...

VNX for Fileのセキュリティ構成ガイド - EMC Japan

by user

on
Category: Documents
10

views

Report

Comments

Transcript

VNX for Fileのセキュリティ構成ガイド - EMC Japan
EMC® VNX™
リリース 7.0
VNX™ for File のセキュリティ構成ガイド
P/N 300-012-337
リビジョン A01
EMC ジャパン株式会社
〒 151-0053
東京都渋谷区代々木 2-1-1
新宿マインズタワー
http://japan.emc.com
お問い合わせは
http://japan.emc.com/contact
2/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
目次
はじめに. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
注意と警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
ユーザー インタフェースの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
用語. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
関連情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
ユーザーの識別と認証に外部 LDAP ベースのディレクトリ サーバを
使用する場合のプランニングに関する考慮事項 . . . . . . . . . . . . . . . . . .19
パスワード セキュリティのプランニングに関する考慮事項 . . . . . . . . .22
公開鍵基盤のプランニングに関する考慮事項 . . . . . . . . . . . . . . . . . . . .23
ユーザーの識別と認証に外部 LDAP ベースのディレクトリ サーバを使用
する場合の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
パスワード ポリシーの構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
パスワード ポリシーの対話形式での定義 . . . . . . . . . . . . . . . . . . . . . .29
特定のパスワード ポリシー定義の規定 . . . . . . . . . . . . . . . . . . . . . . . . .30
パスワードの有効期限の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
セッション タイムアウトの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
セッション タイムアウト値の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
ログイン バナーのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
今日のメッセージの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
セッション トークンの保護. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
SSL プロトコルを使用したネットワークの暗号化と認証の構成 . . . . . . . . .36
HTTPS の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
LDAP SSL の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
デフォルトの SSL プロトコルの変更. . . . . . . . . . . . . . . . . . . . . . . . . . .37
デフォルトの SSL 暗号スイートの変更 . . . . . . . . . . . . . . . . . . . . . . . . .37
事後条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
PKI の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
ペルソナによって提供される証明書の作成 . . . . . . . . . . . . . . . . . . . . . .39
CA 証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
CA としての Control Station の使用. . . . . . . . . . . . . . . . . . . . . . . . . . .39
鍵セットと証明書要求の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
CA への証明書要求の送信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
CA 署名済み証明書のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
利用可能な CA 証明書の一覧表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . .46
CA 証明書の入手 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46
CA 証明書のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49
新しい Control Station CA 証明書の生成 . . . . . . . . . . . . . . . . . . . . . . .49
証明書の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50
Control Station CA 証明書の配布 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
PKI の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53
鍵セットと証明書のプロパティの表示 . . . . . . . . . . . . . . . . . . . . . . . . .53
期限切れの鍵セットのチェック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
鍵セットのクリア . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
CA 証明書のプロパティの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55
期限切れの CA 証明書のチェック . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
3/94
CA 証明書の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
トラブル シューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
情報の入手方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
EMC E-Lab Interoperability Navigator . . . . . . . . . . . . . . . . . . . . . . . .57
Control Station から LDAP ベースのディレクトリ サーバへの接続の
トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
ローカル ユーザー アカウントのトラブルシューティング . . . . . . . . . .59
ドメインにマップされたユーザー アカウントの
トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61
証明書のインポートのトラブルシューティング . . . . . . . . . . . . . . . . . .62
エラー メッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63
トレーニングおよびプロフェッショナル サービス . . . . . . . . . . . . . . . .64
付録 A:CLI の役割に基づくアクセスのセットアップ . . . . . . . . . . . . . . . . .65
付録 B: サポートされている SSL 暗号スイート . . . . . . . . . . . . . . . . . . . . .75
付録 C:LDAP ベースのディレクトリ サーバ構成について . . . . . . . . . . . .77
Active Directory ユーザーとコンピュータ . . . . . . . . . . . . . . . . . . . . . .77
Ldap Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
インデックス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91
4/94
リリース 7.0
VNX™ for File のセキュリティ構成ガイド
はじめに
EMC® VNX™ for File では、ユーザーとネットワーク アクセスの制御、システム
アクセスと使用状況の監視、暗号化されたデータの転送サポートを行う、多様な
セキュリティ機能を実装します。これらのセキュリティ機能は、Control Station
と Data Mover に実装されます。このドキュメントでは、これらのセキュリティ機
能を使用する理由、状況、方法について説明します。VNX for File のセキュリティ
を理解するうえで、これらの機能の基本知識を身につけることが重要になります。
詳細については、 9 ページの「概念」を参照してください。
このドキュメントは、VNX のマニュアル セットの一部であり、VNX の全体的な
構成と運用を担当する管理者を対象としています。
システム要件
5 ページの表 1 にのソフトウェア構成、ハードウェア構成、ネットワーク構成、
ストレージ構成を示します。
表1
セキュリティ システム要件
ソフトウェア
VNX バージョン 7.0
ハードウェア
固有のハードウェア要件なし
ネットワーク
固有のネットワーク要件なし
ストレージ
固有のストレージ要件なし
注意と警告
この情報について不明な点がある場合は、EMC カスタマー サポート担当者にお
問い合わせください。
インストール時にデフォルトのパスワードを変更していない場合は、できるだけ
早く変更してください。
ユーザー インタフェースの選択
VNX では、サポート環境やインタフェース設定に応じてネットワーク ストレージ
を柔軟に管理することができます。このドキュメントでは、CLI(コマンド ライ
ン インタフェース)を使用してセキュリティ機能を構成する方法について説明し
ます。大半のタスクは、EMC Unisphere™ ソフトウェアを使用して実行すること
もできます。
Unisphere オンライン ヘルプには、VNX の管理に関する追加情報が記載されてい
ます。
VNX の管理アプリケーションに関する最新の追加情報については、VNX リリース
ノートを参照してください。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
5/94
用語
VNX 用語のリストについては、「VNX 用語集」を参照してください。
ACE(アクセス コントロール エントリー): Microsoft Windows 環境での ACL(アク
セス コントロール リスト)の構成要素。この構成要素により、ユーザーまたはグ
ループのファイルに対するアクセス権が定義されます。
ACL(アクセス コントロール リスト): あるオブジェクトへのアクセスが許可された
ユーザーとグループに関する情報を提供する ACE(アクセス コントロール エン
トリー)のリスト。
authentication: ファイルやディレクトリなどのリソースまたはオブジェクトにア
クセスを試行しているユーザーの ID を検証するプロセス。
CA(認証局): 公開鍵証明書にデジタル署名を行う、信頼できるサード パーティ。
CIFS(Common Internet File System): Microsoft SMB(Server Message Block)に
基づいたファイル共有プロトコル。インターネットおよびイントラネットを介し
てファイル システムを共有できます。
CLI(コマンド ライン インタフェース): データベースと Data Mover の管理と構成
や VNX for File キャビネット コンポーネントの統計の監視など、各種タスクを実
行する場合に、Control Station からコマンドを入力するためのインタフェース。
Control Station: VNX for File のハードウェアおよびソフトウェア コンポーネント。
システムを管理し、システム コンポーネントの管理ユーザー インタフェースを提
供します。
Data Mover: VNX for File のキャビネット コンポーネント。ストレージ デバイスか
らファイルを取得し、そのファイルをネットワーク上のクライアントが使用でき
るようにする独自のオペレーティング システムを実行します。
HTTP(Hypertext Transfer Protocol): World Wide Web 上のサーバへの接続に使用
される通信プロトコル。
HTTPS(Hypertext Transfer Protocol Secure): SSL を使用した HTTP。クライアン
トおよびサーバ システム間のすべてのネットワーク トラフィックは暗号化されま
す。サーバとクライアントの ID を検証するオプションもあります。通常、サーバ
ID は検証されますが、クライアント ID は検証されます。
Kerberos: 認証、データ整合性、データ プライバシーの暗号化メカニズム。認証
情報をエンコードするために使用されます。Kerberos は NTLM(Netlogon サービ
ス)と共存し、ソケット キー暗号形式を使用して、クライアント / サーバ アプリ
ケーションに対する認証を行います。
LDAP ベースのディレクトリ : LDAP によるアクセスを提供するディレクトリ サー
バ。LDAP ベースのディレクトリ サーバの例としては、OpenLDAP や iPlanet
(Sun Java System Directory Server および Sun ONE Directory Server としても知
られる)を挙げることができます。
LDAP(Lightweight Directory Access Protocol): TCP/IP を使用して直接実行され
る業界標準の情報アクセス プロトコル。Active Directory および LDAP ベースの
ディレクトリ サーバのプライマリ アクセス プロトコルです。LDAP バージョン 3
は、IETF(Internet Engineering Task Force)の RFC 2251 において Proposed
Standard の一連の文書で定義されています。
6/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
NFS(Network File System): リモート ファイル システムへの透過的なアクセスを
提供する分散ファイル システム。NFS を使用すると、すべてのネットワーク シ
ステムでディレクトリの単一コピーを共有できます。
OpenLDAP: LDAP ベースのディレクトリ サービスのオープン ソース
実装。
PKI(公開鍵基盤): 秘密鍵とこの鍵に対応する公開鍵証明書を公開鍵暗号形式で使
用できるように管理する手段。
SNMP(Simple Network Management Protocol): ネットワーク構成要素のネット
ワーク管理ステーションとエージェント間で管理情報の通信に使用される方法。
SSL(Secure Socket Layer): 暗号化と認証を提供するセキュリティ プロトコル。
データを暗号化し、メッセージとサーバの認証を行います。サーバから要求され
た場合、クライアント認証もサポートします。
TLS(Transport Layer Security): SSL の後継プロトコル。一般的な通信認証と
TCP/IP ネットワークを使用した暗号化に対応しています。TLS バージョン 1 は、
SSL バージョン 3 とほぼ同等です。
X.509: デジタル証明書の定義に一般的に使用されている標準規格。
XML API: VNX for File をリモートで管理および監視するためのインタフェース。
このインタフェースでは、XML 形式のメッセージおよびニュートラルなプログラ
ミング言語が使用されています。
アクセス ポリシー : 一部のファイル システムに対してマルチプロトコル アクセス
を提供するように構成された環境で、ユーザーがシステム上のファイルにアクセ
スした場合は、どのアクセス コントロール方式(NFS 権限または Windows ACL、
もしくはその両方)が適用されるかを定義したポリシー。アクセス ポリシーは、
server_mount コマンドを使用して設定します。また、このポリシーでは、ユー
ザーがファイルまたはディレクトリに対してどのようなアクションを実行できる
かも決定します。
ディレクトリ サーバ : コンピュータ ネットワークのユーザーとネットワーク リ
ソースに関する情報を格納および整理するサーバ。ネットワーク管理者は、この
サーバでリソースに対するユーザーのアクセスを管理できます。最も有名なオー
プンのディレクトリ サービスは X.500 です。企業独自のディレクトリ サービスと
しては、Microsoft の Active Directory があります。
デジタル証明書 : ユーザーの認証情報を証明するために認証局から発行される電子
ID。デジタル証明書には、受信者が証明書の有効性を検証できるように、ユー
ザーの ID(ホスト名)、シリアル番号、有効期限、証明書所有者の公開鍵のコ
ピー(メッセージとデジタル署名の暗号化に使用)
、証明書発行機関からのデジタ
ル署名が含まれています。
認証局の証明書 : ID(認証局)と公開鍵の間のデジタル署名付き関連性。公開鍵証
明書のデジタル署名を検証するためにホストで使用されます。
ペルソナ : 秘密鍵とこの鍵に対応する公開鍵証明書を使用して、Data Mover の ID
をサーバまたはクライアントとして提供する手段。各ペルソナには最大で 2 個の
鍵セット(現在のものと次のもの)を保持でき、現在の証明書の有効期限が切れ
る前に、新しい鍵と証明書を生成できるようになっています。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
7/94
関連情報
このドキュメントで解説されている機能に関連する具体的な情報については、次
の資料を参照してください。
◆
EMC VNX for File コマンド ライン インタフェース リファレンス
◆
オンラインの Celerra マニュアル ページ
◆
VNX パラメータ ガイド
◆
VNX 用語集
◆
VNX for File 管理アプリケーションのインストール
◆
VNX CIFS の構成と管理
◆
VNX NFS の構成
◆
VNX でのマルチプロトコル環境の管理
◆
VNX ネーム サービスの構成
◆
VNX FileMover の使用方法
◆
VNX for File イベントと通知の構成
◆
VNX ネットワークの構成と管理
◆
VNX Control Station の監査テクニカル ノート
◆
Celerra Network Server on the Enterprise Network テクニカル ノート
LDAP に関する一般的な情報については、次の資料を参照してください。
◆
RFC 2307、「An Approach for Using LDAP as a Network Information Service」
Active Directory の LDAP および SSL 構成に関する具体的な情報については、次
の資料を参照してください。
◆
Microsoft サポート技術情報「How to enable LDAP over SSL with a third-party
certification authority」(ID 321051)
OpenLDAP および SSL 構成に関する具体的な情報については、OpenLDAP の
Web サイト(www.openldap.org)を参照してください。別の非 Active Directory
LDAP ベースのディレクトリ サーバを使用している場合は、該当するベンダーの
マニュアルで LDAP および SSL 構成に関する情報を参照してください。
EMC オンライン サポート Web サイトの EMC VNX のマニュアル
EMC VNX のカスタマー向け資料一式は、EMC オンライン サポート Web サイト
から入手できます。テクニカル ドキュメントを検索するには、
http://Support.EMC.com にアクセスします。Web サイトにログインした後、VNX
の[Support by Product]ページをクリックして必要な特定の機能に関する情報
を見つけます。
8/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
概念
新しい規制に準拠し、システム攻撃に対する保護を強化するために、強力なシス
テム セキュリティ機能の必要性が高まっています。VNX for File では、Control
Station と Data Mover の両方にさまざまな機能を実装し、そのインフラストラク
チャのセキュリティ保護、アクセスの制御、データの保護を実現します。
Control Station の場合
◆
インフラストラクチャを保護するために、VNX for File には Data Mover の動作
を厳密に制御するさまざまな機能が備えられています。これらの機能について
は、 10 ページの表 2 を参照してください。
◆
VNX for File では、不正アクセスからシステム リソースを保護するために、
ユーザーの厳格な識別と認証、役割に基づいたアクセス、顧客定義のパスワー
ド ポリシーがサポートされています。これらの機能については、 12 ページの
表 3 を参照してください。
◆
VNX for File では、暗号化されたデータの転送に対応するために、SSL セキュ
リティ プロトコルがサポートされています。この機能については、 14 ページ
の表 4 を参照してください。
Data Mover の場合
◆
インフラストラクチャを保護するために、VNX for File には Data Mover の動作
を厳密に制御するさまざまな機能が備えられています。これらの機能について
は、 15 ページの表 5 を参照してください。
◆
VNX for File では、暗号化されたデータの転送を保護するために、SSL セキュ
リティ プロトコルおよび特定のプロトコルに対する公開鍵証明書管理がサ
ポートされています。これらの機能については、 18 ページの表 6 を参照して
ください。
これらの機能の多くでは明示的な構成と管理が必要になりますが、一部の機能は
ソフトウェア動作の基本コンポーネントとして含まれています。
◆
ユーザーと Unisphere ソフトウェア間のセキュリティおよび 2 個の Control
Station 間のセキュリティでは、チェックサム SHA1 を使用してセッション
トークン(Cookie)に署名します。MD5 では 128 ビットのハッシュ値のみが
生成されるのに対し、SHA1 では 160 ビットのハッシュ値が生成されます。
◆
Control Station の Linux オペレーティング システムから不要なサービスとダイ
ナミック ポートが削除されました。
注: VNX for File のセキュリティ機能の多くは、概要の表に示すとおり、ドキュメント ラ
イブラリの他の箇所でも説明されています。したがって、このドキュメントでは、利用可
能な一部のセキュリティ機能についてのみ、詳細な構成手順を示します。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
9/94
表2
Control Station のインフラストラクチャ保護機能の概要 (1 / 2ページ)
特徴
動作
制限事項
詳細情報
セッションのタイムア
ウト
VNX for File では、Control
Station シェルと Unisphere の
両方がアクセスする管理セッ
ションに対して、セッション
のタイムアウトを適用しま
す。指定した期間、非アク
ティブな状態が続くと、セッ
ションはタイムアウトし
ます。
セッションのタイムアウトは、
デフォルトで有効にされてい
ます。
シェル セッションのタイムアウ
トを管理するには、コマンド
/nas/sbin/ nas_config
-sessiontimeout を使用します。
この機能の構成方法については、
31 ページの「セッション タイム
アウトの構成」を参照してくだ
さい。
ログイン バナーと
MOTD(今日のメッ
セージ)
ログイン バナーと MOTD
(今日のメッセージ)は、管
理者が VNX for File ユーザー
と連絡を取る手段となり
ます。
コマンド ライン インタ
フェースと Unisphere で、同
じログイン バナーを確認でき
ます。MOTD はコマンド ラ
イン インタフェースからのみ
確認できます。
ネットワーク サービス
管理
10/94 リリース 7.0
Unisphere では、Control
Stationの一部のネットワーク
サービス(および関連する通
信ポートとプロトコル)の現
在の状態を一覧表示できま
す。これらのサービスの有効
化、無効化、監視を行うこと
ができます。VNX for File の
セキュリティを向上させるた
めには、現在の環境で使用さ
れていないネットワーク サー
ビスを無効化して、VNX for
File へのアクセスを制限する
必要があります。
Control Station プロパティを
変更するには、ユーザーが
root である必要があります。
注:「VNX リリース ノート」
には、Unisphere に root とし
てログインする方法が説明し
てあります。
Control Station プロパティを
変更するには、ユーザーが
root である必要があります。
注:「VNX リリース ノート」
には、Unisphere に root とし
てログインする方法が説明し
てあります。
Control Station プロパティを
変更するには、ユーザーが
root である必要があります。
注:「VNX リリース ノート」
には、Unisphere に root とし
てログインする方法が説明し
てあります。
Unisphere のセッション タイム
アウトを管理するには、[設定]
(セキュリティ タスク)>[アイ
ドル タイムアウトの管理]を選
択します。この機能については、
Unisphere のオンライン ヘルプ
を参照してください。
Unisphere からバナーを構成する
には、[システム](システム管
理タスク)>[Control Station
のプロパティ]を選択します。
この機能については、Unisphere
のオンライン ヘルプを参照して
ください。
CLI からバナーと MOTD を構成
するには、テキスト エディタを
使用して、/etc/issue または
/etc/motd ファイルを編集します。
これらの機能を構成する方法に
ついては、 33 ページの「ログイ
ン バナーのカスタマイズ」およ
び 34 ページの「今日のメッセー
ジの作成」を参照してください。
Unisphere からネットワーク
サービスを管理するには、
[設定]>[ネットワーク]>
[ファイルの設定]>[ネット
ワーク サービス]を選択します。
この機能については、Unisphere
のオンライン ヘルプを参照して
ください。
VNX™ for File のセキュリティ構成ガイド
表2
Control Station のインフラストラクチャ保護機能の概要 (2 / 2ページ)
特徴
動作
制限事項
詳細情報
セッション トークン
(Cookie)
VNX for File では、SHA1 を
使用してチェックサムを生成
し、このチェックサムを使用
して、ログインしたユーザー
を識別するためのセッション
トークン(Cookie)を保護し
ます。セキュリティを強化す
るために、チェックサムの生
成に使用されるデフォルトの
SHA1 秘密値を変更できます。
この値を変更すると、既存の
セッション トークン
(Cookie)は有効でなくなり、
Unisphere の現在のユーザー
はログインし直す必要があり
ます。
セッション トークン(Cookies)
を管理するには、ファイル
/nas/http/conf/secret.txt を編集し
ます。この機能を構成する方法
については、35 ページの「セッ
ション トークンの保護」を参照
してください。
Control Station プロパティを
変更するには、ユーザーが
root である必要があります。
注:「VNX リリース ノート」
には、Unisphere に root とし
てログインする方法が説明し
てあります。
監査
VNX for File には、構成ファ
イルと、Control Station から
開始された管理アクティビ
ティ(具体的には、主要なシ
ステム ファイルとエンド
ユーザー データへのアクセ
ス)をキャプチャするコマン
ドがあります。
VNX™ for File のセキュリティ構成ガイド
Control Station プロパティを
変更するには、ユーザーが
root である必要があります。
注:「VNX リリース ノート」
には、Unisphere に root とし
てログインする方法が説明し
てあります。
監査の実装方法に関する具体的
な情報については、EMC オンラ
イン サポート Web サイトでテク
ニカル ノート「Auditing in the
Celerra Control Station」を参照
してください。
リリース 7.0
11/94
表3
Control Station のアクセス コントロール機能の概要 (1 / 2ページ)
特徴
動作
制限事項
詳細情報
ユーザー定義と認証
一意なユーザー アカウントの
使用によって、VNX をより安
全に管理できます。ユーザー
アカウントとは、ローカル
ユーザー アカウント、グロー
バル ユーザー アカウント、
または LDAP ユーザー アカウ
ントからマップされたユー
ザー アカウントです。
ユーザーは Unisphere からの
み管理できます。
Unisphere でユーザーを作成およ
び管理するには、[設定]>[セ
キュリティ]>[ユーザー管理]
を選択します。この機能につい
ては、Unisphere のオンライン
ヘルプを参照してください。
ユーザー アカウントが LDAP
ドメインにマップされている
場合は、VNX for File は
LDAP ベースのディレクトリ
サーバにアクセスできなけれ
ばなりません。つまり、
Active Directory または非
Active Directory サーバ
(OpenLDAP や iPlanet など)
へのアクセスを構成する必要
がある場合があります。
注:VNX 7.0 では、グローバ
ルおよび LDAP ユーザー アカ
ウントのみがサポートされ
ます。
CLI で利用可能な Linux コマン
ド(useradd、userdel、
usermod、groupadd、
groupmod、groupdel)では、
VNX for File と LDAP ベースの
VNX の役割に基づいたユー
ディレクトリ サーバ間の対話の
ザー アクセスはサポートされ
仕組みについては、19 ページの
ていないため、CLI からユー
「ユーザーの識別と認証に外部
ザー アカウントおよびグルー
LDAP ベースのディレクトリ
プ アカウントを管理すること
サーバを使用する場合のプラン
はできません。
ニングに関する考慮事項」を、
新しいファイル ローカル ユー
また、この機能を構成する方法
ザー アカウントを作成するに
については、26 ページの「ユー
は、root ユーザー、またはア
ザーの識別と認証に外部 LDAP
ドミニストレータ権限または
ベースのディレクトリ サーバを
セキュリティ管理者の権限を
使用する場合の構成」を参照し
持つユーザーである必要があ
てください。
ります。
新しいグローバル ユーザー ア
カウントを作成するには、グ
ローバル システム管理者ユー
ザー、またはアドミニスト
レータ権限またはセキュリ
ティ管理者の権限を持つグ
ローバル ユーザーである必要
があります。
注:「VNX リリース ノート」
には、Unisphere に root とし
てログインする方法が説明し
てあります。
12/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
表3
Control Station のアクセス コントロール機能の概要 (2 / 2ページ)
特徴
動作
制限事項
詳細情報
役割に基づいたユーザー
アクセス制御
この機能を使用すると、ユー
ザーに各自の責務に適した権
限を割り当てることができま
す。これにより、ユーザーが
実行できる操作が制限され、
実行権限のない管理ユーザー
による操作からシステムや顧
客のデータが保護され、ユー
ザー用の Unisphere や CLI イ
ンタフェースが簡素化され
ます。
役割をファイル ローカル ユー
ザー アカウントに割り当てる
には、root ユーザー、または
アドミニストレータ権限また
はセキュリティ管理者の権限
を持つユーザーである必要が
あります。
Unisphere で役割に基づいたユー
ザー アクセスを作成および管理
するには、[設定]>[セキュリ
ティ]>[ユーザー管理]を選
択します。この機能については、
Unisphere のオンライン ヘルプ
を参照してください。
役割では、特定のオブジェク
トに対して実行できる権限
(読み取り、変更、または完
全な管理)を定義します。
VNX には、定義済みの役割と
カスタム役割があります。
注:VNX 7.0 では、グローバ
ルおよび LDAP ユーザー アカ
ウントのみがサポートされ
ます。
パスワード品質ポリシー
強力なパスワードは、セキュ
リティ戦略の重要な要素とな
ります。VNX for File では、
必須条件を設定することに
よって、パスワード品質ポリ
シーを保証します。
役割をグローバル ユーザー ア
カウントに割り当てるには、
グローバル システム管理者
ユーザー、またはアドミニス
トレータ権限またはセキュリ
ティ管理者の権限を持つグ
ローバル ユーザーである必要
があります。
注:「VNX リリース ノート」
には、Unisphere に root とし
てログインする方法が説明し
てあります。
この機能では、すべてのロー
カル ユーザーに対するパス
ワードの複雑性要件を定義し
ます。この機能は、ドメイン
にマップされているユーザー
には適用されません。これら
のユーザーのパスワードは、
ドメイン内のポリシーで管理
されます。
パスワード品質ポリシーを定
義するには、ユーザーが root
である必要があります。
パスワード品質ポリシーの要素
については、22 ページの「パス
ワード セキュリティのプランニ
ングに関する考慮事項」を参照
してください。
パスワード品質ポリシーを定義
するには、コマンド /nas/sbin/
nas_config -password を使用し
ます。この機能の構成方法につ
いては、 29 ページの「パスワー
ド ポリシーの構成」を参照して
ください。
注:VNX 7.0 では、グローバ
ルおよび LDAP ユーザー アカ
ウントのみがサポートされま
す。「VNX リリース ノート」
には、Unisphere に root とし
てログインする方法が説明し
てあります。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
13/94
表4
Control Station のデータ保護機能の概要
特徴
動作
制限事項
詳細情報
Unisphere の SSL
(X.509)証明書
Unisphere は、ユーザーの
Web ブラウザと VNX for File
の Apache Web サーバ間の接
続を保護するために、SSL に
よる暗号化と認証機能をサ
ポートしています。SSL で
は、サーバの識別と認証にデ
ジタル証明書(信頼性は CA
により検証される)が使用さ
れます。
Celerra Manager の場合、
Control Station が限定用途の
CA として機能し、Apache
Web サーバから提供される証
明書への署名を行います。
この機能を構成する方法につい
ては、「VNX for File 管理アプリ
ケーションのインストール」を
参照してください。
CA 証明書とその証明書に
よって署名された新しい
Apache 証明書が存在しない
場合、これらの証明書は VNX
for File ソフトウェアによって
システムのインストール時ま
たはソフトウェアのアップグ
レード時に自動的に生成され
ます。
VNX のホスト名を変更した場
合、Control Station の CA と
Apache の証明書を再生成する
必要があります。新しい CA
証明書を生成すると、対応す
る Apache 証明書も生成され
ます。
VNX のドメイン名または IP
アドレスのみを変更した場合
は、Apache Web サーバの証
明書のみを再生成できます。
ホワイト ペーパー「Using EMC
Unisphere in a Web Browsing
Environment:Browser and
Security settings to Improve the
Experience」(EMC オンライン
サポート Web サイトで使用可
能)には、証明書をインストー
ルする方法と理由に関する情報
が記載されています。
証明書を再生成したら、前の
証明書を使用していたブラウ
ザまたはシステムで新しい証
明書のインストールが必要に
なります。
Control Station プロパティを
変更するには、ユーザーが
root である必要があります。
注:「VNX リリース ノート」
には、Unisphere に root とし
てログインする方法が説明し
てあります。
LDAP SSL を使用した
ネットワークの暗号化と
認証
14/94 リリース 7.0
VNX for File では、Control
Station と LDAP ベースの
ディレクトリ サーバ間の
LDAP 接続に対して、SSL に
よる暗号化と認証がサポート
されています。
VNX for File と LDAP ベースの
ディレクトリ サーバ間の対話の
仕組みについては、19 ページの
「ユーザーの識別と認証に外部
LDAP ベースのディレクトリ
サーバを使用する場合のプラン
ニングに関する考慮事項」を、
また、この機能を構成する方法
については、26 ページの「ユー
ザーの識別と認証に外部 LDAP
ベースのディレクトリ サーバを
使用する場合の構成」を参照し
てください。
VNX™ for File のセキュリティ構成ガイド
表5
Data Mover のインフラストラクチャ保護機能の概要 (1 / 3ページ)
特徴
動作
制限事項
詳細情報
ネットワーク サービス
管理
Data Mover では、Control
Station の一部のネットワーク
サービス(および関連する通
信ポートとプロトコル)の現
在の状態を一覧表示できます。
これらのサービスの有効化、
無効化、監視を行うことがで
きます。VNX for File のセキュ
リティを向上させるためには、
現在の環境で使用されていな
いネットワーク サービス
(例:FTP)を無効化して、
VNX for File へのアクセスを制
限する必要があります。
Data Mover で実行されている
一部のサービスについては、
変更を適用するために再起動
が必要になります。
Unisphere からネットワーク
サービスを管理するには、
[設定]>[ネットワーク]>
[ファイルの設定]>[ネット
ワーク サービス]を選択します。
この機能については、Unisphere
のオンライン ヘルプを参照して
ください。
CIFS Kerberos 認証
CIFS Kerberos にん
しょう
Windows 環境では Kerberos
認証方法が推奨されるため、
NTLM 認証を無効化する場合
があります (VNX for File で
は、デフォルトで Kerberos 認
証と NTLM 認証の両方が許可
されています)。
この設定を攻勢する方法につい
ては、server_cifs マニュアル
ページを参照してください。認
証については、「VNX CIFS の構
成と管理」を参照してください。
CIFS サーバ認証モードを
Kerberos のみに設定するに
は、コマンド「server_cifs
movername -add
compname=comp_name,
domain=full_domain_name,
authentication=kerberos」を
使用します。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
15/94
表5
Data Mover のインフラストラクチャ保護機能の概要 (2 / 3ページ)
特徴
動作
制限事項
詳細情報
NFS セキュリティ設定
一般的に、NTF ファイル共有
プロトコルは脆弱性があると
考えられていますが、次の構
成設定を使用して NFS のセ
キュリティを向上させること
ができます。
• 一部(またはすべて)のホ
ストに対して読み取り専用
アクセスを定義する
• 特定のシステムまたはサブ
ネットへの root アクセスを
制限する
• そのエントリーに対応する
ファイル システムにマウン
トする権利をクライアント
が所有していない場合は、
エクスポートおよびマウン
ト情報を非表示にする
また、強力な認証が必要な場
合は、Kerberos を使用する
Secure NFS を構成できます。
これらの設定については、
デフォルトでは、NFS エクス
ポートはすべて表示されます。 「VNX NFS の構成」を参照し
てください。
NFS エクスポートを非表示に
するには、
forceFullShowmount パラメー
タの値を変更する必要があり
ます。
アクセス ポリシー
VNX for FIle のカスタマイズ
可能な一連のアクセス モード
により、現在の環境に合わせ
て、NFS と CIFS アクセス間
の最適な対話を選択できるよ
うになります。
NFSv4 を使用している場合、
混在アクセス ポリシーが必要
になります。
この機能を構成する方法につい
ては、「VNX でのマルチプロトコ
ル環境の管理」を参照してくだ
さい。
セキュリティ属性を保持する
方法、および NFS と CIFS
ユーザー間の対話のタイプを
選択できます。対話のタイプ
には、次のものがあります。
• 分離
• CIFS 優先
• NFS 優先
• 等号
• 混在(2 種類のプロトコル
の間で高レベルの同期を実
現するために使用)
UNIX ユーザーに対する
VNX for File では、一般的な
Windows スタイル(NT) Windows スタイル(NT)の
の認証情報
認証情報を作成できます。そ
のため、ユーザーはファイル
アクセス プロトコルに関係な
く同じ認証情報を持つことに
なり、アクセス コントロール
の一貫性が確保されます。
16/94 リリース 7.0
この機能を構成する方法につい
ては、「VNX でのマルチプロトコ
ル環境の管理」を参照してくだ
さい。
VNX™ for File のセキュリティ構成ガイド
表5
Data Mover のインフラストラクチャ保護機能の概要 (3 / 3ページ)
特徴
動作
制限事項
詳細情報
SNMP 管理 SNMP
かんり
SNMP コミュニティ文字列
は、SNMP でのセキュリティ
の基礎となります。デフォル
トのコミュニティ名は public
であり、この名前はよく知ら
れています。VNX for File への
不要なアクセスを防止するに
は、この名前を変更する必要
があります。
SNMP は Control Station と
Data Mover 間の通信に使用さ
れるため、無効にすると、一
部の機能に支障が発生するこ
とがあります。たとえば、
server_netstat コマンドが動作
しなくなります。
この機能を構成する方法につい
ては、「VNX for File イベントと
通知の構成」を参照してくだ
さい。
server_snmp -community コマ
ンドを使用して、Data Mover
のサーバ SNMP エージェント
のコミュニティに新しい値を
割り当てます。
IP Packet Reflect
IP Packet Reflect を使用する
と、より高いレベルのセキュ
リティをネットワークに提供
できます。応答パケットは常
にリクエスト パケットと同じ
インタフェースから送信され
るため、リクエスト パケット
を使用して間接的に他の LAN
にトラフィックを集中させる
ことはできません。ネット
ワーク デバイスが 2 個存在
し、一方のデバイスはイン
ターネットに接続され、もう
一方のデバイスはイントラ
ネットに接続されている場合、
インターネット リクエストに
対する応答はイントラネット
には表示されません。また、
VNX for File で使用される内部
ネットワークは、外部ネット
ワークのいかなるパケットか
らも影響を受けません。
VNX™ for File のセキュリティ構成ガイド
この機能を構成する方法につい
ては、「VNX ネットワークの構成
と管理」を参照してください。
リリース 7.0
17/94
表6
Data Mover のデータ保護機能の概要
特徴
動作
制限事項
詳細情報
SSL を使用したネット
ワークの暗号化と認証
VNX for File では、Data
Mover と各種外部サービス間
の LDAP 接続および HTTP 接
続の両方に対して、SSL によ
る暗号化と認証がサポートさ
れています。
Data Mover 接続の SSL は、
CLI からのみ構成および管理
できます。
この機能に関連するパラメータ
の構成方法については、36 ペー
ジの「SSL プロトコルを使用し
たネットワークの暗号化と認証
の構成」を参照してください。
PKI フレームワークは、SSL
が有効化された Data Mover
の LDAP 接続と HTTP 接続に
対して、デジタル証明書を利
用することをサポートするソ
フトウェア管理システムと
データベース システムを提供
します。
VNX for File PKI フレームワー
クでは、X.509 公開鍵証明書
のみがサポートされています。
公開鍵証明書
こられの機能の SSL の構成と管
理については、「VNX ネーム
サービスの構成」および「VNX
FileMover の使用方法」を参照し
てください。
この機能の概念については、23
ページの「公開鍵基盤のプラン
ニングに関する考慮事項」を参
照してください。
CLI を使用して、この機能を構成
し、管理する方法については、
39 ページの「PKI の構成」およ
び 53 ページの「PKI の管理」を
参照してください。
Unisphere から PKI を構成、管
理するには、[設定]>[セキュ
リティ]>[ファイルのサーバ
証明書]を選択します。この機
能については、Unisphere のオン
ライン ヘルプを参照してくだ
さい。
18/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
ユーザーの識別と認証に外部 LDAP ベースのディレクトリ サー
バを使用する場合のプランニングに関する考慮事項
ユーザー アカウントは、そのユーザーが VNX Control Station にログインすると
き、外部ディレクトリ サーバで識別および認証できます。外部ディレクトリ サー
バはユーザー アカウントの集中リポジトリとして機能し、これにより、管理が簡
素化されます。
外部ディレクトリ サーバには、LDAP ベースの Active Directory サーバまたは非
Active Directory サーバを使用できます。
◆
Active Directory は、Windows で使用されている LDAP ベースのディレクトリ
サービスであり、ユーザー アカウントとグループ アカウント、セキュリティ、
分散リソースを管理します。
◆
OpenLDAP と iPlanet(Sun Java System Directory Server および Sun ONE
Directory Server としても知られる)は、LDAP ベースの分散ディレクトリ
サーバであり、ID プロファイル、アクセス権限、アプリケーションとネット
ワークのリソース情報を格納して管理するためのセントラル リポジトリを提
供します。
ディレクトリ サーバについて
LDAP ベースのディレクトリ サーバでは、特定組織のニーズに固有の階層ディレ
クトリ構造で情報が整理されます。ディレクトリに格納された各オブジェクトは、
ディレクトリ エントリーで表されます。エントリーは、1 個以上の属性で形成さ
れます。エントリーは、ディレクトリ ツリーに階層的に格納されます。各エント
リーは、ツリー内のこのエントリーの位置を列挙した DN(識別名)により一意
に定義されます。たとえば、管理者グループの識別名は
「cn=admin,ou=group,dc=mycompany,dc=com」です。LDAP を使用すると、エン
トリーに対するクエリーを実行したり、要求エントリーの下位にあるすべてのエ
ントリーとその属性を要求したりすることができます。
LDAP ベースのディレクトリ構造の例を次に示します。
dc=mycompany,dc=com
ou=people
ou=group
ou=hosts
ou=netgroup
dc= はドメイン コンポーネント、ou= は組織単位(人、グループ、ホスト、ネッ
トグループで構成される)を示します。通常、特定のエントリーの一般的に知ら
れている名前を示す場合は、cn 属性を使用します。ディレクトリ構造は変更可能
です。カスタム クライアント構成プロファイルまたは構成ファイルをアップロー
ドすることにより、Data Mover に組織のディレクトリ構造を知らせることができ
ます。たとえば、組織のユーザー情報を people ではなく users というコンテナに
格納し、ホストを hosts ではなく computers というコンテナに格納することもで
きます。同じオブジェクト クラスに対して複数のコンテナを定義することもでき
ます。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
19/94
アクセスの構成
Control Station の LDAP ベースのクライアントを構成するには、次の情報が必要
になります。
◆
ドメイン名:LDAP ディレクトリ ツリーのルート(つまり、LDAP ディレクト
リ ツリー内で情報の検索が開始される場所)を示します。基本識別名とも呼
ばれます。
たとえば、例に挙げた LDAP ベースのディレクトリ構造では、基本識別名は
dc=mycompany,dc=com です。Active Directory では属性のタイプは dc と想定
されるため、基本識別名は単純に mycompany.com と表現できます。
注: VNX for File では 1 つの LDAP ドメインのみがサポートされる。ツリーまたは
フォレストはサポートされていません。したがって、他のドメインに対する参照は行
われません。
◆
バインド識別名:LDAP サービスにバインドするために使用される ID(つま
り、定義された検索ベース内で LDAP ディレクトリの検索が許可されたユー
ザーまたはアカウント)を示します。
通常、Active Directory では、cn=<acctname>,cn=users,dc=<domain
component>,dc=<domain component> の形式のバインド識別名が想定され
ます。
注: Active Directory の管理者は、Active Directory 内の他の場所でユーザーを作成でき
ます。その場合、バインド識別名のパスが異なることがあります。
OpenLDAP ディレクトリ サーバは、
cn=<acctname>,uid=<name>,ou=people,dc=<domain
component>,dc=<domain component> または
uid=<name>,dc=users,dc=<domain component>,dc=<domain component> な
ど、さまざまなバインド識別名形式を受け入れます。
◆
ユーザー検索パスと名前属性:値がユーザーのアカウント名である名前属性の
インスタンスを検索する場合に VNX for File が使用するディレクトリ分岐を示
します。
通常、Active Directory は、ユーザー検索パスと名前属性は
cn=<acctname>,cn=users,dc=<domain component>,dc=<domain component>
の形式で書かれていることを前提にしています。
注: Active Directory の管理者は、Active Directory 内の他の場所でユーザーを作成でき
ます。この場合は、ユーザー検索パスが異なることがあります。
OpenLDAP ディレクトリ サーバは、uid=<name>,ou=people,dc=<domain
component>,dc=<domain component> または
uid=<name>,dc=users,dc=<domain component>,dc=<domain component> な
ど、さまざまなバインド識別名形式を受け入れます。
20/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
◆
グループ検索パス、名前属性、グループ クラス、メンバー:値がユーザーの
グループ名である属性のインスタンスを検索する場合に VNX for File が使用す
るディレクトリ分岐を示します。グループが格納されているクラスとそのクラ
ス属性を識別すると、グループをより詳細に指定できます。
通常、Active Directory は、ユーザー検索パスと名前属性は
cn=<acctname>,cn=users,dc=<domain component>,dc=<domain component>
の形式で書かれていることを前提にしています。Active Directory では、グ
ループとユーザーは同じ階層に格納されます。グループ クラスはグループと
呼ばれ、デフォルトの属性値は member になります。
注: Active Directory の管理者は、Active Directory 内の他の場所でグループを作成でき
ます。この場合は、グループ検索パスが異なることがあります。
他のディレクトリ サーバでは、クラスは posixGroup、groupOfNames、また
は groupOfUniqueNames になります。グループ クラスの値が
groupOfUniqueNames の場合、デフォルトの属性値は uniqueMember になり
ます。グループ クラスの値が groupOfNames の場合、デフォルトの属性値は
member になります。グループ クラスの値が posixGroup の場合、デフォルト
の属性値は memberUid になります。
SSL を使用したディレクトリ サーバへの接続
LDAP トラフィックを保護し、クライアントとサーバ アプリケーションのセキュ
リティを向上させるため、LDAP ベースのディレクトリ サーバでは SSL の利用を
サポートできるようになっています。場合によっては、SSL を利用することが必
要となります。SSL では暗号化と認証機能が提供される。ネットワーク上でデー
タが暗号化され、メッセージとサーバ認証が提供される。サーバから要求された
場合、クライアント認証もサポートします。SSL では、デジタル証明書(信頼性
は CA により検証される)が使用されます。
LDAP クライアントでは、SSL クライアントを基盤として、LDAP ベースのディ
レクトリ サーバから受信した証明書を認証します。証明書の検証の成功条件とし
て、CA 証明書(ディレクトリ サーバの証明書に署名を行った CA からの証明書)
が Control Station にインポートされている必要があります。また、サーバの証明
書のタイトルに、サーバのホスト名または IP アドレスが含まれている必要があり
ます。含まれていない場合は、証明書の検証は失敗します。
注: Control Station の LDAP ベースのクライアント実装では、SSL ベースのクライアント
認証はサポートされていません。
この機能の構成方法については、26 ページの「ユーザーの識別と認証に外部
LDAP ベースのディレクトリ サーバを使用する場合の構成」を参照してください。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
21/94
パスワード セキュリティのプランニングに関する考慮事項
強力なパスワードは、セキュリティ戦略の重要な要素となります。
パスワード品質ポリシー
すべての VNX for File のローカル ユーザーに十分強力なパスワードを確実に使用
させるため、ユーザー定義のパスワードに一定の複雑性を適用するパスワード品
質ポリシーを定義できます。この機能は、ドメインにマップされているユーザー
には適用されません。これらのユーザーのパスワードは、ドメイン内のポリシー
で管理されます。
デフォルトのパスワード ポリシーには、次の要件があります。
◆
パスワードは 8 文字以上にする
◆
許容される新しいパスワードを 3 回以内に定義しないと、コマンドが失敗する
◆
前のパスワードで使用されていない文字を 3 文字以上含める
◆
新しいパスワードには 1 文字以上の数字を含める
注: 現在、パスワードでの特殊文字(!、@、#、$、%、&、^、*)や大文字 / 小文字の使
用に関する要件はありません。
VNX for File でのデフォルトのパスワード有効期限は 120 日です。
この機能の構成方法については、29 ページの「パスワード ポリシーの構成」を参
照してください。
注: パスワード品質ポリシーを変更した場合、その変更はポリシーの改訂後に定義された
パスワードにのみ適用されます。
デフォルトのパスワードの変更
VNX for File では、デフォルトで 2 とおりのローカル ユーザー アカウントが提供
されます。ユーザー アカウントを利用できます。これらのアカウントには、両方
ともデフォルトでパスワード nasadmin が割り当てられます。ソフトウェアのイ
ンストール手順において別のパスワードを入力することもできますが、必ずしも
ここで新しいパスワードを入力する必要はありません。
!
!
注意
インストール時にデフォルトのパスワードを変更していない場合は、できるだけ早く変更
してください。
パスワードは、Unisphere の[ユーザー プロパティ]ダイアログで指定および変
更します。この手順の詳細については、Unisphere のオンライン ヘルプを参照し
てください。
注:[ユーザー プロパティ]ページには、[設定]>[ユーザー管理]>[ユーザー]また
は[Control Station のプロパティ]の[ユーザー名]フィールドからアクセスできます。
22/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
root ユーザーと security operator の権限を持つユーザーは、パスワード ポリシー
に準拠したパスワードを指定する必要はありません。また、新しいユーザー アカ
ウントを作成するとき、root ユーザーと security operator の権限を持つユーザー
は、そのユーザーに任意のパスワードを割り当てることができます。
ただし、その後でユーザーが自身のパスワードを変更する場合、そのパスワード
は現在のパスワード ポリシーに従います。パスワード ポリシーが設定されている
場合、指定されている要件を満たさないパスワードを定義しようとすると、パス
ワードが不適切であることを示すエラーを受け取ります。
公開鍵基盤のプランニングに関する考慮事項
VNX for File の PKI(公開鍵基盤)は、SSL が有効な Data Mover LDAP および
HTTP 接続にデジタル証明書を使用できるようにする、ソフトウェア管理システ
ムとデータベース システムを実現します。SSL では、接続の一端または両端を識
別するために、CA(認証局)によって信頼性が検証された証明書が使用されま
す。これにより、クライアントとサーバ間のセキュリティが強化されます。
注: VNX for File の PKI フレームワークは、X.509 証明書規格をサポートします。証明書
は、DER(Distinguished Encoding Rules)を使用してエンコードされます。また、メー
ル システム経由で容易に配布できるように、さらに PEM(Privacy Enhanced Mail)形式
でエンコードすることもできます。
ペルソナ
ペルソナは、Data Mover がサーバまたはクライアントとして動作する場合に、そ
の ID を指定するために使用されます。クライアントとの間のセキュリティ保護さ
れた接続をネゴシエートする場合(外部ポリシーと FileMover で使用される移行
ソフトウェアなど)、ペルソナは、Data Mover(サーバとして動作)に対して秘密
鍵および証明書を指定します。この証明書により、クライアントはサーバを識別
し、認証することができます。クライアント認証を要求するように構成された
サーバとのセキュリティで保護された接続をネゴシエートする場合、ペルソナは、
Data Mover(クライアントとして動作)に対して秘密鍵および証明書を指定しま
す。この証明書により、サーバはクライアントを識別し、認証できます。
デフォルトでは、各 Data Mover は default という 1 個のペルソナで構成されま
す。ペルソナが Data Mover に対して指定する証明書を作成するには、まずペルソ
ナの公開鍵 / 秘密鍵のセットを生成します。次に、CA による署名済み証明書を要
求する必要があります。証明書要求は、PEM(Privacy Enhanced Mail)形式での
み生成されます。
注: 現在は、それぞれの Data Mover には 1 個のペルソナのみが許可されます。VNX for
File では、追加のペルソナを作成するメカニズムはサポートされません。
Control Station を CA として使用している場合、Control Station では、証明書要求
を自動的に受け取り、証明書を生成および署名して Data Mover に返します。
Control Station では、キャビネット内のすべての Data Mover の証明書に署名でき
ます。これを使用して、外部ホストの証明書に署名することはできません。
Control Station CA を使用したタスクについては、 39 ページの「CA としての
Control Station の使用」を参照してください。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
23/94
外部 CA を使用している場合、証明書要求を手動で送信する必要があります。公
開鍵に対する署名要求は、公開鍵 / 秘密鍵のセットとともに生成されます。その
内容を検証するには、ペルソナのプロパティを表示します 証明書要求のコピーを
取得してから、当該機関の Web サイトまたはメール経由で CA に要求を送信し
ます。
CA から署名済み証明書が返されたら、それを Data Mover にインポートする必要
があります。署名済み証明書をインポートするには、パスを指定してファイルを
インポートするか、対応するテキストをカット アンド ペーストします。ファイル
は、DER(Distinguished Encoding Rules)形式でも PEM 形式でもかまいません。
PEM 形式の場合のみ、テキストをカット アンド ペーストできます。
各ペルソナは、最大で 2 個の鍵と証明書のセット(現在と次回)に関連づけるこ
とができます。これにより、現在の証明書の有効期限が切れる前に、新しい鍵と
証明書を生成できます。次回の証明書(すでに有効)をインポートすると、その
証明書および対応する鍵のセットが、即座に現在の鍵セットおよび証明書となり
ます。
通常、次回の証明書は必要になった場合に生成されるため、ペルソナに関連づけ
られた次回の証明書を確認することはありません。ただし、Data Mover と CA
(または CA として動作している Control Station)の間で時間差がある場合、次回
の証明書が待機状態になっている場合があります。たとえば、CA が証明書に将来
の開始日を割り当てることで、証明書が事前に準備される場合があります。合併
により吸収される会社などは、そのような証明書が正式な合併日に配備されるよ
うに設定する場合があります。
次回の証明書が有効になり(Data Mover 時間ごと)
、以下のいずれかが行われた
場合、次回の証明書が現在の証明書になります(現在の鍵と証明書は削除され
ます)。
◆
ペルソナに対するクエリーが(CLI または Unisphere から)実行される。
◆
ペルソナの鍵と証明書が Data Mover の機能(SSL など)によって要求される。
証明書の有効期限が切れると、その証明書を使用しようとしても失敗します(通
常、接続が失われるか、再接続できません)
。新しい証明書が利用可能になると、
それが要求された場合に PKI で古い証明書が削除され、新しい証明書が作成され
ます。ただし、現在の証明書の有効期限が切れる前に新しい証明書を取得してお
かないと、証明書要求は失敗します。PKI は、ペルソナに対して有効期限が切れ
た証明書は提供しません。
有効期限が切れた公開鍵証明書を自動的に確認する方法はありません。ペルソナ
をリストし、対応する証明書の有効期限が切れる日付を確認することで、有効期
限が切れた証明書を手動で確認する必要があります。その後、組織のビジネス プ
ラクティスに基づいて対処します。
39 ページの「ペルソナによって提供される証明書の作成」では、VNX for File が
サーバまたはクライアントとして構成されている場合に、ペルソナから Data
Mover に対して指定される鍵セットと証明書を作成する手順が概説されています。
24/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
CA(認証局)の証明書
VNX for File ベースのクライアント アプリケーションがサーバとのネットワーク
接続(そのセカンダリ ストレージとの FileMover 接続など)を要求する場合、
サーバは、セキュリティ保護された接続のネゴシエーションの一部として証明書
を指定します。クライアント アプリケーションは、証明書を検証することで、
サーバの ID を確認します。サーバ証明書の署名と CA 証明書の公開鍵を検証し
て、この確認を行います。
必要な CA 証明書の取得は、手動で行います。通常、実際の操作を行う前に、該
当する CA を識別する必要があります。次に、利用可能な CA 証明書のリストを
確認します。新しい CA 証明書が必要であり、外部 CA が使用されている場合、
当該機関の Web サイトまたはセキュリティ担当者から CA 証明書を取得できま
す。CA がローカルである場合(エンタープライズ レベルまたは組織内)
、CA を
管理する担当者から CA 証明書を取得します。
CA 証明書をシステムに認識させるには、インポートする必要があります。パスを
指定してファイルをインポートするか、対応するテキストをカット アンド ペース
トします。ファイルは DER 形式または PEM 形式になります。PEM 形式の場合
のみ、テキストをカット アンド ペーストできます。
39 ページの「CA 証明書の取得」では、サーバ ID の確認に使用される証明書を取
得する手順について説明しています。
CA としての Control Station の使用
システムがインストールまたはアップグレードされると、システム ソフトウェア
は、Control Station の鍵セットと証明書を自動的に生成します。Control Station
は、この鍵セットと証明書を使用して、Data Mover からの証明書要求に署名しま
す。ただし、Control Station を CA として正常に動作させ、Data Mover にそれを
CA と認識させるには、いくつかの構成タスクを実行する必要があります。
◆
Control Station CA 証明書をネットワーク クライアントに配布します。ネット
ワーク クライアントが、Data Mover から送信される Control Station により署
名済みの証明書を検証するには、クライアントは Data Mover 証明書の署名を
検証するための CA 証明書の公開鍵を保持している必要があります。
◆
CA 証明書を(外部の CA からの CA 証明書とともに)インポートします。
39 ページの「CA としての Control Station の使用」で説明されているように、
Control Station 証明書のコピーは、CLI コマンド nas_ca_certificate を使用するこ
とでのみ取得できます。
Control Station の鍵セットおよび証明書に問題が発生した場合は、再生成できま
す。このタスクは、CLI コマンド nas_ca_certificate によってのみ実行できます。
Control Station の鍵セットと証明書を再生成した後、新しい鍵セットと証明書の
要求を再生成し、証明書が Control Station によって署名されるペルソナについて
署名済み証明書をインポートする必要があります。
注: Control Station は、Apache Web サーバ(Unisphere の代わり)とユーザーの Web ブ
ラウザの間の SSL ベース接続について個別の鍵セットを継続して生成します。ただし、
現在 Control Station は、CA の鍵セットを使用して Apache Web サーバの証明書に署名し
ます(現在、証明書は自己署名ではありません)。Unisphere の証明書を管理する方法につ
いては、「VNX for File 管理アプリケーションのインストール」を参照してください。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
25/94
ユーザーの識別と認証に外部 LDAP ベースのディレク
トリ サーバを使用する場合の構成
外部 LDAP ベースのディレクトリ サーバはユーザー アカウントの集中リポジトリ
として機能し、これにより管理が簡素化されます。概要については、 19 ページの
「ユーザーの識別と認証に外部 LDAP ベースのディレクトリ サーバを使用する場
合のプランニングに関する考慮事項」を参照してください。
ユーザーがログインする前に、いくつかの基本的な構成タスクを実行する必要が
あります。
ステップ アクション
1.
VNX for File の通信先となる LDAP ベースのディレクトリ サーバを特定します。
注:通常、VNX for File を使用している企業では、すでに LDAP ベースのディレクトリ
サーバを使用してユーザーの認証情報を格納しています。この場合は、Active Directory
または他の LDAP ベースのディレクトリ サーバの管理者に問い合わせて、接続情報を取
得してください。それ以外の場合は、利用可能な Active Directory または他の LDAP ベー
スのディレクトリ サーバについて学習し、必要な接続情報を調べる必要があります。
LDAP ベースのディレクトリ サービスは、いくつかのツールを使用して管理できます。こ
れらのツールについては、 77 ページの「付録 C:LDAP ベースのディレクトリ サーバ構
成について」を参照してください。
2.
次の情報を取得します。
a. LDAP ディレクトリ ツリーのルート(つまり、VNX for File によって LDAP ディレクト
リ ツリー内で情報の検索が開始される場所)の基本識別名。基本識別名は、完全修飾
ドメイン名として表現されることも、X.509 形式で属性 dc= を使用して表現されるこ
ともあります。たとえば、完全修飾ドメイン名が mycompany.com の場合、基本識別
名は dc=mycompany,dc=com として表現されます。
b. LDAP ベースのディレクトリ サーバの IP アドレスまたはホスト名。
c. バックアップ用の LDAP ベースのディレクトリ サーバの IP アドレスまたはホスト名。
26/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
ステップ アクション
3.
ディレクトリ サーバの管理者に対して、LDAP ベースのサーバのディレクトリ構造に、
VNX for File の ID として使用するユーザーまたはアカウント名を追加するように依頼しま
す。または、Active Directory または他の LDAP ベースのディレクトリ サーバでユーザー
アカウントとグループ アカウントを作成する権限がある場合は、このユーザーまたはア
カウント名を自身で追加します。
このアカウントは、ディレクトリに対する読み取りと検索権限を持つ制限付きのユーザー
アカウント(ドメイン ゲスト アカウントなど)にする必要があります。
注:LDAP ベースのディレクトリ サービスは、いくつかのツールを使用して管理できま
す。これらのツールについては、 77 ページの「付録 C:LDAP ベースのディレクトリ
サーバ構成について」を参照してください。
このエントリーにより、VNX for File がユーザーまたはアカウントとして見なされ、ディ
レクトリ サービスにバインドされます。つまり、このユーザーまたはアカウントは、定
義された検索ベース内で LDAP ディレクトリの検索が許可されます。このエントリーはバ
インド識別名とも呼ばれます。
たとえば、Active Directory を使用する場合、バインド識別名を次のように定義します。
cn=<acctname>,cn=users,dc=<domain component>,dc=<domain component>
and, when using an OpenLDAP directory server,
uid=<name>,dc=users,dc=<domain component>,dc=<domain component> or
cn=<acctname>,uid=<name>,ou=people,dc=<domain component>,dc=<domain
component>
4.
Control Station にログインする管理ユーザー(およびその関連グループ)が LDAP ベース
のディレクトリ サーバで定義されていることを確認し、VNX for File で値がユーザーまた
はグループ名である名前属性のインスタンスを検索する場合に使用されるパスを特定し
ます。
ユーザー アカウントとグループ アカウントがまだ存在しない場合は、ディレクトリ サー
バの管理者に対して、アカウントを追加するように依頼してください。または、Active
Directory または他の LDAP ベースのディレクトリ サーバでユーザー アカウントとグルー
プ アカウントを作成する権限がある場合は、これらのアカウントを自身で追加してくだ
さい。
注:LDAP ベースのディレクトリ サービスは、いくつかのツールを使用して管理できま
す。これらのツールについては、 77 ページの「付録 C:LDAP ベースのディレクトリ
サーバ構成について」を参照してください。
たとえば、ユーザーとグループが、users という共通名を持つ組織単位に格納されている
場合、検索パスは cn=users,dc=<domain component>,dc=<domain component> になり
ます。
5.
LDAP 接続で SSL を使用する場合は、LDAP ベースのディレクトリ サーバの SSL サーバ
証明書に署名する CA から公開証明書を取得します。VNX for File は、この CA 証明書を
使用して、LDAP サーバから受信した証明書を確認します。証明書は Base64 エンコード
形式にする必要があります。
LDAP ベースのディレクトリ サーバで外部の CA を使用する場合は、CA 会社の Web サ
イトから CA 証明書を取得します。LDAP ベースのディレクトリ サーバで社内の CA を使
用する場合、または証明書の自己署名を利用する場合は、LDAP ベースのディレクトリ
サーバの管理者から CA 証明書を取得します。
SSL を有効にしない場合は、CA 証明書は不要です。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
27/94
ステップ アクション
6.
調べた情報に基づいて、Unisphere にログインし、[設定]>[セキュリティ](セキュリ
ティ タスク)>[ファイル LDAP ドメインの管理]を使用して、LDAP ベースのディレ
クトリ サーバにアクセスできるように Control Station を構成します。
注:VNX for File では、ドメイン ユーザー名とパスワードを使用してシステムにログイン
すると、LDAP ドメイン ユーザーからマップされたファイル ローカル アカウントを自動
的に作成します。あるいは、ドメイン ユーザーにマップされているユーザーを作成し、
このユーザーをドメインにマップされたグループに関連づけます。
これらのタスクの詳細については、Unisphere のオンライン ヘルプを参照してください。
28/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
パスワード ポリシーの構成
この機能は VNX for File の root アドミニストレータが、すべてのローカル ユー
ザーに対するパスワードの複雑性要件を定義できるようにします。概要について
は、 22 ページの「パスワード セキュリティのプランニングに関する考慮事項」を
参照してください。
注: この機能は、ドメインにマップされているユーザーには適用されません。これらの
ユーザーのパスワードは、ドメイン内のポリシーで管理されます。
注: /nas/sbin/nas_config コマンドを実行するには、ユーザーが root である必要があり
ます。
パスワード ポリシーの対話形式での定義
アクション
パスワード ポリシー定義のプロンプトを表示するスクリプトを開始するには、次のコマンド シ
ンタクスを使用します。
# /nas/sbin/nas_config -password
出力
Minimum length for a new password (Between 6 and 15):[8]
Number of attempts to allow before failing:[3]
Number of new characters (not in the old password):[3]
Number of digits that must be in the new password:[1]
Number of special characters that must be in a new password:[0]
Number of lower case characters that must be in password:[0]
Number of upper case characters that must be in password:[0]
注意事項
各フィールドに定義されている現在値は括弧内に表示されます。各フィールドの元のデフォルト
値は次のとおりです。
• 長さ:8 文字以上、範囲 6 ∼ 15
• 試行回数:最大 3 回
• 新しい文字:3 文字以上
• 数字:1 文字以上
• 特殊文字、小文字、大文字:0
各フィールドの値を変更するには、プロンプトが表示されたときに新しい値を入力します。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
29/94
特定のパスワード ポリシー定義の規定
アクション
特定のパスワード ポリシー定義を設定するには、次のコマンド シンタクスを使用します。
# /nas/sbin/nas_config -password [-min <6..15>] [-retries <max_allowed>]
[-newchars <min_num>] [-digits <min_num>] [-spechars <min_num>] [-lcase
<min_num>] [-ucase <min_num>]
各オプションの意味は以下のとおりです。
<6..15> = 新しいパスワードの最小長 デフォルトの長さは 8 文字。6 ∼ 15 文字の長さにする
必要がある。
<max_allowed> = 許容される新しいパスワードを定義できる回数。この試行回数を超えると、
コマンドが失敗する。デフォルト値は 3 回です。
<min_num> = 古いパスワードでは使用されていない文字を新しいパスワードに含める必要のあ
る最小文字数。デフォルト値は 3 文字です。
<min_num> = 新しいパスワードに含める必要のある数字の最小文字数。デフォルト値は 1 文字
です。
<min_num> = 新しいパスワードに含める必要のある特殊文字(!、@、#、$、%、&、^、* な
ど)の最小文字数。デフォルト値は 0。
<min_num> = 新しいパスワードに含める必要のある小文字の最小文字数。デフォルト値は 0。
<min_num> = 新しいパスワードに含める必要のある大文字の最小文字数。デフォルト値は 0。
例:
新しいパスワードの最小長を 10 文字に設定するには、次のように入力します。
# /nas/sbin/nas_config -password -min 10
出力
#
パスワードの有効期限の設定
/etc/login.def ファイルには、パスワードの有効期限を設定する場合に使用するパ
ラメータが含まれています。
ステップ アクション
1.
ユーザー名とパスワードを入力して CLI にログインします。/etc/login.def ファイルにアク
セスするには、root 権限が必要です。
2.
vi または別のテキスト エディタを使用して、/etc/login.def ファイル内の pass_max_days
パラメータの値を変更します。
注:デフォルトの有効期限は 120 日です。
30/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
セッション タイムアウトの構成
VNX for File では、Unisphere セッションと Control Station シェル セッションの両
方に対して、セッションのタイムアウトを適用します。
◆
Unisphere のセッション タイムアウトを管理するには、
[設定]
(セキュリティ
タスク)>[アイドル タイムアウトの管理]を選択します。詳細については、
Unisphere のオンライン ヘルプを参照してください。
◆
コマンド /nas/sbin/nas_config -sessiontimeout を使用して、Control Station セッ
ションのタイムアウトのデフォルト値を変更できます。
注: /nas/sbin/nas_config コマンドを実行するには、ユーザーが root である必要があ
ります。
前提条件
Control Station では、次の 3 種類のシェルがサポートされています。
◆
bash
◆
ksh
◆
tcsh
各シェルでは、セッションのタイムアウト機能がサポートされています。Control
Station セッションのタイムアウト オプションでは、システム全体のセッション
タイムアウト値を設定します。これにより、bash シェルと ksh シェルについては
/etc/environment の該当する値、tcsh シェルについては /etc/csh.cshrc の
autologout 変数が自動的に更新されます。
値を設定すると、新しく作成されたシェルに適用されます(現在実行されている
シェルには適用されません)。
注: 個々のユーザーのセッション タイムアウト値を変更するには、ユーザーのシェル構成
ファイル(例:~/.bashrc)で該当する変数を設定します。構成ファイルを直接編集する場
合、値の制限はありません。
セッション タイムアウト値の変更
Control Station シェル セッションのデフォルトのセッション タイムアウト値は 60
分です。非アクティブ時間またはアイドル時間は、プライマリ シェル プロンプト
が表示され、入力の受信がなくなってから経過した時間として定義されます。し
たがって、コマンドのプロンプトで若干の不定時間を待機する場合は、セッショ
ン タイムアウト値の影響を受けません。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
31/94
アクション
セッション タイムアウト値を変更するには、次のコマンド シンタクスを使用します。
# /nas/sbin/nas_config -sessiontimeout <minutes>
ここで:
<minutes> = セッションがタイムアウトするまでの時間(5 ∼ 240 分の分単位で指定)
例:
セッション タイムアウト値を 200 分に変更するには、次のように入力します。
# /nas/sbin/nas_config -sessiontimeout 200
出力
#
セッション タイムアウトの無効化
アクション
セッション タイムアウトを無効化するには、次のコマンド シンタクスを使用します。
# /nas/sbin/nas_config -sessiontimeout 0
または
# /nas/sbin/nas_config -sessiontimeout off
出力
#
32/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
ログイン バナーのカスタマイズ
/etc/issue ファイルには、ログイン プロンプトの前に表示されるログイン バナー
メッセージまたはシステム ID が含まれています。ログイン バナーは任意の情報
提供用に使用できますが、大半の場合はユーザーにシステムの不正な使用または
不適切な使用について警告するために使用します。
ステップ アクション
1.
ユーザー名とパスワードを入力して CLI にログインします。/etc/issue ファイルにアクセ
スするには、root 権限が必要です。
2.
vi または別のテキスト エディタを使用して、/etc/issue ファイルを編集します。
EMC では、バナー メッセージの末尾に特別なキャリッジ リターンを追加することを推奨
しています。
スペース、タブ、キャリッジ リターンを使用して、メッセージの形式を整えます。一般
的に、メッセージのサイズは 1 画面に収まるようにする必要があります。
注:ログイン バナーはログイン プロンプトとともに表示されるため、バナー メッセージ
には機密情報を含めないでください。
3.
CLI または Unisphere にログインしてログイン バナーを表示し、変更を確認します。
注: ログイン バナーは、[システム](システム管理 タスク)>[Control Station のプロ
パティ]を使用してカスタマイズすることもできます。[ログイン バナー]フィールドに
アクセスするには、root 権限が必要です。「VNX リリース ノート」には、Unisphere に
root としてログインする方法が説明してあります。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
33/94
今日のメッセージの作成
ユーザーが正常にログインすると、今日のメッセージ(/etc/motd ファイル)が表
示されます。今日のメッセージは情報提供用に任意で使用できますが、すべての
ユーザーに影響のあるメッセージを送信する場合に特に便利です。このメッセー
ジには、サーバのアップグレードに関する情報や今後のシステム シャットダウン
に関するアラートを含めることができます。デフォルトでは、このファイルは空
です。
ステップ アクション
1.
ユーザー名とパスワードを入力して CLI にログインします。/etc/motd ファイルにアクセ
スするには、root 権限が必要です。
2.
vi または別のテキスト エディタを使用して、/etc/motd ファイルを編集します。
EMC では、バナー メッセージの末尾に特別なキャリッジ リターンを追加することを推奨
しています。
スペース、タブ、キャリッジ リターンを使用して、メッセージの形式を整えます。一般
的に、メッセージのサイズは 1 画面に収まるようにする必要があります。
3.
34/94 リリース 7.0
CLI にログインして MOTD を表示し、変更を確認します。
VNX™ for File のセキュリティ構成ガイド
セッション トークンの保護
ユーザーと Unisphere 間の接続、および 2 つの VNX for File システム間の接続で
は、SHA1 を使用してチェックサムを生成することで、ログインしたユーザーを
識別するためのセッション トークン(Cookie)を保護します。チェックサムを生
成するために使用される SHA1 秘密値は、インストール時にランダムに設定され
ます。ただし、セキュリティを強化するために、デフォルトの SHA1 秘密値を変
更できるようになっています。
ステップ アクション
1.
ユーザー名とパスワードを入力して CLI にログインします。/nas/http/conf/secret.txt ファ
イルにアクセスするには、root 権限が必要です。
2.
vi または別のテキスト エディタを使用して、/nas/http/conf/secret.txt ファイルを編集し
ます。
デフォルトのフレーズを新しい値で置き換え、ファイルを保存します。
この値を変更すると、既存のセッション トークンは有効でなくなり、現在のユーザーは
ログインし直す必要があります。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
35/94
SSL プロトコルを使用したネットワークの暗号化と認証
の構成
SSL(Secure Socket Layer)は、インターネット上のネットワーク転送を暗号化
するために使用されるセッション レベル プロトコルです。データを暗号化し、
メッセージとサーバの認証を行います。サーバから要求された場合、クライアン
ト認証もサポートします。SSL は上位レベルのプロトコルから独立しているため、
HTTP や LDAP などの任意のアプリケーション レベル プロトコルをカプセル化で
きます。
◆
HTTP(Hypertext Transfer Protocol)は、Web 上で使用される、高速でステー
タスや情報を持たないオブジェクト指向のプロトコルです。このプロトコルに
より、Web クライアントとサーバでネゴシエーションや対話が可能になりま
す。残念ながら、セキュリティ機能はほとんど備わっていません。HTTPS
(Secure)は、SSL を有効にしたサーバで使用される HTTP の一種です。
◆
LDAP(Lightweight Directory Access Protocol)は、TCP/IP を使用して直接実
行される業界標準のアクセス プロトコルです。Active Directory や他のディレ
クトリ サーバ(Sun Java System Directory Server(iPlanet)や OpenLDAP な
ど)のプライマリ アクセス プロトコルとなっています。
VNX for File では、Data Mover の HTTP 接続と LDAP 接続に対して SSL がサポー
トされています。
HTTPS の使用
Data Mover の HTTP 接続で SSL を有効にするには、server_http コマンドを使用
します。現在、VNX for File の FileMover 機能では、HTTPS および SSL の暗号化
および認証機能を使用しています。FileMover 用に HTTP で SSL を使用するよう
に構成する方法については、「VNX FileMover の使用方法」を参照してください。
SSL で使用される鍵と証明書は、PKI を使用して管理されます。PKI は CLI およ
び Unisphere 経由で使用できます。PKI 機能の概要については、
「 23 ページの
「公開鍵基盤のプランニングに関する考慮事項」
」で説明しています。CLI から
PKI を構成および管理する方法については、39 ページの「PKI の構成」および 53
ページの「PKI の管理」を参照してください。
LDAP SSL の使用
Data Mover の LDAP 接続で SSL を有効にするには、server_ldap コマンドを使用
します。現在、OpenLDAP、iPlanet、Active Directory に対する VNX for File の
ネーム サービスのサポートでは、LDAP および SSL の暗号化および認証機能が使
用されています。OpenLDAP や iPlanet の LDAP ベースのディレクトリ サーバに
使用する LDAP 付き SSL を構成する方法については、「VNX ネーム サービスの構
成」を参照してください。SSL で使用される鍵と証明書は、PKI を使用して管理
されます。PKI は CLI および Unisphere 経由で使用できます。PKI 機能の概要に
ついては、「 23 ページの「公開鍵基盤のプランニングに関する考慮事項」」で説
明しています。CLI から PKI を構成および管理する方法については、 39 ページの
「PKI の構成」および 53 ページの「PKI の管理」を参照してください。
36/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
デフォルトの SSL プロトコルの変更
VNX for File では、次の SSL プロトコル バージョンがサポートされています。
◆
SSLv3
◆
TLSv1
アクション
デフォルトの SSL プロトコルを変更するには、次のコマンド シンタクスを使用します。
$ server_param <movername> -facility ssl -modify protocol -value
<new_value>
ここで:
<movername> = Data Mover の名前
<new_value> = 0(SSLv3 および TLSv1 の両方)、1(SSLv3 のみ)、または 2(TLSv1 のみ)
注:デフォルト値は 0。
パラメータとファシリティの名前は大文字と小文字が区別されます。
例:
デフォルトの SSL プロトコルを SSLv3 のみに変更するには、次のように入力します。
$ server_param server_2 -facility ssl -modify protocol -value 1
デフォルトの SSL プロトコルを TLSv1 のみに変更するには、次のように入力します。
$ server_param server_2 -facility ssl -modify protocol -value 2
出力
server_2 : done
デフォルトの SSL 暗号スイートの変更
暗号スイートでは、SSL 通信をセキュリティで保護するための一連のテクノロ
ジーを定義します。
◆
鍵交換アルゴリズム(データの暗号化に使用される秘密鍵がクライアントから
サーバに伝達される仕組み)。例:RSA 鍵または DH(Diffie-Hellman)
◆
認証方法(ホストでリモート ホストの ID を認証する仕組み)。例:RSA 証明
書、DSS 証明書、認証なし
◆
暗号化サイファ(データを暗号化する仕組み)。例:AES(256 または 128 ビッ
ト)
、RC4(128 または 56 ビット)
、3DES(168 ビット)
、DES(56 または
40 ビット)
、NULL 暗号化
◆
ハッシュ アルゴリズム(データの変更を特定する手段を提供し、データの整
合性を確保する仕組み)
。例:SHA-1 または MD5
サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。
75 ページの「付録 B: サポートされている SSL 暗号スイート」に、VNX for File
でサポートされている SSL 暗号スイートのリストを示します。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
37/94
アクション
デフォルトの SSL 暗号スイートを変更するには、次のコマンド シンタクスを使用します。
$ server_param <movername> -facility ssl -modify cipher -value
<new_value>
ここで:
<movername> = Data Mover の名前。
<new_value> = 新しい暗号値を指定する文字列。この値に特殊文字(セミコロン、スペー
ス文字、感嘆符など)を含める場合は、引用符で囲む必要がある。
注:デフォルトの暗号スイートの値は、ALL:!ADH:!SSLv2:@STRENGTH です。この値は、VNX
for File で SSLv2、匿名 Diffie-Hellman、NULL 暗号を除くすべての暗号がサポートされ、それぞ
れの「strength」つまり、暗号化キーのサイズでソートされることを意味しています。
パラメータとファシリティの名前は大文字と小文字が区別されます。
例:
デフォルトの SSL 暗号スイートを強力な暗号(主に、AES128 および AES256)に変更し、新
しい各 SSL 接続で使用されるようにするには、次のように入力します。
$ server_param server_2 -facility ssl -modify cipher -value
'HIGH:@STRENGTH'
出力
server_2 : done
事後条件
SSL パラメータ値を変更した後は、SSL プロトコルと暗号スイートの変更を適用
するために Data Mover を再起動する必要があります。
38/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
PKI の構成
この機能の概要については、23 ページの「公開鍵基盤のプランニングに関する考
慮事項」を参照してください。
ペルソナによって提供される証明書の作成
ペルソナから Data Mover に提供される証明書を作成する手順は、証明書に署名す
る CA(認証局)として外部の CA と Control Station のどちらを使用するかによっ
て若干異なります。
1. 40 ページの「鍵セットと証明書要求の生成」
2. 43 ページの「CA への証明書要求の送信」(Control Station を使用する場合は
不要)
3. 44 ページの「CA 署名済み証明書のインポート」(Control Station を使用する
場合は不要)
CA 証明書の取得
サーバの ID を確認するために使用される CA 証明書を取得する手順には、次のタ
スクが含まれます。
1. 46 ページの「利用可能な CA 証明書の一覧表示」
2. 46 ページの「CA 証明書の入手」
3. 49 ページの「CA 証明書のインポート」
CA としての Control Station の使用
Control Station を CA として使用する手順には、次のタスクが含まれます。
1. 49 ページの「新しい Control Station CA 証明書の生成」
2. 50 ページの「証明書の表示」
3. 52 ページの「Control Station CA 証明書の配布」
注: Control Station は、Apache Web サーバ(Unisphere の代わり)とユーザーの Web ブ
ラウザの間の SSL ベース接続について個別の鍵セットを継続して生成します。ただし、
現在 Control Station は、CA の鍵セットを使用して Apache Web サーバの証明書に署名し
ます(現在、証明書は自己署名ではありません)。Unisphere の証明書を管理する方法につ
いては、「VNX for File 管理アプリケーションのインストール」を参照してください。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
39/94
鍵セットと証明書要求の生成
ペルソナから Data Mover に提供される証明書を作成するには、まずペルソナの公
開 / 秘密鍵セットとともに、CA への証明書署名要求を生成します。CA としては、
外部の CA を使用することも、Control Station を使用することもできます。
外部の CA により署名される証明書の作成
アクション
鍵セットと外部の CA により署名される証明書の要求を生成するには、次のコマンド シンタクス
を使用します。
$ server_certificate <movername> -persona -generate {<persona_name> |
id=<persona_id>} -key_size <bits> {-cn | -common_name} <common_name>
ここで:
<movername> = ペルソナが関連づけられている物理 Data Mover の名前。
<persona_name> = ペルソナの名前。
<persona_id> = ペルソナの ID。この ID は、ペルソナの作成時に生成されます。 -persona -list
コマンドを使用して ID を特定できます。
<bits> = 鍵のサイズ(2048 または 4096 ビットのいずれか)。
<common_name> = 一般的に使用される名前(通常、ペルソナが関連づけられている Data
Mover を表すホスト名)。この名前に特殊文字(セミコロン、スペース文字、感嘆符など)を含
める場合は、引用符で囲む必要があります。
注:証明書要求は、PEM 形式でのみ生成されます。
例:
鍵セットと外部の CA により署名される証明書の要求を生成するには、次のように入力します。
$ server_certificate server_2 -persona -generate default -key_size 4096
-cn 'name;1.2.3.4'
出力
server_2 :
Starting key generation.This could take a long time ...
done
40/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
Control Station により署名される証明書の作成
Control Station を使用して証明書に署名する場合は、証明書の有効期限(月数)
を指定する必要があります。
アクション
鍵セットと Control Station により署名される証明書の要求を生成するには、次のコマンド シン
タクスを使用します。
$ server_certificate <movername> -persona -generate {<persona_name> |
id=<persona_id>} -key_size <bits> -cs_sign_duration <# of months> {-cn |
-common_name} <common_name>
ここで:
<movername> = ペルソナが関連づけられている物理 Data Mover の名前。
<persona_name> = ペルソナの名前。
<persona_id> = ペルソナの ID。この ID は、ペルソナの作成時に生成されます。 -persona -list
コマンドを使用して ID を特定できます。
<bits> = 鍵のサイズ(2048 または 4096 ビットのいずれか)。
<# of months> = 証明書の有効期限(月数)。
<common_name> = 一般的に使用される名前(通常、ペルソナが関連づけられている Data
Mover を表すホスト名)。この名前に特殊文字(セミコロン、スペース文字、感嘆符など)を含
める場合は、引用符で囲む必要があります。
注:証明書要求は、PEM 形式でのみ生成されます。
例:
鍵セットと Control Station により署名される証明書の要求を生成するには、次のように入力し
ます。
$ server_certificate server_2 -persona -generate default -key_size 4096
-cs_sign_duration 13 -cn 'name;1.2.3.4'
出力
server_2 :
Starting key generation. This could take a long time ...
done
ペルソナに関する詳細情報を示す証明書の作成
ペルソナの公開 / 秘密鍵セットと証明書要求を生成するとき、Data Mover に関す
る詳細情報を指定できます。通常、この情報には、Data Mover を使用する組織や
その所在地などの詳細が含まれます。また、証明書要求を特定のファイルに保存
するオプションもあります。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
41/94
アクション
鍵セットと外部の CA により署名される証明書の要求を生成し、Data Mover に関する詳細情報
を指定して、その証明書要求を特定のファイルに保存するには、次のコマンド シンタクスを使
用します。
$ server_certificate <movername> -persona -generate {<persona_name> |
id=<persona_id>} -key_size <bits> {-cn | -common_name} <common_name> -ou
<org_unit> -organization <organization> -location <location> -state
<state> -country <country> -filename <output_path>
ここで:
<movername> = ペルソナが関連づけられている物理 Data Mover の名前。
<persona_name> = ペルソナの名前。
<persona_id> = ペルソナの ID。この ID は、ペルソナの作成時に生成されます。 -persona -list
コマンドを使用して ID を特定できます。
<bits> = 鍵のサイズ(2048 または 4096 ビットのいずれか)。
<common_name> = 一般的に使用される名前(通常、ペルソナが関連づけられている Data
Mover を表すホスト名)。この名前に特殊文字(セミコロン、スペース文字、感嘆符など)を含
める場合は、引用符で囲む必要があります。
<org_unit> = 組織単位の名前。この名前に特殊文字(セミコロン、スペース文字、感嘆符な
ど)を含める場合は、引用符で囲む必要があります。
<organization> = 組織の名前。
<location> = 組織の物理的所在地。
<state> = 組織が存在する地域。
<country> = 組織の所在国。
<output_path> = 生成された要求の書き込み先ファイルの名前とパス。
注: -ou、-organization、-location、-state、-country の引数はオプションです。
注:-filename 引数は、証明書が外部の CA によって署名される場合にのみ有効です。
注:証明書要求は、PEM 形式でのみ生成されます。
例:
鍵セットと外部の CA によって署名される証明書の要求を生成し、Data Mover に関する詳細情
報を指定して、その証明書要求を特定のファイルに保存するには、次のように入力します。
$ server_certificate server_2 -persona -generate default -key_size 4096
-cn 'name;1.2.3.4' -ou 'my.org;my dept' -organization EMC -location
Hopkinton -state MA -country US -filename /tmp/server_2.1.request.pem
出力
server_2 :
Starting key generation. This could take a long time ...
done
42/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
CA への証明書要求の送信
注: Control Station を使用して証明書に署名する場合、このタスクは不要です。Control
Station で自動的に証明書要求を受信します。
外部の CA を使用して証明書に署名する場合、公開鍵への署名要求が公開 / 秘密
鍵セットとともに自動的に生成されます。その後、証明書要求を CA に送信する
必要があります。
ステップ アクション
1.
次のコマンド シンタクスを使用して、ペルソナのプロパティを表示して証明書要求の内
容を確認します。
$ server_certificate <movername> -persona -info {-all |
<persona_name> | id=<persona_id>}
ここで:
<movername> = ペルソナが関連づけられている物理 Data Mover の名前。
<persona_name> = ペルソナの名前。
<persona_id> = ペルソナの ID。この ID は、ペルソナの作成時に生成されます。
例:
デフォルトのペルソナのプロパティ(証明書要求を含む)を表示するには、次のように
入力します。
$ server_certificate server_2 -persona -info default
出力:
server_2 :
id=1
name=default
next state=Request Pending
next certificate:
request subject = CN=name;CN=1.2.3.4
request:
-----BEGIN CERTIFICATE REQUEST----MIIB6TCCAVICAQYwDQYJKoZIhvcNAQEEBQAwWzELMAkGA1UEBhMCQVUxEzARBgNV
BAgTClF1ZWVuc2xhbmQxGjAYBgNVBAoTEUNyeXB0U29mdCBQdHkgTHRkMRswGQYD
VQQDExJUZXN0IENBICgxMDI0IGJpdCkwHhcNMDAxMDE2MjIzMTAzWhcNMDMwMTE0
MjIzMTAzWjBjMQswCQYDVQQGEwJBVTETMBEGA1UECBMKUXVlZW5zbGFuZDEaMBgG
A1UEChMRQ3J5cHRTb2Z0IFB0eSBMdGQxIzAhBgNVBAMTGlNlcnZlciB0ZXN0IGNl
cnQgKDUxMiBiaXQpMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAJ+zw4Qnlf8SMVIP
Fe9GEcStgOY2Ww/dgNdhjeD8ckUJNP5VZkVDTGiXav6ooKXfX3j/7tdkuD8Ey2//
Kv7+ue0CAwEAATANBgkqhkiG9w0BAQQFAAOBgQCT0grFQeZaqYb5EYfk20XixZV4
GmyAbXMftG1Eo7qGiMhYzRwGNWxEYojf5PZkYZXvSqZ/ZXHXa4g59jK/rJNnaVGM
k+xIX8mxQvlV0n5O9PIha5BX5teZnkHKgL8aKKLKW1BK7YTngsfSzzaeame5iKfz
itAE+OjGF+PFKbwX8Q==
-----END CERTIFICATE REQUEST-----
2.
証明書要求をファイルにまだ保存していない場合は、ここで保存します(例:
server_2.1.request.pem)。
3.
当該機関の Web サイトまたはメールを使用して、.pem ファイルを CA に送信します。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
43/94
CA 署名済み証明書のインポート
注: Control Station を使用して証明書に署名する場合、このタスクは不要です。Control
Station から署名済み証明書が自動的に Data Mover に返されます。
署名済み証明書は、ペルソナに関連づけられている次の署名済み証明書がダウン
ロード可能になったとき、インポートできます。証明書をインポートすると、す
ぐにその証明書が現在の証明書になります(日付が有効であると想定した場合)。
ステップ アクション
1.
CA から署名済み証明書(例:cert.pem)を取得します。
2.
すべての Data Mover に対してクエリーを実行し、署名済み証明書を待機しているペル
ソナを特定します。
$ server_certificate ALL -persona -list
出力:
server_2 :
id=1
name=default
next state=Request Pending
request subject = CN=name;CN=1.2.3.4
server_3:
id=1
name=default
next state=Request Pending
request subject = CN=test;CN=5.6.7.8
3.
証明書をインポートするペルソナを特定するには、証明書のタイトルと、next state が
Request Pending のペルソナの Request Subject フィールドの値を照合します。
4.
次のコマンド シンタクスを使用して、待機中のペルソナに署名済み証明書をインポート
します。
$ server_certificate <movername> -persona -import {<persona_name>
| id=<persona_id>}
ここで:
<movername> = ペルソナが関連づけられている物理 Data Mover の名前。
<persona_name> = ペルソナの名前。
<persona_id> = ペルソナの ID。この ID は、ペルソナの作成時に生成されます。
注:署名済み証明書は、DER 形式または PEM 形式のいずれかです。コマンド プロンプ
トでペーストできるのは、PEM 形式のテキストのみです。-filename を指定してパスを
入力する場合は、DER 形式と PEM 形式のどちらの CA 署名済み証明書でもインポート
できます。
例:
署名済み証明書をインポートするには、次のように入力します。
$ server_certificate server_2 -persona -import default
出力:
server_2 : Please paste certificate data.Enter a carriage return
and on the new line type 'end of file' or 'eof' followed by another
carriage return.
注:証明書テキストを正しくペーストすると、システム プロンプトが表示されます。
44/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
ステップ アクション
5.
次のコマンド シンタクスを使用して、証明書が正常にインポートされたことを確認し
ます。
$ server_certificate <movername> -persona -info {-all |
<persona_name> | id=<persona_id>}
ここで:
<movername> = ペルソナが関連づけられている物理 Data Mover の名前。
<persona_name> = ペルソナの名前。
<persona_id> = ペルソナの ID。この ID は、ペルソナの作成時に生成されます。
例:
デフォルトのペルソナ用の証明書が正常にインポートされたことを確認するには、次の
ように入力します。
$ server_certificate server_2 -persona -info default
出力:
server_2
id=1
name=default
next state=Not Available
Current Certificate:
id
= 1
subject
= CN=name;CN=1.2.3.4
issuer
= O=Celerra Certificate Authority;CN=eng173100
start date
= 20070606183824Z
end date
= 20070706183824Z
serial number
= 05
signature alg. = sha1WithRSAEncryption
public key alg. = rsaEncryption
public key size = 4096
version
= 3
注:通常、証明書をインポートすると、すぐにその証明書が現在の鍵セットと証明書に
なり、next state フィールドに Not Available と示されます。インポートした証明書が有
効ではないと(たとえば、タイム スタンプが Data Mover より数分以上進んでいる場
合)、インポートした鍵セットと証明書は次の鍵セットと証明書として残り、鍵セット
と証明書が有効になるまで、next state フィールドに Available と示されます。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
45/94
利用可能な CA 証明書の一覧表示
アクション
利用可能なすべての CA 証明書を表示するには、次のように入力します。
$ server_certificate ALL -ca_certificate -list
出力
server_2 :
id=1
subject=C=ZA;ST=Western Cape;L=Cape Town;O=Thawte Consulting
cc;OU=Certific
issuer=C=ZA;ST=Western Cape;L=Cape Town;O=Thawte Consulting
cc;OU=Certifica
expire=20201231235959Z
id=2
subject=C=US;O=America Online Inc.;CN=America Online Root Certification
Aut
issuer=C=US;O=America Online Inc.;CN=America Online Root Certification
Auth
expire=20371119204300Z
id=3
subject=C=US;ST=Massachusetts;L=Westboro;O=EMC;OU=IS;OU=Terms of use at
www
issuer=O=VeriSign Trust Network;OU=VeriSign, Inc.;OU=VeriSign
International
expire=20080620235959Z
id=4
subject=C=US;O=VeriSign,Inc.;OU=Class 3 Public Primary Certification
Author
issuer=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification
Author
expire=20280801235959Z
CA 証明書の入手
新しい CA 証明書が必要となり、外部の CA を使用している場合は、当該機関の
Web サイトまたは場合によっては自社のセキュリティ担当者から CA 証明書を取
得できます。Control Station を CA として使用している場合(CA がエンタープラ
イズ レベルまたは社内にある場合)は、CA の管理者から CA 証明書を取得でき
ます。または、nas_ca_certificate -display コマンドを使用して、CA 証明書のテキ
ストを表示できます。
アクション
Control Station の CA 証明書を表示するには、次のように入力します。
$ /nas/sbin/nas_ca_certificate -display
注:証明書テキストはターミナル画面に表示されます。または、ファイルにリダイレクトするこ
ともできます。BEGIN CERTIFICATE と END CERTIFICATE で囲まれた箇所が証明書テキスト
になります。
46/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
出力
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3 (0x3)
Signature Algorithm: sha1WithRSAEncryption
Issuer: O=Celerra Certificate Authority, CN=eng173100
Validity
Not Before: Mar 23 21:07:40 2007 GMT
Not After : Mar 21 21:07:40 2012 GMT
Subject: O=Celerra Certificate Authority, CN=eng173100
Subject Public Key Info:
Public Key Algorithm:rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:da:b2:37:86:05:a3:73:d5:9a:04:ba:db:05:97:
d2:12:fe:1a:79:06:19:eb:c7:2c:c2:51:93:7f:7a:
93:59:37:63:1e:53:b3:8d:d2:7f:f0:e3:49:42:22:
f4:26:9b:b4:e4:a6:40:6d:8d:e7:ea:07:8e:ca:b7:
7e:88:71:9d:11:27:5a:e3:57:16:03:a7:ee:19:25:
07:d9:42:17:b4:eb:e6:97:61:13:54:62:03:ec:93:
b7:e6:f1:7f:21:f0:71:2d:c4:8a:8f:20:d1:ab:5a:
6a:6c:f1:f6:2f:26:8c:39:32:93:93:67:bb:03:a7:
22:29:00:11:e0:a1:12:4b:02:79:fb:0f:fc:54:90:
30:65:cd:ea:e6:84:cc:91:fe:21:9c:c1:91:f3:17:
1e:44:7b:6f:23:e9:17:63:88:92:ea:80:a5:ca:38:
9a:b3:f8:08:cb:32:16:56:8b:c4:f7:54:ef:75:db:
36:7e:cf:ef:75:44:11:69:bf:7c:06:97:d1:87:ff:
5f:22:b5:ad:c3:94:a5:f8:a7:69:21:60:5a:04:5e:
00:15:04:77:47:03:ec:c5:7a:a2:bf:32:0e:4d:d8:
dc:44:fa:26:39:16:84:a7:1f:11:ef:a3:37:39:a6:
35:b1:e9:a8:aa:a8:4a:72:8a:b8:c4:bf:04:70:12:
b3:31
Exponent: 65537 (0x10001)
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
47/94
出力
X509v3 extensions:
X509v3 Subject Key Identifier:
35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6
X509v3 Authority Key Identifier:
keyid:35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6
DirName:/O=Celerra Certificate Authority/CN=eng173100
serial:00
X509v3 Basic Constraints:
CA:TRUE
X509v3 Subject Alternative Name:
DNS:eng173100
Signature Algorithm:sha1WithRSAEncryption
09:c3:13:26:16:be:44:56:82:5d:0e:63:07:19:28:f3:6a:c4:
f3:bf:93:25:85:c3:55:48:4e:07:84:1d:ea:18:cf:8b:b8:2d:
54:13:25:2f:c9:75:c1:28:39:88:91:04:df:47:2c:c0:8f:a4:
ba:a6:cd:aa:59:8a:33:7d:55:29:aa:23:59:ab:be:1d:57:f6:
20:e7:2b:68:98:f2:5d:ed:58:31:d5:62:85:5d:6a:3f:6d:2b:
2d:f3:41:be:97:3f:cf:05:8b:7e:f5:d7:e8:7c:66:b2:ea:ed:
58:d4:f0:1c:91:d8:80:af:3c:ff:14:b6:e7:51:73:bb:64:84:
26:95:67:c6:60:32:67:c1:f7:66:f4:79:b5:5d:32:33:3c:00:
8c:75:7d:02:06:d3:1a:4e:18:0b:86:78:24:37:18:20:31:61:
59:dd:78:1f:88:f8:38:a0:f4:25:2e:c8:85:4f:ce:8a:88:f4:
4f:12:7e:ee:84:52:b4:91:fe:ff:07:6c:32:ca:41:d0:a6:c0:
9d:8f:cc:e8:74:ee:ab:f3:a5:b9:ad:bb:d7:79:67:89:34:52:
b4:6b:39:db:83:27:43:84:c3:c3:ca:cd:b2:0c:1d:f5:20:de:
7a:dc:f0:1f:fc:70:5b:71:bf:e3:14:31:4c:7e:eb:b5:11:9c:
96:bf:fe:6f
-----BEGIN CERTIFICATE----MIIDoDCCAoigAwIBAgIBAzANBgkqhkiG9w0BAQUFADA8MSYwJAYDVQQKEx1DZWxl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-----END CERTIFICATE-----
48/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
CA 証明書のインポート
CA 証明書を Data Mover に認識させるには、その証明書をインポートする必要が
あります。パスを指定してファイルをインポートするか、対応するテキストを
カット アンド ペーストします。
アクション
CA 証明書をインポートするには、次のコマンド シンタクスを使用します。
$ server_certificate <movername> -ca_certificate -import [-filename
<path>]
ここで:
<movername> = CA 証明書が関連づけられている物理 Data Mover の名前
<path> = インポート対象のファイルの場所
注:CA 証明書は、DER 形式または PEM 形式のいずれかです。コマンド プロンプトでペースト
できるのは、PEM 形式のテキストのみです。-filename を指定してパスを入力する場合は、DER
形式と PEM 形式のどちらの CA 証明書でもインポートできます。
例:
CA 証明書をインポートするには、次のように入力します。
$ server_certificate server_2 -ca_certificate -import
出力
server_2 : Please paste certificate data.Enter a carriage return and on
the new line type 'end of file' or 'eof' followed by another carriage
return.
注
証明書テキストを正しくペーストすると、システム プロンプトが表示されます。
新しい Control Station CA 証明書の生成
注: このタスクは、CA 鍵セットの信頼性が低くなったか、または CA 証明書の有効期限
が切れた場合にのみ必要です。最初の Control Station CA 証明書は、VNX for File ソフト
ウェアのインストール時またはアップグレード時に生成されます。
このコマンドを発行するには、root ユーザーである必要があります。
アクション
Control Station の新しい鍵セットと証明書を生成するには、次のように入力します。
# /nas/sbin/nas_ca_certificate -generate
注:デフォルトでは、この証明書は生成日から 5 年間有効で、証明書の名前は Control Station の
ホスト名になります。
出力
New keys and certificate were successfully generated.
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
49/94
証明書の表示
Control Station CA 証明書のテキストを表示し、それをコピーしてネットワーク ク
ライアントに配布できるようにします。
アクション
Control Station の CA 証明書を表示するには、次のように入力します。
$ /nas/sbin/nas_ca_certificate -display
注:証明書テキストはターミナル画面に表示されます。または、ファイルにリダイレクトするこ
ともできます。
出力
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3 (0x3)
Signature Algorithm: sha1WithRSAEncryption
Issuer: O=Celerra Certificate Authority, CN=eng173100
Validity
Not Before: Mar 23 21:07:40 2007 GMT
Not After : Mar 21 21:07:40 2012 GMT
Subject: O=Celerra Certificate Authority, CN=eng173100
Subject Public Key Info:
Public Key Algorithm:rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:da:b2:37:86:05:a3:73:d5:9a:04:ba:db:05:97:
d2:12:fe:1a:79:06:19:eb:c7:2c:c2:51:93:7f:7a:
93:59:37:63:1e:53:b3:8d:d2:7f:f0:e3:49:42:22:
f4:26:9b:b4:e4:a6:40:6d:8d:e7:ea:07:8e:ca:b7:
7e:88:71:9d:11:27:5a:e3:57:16:03:a7:ee:19:25:
07:d9:42:17:b4:eb:e6:97:61:13:54:62:03:ec:93:
b7:e6:f1:7f:21:f0:71:2d:c4:8a:8f:20:d1:ab:5a:
6a:6c:f1:f6:2f:26:8c:39:32:93:93:67:bb:03:a7:
22:29:00:11:e0:a1:12:4b:02:79:fb:0f:fc:54:90:
30:65:cd:ea:e6:84:cc:91:fe:21:9c:c1:91:f3:17:
1e:44:7b:6f:23:e9:17:63:88:92:ea:80:a5:ca:38:
9a:b3:f8:08:cb:32:16:56:8b:c4:f7:54:ef:75:db:
36:7e:cf:ef:75:44:11:69:bf:7c:06:97:d1:87:ff:
5f:22:b5:ad:c3:94:a5:f8:a7:69:21:60:5a:04:5e:
00:15:04:77:47:03:ec:c5:7a:a2:bf:32:0e:4d:d8:
dc:44:fa:26:39:16:84:a7:1f:11:ef:a3:37:39:a6:
35:b1:e9:a8:aa:a8:4a:72:8a:b8:c4:bf:04:70:12:
b3:31
Exponent: 65537 (0x10001)
50/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
出力
X509v3 extensions:
X509v3 Subject Key Identifier:
35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6
X509v3 Authority Key
Identifier:keyid:35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E
2:E6
DirName:/O=Celerra Certificate Authority/CN=eng173100
serial:00
X509v3 Basic Constraints:
CA:TRUE
X509v3 Subject Alternative Name:
DNS:eng173100
Signature Algorithm:sha1WithRSAEncryption
09:c3:13:26:16:be:44:56:82:5d:0e:63:07:19:28:f3:6a:c4:
f3:bf:93:25:85:c3:55:48:4e:07:84:1d:ea:18:cf:8b:b8:2d:
54:13:25:2f:c9:75:c1:28:39:88:91:04:df:47:2c:c0:8f:a4:
ba:a6:cd:aa:59:8a:33:7d:55:29:aa:23:59:ab:be:1d:57:f6:
20:e7:2b:68:98:f2:5d:ed:58:31:d5:62:85:5d:6a:3f:6d:2b:
2d:f3:41:be:97:3f:cf:05:8b:7e:f5:d7:e8:7c:66:b2:ea:ed:
58:d4:f0:1c:91:d8:80:af:3c:ff:14:b6:e7:51:73:bb:64:84:
26:95:67:c6:60:32:67:c1:f7:66:f4:79:b5:5d:32:33:3c:00:
8c:75:7d:02:06:d3:1a:4e:18:0b:86:78:24:37:18:20:31:61:
59:dd:78:1f:88:f8:38:a0:f4:25:2e:c8:85:4f:ce:8a:88:f4:
4f:12:7e:ee:84:52:b4:91:fe:ff:07:6c:32:ca:41:d0:a6:c0:
9d:8f:cc:e8:74:ee:ab:f3:a5:b9:ad:bb:d7:79:67:89:34:52:
b4:6b:39:db:83:27:43:84:c3:c3:ca:cd:b2:0c:1d:f5:20:de:
7a:dc:f0:1f:fc:70:5b:71:bf:e3:14:31:4c:7e:eb:b5:11:9c:
96:bf:fe:6f
-----BEGIN CERTIFICATE----MIIDoDCCAoigAwIBAgIBAzANBgkqhkiG9w0BAQUFADA8MSYwJAYDVQQKEx1DZWxl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-----END CERTIFICATE-----
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
51/94
Control Station CA 証明書の配布
Control Station の CA 証明書がネットワーク クライアントによりインポートさ
れ、Data Mover から送信されるこの Control Station による署名済みの証明書が
認識されるように、Control Station の CA 証明書を使用できるようにする必要が
あります。
ステップ アクション
52/94 リリース 7.0
1.
Control Station CA 証明書のテキストをファイル(例:cs_ca_cert.crt)に保存します。
2.
この .crt ファイルをネットワーク クライアントが適切なメカニズム(FTP またはメー
ル)を介して利用できるようにします。
3.
新しい鍵セットと証明書要求を再生成し、署名済み証明書を、Control Station によって
証明書が署名される任意のペルソナ用にインポートします。この手順については、「 39
ページの「ペルソナによって提供される証明書の作成」」を参照してください。
4.
Data Mover を別の Data Mover に対するクライアントとして使用している場合は、該当
する Data Mover に新しい CA 証明書をインポートします。この手順については、「 39
ページの「CA 証明書の取得」」を参照してください。
VNX™ for File のセキュリティ構成ガイド
PKI の管理
この機能の概要については、23 ページの「公開鍵基盤のプランニングに関する考
慮事項」を参照してください。
ペルソナの鍵セットと証明書を管理する場合のタスクは次のとおりです。
◆
53 ページの「鍵セットと証明書のプロパティの表示」
◆
54 ページの「期限切れの鍵セットのチェック」
◆
54 ページの「鍵セットのクリア」
CA 証明書を管理する場合のタスクは次のとおりです。
◆
55 ページの「CA 証明書のプロパティの表示」
◆
55 ページの「期限切れの CA 証明書のチェック」
◆
56 ページの「CA 証明書の削除」
鍵セットと証明書のプロパティの表示
アクション
鍵セットと証明書のプロパティを表示するには、次のコマンド シンタクスを使用します。
$ server_certificate <movername> -persona -info {-all | <persona_name> |
id=<persona_id>}
ここで:
<movername> = ペルソナが関連づけられている物理 Data Mover の名前。
<persona_name> = ペルソナの名前。
<persona_id> = ペルソナの ID。この ID は、ペルソナの作成時に生成されます。
例:
default という名前のペルソナの鍵セットと証明書を表示するには、次のように入力します。
$ server_certificate server_2 -persona -info default
出力
server_2 :
id=1
name=default
next state=Not Available
CURRENT CERTIFICATE:
id
= 1
subject
= CN=test;CN=1.2.3.4
issuer
= O=Celerra Certificate Authority;CN=eng173100
start date
= 20070606183824Z
end date
= 20070706183824Z
serial number
= 05
signature alg. = sha1WithRSAEncryption
public key alg. = rsaEncryption
public key size = 4096
version
= 3
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
53/94
期限切れの鍵セットのチェック
期限切れの鍵セットと証明書を自動的にチェックする方法はありません。代わり
に、ペルソナを一覧表示して、各ペルソナに関連づけられた証明書の有効期限を
調べて、証明書の期限切れをチェックする必要があります。
アクション
現在利用可能なすべての鍵セットと証明書を一覧表示するには、次のように入力します。
$ server_certificate ALL -persona -list
出力
server_2 :
id=1
name=default
next state=Request Pending
request subject=CN=name;CN=1.2.3.4
server_3:
id=1
name=default
next state=Not Available
CURRENT CERTIFICATE:
id=1
subject=CN=test;CN=1.2.3.4
expire=20070608183824Z
issuer=O=Celerra Certificate Authority;CN=eng173100
注
現在の証明書の有効期限は、expire フィールドに示されます。20070608183824Z は、2007 年
6 月 8 日(金)18:38:24(GMT)を意味しています。
鍵セットのクリア
鍵セットの有効期限が切れた場合、サービスが今後不要になった場合、または証
明書要求が満たされない場合、鍵セットをクリアする必要があります。ペルソナ
の現在の鍵セットと証明書、次の鍵セットと証明書、またはその両方をクリアで
きます。
アクション
鍵セットとそれに対応する証明書をクリアするには、次のコマンド シンタクスを使用します。
$ server_certificate <movername> -persona -clear {<persona_name> |
id=<persona_id>} {-next | -current | -both}
ここで:
<movername> = ペルソナが関連づけられている物理 Data Mover に割り当てられた名前。
<persona_name> = ペルソナの名前。
<persona_id> = ペルソナの ID。この ID は、ペルソナの作成時に生成されます。
例:
server_2 にあるペルソナについて、現在と次の両方の鍵セットと証明書をクリアするには、次
のように入力します。
$ server_certificate server_2 -persona -clear default -both
54/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
出力
server_2 : done
CA 証明書のプロパティの表示
アクション
CA 証明書のプロパティを表示するには、次のコマンド シンタクスを使用します。
$ server_certificate <movername> -ca_certificate -info {-all |
<certificate_id>}
ここで:
<movername> = CA 証明書が関連づけられている物理 Data Mover の名前。
<certificate_id> = 証明書の ID。
注:Data Mover で利用可能なすべての CA 証明書のプロパティを表示するには、-all オプション
を使用します。
例:
証明書 ID 2 で識別される CA 証明書のプロパティを表示するには、次のように入力します。
$ server_certificate server_2 -ca_certificate -info 2
出力
server_2 :
id=2
subject = C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification
Authority
issuer = C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification
Authority
start
= 19960129000000Z
expire = 20280801235959Z
signature alg. = md2WithRSAEncryption
public key alg. = rsaEncryption
public key size = 2048 bits
serial number
= 70ba e41d 10d9 2934 b638 ca7b 03cc babf
version
= 1
期限切れの CA 証明書のチェック
期限切れの CA 証明書を自動的にチェックする方法はありません。代わりに、CA
証明書を一覧表示して有効期限を確認することで、証明書の期限切れをチェック
する必要があります。
アクション
現在利用可能なすべての CA 証明書を一覧表示するには、次のように入力します。
$ server_certificate ALL -ca_certificate -list
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
55/94
出力
server_2 :
id=1
subject=O=Celerra Certificate Authority;CN=sorento
issuer=O=Celerra Certificate Authority;CN=sorento
expire=20120318032639Z
id=2
subject=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification
Author
issuer=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification
Author
expire=20280801235959Z
server_3:
id=1
subject=O=Celerra Certificate Authority;CN=zeus-cs
issuer=O=Celerra Certificate Authority;CN=zeus-cs
expire=20120606181215Z
注
証明書の有効期限は、expire フィールドに示されます。20120318032639Z は、2012 年 3 月 18
日 03:26:39(GMT)を意味しています。
CA 証明書の削除
CA 証明書の有効期限が切れた場合、CA 証明書の信頼性が低くなった場合、また
は CA 証明書が今後サーバの認証で不要になった場合、CA 証明書を削除する必要
があります。
アクション
CA 証明書を削除するには、次のコマンド シンタクスを使用します。
$ server_certificate <movername> -ca_certificate -delete {-all |
<certificate_id>}
ここで:
<movername> = CA 証明書が関連づけられている物理 Data Mover の名前。
<certificate_id> = 証明書の ID。ID を特定するには、
-ca_certificate -list コマンドを使用します。
注:Data Mover で利用可能なすべての CA 証明書を削除するには、-all オプションを使用し
ます。
例:
server_2 にある CA 証明書の ID 番号で識別される CA 証明書を削除するには、次のように入
力します。
$ server_certificate server_2 -ca_certificate -delete 1
出力
server_2 : done
56/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
トラブル シューティング
製品ラインのパフォーマンスと機能を継続的に改善および強化するための努力の
一環として、EMC ではハードウェアおよびソフトウェアの新規バージョンを定期
的にリリースしています。そのため、このガイドで説明されている機能の中には、
現在お使いのソフトウェアまたはハードウェアのリビジョンによっては、サポー
トされていないものもあります。製品機能の最新情報については、お使いの製品
のリリース ノートを参照してください。
製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合
には、EMC の担当者にお問い合わせください。
情報の入手方法
製品情報:ドキュメント、リリース ノート、ソフトウェアの更新、または EMC
製品、ライセンス、サービスに関する情報については、EMC オンライン サポー
ト Web サイトをご覧ください(登録が必要です)
。
トラブルシューティング:トラブルシューティング関する情報については、EMC
オンライン サポート Web サイトにアクセスして[Celerra ツール]を検索し、
[Celerra のトラブルシューティング]を選択してください。
テクニカル サポート:テクニカル サポートについては、EMC オンライン サポー
ト Web サイトにアクセスしてください。サポート ページでは、サポート フォー
ラムへのアクセス、製品機能拡張のリクエスト、EMC 担当者との直接対話、サー
ビス リクエストのオープンが可能です。サービス リクエストを利用するには、有
効なサポート契約が結ばれている必要があります。有効なサポート契約を取得す
る方法の詳細や、アカウントに関するご質問については、EMC 担当営業にお問い
合わせください。
注: お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定
のサポート担当者へのお問い合わせはご遠慮ください。
EMC オンライン サポート Web サイトの使用方法の詳細については、「VNX の問
題解決ロードマップ」を参照し、問題を解決してください。
EMC E-Lab Interoperability Navigator
EMC E-LabTM Interoperability Navigator は検索可能な Web ベースのアプリケー
ションです。このアプリケーションから、EMC 相互運用性サポート マトリック
スにアクセスできます。EMC オンライン サポート Web サイトで利用可能です。
ログインした後、適切な[Support by Product]ページにアクセスし、[Tools]
を見つけ、[E-Lab Interoperability Navigator]をクリックします。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
57/94
Control Station から LDAP ベースのディレクトリ サーバへの
接続のトラブルシューティング
Control Station から LDAP ベースのディレクトリ サーバへの接続の
テスト
Control Station から LDAP ベースのディレクトリ サーバへの接続が機能している
ことを確認するには、[設定]>[セキュリティ](セキュリティ タスク)>
[ファイル LDAP ドメインの管理]の[テスト]を選択します。プライマリと
バックアップの両方のディレクトリ サーバを指定している場合は、両方の接続が
一緒にテストされます。
注: バックアップのディレクトリ サーバは、プライマリ ディレクトリ サーバと同じドメ
イン設定をすべてサポートする必要があります。
一方のディレクトリ サーバに正常にアクセスできない場合、テスト機能により、
どの接続の試行に失敗したかが報告されます。失敗したということは、バインド
認証情報、ユーザーまたはグループの属性、検索パスが正しくないことを示し
ます。
注: VNX for File が LDAP サービスへのバインドに使用するユーザー アカウント(バイン
ド識別名とも呼ばれる)がディレクトリ サーバ上に存在している必要があります。
LDAP ベースのディレクトリ サービスにバインドするユーザー アカ
ウントの作成
EMC では、LDAP ベースのディレクトリ サービスへのバインドに使用するユー
ザー アカウントは、できるだけ制限するように推奨しています(プライマリ グ
ループが Domain Guests であるアカウントに制限するなど)
。ユーザー アカウン
トがディレクトリ サービスへのバインドに失敗した場合は、次の内容を確認し
ます。
1. GPO のユーザー権限の割り当てで、ネットワークからドメイン コントローラ
へのアクセスを拒否するユーザーのリストにゲストが含まれていないことを確
認します。
2. ゲストによるドメイン コントローラへの接続がブロックされている環境では、
場合によっては、ユーザー アカウントのプライマリ グループを Domain
Guests ではなく Domain Users にする必要があります。
3. 引き続きアクセスの問題が発生する場合は、権限をより多く持つユーザー ア
カウントを使用する必要があります。
選択したアカウントにディレクトリの読み取りと検索権限があることを確認し
ます。
58/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
SSL セッションの設定
SSL セッションが正しく作成されるためには、次の構成タスクが正しく実行され
ている必要があります。
◆
Control Station にアップロードされた証明書は、CA からの公的な証明書であ
り、LDAP ベースのディレクトリ サーバの SSL サーバとしての証明書に署名
されたものである必要があります。Control Station は、この CA 証明書を使用
して、LDAP サーバから受信した証明書を確認します。
◆
LDAP ベースのディレクトリ サーバのホスト名(
[設定]>[セキュリティ]
(セキュリティ タスク)>[ファイル LDAP ドメインの管理]の[プライマ
リ]フィールドおよび[バックアップ]フィールドで指定)と、ディレクトリ
サーバの証明書に入力した共通名は一致している必要があります。指定する値
はディレクトリ サーバの証明書のタイトルの形式によって異なります。通常、
タイトルはホスト名を表しますが、IP アドレスの場合もあります。
ローカル ユーザー アカウントのトラブルシューティング
注: VNX 7.0 では、グローバルおよび LDAP ユーザー アカウントのみがサポートされ
ます。
パスワードの変更による無効なアカウントの有効化
Unisphere では、Linux オペレーティング システムと同様に、以前無効になった
ローカル ユーザー アカウントのパスワードを変更すると、そのユーザー アカウ
ントが有効化されます。無効になっているユーザー アカウントに対してその他の
変更を行っても、アカウントは有効化されません。
ユーザー アカウントの無効化
ログインしている間に自身のアカウントを無効化する場合([設定]>[セキュリ
ティ]>[ユーザー管理]>[ユーザー]>[無効化]を使用):
◆
Unisphere にログインしている状態で、その他の操作を何か実行しようとする
と、「ユーザーはこの操作の実行を許可されていません。」というエラーが表示
されます。
◆
自身のアカウントを無効化したときに VNX CLI for File にログインしている場
合は、その他の操作を引き続き実行できます。ただし、一度ログアウトした後
はログインし直すことはできません。
ローカル ユーザー アカウントの使用
VNX for File には、ローカルに限定されたユーザー アカウント、およびドメイン
にマップされたローカル ユーザー アカウントを作成する機能があります。
特定の VNX for File システムに直接ログインするには、ローカル ユーザー アカウ
ントを使用する必要があります。このタイプのローカル ユーザー アカウントはそ
のアカウントが作成された VNX for File にのみ関連づけられ、その VNX for File だ
けを管理するために使用されます。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
59/94
ドメイン ユーザー用に作成されたローカル ユーザー アカウントにより、外部の
ディレクトリ サーバによって認証されたユーザーが VNX for File へのアクセスを
承認されることと、そのユーザーがタスクを実行するために必要な UID などの
ローカル認証情報を持っていることを確認するメカニズムが提供されます。ドメ
インのアカウントはリモートでアクセスする場合や複数の VNX for File システム
を管理する場合に使用してください。管理するシステムごとに個別のユーザー ア
カウントを構成する必要がなくなります。
重要: ドメインにマップされたアカウントのローカル名を使用して VNX for File にログイ
ンしないでください。
既存のローカル ユーザー アカウントをドメインにマップされたユーザー アカウ
ントに変更する場合、ドメインにマップされたグループが存在しないときは、そ
のユーザーをメンバーにできるドメインにマップされたグループを最初に作成す
る必要があります。そのようにしないと、このユーザーは VNX for File にログイ
ンできません。
古いローカル ユーザー アカウントのクリーンアップ
特定の状況では、VNX for File から古いローカル ユーザー アカウントを手動で削
除しなければならない場合があります。この問題は、ユーザー名が次のような場
合にのみ発生します。たとえば、Jennifer Smith というユーザーが JSmith という
名前のドメインにマップされたローカル ユーザー アカウントを持つとします。そ
の後で、Jennifer は結婚後の姓を使用し、ディレクトリ サーバのユーザー アカウ
ントが JBrown に変更され、新しくドメインにマップされたローカル ユーザー ア
カウントが作成されます。一方で、Joshua Smith という新しいユーザーが JSmith
というユーザー名でディレクトリ サーバに作成されて VNX for File にマップされ
ると、Joshua は既存のローカル ユーザー アカウントである JSmith に割り当てら
れ、以前 Jennifer に割り当てられていた権限が付与されます。
EMC では、ディレクトリ サーバで物理的に異なるユーザーのユーザー名を再利
用することは避けるように推奨しています。どうしても再利用する必要がある場
合は、前述の問題のある状況が発生するのを避けるために、Unisphere を使用し
て次のいずれかを実行する必要があります。
◆
VNX for File 管理者のディレクトリのユーザー名が変更された場合は、ローカ
ルのユーザー名とドメインにマップされたローカル ユーザー アカウントのド
メイン ユーザー名を手動で変更する。
◆
VNX for File 管理者のアカウントがディレクトリ サーバから削除された場合
は、ドメインにマップされたローカル ユーザー アカウントとホーム ディレク
トリを手動で削除する。
ローカル ユーザー アカウント名の作成方法について
ローカル ユーザー アカウントがドメイン ユーザーから自動的にマップされた場
合、VNX for File ではそのユーザーのディレクトリ サーバ名とドメイン名の両方
に基づいて名前を割り当てます。ユーザー名にスペースが含まれる場合、そのス
ペースは削除されます。
60/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
失効中のストレージ ドメイン ユーザー アカウントについて
ストレージ ドメインから VNX for File を削除した場合、ストレージ ドメイン グ
ローバル ユーザーからマップされたローカル ユーザー アカウントは失効とマー
ク付けられ、ログインに使用できなくなります。同じユーザー アカウントを使用
して VNX for File がストレージ ドメインに再参加する場合でも、元のローカル
ユーザー アカウントを再度有効化することはできません。VNX for File では監査
のために失効中のアカウントが保持されています。必要に応じて、このアカウン
トを削除できます。
ドメインにマップされたユーザー アカウントのトラブルシュー
ティング
ドメインにマップされたユーザーが Control Station にログインする場合、入力す
るドメイン名は、VNX for File に設定されているドメイン名または完全修飾ドメイ
ン名と一致している必要があります。(LDAP のドメインにマップされたユーザー
の場合、これは[設定]>[セキュリティ](セキュリティ タスク)>[ファイ
ル LDAP ドメインの管理]で定義されたドメイン名です)。一致しない場合、そ
のユーザーはログインできません。
LDAP ドメインにマップされたユーザーに対して、サポートされているドメイン
にマップされたユーザーのログイン形式は次のとおりです。
◆
<domain name>\<user>(例:mycompany\anne)
◆
<user>@<domain name>(例:anne@mycompany)
ドメイン名は、完全修飾ドメイン名として指定できます。例:
◆
<fully qualified domain name>\<user>(例:mycompany.com\anne)
◆
<user>@<fully qualified domain name>(例:[email protected])
注: ユーザーは 1 個のドメインにのみログインできます。そのため、mycompany と
mycompany.com は同じドメインとして扱われます。
ストレージ ドメインにマップされたユーザーに対して、サポートされているドメ
インにマップされたユーザーのログイン形式は次のとおりです。
◆
storageDomain\<user>(例:storageDomain\anne)
◆
<user>@storageDomain(例:anne@storageDomain)
注: storageDomain は大文字と小文字の区別があるキーワードで変数ではありません。正
確にそのまま入力する必要があります。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
61/94
証明書のインポートのトラブルシューティング
証明書は、SSL が有効化された接続の一端または両端を Data Mover および
Control Station が識別するために使用します。Data Mover は、バイナリでエン
コードされた X.509 としても知られている DER(Distinguished Encoding Rules)
形式、または Base64 でエンコードされた X.509 としても知られている PEM
(Privacy Enhanced Mail)形式を使用してエンコードされた証明書をインポートす
ることができます。Control Station は、PEM 形式を使用してエンコードされた証
明書をインポートすることができます。
DER 形式の証明書ファイルは、バイナリ データで構成されています。PEM 形式
では、Base64 エンコーディングを使用してバイナリ テキストが ASCII テキスト
に変換され、6 ビットずつ特定の ASCII 文字に変換されて、証明書のテキスト
(最大 64 文字)は BEGIN CERTIFICATE 行と END CERTIFICATE 行で囲まれま
す。PEM でエンコードされた証明書は、証明書ファイルの発行元によっては証明
書の内容を記載する他のテキストから始まる場合があります。バイナリ テキスト
をテキストに変換することで、メールなどのシステム間の送信時にデータが変更
されるのを防ぎます。
Data Mover への証明書のインポート
有効期限が切れた証明書のインポート試行
証明書のインポート時にエラーが発生した場合、証明書の有効期限が過ぎていな
いことを確認します。有効期限が切れた証明書は、Data Mover にインポートでき
ません。
DER でエンコードされた証明書のインポート
DER でエンコードされた証明書を Data Mover にインポートする際にエラーが発
生した場合、次のことを確認します。
◆
OpenSSL または Microsoft Certificate Server などのツールを使用して、証明書
が有効であることを確認します。これらのツールを使用するには、ファイルの
拡張子が有効(.der、.cer、または .crt など)である必要があります。
◆
証明書が有効でない場合(ツールによりエラーが報告された場合)、証明書
ファイルが破損している可能性があり、正常なコピーで置き換える必要があり
ます。
◆
証明書が有効な場合、これらのツールを使用して証明書を PEM 形式でエクス
ポートし、PEM でエンコードされた証明書が有効であることを確認してから、
PEM バージョンの証明書をインポートします。
PEM でエンコードされた証明書のインポート
PEM でエンコードされた証明書を Data Mover にインポートする際にエラーが発
生した場合、次のことを確認します。
62/94 リリース 7.0
◆
証明書ファイルの PEM 形式が正しいことを確認します。
◆
OpenSSL または Microsoft Certificate Server などのツールを使用して、証明書
が有効であることを確認します。証明書が有効でない場合(ツールによりエ
ラーが報告された場合)
、証明書ファイルが破損している可能性があり、正常
なコピーで置き換える必要があります。
VNX™ for File のセキュリティ構成ガイド
Control Station への証明書のインポート
古い証明書のチェック
Control Station では期限切れの証明書をアップロードしてもエラーが返されませ
ん。ただし、Control Station では、LDAP ベースのディレクトリ サーバから受け
取った証明書を確認する場合に古い証明書は使用されません。
現在インストールされている証明書の有効期限は、[SSL 証明書]フィールドで証
明書のプロパティを表示して確認できます。
証明書チェーンが使用されているかの判別
一部の組織では、セキュリティを強化するため、CA 証明書チェーンを使用してい
ます。証明書チェーンにより、2 個以上の CA 証明書がリンクされます。プライ
マリ CA 証明書は、CA 証明書チェーンの終端に位置するルート証明書です。VNX
for File では受信する証明書の信頼性の確認に完全な証明書チェーンを必要とする
ため、証明書チェーンが使用されているかどうかディレクトリ サーバ管理者に確
認します。使用されている場合は、関連するすべての証明書を単一のファイルに
連結して、そのバージョンをアップロードする必要があります。証明書は
PEM/Base64 でエンコードされた形式で、サフィックスとして .cer を使用する必
要があります。
エラー メッセージ
すべての新しいイベント メッセージ、アラート メッセージ、ステータス メッ
セージによって、問題の状況のトラブルシューティングに役立つ詳細情報と推奨
されるアクションが提供されます。
メッセージの詳細を表示するには、次のいずれかの方法を使用します。
◆
Unisphere ソフトウェア:
• イベント メッセージ、アラート メッセージ、またはステータス メッセー
ジを右クリックして選択し、[イベントの詳細]
、[アラートの詳細]、また
は[ステータスの詳細]を表示します。
◆
CLI:
• nas_message -info <message_id> コマンドを使用して特定のエラーに関す
る詳細情報を取得します。
◆
Celerra Network Server Error Messages Guide:
• このガイドで、それ以前のリリースのメッセージ形式でのメッセージに関
する情報を見つけます。
◆
EMC オンライン サポート:
• エラー メッセージの概要説明のテキストまたはメッセージ ID を使用して
EMC オンライン サポート Web サイトのナレッジベースを検索してくださ
い。EMC オンライン サポートログインした後、適切な[Support by
Product]ページにアクセスし、エラー メッセージを見つけます。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
63/94
トレーニングおよびプロフェッショナル サービス
EMC カスタマー エデュケーション コースは、インフラに対する投資全体の効果
を最大限に高めるために、自社の環境内で EMC ストレージ製品群を連携させる
方法について学ぶのに役立ちます。EMC カスタマー エデュケーションの利点は、
世界各国に設置された便利な最新のラボで、オンライン トレーニングや実地ト
レーニングを受けられることです。EMC カスタマー トレーニング コースは、
EMC のエキスパートによって開発および提供されています。EMC オンライン サ
ポート Web サイトにアクセスしてコースと登録の情報を見つけます。
EMC プロフェッショナル サービスは、VNX の効率的な導入を支援します。コン
サルタントがお客様のビジネス、IT プロセス、およびテクノロジーを評価し、所
有する情報を最大限に活かせる手法をお勧めします。ビジネス プランから導入ま
で、IT スタッフを酷使したり新たな人材を採用したりせずに、必要な各種サポー
トを受けることができます。詳細については、EMC 担当者にお問い合わせくだ
さい。
64/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
付録 A: CLI の役割に基づくアクセスのセットアップ
ユーザー アカウントは常にプライマリ グループに関連づけられ、各グループには
役割が割り当てられます。役割は、ユーザーが特定の VNX for File オブジェクト
に対して実行できる権限(操作)を定義します。
コマンドに対する役割に基づくアクセスの定義。この付録では、CLI コマンドに対する
役割に基づくアクセスのセットアップ方法についての情報を提供します。最初の
4 個の表には、さまざまなコマンド アクションの実行に必要な権限を指定できる
CLI コマンドを示します。コマンドごとに、権限を定義するオブジェクトと、変
更の権限または完全な管理権限が選択されている場合に使用できる特定のコマン
ド アクションが示されます。この情報を使用して、独自の役割(ユーザーの役割
とも呼ばれる)を作成できます。この役割に関連づけられたユーザーに、ジョブ
の実行に厳密に必要な権限を付与します。または、コマンドに対する完全な管理
権限をすでに含む事前定義された役割をユーザーに関連づけることもできます。
66 ページの表 7 には、プレフィックスが cel のコマンドを示します。66 ページの
表 8 には、プレフィックスが fs のコマンドを示します。67 ページの表 9 には、プ
レフィックスが nas のコマンドを示します。69 ページの表 10 には、プレフィッ
クスが server のコマンドを示します。
役割に基づくユーザー アクセスは、[設定]>[セキュリティ]>[ユーザー管
理]>[ファイルに対するユーザーのカスタマイズ]>[役割]で作成および管
理できます。この機能については、Unisphere のオンライン ヘルプを参照してく
ださい。ユーザー アカウントを作成し、そのユーザーをグループと役割に関連づ
けるには、root であるか、root または security operator の権限を持つユーザーで
ある必要があります。
注:「VNX リリース ノート」には、Unisphere に root としてログインする方法が説明して
あります。
読み取り専用権限。ユーザーが関連づけられる役割に関係なく、ユーザーは常に、
情報を表示するすべてのコマンドおよびコマンド オプションに対する読み取り専
用権限を持ちます。読み取り専用権限で使用可能なコマンド アクションには、
info、list、status、verify があります。72 ページの表 11 には、任意の役割に関連
づけられたユーザーが実行可能なコマンドを示します。
役割に基づくアクセス機能の対象外のコマンド。 73 ページの表 12 には、役割に基づ
くアクセス機能の対象外のコマンドを示します。これらのコマンドには、スクリ
プトを起動するものや、従来型の実行可能プログラムに基づくもの、内在的な
VNX for File オブジェクトに関連づけられるものがあります。コマンドに関連づけ
られた VNX for File オブジェクトが、[設定]>[セキュリティ]>[ユーザー管
理]>[ファイルに対するユーザーのカスタマイズ]>[役割]>[作成]に存
在しない場合は、さまざまなコマンド アクションの実行に必要な権限を指定でき
る独自の(ユーザーの)役割を作成できません。このため、これらのコマンドを
実行できるのは、デフォルトのローカル ユーザー アカウントの root と
nasadmin、また場合によっては、ローカル root と nasadmin の役割に関連づけら
れたユーザー アカウントのみです。
この機能の概念については、Unisphere オンライン ヘルプを参照してください。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
65/94
表7
cel コマンド
注: オブジェクト カテゴリーの列には、権限を設定できる[設定]>[セキュリティ]>[ユーザー管理]>
[ファイルに対するユーザーのカスタマイズ]>[役割]ダイアログ ボックスのフィールドを示します。
コマンド
オブジェクト カテゴリー
cel_fscelfs
[ストレージ]>[ファイル
システム]
表8
変更権限で使用可能
なアクション
完全な管理権限で使用
可能なアクション
事前定義の役割に含ま
れる内容
extract
import
ストレージ管理者
FileMover アプリケー
ション
fs コマンド
注: オブジェクト カテゴリーの列には、権限を設定できる[設定]>[セキュリティ]>[ユーザー管理]>
[ファイルに対するユーザーのカスタマイズ]>[役割]ダイアログ ボックスのフィールドを示します。
コマンド
オブジェクト カテゴリー
変更権限で使用可能
なアクション
完全な管理権限で使用
可能なアクション
事前定義の役割に含ま
れる内容
fs_ckpt
[データ保護]>
[チェックポイント]
modify
refresh
create
restore
ローカル データ保護
fs_dhsm
[ストレージ]>
[FileMover]
connection modify
modify
connection
create
delete
ストレージ管理者
FileMover アプリケー
ション
fs_group
[ストレージ]>
[ファイル システム]
create
delete
shrink
xtend
ストレージ管理者
FileMover アプリケー
ション
fs_rdf
[ストレージ]>
[ファイル システム]
info
mirror
restore
ストレージ管理者
fs_timefinder
[ストレージ]>
[ファイル システム]
mirror
off
on
refresh
restore
snapshot
ストレージ管理者
66/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
表9
nas コマンド (1 / 2ページ)
注: オブジェクト カテゴリーの列には、権限を設定できる[設定]>[セキュリティ]>[ユーザー管理]>
[ファイルに対するユーザーのカスタマイズ]>[役割]ダイアログ ボックスのフィールドを示します。
コマンド
オブジェクト
カテゴリー
nas_ckpt_schedule [データ保護]>
[チェックポイント]
および
変更権限で使用可能な
アクション
完全な管理権限で使
用可能なアクション
事前定義の役割に含
まれる内容
modify
pause
resume
create
delete
ローカル データ保護
[データ保護]>
[VTLU]
nas_copy
[データ保護]>
[レプリケーション]
create
destination
source
interconnect
no
nas_devicegroup
[ストレージ]>
[ファイル システム]
acl
resume
suspend
no
nas_disk
[ストレージ]>
[ボリューム]
-delete
ストレージ管理者
nas_diskmark
[ストレージ]>
[ファイル システム]
mark
no
nas_fs
[ストレージ]>
[ファイル システム]
acl
create
delete
type
ストレージ管理者
FileMover アプリケー
ション
nas_fsck
[ストレージ]>
[ファイル システム]
start
ストレージ管理者
FileMover アプリケー
ション
nas_license
[システム]>
[ライセンス]
create
delete
init
nas_pool
[ストレージ]>
[プール]
modify
shrink
xtend
create
delete
ストレージ管理者
nas_quotas
[ストレージ]>
[クォータ]>
[ファイル システム]
edit
off
on
-clear
ストレージ管理者
VNX™ for File のセキュリティ構成ガイド
rename
modify
rename
translate access policy start
xtend
セキュリティ監理者
リリース 7.0
67/94
表9
nas コマンド (2 / 2ページ)
注: オブジェクト カテゴリーの列には、権限を設定できる[設定]>[セキュリティ]>[ユーザー管理]>
[ファイルに対するユーザーのカスタマイズ]>[役割]ダイアログ ボックスのフィールドを示します。
オブジェクト
カテゴリー
変更権限で使用可能な
アクション
完全な管理権限で使
用可能なアクション
事前定義の役割に含
まれる内容
nas_replicate
[データ保護]>
[レプリケーション]
modify
refresh
create
delete
failover
reverse
start
stop
switchover
no
nas_server
[システム]>[Data
Mover]
[プロトコル]>
[CIFS]
acl
rename
コマンド
create
delete
([システム]>
[Data Mover]オブ
ジェクト カテゴリー)
no
vdm
([プロトコル]>
[CIFS]オブジェクト
カテゴリー)
nas_slice
[ストレージ]>
[ボリューム]
rename
create
delete
ストレージ管理者
nas_storage
[ストレージ]>
[ファイル システム]
modify
rename
acl
delete
fallback
sync
ストレージ管理者
nas_task
[データ保護]>
[レプリケーション]
abort
delete
no
nas_volume
[ストレージ]>
[ボリューム]
acl
clone
create
delete
ストレージ管理者
68/94 リリース 7.0
rename
xtend
VNX™ for File のセキュリティ構成ガイド
表 10
server コマンド (1 / 4ページ)
注: オブジェクト カテゴリーの列には、権限を設定できる[設定]>[セキュリティ]>[ユーザー管理]>
[ファイルに対するユーザーのカスタマイズ]>[役割]ダイアログ ボックスのフィールドを示します。
コマンド
オブジェクト
カテゴリー
server_arp
[ネットワーク]>
[NIS]
server_cdms
[ストレージ]>[移行]
server_certificate
[セキュリティ]>
[公開鍵証明書]
server_cifs
[プロトコル]>[CIFS]
server_cifssupport [プロトコル]>[CIFS]
変更権限で使用可能
なアクション
完全な管理権限で使用
可能なアクション
事前定義の役割に含ま
れる内容
delete
set
ネットワーク管理者
connect
disconnect
ストレージ管理者
cacertificate
delete
import
persona
clear
generate
import
セキュリティ監理者
disable
enable
join
rename
replace
unjoin
update
add
delete
migrate
no
acl
secmap update
secmap
create
delete
import
migration
no
halt
reboot
no
convert
halt
start
server_cpu
[システム]>
[Data Mover]
server_date
[システム]>
[Data Mover]
timesvc
hosts
start
update
timesvc
delete
set
stop
no
server_devconfig
[ストレージ]>
[ストレージ システム]
rename
-create
ストレージ管理者
server_dns
[ネットワーク]>
[DNS]
-option
delete
protocol
ネットワーク管理者
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
69/94
表 10
server コマンド (2 / 4ページ)
注: オブジェクト カテゴリーの列には、権限を設定できる[設定]>[セキュリティ]>[ユーザー管理]>
[ファイルに対するユーザーのカスタマイズ]>[役割]ダイアログ ボックスのフィールドを示します。
オブジェクト
カテゴリー
変更権限で使用可能
なアクション
完全な管理権限で使用
可能なアクション
事前定義の役割に含ま
れる内容
[プロトコル]>[NFS]
または
unexport
protocol(NFS)
no
service
start
stop
ネットワーク管理者
コマンド
server_export
[プロトコル]>[CIFS]
server_ftp
[プロトコル]>[NFS]
modify
service stat reset
server_http
[ストレージ]>
[FileMover]
modify
append
remove
service
start
stop
server_ifconfig
[ネットワーク]>
[インタフェース]
up
down
ipsec
noipsec
mtu
vlan
create
delete
ネットワーク管理者
server_kerberos
[プロトコル]>[CIFS]
keytab
ccache
kadmin
add
delete
セキュリティ監理者
server_ldap
[ネットワーク]>
[NIS]
set
clear
service
start
stop
ネットワーク管理者
server_mount
[ストレージ]>
[ファイル システム]
all
force
options
ローカル データ保護
ストレージ管理者
create
delete
ローカル データ保護
ストレージ管理者
server_mountpoint [ストレージ]>
[ファイル システム]
ストレージ管理者
FileMover アプリケー
ション
server_mpfsstat
[ストレージ]>
[ファイル システム]
z
Z
ストレージ管理者
FileMover アプリケー
ション
server_name
[システム]>[Data
Mover]
<new_name>
no
70/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
表 10
server コマンド (3 / 4ページ)
注: オブジェクト カテゴリーの列には、権限を設定できる[設定]>[セキュリティ]>[ユーザー管理]>
[ファイルに対するユーザーのカスタマイズ]>[役割]ダイアログ ボックスのフィールドを示します。
コマンド
オブジェクト
カテゴリー
変更権限で使用可能
なアクション
完全な管理権限で使用
可能なアクション
事前定義の役割に含ま
れる内容
server_nfs
[プロトコル]>[NFS]
user
v4
client
stats zero
principal
service
v4 service
no
コマンド オプションの
mapper set および
mapping は root でのみ
実行できます
server_nfsstat
[プロトコル]>[NFS]
zero
server_nis
[ネットワーク]>
[NIS]
server_param
[システム]>[Data
Mover]
facility
no
server_rip
[ネットワーク]>
[ルーティング]
ripin
noripin
ネットワーク管理者
server_route
[ネットワーク]>
[ルーティング]
server_security
[プロトコル]>[CIFS]
modify
update
server_setup
[システム]>[Data
Mover]
load
protocol
load
server_snmp
[ネットワーク]>
[NIS]
server_standby
[システム]>[Data
Mover]
server_sysconfig
server_umount
no
-delete
ネットワーク管理者
add
delete
flush
deleteAll
ネットワーク管理者
add
delete
セキュリティ監理者
no
community
location
syscontact
ネットワーク管理者
activate
restore
create
delete
no
[ネットワーク]>
[デバイス]
pci
virtual
delete
new
ネットワーク管理者
[ストレージ]>
[ファイル システム]
temp
all
perm
ローカル データ保護
ストレージ管理者
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
71/94
表 10
server コマンド (4 / 4ページ)
注: オブジェクト カテゴリーの列には、権限を設定できる[設定]>[セキュリティ]>[ユーザー管理]>
[ファイルに対するユーザーのカスタマイズ]>[役割]ダイアログ ボックスのフィールドを示します。
オブジェクト
カテゴリー
コマンド
変更権限で使用可能
なアクション
完全な管理権限で使用
可能なアクション
事前定義の役割に含ま
れる内容
server_usermapp
er
[プロトコル]>[CIFS]
disable
enable
import
remove
no
server_vtlu
[データ保護]>[VTLU] service set
storage
export
extend
import
tlu modify
drive umount
storage
delete
new
tape
eject
inject
tlu delete
ローカル データ保護
表 11
すべての役割が実行する権限を持つコマンド
コマンド
nas_inventory
server_checkup
server_df
server_ping
server_ping6
server_sysstat
server_uptime
server_version
72/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
表 12
役割に基づくアクセス機能の対象外のコマンド (1 / 2ページ)
コマンド
注意事項
cs_standby
root 権限が必要
nas_aclnasacl
nasadmin 権限で実行可能
nas_automountmap
nasadmin 権限で実行可能
nas_ca_certificate
証明書の生成には root 権限が必要
nas_cel
nasadmin 権限で実行可能
nas_checkup
nasadmin 権限で実行可能
nas_connecthome
変更およびテストには root 権限が必要
nas_config
root 権限が必要
nas_emailuser
nasadmin 権限で実行可能
nas_event
nasadmin 権限で実行可能
nas_halt
root 権限が必要
nas_logviewer
nasadmin 権限で実行可能
nas_message
nasadmin 権限で実行可能
nas_mview
root 権限が必要
nas_rdf
root 権限が必要
nas_version
nasadmin 権限で実行可能
server_archive
nasadmin 権限で実行可能
server_cepp
nasadmin 権限で実行可能
server_dbms
データベースの削除、圧縮、修復、リストアには root 権限が
必要
server_file
nasadmin 権限で実行可能
server_ipsec
nasadmin 権限で実行可能
server_iscsi
nasadmin 権限で実行可能
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
73/94
表 12
74/94 リリース 7.0
役割に基づくアクセス機能の対象外のコマンド (2 / 2ページ)
コマンド
注意事項
server_log
nasadmin 権限で実行可能
server_mpfs
nasadmin 権限で実行可能
server_mt
nasadmin 権限で実行可能
server_netstat
nasadmin 権限で実行可能
server_nfs
セキュア NFS マッピングの構成には root 権限が必要
server_pax
統計情報をリセットするには root 権限が必要
server_snmpd
nasadmin 権限で実行可能
server_stats
nasadmin 権限で実行可能
server_tftp
nasadmin 権限で実行可能
server_user
nasadmin 権限で実行可能
server_viruschk
nasadmin 権限で実行可能
VNX™ for File のセキュリティ構成ガイド
付録 B: サポートされている SSL 暗号スイート
75 ページの表 13 には、VNX for File でサポートされている暗号スイートを示しま
す。このリストでは、SSL または TLS 暗号スイートの規格名と OpenSSL での同
等規格名を示しています。ただし、いくつかの暗号スイートについては、使用さ
れる認証が名前に含まれていません(例:DES-CBC3-SHA)。これらについては、
RSA 認証が使用されます。
次の制限事項が適用されます。
◆
◆
表 13
NULL 暗号とすべての ADH 暗号スイートはデフォルトで無効になっています
(これらの暗号スイートでは認証を許可していないため)。
一部の暗号スイートは、証明書のサイズが原因となり、VNX for File で拒否さ
れることがあります(Data Mover から提供される証明書に 2048 ビットの鍵
が含まれる場合、それより小さい鍵を使用した暗号は拒否されます)。
サポートされている SSL 暗号スイート (1 / 2ページ)
プロトコル
規格名
OpenSSL での名前
SSL v3.0 暗号スイート
SSL_RSA_WITH_NULL_MD5
NULL-MD5
SSL_RSA_WITH_NULL_SHA
NULL-SHA
SSL_RSA_WITH_DES_CBC_SHA
DES-CBC-SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
DES-CBC3-SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
EXP-EDH-RSA-DES-CBC-SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
EDH-RSA-DES-CBC-SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
EDH-RSA-DES-CBC3-SHA
SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
EXP-ADH-RC4-MD5
SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA
EXP-ADH-DES-CBC-SHA
SSL_DH_anon_WITH_DES_CBC_SHA
ADH-DES-CBC-SHA
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
75/94
表 13
サポートされている SSL 暗号スイート (2 / 2ページ)
プロトコル
規格名
OpenSSL での名前
TLS v1.0 暗号スイート
TLS_RSA_WITH_NULL_MD5
NULL-MD5
TLS_RSA_WITH_NULL_SHA
NULL-SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5
EXP-RC4-MD5
TLS_RSA_WITH_RC4_128_MD5
RC4-MD5
TLS_RSA_WITH_RC4_128_SHA
RC4-SHA
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
EXP-DES-CBC-SHA
TLS_DH_anon_WITH_RC4_128_MD5
ADH-RC4-MD5
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
ADH-DES-CBC3-SHA
TLS_RSA_WITH_AES_128_CBC_SHA
AES128-SHA
TLS_RSA_WITH_AES_256_CBC_SHA
AES256-SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
DHE-RSA-AES128-SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
DHE-RSA-AES256-SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA
ADH-AES128-SHA
TLS_DH_anon_WITH_AES_256_CBC_SHA
ADH-AES256-SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
EXP1024-DES-CBC-SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
EXP1024-RC4-SHA
SSL_CK_DES_64_CBC_WITH_MD5
DES-CBC-MD5
SSL_CK_DES_192_EDE3_CBC_WITH_MD5
DES-CBC3-MD5
AES 暗号スイート
(RFC3268)、TLS v1.0
の拡張版
Export 1024 および他の
暗号スイート
注:これらの暗号は
SSL v3 でも使用でき
ます。
SSL v2.0 暗号スイート
76/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
付録 C: LDAP ベースのディレクトリ サーバ構成について
この付録には、LDAP ベースのディレクトリ サーバにおける組織情報の構造をよ
り理解するために役立つツールに関する詳細、およびその情報の解釈方法に関す
るヒントが記載されています。まず、ユーザーとグループが存在する場所を理解
する必要があります。この情報に基づいて、ディレクトリ サーバを設定したり
(26 ページの「ユーザーの識別と認証に外部 LDAP ベースのディレクトリ サーバ
を使用する場合の構成」を参照)、Control Station の LDAP ベースのクライアント
とディレクトリ サーバ間の接続を構成したりします(Unisphere の[設定]>
[セキュリティ](セキュリティ タスク)>[ファイル LDAP ドメインの管理]を
使用して実行)。
LDAP ベースのディレクトリ サービスは、いくつかのツールを使用して管理でき
ます。次に、その一部を示します。
◆
77 ページの「Active Directory ユーザーとコンピュータ」
◆
84 ページの「Ldap Admin」
Active Directory ユーザーとコンピュータ
Active Directory のユーザー アカウントとグループ アカウントは、ADUC(Active
Directory ユーザーとコンピュータ)MMC スナップインを使用して管理できます。
このスナップインは、すべての Windows ドメイン コントローラに自動的にイン
ストールされます。このツールにアクセスするには、[コントロール パネル]>
[管理ツール]>[Active Directory ユーザーとコンピュータ]の順にクリックし
ます。
77 ページの表 14 に、Active Directory に正常に接続するために必要となる情報を
示します。
表 14
Active Directory サーバに接続するために必要な情報
必要な接続情報
値
完全修飾ドメイン名
(基本識別とも呼ばれます)
プライマリ ドメイン コントローラ
/ ディレクトリ サーバの IP アドレ
スまたはホスト名
セカンダリ ドメイン コントローラ
/ ディレクトリ サーバの IP アドレ
スまたはホスト名
アカウント名
(バインド識別名とも呼ばれます)
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
77/94
ステップ アクション
78/94 リリース 7.0
1.
ADUC を開き、(必要に応じて)ドメインに接続します。ドメイン名を右クリックし、メ
ニューから[検索]を選択します。
2.
VNX for File ユーザーとなるドメイン ユーザーを識別します。ユーザー プロファイルを検索
するには、
[検索]フィールドにユーザーの名前を入力し、
[検索開始]をクリックします。
VNX™ for File のセキュリティ構成ガイド
ステップ アクション
3.
[表示]>[列の選択]を選択して、表示されたユーザー情報に X.500 パスを追加します。
4.
[利用可能な列]フィールドから[X500 識別名]を選択し、[追加]をクリックします。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
79/94
ステップ アクション
5.
80/94 リリース 7.0
[検索]ウィンドウに、対象のユーザーの X.500 識別名が表示されます。X.500 識別名に
は、ユーザーの名前(CN=Joe Muggs)とこのユーザーが存在するディレクトリ構造のコ
ンテナへのパス( CN=Users,DC=derbycity,DC=local)が含まれます。パスを記録してお
きます。
VNX™ for File のセキュリティ構成ガイド
ステップ アクション
6.
次のいずれかの方法で、他のすべての VNX for File ユーザーが同じパスを使用しているこ
とを確認します。
• すべての VNX for File ユーザー アカウントに対して検索を繰り返します。
または
• ADUC で該当する領域に移動し、すべての VNX for File ユーザー アカウントを検索し
ます。
7.
ステップ 1 ∼ 6 を繰り返し、グループが存在するディレクトリ構造のコンテナへのパスを
検索します。
ユーザーとグループのパスが両方とも CN=Users,DC=<domain component>,DC=<domain
component>[, DC=<domain component>...](例:CN=Users,DC=derbycity,DC=local)の
場合、Unisphere の[ファイル LDAP ドメインの管理]ビューの[デフォルト Active
Directory]オプションを使用できます。このオプションではユーザーとグループがデ
フォルトのコンテナ(CN=Users)に存在することが想定されるため、ユーザー検索パス
またはグループ検索パスを指定する必要はありません。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
81/94
ステップ アクション
82/94 リリース 7.0
8.
ユーザーがデフォルトのコンテナ(CN=Users)に存在しない場合もあります。たとえ
ば、Celerra ユーザーなどは、代わりにディレクトリ内の他のコンテナまたは組織単位に
存在していることがあります。この場合、Unisphere の[ファイル LDAP ドメインの管
理]ビューの[カスタム Active Directory]オプションを使用して、検索パスを手動で入
力する必要があります。
9.
グループがデフォルトのコンテナ(CN=Users)に存在しない場合もあります(グループ
はユーザーと同じ場所に存在する必要はありません)。その場合、代わりに、ディレクト
リ内の他のコンテナまたは組織単位に存在していることがあります。
VNX™ for File のセキュリティ構成ガイド
ステップ アクション
10.
LDAP ユーザーとグループの検索は、指定したパスから開始され、そのコンテナと下位の
すべてのコンテナを対象として実行されます。VNX for File ユーザーとグループが同じコ
ンテナまたは組織単位に存在しない場合は、ユーザー検索パスとグループ検索パスを指定
するときに、収集パスの交差部分(共通部分)を使用する必要があります。これはドメイ
ンのルートでなければならない場合もあります。たとえば、VNX for File ユーザーが
Active Directory 内の次の 2 か所に格納されていると仮定します。
パス 1:CN=Users,DC=derbycity,DC=local
パス 2:OU=Celerra Users,OU=EMC Celerra,DC=derbycity,DC=local
VNX for File ですべてのユーザーを検索できるようにするには、検索パスとしてこの 2 個
のパスの交差部分(つまり、ドメインのルート DC=derbycity,DC=local)を使用する必要
があります。
Unisphere の[ファイル LDAP ドメインの管理]ビューの[ユーザー検索パス]フィール
ドにこの値を入力します。
11.
再び[検索]ウィンドウを使用して、VNX for File Control Station からディレクトリに接
続するときに使用するアカウントの完全な X.500 パスを特定します。この場合、個々の
アカウントへのパスを指定することになるため、パスからユーザー名を削除しないでくだ
さい。
Unisphere の[ファイル LDAP ドメインの管理]ビューの[デフォルト Active
Directory]オプションを使用している場合は、[アカウント名]フィールドにアカウント
名(例:Celerra LDAP Binding)のみを入力します。VNX for File ソフトウェアにより完
全な X.500 パスが構成されるため、X.500 シンタクスを入力する必要はありません。
[ファイル LDAP ドメインの管理]の[カスタム Active Directory]オプションを使用し
ている場合は、[識別名]フィールドに完全な X.500 パスを入力します。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
83/94
Ldap Admin
Active Directory と異なり、他の LDAP ベースのディレクトリ サーバには通常 GUI
管理インタフェースは付属していません。この場合、Ldap Admin などのツールを
使用して、LDAP サーバ上の適切な検索パスを見つける必要があります。無償の
Ldap Admin ツール(ldapadmin.sourceforge.net から Windows LDAP マネージャ
を入手可能)では、LDAP サーバ上のオブジェクトの参照、検索、変更、作成、
削除が可能です。Ldap Admin のクリップボードへのコピー機能では、値を
Unisphere の[設定]>[セキュリティ](セキュリティ タスク)>[ファイル
LDAP ドメインの管理]フィールドに簡単に移すことができ、特に便利です。
84 ページの表 15 に、カスタマイズされた Active Directory または他の LDAP ベー
スのディレクトリ サーバ(OpenLDAP など)に正常に接続するために必要となる
情報を示します。
表 15
カスタマイズされた Active Directory または他の LDAP ベースのディレクトリ サーバに
接続するために必要な情報
必要な接続情報
値
完全修飾ドメイン名
(基本識別とも呼ばれます)
プライマリ ディレクトリ サーバの
IP アドレスまたはホスト名
セカンダリ ディレクトリ サーバの
IP アドレスまたはホスト名
識別名
(バインド識別名とも呼ばれます)
ユーザー検索パス
ユーザー名属性
グループ検索パス
グループ名属性
グループ クラス
グループ メンバー
84/94 リリース 7.0
VNX™ for File のセキュリティ構成ガイド
ステップ アクション
1.
Ldap Admin を起動し、新しい接続を作成します。[テスト接続]をクリックして接続を確
認します。
2.
LDAP サーバへの接続を開き、ドメイン名を右クリックして、メニューから[検索]を選
択します。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
85/94
ステップ アクション
86/94 リリース 7.0
3.
VNX for File ユーザーとなる LDAP ユーザーを識別します。ユーザー プロファイルを検索
するには、[名前]フィールドにユーザーの名前を入力し、[開始]をクリックします。
4.
表示されたリストで該当するユーザーを右クリックして、メニューから[ジャンプ]を選
択します。このユーザーを使用して、ユーザー検索パスとグループ検索パスを決定するこ
とになります。[検索]ウィンドウを閉じます。
VNX™ for File のセキュリティ構成ガイド
ステップ アクション
5.
Ldap Admin のメイン ウィンドウで、ステータス バーにユーザーが存在するフォルダの
DN(識別名)が表示されていることを確認します。LDAP サーバの多くは、RFC2307 に
記載の規則に従ってユーザーを People コンテナに格納します。
6.
フォルダを右クリックして、メニューから[クリップボードに dn をコピー]を選択し
ます。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
87/94
ステップ アクション
88/94 リリース 7.0
7.
Unisphere の[ファイル LDAP ドメインの管理]ビューで[他のディレクトリ サーバ]
オプションを選択します。[ユーザー検索パス]フィールドに DN 値をペーストします。
8.
次のいずれかの方法で、他のすべての VNX for File ユーザーが同じパスを使用しているこ
とを確認します。
• すべての VNX for File ユーザー アカウントに対して検索を繰り返します。
または
• Ldap Admin で該当するディレクトリ領域に移動し、すべての VNX for File ユーザー ア
カウントを検索します。
VNX™ for File のセキュリティ構成ガイド
ステップ アクション
9.
ステップ 2 ∼ 8 を繰り返し、グループが存在するディレクトリ構造のコンテナへのパスを
グループ名で検索します。グループ名で検索する場合、高度な検索機能を使用して、
cn=<group name> の形式で検索フィルタを指定します。検索が完了したら、表示された
リストで該当するグループを右クリックして、メニューから[ジャンプ]を選択します。
10.
LDAP ユーザーとグループの検索は、指定したパスから開始され、そのコンテナと下位の
すべてのコンテナを対象として実行されます。VNX for File ユーザーとグループが同じコ
ンテナまたは組織単位に存在しない場合は、ユーザー検索パスとグループ検索パスを指定
するときに、収集パスの交差部分(共通部分)を使用する必要があります。これはドメイ
ンのルートでなければならない場合もあります。たとえば、VNX for File ユーザーが
LDAP 内の次の 2 か所に格納されていると仮定します。
パス 1:OU=People,DC=openldap-eng,DC=local
パス 2:OU=Celerra Users,OU=EMC Celerra, DC=openldap-eng,DC=local
VNX for File ですべての VNX for File ユーザーを検索できるようにするには、検索パスと
して 2 個のパスの交差部分(つまり、ドメインのルート DC=openldap-eng,DC=local)を
使用する必要があります。
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
89/94
ステップ アクション
11.
90/94 リリース 7.0
[検索]ウィンドウを使用して、VNX for File Control Station からディレクトリに接続する
ときに使用するユーザー アカウントを特定します。アカウント名を右クリックして、[ク
リップボードに dn をコピー]を選択します。Unisphere の[ファイル LDAP ドメインの
管理]ビューの[識別名]フィールドに DN 値(例:uid=celerra,ou=People)をペースト
します。
VNX™ for File のセキュリティ構成ガイド
M
インデックス
MOTD 10
C
N
CA 証明書
一覧表示 46, 55
インポート 25, 49
削除 56
取得 25, 46
生成 49
配布 52
表示 50
プロパティの表示 55
取得 39
CIFS Kerberos 認証 15
Control Station
CA としての使用 39
LDAP ベースのディレクトリ サーバの使用 12
Linux オペレーティング システムの変更 9
MOTD 10
SSL(X.509)証明書 14
アクセス制御のセキュリティ 12
インフラストラクチャのセキュリティ 10
監査 11
ディレクトリ サーバの使用のための構成 26
セキュリティ 5, 9
セッション タイムアウト 10
データを保護するセキュリティ 14
ネットワーク サービス管理 10
パスワード品質ポリシー 13
役割に基づいたユーザー アクセス 13
ユーザーの識別と認証 12
ログイン バナー 10
cookie 9, 11
D
Data Mover
CIFS Kerberos 認証 15
NFS セキュリティ設定 16
Packet Reflect 17
PKI 18
SNMP management 17
SSL(X.509)証明書 18
UNIX ユーザーに対する Windows スタイルの認証情報
16
アクセス ポリシー 16
インフラストラクチャを保護するセキュリティ 15
セキュリティ 5, 9
データを保護するセキュリティ 18
ネットワーク サービス管理 15
L
LDAP ベースのディレクトリ
構造 19
LDAP ベースのディレクトリ サーバ
ツール 77
トラブルシューティング 58, 59
ユーザーの識別と認証のための使用 12, 26
VNX™ for File のセキュリティ構成ガイド
NFS
エクスポートの非表示 16
セキュリティ設定 16
P
Packet Reflect 17
PKI 36
PKI(公開鍵基盤)
S
SHA1 9, 11
SNMP management 17
SSL 21
Celerra Manager での証明書の使用 14
Control Station と LDAP ベースのディレクトリ サーバの
接続のための証明書の使用 14
HTTP での証明書の使用 18, 36
LDAP での証明書の使用 18, 36
暗号スイートの変更 37
サポートされている暗号スイート 75
トラブルシューティング 59
プロトコル バージョンの変更 37
SSL(Secure Socket Layer)
W
Windows スタイルの認証情報 16
あ
アクセス ポリシー 16
か
監査 11
管理権限 13
き
今日のメッセージ 10
作成 34
こ
公開鍵証明書 18
CA 証明書 25
CA 署名済みの証明書のインポート 44
CA への証明書要求の送信 43
一覧表示 54
鍵セットと証明書要求の生成 40
クリア 54
作成 39
表示 53
ペルソナ 23
リリース 7.0
91/94
し
証明書、公開鍵
証明書の検証 21
せ
セッション タイムアウト 10
構成 31
変更 32
無効化 32
セッション トークン 9, 11
SHA1 秘密値の変更 35
ち
チェックサムのサポート 9, 11
と
トラブルシューティング 57
Control Station からディレクトリ サーバへの接続 58
SSL セッションのセットアップ 59
ドメインにマップされたユーザー アカウント 61
バインド アカウントの作成 58
ローカル ユーザー アカウント 59
ね
ネットワーク サービス管理 10, 15
は
パスワード
スクリプトを使用したポリシーの定義 29
デフォルトの変更 22
特定のポリシー定義の規定 30
品質ポリシー 13, 22
有効期限の設定 30
へ
ペルソナ
鍵セットの生成 23
証明書のインポート 23
証明書の提供 39
署名済み証明書の要求 23
や
役割に基づいたユーザー アクセス 13
ゆ
ユーザー
ディレクトリ サーバを使用した識別と認証 19
トラブルシューティング 59, 61
ユーザー インタフェースの選択 5
ユーザーの識別と認証 12
ろ
ログイン バナー 10
カスタマイズ 33
92/94
リリース 7.0
VNX™ for File のセキュリティ構成ガイド
注意事項
VNX™ for File のセキュリティ構成ガイド
リリース 7.0
93/94
このドキュメントについて
Celerra Network Server 製品ラインのパフォーマンスおよび機能を、継続的に改善、強化するための努力の一環として、EMC では Celerra
ハードウェアおよびソフトウェアの新しいバージョンを定期的にリリースしています。そのため、本書で説明されている機能の中には、現
在お使いの Celerra ソフトウェアまたはハードウェアのバージョンでサポートされていないものもあります。製品機能の最新情報について
は、お使いの製品のリリース ノートを参照してください。Celerra システムが本書の説明どおりに動作しない場合は、EMC カスタマー サ
ポートの担当者にハードウェア アップグレードまたはソフトウェア アップグレードについてお問い合わせください。
ドキュメントについてのご意見およびご提案
マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしております。このガイドに関するご意見を
[email protected] 宛てにお送りください。
Copyright © 1998-2011 EMC Corporation. 不許複製
EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。また情報は予告なく変更されることがあ
ります。
このドキュメントの情報は「現状のまま」提供されます。EMC Corporation は、このドキュメントに記載されている情報についていかなる
種類の表現または保証もいたしかねます。また、特に、特定の目的のための、市販性または適合性の暗黙の保証を否定します。
このドキュメントで説明されているいかなる EMC ソフトウェアの使用、コピー、配布に関しても、適切なソフトウェア ライセンスが必要
です。
製品ラインの最新規制のドキュメントについては、EMC Powerlink の「Technical Documentation and Advisories」セクションにアクセスし
てください。
最新の EMC 製品名のリストについては、http://japan.emc.com の商標に関するページ(EMC Corporation Trademarks)を参照してくだ
さい。
他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。
94/94 リリース 7.0
Fly UP