とし
通信セキュリティ
表 6 VNX for file Control Station のネットワーク ポート （続き）
ポート
プロトコル
デフォルトの状
態
サービス
コメント
て外部インターフェイスにもバインドされます。ただ
し、外部ネットワーク経由の着信リクエストは拒否さ
れます。い
必要な場合は、IP テーブルを使用して、このポート
への外部アクセスをブロックすることができます。
9825
TCP
オープン
Indication Manager
このサービスは、複数の内部ネットワーク インター
フェイスにバインドされる必要があり、その結果とし
て外部インターフェイスにもバインドされます。ただ
し、外部ネットワーク経由の着信リクエストは拒否さ
れます。い
必要な場合は、IP テーブルを使用して、このポート
への外部アクセスをブロックすることができます。
9826
TCP
オープン
Indication Manager
このサービスは、複数の内部ネットワーク インター
フェイスにバインドされる必要があり、その結果とし
て外部インターフェイスにもバインドされます。ただ
し、外部ネットワーク経由の着信リクエストは拒否さ
れます。い
必要な場合は、IP テーブルを使用して、このポート
への外部アクセスをブロックすることができます。
*コメントを参
照。
TCP
UDP
オープン
statd、lockd
*［statd］とともに動作する［lockd］デーモンといっ
た、Control Station 上で実行されるネイティブ
Linux の NFS RPC（リモート プロシージャ コール）サ
ービスでは動的ポートが使用されます。これらの動
的ポートは、
/sbin/service nfslock stop の実行後
に/sbin/chkconfig --levels 2345
nfslock off を実行することで閉じることができ
ます。
㽷
これらのコマンドを実行すると、NFS が正しく動作し
ないことがあります。
VNX for File 送信ネットワーク接続
たとえば、Microsoft Active Directory または LDAP サーバーなどのディレクトリ サーバーと
通信する場合など、いくつかの環境では、プライマリ サーバーである VNX for file もネットワ
ーク クライアントとして機能します。 これらの場合、VNX for file が通信を開始し、ネットワー
ク インフラストラクチャはこれらの接続をサポートする必要があります。 Data Mover によっ
て開始されるネットワーク接続（56 ページ）に、対応するサービスを適切に機能させるた
めに、Data Mover がアクセスを許可される必要があるポートについての説明が記載されて
います。 Control Station によって開始されるネットワーク接続（57 ページ）には、対応する
サービスを適切に機能させるために、Control Station がアクセスを許可される必要がある
ポートについての説明が記載されています。
VNX for File 送信ネットワーク接続
55
通信セキュリティ
Data Mover が接続するポート
表 7 Data Mover によって開始されるネットワーク接続
プロト
コル
ポート 目的
TCP/UD 53
P
DNS
すべての Windows 2000 以降のド
メイン コントローラ/DNS サーバー
TCP
FileMover
FileMover 用の発信 HTTP 接続
TCP/UD 88
P
Kerberos チケット
すべての Kerberos KDC（キー配布
センター）。 これは、Windows
2000 以降のドメイン コントロー
ラ、および UNIX と Linux の KDC
に適用されます。
TCP/UD 111
P
以下の複数の目的があります。
すべての NFS クライアント、VC サ
ーバー、および NIS サーバー
80
TCP/UD 137
P
UDP
TCP
UDP
138
139
161
TCP/UD 389
P
TCP
56
対象のホスト
443
VNX1, VNX2 VNX のセキュリティ構成ガイド
l
Portmapper
l
Data Mover は、NFSv4 認証の一部とし
てこのポートに接続する場合がありま
す。
以下の複数の目的があります。
l
WNS
l
Data Mover は、NFSv4 認証の一部とし
てこのポートに接続する場合がありま
す。
以下の複数の目的があります。
l
NETBIOS Datagram Service
l
Data Mover は、NFSv4 認証の一部とし
てこのポートに接続する場合がありま
す。
以下の複数の目的があります。
l
CIFS（ドメイン コントローラ上）
l
Data Mover は、NFSv4 認証の一部とし
てこのポートに接続する場合がありま
す。
すべての WINS サーバー
すべての CIFS クライアント（通知
およびポップアップのために使用
されます）
すべての Windows NT ドメイン コ
ントローラ
SNMP
Data Mover が SNMP トラップを送
信するすべてのホスト
以下の複数の目的があります。
すべての Windows 2000 以降のド
メイン コントローラまたは他の
LDAP サーバー
l
LDAP
l
Data Mover は、NFSv4 認証の一部とし
てこのポートに接続する場合がありま
す。
FileMover
FileMover 用の発信 HTTPS 接続
通信セキュリティ
表 7 Data Mover によって開始されるネットワーク接続 （続き）
プロト
コル
ポート 目的
対象のホスト
TCP
445
すべての Windows ドメイン コント
ローラ
TCP/UD 464
P
以下の複数の目的があります。
l
CIFS（ドメイン コントローラ上）
l
Data Mover は、NFSv4 認証の一部とし
てこのポートに接続する場合がありま
す。
すべての Windows 2000 以降のド
メイン コントローラまたは他の
KPASSWDP サーバー
以下の複数の目的があります。
l
Kerberos パスワード
l
Data Mover は、NFSv4 認証の一部とし
てこのポートに接続する場合がありま
す。
TCP/UD 625
P
（バージョン 8.x よりも前の VNX OE for File
を実行しているシステムにのみ該当）FMP
Windows MPFS クライアント
TCP/UD 636
P
LDAPS
SSL 経由の LDAP
TCP/UD 6907
P
（バージョン 8.x よりも前の VNX OE for File
を実行しているシステムにのみ該当）FMP
UNIX MPFS クライアント
UDP
LDAP
Windows 2000 以降の全般的なカ
タログへのクエリー
TCP/UD 動的
P
lOCKD
すべての NFS クライアント
TCP/UD 動的
P
Statd
すべての NFS クライアント
TCP/UD 動的
P
NIS
NIS サーバー
3268
Control Station が接続するポート
表 8 Control Station によって開始されるネットワーク接続
プロト ポート 目的
コル
対象のホスト
TCP
21
ConnectHome
構成済み ConnectEMC FTP サーバ
ー
TCP
25
通知
ConnectEMC またはアラートのため
の SMTP サーバー（構成されている
場合）
TCP/U 53
DP
DNS
DNS サーバー（構成されている場
合）
TCP
以下の複数の目的があります。
80
l
VNX for Block 管理コンソール
VNX for File 送信ネットワーク接続
57
通信セキュリティ
表 8 Control Station によって開始されるネットワーク接続 （続き）
プロト ポート 目的
コル
58
l
Navisphere
l
HTTP を使用した VNX for Block ストレー
ジ ドメイン マスターへの接続
対象のホスト
l
指定されたストレージ ドメイン
マスター
TCP/U 123
DP
NTP
NTP サーバー（構成されている場
合）
UDP
SNMP トラップ
VNX for Block 管理コンソール
TCP/U 389
DP
LDAP
すべての Windows 2000 以降のド
メイン コントローラまたは他の LDAP
サーバー
TCP
以下の複数の目的があります。
162
443
l
Navisphere
l
HTTP を使用した VNX for Block ストレー
ジ ドメイン マスターへの接続
l
一部のレプリケーション関連の
トラフィックのための Control
Station から Control Station へ
の通信
l
指定されたストレージ ドメイン
マスター
TCP/U 636
DP
LDAPS
TCP
2162
HTTP を使用した VNX for Block ストレージ ド 指定されたストレージ ドメイン マス
メイン マスターへの接続（オプション、ドメイ ター
ンがポート 80 の代わりにこのポートを使用
するように構成されている場合のみ必要で
す）
TCP
2163
HTTPS を使用した VNX for Block ストレージ 指定されたストレージ ドメイン マス
ドメイン マスターへの接続（オプション、ドメ
ター
インがポート 443 の代わりにこのポートを使
用するように構成されている場合のみ必要
です）
TCP
8000
以下の複数の目的があります。
l
Navisphere
l
HTTP を使用した VNX for Block ストレー
ジ ドメイン マスターへの接続
SSL を使用するすべての Windows
2000 以降のドメイン コントローラま
たは他の LDAP サーバー
l
一部のレプリケーション関連の
トラフィックのための Control
Station から Control Station へ
の通信
l
指定されたストレージ ドメイン
マスター
TCP
9998
HTTP を使用した VNX for Block ストレージ ド 指定されたストレージ ドメイン マス
メイン マスターへの接続（オプション、ドメイ ター
ンがポート 80 の代わりにこのポートを使用
するように構成されている場合のみ必要で
す）
TCP
9999
HTTPS を使用した VNX for Block ストレージ 指定されたストレージ マスター
ドメイン マスターへの接続（オプション、ドメ
インがポート 443 の代わりにこのポートを使
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
表 8 Control Station によって開始されるネットワーク接続 （続き）
プロト ポート 目的
コル
対象のホスト
用するように構成されている場合のみ必要
です）
ネットワークの暗号化
ストレージ管理サーバーは、VNX for Block で Unisphere コンポーネントによって使用される
ポート（34 ページ）に示すようなストレージ管理サーバーと通信相手のクライアント コンポー
ネントの間で渡されるすべてのデータ（Web ブラウザー、Secure CLI）およびストレージ管理
サーバー間で渡されるすべてのデータを 256 ビット（また 128 ビットもサポートされます）対
称暗号化します。 暗号化は SSL/TLS を使用して行われ、RSA 暗号化アルゴリズムが採用さ
れており、E コマースと同じ強度の暗号形式を実現しています。 暗号化により、データが企
業ファイアウォール内のローカル LAN に存在するのか、またはストレージ システムがインタ
ーネット経由でリモートから管理されているのかを問わず、転送されるデータがのぞき見さ
れないようにします。
ストレージ管理サーバーは、業界標準のポート 443 を使用して SSL/TLS をサポートするた
め、ファイアウォールのルール セットとの統合が容易です。 業界標準以外のポートを使用
する必要があるお客様のために、ストレージ管理サーバーはポート 2163 を使用した
SSL/TLS もサポートします（VNX for Block のみ）。 ポートの選択は、ストレージ システム ネッ
トワークを設定するときに行います。 SSL/TLS 通信には、同じドメイン内にインストールされ
るすべてのストレージ管理サーバーで同じポートを使用することを推奨します。
㽷
Unisphere が Web ブラウザ内で動作する Java ベースのアプレットです。 アプレットがダウ
ンロードされると、ブラウザではなく、アプレットが SSL/TLS を使って通信します。 ブラウザの
URL は変わりません。
VNX for File は、Data Mover の HTTP（Hypertext Transfer Protocol）接続および LDAP
（Lightweight Directory Access Protocol）接続で SSL（Secure Socket Layer）をサポートしま
す。
Windows ホスト上にインストールされるストレージ管理サーバーのインスタンスは、SP 上で
実行されるものと同じ通信セキュリティ メカニズムを使用します。ただし、アプリケーションは
ホスト上で実行されるので、Unisphere ドメイン構成およびセキュリティ情報を保護するため
の追加のセキュリティ対策が実施されます。 まず、管理者レベルのアカウントのみがインス
トール ディレクトリにアクセスできるように ACL が設定されます。 さらに、ファイルが暗号化
されます。
VNX Unified/File システムでの SSL の構成
SSL 構成は、/nas/httpd/conf/httpd.conf ディレクトリに含まれており、NAS（ネットワーク ス
トレージ エリア）が稼動しているときの SSL 通信を制限します。 既存の SSL 構成を使用す
ることを推奨します。ただし、VNX Unified/File システムの SSL 構成を変更する必要がある
場合は、root として/nas/httpd/conf/httpd.conf を変更する必要があります。
ネットワークの暗号化
59
通信セキュリティ
㽷
httpd.conf に加えた変更は、アップグレードを実行すると失われます。 /nas/httpd/conf/
httpd.conf の以前の変更を使用する予定の場合は、変更内容を記録してください。 アップ
グレードが完了した後で、/nas/httpd/conf/httpd.conf の以前の変更を再び入力する必要
があります。
HTTPS の使用
現在、VNX for File の FileMover 機能では、HTTPS および SSL の暗号化および認証機能を
使用しています。 FileMover 用に HTTP で SSL を使用するように構成する方法については、
「VNX FileMover の使用方法」を参照してください。 SSL で使用される鍵と証明書は、PKI を使
用して管理されます。 PKI は Unisphere および CLI で使用できます。 PKI 機能の概要につ
いては、VNX for File での公開鍵基盤の計画に関する考慮事項（62 ページ）を参照してく
ださい。
LDAP SSL の使用
現在、OpenLDAP、iPlanet、Active Directory に対する VNX for File のネーム サービスのサ
ポートでは、LDAP および SSL の暗号化および認証機能が使用されています。 OpenLDAP
や iPlanet の LDAP ベースのディレクトリ サーバーに使用する LDAP 付き SSL を構成する方
法については、「VNX ネーム サービスの構成」を参照してください。 SSL で使用される鍵と証
明書は、PKI を使用して管理されます。 PKI は VNX for File CLI および Unisphere 経由で使
用できます。 PKI 機能の概要については、VNX for File での公開鍵基盤の計画に関する考
慮事項（62 ページ）を参照してください。
SSL 証明書
クライアントがネットワーク経由でサーバに接続するたびにクライアントがサーバの ID を検
証できるようにすることが重要です。そのようにしないと、ネットワーク上の任意のノードがサ
ーバになりすましてクライアントから情報を抽出する可能性があります。これは中間者攻撃
として知られています。
Unisphere では、公開鍵暗号形式を使用してストレージ管理サーバの ID を検証します。各
VNX SP および Control Station は、PKI 証明書を備えており、そこにはストレージ管理サー
バがクライアントに提示する対応する公開鍵が含まれています。この証明書は、デフォルト
で自己署名されますが、ユーザーは信頼できるサード パーティによって署名された証明書
をインポートすることができます。クライアントがその信頼できるサード パーティに対する
root 証明書を保有している場合（Web ブラウザには一般的な認証機関からの証明書がプリ
インストールされています）、そのサーバは本質的に信頼されます。これは、Web ブラウザ
がほとんどの安全な Web サイトを本質的に信頼するのと同じメカニズムです。
㽷
VNX システムでは最初から SHA-1 証明書がサポートされています。SHA-2 をサポートする
には、独自の SHA-2 証明書をインポートする必要があります。
証明書には 2048 ビット RSA で暗号化された鍵が含まれている必要がありますが、最小
1024 ビットの鍵もインポートを許可されます。VNX for Block の場合、ユーザー証明書を管
理するためのインターフェイスは、次の場所にあります。
https://<SP_IP_address>/setup（ユーザー名とパスワードによる認証、または
naviseccli security-pkcs12upload スイッチが必要です）
60
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
㽷
VNX for Block のユーザー証明書を管理するためのインターフェイスについては、EMC オン
ライン サポート用 Web サイト（http://Support.EMC.com）にあるナレッジベースの記事「How
to create and import SSL certificate via openssl/CA to VNX/Clariion SP (with or without SHA2)」
を参照してください。naviseccli コマンドの詳細については、mydocs.emc.com にある「VNX
Series Command Line Interface Reference for Block」を参照してください。
Unisphere は、接続先のストレージ システムの証明書を検証するだけでなく、ドメイン内の
すべての VNX システムの証明書を検証します。USM（Unisphere Service Manager）、CLI、
Unisphere Server Utility のようなその他のクライアント ソフトウェアは、ストレージ システム
への接続時に証明書の検証を実行します。ストレージ システムで実行されている管理サー
バも、LDAP や ESX/Virtual Center のような外部サーバに接続する際に証明書を検証しま
す。
仕組み
クライアント（Unisphere、CLI、USM など）がサーバ（ストレージ管理サーバ、LDAP など）に初
めて接続するときに、サーバから証明書を提示されます。ユーザーは証明書の詳細を確認
して、その証明書を受け入れるか拒否するかを判断できます。ユーザーが証明書を拒否し
た場合、サーバとの通信が停止します。ユーザーが証明書の受け入れた場合、通信が続
行され、証明書が証明書ストアに保存されます。次にクライアントとそのサーバが通信する
ときには、サーバの証明書は証明書ストア内の証明書を使用して検証されます。プロンプト
はサーバとの初めての通信時に表示されます。証明書が保存されると、証明書検証プロセ
スはバックグラウンドで実行されます。
サーバに初めて接続したときに次のオプションがユーザーに表示されます。
セッションの間受け入れる - このセッションの間のみシステムを管理するための証明書
を受け入れます。以降のセッションでは証明書の受け入れを求めるプロンプトが再び表
示されます。
l
常に受け入れる - このオプションを選択すると、証明書がクライアントの証明書ストアに
保存されます。その後の通信では証明書はバックグラウンド タスクで検証されます。ユ
ーザーにプロンプトが再び表示されることはありません。
l
拒否 - ユーザーが証明書を信頼しない場合、ユーザーは証明書の拒否を選択すること
ができ、通信は停止します。
Unisphere と USM は、証明書の保存に Java 証明書ストアを使用します。証明書ストアは、
Java のコントロール パネルを使用して管理できます。Block CLI および Unisphere Server
Utility は、クライアントのユーザー ディレクトリに証明書ストアを作成します。Unisphere、
USM、および Unisphere Server Utility では、ストレージ システムへの接続時に証明書の検
証を実行します。
l
ストレージ管理サーバも、LDAP や ESX/Virtual Center サーバと通信するときに証明書の検
証を実行します。証明書はストレージ システムに保存され、［LDAP サーバーと VMware サ
ーバーの信頼された証明書］に表示されます（Unisphere では［設定］ > ［セキュリティ］ > ［ブ
ロックのサーバー証明書］を使用します）。
SSL を使用したディレクトリ サーバーへの接続
LDAP トラフィックを保護し、クライアントとサーバー アプリケーションのセキュリティを向上さ
せるため、LDAP ベースのディレクトリ サーバーでは SSL の利用をサポートできるようになっ
ています。場合によっては、SSL を利用することが必要となります。 SSL を使用した場合、暗
号化機能と認証機能を利用できます。 ネットワーク上で転送されるデータが暗号化され、ま
た、メッセージとサーバーが認証されます。 サーバーから要求された場合、クライアント認
証もサポートします。 SSL では、デジタル証明書（信頼性は CA により検証される）が使用さ
れます。
LDAP クライアントでは、SSL クライアントを基盤として、LDAP ベースのディレクトリ サーバー
から受信した証明書を認証します。 証明書の検証の成功条件として、CA 証明書（ディレクト
SSL を使用したディレクトリ サーバーへの接続
61
通信セキュリティ
リ サーバーの証明書に署名を行った CA からの証明書）が Control Station にインポートさ
れている必要があります。そうでない場合、証明書の検証は失敗します。
㽷
Control Station の LDAP ベースのクライアント実装では、相互 SSL クライアント認証はサポ
ートされていません。
VNX for File での公開鍵基盤の計画に関する考慮事項
VNX for File の PKI（公開鍵基盤）は、SSL が有効な Data Mover LDAP および HTTP 接続に
デジタル証明書を使用できるようにする、ソフトウェア管理システムとデータベース システム
を実現します。 SSL では、接続の一端または両端を識別するために、CA（認証局）によって
信頼性が検証された証明書が使用されます。これにより、クライアントとサーバー間のセキ
ュリティが強化されます。
㽷
VNX for File の PKI フレームワークは、X.509 証明書規格をサポートします。 証明書は、DER
（Distinguished Encoding Rules）を使用してエンコードされます。また、メール システム経由
で容易に配布できるように、さらに PEM（Privacy Enhanced Mail）形式でエンコードすること
もできます。
ペルソナ
ペルソナは、Data Mover がサーバーまたはクライアントとして動作する場合に、その ID を
指定するために使用されます。 クライアントとの間のセキュリティ保護された接続をネゴシエ
ートする場合（外部ポリシーと FileMover で使用される移行ソフトウェアなど）、ペルソナは、
Data Mover（サーバーとして動作）に対して秘密鍵および証明書を指定します。 この証明書
により、クライアントはサーバーを識別し、認証することができます。 クライアント認証を要求
するように構成されたサーバーとのセキュリティで保護された接続をネゴシエートする場合、
ペルソナは、Data Mover（クライアントとして動作）に対して秘密鍵および証明書を指定しま
す。 この証明書により、サーバーはクライアントを識別し、認証できます。
デフォルトでは、各 Data Mover は default という 1 個のペルソナで構成されます。 ペルソナ
が Data Mover に対して指定する証明書を作成するには、まずペルソナの公開鍵/秘密鍵
のセットを生成します。 次に、CA による署名済み証明書を要求する必要があります。 証明
書要求は、PEM（Privacy Enhanced Mail）形式でのみ生成されます。
㽷
現在は、それぞれの Data Mover には 1 個のペルソナのみが許可されます。 VNX for File
では、追加のペルソナを作成するメカニズムはサポートされません。
Control Station を CA として使用している場合、Control Station では、証明書要求を自動的
に受け取り、証明書を生成および署名して Data Mover に返します。 Control Station では、
キャビネット内のすべての Data Mover の証明書に署名できます。 これを使用して、外部ホ
ストの証明書に署名することはできません。
外部 CA を使用している場合、証明書要求を手動で送信する必要があります。 公開鍵に対
する署名要求は、公開鍵/秘密鍵のセットとともに生成されます。 その内容を検証するに
は、ペルソナのプロパティを表示します 証明書要求のコピーを取得してから、当該機関の
Web サイトまたはメール経由で CA に要求を送信します。
CA から署名済み証明書が返されたら、それを Data Mover にインポートする必要がありま
す。 署名済み証明書をインポートするには、パスを指定してファイルをインポートするか、対
応するテキストをカット アンド ペーストします。 ファイルは、DER（Distinguished Encoding
62
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
Rules）形式でも PEM 形式でもかまいません。 PEM 形式の場合のみ、テキストをカット アン
ド ペーストできます。
各ペルソナは、最大で 2 個の鍵と証明書のセット（現在と次回）に関連づけることができま
す。これにより、現在の証明書の有効期限が切れる前に、新しい鍵と証明書を生成できま
す。 次回の証明書（すでに有効）をインポートすると、その証明書および対応する鍵のセット
が、即座に現在の鍵セットおよび証明書となります。
通常、次回の証明書は必要になった場合に生成されるため、ペルソナに関連づけられた次
回の証明書を確認することはありません。 ただし、Data Mover と CA（または CA として動作
している Control Station）の間で時間差がある場合、次回の証明書が待機状態になってい
る場合があります。 たとえば、CA が証明書に将来の開始日を割り当てることで、証明書が
事前に準備される場合があります。 合併により吸収される会社などは、そのような証明書
が正式な合併日に配備されるように設定する場合があります。
次回の証明書が有効になり（Data Mover 時間ごと）、以下のいずれかが行われた場合、次
回の証明書が現在の証明書になります（現在の鍵と証明書は削除されます）。
l
ペルソナに対するクエリーが（CLI または Unisphere から）実行される。
l
ペルソナの鍵と証明書が Data Mover の機能（SSL など）によって要求される。
証明書の有効期限が切れると、その証明書を使用しようとしても失敗します（通常、接続が
失われるか、再接続できません）。 新しい証明書が利用可能になると、それが要求された
場合に PKI で古い証明書が削除され、新しい証明書が作成されます。 ただし、現在の証明
書の有効期限が切れる前に新しい証明書を取得しておかないと、証明書要求は失敗しま
す。 PKI は、ペルソナに対して有効期限が切れた証明書は提供しません。
有効期限が切れた公開鍵証明書を自動的に確認する方法はありません。 ペルソナをリスト
し、対応する証明書の有効期限が切れる日付を確認することで、有効期限が切れた証明書
を手動で確認する必要があります。 その後、組織のビジネス プラクティスに基づいて対処し
ます。
CA（認証局）の証明書
VNX for File ベースのクライアント アプリケーションがサーバーとのネットワーク接続（そのセ
カンダリ ストレージとの FileMover 接続など）をリクエストする場合、サーバーは、セキュリテ
ィ保護された接続のネゴシエーションの一部として証明書を指定します。 クライアント アプリ
ケーションは、証明書を検証することで、サーバーの ID を確認します。 CA 証明書の公開鍵
とともにサーバー証明書の署名を検証して、この確認を行います。
必要な CA 証明書の取得は、手動で行います。 通常、実際の操作を行う前に、該当する CA
を識別する必要があります。 次に、利用可能な CA 証明書のリストを確認します。 新しい
CA 証明書が必要であり、外部 CA が使用されている場合、当該機関の Web サイトまたは
セキュリティ担当者から CA 証明書を取得できます。 CA がローカルである場合（エンタープ
ライズ レベルまたは組織内）、CA を管理する担当者から CA 証明書を取得します。
CA 証明書をシステムに認識させるには、インポートする必要があります。 パスを指定してフ
ァイルをインポートするか、対応するテキストをカット アンド ペーストします。 ファイルは DER
形式または PEM 形式です。 PEM 形式の場合のみ、テキストをカット アンド ペーストできま
す。
CA としての Control Station の使用
システムがインストールまたはアップグレードされると、システム ソフトウェアは、Control
Station の鍵セットと証明書を自動的に生成します。 Control Station は、この鍵セットと証明
書を使用して、Data Mover からの証明書要求に署名します。 ただし、Control Station を CA
として正常に動作させ、Data Mover にそれを CA と認識させるには、いくつかの構成タスク
を実行する必要があります。
l
Control Station CA 証明書をネットワーク クライアントに配布します。 ネットワーク クライ
アントが、Data Mover から送信される Control Station により署名済みの証明書を検証
CA（認証局）の証明書
63
通信セキュリティ
するには、クライアントは Data Mover 証明書の署名を検証するための CA 証明書の公
開鍵を保持している必要があります。
l
CA 証明書を（外部の CA からの CA 証明書とともに）インポートします。
Control Station 証明書のコピーは、CLI を使用することでのみ取得できます。 Control
Station の鍵セットおよび証明書に問題が発生した場合は、再生成できます。 このタスク
は、CLI コマンドによってのみ実行できます。 Control Station の鍵セットと証明書を再生成し
た後、新しい鍵セットと証明書の要求を再生成し、証明書が Control Station によって署名さ
れるペルソナについて署名済み証明書をインポートする必要があります。
㽷
Control Station は、Apache Web サーバー（Unisphere の代わり）とユーザーの Web ブラウ
ザの間の SSL ベース接続について個別の鍵セットを継続して生成します。 ただし、現在
Control Station は、CA の鍵セットを使用して Apache Web サーバーの証明書に署名します
（現在、証明書は自己署名ではありません）。 Unisphere の証明書を管理する方法につい
ては、「VNX for File 管理アプリケーションのインストール」を参照してください。
Control Station のお客様提供の証明書
より厳格な要件を満たすために、VNX ユーザーが HTTPS 通信用の独自の X.509 証明書を
Control Station にインストールおよび構成することは許可されます。
お客様提供の X.509 証明書の形式と内容は、ユーザーに任されます。 証明書を PEM によ
って暗号化する必要があり、パスワードと関連づけるべきではありません。 関連づけた場合
には、 Apache Web サーバーを無人で開始することができなくなるため、フェイルオーバー
と再起動の操作の妨げとなります。
㽷
お客様提供の証明書を要求してインストールする方法の例については、お客様提供の
Control Station 用証明書の要求とインストール（133 ページ）を参照してください。
フェイルオーバー後のデータ消失の可能性に備えて、お客様提供のプライベート キーはデ
ィレクトリ/nas/http/conf/ssl.key にコピーされ、証明書は/nas/http/conf/
ssl.crt にコピーされる必要があります。 新しいプライベート キーと証明書が所定の位置
にある場合は、ディレクトリ/nas/http/conf にある現在のキーと証明書が、それぞれ新
規にインストールされたプライベート キーと証明書をポイントするように更新されていること
を確認します。
㽷
ユーザー root がプライベート キーを所有し、権限が 600（-rw-------）に設定されている必要
があります。 公開証明書もユーザー root が所有する必要がありますが、権限は 644（-rwr--r--）に設定されます。
証明書とプライベート キーを更新した後で、変更を有効にするために Apache を再起動する
必要があります。 手順については、お客様提供の Control Station 用証明書の要求とイン
ストール（133 ページ）の例の最後の手順を参照してください。
㽷
サポートされている Web ブラウザを Control Station にポイントした後で、HTTPS 接続の特
性を参照することにより、新しいサーバー証明書を検証できます。
64
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
VNX for File システム上の IP Packet Reflect
IP Packet Reflect を使用すると、より高いレベルのセキュリティをネットワークに提供できま
す。 Data Mover 上のネットワーク トラフィックの大部分（すべてのファイル システムの I/O
を含む）はクライアントによって開始されるため、Data Mover ではクライアント リクエストへ
の応答に Packet Reflect を使用します。 Packet Reflect を使用すると、応答パケットを送信
するルートを決定する必要がなくなります。 応答パケットは常にリクエスト パケットと同じイ
ンタフェースから送信されるため、リクエスト パケットを使用して間接的に他の LAN にトラフ
ィックを集中させることはできません。 ネットワーク デバイスが 2 個存在し、一方のデバイス
はインターネットに接続され、もう一方のデバイスはイントラネットに接続されている場合、イ
ンターネット リクエストに対する応答はイントラネットには表示されません。 また、VNX for
File で使用される内部ネットワークは、外部ネットワークのいかなるパケットからも影響を受
けません。
この機能を構成する方法については、「VNX ネットワークの構成と管理」を参照してください。
フィルタリング管理ネットワークの効果
VNX システムは、信頼される IP アドレスのみに管理リクエストを制限することができます。
フィルタの目的は関連するコンポーネントのみに対象を絞ることで、残りの環境に与える影
響を最小限に抑えることです。 IP フィルタリングは、ストレージ システムまたはストレージ シ
ステムのドメインの管理を特定の IP アドレスのセットを持つ管理ホストに制限するように設
計されています。 これはファイアウォールではなく、ストレージ システムへの全アクセス ポイ
ントに対応するわけではありません。
IP フィルタリングは次の対象へのアクセスを制限します。
l
Unisphere 管理ポート（UI、CLI）
l
Unisphere セットアップ ページ
l
Unisphere Initialization Tool
l
HAVT（High Availability Verification Tool）レポート
l
RemotelyAnywhere
IP フィルタリングは次の対象へのアクセスを制限しません。
l
iSCSI ポート
l
Unisphere サービスとシリアル ポート
l
ピア SP を使用した Unisphere の通信
l
Unisphere Agent（ポート 6389）のリクエスト
vSphere Storage API for Storage Awareness（VASA）のサポート
VASA は、VMware で定義された、ベンダーに依存しないストレージ認識 API です。 これは、
独自の SOAP ベースの Web インタフェースで、Unisphere クライアントではなく VMware クラ
イアントによって使用されます。 VASA は、レポート インタフェース専用であり、仮想環境に
公開される VNX とストレージ デバイスに関する基本的な情報をリクエストするために使用さ
れます。これらは、vSphere を使用した日常のプロビジョニング、監視、およびトラブルシュ
ーティングを促進するために使用されます。
Unisphere の場合、Control Station（VNX for File/Unified の場合）とストレージ プロセッサ
（VNX for Block の場合）の両方で、VP（VASA Provider）コンポーネントが VNX に組み込まれ
ています。 vSphere ユーザーは、これらの VP インスタンスを各ストレージ システム用の
VASA 情報のプロバイダとして構成する必要があります。
VNX for File システム上の IP Packet Reflect
65
通信セキュリティ
㽷
VNX for Block VP への接続をセットアップするときには、1 つの SP のみをターゲットにする
必要があります。 SP A と SP B のどちらも同じ情報を VASA に返します。 SP がダウンする
と、クライアントは VP への接続を失います（つまり、自動フェイルオーバーは実行されませ
ん）。 クライアントは、ダウンした SP が復帰するのを待つか、ピア SP への新しい接続の確
立を試すことができます。 両方の SP をターゲットにすることもできますが、返される情報が
冗長になり、VMware のクライアントの実装方法によっては、重複したイベントやアラームが
発生する可能性があります。
vCenter から Unisphere VP への接続を開始するには、vSphere クライアントを使用して次の
3 つの情報を入力する必要があります。
l
VP の URL
l
administrator、securityadmin、または vmadmin の役割（ローカル、グローバル、また
は LDAP 範囲）を持つ Unisphere ユーザーのユーザー名
l
そのユーザーに関連づけられているパスワード
ここで使用される Unisphere 認証情報は、この接続の最初のステップ中にのみ使用されま
す。 Unisphere 認証情報がターゲットの VNX に対して有効な場合、vCenter Server の証明
書が自動的に VNX に登録されます。 この証明書は、vCenter からの後続のすべてのリクエ
ストを認証するために使用されます。 この証明書を VP にインストールまたはアップロードす
るために手動の操作は必要ありません。
vCenter セッション、安全な接続と認証情報
vCenter セッションは、vSphere 管理者が vSphere クライアントを使用して、VASA VP URL と
ログイン認証情報を vCenter Server に入力したときに開始されます。 vCenter Server は、こ
の URL、認証情報、および VASA VP の SSL 証明書を使用して、VP との安全な接続を確立
します。 vCenter セッションは、管理者が vSphere クライアントを使用して、vCenter の構成
から VP を削除し、vCenter Server が接続を終了したときに終了します。
vCenter セッションは、vCenter Server と VP の間のセキュア HTTPS 通信を基にしています。
VASA アーキテクチャでは、SSL 証明書と VASA セッション ID を使用して安全な接続をサポ
ートします。 vCenter Server と VP の両方が他方の証明書を専用の信頼ストアに追加しま
す。
特別な構成
Unisphere は、時間と場所を選ばずに VNX ストレージ システムを管理するための強力なセ
キュリティを提供します。 ただし、プロキシ サーバーや NAT（ネットワーク アドレス変換）など
のいくつかのネットワーク構成は、調べて対処する必要があります。
プロキシ サーバー
Unisphere はプロキシ サーバーをサポートしません。 プロキシ サーバーを使用してマネー
ジメント サーバーの IP アドレスにアクセスしないようにブラウザーを設定する必要がありま
す。
Unisphere Service Taskbar は、プロキシ サーバー経由のインターネット アクセスをサポート
します。 これは、ツールが EMC Powerlink Web サイトにアクセスして、VNX Operating
Environment（OE）for Block のアップグレードの最新のソフトウェアを取得できるようにする
ため重要です。
Unisphere Client/Server および NAT
NAT（ネットワーク アドレス変換）は、パケットがルータを通過するときに、IP パケットのソース
とデスティネーションのアドレスを書き直します。 NAT の主な用途は、内部ホストを外部ネッ
66
VNX1, VNX2 VNX のセキュリティ構成ガイド
通信セキュリティ
トワークから隠すことです。 これは、セキュリティが目的の場合もあれば、多くの内部ホスト
が 1 つの外部 IP アドレスの下でクラス C の IP アドレスおよびマスカレードを使用できるよう
にすることが目的の場合もあります。 NAT は、Unisphere ツールが使用するプロトコルを含
む、多くの通信プロトコルで問題になることがあります。
Unisphere クライアント/サーバーは、NAT ゲートウェイを使用した 1 つのストレージ システ
ムの管理をサポートします。 その 1 つのストレージ システムのみが検知されます。 ドメイン
の場合はユーザーがドメイン内のすべてのノードの NAT アドレスを入力する必要があるの
でドメインはサポートされません。
Unisphere がストレージ システムから直接起動される場合または CLI、Unisphere Service
Manager などの他のツールを使用して起動される場合、NAT 接続はサポートされません。
その他のセキュリティに関する考慮事項
IT 製品ベンダーやセキュリティ監視機関によって潜在的なセキュリティ上の脅威が毎日のよ
うに発表されています。 EMC は、各脆弱性に対する迅速な対策をお客様に提供することを
お約束します。 これらの対策は EMC 製品に影響する場合があり、修正や防止のための措
置が含まれます。 EMC の各対策については、EMC オンライン サポート用 Web サイト
（http://Support.EMC.com）のナレッジベースの記事を参照してください。 利便性を向上さ
せるために、すべての公開されている脆弱性と EMC の対策のリストが、Security Alerts
Master List（ナレッジベース記事 83326）という名前で EMC オンライン サポート Web サイト
に掲載されています。
その他のセキュリティに関する考慮事項
67
通信セキュリティ
68
VNX1, VNX2 VNX のセキュリティ構成ガイド
第5章
データ セキュリティの設定
㽷
この章に記載されている情報は、VNX Operating Environment（OE）for Block バージョン
5.33 以降を実行している VNX システムのみに関連しています。
データ セキュリティ設定を使用して、製品によって永続的に保存されたデータが不正な方法
で開示されることを防止するための管理方法を定義できます。
次のトピックが含まれます。
l
l
l
l
l
l
l
l
l
格納データの暗号化の概要...................................................................................70
格納データの暗号化機能の起動........................................................................... 71
暗号化ステータス.................................................................................................. 73
キーストア ファイルのバックアップ.......................................................................... 74
データ イン プレース アップグレード........................................................................74
ホット スペアの操作............................................................................................... 76
暗号化が有効になっている VNX へのディスク ドライブの追加.................................76
暗号化が有効になっている VNX からのディスク ドライブの取り外し........................ 77
暗号化が有効になっている VNX でのシャーシと SP の交換.................................... 77
データ セキュリティの設定
69
データ セキュリティの設定
格納データの暗号化の概要
格納データの暗号化（D@RE）は、物理ディスク ドライブ レベルで CBE（controller-based
encryption）によって実行されます。 一意の DEK（data encryption key）はドライブごとに生
成され、ドライブへの送信時にデータの暗号化に使用されます。 この機能の目的は、すべ
てのカスタマー データと識別情報を強力な暗号化機能で確実に暗号化して、主にディスク
ドライブの損失時にセキュリティを確保することです。
㽷
暗号化されていないデータの一部がシステム パーティションに存在する可能性があります
（ホスト名、IP アドレス、ダンプなど）。 また、システム パーティションに診断材料を書き込む
ことで暗号化されていないユーザー データが少量発生する可能性があります。 通常の I/O
プロトコル（iSCSI、FC）を使用してアレイに書き込まれたデータはすべて暗号化されます。 制
御パスを使用してアレイに追加されたものは、このソリューションでは暗号化されません。た
だし、機密情報（パスワードなど）は異なるメカニズムで暗号化されます（機密情報は暗号化
を行わないアレイ上にあるため）。
D@RE 機能つきで新しい VNX システムをオーダーした場合は、製造時にシステムで暗号化
が有効になっているはずです。 D@RE が有効になっており、アクティブ化されているか確認
してください。 Unisphere で D@RE 機能のステータスを表示するには、［システム］を選択し
て［システム管理］の下にあるタスク リストから［システム プロパティ］を選択します。 暗号化
のステータスは、［ストレージ システムのプロパティ］ビューの［暗号化］タブに表示されま
す。 ［暗号化モード］が［該当なし］と表示される場合、DataAtRestEncryption Enabler の
NDU（無停止アップグレード）を実行してアクティブ化する必要があります。 ［暗号化モード］
が［非暗号化］と表示されている場合は、Unisphere または VNX for Block CLI のいずれかを
使用して格納データの暗号化機能をアクティブ化するだけです。
抩䩴
アクティブにすると、暗号化の運用を取り消すことができません。 可能であればシステムに
データや RAID グループなどを設定する前に暗号化を有効にしてください。 このアクションに
よってデータ イン プレース アップグレードと、それによってシステム キャッシュやシステム
パフォーマンスが影響を受けないよう回避できます。
D@RE を有効にしていない VNX システムの場合は、システムで暗号化を有効にするために
DataAtRestEncryption Enabler の NDU（non-disruptive upgrade）が必要です。 このアップ
グレードはリクエストに応じて実行できます。 以降のアクティブ化の手順は、Unisphere また
は VNX for Block CLI で開始する必要があります。
VNX Key Management Server と呼ばれる新しいコンポーネントは、システムの暗号化キーを
生成、保存、管理する役割を担っています。 暗号化キーの保存のために生成されるキース
トアは、システムのプライベート領域にある Managed LUN に格納されます。 RAID グループ
やディスク ドライブが追加、または削除されたという通知に対応して、それぞれキーも生成、
削除されます。
キーストアの変更を招くようなシステム構成の変更では、キー バックアップの作成を推奨す
るアラートが生成されます。 キーストアの変更を招くような操作が実行されると、アラートが
表示され、バックアップのためにシステムからキーストアを取得するまで、このアラートが引
き続き表示されます。 Unisphere UI または VNX for Block CLI コマンドを使用して、キースト
アをバックアップします。
キーストアが破損した場合、システムは機能しなくなります。 システムはデグレードの状態
になり、オペレーティング システムのみが起動されます。 この状態で Unisphere からシステ
ムにアクセスしようとすると、キーストアがアクセス不能な状態になっていると通知するエラ
ーが表示されます。 この場合、問題の解決にはサービス契約が必要になります。
70
VNX1, VNX2 VNX のセキュリティ構成ガイド
データ セキュリティの設定
キーの一般的な操作に関して、独立した監査機能が提供されています。この機能では、
SLIC の追加と同様に、キーの生成、削除、バックアップ、変更の復元など、あらゆる操作を
追跡します。
静止データ暗号化機能の詳細については、ホワイト ペーパー「EMC VNX2: Data-at-Rest
Encryption」を参照してください。
格納データの暗号化機能の起動
格納データの暗号化機能（D@RE）をアクティブにするには、管理者のユーザー役割
storageadmin または sanadmin が必要です。 この暗号化機能をアクティブにする前に、シ
ステムで FAST Cache が破棄されていることを確認してください。 FAST Cache を作成したシ
ステムで D@RE 機能をアクティブにしようとすると、エラーが返されます。 暗号化機能をアク
ティブにした後、FAST Cache を改めて作成することができます。
システムで D@RE 機能を有効にするには、DataAtRestEncryption Enabler の NDU（nondisruptive upgrade）が必要です。 この機能をアクティブにするには、それ以降のアクティブ
化の手順を Unisphere 経由で開始する必要があります。 別の方法としては、VNX for Block
CLI コマンド securedata -feature -activate を使用してこの機能をアクティブにす
ることもできます。 securedata コマンドの詳細については、「VNX シリーズ VNX for Block
コマンド ライン インタフェース リファレンス」を参照してください。
抩䩴
アクティブにすると、暗号化の運用を取り消すことができません。 このアクションにより、デ
ータ暗号化キーが作成され、すべてのユーザー データの暗号化が開始されます。 アクティ
ブ化の手順を実行する前に、Unisphere または arrayconfig VNX for Block CLI コマンド
を使用して、アレイの最新バックアップ（検証済み）や、最新の構成キャプチャを作成するこ
とを推奨します。
Unisphere で D@RE 機能を有効にするには、［システム］を選択して［ウィザード］の下にあ
るタスク リストから［格納データの暗号化のアクティベーション ウィザード］を選択します。 表
示されるアクティベーション ウィザードでは、暗号化を有効にして、生成されたキーストア フ
ァイルを外部の場所にバックアップするように手順が示されます。 暗号化キーの保存のた
めに生成されるキーストア ファイルは、システムのプライベート領域にある Managed LUN
に格納されます。
抩䩴
生成されたキーストア ファイルを、システムの外部にある別の場所（キーストアを安全で秘
密裏に保存できる場所）にバックアップすることを強く推奨します。 システム上のキーストア
が破損した場合、システムは機能しなくなります。 システムはデグレードの状態になり、オペ
レーティング システムのみが起動されます。 この状態で Unisphere からシステムにアクセ
スしようとすると、キーストアがアクセス不能な状態になっていると通知するエラーが表示さ
れます。 この場合、問題の解決には、バックアップ キーストア ファイルとサービス契約が必
要になります。
格納データの暗号化機能の起動
71
データ セキュリティの設定
抩䩴
VNX システムで D@RE が有効になっていないか、D@RE をアクティブ化していない状態で
EMC から受け取った場合は、D@RE のアクティベーション プロセスが正常に開始した時点
でストレージ プロセッサを再起動する必要があります。 各ストレージ プロセッサは手動で再
起動する必要があります（「Unisphere によるストレージ プロセッサの再起動（72 ペー
ジ）」または「VNX OE for Block CLI によるストレージ プロセッサの再起動（72 ページ）」の
いずれかを参照してください）。 このアクションにより、インストールとアクティベーション プロ
セスが完了します。
Unisphere によるストレージ プロセッサの再起動
はじめに
D@RE のアクティベーション プロセスが正常に開始し、暗号化が処理中、暗号化、またはス
クラビングのいずれかであることを確認します。 「暗号化ステータス（73 ページ）」を参照し
てください。
VNX システムで D@RE が有効になっていないか、アクティブ化していない状態で D@RE を
EMC から受け取った場合は、D@RE のアクティベーション プロセスが正常に開始した時点
でストレージ プロセッサを再起動する必要があります。 ストレージ プロセッサの再起動はど
のような順序で行ってもかまいません（例えば SP A の後に SP B、SP B の後に SP A）。 ただ
し、ストレージ プロセッサは 1 つずつ再起動し、最初の SP が動作していることを確認してか
ら 2 番目の SP を再起動することが重要です。
手順
1. サポートされるブラウザーでストレージ プロセッサの IP アドレスを使用し、EMC
Unisphere を開きます。
2. アレイをクリックして［システム ストレージ ハードウェア］を選択します。
3. SP のタブを展開します。
4. 再起動する SP（SP A など）を右クリックします。
5. ［再起動］を選択します。
6. 確認用ウィンドウで［はい］をクリックします。
7. 2 番目のストレージ プロセッサを再起動する前に、まず Unisphere にログインでき、その
アレイを管理できることを確認する必要があります。
8. もう一方の SP についても、手順 4、5、6 を繰り返します。
VNX OE for Block CLI によるストレージ プロセッサの再起動
はじめに
D@RE のアクティベーション プロセスが正常に開始し、暗号化が処理中、暗号化、またはス
クラビングのいずれかであることを確認します。 「暗号化ステータス（73 ページ）」を参照し
てください。
VNX システムで D@RE が有効になっていないか、アクティブ化していない状態で D@RE を
EMC から受け取った場合は、D@RE のアクティベーション プロセスが正常に開始した時点
でストレージ プロセッサを再起動する必要があります。 ストレージ プロセッサの再起動はど
のような順序で行ってもかまいません（例えば SP A の後に SP B、SP B の後に SP A）。 ただ
し、ストレージ プロセッサは 1 つずつ再起動し、最初の SP が動作していることを確認してか
ら 2 番目の SP を再起動することが重要です。
72
VNX1, VNX2 VNX のセキュリティ構成ガイド
データ セキュリティの設定
手順
1. 次のコマンドを使用してストレージ プロセッサを再起動します。 naviseccli -h
<IP_address_of SP> -user <name> -password <password> -scope
<scope> rebootSP.
このコマンドは、IP_address が表す SP を再起動します。
2. 2 番目のストレージ プロセッサを再起動する前に、まず Unisphere にログインでき、その
アレイを管理できることを確認する必要があります。
3. もう一方の SP に対しても最初の手順を繰り返します。
暗号化ステータス
Unisphere または VNX for Block CLI コマンドを使用して、次の D@RE 機能のステータスを
表示できます。
l
暗号化モード： 使用している暗号化のタイプ。たとえば、コントローラーベースの暗号化
など
l
暗号化ステータス： 実際の暗号化ステータスに基づいています。
l
n
未実行
n
処理中
n
暗号化
n
スクラビング
暗号化の比率： 全体的なストレージ システムの暗号化の比率
Unisphere で D@RE 機能のステータスを表示するには、［システム］を選択して［システム管
理］の下にあるタスク リストから［システム プロパティ］を選択します。 暗号化のステータス
は、［ストレージ システムのプロパティ］ビューの［暗号化］タブに表示されます。
㽷
別の方法としては、VNX for Block CLI コマンド securedata -feature -info を使用
して、この機能のステータスを表示します。 また、キーストア ステータスの表示、ユーザーに
よる操作が必要であるかどうかの判断は、securedata -backupkeys -status CLI
コマンドを使用して行います。 これらの CLI コマンドの詳細については、「VNX シリーズ VNX
for Block コマンド ライン インタフェース リファレンス」を参照してください。
システムで暗号化を有効にした後で、暗号化の進捗（%）があるレベルで止まっており進行
しないと通知される場合があります。 次のようないくつかの条件によって暗号化が停止する
場合があります。
l
障害が発生したディスク
l
ディスクのゼロ化が進行中の場合
l
ディスクの再構築が進行中の場合
l
ディスクの検証が進行中の場合
l
キャッシュが無効
この問題が発生した場合は、システム ログを確認して原因を特定してください。 コレクティブ
アクションが必要な場合は条件を修正します。 有効な修正が行われるか進行中の操作が
完了すると、暗号化は完了します。
暗号化ステータス
73
データ セキュリティの設定
キーストア ファイルのバックアップ
VNX Key Management Server と呼ばれる新しいコンポーネントは、システムの暗号化キーを
生成、保存、管理する役割を担っています。 キーの保存のために生成されるキーストアは、
システムのプライベート領域にある Managed LUN に格納されます。 RAID グループやディス
ク ドライブが追加、または削除されたという通知に対応して、それぞれキーも生成、削除さ
れます。
キーストアの変更を招くようなシステム構成の変更では、キー バックアップの作成を推奨す
るアラートが生成されます。 キーストアの変更を招くような操作が実行されると、アラートが
表示され、バックアップのためにシステムからキーストアを取得するまで、このアラートが引
き続き表示されます。
抩䩴
生成されたキーストア ファイルを、システムの外部にある別の場所（キーストアを安全で秘
密裏に保存できる場所）にバックアップすることを強く推奨します。 システム上のキーストア
が破損した場合、システムは機能しなくなります。 システムはデグレードの状態になり、オペ
レーティング システムのみが起動されます。 この状態で Unisphere からシステムにアクセ
スしようとすると、キーストアがアクセス不能な状態になっていると通知するエラーが表示さ
れます。 この場合、問題の解決には、バックアップ キーストア ファイルとサービス契約が必
要になります。
キーストア ファイルをバックアップするには、管理者のユーザー役割 storageadmin または
sanadmin が必要です。
キーストア ファイルをシステムの外部にある場所（キーストアを安全で秘密裏に保存できる
場所）にバックアップするには、［システム］を選択して［ウィザード］の下にあるタスク リスト
から［キーストア ファイルのバックアップ］を選択します。 表示されるダイアログ ボックスで
は、生成されたキーストア ファイルをバックアップするように手順が示されます。
㽷
別の方法としては、VNX for Block CLI コマンド securedata -backupkeys retrieve を使用して、キーストア ファイルをシステムの外部にある場所（キーストアを安
全で秘密裏に保存できる場所）にバックアップします。 この CLI コマンドの詳細については、
「VNX シリーズ VNX for Block コマンド ライン インタフェース リファレンス」を参照してください。
データ イン プレース アップグレード
データ イン プレース アップグレードでシステムを暗号化するには、システムはディスク ドラ
イブ セットの内容全体を差分的に読み取り、次にこれらの内容をドライブに書き戻す必要が
あります。 キー生成の処理では、かなりの割合でシステム キャッシュが消費されます。 ま
た、システム パフォーマンスも少なからず消費されます。 この処理の負担は、システムの
I/O ロードに比例します。
アクティブ化では、Unisphere UI または VNX for Block securedata -feature activate CLI コマンドを使用して暗号化の処理を開始します。 暗号化を有効にする前に
書き込まれたデータは、暗号化されていない形式で書き込まれており、バックグラウンドの
暗号化処理で後から暗号化されます。 この処理は、最初のアップグレード処理でのみ実行
されます。 暗号化を有効にした後で作成された RG（RAID グループ）の場合、RG に書き込ま
れるすべてのデータは暗号化されます。
暗号化が有効になっている場合、既存の RAID グループの全ディスク ドライブに対して、
DEK とともに KEK（キー暗号化キー）が生成されます。 システムは、暗号化されていない形
74
VNX1, VNX2 VNX のセキュリティ構成ガイド
データ セキュリティの設定
式でデータを読み取り（一度に 1 ストライプ）、暗号化された形式でデータを書き込み直すこ
とで、既存データの暗号化の処理を開始します。
データ イン プレース アップグレードは、次のような状況で遅延や一時停止になります。
l
RG のゼロ化が進行中の場合
l
RG の再構築が進行中の場合
l
RG の検証が進行中の場合
l
キャッシュが使用できない場合
ドライブ上ですでに暗号化された領域の暗号化を含めて、システムは引き続き通常どおりに
動作します。
抩䩴
EMC では、データをアレイに書き込む前や、すでに暗号化が有効になっているアレイに移行
する前に暗号化を有効にすることを強く推奨します。 データ イン プレース アップグレード
中、HDD または SDD でサニタイズ操作は実行されません。 ドライブのアドレス可能なスペ
ースのみ上書きされます。 ドライブ内の秘匿された場所に隠されている場合がある残存平
文データは暗号化されません。 このデータは標準インターフェイスから容易に回復できませ
んが、その他の方法でアクセスできる可能性があります。 データ イン プレース アップグレ
ードによって D@RE を有効にする必要があり、暗号化されていないデータを禁止している場
合は手動で緩和する必要があります。 サニタイズの詳細については、http://csrc.nist.gov/
にある NIST 文書「「Guidelines for Media Sanitization」」の最新版を参照してください。
暗号化されていないデータの一部がシステム パーティションに存在する可能性があります
（ホスト名、IP アドレス、ダンプなど）。 また、システム パーティションに診断材料を書き込む
ことで暗号化されていないユーザー データが少量発生する可能性があります。 通常の I/O
プロトコル（iSCSI、FC）を使用してアレイに書き込まれたデータはすべて暗号化されます。 制
御パスを使用してアレイに追加されたものは、このソリューションでは暗号化されません。
ただし、機密情報（パスワードなど）は異なるメカニズムで暗号化されます（機密情報は暗号
化を行わないアレイ上にあるため）。
セキュリティ ポリシーまたはコンプライアンス ポリシーで、サニタイズしたドライブを使用する
よう定められている場合、データ イン プレース アップグレード完了後に、新しくまたは以前
にサニタイズしたドライブ セットに暗号化されたデータを移行することをお勧めします。 デー
タを移動する方法の 1 つとして、Unisphere または VNX for Block CLI のいずれかから使用
できる MCx のコピー機能を使用することもできます。 この機能は暗号化されたデータすべ
てを 1 つのディスク ドライブから同容量か容量の大きな別のドライブに移動します。 MCx の
コピー操作が完了したら、元のドライブでサニタイズ手順を実行します。そうすると、必要に
応じて再利用できるよう、元のドライブをシステムに返却できます。
ヴォールト ドライブに関する特別な考慮事項
データ移行後に、VNX のヴォールト ドライブ（最初の 4 台のドライブ）に LUN またはファイル
システム データが存在する場合、これらのドライブを交換するには特別な手順を実行する
必要があります。 LUN を別のドライブ セットに移行し、次に、互換性のある新しい未使用の
ドライブを位置 0_0_0 に挿入してシステムがそのドライブの内容を完全に再構築できるよう
にします。 このプロセスは 1 時間未満で完了します。 この手順を残りの 3 台のドライブ（位
置 0_0_1、0_0_2、0_0_3）に対してもそれぞれ繰り返す必要があります。次のドライブに進
む前に再構築が終わっていることを確認してください。 ドライブの交換が終わったら LUN を
ヴォールト ドライブに戻し、元のドライブでサニタイズ手順を実行します。
FAST Cache に関する特別な考慮事項
FAST Cache は暗号化をアクティブ化する前に破棄する必要があります。 セキュリティ ポリシ
ーで特別なサニタイズ手順が定められている場合、FAST Cache を破棄して再び有効にして
から FAST Cache ドライブを適切にサニタイズする必要があります。 FAST Cache は暗号化
のアクティベーション プロセスが完了するとすぐに再び有効にすることができます。
データ イン プレース アップグレード
75
データ セキュリティの設定
SSD ホット スペアを FAST Cache の目的でのみ使用している場合、これらの SSD ホット スペ
アをすぐにサニタイズすることができます。
㽷
SSD をストレージ プールまたは RG ホット スペアとしても使用している場合、データ イン プレ
ース アップグレード中に SSD を再構築すると平文データが書き込まれる可能性がありま
す。 暗号化されていないデータを禁止している場合、手動で緩和する必要があります。 そ
のため、データ イン プレース アップグレードが完了するまでこれらのホット スペアのサニタ
イズは行わないでください。
ホット スペアの操作
RG またはストレージプールに含まれているシステム内の全ディスク ドライブを対象として、
システムが DEK ですでに構成されている場合、RG またはストレージプールに現在含まれて
いないドライブは、未バインドのドライブと見なされます。 未バインドのドライブまたは障害が
発生した未バインドのドライブを削除しても、キーストアには影響が及びません。したがっ
て、キーストア ファイルをバックアップする必要はありません。 同様に、未バインドのドライ
ブを交換してもキーストアには影響がないため、キーストア ファイルのバックアップは不要で
す。
㽷
バインドされていないディスク ドライブはデフォルトのデータで上書きされ、それまでの既存
のデータは削除されます。
RG またはストレージプールに含まれているシステム内の全ドライブを対象として、システム
が DEK ですでに構成されている場合、これらのドライブは未バインドのドライブと見なされま
す。 バインドされたドライブが削除された場合、またはドライブに障害が発生した場合、5 分
経過した後で、削除されたドライブまたは障害が発生したドライブが永続ホット スペアによっ
て交換されます。また、ホット スペアに対して DEK が生成され、再構築が開始されます。 こ
の直後、削除されたドライブの DEK はキーストアから削除されます。 キーストアに対して
DEK 変更が作成されたため、この時点でキーストアの変更ステータスが Key Manager によ
って設定され、キーストアのバックアップを指示するアラートがトリガーされます。
削除されたディスク ドライブは、5 分経過する前に、システムの任意の場所に再挿入されま
す。再構築の必要はありません。変更はキーストアに適用されません。 キーはスロットでは
なくディスク ドライブに関連づけられているため、DEK は同じ値のままになります。 また、キ
ーストアの変更ステータスのアラートは生成されません。
㽷
取り外したドライブのサニタイズや廃棄が必要な場合は、別途これを行う必要があります。
暗号化が有効になっている VNX へのディスク ドライブの追加
新しいディスクをシステムに 1 台以上挿入しても、各ディスクの新しい DEK の生成はトリガ
ーされません。 この操作は新しいディスクが RAID グループかストレージ プールに追加され
るまで、そのディスクに対しては行われません。 キーストアに対して DEK 変更が作成された
ため、この時点でキーストアの変更ステータスが Key Manager によって設定され、キースト
アのバックアップを指示するアラートがトリガーされます。
新しいディスク ドライブを VNX に追加する場合、ドライブはバインドされていないと見なされ
ます。 バインドされていないディスク ドライブは、デフォルトのデータで上書きされ、それまで
の既存のデータは削除されます。 ドライブのアドレス可能なスペースのみ上書きされます。
76
VNX1, VNX2 VNX のセキュリティ構成ガイド
データ セキュリティの設定
ドライブ内の秘匿された場所に隠されている場合がある残存平文データは上書きされませ
ん。
抩䩴
それまで使用していたドライブから残存データにアクセスする可能性があり、それがセキュ
リティ ポリシーに反している場合、暗号化が有効になっている VNX にそのドライブを挿入す
る前に別途サニタイズする必要があります。
暗号化が有効になっている VNX に SAS UltraFlex I/O モジュールを追加するか交換する場
合、交換プロセスが完了した時点で影響を受けるストレージ プロセッサを別途手動で再起
動する必要があります。 Unisphere または VNX OE for Block CLI コマンドを使用します。
naviseccli -h <IP_address_of SP> -user <name> -password
<password> -scope <scope> rebootSP. このコマンドは、IP_address が表す SP
を再起動します。
暗号化が有効になっている VNX からのディスク ドライブの取り外し
RG またはストレージプールに含まれているシステム内の全ドライブを対象として、システム
が DEK ですでに構成されている場合、これらのドライブは未バインドのドライブと見なされま
す。 バインド済みドライブを取り外した後 5 分たっても交換されなければ、ドライブの DEK
はキーストアから削除されません。 RG が削除されるか、新しいドライブがスワップ インされ
るまでキーは有効なままとなります。取り外されたディスク ドライブを 5 分以内にシステムの
任意の場所に再び挿入した場合は、交換用ドライブの場合と同様に再構築が不要となりま
す。また、キーストアも変更されません。 キーはスロットではなくディスク ドライブに関連づけ
られているため、DEK は同じ値のままになります。 また、キーストアの変更ステータスのアラ
ートは生成されません。 ホット スペアの交換の詳細については、「ホット スペアの操作（76
ページ）」を参照してください。
㽷
取り外したドライブのサニタイズや廃棄が必要な場合は、別途これを行う必要があります。
暗号化が有効になっている VNX でのシャーシと SP の交換
生成されたキーストアはストレージ システム内のハードウェアに関連付けられます。ハード
ウェアの除去が適切でないと、データにアクセスできなくなります。シャーシおよび両方の
SP を交換する必要がある場合は、特別な手順を踏まえる必要があります。両方の SP を同
時に交換しないでください。一方の SP を交換し、ストレージ システムがオンラインに戻るま
で待機します。その後、もう一方の SP を交換します。あるいは、ハードウェアが交換済みで
キーストアのバックアップが存在する場合は、EMC サポートの支援により、キーストアをバッ
クアップからリストアできます。
暗号化が有効になっている VNX からのディスク ドライブの取り外し
77
データ セキュリティの設定
78
VNX1, VNX2 VNX のセキュリティ構成ガイド
第6章
セキュリティ保守
本章では、VNX に実装されている各種セキュリティ保守機能について簡単に説明します。
次のトピックが含まれます。
l
l
l
l
l
l
l
Control Station の ESRS.........................................................................................80
ストレージ プロセッサの ESRS デバイス クライアント............................................... 80
ESRS IP Client........................................................................................................81
安全な保守設定（Block）........................................................................................81
セキュア リモート サポートの考慮事項................................................................... 82
セキュリティ パッチ管理......................................................................................... 82
マルウェア検出......................................................................................................83
セキュリティ保守
79
セキュリティ保守
Control Station の ESRS
Control Station の ESRS ソフトウェアは、VNX File/Unified システムの動作中のエラー イベ
ントを監視し、Connect Home 通知を自動的にサービス プロバイダに送信します。 このソフ
トウェアは、サービス プロバイダが安全に、特定の VNX File/Unified システムに（関連する
Control Station を介して）接続するために使用するパスを提供します。
このソリューションは、次の機能を含め、セキュリティで保護されたアーキテクチャを提供し
ます。
l
EMC は、X.509 デジタル証明書を発行し、EMC に Control Station の ESRS を認証しま
す。
l
EMC のプロフェッショナルは、2 つの一意の要素の使用を認められています。
l
EMC のサービス プロフェッショナルは全員、一意のユーザー名を持っていて、どのよう
なアクションを行う場合でも、このユーザー名を使ってログインします。
l
通信はすべて、Control Station から発信されます。 Control Station の ESRS は、EMC
やインターネットからの未承諾接続を受け付けません。
l
Control Station で EMC と ESRS の間で行われる通信すべてにおいて、最新のセキュリ
ティ プラクティス、および RSA Lockbox テクノロジーに基づく証明書ライブラリや AES
（Advanced Encryption Standard）256 ビット暗号化などの暗号化テクノロジーが実践さ
れます。
l
Control Station の ESRS ソリューションを実装すれば、Policy Manager を使用して、さら
にリモート アクセスを制御することができます。 Policy Manager を使用すると、EMC と
VNX システムの間で行われる通信の方法を完全に制御できます。 SSL は、Control
Station の ESRS と Policy Manager の間で使用できます。
VNX システムの Control Station の ESRS 機能の詳細については、EMC オンライン サポート
用 Web サイト（http://Support.EMC.com）の「EMC Secure Remote Support for VNX」テクニカ
ル モジュールを参照してください。
ストレージ プロセッサの ESRS デバイス クライアント
ストレージ プロセッサ機能の ESRS デバイス クライアントは、VNX Operating Environment
（OE）for Block バージョン 5.32（バージョン 05.32.000.5.209 よりも後）またはバージョン
05.33（バージョン 05.33.000.5.051 よりも後）のみに搭載されています。このソフトウェア
は、VNX for Block システムの動作を監視してエラー イベントを検出し、ConnectEMC 通知を
サービス プロバイダーに自動的に送信します。 また、このソフトウェアは、サービス プロバ
イダーが安全に、特定の VNX for Block システムに（関連するストレージ プロセッサを通し
て）接続するために使用するパスも提供します。
このソリューションは、次の機能を含め、セキュリティで保護されたアーキテクチャを提供し
ます。
80
l
EMC は、X.509 デジタル証明書を発行し、EMC にストレージ プロセッサの ESRS デバイ
ス クライアントを認証します。
l
EMC のプロフェッショナルは、2 つの一意の要素の使用を認められています。
l
EMC のサービス プロフェッショナルは全員、一意のユーザー名を持っていて、どのよう
なアクションを行う場合でも、このユーザー名を使ってログインします。
l
通信はすべて、ストレージ プロセッサから発信されます。 ストレージ プロセッサの ESRS
デバイス クライアントは、EMC やインターネットからの未承諾接続を受けつけません。
l
ストレージ プロセッサで EMC と ESRS デバイス クライアントの間で行われる通信すべて
において、最新のセキュリティ プラクティス、および RSA Lockbox テクノロジーに基づく
VNX1, VNX2 VNX のセキュリティ構成ガイド
セキュリティ保守
証明書ライブラリや AES（Advanced Encryption Standard）256 ビット暗号化などの暗号
化テクノロジーが実践されます。
l
ストレージ プロセッサ ソリューションの ESRS デバイス クライアント ソリューションを実装
すれば、Policy Manager を使用して、さらにリモート アクセスを制御することができま
す。 Policy Manager を使用すると、EMC と VNX システムの間で行われる通信の方法を
完全に制御できます。 SSL は、ストレージ プロセッサの ESRS デバイス クライアントと
Policy Manager の間で使用できます。
VNX for Block システムに搭載されたストレージ プロセッサの ESRS デバイス クライアントの
詳細については、EMC オンライン サポート用 Web サイト（http://Support.EMC.com）の
「EMC Secure Remote Support for VNX」テクニカル モジュールを参照してください。
ESRS IP Client
ESRS IP Client for VNX ソフトウェアは、VNX for Block システムの動作を監視して、エラー イ
ベントをサービス プロバイダに自動的に通知します。 EMC では、政府、業界、または企業
の規定に準拠するためにカスタマイズ可能なセキュリティ オプションを必要としているユー
ザー向けに EMC Secure Remote Gateway ソリューションを強く推奨しています。 暗号化、ア
クセス制御、認証、監査、許可といった先進的なセキュリティ機能により、今日の厳しいコン
プライアンス規制に対応します。
ESRS IP Client for VNX ソフトウェアを使用して、指定された VNX for File Control Station が
サービス プロバイダに ConnectHome 通知を送信することができます。 このソフトウェアは、
サービス プロバイダが安全に、特定の VNX for File システムに（関連する Control Station
を通して）接続するために使用するパスを提供します。
このソリューションは、次の機能を含め、セキュリティで保護されたアーキテクチャを提供し
ます。
l
EMC は、ESRS IP Gateway または ESRS IP Client for VNX を EMC に対して認証するため
の X.509 デジタル証明書を発行します。
l
EMC のプロフェッショナルは、2 つの一意の要素の使用を認められています。
l
EMC のサービス プロフェッショナルは全員、一意のユーザー名を持っていて、どのよう
なアクションを行う場合でも、このユーザー名を使ってログインします。
l
通信はすべて、リモート サイトから発信されます。 ESRS IP Gateway または ESRS IP
Client for VNX は、EMC やインターネットからの未承諾接続を受け付けません。
l
ハートビートでは HTTPS および SOAP を使用して、ファイアウォールへの対応が容易な
ソリューションを実現します。
l
EMC と ESRS IP Gateway または ESRS IP Client for VNX の間で行われる通信すべてに
おいて、最新のセキュリティ プラクティス、および RSA Lockbox テクノロジーに基づく証
明書ライブラリや AES（Advanced Encryption Standard）256 ビット暗号化などの暗号化
テクノロジーが実践されます。
l
ESRS IP Gateway または ESRS IP Client for VNX ソリューションを実装すれば、Policy
Manager を使用して、さらにリモート アクセスを制御することができます。 Policy
Manager を使用すると、EMC と VNX システムの間で行われる通信の方法を完全に制
御できます。 ESRS IP Client と Policy Manager 間で SSL を使用できます。
VNX システムの ESRS サポートの詳細については、EMC オンライン サポート用 Web サイト
（http://Support.EMC.com）の「EMC Secure Remote Support for VNX」テクニカル モジュール
を参照してください。
安全な保守設定（Block）
EMC カスタマ サービスは、RemotelyAnywhere を使用して、TCP/IP 管理ポート、TCP/IP サー
ビス ポート、またはシリアル ポート経由で、VNX SP への直接アクセスを取得します。
ESRS IP Client
81
セキュリティ保守
サービス ポート https://<SP_IP_address>/setup にアクセスし、［サービス パスワ
ードの変更］をクリックすることで、管理ポートのユーザー名とパスワードを変更することが
できます。 パスワードを変更できるのは管理者とセキュリティ管理者だけです。
㽷
このパスワードを変更した場合、特定の保守およびデバッグ操作のために新しいパスワー
ドを EMC カスタマー サービスに連絡する必要があります。
RemotelyAnywhere を使用すると、パスワードを変更できるほかに、IP フィルタリングを使用
してセキュリティを強化することができます。 この方法により、サービス アクセスを信頼済み
の IP アドレスだけに制限することができます。 RemotelyAnywhere の IP フィルタリングを管
理するには、https://<SP_IP_address>/setup にアクセスし、［RemotelyAnywhere
のアクセスの制限の設定］をクリックします。 RemotelyAnywhere を使用して VNX for Block
にログインすることで、イベント ログに固有のメッセージが生成されます。
VNX システムの保守が必要なときにサービス パスワードを使用できない場合、永続的に固
定されたユーザー名とパスワードがあり、これらを使用することでサービス ポートおよびシリ
アル ポート経由でアクセスできます。 データセンター内でこれらのポートには物理的に何も
接続しないでください。 サービス担当者からの特別なリクエストがない限り、これらのポート
に接続しないことを推奨します。 ストレージ システムが設置されている部屋またはラックへ
の物理的なアクセスを管理することによってこれらのポートを保護する必要があります。
セキュア リモート サポートの考慮事項
関連情報については、 EMC オンライン サポート用 Web サイト（http://Support.EMC.com）
に掲載されている「Remote Hardware Support:A Detailed Review」テクニカル ノートを参照
してください。この資料には、セキュア サービスで使用可能なコンポーネントとアプローチの
概要が記載されています。
セキュア リモート サービスを使用する場合は、EMC と協力して EMC セキュア リモート サポ
ート ゲートウェイと Policy Manager をインストールおよび構成する方法が推奨されます。
「Remote Hardware Support: A Detailed Review」テクニカル ノートに記載されているように、
これにより、お客様サイトから認定済みの EMC およびサービス パートナー担当者への暗号
化されたゲートウェイ チャネルを使用する開始済みチャネルが提供されます。 お客様は、
ゲートウェイ ソフトウェアおよび付属の Policy Manager 用のサーバーを用意し、セキュリテ
ィに関する責任を負います。 また、Policy Manager を使用してサーバーへのアクセスに関
するポリシーを設定し、Policy Manager 自体および監査ログに対するお客様のアクセスを
管理する必要があります。
レガシ システムのためにモデムベースのアクセスの使用を選択するお客様もあります。 こ
れらのお客様は、EMC 担当者およびサービス パートナーと協力して、ESRS IP Client 管理ス
テーションで EMCRemote を構成し、適切なセキュリティ オプションを選択する必要がありま
す。
VNX 環境のリモート サポートのために Cisco の WebEx を活用できる場合もあります。
WebEx を使用するときには、お客様が WebEx 接続を開始するか、EMC またはサービス パ
ートナーが開始した接続を受け入れる必要があります。 お客様が WebEx インスタンスを開
始した場合、サポート セッションのログはお客様のサイトに残ります。
セキュリティ パッチ管理
VNX システムは、サード パーティのユーティリティまたはパッチのインストールをサポートし
ません。 EMC は、必要に応じて、セキュリティ関連の問題（または他の種類の問題）解決す
るための公式にリリースされた VNX OE（オペレーティング環境）のパッチを提供します。
82
VNX1, VNX2 VNX のセキュリティ構成ガイド
セキュリティ保守
マルウェア検出
マルウェア検出は、VNX エンジニアリング サイクル中に実行されます。 EMC は、製品出荷
前に VNX システムがマルウェアに感染していないことを確認します。 VNX システムは、アプ
ライアンスであり、追加のソフトウェアをインストールすることはできないので、展開された
VNX システムではマルウェア検出は不要であり、提供されません。
マルウェア検出
83
セキュリティ保守
84
VNX1, VNX2 VNX のセキュリティ構成ガイド
第7章
高度な管理機能
この章では、管理機能を拡張し、セキュリティを強化してユーザーの操作効率を向上させる
ために使用できる VNX システムで強化されたセキュリティ機能について説明します。
主要なトピックは以下のとおりです。
l
l
l
l
l
リモート管理.......................................................................................................... 86
IPv6（インターネット プロトコル バージョン 6）による管理ポートのアドレス指定.........86
VLAN タグ機能のサポート...................................................................................... 86
SNMP 管理 SNMP かんり.......................................................................................86
FIPS 140-2 の管理サポート....................................................................................87
高度な管理機能
85
高度な管理機能
リモート管理
Unisphere は、「いつでもどこからでも安全に管理できる」機能をサポートするように設計さ
れています。これにより、管理者は、ブラウザがインストールされた任意のステーションから
ストレージ システムを管理することができ、ソフトウェアを事前にインストールしたり、特別な
ハードウェアを用意したりする必要ありません。 この機能には、企業が会社のリソースにリ
モートからアクセスできるようにするためにすでに使用しているメカニズム（SecureID、VPN
など）を補完する Unisphere のセキュリティ強化を実装する必要があります。
リモート管理によって、最小限のスタッフで、複雑になったデータセンターを管理し、24 時間
365 日で稼働させることができます。 離れた場所からトラブルシューティングを行うこともで
きるようになります。
IPv6（インターネット プロトコル バージョン 6）による管理ポートのア
ドレス指定
IPv6 は、IETF によって設計された「次世代」のプロトコルであり、現行バージョンの IPv4（イン
ターネット プロトコル バージョン 4）に代わるものです IPv6 には、セキュリティの観点から魅
力的な非常に多くの機能が含まれています。 信頼性が高く、自動構成を使用して簡単にセ
ットアップできます。 巨大な使用密度が低いアドレス空間であるため、悪意を持ったスキャ
ンに対する抵抗力が強く、自動化されたスキャン、自己増殖型ワーム、ハイブリッドな脅威も
寄せ付けません。 VNX システムは、Unisphere、VNX for Block と VNX for File の CLI の両
方、および RemotelyAnywhere の場合に IPv4 または IPv6 を使用してアクセスできます。 こ
のデュアル スタック IPv4/IPv6 モードにより、旧型のシステムとの相互運用をサポートしま
す。
VLAN タグ機能のサポート
VNX ストレージ システムの iSCSI データ ポートと管理ポートでは VLAN がサポートされま
す。 VLAN を使用すると、パフォーマンスの向上、管理しやすさ、コスト削減に加えて、セキ
ュリティの強化も実現されます。これは、VLAN タグを使用して構成されたデバイスが同じ
VLAN に属する場合のみ相互に検出および通信できるようになるためです。 これにより、
VNX 上に複数の仮想ポートをセットアップし、セキュリティ ポリシーを基にしてホストを異なる
複数の VLAN に分離することができます。 機密データを 1 つの VLAN に制限することもでき
ます。 VLAN を使用すると、トラフィックをスニッフィングするには複数のネットワークのスニッ
フィングが必要なためにこれが困難になり、セキュリティが強化されます。
VLAN タグ機能は、ポート単位で任意に有効にできます。 有効にした場合、1 GB/秒ポート
および 10 GB/秒ポートに対して最大 8 つの仮想ポート、および管理ポートに対して 1 つの
仮想ポートを構成できます。 管理ポート上の VLAN タグ機能は、IPv4 プロトコルと IPv6 プロ
トコルをサポートします。 VLAN サポートの詳細については、EMC オンライン サポート用
Web サイト（http://Support.EMC.com）の「VLAN Tagging and Routing on CLARiiON」ホワイ
ト ペーパーを参照してください。
SNMP 管理 SNMP かんり
SNMP は Control Station と Data Mover 間の通信に使用されるため、無効にすると、一部
の機能に支障が発生することがあります。 たとえば、server_netstat コマンドが動作しなくな
ります。 SNMP コミュニティ文字列は、SNMP でのセキュリティの基礎となります。 デフォルト
のコミュニティ名は public であり、この名前はよく知られています。 VNX for File への不要な
86
VNX1, VNX2 VNX のセキュリティ構成ガイド
高度な管理機能
アクセスを防止するには、この名前を変更する必要があります。 この機能を構成する方法
については、「VNX for File イベントと通知の構成」を参照してください。
SNMP 管理ソフトウェアを使用して、VNX for Block システムの状態を監視することができま
す。 SNMP コミュニティは、デバイスおよび SNMP を実行している管理ステーションが所属
するグループです。 SNMP コミュニティでは、情報の送信先が定義されます。 グループはコ
ミュニティ名で識別されます。 SNMP コミュニティは、このコミュニティに属さない管理ステー
ションからの要求に応答しません。 SNMP サポートの詳細については、EMC オンライン サ
ポート用 Web サイト（http://Support.EMC.com）の「Managing EMC CLARiiON with SNMP」
ホワイト ペーパーを参照してください。
FIPS 140-2 の管理サポート
FIPS 140-2（Federal Information Processing Standard 140-2）には、IT 製品が、SBU
（Sensitive but Unclassified; 取扱注意ではあるが機密扱いでない）利用を満たさなければ
いけないという、米国政府の要件が規定されています。 この規格では、IT システム内の機
密扱いされていない情報を保護するセキュリティ システムで使用される暗号形式モジュー
ルが満たす必要があるセキュリティ要件が定義されています。 FIPS 140-2 の詳細について
は、FIPS 1402-2 の刊行物を参照してください。
VNX for Block OE 31.5 および VNX for File OE 7.1 以降の VNX システムは、クライアント管
理トラフィックを処理する SP（ストレージ プロセッサ）および CS（Control Station）上の SSL モ
ジュールで、FIPS 140-2 モードをサポートしています。 システムで送受信される管理通信デ
ータは、SSL を使用して暗号化されます。 このプロセスの一部として、クライアントとストレー
ジ管理サーバー間で、交換に使用する合意済み暗号化スイートについてのネゴシエーショ
ンが行われます。 FIPS 140-2 モードの使用により、ネゴシエーションで選択できる許可され
た暗号化スイート セットは、十分に強力なもののみに制限されます。 FIPS 140-2 モードが有
効な場合、許容可能な強度の暗号化スイートをサポートしていない既存のクライアントが、
システムの管理ポートと通信できなくなることがあります。 FIPS 非準拠の証明書が File また
は Block の証明書ストアに存在する場合、VNX システムで FIPS モードを有効にすることは
できません。 FIPS 140-2 モードを有効にする前にすべての FIPS 非準拠の証明書を VNX シ
ステムから削除する必要があります。
VNX Unified システムでの FIPS 140-2 モードの管理
管理者またはセキュリティ管理者のみが、FIPS 140-2 モードを管理する権限を持ちます。
VNX Unified システム上で FIPS 140-2 モードを設定するには、次の Block または File のど
ちらかの CLI コマンドを使用します。 どちらのコマンドを使用しても VNX 全体に影響します。
Block CLI:
naviseccli -h <SP_IP_address> security -fipsmode -set 0|1 [-o]
0 は非 FIPS 140-2 モードに設定します mode
1 は FIPS 140-2 モードに設定します
File CLI:
nas_fipsmode -enable は FIPS 140-2 モードに設定します
nas_fipsmode -disable は非 FIPS 140-2 モードに設定します
VNX 全体の現在の FIPS 140-2 モードを確認するには、次の Block または File のどちらか
の CLI コマンドを使用します。
Block CLI:
naviseccli -h <SP_IP_address> security -fipsmode -get
File CLI:
nas_fipsmode -info
FIPS 140-2 の管理サポート
87
高度な管理機能
VNX Unified システムで FIPS 140-2 モードを設定すると、ストレージ管理サーバーが再起動
します。 SP と Control Station の両方に対する管理コマンドが短時間の間ブロックされま
す。 ただし、この処理は、ストレージ システム上で実行される入出力動作には影響しませ
ん。
㽷
2 つの Control Station があるシステムでは、FIPS 140-2 モードを設定すると、CS0 が CS1
にフェイルオーバーされます。
VNX for Block システムでの FIPS 140-2 モードの管理
管理者またはセキュリティ管理者のみが、FIPS 140-2 モードを管理する権限を持ちます。
VNX for Block システム上で FIPS 140-2 モードを設定するには、次の Block CLI コマンドを使
用します。
naviseccli -h <SP_IP_address> security -fipsmode -set 0|1 [-o]
0 は非 FIPS 140-2 モードに設定します mode
1 は FIPS 140-2 モードに設定します
VNX for Block システムの現在の FIPS 140-2 モードを確認するには、次の Block CLI コマン
ドを使用します。
naviseccli -h <SP_IP_address> security -fipsmode -get
VNX for Block システムで FIPS 140-2 モードを設定すると、ストレージ管理サーバーが再起
動します。 SP に対する管理コマンドが短時間の間ブロックされます。 ただし、この処理は、
ストレージ システム上で実行される入出力動作には影響しません。
VNX for File またはゲートウェイ システムでの FIPS 140-2 モードの管理
管理者またはセキュリティ管理者のみが、FIPS 140-2 モードを管理する権限を持ちます。
VNX for File またはゲートウェイ システム上で FIPS 140-2 モードを設定するには、次の File
CLI コマンドを使用します。
nas_fipsmode -enable は FIPS 140-2 モードに設定します
nas_fipsmode -disable は非 FIPS 140-2 モードに設定します
VNX for File またはゲートウェイ システムの現在の FIPS 140-2 モードを確認するには、次の
File CLI コマンドを使用します。
nas_fipsmode -info
ゲートウェイ システムで FIPS 140-2 モードを設定すると、Control Station 上の NAS サービ
スが再起動します。 Control Station に対する管理コマンドが短時間の間ブロックされます。
ただし、この処理は、VNX for File またはゲートウェイ システム上で実行される入出力動作
には影響しません。
㽷
2 つの Control Station があるシステムでは、FIPS 140-2 モードを設定すると、CS0 が CS1
にフェイルオーバーされます。
88
VNX1, VNX2 VNX のセキュリティ構成ガイド
付録 A
安全な展開と使用の設定
この付録では、セキュリティ要件の度合いが異なるいくつかのネットワーク トポロジーの例
について説明します。
次のトピックが含まれます。
l
安全な環境での Unisphere の実装........................................................................90
安全な展開と使用の設定
89
安全な展開と使用の設定
安全な環境での Unisphere の実装
多くの EMC のお客様でセキュリティの優先度が高くなっています。 当然ながら、多くのお客
様は、ネットワーク インフラストラクチャのセキュリティを積極的に強化しているか、少なくと
もそのことを検討しています。 また、セキュリティの要件やネットワーク トポロジーもお客様
によってさまざまです。 ただし、Unisphere ネットワーク管理要件を考慮せずにネットワーク
のセキュリティを構築すると、ストレージ システムの管理で問題が発生することがあります。
たとえば、重要なストレージ システム イベントの損失、セキュリティ データベースなどのグロ
ーバルな Unisphere 構成データの不整合などが発生します。 このドキュメントで説明してい
る Unisphere アーキテクチャを理解すれば、お客様は、ストレージ システムを効果的に管
理しながら同時に安全なネットワーク環境を構築することができます。
次のシナリオでは、セキュリティ要件のレベルが異なるネットワーク トポロジーでの
Unisphere アーキテクチャの柔軟性について説明します。 各シナリオでは、企業ネットワー
クとインターネットの間で DMZ（非武装地帯）を使用するなど、一般的に使用されている IT
セキュリティ ポリシーを採用しています。
㽷
これらは、各種ネットワーク トポロジーの代表例であり、さまざまな環境で Unisphere を実
装する方法の例です。 お客様のサイトでの実際の構成は、お客様に固有のセキュリティ要
件によって異なります。
最小限のセキュリティ対策を施した環境については、最小限のセキュリティによるストレージ
管理ネットワーク トポロジー（90 ページ）を参照してください。 企業ネットワークは DMZ に
よって外部から保護されていますが、内部的にはストレージのセキュリティに関する制限は
ほとんどありません。 すべての VNX TCP/IP トラフィック（VNX for Block - Unisphere コンポー
ネントによって使用されるポート（34 ページ）に示されているように）は、内部 LAN とストレー
ジ LAN の間で両方の方向に転送できます。 この構成は、最も完全な機能を備えた管理し
やすい VNX 環境を提供し、ユーザーは、DMZ 内の任意の場所からストレージ システムを
管理することができます。 SAN 接続サーバー上で実行される Unisphere ホスト エージェント
は、ホストの登録と LUN/ボリューム マッピングに関する完全な情報を提供します。 さらに、
企業ネットワーク上で集中型の監視ステーション、SNMP サーバー、Unisphere クライアン
ト/サーバー管理ステーション、ESRS IP Client をインストールできる場所にも制限はありま
せん。
図 2 最小限のセキュリティによるストレージ管理ネットワーク トポロジー
より厳しいセキュリティ要件を適用するお客様もあります。たとえば、ストレージ LAN 上の管
理ステーションのみにストレージ システムの管理を許可するお客様や、管理サービスやエ
ージェントを本番サーバーにインストールしないお客様があります。 最小限のセキュリティ
90
VNX1, VNX2 VNX のセキュリティ構成ガイド
安全な展開と使用の設定
によるストレージ管理ネットワーク トポロジー（91 ページ）の手順に従って、小さい変更を
構成にいくつか加えることで、平均的なセキュリティによるストレージ管理ネットワーク トポロ
ジー（90 ページ）に記載があるとおり、Unisphere の管理機能を失うことなく、これらの要件
を満たすことができます。 新しい構成では、VNX ストレージ システムが開始するアウトバウ
ンド TCP/IP トラフィックのみを許可するようにストレージ LAN と内部 LAN の間のファイアウォ
ールが変更されます。
図 3 平均的なセキュリティによるストレージ管理ネットワーク トポロジー
この変更の結果として、Unisphere、CLI、集中型の監視ステーション、Unisphere クライアン
ト/サーバー管理ステーション、ESRS IP Client によって実行される管理を含むすべての
Unisphere の管理と監視をストレージ LAN 上で実行する必要があります。 SNMP トラップと
メール通知は、引き続き会社の SMTP/SNMP サーバーに送信することも ESRS IP Client を
使用して EMC カスタマー サービスに送信することもできます。 最終的に、Unisphere ホスト
エージェントは Unisphere Server Registration Utility に置き換えられます。 すべてのホスト
管理機能は、イン バンドであり、本番サーバー上で実行されている追加のサービスはあり
ません。 ただし、LUN/ボリューム マッピング情報は、Unisphere または Secure CLI を介して
使用することはできません。この情報は Server Registration Utility を介してのみ使用できま
す。
これらの変更により、すべての管理アクティビティをストレージ LAN 上で開始する必要があ
るので、ストレージ システムの全体的なセキュリティが大幅に強化されます。 しかし、この構
成でも内部ファイアウォールでの違反に対しては依然として脆弱です。 ファイアウォールが
内部 LAN から侵害された場合、企業ネットワーク内の任意のコンピュータでストレージ シス
テムを管理できるようになります。 VNX ベースの IP フィルタリングを使用すると、この潜在
的な脅威を排除できます。
最後の構成（高度なセキュリティによるストレージ管理ネットワーク トポロジー（92 ページ）
を参照）は、企業のストレージ システムに極めて高いレベルのセキュリティを提供します。
潜在的な脅威は、物理的なリソースの侵害のみに軽減されます。 さらに、VNX ドメインの IP
フィルタリングを有効にすることで、ストレージ システムの管理を 1 台の Windows サーバ
ー、つまり Unisphere クライアント/サーバー管理ステーションに制限できます。 IP フィルタリ
ングを使用して、各ストレージ システムまたはドメインで信頼済みクライアント IP アドレスの
リストを用意することができます。 ストレージ システムは、これらの信頼済みクライアントか
らの管理接続のみを受け入れます。 IP フィルタリングは、イベント モニタのポーリング、メー
ル通知、SNMP などの他のトラフィックに影響を与えません。 IP フィルタリングの構成は、
http://<SP IP address>/setup ページまたは naviseccli security -trustedclient スイッチを使
用して確認できます。
安全な環境での Unisphere の実装
91
安全な展開と使用の設定
図 4 高度なセキュリティによるストレージ管理ネットワーク トポロジー
この構成では 2 つのレイヤーで認証を行います。 第 1 に、ユーザーは管理ステーションに
ログインするために有効な Windows 認証情報が必要です。 第 2 に、ユーザーはストレー
ジ システムを管理するために有効な Unisphere 認証情報が必要です。 この構成には、管
理オプションに関する柔軟性がないという欠点があります。 システムの任意の場所から管
理する機能がなく、ネットワーク全体を集中的に監視する機能も使用できません。 また、こ
の環境では、ESRS IP Client を使用してストレージ システムをリモートからサポートすること
もできません。 ただし、ESRS IP Client から EMC カスタマー サービスに通知を送信すること
はできます。
以上のことから、Unisphere アーキテクチャが、複数の安全な環境に統合する機能に関して
非常に柔軟性が高いことは明らかです。 VNX の管理の実装を成功させるには、VNX for
Block - Unisphere コンポーネントによって使用されるポート（34 ページ）および前のシナリオ
で説明した Unisphere ネットワークの要件を理解することが重要です。
92
VNX1, VNX2 VNX のセキュリティ構成ガイド
付録 B
TSL 暗号スイート
この付録では、VNX でサポートされている TSL 暗号スイートのリストを示します。
次のトピックが含まれます。
l
サポートされている TLS 暗号スイート..................................................................... 94
TSL 暗号スイート
93
TSL 暗号スイート
サポートされている TLS 暗号スイート
暗号スイートでは、TLS 通信をセキュリティで保護するための一連のテクノロジーを定義しま
す。
l
鍵交換アルゴリズム（データの暗号化に使用される秘密鍵がクライアントからサーバに
伝達される仕組み）。例：RSA 鍵または DH（Diffie-Hellman）
l
認証方法（ホストでリモート ホストの ID を認証する仕組み）。例：RSA 証明書、DSS 証明
書、認証なし
l
暗号化サイファ（データを暗号化する仕組み）。例：AES（256 または 128 ビット）または
3DES（168 ビット）
l
ハッシュ アルゴリズム（データの変更を特定する手段を提供し、データの整合性を確保
する仕組み）。例：SHA-2 または SHA-1
サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。「VNX2
Control Station のデフォルト/サポート対象の TLS 暗号スイート（94 ページ）」に、Control
Station 用の VNX2 でサポートされている暗号スイートのリストを示します。「VNX2 ストレー
ジ プロセッサのデフォルト/サポート対象の TLS 暗号スイート（95 ページ）」に、ストレージ
プロセッサ用の VNX2 でサポートされている暗号スイートのリストを示します。「VNX2 Data
Mover のデフォルト/サポート対象の TLS 暗号スイート（95 ページ）」に、Data Mover 用の
VNX2 で使用されるデフォルト/サポート対象の暗号スイートのリストを示します。「レプリケ
ーションに関連する VNX2 のデフォルト/サポート対象の TLS 暗号スイート（96 ページ）」
に、レプリケーション用の VNX2 でサポートされている暗号スイートのリストを示します。
「VNX1 Control Station のデフォルト/サポート対象の TLS 暗号スイート（96 ページ）」に、
Control Station 用の VNX1 でサポートされている暗号スイートのリストを示します。「VNX1
ストレージ プロセッサのデフォルト/サポート対象の TLS 暗号スイート（97 ページ）」に、ス
トレージ プロセッサ用の VNX1 でサポートされている暗号スイートのリストを示します。
「VNX1 Data Mover のデフォルト/サポート対象の TLS 暗号スイート（97 ページ）」に、Data
Mover 用の VNX1 で使用されるデフォルト/サポート対象の暗号スイートのリストを示しま
す。「レプリケーションに関連する VNX1 のデフォルト/サポート対象の TLS 暗号スイート
（97 ページ）」に、レプリケーション用の VNX1 でサポートされている暗号スイートのリスト
を示します。
次のリストは、さまざまな VNX コンポーネントおよび関連ポートの TLS 暗号スイートの
OpenSSL 名を示しています。
㽷
読みやすくするため、暗号スイートはアルファベット順に一覧表示しています。順序は、強度
のレベルを示しているわけではありません。
次の制限事項が適用されます。
l
一部の暗号スイートは、証明書のサイズが原因となり、VNX for File で拒否されることが
あります（Data Mover から提供される証明書に 2048 ビットの鍵が含まれる場合、それ
より小さい鍵を使用した暗号は拒否されます）。
表 9 VNX2 Control Station のデフォルト/サポート対象の TLS 暗号スイート
94
暗号スイート
プロトコル
ポート
AES128-SHA
TLSv1
443
AES256-SHA
TLSv1
443
DES-CBC3-SHA TLSv1
443
VNX1, VNX2 VNX のセキュリティ構成ガイド
TSL 暗号スイート
表 9 VNX2 Control Station のデフォルト/サポート対象の TLS 暗号スイート （続き）
暗号スイート
プロトコル
ポート
AES128-SHA
TLSv1、TLSv1.1 5989
AES256-SHA
TLSv1、TLSv1.1 5989
DES-CBC3-SHA TLSv1、TLSv1.1 5989
表 10 VNX2 ストレージ プロセッサのデフォルト/サポート対象の TLS 暗号スイート
暗号スイート
プロトコル
ポート
AES128-SHA
TLSv1、TLSv1.1、TLSv1.2 443
AES256-SHA
TLSv1、TLSv1.1、TLSv1.2 443
DES-CBC3-SHA TLSv1、TLSv1.1、TLSv1.2 443
表 11 VNX2 Data Mover のデフォルト/サポート対象の TLS 暗号スイート
暗号スイート
プロトコル
AECDH-AES128-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
AECDH-AES256-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
AECDH-DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
AES128-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
AES256-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
CAMELLIA128-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
CAMELLIA256-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
DHE-RSA-AES128-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
DHE-RSA-AES128-SHA256（CBC）
TLSv1.2
989, 990, 5080
DHE-RSA-AES128-SHA256（GCM）
TLSv1.2
989, 990, 5080
DHE-RSA-AES256-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
DHE-RSA-AES256-SHA256
TLSv1.2
989, 990, 5080
DHE-RSA-AES256-SHA384
TLSv1.2
989, 990, 5080
DHE-RSA-CAMELLIA128-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
DHE-RSA-CAMELLIA256-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
ECDHE-RSA-AES128-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
ECDHE-RSA-AES128-SHA256（CBC）
TLSv1.2
989, 990, 5080
ECDHE-RSA-AES128-SHA256（GCM） TLSv1.2
989, 990, 5080
ECDHE-RSA-AES256-SHA
ポート
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
サポートされている TLS 暗号スイート
95
TSL 暗号スイート
表 11 VNX2 Data Mover のデフォルト/サポート対象の TLS 暗号スイート （続き）
暗号スイート
プロトコル
ポート
ECDHE-RSA-AES256-SHA384（CBC）
TLSv1.2
989, 990, 5080
ECDHE-RSA-AES256-SHA384（GCM） TLSv1.2
989, 990, 5080
ECDHE-RSA-DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
EDH-RSA-DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080
RSA-AES128-SHA256（CBC）
TLSv1.2
989, 990, 5080
RSA-AES128-SHA256（GCM）
TLSv1.2
989, 990, 5080
RSA-AES256-SHA256
TLSv1.2
989, 990, 5080
RSA-AES256-SHA384
TLSv1.2
989, 990, 5080
㽷
暗号スイートが鍵交換または認証入力を示していない場合は、RSA が使用されます。
必要な場合は、Unisphere コマンドまたは VNX CLI for File コマンド（server_ftp および
server_http）を使用して、Data Mover の暗号パラメーターをデフォルト設定から変更す
ることができます。Data Mover の暗号パラメーターの設定方法については、「VNX for File コ
マンド ライン インターフェイス リファレンス」を参照してください。
表 12 レプリケーションに関連する VNX2 のデフォルト/サポート対象の TLS 暗号スイート
暗号スイート
プロトコル
ポート
ADH-AES128-SHA
TSLV1、TSLV1.1、TLSv1.2 5085
ADH-AES128-SHA256
TLSv1.2
5085
ADH-AES128-GCM-SHA256 TLSv1.2
5085
ADH-AES256-SHA
TSLV1、TSLV1.1、TLSv1.2 5085
ADH-AES256-SHA256
TLSv1.2
5085
ADH-AES256-GCM-SHA384 TLSv1.2
5085
ADH-CAMELIA128-SHA
TSLV1、TSLV1.1、TLSv1.2 5085
ADH-CAMELIA256-SHA
TSLV1、TSLV1.1、TLSv1.2 5085
ADH-DES-CBC3-SHA
TSLV1、TSLV1.1、TLSv1.2 5085
表 13 VNX1 Control Station のデフォルト/サポート対象の TLS 暗号スイート
96
暗号スイート
プロトコル
ポート
AES128-SHA
TLSv1
443
AES256-SHA
TLSv1
443
DES-CBC3-SHA
TLSv1
443
DHE-RSA-AES128-SHA
TLSv1
443
VNX1, VNX2 VNX のセキュリティ構成ガイド
TSL 暗号スイート
表 13 VNX1 Control Station のデフォルト/サポート対象の TLS 暗号スイート （続き）
暗号スイート
プロトコル
ポート
DHE-RSA-AES256-SHA
TLSv1
443
EDH-RSA-DES-CBC3-SHA TLSv1
443
AES128-SHA
TLSv1、TLSv1.1 5989
AES256-SHA
TLSv1、TLSv1.1 5989
DES-CBC3-SHA
TLSv1、TLSv1.1 5989
表 14 VNX1 ストレージ プロセッサのデフォルト/サポート対象の TLS 暗号スイート
暗号スイート
プロトコル
ポート
AES128-SHA
TLSv1、TLSv1.1 443
AES256-SHA
TLSv1、TLSv1.1 443
DES-CBC3-SHA TLSv1、TLSv1.1 443
表 15 VNX1 Data Mover のデフォルト/サポート対象の TLS 暗号スイート
暗号スイート
プロトコル ポート
AES128-SHA
TLSv1
990、5080
AES256-SHA
TLSv1
990、5080
CAMELLIA128-SHA
TLSv1
990、5080
CAMELLIA256-SHA
TLSv1
990、5080
DES-CBC-SHA
TLSv1
990、5080
DES-CBC3-SHA
TLSv1
990、5080
DHE-RSA-AES128-SHA
TLSv1
990、5080
DHE-RSA-AES256-SHA
TLSv1
990、5080
DHE-RSA-CAMELLIA128-SHA TLSv1
990、5080
DHE-RSA-CAMELLIA256-SHA TLSv1
990、5080
EDH-RSA-DES-CBC-SHA
TLSv1
990、5080
EDH-RSA-DES-CBC3-SHA
TLSv1
990、5080
表 16 レプリケーションに関連する VNX1 のデフォルト/サポート対象の TLS 暗号スイート
暗号スイート
プロトコル ポート
ADH-AES128-SHA
TLSv1
5085
ADH-AES256-SHA
TLSv1
5085
ADH-CAMELLIA128-SHA TLSv1
5085
サポートされている TLS 暗号スイート
97
TSL 暗号スイート
表 16 レプリケーションに関連する VNX1 のデフォルト/サポート対象の TLS 暗号スイート （続き）
98
暗号スイート
プロトコル ポート
ADH-CAMELLIA256SHA
TLSv1
5085
ADH-DES-CBC3-SHA
TLSv1
5085
ADH-DES-CBC-SHA
TLSv1
5085
VNX1, VNX2 VNX のセキュリティ構成ガイド
付録 C
LDAP ベースのディレクトリ サーバーの構成
この付録には、LDAP ベースのディレクトリ サーバーにおける組織情報の構造をより理解す
るために役立つツールに関する詳細、およびその情報の解釈方法に関するヒントが記載さ
れています。 まず、ユーザーとグループが存在する場所を理解する必要があります。 この
情報を使用して、ディレクトリ サーバーをセットアップし、Control Station の LDAP ベースの
クライアントとディレクトリ サーバーの間の接続を構成します。 Unisphere にログインし、［設
定 ＞ セキュリティ設定］（タスク リスト）＞［LDAP ドメインの管理］を使用します。
次のトピックが含まれます。
l
l
Active Directory ユーザーとコンピュータ...............................................................100
Ldap Admin.........................................................................................................101
LDAP ベースのディレクトリ サーバーの構成
99
LDAP ベースのディレクトリ サーバーの構成
Active Directory ユーザーとコンピュータ
Active Directory のユーザー アカウントとグループ アカウントは、ADUC（Active Directory ユ
ーザーとコンピュータ）MMC スナップインを使用して管理できます。 このスナップインは、す
べての Windows ドメイン コントローラに自動的にインストールされます。 このツールにアク
セスするには、［コントロール パネル］ > ［管理ツール］ > ［Active Directory ユーザーとコンピ
ューター］の順にクリックします。
Active Directory に正常に接続するために必要な情報については、Active Directory ディレク
トリ サーバーに接続するために必要な情報（100 ページ）を参照してください。
表 17 Active Directory ディレクトリ サーバーに接続するために必要な情報
必要な接続情報
値
完全修飾ドメイン名（基本識別とも呼ばれます）
プライマリ ドメイン コントローラ/ディレクトリ サーバーの IP ア
ドレスまたはホスト名
セカンダリ ドメイン コントローラ/ディレクトリ サーバーの IP ア
ドレスまたはホスト名
アカウント名（バインド識別名とも呼ばれます）
手順
1. ADUC を開き、（必要に応じて）ドメインに接続します。 ドメイン名を右クリックし、メニュー
から［検索］を選択します。
2. VNX for File ユーザーとなるドメイン ユーザーを識別します。 ユーザー プロファイルを検
索するには、［検索］フィールドにユーザーの名前を入力し、［検索開始］をクリックしま
す。
3. ［表示］ > ［列の選択］を選択して、表示されたユーザー情報に X.500 パスを追加します。
4. ［利用可能な列］フィールドから［X500 識別名］を選択し、［追加］をクリックします。
5. ［検索］ウィンドウに、対象のユーザーの X.500 識別名が表示されます。 X.500 識別名
には、ユーザーの名前（CN=Joe Muggs）とこのユーザーが存在するディレクトリ構造のコ
ンテナへのパス（ CN=Users,DC=derbycity,DC=local）が含まれます。パスを記録してお
きます。
6. 次のいずれかの方法で、他のすべての VNX for File ユーザーが同じパスを使用してい
ることを確認します。
l
すべての VNX for File ユーザー アカウントに対して検索を繰り返します。
または
l
ADUC で該当する領域に移動し、すべての VNX for File ユーザー アカウントを検索し
ます。
7. ステップ 1～6 を繰り返し、グループが存在するディレクトリ構造のコンテナへのパスを
検索します。
ユーザーとグループのパスが両方とも CN=Users,DC=<domain
component>,DC=<domain component>[, DC=<domain component>...]（例：
CN=Users,DC=derbycity,DC=local）の場合、Unisphere の［LDAP ドメインの管理］ビュー
の［デフォルト Active Directory］オプションを使用できます。 このオプションではユーザ
ーとグループがデフォルトのコンテナ（CN=Users）に存在することが想定されるため、ユ
ーザー検索パスまたはグループ検索パスを指定する必要はありません。
100
VNX1, VNX2 VNX のセキュリティ構成ガイド
LDAP ベースのディレクトリ サーバーの構成
8. ユーザーがデフォルトのコンテナ（CN=Users）に存在しない場合もあります。 たとえば、
VNX for File ユーザーなどは、代わりにディレクトリ内の他のコンテナまたは組織単位に
存在していることがあります。 この場合、Unisphere の［LDAP ドメインの管理］ビューの
［カスタム Active Directory］オプションを使用して、検索パスを手動で入力する必要があ
ります。
9. グループがデフォルトのコンテナ（CN=Users）に存在しない場合もあります（グループは
ユーザーと同じ場所に存在する必要はありません）。 その場合、代わりに、ディレクトリ
内の他のコンテナまたは組織単位に存在していることがあります。
10. LDAP ユーザーとグループの検索は、指定したパスから開始され、そのコンテナと下位
のすべてのコンテナを対象として実行されます。 VNX for File ユーザーとグループが同じ
コンテナまたは組織単位に存在しない場合は、ユーザー検索パスとグループ検索パス
を指定するときに、収集パスの交差部分（共通部分）を使用する必要があります。 これ
はドメインのルートでなければならない場合もあります。 たとえば、VNX for File ユーザー
が Active Directory 内の次の 2 か所に格納されていると仮定します。
l
パス 1： CN=Users,DC=derbycity,DC=local
l
パス 2： OU=VNX Users,OU=EMC VNX,DC=derbycity,DC=local
VNX for File ですべてのユーザーを検索できるようにするには、検索パスとしてこの 2 個
のパスの交差部分（つまり、ドメインのルート DC=derbycity,DC=local）を使用する必要
があります。Unisphere の［LDAP ドメインの管理］ビューの［ユーザー検索パス］フィール
ドにこの値を入力します。
11. 再び［検索］ウィンドウを使用して、VNX for File Control Station からディレクトリに接続す
るときに使用するアカウントの完全な X.500 パスを特定します。 この場合、個々のアカ
ウントへのパスを指定することになるため、パスからユーザー名を削除しないでくださ
い。
l
Unisphere の［LDAP ドメインの管理］ビューの［デフォルト Active Directory］オプショ
ンを使用している場合は、［アカウント名］フィールドにアカウント名（例：VNX LDAP
Binding）のみを入力します。 VNX for File ソフトウェアにより完全な X.500 パスが構
成されるため、X.500 シンタクスを入力する必要はありません。
l
［LDAP ドメインの管理］の［カスタム Active Directory］オプションを使用している場合
は、［識別名］フィールドに完全な X.500 パスを入力します。
Ldap Admin
Active Directory と異なり、他の LDAP ベースのディレクトリ サーバーには通常 GUI 管理イン
タフェースは付属していません。 この場合、Ldap Admin などのツールを使用して、LDAP サ
ーバー上の適切な検索パスを見つける必要があります。 無償の Ldap Admin ツール
（ldapadmin.sourceforge.net から Windows LDAP マネージャを入手可能）では、LDAP サー
バー上のオブジェクトの参照、検索、変更、作成、削除が可能です。 Ldap Admin のクリップ
ボードへのコピー機能では、値を Unisphere の［設定 ＞ セキュリティ］（タスク リスト）＞
［LDAP ドメインの管理］フィールドに簡単に移すことができ、特に便利です。
カスタマイズされた Active Directory、または OpenLDAP など、他の LDAP ベースのディレク
トリ サーバーに正常に接続するために必要な情報については、カスタマイズされた Active
Directory または他の LDAP ベースのディレクトリ サーバーに接続するために必要な情報
（102 ページ）を参照してください。
Ldap Admin
101
LDAP ベースのディレクトリ サーバーの構成
表 18 カスタマイズされた Active Directory または他の LDAP ベースのディレクトリ サーバーに接続す
るために必要な情報
必要な接続情報
値
完全修飾ドメイン名（基本識別とも呼ばれます）
プライマリ ディレクトリ サーバーの IP アドレスまた
はホスト名
セカンダリ ディレクトリ サーバーの IP アドレスまた
はホスト名
識別名（バインド識別名とも呼ばれます）
User search path
User name attribute
Group search path
Group name attribute
グループ クラス
グループ メンバー
手順
1. Ldap Admin を起動し、新しい接続を作成します。 ［テスト接続］をクリックして接続を確
認します。
2. LDAP サーバーへの接続を開き、ドメイン名を右クリックして、メニューから［検索］を選択
します。
3. VNX for File ユーザーとなる LDAP ユーザーを識別します。 ユーザー プロファイルを検索
するには、［名前］フィールドにユーザーの名前を入力し、［開始］をクリックします。
4. 表示されたリストで該当するユーザーを右クリックして、メニューから［ジャンプ］を選択し
ます。 このユーザーを使用して、ユーザー検索パスとグループ検索パスを決定すること
になります。 ［検索］ウィンドウを閉じます。
5. Ldap Admin のメイン ウィンドウで、ステータス バーにユーザーが存在するフォルダの
DN（識別名）が表示されていることを確認します。 LDAP サーバーの多くは、RFC2307 に
記載の規則に従ってユーザーを People コンテナに格納します。
6. フォルダを右クリックして、メニューから［クリップボードに dn をコピー］を選択します。
7. Unisphere の［LDAP ドメインの管理］ビューで［他のディレクトリ サーバー］オプションを
選択します。 ［ユーザー検索パス］フィールドに DN 値をペーストします。
8. 次のいずれかの方法で、他のすべての VNX for File ユーザーが同じパスを使用してい
ることを確認します。
l
すべての VNX for File ユーザー アカウントに対して検索を繰り返します。
または
l
Ldap Admin で該当するディレクトリ領域に移動し、すべての VNX for File ユーザー
アカウントを検索します。
9. ステップ 2～8 を繰り返し、グループが存在するディレクトリ構造のコンテナへのパスを
グループ名で検索します。 グループ名で検索する場合、高度な検索機能を使用して、
cn=<group name>の形式で検索フィルタを指定します。 検索が完了したら、表示されたリ
ストで該当するグループを右クリックして、メニューから［ジャンプ］を選択します。
102
VNX1, VNX2 VNX のセキュリティ構成ガイド
LDAP ベースのディレクトリ サーバーの構成
10. LDAP ユーザーとグループの検索は、指定したパスから開始され、そのコンテナと下位
のすべてのコンテナを対象として実行されます。 VNX for File ユーザーとグループが同じ
コンテナまたは組織単位に存在しない場合は、ユーザー検索パスとグループ検索パス
を指定するときに、収集パスの交差部分（共通部分）を使用する必要があります。 これ
はドメインのルートでなければならない場合もあります。 たとえば、VNX for File ユーザー
が Active Directory 内の次の 2 か所に格納されていると仮定します。
l
パス 1： OU=People,DC=openldap-eng,DC=local
l
パス 2： OU=VNX Users,OU=EMC VNX, DC=openldap-eng,DC=local
VNX for File ですべてのユーザーを検索できるようにするには、検索パスとして 2 個のパ
スの交差部分（つまり、ドメインのルート DC=openldap-eng,DC=local）を使用する必要
があります。
11. ［検索］ウィンドウを使用して、VNX for File Control Station からディレクトリに接続すると
きに使用するユーザー アカウントを特定します。 アカウント名を右クリックして、［クリップ
ボードに dn をコピー］を選択します。 Unisphere の［LDAP ドメインの管理］ビューの［識
別名］フィールドに DN 値（例：uid=vnx,ou=People）をペーストします。
Ldap Admin
103
LDAP ベースのディレクトリ サーバーの構成
104
VNX1, VNX2 VNX のセキュリティ構成ガイド
付録 D
VNX for File の CLI の役割に基づくアクセス
この付録では、VXN for File の CLI コマンドに対する役割に基づくアクセスのセットアップ方
法についての情報を提供します。 さまざまな種類のコマンドの一覧も記載されています。 次
のトピックが含まれます。
l
CLI の役割に基づくアクセスのセットアップ............................................................106
VNX for File の CLI の役割に基づくアクセス
105
VNX for File の CLI の役割に基づくアクセス
CLI の役割に基づくアクセスのセットアップ
ユーザー アカウントは常にプライマリ グループに関連づけられ、各グループには役割が割
り当てられます。 役割は、ユーザーが特定のファイル オブジェクトに対して実行できる権限
（操作）を定義します。
コマンドに対する役割に基づくアクセスの定義
この付録では、CLI コマンド用の役割に基づいたアクセスを設定する方法について説明しま
す。 最初の 4 個の表には、さまざまなコマンド アクションの実行に必要な権限を指定できる
CLI コマンドを示します。 コマンドごとに、権限を定義するオブジェクトと、変更の権限または
完全な管理権限が選択されている場合に使用できる特定のコマンド アクションが示されま
す。 これらの情報を使用して、カスタム役割（ユーザーの役割とも呼ばれる）を作成し、その
役割を持つユーザーに対して各自のジョブを実行するのに必要な権限のみを割り当てるこ
とができます。 または、コマンドに対する完全な管理権限をすでに含む事前定義された役
割をユーザーに関連づけることもできます。 最初の表は、cel というプレフィックスを持つコ
マンドの一覧です。 2 番目の表は、fs というプレフィックスを持つコマンドの一覧です。 3 番
目の表は、nas というプレフィックスを持つコマンドの一覧です。 4 番目の表は、server とい
うプレフィックスを持つコマンドの一覧です。
役割に基づいた管理アクセスを作成および管理するには、［設定］ > ［セキュリティ］ > ［ユー
ザー管理］ > ［ファイル用のローカル ユーザー］ > ［役割］または［設定］ > ［セキュリティ］ > ［ユ
ーザー管理］ > ［ファイルに対するユーザー カスタマイズ］ > ［役割］を選択します。 ユーザー
アカウントを作成し、そのユーザーをグループと役割に関連づけるには、root であるか、管
理者またはセキュリティ管理者の役割に関連づけられているユーザーである必要がありま
す。
読み取り専用権限
ユーザーは、自分に関連づけられた役割と関係なく、情報を表示するすべてのコマンドおよ
びコマンド オプション用の読み取り専用権限を常に持っています。 読み取り専用権限で使
用可能なコマンド アクションには、info、list、status、verify があります。 5 番目の表は、ど
の役割に関連づけられたユーザーでも実行できるコマンドの一覧です。
役割に基づくアクセス機能の対象外のコマンド
最後の表は、役割に基づいたアクセス機能の対象になっていないコマンドの一覧です。 こ
れらのコマンドには、スクリプトを起動するもの、従来の実行可能プログラムに基づくもの、
内在的なファイル オブジェクトに関連づけられるものがあります。 コマンドに関連づけられ
たファイル オブジェクトが［役割の作成］で公開されていない場合は、さまざまなコマンド ア
クションを実行するために必要な権限を指定できるカスタム（ユーザーの）役割を作成できま
せん。 このため、これらのコマンドを実行できるのは、デフォルトのユーザー カウントである
root と nasadmin、または（場合によっては）root および nasadmin の役割に関連づけられ
たユーザー アカウントだけです。
cel コマンド
㽷
［オブジェクト カテゴリー］に、権限を設定できる［役割］ダイアログのフィールドが一覧表示さ
れます。
㽷
すべてのコマンドは、別途記載がない限り、NAS 管理者およびストレージ管理者の役割にも
含まれます。
106
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI の役割に基づくアクセス
表 19 cel コマンド
コマンド
オブジェクト カテゴリ
ー
cel_fscelfs
［ストレージ］＞［ファイル
システム］
変更権限で使用可能
なアクション
完全な管理権限で使用可
能なアクション
事前定義の役割に含
まれる内容
展開
インポート
FileMover アプリケーショ
ン
fs コマンド
㽷
［オブジェクト カテゴリー］に、権限を設定できる［役割］ダイアログのフィールドが一覧表示さ
れます。
㽷
すべてのコマンドは、別途記載がない限り、NAS 管理者およびストレージ管理者の役割にも
含まれます。
表 20 fs コマンド
コマンド
オブジェクト カテゴリ
ー
変更権限で使用可能
なアクション
完全な管理権限で使用可 事前定義の役割に含
能なアクション
まれる内容
fs_ckpt
［データ保護］＞［チェッ
クポイント］
変更
更新
作成
リストア
データ保護
データ リカバリ
ローカル データ保護
fs_dhsm
［ストレージ］＞
［FileMover］
fs_group
［ストレージ］＞［ファイル
システム］
接続の変更
変更
接続の新規作成
接続の削除
FileMover アプリケーショ
ン
作成
削除
FileMover アプリケーショ
ン
縮小
延長
fs_rdf
［ストレージ］＞［ファイル
システム］
情報
ミラー
リストア
fs_timefinder
［ストレージ］＞［ファイル
システム］
ミラー
リストア
スナップショット
nas コマンド
㽷
［オブジェクト カテゴリー］に、権限を設定できる［役割］ダイアログのフィールドが一覧表示さ
れます。
CLI の役割に基づくアクセスのセットアップ
107
VNX for File の CLI の役割に基づくアクセス
㽷
すべてのコマンドは、別途記載がない限り、NAS 管理者およびストレージ管理者の役割にも
含まれます。
表 21 nas コマンド
コマンド
オブジェクト カテゴリ
ー
変更権限で使用可能 完全な管理権限で使用
なアクション
可能なアクション
事前定義の役割に含ま
れる内容
nas_ckpt_schedule
［データ保護］＞［チェッ
クポイント］
［データ保護］＞［VTLU］
変更
一時停止
データ保護
データ リカバリ
nas_copy
作成
削除
再開
［データ保護］＞［レプリ
ケーション］
ローカル データ保護
作成
ターゲット
データ リカバリ
ソース
相互接続
nas_devicegroup
acl
再開
［ストレージ］＞［ファイ
ル システム］
中断
nas_disk
［ストレージ］＞［ボリュ
ーム］
nas_diskmark
［ストレージ］＞［ファイ
ル システム］
nas_fs
［ストレージ］＞［ファイ
ル システム］
名前の変更
削除
mark
変更
名前の変更
acl
作成
アクセス ポリシー変換
の開始
削除
FileMover アプリケーショ
ン
タイプ
延長
nas_fsck
［ストレージ］＞［ファイ
ル システム］
nas_licensenas_lice
nse
［システム］＞［ライセン
ス］
スタート
作成
削除
セキュリティ管理者（NAS
管理者およびストレージ管
理者の役割には含まれな
い）
初期化
nas_pool
［ストレージ］＞［プー
ル］
変更
縮小
FileMover アプリケーショ
ン
作成
削除
延長
nas_quotas
［ストレージ］＞［クォー
タ］
［ストレージ］＞［ファイ
ル システム］
編集
オン | オフ
クリア
nas_replicate
［データ保護］＞［レプリ
ケーション］
変更
更新
作成
削除
フェイルオーバー
108
VNX1, VNX2 VNX のセキュリティ構成ガイド
データ リカバリ
VNX for File の CLI の役割に基づくアクセス
表 21 nas コマンド （続き）
コマンド
オブジェクト カテゴリ
ー
変更権限で使用可能 完全な管理権限で使用
なアクション
可能なアクション
事前定義の役割に含ま
れる内容
リバース
スタート
停止
スイッチオーバー
nas_server
［システム］＞［Data
Mover］
［プロトコル］＞［CIFS］
acl
名前の変更
作成
削除
（［システム］＞［Data Mover］
オブジェクト カテゴリー）
vdm
（［プロトコル］＞［CIFS］オブ
ジェクト カテゴリー）
nas_slice
［ストレージ］＞［ボリュ
ーム］
名前の変更
作成
削除
nas_storage
［ストレージ］＞［ファイ
ル システム］
変更
名前の変更
acl
削除
フォールバック
同期
nas_task
［システム］＞［タスク］
nas_volume
［ストレージ］＞［ボリュ
ーム］
中止
削除
名前の変更
延長
すべてのユーザーは自分
が所有するタスクを中止お
よび削除できますが、他の
ユーザーが所有するタス
クは、root ユーザーだけ
が中止および削除できま
す
acl
クローン
作成
削除
server コマンド
㽷
［オブジェクト カテゴリー］に、権限を設定できる［役割］ダイアログのフィールドが一覧表示さ
れます。
㽷
すべてのコマンドは、別途記載がない限り、NAS 管理者およびストレージ管理者の役割にも
含まれます。
CLI の役割に基づくアクセスのセットアップ
109
VNX for File の CLI の役割に基づくアクセス
表 22 server コマンド
コマンド
オブジェクト カテゴリ
ー
server_arp
［ネットワーク］＞［NIS］
server_cdms
［ストレージ］＞［移行］
変更権限で使用可能
なアクション
変換
一時停止
完全な管理権限で使用
可能なアクション
事前定義の役割に含ま
れる内容
削除
設定
ネットワーク管理者
接続
切断
スタート
server_certificate
CA 証明書の削除
CA 証明書のインポート
［セキュリティ］＞［公開
鍵証明書］
ペルソナのクリア
セキュリティ管理者（NAS
管理者およびストレージ管
理者の役割には含まれな
い）
ペルソナの生成
ペルソナのインポート
server_cifs
［プロトコル］＞［CIFS］
無効化
有効化
追加
削除
結合
移行
名前の変更
置換
参加解除
更新
server_cifssupport
［プロトコル］＞［CIFS］
acl
SECMAP の更新
SECMAP の作成
SECMAP の削除
SECMAP のインポート
SECMAP の移行
server_cpu
［システム］＞［Data
Mover］
server_date
［システム］＞［Data
Mover］
一時停止
再起動
timesvc ホスト
timesvc の開始
timesvc の削除
timesvc の設定
timesvc の更新
timesvc の停止
server_devconfig
［ストレージ］＞［ストレー 名前の変更
ジ システム］
作成
server_dns
［ネットワーク］＞［DNS］
オプション
削除
NFS
server_export
［プロトコル］＞［NFS］
または
アンエクスポート
プロトコル（NFS）
サービス開始 | 停止
ネットワーク管理者
［プロトコル］＞［CIFS］
server_ftp
［プロトコル］＞［NFS］
変更
サービス状態のリセット
server_http
［ストレージ］＞
［FileMover］
変更
追加
110
VNX1, VNX2 VNX のセキュリティ構成ガイド
ネットワーク管理者
FileMover アプリケーション
VNX for File の CLI の役割に基づくアクセス
表 22 server コマンド （続き）
コマンド
オブジェクト カテゴリ
ー
変更権限で使用可能
なアクション
完全な管理権限で使用
可能なアクション
事前定義の役割に含ま
れる内容
作成
削除
ネットワーク管理者
ネイバー作成 | 削除
ルート作成 | 削除
ネットワーク管理者
追加
削除
セキュリティ管理者（NAS
管理者およびストレージ管
理者の役割には含まれな
い）
クリア
サービス開始 | 停止
ネットワーク管理者
すべて
強制
FileMover アプリケーション
削除
サービス開始 | 停止
server_ifconfig
［ネットワーク］＞［インタ アップ
フェース］
ダウン
ipsec および noipsec
（バージョン 8.x よりも前
の VNX OE for File を実
行しているシステムにの
み該当）
mtu
VLAN
server_ip
［ネットワーク］＞［ルー
ティング］
server_kerberos
［プロトコル］＞［CIFS］
キータブ
C キャッシュ
K アドミン
server_ldap
［ネットワーク］＞［NIS］
server_mount
［ストレージ］＞［ファイル
システム］
設定
オプション
server_mountpoint
［ストレージ］＞［ファイル
システム］
server_name
［システム］＞［Data
Mover］
<new_name>
server_nfs
［プロトコル］＞［NFS］
ユーザー
v4 クライアント
サービス
プリンシパル
v4 統計情報ゼロ
v4 サービス
作成
削除
server_nfsstatserver
_nfsstat
［プロトコル］＞［NFS］
server_nis
［ネットワーク］＞［NIS］
server_param
［システム］＞［Data
Mover］
ツール
server_rip
［ネットワーク］＞［ルー
ティング］
RIP 処理
RIP 処理なし
server_route
［ネットワーク］＞［ルー
ティング］
コマンド オプションの
mapper set および
mapping は root でのみ実
行可能
0
削除
ネットワーク管理者
ネットワーク管理者
追加
削除
ネットワーク管理者
CLI の役割に基づくアクセスのセットアップ
111
VNX for File の CLI の役割に基づくアクセス
表 22 server コマンド （続き）
コマンド
オブジェクト カテゴリ
ー
変更権限で使用可能
なアクション
完全な管理権限で使用
可能なアクション
事前定義の役割に含ま
れる内容
フラッシュ
すべて削除
server_security
［プロトコル］＞［CIFS］
変更
更新
server_setup
［システム］＞［Data
Mover］
ロード
NFS
追加
削除
セキュリティ管理者（NAS
管理者およびストレージ管
理者の役割には含まれな
い）
コミュニティ
場所
ネットワーク管理者
ロード
server_snmp
［ネットワーク］＞［NIS］
syscontact
server_standby
［システム］＞［Data
Mover］
server_stats
［ストレージ］＞［ファイル モニター
システム］
server_sysconfig
［ネットワーク］＞［デバ
イス］
server_umount
server_usermapper
アクティブ化
リストア
pci
作成
削除
noresolve
サービスさーびす
仮想化新規作成
仮想化削除
ネットワーク管理者
［ストレージ］＞［ファイル 一時
システム］
すべて
perm
FileMover アプリケーション
［プロトコル］＞［CIFS］
無効化
有効化
セキュリティ管理者（NAS
管理者およびストレージ管
理者の役割には含まれな
い）
インポート
削除
server_vtlu
［データ保護］＞［VTLU］
サービス セット
ストレージ拡張
ドライブのマウント解除
ストレージ削除
ストレージ エクスポート
ストレージ新規作成
ストレージ インポート
テープ取り出し
TLU の変更
テープ挿入
TLU 削除
表 23 すべての役割に実行権限があるコマンド
コマンド
nas_inventory
server_checkup
server_df
112
VNX1, VNX2 VNX のセキュリティ構成ガイド
FileMover アプリケーション
VNX for File の CLI の役割に基づくアクセス
表 23 すべての役割に実行権限があるコマンド （続き）
コマンド
server_pingserver_ping
server_ping6
server_sysstatserver_sysstat
server_uptime
server_version
表 24 役割に基づくアクセス機能の対象外のコマンド
コマンド
注意事項
cs_standby
root 権限が必要
nas_aclnasacl
nasadmin 権限で実行可能
nas_automountmap
nasadmin 権限で実行可能
nas_ca_certificate
証明書の生成には root 権限が必要
nas_cel
nasadmin 権限で実行可能
nas_checkup
nasadmin 権限で実行可能
nas_connecthome
変更およびテストには root 権限が必要
nas_confignas_config
root 権限が必要
nas_cs
root 権限が必要
nas_emailuser
nasadmin 権限で実行可能
nas_event
nasadmin 権限で実行可能
nas_halt
root 権限が必要
nas_logviewer
nasadmin 権限で実行可能
nas_message
nasadmin 権限で実行可能
nas_mview
root 権限が必要
nas_rdf
root 権限が必要
nas_version
nasadmin 権限で実行可能
server_archive
nasadmin 権限で実行可能
server_cepp
nasadmin 権限で実行可能
server_dbms
データベースの削除、圧縮、修復、リストアには root 権限が必要
server_file
nasadmin 権限で実行可能
server_ipsec
nasadmin 権限で実行可能
server_iscsi
nasadmin 権限で実行可能
server_logserver_log
nasadmin 権限で実行可能
CLI の役割に基づくアクセスのセットアップ
113
VNX for File の CLI の役割に基づくアクセス
表 24 役割に基づくアクセス機能の対象外のコマンド （続き）
コマンド
注意事項
server_mpfs
nasadmin 権限で実行可能（バージョン 8.x よりも前の VNX OE for File
を実行しているシステムにのみ該当）
server_mt
nasadmin 権限で実行可能
server_netstatserver_nets nasadmin 権限で実行可能
tat
114
server_nfs
セキュア NFS マッピングの構成には root 権限が必要
server_pax
統計情報をリセットするには root 権限が必要
server_snmpd
nasadmin 権限で実行可能
server_stats
nasadmin 権限で実行可能
server_tftp
nasadmin 権限で実行可能
server_user
nasadmin 権限で実行可能
server_viruschk
nasadmin 権限で実行可能
VNX1, VNX2 VNX のセキュリティ構成ガイド
付録 E
VNX for File の CLI セキュリティ構成オプション
この付録では、VNX for File の CLI を使用して実行できるセキュリティ構成関連の操作につ
いて説明します。
主要なトピックは以下のとおりです。
l
l
l
l
l
l
l
l
l
l
パスワード ポリシーの構成.................................................................................. 116
セッション タイムアウトの構成.............................................................................. 117
セッション トークンの保護.....................................................................................118
SSL プロトコルを使用したネットワークの暗号化と認証の構成...............................119
PKI の構成.......................................................................................................... 121
PKI の管理.......................................................................................................... 135
ログイン バナーのカスタマイズ............................................................................ 139
MOTD の作成...................................................................................................... 139
匿名 root ログインの制限.................................................................................... 140
ログインの失敗回数が指定した回数を超えた場合にアカウントをロックする..........141
VNX for File の CLI セキュリティ構成オプション
115
VNX for File の CLI セキュリティ構成オプション
パスワード ポリシーの構成
この機能は VNX for File の root アドミニストレータが、すべてのローカル ユーザーに対する
パスワードの複雑性要件を定義できるようにします。 パスワード ポリシー（27 ページ）で
は、概要を説明しています。
㽷
この機能は、ドメインにマップされているユーザーには適用されません。これらのユーザー
のパスワードは、ドメイン内のポリシーで管理されます。 また、/nas/sbin/nas_config コ
マンドを実行するには、ユーザーが root である必要があります。
パスワード ポリシーの対話形式での定義
手順
1. パスワード ポリシー定義のプロンプトを表示するスクリプトを開始するには、次のコマン
ド シンタクスを使用します。
# /nas/sbin/nas_config -password
出力：
Minimum length for a new password (Between 6 and 15): [8]
Number of attempts to allow before failing: [3]
Number of new characters (not in the old password): [3]
Number of digits that must be in the new password: [1]
Number of special characters that must be in a new password: [0]
Number of lower case characters that must be in password: [0]
Number of upper case characters that must be in password: [0]
2. 各フィールドに定義されている現在値は括弧内に表示されます。 各フィールドの元のデ
フォルト値は次のとおりです。 長さ： 8 文字以上、範囲 6～15 試行回数： 3 回以下 新し
い文字： 3 文字以上 桁数： 1 桁以上 特殊文字、小文字、大文字： 0
各フィールドの値を変更するには、プロンプトが表示されたときに新しい値を入力しま
す。
特定のパスワード ポリシー定義の規定
手順
1. 特定のパスワード ポリシー定義を設定するには、次のコマンド シンタクスを使用します。
# /nas/sbin/nas_config -password[-min ［<6..15>］] [-retries
［<max_allowed>］] [-newchars ［<min_num>］] [-digits
［<min_num>］]
[-spechars ［<min_num>］] [-lcase ［<min_num>］] [-ucase
［<min_num>］]
ここで、
［<6..15>］ = 新しいパスワードの最小長 デフォルトの長さは 8 文字。 6～15 文字の長さ
にする必要がある。
［<max_allowed>］ = 許容される新しいパスワードを定義できる回数。この試行回数を超え
ると、コマンドが失敗する。 デフォルト値は 3 回です。
［<min_num>］ = 古いパスワードでは使用されていない文字を新しいパスワードに含める
必要のある最小文字数。 デフォルト値は 3 文字です。
116
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
［<min_num>］ = 新しいパスワードに含める必要のある数字の最小文字数。 デフォルト値
は 1 文字です。
［<min_num>］ = 新しいパスワードに含める必要のある特殊文字（!、@、#、$、%、&、^、*
など）の最小文字数。 デフォルト値は 0。
［<min_num>］ = 新しいパスワードに含める必要のある小文字の最小文字数。 デフォルト
値は 0。
［<min_num>］ = 新しいパスワードに含める必要のある大文字の最小文字数。 デフォルト
値は 0。
例：
新しいパスワードの最小長を 10 文字に設定するには、次のように入力します。
# /nas/sbin/nas_config -password -min 10
パスワードの有効期限の設定
/etc/login.def ファイルには、パスワードの有効期限を設定する場合に使用するパラメータ
が含まれています。
1. ユーザー名とパスワードを入力して CLI にログインします。 /etc/login.defs ファイルにア
クセスするには、root 権限が必要です。
2. vi または別のテキスト エディタを使用して、/etc/login.defs ファイル内の
pass_max_days パラメータの値を変更します。
㽷
デフォルトの有効期限は 120 日です。
セッション タイムアウトの構成
VNX for File では、Unisphere セッションと Control Station シェル セッションの両方に対し
て、セッションのタイムアウトを適用します。 コマンド/nas/sbin/nas_config sessiontimeout を使用して、Control Station セッションのタイムアウトのデフォルト値を変
更できます。
㽷
/nas/sbin/nas_config -sessiontimeout コマンドを実行するには、ユーザーが root
である必要があります。
Control Station では、次の 3 種類のシェルがサポートされています。
l
bash
l
ksh
l
tcsh
各シェルでは、セッションのタイムアウト機能がサポートされています。 Control Station セッ
ションのタイムアウト オプションでは、システム全体のセッション タイムアウト値を設定しま
す。これにより、bash シェルと ksh シェルについては/etc/environment の該当する値、tcsh
シェルについては/etc/csh.cshrc の autologout 変数が自動的に更新されます。
値を設定すると、新しく作成されたシェルに適用されます（現在実行されているシェルには適
用されません）。
パスワードの有効期限の設定
117
VNX for File の CLI セキュリティ構成オプション
㽷
個々のユーザーのセッション タイムアウト値を変更するには、ユーザーのシェル構成ファイ
ル（例：~/.bashrc）で該当する変数を設定します。 構成ファイルを直接編集する場合、値
の制限はありません。
セッション タイムアウト値の変更
Control Station シェル セッションのデフォルトのセッション タイムアウト値は 60 分です。 非
アクティブ時間またはアイドル時間は、プライマリ シェル プロンプトが表示され、入力の受信
がなくなってから経過した時間として定義されます。 したがって、コマンドのプロンプトで若干
の不定時間を待機する場合は、セッション タイムアウト値の影響を受けません。
手順
1. セッション タイムアウト値を変更するには、次のコマンド シンタクスを使用します。
# /nas/sbin/nas_config -sessiontimeout［<minutes>］
ここで、
［<minutes>］ = セッションがタイムアウトするまでの時間（5～240 分の分単位で指定）
例：
セッション タイムアウト値を 200 分に変更するには、次のように入力します。
# /nas/sbin/nas_config -sessiontimeout 200
セッション タイムアウトの無効化
手順
1. セッション タイムアウトを無効化するには、次のコマンド シンタクスを使用します。
# /nas/sbin/nas_config -sessiontimeout 0
または
# /nas/sbin/nas_config -sessiontimeout off
セッション トークンの保護
ユーザーと Unisphere 間の接続、および 2 個の VNX for File システム間の接続では、SHA1
を使用してチェックサムを生成することで、ログインしたユーザーを識別するためのセッショ
ン トークン（Cookie）を保護します。チェックサムを生成するために使用される SHA1 秘密値
は、インストール時にランダムに設定されます。 ただし、セキュリティを強化するために、デ
フォルトの SHA1 秘密値を変更できるようになっています。
1. ユーザー名とパスワードを入力して CLI にログインします。 /nas/http/conf/secret.txt
ファイルにアクセスするには、root 権限が必要です。
2. vi または別のテキスト エディタを使用して、/nas/http/conf/secret.txt ファイルを編集し
ます。
デフォルトのフレーズを新しい値で置き換え、ファイルを保存します。
この値を変更すると、既存のセッション トークンは有効でなくなり、現在のユーザーはロ
グインし直す必要があります。
118
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
SSL プロトコルを使用したネットワークの暗号化と認証の構成
SSL（Secure Socket Layer）は、インターネット上のネットワーク転送を暗号化するために使
用されるセッション レベル プロトコルです。 データを暗号化し、メッセージとサーバーの認証
を行います。 サーバーから要求された場合、クライアント認証もサポートします。 SSL は上
位レベルのプロトコルから独立しているため、HTTP や LDAP などの任意のアプリケーション
レベル プロトコルをカプセル化できます。
l
HTTP（Hypertext Transfer Protocol）は、Web 上で使用される、高速でステータスや情報
を持たないオブジェクト指向のプロトコルです。 このプロトコルにより、Web クライアント
とサーバーでネゴシエーションや対話が可能になります。 残念ながら、セキュリティ機能
はほとんど備わっていません。 HTTPS（Secure）は、SSL を有効にしたサーバーで使用さ
れる HTTP の一種です。
l
LDAP（Lightweight Directory Access Protocol）は、TCP/IP を使用して直接実行される業
界標準のアクセス プロトコルです。 Active Directory や他のディレクトリ サーバー（Sun
Java System Directory Server（iPlanet）や OpenLDAP など）のプライマリ アクセス プロト
コルとなっています。
VNX for File では、Data Mover の HTTP 接続と LDAP 接続に対して SSL がサポートされてい
ます。
VNX for File での HTTPS の使用
Data Mover の HTTP 接続で SSL を有効にするには、server_http コマンドを使用します。
現在、VNX for File の FileMover 機能では、HTTPS および SSL の暗号化および認証機能を
使用しています。 FileMover 用に HTTP で SSL を使用するように構成する方法については、
「VNX FileMover の使用方法」を参照してください。 SSL で使用される鍵と証明書は、PKI を使
用して管理されます。 PKI は CLI および Unisphere 経由で使用できます。 PKI 機能の概要
については、VNX for File での公開鍵基盤の計画に関する考慮事項（62 ページ）を参照して
ください。 VNX for File CLI から PKI を構成および管理する方法については、PKI の構成
（121 ページ）および PKI の管理（135 ページ）を参照してください。
VNX for File での LDAP SSL の使用
Data Mover の LDAP 接続で SSL を有効化するには、server_ldap コマンドを使用します。
現在、OpenLDAP、iPlanet、Active Directory に対する VNX for File のネーム サービスのサ
ポートでは、LDAP および SSL の暗号化および認証機能が使用されています。 OpenLDAP
や iPlanet の LDAP ベースのディレクトリ サーバーに使用する LDAP 付き SSL を構成する方
法については、「VNX ネーム サービスの構成」を参照してください。 SSL で使用される鍵と証
明書は、PKI を使用して管理されます。 PKI は CLI および Unisphere 経由で使用できます。
PKI 機能の概要については、VNX for File での公開鍵基盤の計画に関する考慮事項（62 ペ
ージ）を参照してください。 VNX for File CLI から PKI を構成および管理する方法について
は、PKI の構成（121 ページ）および PKI の管理（135 ページ）を参照してください。
デフォルトの SSL プロトコルの変更
VNX for File では、次の SSL プロトコル バージョンがサポートされています。
l
SSLv3
l
TLSv1
手順
1. デフォルトの SSL プロトコルを変更するには、次のコマンド シンタクスを使用します。
SSL プロトコルを使用したネットワークの暗号化と認証の構成
119
VNX for File の CLI セキュリティ構成オプション
$ server_param ［<movername>］ -facility ssl -modify protocol
［-value］ ［<new_value>］
ここで、
［<movername>］ = Data Mover の名前
［<new_value>］ = 0（SSLv3 および TLSv1 の両方）、1（SSLv3 のみ）、または 2（TLSv1 の
み）
㽷
デフォルト値は 0。
パラメータとファシリティの名前は大文字と小文字が区別されます。
例：
デフォルトの SSL プロトコルを SSLv3 のみに変更するには、次のように入力します。
$ server_param server_2 -facility ssl -modify protocol -value 1
デフォルトの SSL プロトコルを TLSv1 のみに変更するには、次のように入力します。
$ server_param server_2 -facility ssl -modify protocol -value 2
出力：
server_2 : done
デフォルトの SSL 暗号スイートの変更
暗号スイートでは、SSL 通信をセキュリティで保護するための一連のテクノロジーを定義しま
す。
l
鍵交換アルゴリズム（データの暗号化に使用される秘密鍵がクライアントからサーバー
に伝達される仕組み）。 例： RSA 鍵または DH（Diffie-Hellman）
l
認証方法（ホストでリモート ホストの ID を認証する仕組み）。 例： RSA 証明書、DSS 証
明書、認証なし
l
暗号化サイファ（データを暗号化する仕組み）。 例： AES（256 または 128 ビット）、RC4
（128 または 56 ビット）、3DES（168 ビット）、DES（56 または 40 ビット）、NULL 暗号化
l
ハッシュ アルゴリズム（データの変更を特定する手段を提供し、データの整合性を確保
する仕組み）。 例： SHA-1 または MD5
サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。 サポート
されている SSL 暗号スイート（94 ページ）に、VNX for File でサポートされている SSL 暗号ス
イートのリストを示します。
手順
1. デフォルトの SSL 暗号スイートを変更するには、次のコマンド シンタクスを使用します。
$ server_param ［<movername>］ -facility ssl -modify cipher
-value ［<new_value>］
ここで、
［<movername>］ = 指定した名前。
［<new_value>］ = 新しい暗号値を指定する文字列。 この値に特殊文字（セミコロン、スペ
ース文字、感嘆符など）を含める場合は、引用符で囲む必要がある。
120
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
㽷
デフォルトの暗号スイートの値は、ALL:!ADH:!SSLv2:@STRENGTH です。この値は、VNX
for File で SSLv2、匿名 Diffie-Hellman、NULL 暗号を除くすべての暗号がサポートされ、
それぞれの「strength」つまり、暗号化キーのサイズでソートされることを意味していま
す。
パラメータとファシリティの名前は大文字と小文字が区別されます。
例：
デフォルトの SSL 暗号スイートを強力な暗号（主に、AES128 および AES256）に変更し、
新しい各 SSL 接続で使用されるようにするには、次のように入力します。
$ server_param server_2 -facility ssl -modify cipher -value
‘HIGH:@STRENGTH’
出力：
server_2 : done
事後条件
SSL パラメータ値を変更した後は、SSL プロトコルと暗号スイートの変更を適用するために
Data Mover を再起動する必要があります。
PKI の構成
この機能の概要については公開鍵基盤のプランニングに関する考慮事項（62 ページ）を参
照してください。
ペルソナによって提供される証明書の作成
ペルソナから Data Mover または Control Station に提供される証明書を作成する手順は、
証明書に署名する CA（認証局）として外部の CA と Control Station のどちらを使用するか
によって若干異なります。
1. 鍵セットと証明書要求の生成（122 ページ）
2. CA への証明書要求の送信（125 ページ）（Control Station を使用する場合は不要）
3. CA 署名済み証明書のインポート（126 ページ）（Control Station を使用する場合は不
要）
CA としての Control Station の使用
Control Station を CA として使用する手順には、次のタスクが含まれます。
1. 新しい Control Station CA 証明書の生成（130 ページ）
2. 証明書の表示（131 ページ）
3. Control Station CA 証明書の配布（132 ページ）
事後条件
121
VNX for File の CLI セキュリティ構成オプション
㽷
Control Station は、Apache Web サーバー（Unisphere の代わり）とユーザーの Web ブラウ
ザの間の SSL ベース接続について個別の鍵セットを継続して生成します。 ただし、現在
Control Station は、CA の鍵セットを使用して Apache Web サーバーの証明書に署名します
（現在、証明書は自己署名ではありません）。 Unisphere の証明書を管理する方法につい
ては、「VNX for File 管理アプリケーションのインストール」を参照してください。
CA 証明書の取得
サーバーの ID を確認するために使用される CA 証明書を取得する手順には、次のタスクが
含まれます。
1. 利用可能な CA 証明書の一覧表示（127 ページ）
2. CA 証明書の入手（128 ページ）
3. CA 証明書のインポート（130 ページ）
鍵セットと証明書要求の生成
ペルソナから Data Mover に提供される証明書を作成するには、まずペルソナの公開/秘密
鍵セットとともに、CA への証明書署名リクエストを生成します。 CA としては、外部の CA を
使用することも、Control Station を使用することもできます。
外部の CA により署名される証明書の作成
手順
1. 鍵セットと外部の CA により署名される証明書の要求を生成するには、次のコマンド シン
タクスを使用します。
$ server_certificate ［<movername>］ -persona -generate
{［<persona_name>］| id=［<persona_id>］} -key_size ［<bits>］
{-cn|-common_name} ［<common_name>］
ここで、
<movername>［= ペルソナが関連づけられている物理 Data Mover の名前。］
<persona_name>［= ペルソナの名前。］
<persona_id>［= ペルソナの ID。］ この ID は、ペルソナの作成時に生成されます。 persona -list コマンドを使用して ID を特定できます。
<bits>［= 鍵のサイズ（2048 または 4096 ビットのいずれか）。］
［<common_name>］ = 一般的に使用される名前（通常、ペルソナが関連づけられている
Data Mover を表すホスト名）。 この名前に特殊文字（セミコロン、スペース文字、感嘆符
など）を含める場合は、引用符で囲む必要があります。
㽷
証明書要求は、PEM 形式でのみ生成されます。
例：
鍵セットと外部の CA により署名される証明書の要求を生成するには、次のように入力し
ます。
$ server_certificate server_2 -persona -generate default -key_size
4096 -cn ‘name;1.2.3.4’
122
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
出力：
server_2 :
Starting key generation. This could take a long time ...
done
Control Station により署名される証明書の作成
Control Station を使用して証明書に署名する場合は、証明書の有効期限（月数）を指定す
る必要があります。
手順
1. 鍵セットと Control Station により署名される証明書の要求を生成するには、次のコマン
ド シンタクスを使用します。
$ server_certificate ［<movername>］ -persona -generate
{［<persona_name>］|id=［<persona_id>］} -key_size ［<bits>］
-cs_sign_duration ［<# of months>］{-cn|-common_name}
［<common_name>］
ここで、
<movername>［= ペルソナが関連づけられている物理 Data Mover の名前。］
<persona_name>［= ペルソナの名前。］
<persona_id>［= ペルソナの ID。］ この ID は、ペルソナの作成時に生成されます。 persona -list コマンドを使用して ID を特定できます。
<bits>［= 鍵のサイズ（2048 または 4096 ビットのいずれか）。］
<# of months>［= 証明書の有効期限（月数）。］
［<common_name>］ = 一般的に使用される名前（通常、ペルソナが関連づけられている
Data Mover を表すホスト名）。 この名前に特殊文字（セミコロン、スペース文字、感嘆符
など）を含める場合は、引用符で囲む必要があります。
㽷
証明書要求は、PEM 形式でのみ生成されます。
例：
鍵セットと Control Station により署名される証明書の要求を生成するには、次のように
入力します。
$ server_certificate server_2 -persona -generate default -key_size
4096 -cs_sign_duration 13 -cn ‘name;1.2.3.4’
出力：
server_2 :
Starting key generation. This could take a long time ...
done
ペルソナに関する詳細情報を示す証明書の作成
ペルソナの公開/秘密鍵セットと証明書リクエストを生成するとき、Data Mover に関する詳
細情報を指定できます。 通常、この情報には、Data Mover を使用する組織やその所在地
などの詳細が含まれます。 また、証明書要求を特定のファイルに保存するオプションもあり
ます。
鍵セットと証明書要求の生成
123
VNX for File の CLI セキュリティ構成オプション
手順
1. 鍵セットと外部の CA により署名される証明書の要求を生成し、Data Mover に関する詳
細情報を指定して、その証明書要求を特定のファイルに保存するには、次のコマンド シ
ンタクスを使用します。
$ server_certificate ［<movername>］ -persona -generate
{［<persona_name>］|id=［<persona_id>］} -key_size ［<bits>］
{-cn|-common_name} ［<common_name>］ -ou ［<org_unit>］
-organization ［<organization>］ -location ［<location>］
-state ［<state>］ -country ［<country>］ -filename
［<output_path>］
ここで、
<movername>［= ペルソナが関連づけられている物理 Data Mover の名前。］
<persona_name>［= ペルソナの名前。］
<persona_id>［= ペルソナの ID。］ この ID は、ペルソナの作成時に生成されます。 persona -list コマンドを使用して ID を特定できます。
<bits>［= 鍵のサイズ（2048 または 4096 ビットのいずれか）。］
［<common_name>］ = 一般的に使用される名前（通常、ペルソナが関連づけられている
Data Mover を表すホスト名）。 この名前に特殊文字（セミコロン、スペース文字、感嘆符
など）を含める場合は、引用符で囲む必要があります。
［<org_unit>］ = 組織単位の名前。 この名前に特殊文字（セミコロン、スペース文字、感嘆
符など）を含める場合は、引用符で囲む必要があります。
<organization>［= 組織の名前。］
<location>［= 組織の物理的所在地。］
<state>［= 組織が存在する地域。］
<country>［= 組織の所在国。］
<output_path>［= 生成された要求の書き込み先ファイルの名前とパス。］
㽷
-ou、-organization、-location、-state、-country の引数はオプションです。
㽷
-filename 引数は、証明書が外部の CA によって署名される場合にのみ有効です。
㽷
証明書要求は、PEM 形式でのみ生成されます。
例：
鍵セットと外部の CA によって署名される証明書の要求を生成し、Data Mover に関する
詳細情報を指定して、その証明書要求を特定のファイルに保存するには、次のように入
力します。
$ server_certificate server_2 -persona -generate default -key_size
4096 -cn ‘name;1.2.3.4’ -ou ‘my.org;my dept’ -organization EMC location Hopkinton -state MA -country US -filename /tmp/
server_2.1.request.pem
124
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
出力：
server_2 :
Starting key generation. This could take a long time ...
done
CA への証明書要求の送信
外部の CA を使用して証明書に署名する場合、公開鍵への署名要求が公開/秘密鍵セット
とともに自動的に生成されます。 その後、証明書要求を CA に送信する必要があります。
㽷
Control Station を使用して証明書に署名する場合、このタスクは不要です。 Control
Station で自動的に証明書要求を受信します。
手順
1. 次のコマンド シンタクスを使用して、ペルソナのプロパティを表示して証明書要求の内容
を確認します。
$ server_certificate［<movername>］-persona -info{-all|
［<persona_name>］| id=［<persona_id>］}
ここで、
<movername>［= ペルソナが関連づけられている物理 Data Mover の名前。］
<persona_name>［= ペルソナの名前。］
<persona_id>［= ペルソナの ID。］ この ID は、ペルソナの作成時に生成されます。
例：
デフォルトのペルソナのプロパティ（証明書要求を含む）を表示するには、次のように入
力します。
$ server_certificate server_2 -persona -info default
出力：
server_2 :
id=1
name=default
next state=Request Pending
next certificate:
request subject = CN=name;CN=1.2.3.4
request:
-----BEGIN CERTIFICATE REQUEST----MIIB6TCCAVICAQYwDQYJKoZIhvcNAQEEBQAwWzELMAkGA1UEBhMCQVUxEzARBgNV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-----END CERTIFICATE REQUEST-----
2. 証明書要求をファイルにまだ保存していない場合は、ここで保存します（例：
server_2.1.request.pem）。
3. 当該機関の Web サイトまたはメールを使用して、.pem ファイルを CA に送信します。
CA への証明書要求の送信
125
VNX for File の CLI セキュリティ構成オプション
CA 署名済み証明書のインポート
署名済み証明書は、ペルソナに関連づけられている次の署名済み証明書がダウンロード
可能になったとき、インポートできます。 証明書をインポートすると、すぐにその証明書が現
在の証明書になります（日付が有効であると想定した場合）。
㽷
Control Station を使用して証明書に署名する場合、このタスクは不要です。 Control
Station から署名済み証明書が自動的に Data Mover に返されます。
手順
1. CA から署名済み証明書（例：cert.pem）を取得します。
2. すべての Data Mover に対してクエリーを実行し、署名済み証明書を待機しているペル
ソナを特定します。
$ server_certificate ALL -persona -list
出力：
server_2 :
id=1
name=default
next state=Request Pending
request subject = CN=name;CN=1.2.3.4
server_3 :
id=1
name=default
next state=Request Pending
request subject = CN=test;CN=5.6.7.8
3. 証明書をインポートするペルソナを特定するには、証明書のタイトルと、next state が
Request Pending のペルソナの Request Subject フィールドの値を照合します。
4. 次のコマンド シンタクスを使用して、待機中のペルソナに署名済み証明書をインポートし
ます。
$ server_certificate［<movername>］-persona-import
{［<persona_name>］|id=［<persona_id>］}
ここで、
<movername>［= ペルソナが関連づけられている物理 Data Mover の名前。］
<persona_name>［= ペルソナの名前。］
<persona_id>［= ペルソナの ID。］ この ID は、ペルソナの作成時に生成されます。
㽷
署名済み証明書は、DER 形式または PEM 形式のいずれかです。 コマンド プロンプトで
ペーストできるのは、PEM 形式のテキストのみです。 -filename を指定してパスを入力す
る場合は、DER 形式と PEM 形式のどちらの CA 署名済み証明書でもインポートできま
す。
例：
署名済み証明書をインポートするには、次のように入力します。
$ server_certificate server_2 -persona -import default
126
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
出力：
server_2 : Please paste certificate data. Enter a carriage
return and on the new line type ‘end of file’ or ‘eof’
followed by another carriage return.
㽷
証明書テキストを正しくペーストすると、システム プロンプトが表示されます。
5. 次のコマンド シンタクスを使用して、証明書が正常にインポートされたことを確認します。
$ server_certificate［<movername>］-persona -info{-all|
［<persona_name>］| id=［<persona_id>］}
ここで、
<movername>［= ペルソナが関連づけられている物理 Data Mover の名前。］
<persona_name>［= ペルソナの名前。］
<persona_id>［= ペルソナの ID。］ この ID は、ペルソナの作成時に生成されます。
例：
デフォルトのペルソナ用の証明書が正常にインポートされたことを確認するには、次のよ
うに入力します。
$ server_certificate server_2 -persona -info default
出力：
server_2
id=1
name=default
next state=Not Available
Current Certificate:
id
= 1
subject
= CN=name;CN=1.2.3.4
issuer
= O=Celerra Certificate Authority;CN=eng173100
start date
= 20070606183824Z
end date
= 20070706183824Z
serial number
= 05
signature alg. = sha1WithRSAEncryption
public key alg. = rsaEncryption
public key size = 4096
version
= 3
㽷
通常、証明書をインポートすると、すぐにその証明書が現在の鍵セットと証明書になり、
next state フィールドに Not Available と示されます。 インポートした証明書が有効では
ないと（たとえば、タイム スタンプが Data Mover より数分以上進んでいる場合）、インポ
ートした鍵セットと証明書は次の鍵セットと証明書として残り、鍵セットと証明書が有効に
なるまで、next state フィールドに Available と示されます。
利用可能な CA 証明書の一覧表示
手順
1. 利用可能なすべての CA 証明書を表示するには、次のように入力します。
$ server_certificate ALL -ca_certificate -list
利用可能な CA 証明書の一覧表示
127
VNX for File の CLI セキュリティ構成オプション
出力：
server_2 :
id=1
subject=C=ZA;ST=Western Cape;L=Cape Town;O=Thawte Consulting
cc;OU=Certific
issuer=C=ZA;ST=Western Cape;L=Cape Town;O=Thawte Consulting
cc;OU=Certifica
expire=20201231235959Z
id=2
subject=C=US;O=America Online Inc.;CN=America Online Root
Certification Aut
issuer=C=US;O=America Online Inc.;CN=America Online Root
Certification Auth
expire=20371119204300Z
id=3
subject=C=US;ST=Massachusetts;L=Westboro;O=EMC;OU=IS;OU=Terms
of use at www
issuer=O=VeriSign Trust Network;OU=VeriSign, Inc.;OU=VeriSign
International
expire=20080620235959Z
id=4
subject=C=US;O=VeriSign,Inc.;OU=Class 3 Public Primary
Certification
Author
issuer=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary
Certification
Author
expire=20280801235959Z
CA 証明書の入手
新しい CA 証明書が必要となり、外部の CA を使用している場合は、当該機関の Web サイト
または場合によっては自社のセキュリティ担当者から CA 証明書を取得できます。 Control
Station を CA として使用している場合（CA がエンタープライズ レベルまたは社内にある場
合）は、CA の管理者から CA 証明書を取得できます。 または、nas_ca_certificate -display
コマンドを使用して、CA 証明書のテキストを表示できます。
手順
1. Control Station の CA 証明書を表示するには、次のように入力します。
$ /nas/sbin/nas_ca_certificate -display
㽷
証明書テキストはターミナル画面に表示されます。 または、ファイルにリダイレクトするこ
ともできます。 BEGIN CERTIFICATE と END CERTIFICATE で囲まれた箇所が証明書テキス
トになります。
出力：
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3 (0x3)
Signature Algorithm: sha1WithRSAEncryption
Issuer: O=Celerra Certificate Authority, CN=eng173100
Validity
Not Before: Mar 23 21:07:40 2007 GMT
Not After : Mar 21 21:07:40 2012 GMT
Subject: O=Celerra Certificate Authority, CN=eng173100
128
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:da:b2:37:86:05:a3:73:d5:9a:04:ba:db:05:97:
d2:12:fe:1a:79:06:19:eb:c7:2c:c2:51:93:7f:7a:
93:59:37:63:1e:53:b3:8d:d2:7f:f0:e3:49:42:22:
f4:26:9b:b4:e4:a6:40:6d:8d:e7:ea:07:8e:ca:b7:
7e:88:71:9d:11:27:5a:e3:57:16:03:a7:ee:19:25:
07:d9:42:17:b4:eb:e6:97:61:13:54:62:03:ec:93:
b7:e6:f1:7f:21:f0:71:2d:c4:8a:8f:20:d1:ab:5a:
6a:6c:f1:f6:2f:26:8c:39:32:93:93:67:bb:03:a7:
22:29:00:11:e0:a1:12:4b:02:79:fb:0f:fc:54:90:
30:65:cd:ea:e6:84:cc:91:fe:21:9c:c1:91:f3:17:
1e:44:7b:6f:23:e9:17:63:88:92:ea:80:a5:ca:38:
9a:b3:f8:08:cb:32:16:56:8b:c4:f7:54:ef:75:db:
36:7e:cf:ef:75:44:11:69:bf:7c:06:97:d1:87:ff:
5f:22:b5:ad:c3:94:a5:f8:a7:69:21:60:5a:04:5e:
00:15:04:77:47:03:ec:c5:7a:a2:bf:32:0e:4d:d8:
dc:44:fa:26:39:16:84:a7:1f:11:ef:a3:37:39:a6:
35:b1:e9:a8:aa:a8:4a:72:8a:b8:c4:bf:04:70:12:
b3:31
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:
04:E2:E6
X509v3 Authority Key Identifier:
keyid:35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6
DirName:/O=Celerra Certificate Authority/CN=eng173100
serial:00
X509v3 Basic Constraints:
CA:TRUE
X509v3 Subject Alternative Name:
DNS:eng173100
Signature Algorithm: sha1WithRSAEncryption
09:c3:13:26:16:be:44:56:82:5d:0e:63:07:19:28:f3:6a:c4:
f3:bf:93:25:85:c3:55:48:4e:07:84:1d:ea:18:cf:8b:b8:2d:
54:13:25:2f:c9:75:c1:28:39:88:91:04:df:47:2c:c0:8f:a4:
ba:a6:cd:aa:59:8a:33:7d:55:29:aa:23:59:ab:be:1d:57:f6:
20:e7:2b:68:98:f2:5d:ed:58:31:d5:62:85:5d:6a:3f:6d:2b:
2d:f3:41:be:97:3f:cf:05:8b:7e:f5:d7:e8:7c:66:b2:ea:ed:
58:d4:f0:1c:91:d8:80:af:3c:ff:14:b6:e7:51:73:bb:64:84:
26:95:67:c6:60:32:67:c1:f7:66:f4:79:b5:5d:32:33:3c:00:
8c:75:7d:02:06:d3:1a:4e:18:0b:86:78:24:37:18:20:31:61:
59:dd:78:1f:88:f8:38:a0:f4:25:2e:c8:85:4f:ce:8a:88:f4:
4f:12:7e:ee:84:52:b4:91:fe:ff:07:6c:32:ca:41:d0:a6:c0:
9d:8f:cc:e8:74:ee:ab:f3:a5:b9:ad:bb:d7:79:67:89:34:52:
b4:6b:39:db:83:27:43:84:c3:c3:ca:cd:b2:0c:1d:f5:20:de:
7a:dc:f0:1f:fc:70:5b:71:bf:e3:14:31:4c:7e:eb:b5:11:9c:
96:bf:fe:6f
-----BEGIN CERTIFICATE----MIIDoDCCAoigAwIBAgIBAzANBgkqhkiG9w0BAQUFADA8MSYwJAYDVQQKEx1DZWxl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 証明書の入手
129
VNX for File の CLI セキュリティ構成オプション
OYiRBN9HLMCPpLqmzapZijN9VSmqI1mrvh1X9iDnK2iY8l3tWDHVYoVdaj9tKy3z
Qb6XP88Fi3711+h8ZrLq7VjU8ByR2ICvPP8UtudRc7tkhCaVZ8ZgMmfB92b0ebVd
MjM8AIx1fQIG0xpOGAuGeCQ3GCAxYVndeB+I+Dig9CUuyIVPzoqI9E8Sfu6EUrSR
/v8HbDLKQdCmwJ2PzOh07qvzpbmtu9d5Z4k0UrRrOduDJ0OEw8PKzbIMHfUg3nrc
8B/8cFtxv+MUMUx+67URnJa//m8=
-----END CERTIFICATE-----
CA 証明書のインポート
CA 証明書を Data Mover に認識させるには、その証明書をインポートする必要があります。
パスを指定してファイルをインポートするか、対応するテキストをカット アンド ペーストしま
す。
手順
1. CA 証明書をインポートするには、次のコマンド シンタクスを使用します。
$ server_certificate ［<movername>］ -ca_certificate
-import [-filename［<path>］]
ここで、
<movername>［= CA 証明書が関連づけられている物理 Data Mover の名前］
<path>［= インポート対象のファイルの場所］
㽷
CA 証明書は、DER 形式または PEM 形式のいずれかです。 コマンド プロンプトでペース
トできるのは、PEM 形式のテキストのみです。 -filename を指定してパスを入力する場
合は、DER 形式と PEM 形式のどちらの CA 証明書でもインポートできます。
例：
CA 証明書をインポートするには、次のように入力します。
$ server_certificate server_2 -ca_certificate -import
出力：
server_2 : Please paste certificate data. Enter a carriage
return and on the new line type ‘end of file’ or ‘eof’
followed by another carriage return.
2. 証明書テキストを正しくペーストすると、システム プロンプトが表示されます。
新しい Control Station CA 証明書の生成
㽷
このタスクは、CA 鍵セットの信頼性が低くなったか、または CA 証明書の有効期限が切れた
場合にのみ必要です。 最初の Control Station CA 証明書は、VNX for File ソフトウェアのイ
ンストール時またはアップグレード時に生成されます。
このコマンドを発行するには、root ユーザーである必要があります。
手順
1. Control Station の新しい鍵セットと証明書を生成するには、次のように入力します。
# /nas/sbin/nas_ca_certificate -generate
130
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
㽷
デフォルトでは、この証明書は生成日から 5 年間有効で、証明書の名前は Control
Station のホスト名になります。
出力：
New keys and certificate were successfully generated.
証明書の表示
Control Station CA 証明書のテキストを表示し、それをコピーしてネットワーク クライアントに
配布できるようにします。
手順
1. Control Station の CA 証明書を表示するには、次のように入力します。
$ /nas/sbin/nas_ca_certificate -display
㽷
証明書テキストはターミナル画面に表示されます。 または、ファイルにリダイレクトするこ
ともできます。
出力：
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3 (0x3)
Signature Algorithm: sha1WithRSAEncryption
Issuer: O=Celerra Certificate Authority, CN=eng173100
Validity
Not Before: Mar 23 21:07:40 2007 GMT
Not After : Mar 21 21:07:40 2012 GMT
Subject: O=Celerra Certificate Authority, CN=eng173100
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:da:b2:37:86:05:a3:73:d5:9a:04:ba:db:05:97:
d2:12:fe:1a:79:06:19:eb:c7:2c:c2:51:93:7f:7a:
93:59:37:63:1e:53:b3:8d:d2:7f:f0:e3:49:42:22:
f4:26:9b:b4:e4:a6:40:6d:8d:e7:ea:07:8e:ca:b7:
7e:88:71:9d:11:27:5a:e3:57:16:03:a7:ee:19:25:
07:d9:42:17:b4:eb:e6:97:61:13:54:62:03:ec:93:
b7:e6:f1:7f:21:f0:71:2d:c4:8a:8f:20:d1:ab:5a:
6a:6c:f1:f6:2f:26:8c:39:32:93:93:67:bb:03:a7:
22:29:00:11:e0:a1:12:4b:02:79:fb:0f:fc:54:90:
30:65:cd:ea:e6:84:cc:91:fe:21:9c:c1:91:f3:17:
1e:44:7b:6f:23:e9:17:63:88:92:ea:80:a5:ca:38:
9a:b3:f8:08:cb:32:16:56:8b:c4:f7:54:ef:75:db:
36:7e:cf:ef:75:44:11:69:bf:7c:06:97:d1:87:ff:
5f:22:b5:ad:c3:94:a5:f8:a7:69:21:60:5a:04:5e:
00:15:04:77:47:03:ec:c5:7a:a2:bf:32:0e:4d:d8:
dc:44:fa:26:39:16:84:a7:1f:11:ef:a3:37:39:a6:
35:b1:e9:a8:aa:a8:4a:72:8a:b8:c4:bf:04:70:12:
b3:31
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:
04:E2:E6
証明書の表示
131
VNX for File の CLI セキュリティ構成オプション
X509v3 Authority Key Identifier:
keyid:35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6
DirName:/O=Celerra Certificate Authority/CN=eng173100
serial:00
X509v3 Basic Constraints:
CA:TRUE
X509v3 Subject Alternative Name:
DNS:eng173100
Signature Algorithm: sha1WithRSAEncryption
09:c3:13:26:16:be:44:56:82:5d:0e:63:07:19:28:f3:6a:c4:
f3:bf:93:25:85:c3:55:48:4e:07:84:1d:ea:18:cf:8b:b8:2d:
54:13:25:2f:c9:75:c1:28:39:88:91:04:df:47:2c:c0:8f:a4:
ba:a6:cd:aa:59:8a:33:7d:55:29:aa:23:59:ab:be:1d:57:f6:
20:e7:2b:68:98:f2:5d:ed:58:31:d5:62:85:5d:6a:3f:6d:2b:
2d:f3:41:be:97:3f:cf:05:8b:7e:f5:d7:e8:7c:66:b2:ea:ed:
58:d4:f0:1c:91:d8:80:af:3c:ff:14:b6:e7:51:73:bb:64:84:
26:95:67:c6:60:32:67:c1:f7:66:f4:79:b5:5d:32:33:3c:00:
8c:75:7d:02:06:d3:1a:4e:18:0b:86:78:24:37:18:20:31:61:
59:dd:78:1f:88:f8:38:a0:f4:25:2e:c8:85:4f:ce:8a:88:f4:
4f:12:7e:ee:84:52:b4:91:fe:ff:07:6c:32:ca:41:d0:a6:c0:
9d:8f:cc:e8:74:ee:ab:f3:a5:b9:ad:bb:d7:79:67:89:34:52:
b4:6b:39:db:83:27:43:84:c3:c3:ca:cd:b2:0c:1d:f5:20:de:
7a:dc:f0:1f:fc:70:5b:71:bf:e3:14:31:4c:7e:eb:b5:11:9c:
96:bf:fe:6f
-----BEGIN CERTIFICATE----MIIDoDCCAoigAwIBAgIBAzANBgkqhkiG9w0BAQUFADA8MSYwJAYDVQQKEx1DZWxl
cnJhIENlcnRpZmljYXRlIEF1dGhvcml0eTESMBAGA1UEAxMJZW5nMTczMTAwMB4X
DTA3MDMyMzIxMDc0MFoXDTEyMDMyMTIxMDc0MFowPDEmMCQGA1UEChMdQ2VsZXJy
YSBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkxEjAQBgNVBAMTCWVuZzE3MzEwMDCCASIw
DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANqyN4YFo3PVmgS62wWX0hL+GnkG
GevHLMJRk396k1k3Yx5Ts43Sf/DjSUIi9CabtOSmQG2N5+oHjsq3fohxnREnWuNX
FgOn7hklB9lCF7Tr5pdhE1RiA+yTt+bxfyHwcS3Eio8g0ataamzx9i8mjDkyk5Nn
uwOnIikAEeChEksCefsP/FSQMGXN6uaEzJH+IZzBkfMXHkR7byPpF2OIkuqApco4
mrP4CMsyFlaLxPdU73XbNn7P73VEEWm/fAaX0Yf/XyK1rcOUpfinaSFgWgReABUE
d0cD7MV6or8yDk3Y3ET6JjkWhKcfEe+jNzmmNbHpqKqoSnKKuMS/BHASszECAwEA
AaOBrDCBqTAdBgNVHQ4EFgQUNQby/swhS5LadMlHzrs3IV4E4uYwZAYDVR0jBF0w
W4AUNQby/swhS5LadMlHzrs3IV4E4uahQKQ+MDwxJjAkBgNVBAoTHUNlbGVycmEg
Q2VydGlmaWNhdGUgQXV0aG9yaXR5MRIwEAYDVQQDEwllbmcxNzMxMDCCAQAwDAYD
VR0TBAUwAwEB/zAUBgNVHREEDTALggllbmcxNzMxMDAwDQYJKoZIhvcNAQEFBQAD
ggEBAAnDEyYWvkRWgl0OYwcZKPNqxPO/kyWFw1VITgeEHeoYz4u4LVQTJS/JdcEo
OYiRBN9HLMCPpLqmzapZijN9VSmqI1mrvh1X9iDnK2iY8l3tWDHVYoVdaj9tKy3z
Qb6XP88Fi3711+h8ZrLq7VjU8ByR2ICvPP8UtudRc7tkhCaVZ8ZgMmfB92b0ebVd
MjM8AIx1fQIG0xpOGAuGeCQ3GCAxYVndeB+I+Dig9CUuyIVPzoqI9E8Sfu6EUrSR
/v8HbDLKQdCmwJ2PzOh07qvzpbmtu9d5Z4k0UrRrOduDJ0OEw8PKzbIMHfUg3nrc
8B/8cFtxv+MUMUx+67URnJa//m8=
-----END CERTIFICATE-----
Control Station CA 証明書の配布
Control Station の CA 証明書がネットワーク クライアントによりインポートされ、Data Mover
から送信されるこの Control Station による署名済みの証明書が認識されるように、Control
Station の CA 証明書を使用できるようにする必要があります。
1. Control Station CA 証明書のテキストをファイル（例：cs_ca_cert.crt）に保存します。
2. この.crt ファイルをネットワーク クライアントが適切なメカニズム（FTP またはメール）を介
して利用できるようにします。
3. 新しい鍵セットと証明書要求を再生成し、署名済み証明書を、Control Station によって
証明書が署名される任意のペルソナ用にインポートします。 この手順についてはペル
ソナによって提供される証明書の作成（121 ページ）を参照してください。
4. Data Mover を別の Data Mover に対するクライアントとして使用している場合は、該当
する Data Mover に新しい CA 証明書をインポートします。 この手順については CA 証明
書の取得（122 ページ）を参照してください。
132
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
お客様提供の Control Station 用証明書の要求とインストール
Control Station では、デフォルトで 1024 ビットの暗号化された証明書鍵が利用されます。
2048 ビットの暗号化された証明書鍵は、より高いレベルのセキュリティを考慮する場合に
使用されます。 次の例を使用して、2 台の Control Station を備えた VNX システムで 2048
ビットの暗号化されたカスタム証明書を要求してインストールすることができます。 ユーザー
root として次のコマンドを実行する必要があります。
手順
1. 新しい 2048 ビットの暗号化された鍵を作成します。
/usr/bin/openssl genrsa -out /nas/http/conf/ssl.key/
ssl_2048_key 2048
2. ユーザー root がキー ファイルを所有し、権限が 600（-rw-------）に設定されていることを
確認します。
chown root:root ［<filename>］
chmod 600 ［<filename>］
3. 現在のキーから新しいキーへのシンボリック リンクを更新します。
rm -f /nas/http/conf/current.key
ln -s /nas/http/conf/ssl.key/ssl_2048_key /nas/http/conf/
current.key
4. 環境変数を設定します。
export IP_ADDR=`/bin/hostname -i`
export HOSTNAME_SHORT=`/bin/hostname -s`
export HOSTNAME_LONG=`/bin/hostname -f`
5. 新しい 2048 ビットの暗号化された鍵および環境変数を使用して証明書要求を作成しま
す。
/usr/bin/openssl req -new -key /nas/http/conf/current.key config
/nas/http/conf/celerrassl.cnf -out /home/nasadmin/
cert_request
出力（ファイルでの cat コマンドの実行に基づく）：
-----BEGIN CERTIFICATE REQUEST----MIICzTCCAbUCAQAwgYcxKjAoBgNVBAoTIVZOWCBDb250cm9sIFN0YXRpb24gQWRt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お客様提供の Control Station 用証明書の要求とインストール
133
VNX for File の CLI セキュリティ構成オプション
lA==
-----END CERTIFICATE REQUEST-----
6. ファイル cert_request からローカルの認証局に BEGIN CERTIFICATE
REQUEST と END CERTIFICATE REQUEST で囲まれた証明書テキストを送信しま
す。
cat /home/nasadmin/cert_request
7. 受け取った CA 署名済み証明書を、Control Station、CS0 および CS1 の両方で同じ場所
（たとえば、/etc/httpd/conf）にアップロードまたはインストールします。
[root@virgil conf]# ll /etc/httpd/conf/virgil*
-rw-r--r-- 1 root root 1904 Dec 19 13:42 /etc/httpd/conf/
virgil.cer
-rw-r--r-- 1 root root 887 Dec 19 13:36 /etc/httpd/conf/
virgil.key
これは、base-64 でエンコードされた PEM 証明書でなければなりません。 さらに、公開
証明書をユーザー root が所有し、権限が 644（-rw-r--r--）に設定されていることを確認し
ます。
chown root:root ［<filename>］
chmod 644 ［<filename>］
8. /nas/http/conf/httpd.conf の下で Apache 構成ファイルを構成します。
/nas/http/conf/httpd.conf で［SSLCertificateFile］と［SSLCertificateKeyFile］を変
更して、カスタム証明書をロードします。 /etc/httpd/conf/xxx.crt と xxx.key
など、カスタム crt ファイルとキー ファイルをポイントするように設定します。
[root@virgil conf]# grep ^SSLCe /nas/http/conf/httpd.conf
SSLCertificateFile /etc/httpd/conf/virgil.cer
SSLCertificateFile /etc/httpd/conf/virgil.cer
9. 2 台の Control Station を備えたシステムの場合、手順 8 のファイルをプライマリからセ
カンダリの Control Station にコピーします。
[root@virgil /]# cd /etc/httpd/conf
[root@virgil conf]# scp virgil* emcnasotherIPMICS_i3:/etc/
httpd/conf
EMC VNX Control Station Linux release 3.0 (NAS 7.0.50)
root@emcnasotheripmics_i3's password:
virgil.cer 100% 1904 1.9KB/s 00:00
virgil.key 100% 887 0.9KB/s 00:00
10. セカンダリ Control Station で、ローカル NAS パーティションをマウント ポイントにマウン
トし、httpd.conf ファイルを編集して、プライマリ上と同じ SSLCertificateFile/
SSLCertificateKeyFile ペアを指定します
[root@virgilcs1 /]# mount /dev/hda5 /mnt/source/
[root@virgilcs1 /]# vi /mnt/source/http/conf/httpd.conf
[root@virgilcs1 /]# grep ^SSLCe /mnt/source/http/conf/
httpd.conf
134
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
SSLCertificateFile /etc/httpd/conf/virgil.cer
SSLCertificateKeyFile /etc/httpd/conf/virgil.key
[root@virgilcs1 conf]# ll /etc/httpd/conf
total 60
-rw-r--r-- 1 root root 33726 Jul 26 2011 httpd.conf
-rw-r--r-- 1 root root 12958 Jul 26 2011 magic
-rw-r--r-- 1 root root 1904 Jan 9 19:20 virgil.cer
-rw-r--r-- 1 root root 887 Jan 9 19:20 virgil.key
[root@virgilcs1 /]# umount /mnt/source/
11. プライマリ Control Station 上で Apache を再起動します（Apache のプロセス ID を見つ
けてそのプロセスを終了します）。 次の例を参照してください。
cat /nas/http/logs/start_apache.pid
3224
kill -9 3224
㽷
新しい証明書に関して何らかの問題が発生した場合は、次のコマンドを実行して新しい
Control Station CA 証明書を生成し、標準の自己署名証明書に戻します。 /nas/
sbin/nas_ca_certificate –generate
㽷
これらの指示は、自己提供の証明書を使用する必要がある VNX ユーザーのために用
意されています。 以下に記す潜在的な問題の他に、予測される問題はありません。
l
サーバーとキー ファイルが/nas/httpd/conf/ディレクトリに保存されていない場
合は、Control Station フェイルオーバーの後で、使用できなくなる場合があります。
l
サーバーを識別するために使用し、証明書に追加する情報を管理する責任は、ユー
ザーのみが負います。
PKI の管理
この機能の概要については公開鍵基盤のプランニングに関する考慮事項（62 ページ）を参
照してください。
ペルソナの鍵セットと証明書を管理する場合のタスクは次のとおりです。
l
鍵セットと証明書のプロパティの表示（136 ページ）
l
期限切れの鍵セットのチェック（136 ページ）
l
鍵セットのクリア（137 ページ）
CA 証明書を管理する場合のタスクは次のとおりです。
l
CA 証明書のプロパティの表示（137 ページ）
l
期限切れの CA 証明書のチェック（138 ページ）
PKI の管理
135
VNX for File の CLI セキュリティ構成オプション
l
CA 証明書の削除（138 ページ）
鍵セットと証明書のプロパティの表示
手順
1. 鍵セットと証明書のプロパティを表示するには、次のコマンド シンタクスを使用します。
$ server_certificate［<movername>］-persona -info{-all|
［<persona_name>］| id=［<persona_id>］}
ここで、
<movername>［= ペルソナが関連づけられている物理 Data Mover の名前。］
<persona_name>［= ペルソナの名前。］
<persona_id>［= ペルソナの ID。］ この ID は、ペルソナの作成時に生成されます。
例：
default という名前のペルソナの鍵セットと証明書を表示するには、次のように入力しま
す。
$ server_certificate server_2 -persona -info default
出力：
server_2 :
id=1
name=default
next state=Not Available
CURRENT CERTIFICATE:
id
= 1
subject
= CN=test;CN=1.2.3.4
issuer
= O=Celerra Certificate
Authority;CN=eng173100
start date
= 20070606183824Z
end date
= 20070706183824Z
serial number
= 05
signature alg. = sha1WithRSAEncryption
public key alg. = rsaEncryption
version
= 3
public key size = 4096
期限切れの鍵セットのチェック
期限切れの鍵セットと証明書を自動的にチェックする方法はありません。 代わりに、ペルソ
ナを一覧表示して、各ペルソナに関連づけられた証明書の有効期限を調べて、証明書の期
限切れをチェックする必要があります。
手順
1. 現在利用可能なすべての鍵セットと証明書を一覧表示するには、次のように入力しま
す。
$ server_certificate ALL -persona -list
出力：
server_2 :
id=1
name=default
next state=Request Pending
request subject=CN=name;CN=1.2.3.4
server_3 :
id=1
136
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
name=default
next state=Not Available
CURRENT CERTIFICATE:
id=1
subject=CN=test;CN=1.2.3.4
expire=20070608183824Z
issuer=O=Celerra Certificate Authority;CN=eng173100
2. 現在の証明書の有効期限は、expire フィールドに示されます。 20070608183824Z は、
2007 年 6 月 8 日（金）18:38:24（GMT）を意味しています。
鍵セットのクリア
鍵セットの有効期限が切れた場合、サービスが今後不要になった場合、または証明書要求
が満たされない場合、鍵セットをクリアする必要があります。 ペルソナの現在の鍵セットと証
明書、次の鍵セットと証明書、またはその両方をクリアできます。
手順
1. 鍵セットとそれに対応する証明書をクリアするには、次のコマンド シンタクスを使用しま
す。
$ server_certificate ［<movername>］ -persona -clear
{［<persona_name>］|id=［<persona_id>］} {-next|-current|
-both}
ここで、
<movername>［= ペルソナが関連づけられている物理 Data Mover に割り当てられた名前。］
<persona_name>［= ペルソナの名前。］
<persona_id>［= ペルソナの ID。］ この ID は、ペルソナの作成時に生成されます。
例：
server_2 にあるペルソナについて、現在と次の両方の鍵セットと証明書をクリアするに
は、次のように入力します。
$ server_certificate server_2 -persona -clear default -both
出力：
server_2 : done
CA 証明書のプロパティの表示
手順
1. CA 証明書のプロパティを表示するには、次のコマンド シンタクスを使用します。
$ server_certificate［<movername>］-ca_certificate -info{-all|
［<certificate_id>］}
ここで、
<movername>［= CA 証明書が関連づけられている物理 Data Mover の名前。］
<certificate_id>［= 証明書の ID。］
㽷
Data Mover で利用可能なすべての CA 証明書のプロパティを表示するには、-all オプシ
ョンを使用します。
例：
鍵セットのクリア
137
VNX for File の CLI セキュリティ構成オプション
証明書 ID 2 で識別される CA 証明書のプロパティを表示するには、次のように入力しま
す。
$ server_certificate server_2 -ca_certificate -info 2
出力：
server_2 :
id=2
subject = C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary
Certification Authority
issuer = C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary
Certification Authority
start
= 19960129000000Z
expire = 20280801235959Z
signature alg. = md2WithRSAEncryption
public key alg. = rsaEncryption
public key size = 2048 bits
serial number
= 70ba e41d 10d9 2934 b638 ca7b 03cc babf
version
= 1
期限切れの CA 証明書のチェック
期限切れの CA 証明書を自動的にチェックする方法はありません。 代わりに、CA 証明書を
一覧表示して有効期限を確認することで、証明書の期限切れをチェックする必要がありま
す。
手順
1. 現在利用可能なすべての CA 証明書を一覧表示するには、次のように入力します。
$ server_certificate ALL -ca_certificate -list
出力：
server_2 :
id=1
subject=O=Celerra Certificate Authority;CN=sorento
issuer=O=Celerra Certificate Authority;CN=sorento
expire=20120318032639Z
id=2
subject=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary
Certification Author
issuer=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary
Certification
Author
expire=20280801235959Z
server_3 :
id=1
subject=O=Celerra Certificate Authority;CN=zeus-cs
issuer=O=Celerra Certificate Authority;CN=zeus-cs
expire=20120606181215Z
2. 証明書の有効期限は、expire フィールドに示されます。 20120318032639Z は、2012
年 3 月 18 日 03:26:39（GMT）を意味しています。
CA 証明書の削除
CA 証明書の有効期限が切れた場合、CA 証明書の信頼性が低くなった場合、または CA 証
明書が今後サーバーの認証で不要になった場合、CA 証明書を削除する必要があります。
手順
1. CA 証明書を削除するには、次のコマンド シンタクスを使用します。
138
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
$ server_certificate ［<movername>］ -ca_certificate -delete
{-all|［<certificate_id>］}
ここで、
<movername>［= CA 証明書が関連づけられている物理 Data Mover の名前。］
<certificate_id>［= 証明書の ID。］ ID を特定するには、-ca_certificate -list コ
マンドを使用します。
㽷
Data Mover で利用可能なすべての CA 証明書を削除するには、-all オプションを使用し
ます。
例：
server_2 にある CA 証明書の ID 番号で識別される CA 証明書を削除するには、次のよ
うに入力します。
$ server_certificate server_2 -ca_certificate -delete 1
出力：
server_2 : done
ログイン バナーのカスタマイズ
/etc/issue ファイルには、ログイン プロンプトの前に表示されるログイン バナー メッセージ
またはシステム ID が含まれています。 ログイン バナーは任意の情報提供用に使用できま
すが、大半の場合はユーザーにシステムの不正な使用または不適切な使用について警告
するために使用します。
1. ユーザー名とパスワードを入力して CLI にログインします。 /etc/issue ファイルにアクセ
スするには、root 権限が必要です。
2. vi または別のテキスト エディタを使用して、/etc/issue ファイルを編集します。
EMC では、バナー メッセージの末尾に特別なキャリッジ リターンを追加することを推奨
しています。
スペース、タブ、キャリッジ リターンを使用して、メッセージの形式を整えます。 一般的
に、メッセージのサイズは 1 画面に収まるようにする必要があります。
㽷
ログイン バナーはログイン プロンプトとともに表示されるため、バナー メッセージには機
密情報を含めないでください。
3. CLI または Unisphere にログインしてログイン バナーを表示し、変更を確認します。
㽷
また、［システム（システム管理タスク）］ > ［Control Station のプロパティ］を使用してログイ
ン バナーをカスタマイズすることもできます。 ［ログイン バナー］フィールドにアクセスするに
は、root 権限が必要です。 「VNX リリース ノート」には、Unisphere に root としてログインする
方法が説明してあります。
MOTD の作成
ユーザーが正常にログインすると、今日のメッセージ（MOTD、/etc/motd ファイル）が表示さ
れます。今日のメッセージは情報提供用に任意で使用できますが、すべてのユーザーに影
ログイン バナーのカスタマイズ
139
VNX for File の CLI セキュリティ構成オプション
響のあるメッセージを送信する場合に特に便利です。 このメッセージには、サーバーのアッ
プグレードに関する情報や今後のシステム シャットダウンに関するアラートを含めることが
できます。 デフォルトでは、このファイルは空です。
1. ユーザー名とパスワードを入力して CLI にログインします。 /etc/motd ファイルにアクセ
スするには、root 権限が必要です。
2. vi または別のテキスト エディタを使用して、/etc/motd ファイルを編集します。
EMC では、バナー メッセージの末尾に特別なキャリッジ リターンを追加することを推奨
しています。
スペース、タブ、キャリッジ リターンを使用して、メッセージの形式を整えます。 一般的
に、メッセージのサイズは 1 画面に収まるようにする必要があります。
3. CLI または Unisphere にログインして MOTD を表示し、変更を確認します。
㽷
また、［システム（システム管理タスク）］ > ［Control Station のプロパティ］を使用して MOTD
をカスタマイズすることもできます。 ［今日のメッセージ］フィールドにアクセスするには、root
権限が必要です。
匿名 root ログインの制限
匿名 root ログインという用語は、直接的なログインを root ユーザーに許可することを表す
場合に使用します。 匿名 root ログインが制限されている場合、root 権限を取得するには、
最初に別のユーザー（たとえば、nasadmin）としてログインしてから、su を実行して root に
なる必要があります。 シリアル コンソールと SSH で匿名 root ログインを制限すると、システ
ム セキュリティが強化されます。
手順
1. ユーザー名とパスワードを入力して CLI にログインします。
/etc/securetty および/etc/ssh/sshd_config ファイルにアクセスするには、root 権限が
必要です。
2. vi または別のテキスト エディターを使用して、/etc/securetty ファイルを編集します。
シリアル コンソールで匿名 root ログインを制限するには、ttyS1 エントリーを削除しま
す。
3. vi または別のテキスト エディターを使用して、/etc/ssh/sshd_config ファイルを編集しま
す。
a. PermitRootLogin パラメーターのコメント解除を行って、SSH を使用した匿名 root ロ
グインを制限するように値を no に設定します。
b. SSH デーモンを再起動して、構成ファイルを改めて読み込みます。
たとえば、次のコマンドを実行します。 /etc/init.d/sshd restart
必要条件
VNX OE for File アップグレードを完了するには、SSH を使用した匿名 root アクセスが必要で
す。 PermitRootLogin パラメーターの値を yes に戻して、アップグレードを開始する前に
SSH デーモンを再起動します。
140
VNX1, VNX2 VNX のセキュリティ構成ガイド
VNX for File の CLI セキュリティ構成オプション
ログインの失敗回数が指定した回数を超えた場合にアカウントをロ
ックする
pam_tally モジュールを使用すると、指定した回数以上ログインに失敗した場合にユーザー
アカウントをロックすることで、システムのセキュリティを向上させることができます。 指定し
た回数以上のログインの失敗があった場合にユーザー アカウントをロックし、所定の時間
が経過後にアカウントを自動的にロック解除するには、次の処理手順に従います。 US DOD
の STIG（Security Technical Implementation Guide）構成を実装する必要がある場合は、こ
の処理手順を使用しないでください。 STIG 構成の実装に関する詳細については、「「EMC
VNX Using nas_stig Utility on VNX Technical Notes P/N 300-013-819」」を参照してください。
手順
1. pam_tally を有効化するには、 /etc/pam.d/system-auth ファイルの指定の場所
に 2 行追加する必要があります。 ユーザーのログインを<n>回までに制限し、<m>秒後に
アカウントをロック解除する場合は、次の行を追加します。auth required
pam_tally.so per_user deny=<n> unlock_time=<m> onerr=fail（auth
required pam_env.so の後）、account required pam_tally.so（account
required pam_unix.so の後）
結果
ログイン回数の制限を 3 回にし、アカウントのロック解除時間を 1 時間に設定する場合は、
変更後のファイル /etc/pam.d/system-auth は以下のようになります。
auth required pam_env.so
auth required pam_tally.so per_user deny=3 unlock_time=3600
onerr=fail
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account
account
account
account
required pam_unix.so
required pam_tally.so
sufficient pam_succeed_if.so uid < 500 quiet
required pam_permit.so
password requisite pam_cracklib.so retry=3 lcredit=-0 dcredit=-1
minlen=8 difok=3 ucredit=-0 ocredit=-0
password sufficient pam_unix.so md5 shadow nullok try_first_pass
use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond
quiet use_uid
session required pam_unix.so
ログインの失敗回数が指定した回数を超えた場合にアカウントをロックする
141
VNX for File の CLI セキュリティ構成オプション
142
VNX1, VNX2 VNX のセキュリティ構成ガイド
索引
A
Active Directory
接続 100
ユーザーとグループ アカウント 100
Active Directory ユーザーとコンピューター、以下を参照して
ください。 ADUC
ADH 暗号スイート 94
admhost 16, 34
admsnap 16
admsnap 34
ADUC 100
B
block CLI
ネットワーク ポート 34
Block の CLI
認証 18
C
CA
証明書 63
CA 証明書
一覧表示 138
インポート 130
削除 138
取得 122
生成 130
入手 128
配布 132
表示 131
CA 証明書の取得 63
Challenge Handshake Authentication Protocol、以下を参
照してください。 CHAP
CHAP 22
CHAP の構成 22
CIFS Kerberos 26
CIFS、アクセス ポリシー 27
CLI
FIPS 140-2 モードを管理するコマンド 87
Unisphere Management Suite コンポーネント 10
Control Station
CA として 62
PKI 証明書 60
鍵セットと証明書 63
ネットワーク サービスの管理 36
ネットワーク ポート 37, 52
Control Station、管理アクティビティの監査 31
cookies 26
D
Data Mover
ネットワーク サービスの管理 36
ネットワーク ポート 37, 41
DataMover
鍵と証明書 62
証明書要求の署名 63
ペルソナ 62
DER（Distinguished Encoding Rules） 62
E
EMC Secure Remote Gateway 81
EMC Secure Remote Support IP Client、以下を参照してくだ
さい。 ESRS IP Client
EMCRemote、モデムベースのアクセス 82
ESRS IP Client 81
ESRS IP クライアント 90
ESX または Virtual Center サーバー 34
F
Federal Information Processing Standard 140-2、以下を参
照してください。 FIPS 140-2
FileMover 60
FIPS 140-2 87
H
HTTP 34, 41, 52, 59, 119
HTTPS 59, 119
Hypertext Transfer Protocol、以下を参照してください。 HTTP
I
Internet Protocol バージョン 4、以下を参照してください。
IPv4
Internet Protocol バージョン 6、以下を参照してください。
IPv6
IP Packet Reflect 65
IPv4 86
IPv6 86
IP フィルタリング 25, 65, 90
iSCSI イニシエーター 34
iSCSI ポート、VLAN タグ機能 86
iSNS サーバー ネットワーク ポート 34
K
Kerberos、CIFS 認証 26
L
LDAP
グループ 20
サーバー証明書 60
サーバー接続 19
サーバー ネットワーク ポート 34
サービスの構成 20
セットアップ 19
認証 19
ネーム サービスのサポート 60
VNX1, VNX2 VNX のセキュリティ構成ガイド
143
索引
ネットワークの暗号化 59, 119
範囲 19
ユーザー 20
ユーザー資格情報のキャッシュ 21
Ldap Admin ツール 101
LDAP ドメインの管理 19
LDAP ベースのディレクトリ サーバー
Ldap Admin ツール 101
SSL の利用 61
接続 101
LUN マスキング 25
M
MirrorView の権限 24
MOTD（今日のメッセージ）、構成 28
N
nasadmin アカウント 21
NAS 管理者の役割 22
NAT
ゲートウェイ 66
接続 66
NFS、アクセス ポリシー 27
NFS、ファイル共有プロトコル 26
NTLM 認証 26
NTP サーバー 34
NT 資格情報 26
NULL 暗号 94
P
PEM（Privacy Enhanced Mail） 62
PKI
DataMover
LDAP および HTTP 接続 62
SSL 62
SSL の鍵と証明書の管理 60
Policy Manager 81, 82
R
Reflect、IP Packet 65
RemotelyAnywhere
IP フィルタリング 81
サービス アクションのログ記録 30
ネットワーク ポート 34
パスワードの変更 81
RemotelyAnywhere を使用した IP フィルタリング 81
RemotelyAnywhere を使用したパスワードの変更 81
root アカウント 21
S
SAN Copy 34
SAN Copy の権限 24
SAN 管理者の役割 22
SCSI 34
Secure Socket Layer、以下を参照してください。 SSL
SHA1 26
SMTP サーバー 34
Snapsure の権限 24
SnapView 34
144
VNX1, VNX2 VNX のセキュリティ構成ガイド
SnapView の権限 24
SNMP 16, 86
SNMP マネージャー 34
SP、PKI 証明書 60
SP イベント ログ、アーカイブ 30
SP イベント ログのアーカイブ 30
SP エージェント 34
SSL
LDAP ベースのディレクトリ サーバー 61
PKI 62
暗号スイートの変更 120
鍵と証明書、管理 60
証明書 60
デジタル証明書 61
ネーム サービスのサポート 60
ネットワーク転送の暗号化 59, 119
ネットワーク ポート プロトコル 34, 41
プロトコル バージョンの変更 119
SSL/TLS 17, 59, 119
sysadmin アカウント 21
T
TCP 34
TLS、サポートされている暗号スイート 94
U
UDP 34
Unisphere
IPv4 または IPv6 でのアクセス 86
Management Suite コンポーネント 16
USM（Service Manager） 16, 34
安全な環境での実装 90
主な役割 22
管理と監視 90
クライアント/サーバーおよび NAT 66
公開鍵暗号形式 60
コンポーネント、使用されるポート 34, 41, 52
サーバー ソフトウェア 16
資格情報 17
初期化ウィザード 21
セッション タイムアウトの管理 37
Ldap Admin ツールからの値の転送 101
認証 17
パスワード 17
範囲 17
役割 22
役割のマッピング 20
ユーザー インタフェース 10
ユーザー名 17
Unisphere サーバー ソフトウェア、以下を参照してください。
すとれえじかんりさあばあ
UNIX ユーザー資格情報 26
V
VIA（VNX Installation Assistant） 16, 21
VLAN タグ機能、サポート 86
VM 管理者の役割 22
VNX Operating Environment（OE）パッチ 82
索引
W
Windows スタイルの資格情報 26
X
X.509 証明書 80, 81
あ
アウトバンド通信 16, 34
アカウント
Active Directory 100
管理、VNX および VNX for File 21
管理のデフォルト 21
工場出荷時のインストール 21
サービスのデフォルト 21
システム 21
デフォルト 21
アカウントとの同期 21
アカウントの同期 21
アカウントのロック 141
アクセス
CLI 86
NFS および CIFS のポリシー 27
SP、EMC カスタマ サービス 81
管理 21
権限 22
サービス 21
物理的セキュリティ統制 28
プロキシ サーバー 66
ホストにより LUN へ 25
モデムベース 82
暗号化サイファ 94
暗号化された鍵 60
暗号スイート、サポートされている 94
安全な環境、Unisphere の実装 90
監査ログ 32
キーストア ファイルのバックアップ 74
起動 71
ディスク ドライブの取り外し 77
データ イン プレース アップグレード 74
ホット スペアの操作 76
監査、Control Station の管理アクティビティ 31
監査情報 30
監査ログ 30
監査ログの消去 30
管理
SNMP 86
アクセス 21
デフォルト アカウント 21
ポート、IPv6 アドレス指定 86
リモート 86
管理者の役割 22
管理セッション タイムアウト 37
き
機能、データ保護の役割 24
今日のメッセージ
作成 139
く
グローバル アカウント 21, 22
グローバルな範囲 19
け
検出、マルウェア 83
検証、証明書 60
こ
イニシエーター、認証 22
イベント ログ 30
イベント ログ、SP 30
イベント ログ データの収集 31
イベント ログ データのセキュリティ保護 31
インバンド通信 16, 34
公開鍵証明書
CA 署名済み証明書のインポート 126
一覧表示 136
鍵セットと証明書要求の生成 126
クリア 137
作成 121
証明書要求の CA への送信 125
コマンド ライン インタフェース、以下を参照してください。 CLI
コミュニティ、SNMP 86
え
さ
い
エンコード、証明書 62
お
オペレーターの役割 22
か
鍵、暗号化された 60
鍵交換アルゴリズム 94
格納データの暗号化
Block CLI による SP の再起動 72
Unisphere による SP の再起動 72
新しいディスク ドライブの追加 76
暗号化ステータス 73
概要 70
サーバー ユーティリティ 34
サービス
アクセス 21
デフォルト アカウント 21
サービス アクションのログ記録 30
サポートされている暗号スイート
TLS 94
し
シェル セッション タイムアウト 37
資格情報 26
システム アカウント 21
証明書
LDAP ベースのディレクトリ サーバー 61
VNX1, VNX2 VNX のセキュリティ構成ガイド
145
索引
SSL 60
エンコード 62
検証 60
署名の検証 63
証明書検証のバイパス 60
証明書の保存 60
署名の検証、証明書 63
す
ストレージ管理者の役割 22
ストレージ グループ
構成 25
定義 25
ストレージ マネジメント サーバー
ネットワーク ポート 34
ストレージ管理サーバー
Unisphere Management Suite コンポーネント 16
と
統制、物理的セキュリティ 28
匿名 root ログイン
制限 140
に
認証
Active Directory で 19
Block の CLI 18
CIFS Kerberos 26
iSCSI イニシエーター 22
LDAP で 19
NTLM 26
Unisphere 17
方法 94
認証局、以下を参照してください。 CA
ね
せ
静止データ暗号化
シャーシまたは SP の交換 77
セキュア HTTP 59, 119
セキュア リモート サポート 82
セキュリティ
CHAP 22
NFS の設定 26
セキュリティ管理者の役割 22
セッション タイムアウト
変更 118
無効化 118
セッション トークン
SHA1 秘密値の変更 118
た
タイムアウト
Unisphere セッションの管理 37
シェル セッションの管理 37
ち
中間者攻撃 60
ネーム サービスのサポート 60
ネットワーク アドレス変換、以下を参照してください。 NAT
ネットワーク管理者の役割 22
ネットワーク サービス、管理 36
ネットワーク サービスの管理 36
ネットワーク ポート 34, 41, 52
は
ハートビート 81
パスワード
スクリプトを使用したポリシーの定義 116
特定のポリシー定義の規定 116
有効期限の設定 117
パスワード品質ポリシー 27
ハッシュ アルゴリズム 94
パッチ、VNX Operating Environment（OE） 82
範囲 19
ふ
フィルタリング管理ネットワーク 65
物理的セキュリティ 28
プロキシ サーバー 66
プロトコル、ネットワーク ポート 34, 41
つ
通信
アウトバンド 16
インバンド 16
通信、使用されるネットワーク ポート 34, 41
次の証明書 62
て
データ
格納、暗号化 27
整合性 27
データ保護の役割 24
データ リカバリの役割 24
デジタル証明書 61
デフォルトのパスワード ポリシー 27
146
VNX1, VNX2 VNX のセキュリティ構成ガイド
へ
ペルソナ
証明書の提供 121
ほ
ホスト、LUN へのアクセス 25
ホスト エージェント
Unisphere Management Suite コンポーネント 16
ネットワーク ポート 34
ホスト登録 90
ま
マルウェア検出 83
索引
も
り
モデムベースのアクセス 82
リモート アクセス 81
リモート管理 86
リモート サポート 82
や
役割
Unisphere アクセスのマッピング 20
Unisphere の主な 22
VNX for File CLI アクセス 26
定義 22
データ保護 24
範囲 22
ゆ
ユーザー インタフェース 10
ユーザー アカウント 22
ユーザーの適用範囲 19
れ
レコード、監査 30
ろ
ローカル アカウント 21, 22
ローカル データ保護の役割 24
ローカルな範囲 19
ローカル ユーザーのパスワード 27
ログイン バナー
カスタマイズ 139
ログイン バナー、構成 28
ログ データの分析 31
VNX1, VNX2 VNX のセキュリティ構成ガイド
147
索引
148
VNX1, VNX2 VNX のセキュリティ構成ガイド
Copyright © 2015 EMC Corporation. All rights reserved. Published in USA.
EMC believes the information in this publication is accurate as of its publication date. The information is
subject to change without notice.
The information in this publication is provided as is. EMC Corporation makes no representations or
warranties of any kind with respect to the information in this publication, and specifically disclaims
implied warranties of merchantability or fitness for a particular purpose. Use, copying, and distribution
of any EMC software described in this publication requires an applicable software license.
EMC², EMC, and the EMC logo are registered trademarks or trademarks of EMC Corporation in the
United States and other countries.
All other trademarks used herein are the property of their respective owners.
For the most up-to-date regulatory document for your product line, go to EMC Online Support
(https://support.emc.com).