Page 1
Dell Data Protection
構成ガイド
Page 2
© 2014 Dell Inc.
DDP|E、DDP|ST、およ び DDP|CE ドキュメントセットに使用されている登録商標および商標:Dell™ および Dell ロゴ、Dell
®
Precision™、OptiPlex™、ControlVault™、Latitude™、XPS
、および KACE™ は、Dell Inc. の商標です。Intel®、Pentiu m®、Intel
Core Inside Duo®、Itanium®、および Xeon® は、米国およびその他の国における Intel Corporation の登録商標です。Adobe®、
®、
Acrobat
および Flash® は、Adobe Systems Incorporated の登録商標です。Authen Tec® および Eikon® は、Authen Tec の登録
商標です。AMD® は、Advanced Micro Devices, Inc. の登録商標です。Microsoft®、Windows®、および Windows Server®、Internet
®
Explorer
To Go
、MS-DOS®、Windows Vista®、MSN®、ActiveX®、Active Directory®、Access®、ActiveSync®、BitLocker®、BitLocker
®
、Excel®、Hyper-V®、Silverlight®、Outlook®、PowerPoint®、Skydrive®、SQL Server®、および Visual C++® は、米国お
よび/またはその他の国における Microsoft Corporation の商標または登録商標です。VMware® は、米国およびその他の国にお
®
ける VMware, Inc. の登録商標または商標です。Box
は、Box の登録商標です。DropboxSM は、Dropbox, Inc. のサービスマーク
です。Google™、Android™、Google™ Chrome™、Gmail™、YouTube®、および Google™ Play は、米国およびその他の国におけ
®
る Google Inc. の商標または登録商標です。Apple
®
FileVault™、iCloud
SM
、iPad®、iPhone®、iPhoto®、iTunes Music Store®、Macintosh®、Safari®、および Siri® は、米国および
/またはその他の国における Apple, Inc. のサービスマーク、商標、または登録商標です。GO ID
、Aperture®、App StoreSM、Apple Remote Desktop™、Apple TV®、Boot Camp™、
®
、RSA®、および SecurID
®
は、EMC Corporation の登録商標です。EnCase™ および Guidance Software® は、Guidance Software の商標または登録商標で
す。Entrust® は、米国およびその他の国における Entrust®, Inc. の登録商標です。InstallShield® は、米国、中国、欧州共同体、
®
香港、日本、台湾、および英国における Flexera Software の登録商標です。Micron
および RealSSD® は、米国およびその他の
国における Micron Technology, Inc. の登録商標です。Mozilla® Firefox® は、米国および/またはその他の国における Mozilla
®
Foun da ti on の登録商標です。iOS
ライセンスに基づき使用されています。Oracle
の名称は各社の商標である場合があります。SAMSUNG™ は、米国およびその他の国における SAMSUNG の商標です。Seagate
は、米国およびその他一部の国における Cisco Systems, Inc. の商標または登録商標であり、
®
および Java® は、Oracle および/またはその関連会社の登録商標です。その他
®
は、米国および/またはその他の国における Seagate Technology LLC の 登録商標です。Travelstar® は、米国およびその他の国
における HGST, Inc. の登録商標です。UNIX® は、The Open Group の登録商標です。VALIDITY™ は、米国およびその他の国
®
における Validity S e n s o r s , I n c . の商標です。Ve ri Si g n
およびその他の関連標章は、米国およびその他の国における Ver iSign, Inc.
またはその関連会社あるいは子会社の商標または登録商標であり、Symantec Corporation にライセンス供与されています。KVM
®
は、Video Products の登録商標です。Yahoo!® は、Yahoo! Inc. の登録商標です。
on IP
この製品は、7-Zip プログラムの一部を使用します。 ソースコードは、 www.7-zip.org で入手できます。 ライセンスには GNU LGPL
ライセンス + unRAR 制限事項 (www.7-zip.org/license.txt)が適用されます。
2014 年 02 月
次の特許を含む 1 つまたは複数のアメリカ合衆国の特許により保護されています。特許番号 7665125、特許番号 7437752、特許
番号 7665118。
本書に記載された情報は、通知なく変更される場合があります。
Page 3
目次
1 Compatibility Server の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
server_config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
gkresource.xml
ドメイン \ ユーザー名の形式の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
run-service.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2 Core Server の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
ポリシーアービトレーションの最高セキュアから最低セキュアへの変更 . . . . . . . . . . . . . . 13
PolicyService.config
Web Services の無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
SMTP サーバーのライセンスメール通知の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
NotificationObjects.config
Notification.config. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Core Server 構成ファイルへの Compatibility Server のフォルダ位置の追加
Core Server による認証方法の反復の許可
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
. . . . . . . . . . . . . . 15
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3 Device Server の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
eserver.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
run-service.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4 Security Server の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
context.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
5 暗号化機能の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
一時ファイル削除の防止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
オーバーレイアイコンの非表示
システムトレイアイコンの非表示
スロットアクティベーション
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
構成ガイド 3
Page 4
強制ポーリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
インベントリオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
ドメイン以外のアクティベーション
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
6 Kerberos 認証/権限のコンポーネントの構成 . . . . . . . . . . . . . . . . . . . . . 25
Kerberos 認証/権限のコンポーネントの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Windows サービスの手順
Key Server の構成ファイルの手順
サンプル構成ファイル:
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Windows サービスの手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
リモート管理コンソールの手順
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
7 フォレンジック管理者ロールの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . 29
リモート管理コンソールの手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
フォレンジック認証の無効化
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
8Cron 表現 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Cron 表現入門 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Cron 表現の形式
特殊文字
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
例
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
9 Keytool を使用した自己署名証明書の作成と証明書署名要求の生成 . . . 35
新しい鍵ペアと自己署名証明書の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
証明機関への署名付き証明書の要求
ルート証明書のインポート
証明書の要求方法の例
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4 構成ガイド
Page 5
1
Compatibility Server の構成
この章では、Compatibility Server をご使用の環境に適用させるために変更するパラメータについて詳しく説明します。構成
ファイルは、編集する前に必ずバックアップしてください。
これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の
その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。
の許可されていない変更に起因する問題が、
Compatibility Server の再インストールなしで解決できることを保証できません。
server_config.xml
<Compatibility Server のインストールディレクトリ >\conf\server_config.xml の次のパラメータを変更できます。変更して
はいけないパラメータには、その旨の注記があります。
Service
有効にします。
を停止して server_config.xml ファイルを編集し、Compatibility Server Service を再起動してこのファイルの変更内容を
パラメータ デフォルト 説明
secrets.location $dell.home$/conf/secretKeyStore
archive.location $dell.home$/conf/archive
domain.qualified.authentication true
directory.max.search.size 1000
directory.server.search.timeout.seconds 60
directory.client.search.timeout 60
Compatibility Server が起動されている場合、Compatibility Server
server_config.xml
secretkeystore のデフォルトの場所。このファ
イルをデフォルトの場所から変更する場合
は、このパラメータを更新します。
アーカイブのデフォルトの場所。このファイ
ルをデフォルトの場所から変更する場合は、
このパラメータを更新します。
サーバーへのすべての要求に完全修飾ユー
ザーログイン名が必要かどうかを示します。
この値を変更した場合は、Device Server を再
起動しないと新しい値が有効になりません。
ディレクトリ検索の制限の後、例外がスロー
されます。
LDAP 検索のサーバータイムアウト(秒単位)。
LDAP 検索のクライアントタイムアウト(秒
単位)。
Dell は、これらのファイル
構成ガイド 5
Page 6
server_config.xml
パラメータ デフォルト 説明
rmi.recovery.host
default.gatekeeper.group.remote CMGREMOTE
rsa.securid.enabled false
inv.queue.task.worker.size 10
inv.queue.task.timeout.seconds 900
inv.queue.task.retry.count 3
report.retry.max 120
report.retry.wait.millis 250
マルチサーバー EMS 復元を使用するには :
<!--
- uncomment and change host names to your
fully qualified domain names to chain
recovery
<property name="rmi.recovery.host">
<value>rmi://foo.fabrikam.com:1099</valu
e>
</property>
<property name="rmi.recovery.host">
<value>rmi://foo.fabrikam2.com:1099</val
ue>
</property>
-->
すべてのポリシープロキシがデフォルトで所
属しているグループのデフォルト名。この名
前をここで、または
Device Server の
context.properties で変更できます。
ここでグループ名を変更しときに次の事項を
実行する場合は、
名を変更する必要があります。
• Windows デバイスの Shield
• CREDActivate の使用
すべてのポリシープロキシを単一のグループ
に所属させることを推奨します。
Device Server でもグループ
Microsoft Windows バージョン 6 に RSA
SecurID
している場合は、このパラメータを
定して、
と再起動を行います。
を GINA Replacement として使用
true に設
Compatibility Server Service の停止
RSA GINA Replacement 環境で Shield ユ ー
ザーがアクティベーションされたら、
証が
LDAP 認証を置換します。
インベントリキューを処理するスレッドの数。
タイムアウトが発生するまでの秒数。
サーバーがインベントリを、廃棄される前に
処理を試行する回数。
再試行の最大回数。
再試行までのミリ秒数。
RSA 認
6 構成ガイド
Page 7
server_config.xml
パラメータ デフォルト 説明
triage.execute.time 0 0 0/6 * *
gatekeeper.service.max.sessions 5
gatekeeper.service.max.session.timeout 5
security.authorization.method.IAdministrati
AcctAdmin
veService.updateAdminRoles
security.authorization.method.IAdministrati
AcctAdmin
veService.getAdministrativeAccountGroups
security.authorization.method.IAdministrati
SystemAdmin、LogAdmin ログセッションを取得するために必要な
veService.openGetLogsSession
security.authorization.method.IAdministrati
SystemAdmin、LogAdmin ログを取得するために必要なロール。
veService.getLogs
security.authorization.method.IAdministrati
SystemAdmin、LogAdmin ログ列リストを取得するために必要なロール。
veService.getLogColumnList
security.authorization.method.IAdministrati
SystemAdmin、LogAdmin ログカテゴリリストを取得するために必要な
veService.getLogCategoryList
security.authorization.method.IAdministrati
SystemAdmin、LogAdmin ログ優先順位リストを取得するために必要な
veService.getLogPriorityList
security.authorization.method.IAdministrati
veService.getUniqueIdName
security.authorization.method.IAdministrati
AcctAdmin、SecAdmin、HelpDeskAdmin、
SystemAdmin
AcctAdmin
veService.getAdministrators
security.authorization.method.IAdministrati
SuperAdmin
veService.setSuperAdminPassword
security.authorization.method.IAdministrati
SecAdmin
veService.resetSuperAdminPassword
security.authorization.method.IAdministrati
SystemAdmin、SecAdmin ドメインを追加するために必要なロール。
veService.addDomain
security.authorization.method.IAdministrati
SystemAdmin、SecAdmin ドメインを削除するために必要なロール。
veService.removeDomain
security.authorization.method.IAdministrati
SystemAdmin、SecAdmin ドメインを更新するために必要なロール。
veService.updateDomain
security.authorization.method.IAdministrati
SystemAdmin、SecAdmin グループを追加するために必要なロール。
veService.addGroups
security.authorization.method.IAdministrati
SystemAdmin、SecAdmin グループを削除するために必要なロール。
veService.removeGroup
トリアージは、サーバーがすでに認識している
ユーザーおよびグループを調整する処理です。
デフォルト設定は 0 0 0/6 * * ? で、夜中から 6
時間ごと(午前 0 時、午前 6 時、正午、午後
6 時、午前 0 時、以下同様)にトリアージを実
行することを意味します。
ポリシープロキシセッションの最大回数。
ポリシープロキシセッションの最大回数のタ
イムアウト。
グループまたはユーザーの管理ロールを更新
するために必要なロール。
グループまたはユーザーの管理ロールを更新
するために必要なロール
ロール。
ロール。
ロール。
固有 ID 名を取得するために必要なロール。
システムの管理者リストを取得するために必
要なロール。
superadmin パスワードを設定するために必
要なロール。
superadmin パスワードをリセットするため
に必要なロール。
構成ガイド 7
Page 8
server_config.xml
パラメータ デフォルト 説明
security.authorization.method.IAdministrati
SystemAdmin、SecAdmin LDAP グループを検索するために必要な
veService.findLdapGroups
security.authorization.method.IAdministrati
SystemAdmin、SecAdmin LDAP ユーザーを検索するために必要な
veService.findLdapUsers
security.authorization.method.IAdministrati
SystemAdmin、SecAdmin ユーザーを追加するために必要なロール。
veService.addUsers
security.authorization.method.IAdministrati
SystemAdmin
veService.addLicense
security.authorization.method.IAdministrati
SystemAdmin
veService.getLicense
security.authorization.method.IDeviceMana
HelpDeskAdmin、SecAdmin デバイスを復元するために必要なロール。
ger.recoverDevice
security.authorization.method.IDeviceMana
HelpDeskAdmin、SecAdmin ユーザーを一時停止するために必要なロール。
ger.isUserSuspended
security.authorization.method.DeviceManag
SecAdmin
erService.proxyActivate
security.authorization.method.DeviceManag
HelpDeskAdmin、SecAdmin プロキシによってデバイスを手動で復元する
erService.proxiedDeviceManualAuth
security.authorization.method.IFileManager.
SystemAdmin
getGatekeeperResource
security.authorization.method.IFileManager.
SystemAdmin
approveGatekeeperResource
security.authorization.method.IFileManager.
SystemAdmin
approveGatekeeperConfig
policy.arbiter.security.mode most-restrictive
policy.set.synchronization.sync-unmodified true
db.schema.version.major
db.schema.version.minor
ロール。
ロール。
エンタープライズライセンスを追加するため
に必要なロール。
エンタープライズライセンスを表示するため
に必要なロール。
プロキシによってデバイスをアクティベー
ションするために必要なロール。
ために必要なロール。
Gatekeeper リソースファイルを取得するため
に必要なロール。
Gatekeeper リソースファイルを承認するため
に必要なロール。
Gatekeeper 構成を承認するために必要な
ロール。
このプロパティは、ポリシーに複数の親ノー
ドがあるときに、セキュリティバイアスを持
つポリシー要素に対してポリシーマッピング
アルゴリズムをどのように機能させるかを制
御します。
値:
Least-restrictive に設定すると、制限が最も緩
い、親からの要素値が使用されます
Most-restrictive に設定すると、制限が最も
厳しい、すべての親からの要素値が使用され
ます
このフラグは、次の外部同期によって、変更
されたフラグを
ポリシー要素を追加または再マッピングされ
る必要があることを示します。このフラグは
同期ごとに
キュリティ管理者が変更なしに追加する場合
はリセットする必要があります。これは詳細
オプションです。
メジャーデータベーススキーマ。
マイナーデータベーススキーマ。
true に設定せずに、すべての
false に切り替えられるため、セ
8 構成ガイド
Page 9
server_config.xml
パラメータ デフォルト 説明
db.schema.version.patch
dao.db.driver.dir $dell.home$/lib/mssql-microsoft
dao.db.host
dao.db.name
dao.db.user
dao.db.password
dao.db.max.retry.count 10
dao.db.connection.retry.wait.seconds 5
dao.connection.pool.max.uses 10000
dao.connection.pool.inactive.threshold.seco
900
nds
dao.db.driver.socket.errors 0
dao.db.mssql.compatability.level 90
vfs.file.handler.auth com.credant.guardian.server.vfs.AuthFileHan
dler
vfs.file.handler.inventory com.credant.guardian.server.vfs.InventoryFil
eHandler
データベーススキーマのパッチバージョン。
データベースドライバのデフォルトの場所。
このファイルをデフォルトの場所から変更す
る場合は、このパラメータを更新します。
データベースサーバーのホスト名。
このパラメータは、構成ツール内で変更され
ます。
データベースの名前。
このパラメータは、構成ツール内で変更され
ます。
データベースに対して完全な権限を持つユー
ザー名。
このパラメータは、構成ツール内で変更され
ます。
データベースに対して完全な権限を持つユー
ザー名のパスワード。
このパラメータは、構成ツール内で変更され
ます。
指定されたソケットエラーの発生時に
Compatibility Server が SQL Server への再接
続を試行する最大回数。
最初の再接続試行は、ただちに行われます。2
回目は、指定された秒数後に行われます。3 回
目は、指定された秒数の
た後に行われ、
後、以下同様となります。
接続を再試行できます。0 は試行しないことを
意味します。
接続を使用していない時間、および接続を切断
できる時間を指定するために使用されます。
このコンマで区切られたリスト内のコードに
対応するエラーが発生すると、
Server
す。
0 は Microsoft SQL のソケットエラーの
エラーコードです。サーバー一時停止エラー
17142、サーバーシャットダウンエラーの
の
4 回目は 3 倍の時間が経過した
は SQL Server への再接続を試行しま
2 倍の時間が経過し
Compatibility
6002 が加えられます。
SQL 2005 以降の値。
権限ファイルハンドラ。
インベントリファイルハンドラ。
構成ガイド 9
Page 10
server_config.xml
パラメータ デフォルト 説明
vfs.file.handler.event com.credant.guardian.server.vfs.EventFileHa
ndler
gatekeeper.resource $dell.home$/conf/gkresource.xml
gatekeeper.config $dell.home$/conf/gkconfig.xml
rmi.server.registry.host localhost
rmi.server.registry.port 1099
security.authorization.method.IServerReport
s.getOverviewReport
security.authorization.method.IReportingSer
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
SystemAdmin
vice.removeEntity
security.authorization.method.IReportingSer
SystemAdmin
vice.setEntityVisibility
security.authorization.method.IReportingSer
vice.getHardwareDetailReport
security.authorization.method.IReportingSer
vice.openSession
security.authorization.method.IReportingSer
vice.getPagedReport
security.authorization.method.IReportingSer
vice.getDeviceTypeReport
security.authorization.method.IReportingSer
vice.getDeviceOsReport
security.authorization.method.IReportingSer
vice.getDeviceModelReport
security.authorization.method.IReportingSer
vice.getPolicyDetailReport
security.authorization.method.IReportingSer
vice.getWorkstationDetailReport
security.authorization.method.IReportingSer
vice.getEncryptionFailuresReport
security.authorization.method.IReportingSer
vice.getEncryptionSummaryReport
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
イベントファイルハンドラ。
Gatekeeper リソースファイルをデフォルトの
場所から移動する場合は、このパラメータを
更新します。
Gatekeeper リソースファイルをデフォルトの
場所から移動する場合は、このパラメータを
更新します。
このホストプロパティは、レジストリの場所を
指定するクライアントプログラムだけのため
のものです。
オブジェクトの作成時には使用されません。
RMI レジストリおよびリモート
localhost で作成されます。
RMI レジストリポートは、インストール中に
構成できます。インストール後に、このパラ
メータを使用してポートを変更することもで
きます。
この値を変更する場合は、Gatekeeper Web
Services
サーバーレポート権限を設定するために必要
なロール。
サーバーエンティティを削除するために必要
なロール。
サーバーエンティティの表示を設定するため
に必要なロール。
デバイス詳細ページを表示するために必要な
ロール。
サーバーセッションを開くために必要な
ロール。
レポートを表示するために必要なロール。
デバイスタイプレポートを表示するために必
要なロール。
オペレーティングシステムレポートを表示す
るために必要なロール。
デバイスモデルレポートを表示するために必
要なロール。
ポリシー詳細レポートを表示するために必要
なロール。
ワークステーション詳細レポートを表示する
ために必要なロール。
暗号化失敗レポートを表示するために必要な
ロール。
暗号化サマリーレポートを表示するために必
要なロール。
を構成する必要もあります。
10 構成ガイド
Page 11
server_config.xml
パラメータ デフォルト 説明
security.authorization.method.IReportingSer
vice.getUserDetail
security.authorization.method.IReportingSer
vice.getGroupDetail
security.authorization.method.IReportingSer
vice.getDomainDetail
security.authorization.method.IKeyService.g
etKeys
accountType.nonActiveDirectory.enabled false
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
AcctAdmin、HelpDeskAdmin、
SystemAdmin、SecAdmin
Fore ns ic Ad mi n
ユーザー詳細レポートを表示するために必要
なロール。
グループ詳細レポートを表示するために必要
なロール。
ドメインレポートのリストを表示するために
必要なロール。
この設定は、フォレンジック統合プラグイン
と併用されます。フォレンジックツール統合
が必要な場合は、
ださい。
ドメイン以外のアクティベーションの有効化
は、広範な結果を伴う高度な構成です。この
構成を有効化する前に、カスタマサポートに
問い合わせて特定の環境のニーズについて話
し合ってください。この値の変更後は
Compatibility Server Service を再開します。
この設定に加え、Windows コンピュータのレ
ジストリ設定を以下のように作成または変更
します。
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\CMGShield
AllowNonDomainActivations=
REG_DWORD:1
Dell サポートに連絡してく
gkresource.xml
<Compatibility Server インストールディレクトリ>\conf\gkresource.xml のパラメータを変更できます。
変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新
しいファイルに容易に転送できます。
注: gkresource.xml ファイルは、適格な XML ファイルである必要があります。XML に精通していない場合は、このファイルを編集しないよ
うにすることを推奨します。適切な場合には、未処理(非エスケープ)の特殊文字ではなくエンティティリファレンスを必ず使用して
ください。
システム管理者は、Gatekeeper リソースファイルの変更内容を、有効になる前に承認する必要があります。
ドメイン \ ユーザー名の形式の有効化
次の文字列を追加すると、ドメイン \ ユーザー名の形式が有効または無効になります。この形式は、ファイル内に文字列が存
在しない場合は無効になります。値を
1
<Compatibility Server
2
XML
3
次の文字列を追加します。
<string name="EnableGKProbeMultiDomainSupport">1</string>
4
[保存]をクリックしてファイルを保存し、閉じます。
エディタで
0 に設定しても無効にできます。
インストールディレクトリ
gkresource.xml
を開きます。
>\conf
に移動します。
構成ガイド 11
Page 12
run-service.conf
<Compatibility Server インストールディレクトリ >\conf\run-service.conf の次のパラメータの一部を変更できます。パラ
メータは、インストール時に自動的に設定されています。サービスのカスタマイズまたは構成変更を実行するには、次の手順
に従います。
1
サービスを停止します。
2
サービスを削除します。
3
run-service.conf
します。
4
サービスを再インストールします。
5
サービスを開始します。
JAVA_HOME Dell\Java Runtime\jreX.x
wrapper.java.additional.5 n/a
wrapper.ntservice.name EpmCompatSvr
wrapper.ntservice.displayname Dell Compatibility Server
wrapper.ntservice.description Enterprise Compatibility Server
wrapper.ntservice.dependency.1
wrapper.ntservice.starttype AUTO_START
wrapper.ntservice.interactive false
ファイルを編集および保存します。変更内容を示すコメントを、ファイル内の先頭に記録することを推奨
run-service.conf
パラメータ デフォルト 説明
Java
インストールディレクトリの場所。
この行の MAC アドレスは、ローカルイーサ
ネットアダプタの
サーバーに複数の
ライマリアダプタ以外のアダプタにバインド
する場合は、ここに
スをダッシュを付けずに入力します。
サービスの名前。
サービスの表示名。
サービスの説明。
サービスの依存関係。必要に応じて、依存関
係(開始値
サービスがインストールされるモード。
AUTO_START または DEMAND_START
です。
true
に設定すると、サービスはデスクトップ
と相互作用できます。
MAC アドレスです。
NIC がある場合、またはプ
NIC の物理 MAC アドレ
1)を追加します。
12 構成ガイド
Page 13
2
Core Server の構成
この章では、Core Server をご使用の環境に適用させるために変更できるパラメータについて詳しく説明します。
これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の
その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。
の許可されていない変更に起因する問題が、
Core Server の再インストールなしで解決できることを保証できません。
ポリシーアービトレーションの最高セキュアから最低セキュアへの変更
PolicyService.config
この設定を変更して、ポリシーアービトレーションを最高セキュアから最低セキュアに変更します。<Core Server インストー
ルディレクトリ
PolicyService.config ファイルを編集し、サービスを再起動してこのファイルの変更内容を有効にします。
変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新
しい
PolicyServiceConfig.xml ファイルに容易に転送できます。
次のセクションを変更します。
<!-- Web Service Targets -->
<object id="PolicyService" singleton="false" type="Credant.Policy.Service.PolicyService,
Credant.Policy.ServiceImplementation">
<property name="TemplateDataAccess" ref="TemplateDataAccess"/>
<property name="PolicyDataAccess" ref="PolicyDataAccess"/>
<property name="SupportDataAccess" ref="SupportDataAccess"/>
<property name="AuditLog" ref="ServiceAuditLog"/>
<property name="GlobalArbitrationBias" value="1" /> [ この値を「0」から「1」に変更して、値を最低セキュアに設
定する
</object>
>\PolicyService.config 内の設定を変更します。Core Server が起動されている場合、サービスを停止して
]
Dell は、これらのファイル
Web Services の無効化
注: これはカスタマサポートの指示がある場合にのみ変更すべきである高度な設定です。
Core Server の Web Services を無効にするには(例えば、インベントリ処理のみを実行する第 2 の Core Server がインストー
ルされている場合)、次の設定を変更します。
<Core Server インストールディレクトリ >\
Credant.Server2.WindowsService.exe.Config
および
<Core Server インストールディレクトリ >\Spring.config
Core Server が実行されている場合、サービスを停止してこれら 2 つのファイルの設定を編集し、サービスを再開してこのファ
イルの変更内容を有効にします。
構成ガイド 13
Page 14
Credant.Server2.WindowsService.exe.Config
次のセクションを削除します。
<!-- Web Services Configuration -->
<system.serviceModel>
<services configSource="Services.config"/>
<behaviors configSource="Behaviors.config"/>
<bindings configSource="Bindings.config"/>
</system.serviceModel>
Spring.config
次を削除します。
AOP Advice、Web Service Target Definition、Web Service Host Definition の各ヘッダーにあるすべての <object>
</object>
定義を削除します。
SMTP サーバーのライセンスメール通知の有効化
Dell Data Protection | Cloud Edition を使用している場合は、これらの設定はサーバー構成ツールで自動的に行われます。以
下の手順は、
ある場合に使用します。
NotificationObjects.config
SMTP サーバーでライセンスメール通知を構成するには、<Core Server インストールディレクトリ > の
NotificationObjects.config
次を変更します。
<object name="EmailNotification" singleton="false" type="Credant.Notification.EmailNotification,
Credant.Notification"> [
<property name="NotificationDataFactory" ref="NotificationDataFactory"/> [ この値は変更しない ]
<property name="Host" value="test.dell.com"/>
<property name="Port" value="25"/>
<property name="Username" value="username"/>
<property name="Password" value="${SmtpPassword}"/> [この値は変更しない ]
<property name="Logger" ref="NotificationLogger"/> [ この値は変更しない ]
</object>
Dell Data Protection | Cloud Edition を使わずに SMTP サーバーのライセンスメール通知を有効化する必要が
ファイルを変更します。
この値は変更しない ]
Notification.config
メールサーバーが認証を要求する場合、<Core Server インストールディレクトリ > 内にある Notification.config ファイルを
変更します。
次を変更します。
<notification>
<add key="SmtpPassword" value="your_email_server_password"/>
</notification>
14 構成ガイド
Page 15
Core Server 構成ファイルへの Compatibility Server のフォルダ位置の追加
Core Server は .Net アプリケーションであるため、権限の問題によりレジストリ情報にアクセスできないことがあります。
secretkeystore(データベース暗号化キー)を読み取るために Core Server が Compatibility Server のレジストリ構成情報にア
クセスして
クされると、
場合に、
1
2
secretkeystore の位置を取得する必要がある場合に問題となります。レジストリの権限が原因でアクセスがブロッ
Core Server はコンソールユーザーを認証できません。以下の設定では、レジストリのアクセス権が問題になる
Compatibility Server のフォルダ位置を Core Server の構成ファイルに追加します。
<Core Server
次の太字部分を変更します。
インストールディレクトリ
>\EntityDataAccessObjects.config
に移動します。
<object id="DomainDataAccess" singleton="false" type="Credant.Entity.DataAccess.DomainDataAccess,
Credant.Entity.DataAccess">
<property name="Logger" ref="DataAccessLogger"/>
<!--<property name="CompatibilityServerPath" value="PATH_TO_COMPATIBILITY_SERVER"/> -->
この行のコメントを外し、Compatibility Server への完全修飾パスを設定します。
</object>
3
[保存]をクリックしてファイルを保存し、閉じます。
4
Core Server Service
および
Compatibility Server Service
を再起動します。
Core Server による認証方法の反復の許可
許可された認証方法に設定されるポリシーが原因で Core Server の認証がドメインコントローラーによってブロックされる場
合があります。
試行して、機能する方法を見つけることができるようになりました。
1
<Core Server
2
次の太字部分を変更します。
<object id="DomainCache" singleton="true" type="Credant.Authorization.DomainCache.DomainCache,
Credant.Authorization.DomainCache">
<!-- Change this logger? -->
<property name="Logger" ref="DataAccessLogger" />
<property name="DomainDataAccess" ref="DomainDataAccess" />
<property name="RefreshFrequency" value="300" />
<property name="TryAllAuthTypes" value="false" />
<!-- Used to change the AuthType per domain: key is domain's CID and value is the
System.DirectoryServices.AuthenticationTypes value
<property name="DomainAuthType">
<dictionary key-type="string" value-type="int" >
<entry key="5A23TPM2" value="0" />
</dictionary>
</property>
-->
</object>
Core Server の構成ファイルに「スイッチ」を実装することにより、Core Server は複数の認証方法を反復的に
インストールディレクトリ
>\Spring.config
に移動します。
この値を「
true
」に変更するとこの機能が有効になります
3
[保存]をクリックしてファイルを保存し、閉じます。
4
Core Server Service
を再起動します。
構成ガイド 15
Page 16
16 構成ガイド
Page 17
3
Device Server の構成
この章では、Device Server をご使用の環境に適用させるために変更できるパラメータについて詳しく説明します。
これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の
その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。
の許可されていない変更に起因する問題が、
Device Server の再インストールなしで解決できることを保証できません。
eserver.properties
<Device Server インストールディレクトリ >\conf\eserver.properties の次のパラメータを変更できます。
変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新
しいファイルに容易に転送できます。
eserver.properties
パラメータ デフォルト 説明
eserver.default.host Device Server Service
eserver.default.port
eserver.use.ssl Tr ue
eserver.keystore.location ${context['server.home']}/conf/cacerts
eserver.keystore.password changeit
v7.7 以降の Enterprise Server - 8443
v7.7 より前の Enterprise Server - 8081
Device Server Service がインストールされてい
る場所の
Device Server がデバイスからの入力アクティ
ベーション要求をリスンするポート。
デフォルトでは、SSL は有効にされています。
SSL を無効にするには、このパラメータを False
に変更します。
Device Server に使用される SSL 証明書の場所。
構成ツールの cacerts パスワードを変更した場
合、このパラメータは適宜更新されます。初期設
定後に構成ツール内の
は、使用されている
パラメータを更新します。
FQDN。
Dell は、これらのファイル
cacert を変更する場合
Keystore パスワードでこの
構成ガイド 17
Page 18
eserver.properties
パラメータ デフォルト 説明
eserver.ciphers
暗号化文字のリストを設定します。各暗号文字
は、コンマで区切る必要があります。左が空であ
る場合、ソケットは
る使用可能な暗号文字を許可します。
下の例のコメントを外して、暗号化文字のリス
を設定します。各暗号文字をコンマで区切りま
ト
す。有効な暗号文字スイート名のリストについて
は、
Sun の JSSE リファレンスガイドを参照して
ください。
Tomcat によりサポートされ
#eserver.ciphers=
SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_
WITH_RC4_128_SHA,SSL_DHE_RSA_WIT
H_3DES_EDE_CBC_SHA
run-service.conf
<Device Server インストールディレクトリ >\conf\run-service.conf の次のパラメータの一部を変更できます。パラメータは、
インストール時に自動的に設定されています。サービスのカスタマイズまたは構成変更を実行するには、次の手順に従います。
1
サービスを停止します。
2
サービスを削除します。
3
run-service.conf
します。
4
サービスを再インストールします。
5
サービスを開始します。
ファイルを編集および保存します。変更内容を示すコメントを、ファイル内の先頭に記録することを推奨
run-service.conf
パラメータ デフォルト 説明
JAVA_HOME Dell\Java Runtime\jreX.x
wrapper.ntservice.name EpmDeviceSvr
wrapper.ntservice.displayname Dell Device Server
wrapper.ntservice.description Enterprise Device Server
wrapper.ntservice.dependency.1
wrapper.ntservice.starttype AUTO_START
wrapper.ntservice.interactive false
Java
インストールディレクトリの場所。
サービスの名前。
サービスの表示名。
サービスの説明。
サービスの依存関係。必要に応じて、依存関
係(開始値
サービスがインストールされるモード。
1)を追加します。
AUTO_START または DEMAND_START
です。
true
に設定すると、サービスはデスクトップ
と相互作用できます。
18 構成ガイド
Page 19
4
Security Server の構成
この章では、Security Server をご使用の環境に適用させるために変更するパラメータについて詳しく説明します。
これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の
その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。
の許可されていない変更に起因する問題が、
Security Server の再インストールなしで解決できることを保証できません。
context.properties
<Security Server インストールディレクトリ >\webapps\xapi\WEB-INF\context.properties の次のパラメータを変更できま
す。
変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新
しいファイルに容易に転送できます。
context.properties
パラメータ デフォルト 説明
default.gatekeeper.group.remote CMGREMOTE
xmlrpc.max.threads 250
default.auth.upn.suffix
device.manual.auth.enable true
service.activation.enable true
service.policy.enable true
service.auth.enable true
service.forensic.enable true
service.support.enable true
service.device.enable true
デバイスリモートグループ名。変更しないで
ください。
この Device Server 内の並列スレッドの最大数。
サーバーが完全修飾ログイン名を要求する場
合にユーザーログイン名に付加される
サフィックス。この要求では提供されません。
手動認証が有効か無効かを示します。変更し
ないでください
Device Server
処理されるかどうかを示します。変更しない
でください
ポリシーが有効か無効かを示します。変更し
ないでください。
Device Server
うかを示します。
この設定は、フォレンジック統合プラグイン
と併用されます。フォレンジックツール統合
が必要な場合は、
ださい。
サーバーに関するメタ情報の取得を有効にし
ます。
SDE
キーストレージなどの Shield サービス
のサポートを有効にします。
Dell は、これらのファイル
UPN
によってアクティベーションが
によって認証が処理されるかど
Dell サポートに連絡してく
構成ガイド 19
Page 20
20 構成ガイド
Page 21
5
暗号化機能の構成
このセクションでは、暗号化機能を自由に制御する方法について説明します。
一時ファイル削除の防止
デフォルトでは、DDPE のインストールまたはアップグレード時に c:\windows\temp ディレクトリ内のすべての一時ファイ
ルが自動的に削除されます。一時ファイルの削除は初期暗号化スイープの前に実行され、一時ファイルの削除によって初期暗
号化が高速化されます。
しかし、\temp ディレクトリ内のファイル構成の維持を要求するサードパーティのアプリケーションが組織で使用されている
場合、この削除を防止する必要があります。
一時ファイル削除を無効にするには、レジストリ設定を次のように作成または変更します。
HKLM\SOFTWARE\CREDANT\CMGShield
DeleteTempFiles (REG_DWORD)=0
一時ファイルを削除しないと、初期暗号化時間が長くなることに注意してください。
オーバーレイアイコンの非表示
デフォルトでは、インストール中はすべての暗号化オーバーレイアイコンが表示されるように設定されています。次のレジス
トリ設定を使用して、最初のインストールの後、コンピュータ上のすべての管理対象ユーザーの暗号化オーバーレイアイコンを
非表示にすることができます。
レジストリ設定を次のように作成または変更します。
HKLM\Software\CREDANT\CMGShield
HideOverlayIcons (DWORD value)=1
ユーザー(適切な権限を持つ)が暗号化オーバーレイアイコンを表示するように選択した場合、その設定値はこのレジストリ
値より優先されます。
システムトレイアイコンの非表示
デフォルトでは、インストール中にシステムトレイアイコンは表示されます。次のレジストリ設定を使用して、最初のインス
トールの後、コンピュータ上のすべての管理対象ユーザーのシステムトレイアイコンを非表示にすることができます。
レジストリ設定を次のように作成または変更します。
HKLM\Software\CREDANT\CMGShield
HIDESYSTRAYICON (DWORD value)=1
スロットアクティベーション
スロットアクティベーションは、大量デプロイ中にサーバー負荷を軽減するために、Shield のアクティベーションを設定時間
周期にわたって拡張できる機能です。アクティベーション時間を円滑に分散するために、アクティベーションは、アルゴリズ
ムによって生成されたタイムスロットに基づいて延期されます。
構成ガイド 21
Page 22
スロットアクティベーションは、Shield インストーラまたは Shield ワークステーションから有効化および設定されます。
VPN からアクティベーションを要求するユーザーの場合は、VPN クライアントソフトウェアがネットワーク接続を確立する
までにかかる時間を見込んだ十分な時間分初期アクティベーションを延期させるよう、
の構成を変更する必要がある場合があります。
注意: スロットアクティベーションは、カスタマサポートの支援を受けた場合のみ構成してください。タイムスロットの設定を誤ると、多数
のクライアントが同時にアクティベーションを実行しようとするため、パフォーマンス上の重大な問題が発生するおそれがあります。
スロットアクティベーションの設定には、次のレジストリキーが使用されます。次のレジストリキーを変更した場合、Shield
ワークステーションを再起動して更新内容を有効にする必要があります。
•
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation
この設定でスロットアクティベーション機能を有効または無効にします。
無効
= 0
(デフォルト)
有効
= 1
•
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\CalRepeat
アクティベーションスロット間隔が発生する時間周期(秒単位)。このプロパティを使用して、アクティベーションスロッ
ト間隔が発生する期間(秒単位)を上書きできます。7 時間の期間の場合、スロットアクティベーションに
できます。デフォルト設定は
•
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals
すべてのアクティベーション時間スロットが発生するときの、繰り返し中の間隔(
1
つの間隔しか許可されません。この設定は
生する可能性があります。デフォルト設定は
す。
Shield
ユーザーがログインすると、
•
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold
アクティベーションがスロット化されたユーザーが次にログインするときに、コンピュータがアクティベーションを実
行しようとする前に失われる可能性のあるアクティベーションスロットの数。この試行中にアクティベーションが失敗
した場合、Shield はスロットアクティベーション試行を再開します。ネットワーク障害によりアクティベーションが失
敗した場合は、
アクティベーションスロット時間に達する前にユーザーがログアウトした場合は、次のログイン時に新しいスロットが
割り当てられます。
•
HKCU/Software/CREDANT/ActivationSlot
スロットアクティベーションが有効にされた後にユーザーが初めてネットワークにログオンするときに設定される、ス
ロットアクティベーションを試行する延期時間。アクティベーションスロットは、アクティベーション試行ごとに再計
算されます。
•
HKCU/Software/CREDANT/SlotAttemptCount
時間スロットが到達して、アクティベーション試行に失敗したときの、失敗または損失した試行回数。この回数が
MISSTHRESHOLD の値を超えても、ネットワークの再接続時にアクティベーションが試行されます。
ACTIVATION_SLOT_MISSTHRESHOLD
ぐに、アクティベーションを
コマンドラインからスロットアクティベーションを有効にするには、次のようなコマンドを使用します。
86400
秒で、これは、毎日繰り返されることを表します。
1
回試行します。
0,<CalRepeat>
0,86400
です。7 時間の繰り返しに設定するには、
CALREPEAT
(ユーザーごとのデータ)
(ユーザーごとのデータ)
に設定された値に達すると、コンピュータは、ネットワークに接続するとす
である必要があります。0 に設定すると、予期せぬ結果が発
が有効になります。
Shield のスロットアクティベーション
25200
秒が使用
ACTIVATION_SLOT_CALREPEAT
0,25200
の設定を使用しま
)。
setup.exe /v"SLOTTEDACTIVATION=1 CALREPEAT=25200 SLOTINTERVALS=0,25200 <other parameters>"
注: 空白など、特殊文字を 1 つ以上含む値は、必ずエスケープした引用符で囲んでください。
強制ポーリング
次のレジストリ設定を使用して、強制ポリシー更新のために、Shield がサーバーをポーリングするようにします。
レジストリ設定を次のように作成または変更します。
HKLM\SOFTWARE\Credant\CMGShield\Notify
PingProxy (DWORD value)=1
22 構成ガイド
Page 23
Shield のバージョンに応じて、レジストリ設定は自動的に非表示になるか、またはポーリングの完了後に 1 から 0 に変更され
ます。
管理ユーザーの許可セットによっては、このレジストリ設定を作成するために許可の変更が必要となる場合があります。新し
い
DWORD を作成しようとしたときに問題が生じた場合は、次の手順に従って許可を変更します。
1
Windows
2
[
Notify
3
[
Permission for Notify
4
[OK]をクリックします。
これで新しいレジストリ設定を作成できます。
レジストリで、
]を右クリックして、[
HKLM\SOFTWARE\Credant\CMGShield\Notify
]ウィンドウが開いたら、[
Permissions
]を選択します。
Full Control
に移動します。
]チェックボックスをオンにします。
インベントリオプション
次のレジストリ設定を使用して、Shield からサーバーへの最適化されたインベントリの送信、完全なインベントリの送信、ま
たはアクティベーションされたすべてのユーザーの完全なインベントリの送信を許可します。
最適化されたインベントリのサーバーへの送信
レジストリ設定を次のように作成または変更します。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
OnlySendInvChanges(REG_DWORD)=1
エントリがない場合は、最適化されたインベントリがサーバーに送信されます。
完全なインベントリのサーバーへの送信
レジストリ設定を次のように作成または変更します。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
OnlySendInvChanges(REG_DWORD)=0
エントリがない場合は、最適化されたインベントリがサーバーに送信されます。
アクティベーションされたすべてのユーザーの完全なインベントリの送信
レジストリ設定を次のように作成または変更します。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
RefreshInventory(REG_DWORD)=1
このエントリは、処理されるとすぐにレジストリから削除されます。値は保管庫に保存され、インベントリのアップロード前
にコンピュータがリブートされた場合でも、インベントリのアップロードを次に正常に実行するときに
持されます。
このエントリは OnlySendInvChanges レジストリ値よりも優先されます。
Shield でこの要求が維
ドメイン以外のアクティベーション
ドメイン以外のアクティベーションの有効化は、広範な結果を伴う高度な構成です。カスタマサポートに問い合わせて特定の
環境のニーズについて相談し、この機能を有効にするための指示を受けてください。
構成ガイド 23
Page 24
24 構成ガイド
Page 25
6
Kerberos 認証/権限のコンポーネントの構成
このセクションでは、Kerberos 認証/権限で使用するコンポーネントの設定方法について説明します。
Kerberos 認証/権限のコンポーネントの構成
注: Kerberos 認証/権限を使用する場合は、Key Server コンポーネントを含んでいるサーバーを、その影響を受けるドメインに含ませる必
要があります。
Key Server は、ソケット上で接続されるクライアントをリスンするサービスです。クライアントが接続されたら、Kerberos
API
を使用して、セキュア接続のネゴシエーション、認証、暗号化が行われます。セキュア接続がネゴシエーションできない
場合、クライアントが切断されます。
Key Server は、クライアントを実行しているユーザーがキーにアクセスできるかどうかを知るために Device Server に確認し
ます。このアクセスは、個別のドメインを経由したリモート管理コンソール上で許可されます。
Windows サービスの手順
1
Windows
2
[
Dell Key Server
3
[
ログオン
4
[
アカウント:]フィールドで、希望するドメインユーザーを追加します。このドメインユーザーは、少なくとも
フォルダのローカル管理権限を持つ必要があります。つまり、
みができる必要があります。
5
[OK]をクリックします。
6
サービスを再起動します。後で操作できるように、
7
<Key Server
の[サービス]パネル([スタート]>[ファイル名を指定して実行]>[
]を右クリックして、[
]タブに移動して、[
インストールディレクトリ
アカウント:]オプションボタンを選択します。
プロパティ
> log.txt
]を選択します。
Key Server の config
Windows
に移動して、サービスが正しく開始していることを確認します。
の[サービス]パネルを開いたままにします。
services.msc]>[OK
ファイル、
log.txt
ファイルへの書き込
])に移動します。
Key Server
Key Server の構成ファイルの手順
1
<Key Server
2
テキストエディタで
3
<add key="user" value="superadmin" />
"superadmin"
"superadmin"
ユーザー名は容認できます。アクティブディレクトリに対する権限のための、そのユーザーアカウントに検証が必要である
ため、サーバーを認証できるすべての方法が容認できます。
例えば、マルチドメイン環境では、
由は、サーバーが
ザー名の形式が容認できますが、
単一ドメイン環境では、
インストールディレクトリ> に移動します。
Credant.KeyServer.exe.config
に移動して、
のままとすることもできます。
の形式は、サーバーを認証できる任意の方法に指定できます。
"jdoe"
などの
"jdoe"
を検索できないため、
UPN
が推奨されます。
SAM
アカウント名が容認できます。
を開きます。
"superadmin"
SAM
アカウント名のみを入力すると失敗する可能性があります。その理
"jdoe"
を認証できないからです。マルチドメイン環境では、ドメイン\ユー
の値を、適切なユーザーの名前に変更します。
SAM
アカウント名、
UPN
、またはドメイン
構成ガイド 25
\
Page 26
4
<add key="epw" value="<encrypted value of the password>" />
"<encrypted value of the password>"
バーを再起動すると再暗号化されます。
手順
3 で "superadmin"
5
変更内容を保存して、ファイルを閉じます。
を使用して、
を、手順
3
superadmin
で設定したユーザーのパスワードに変更します。このパスワードは、サー
パスワードが
サンプル構成ファイル:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="port" value="8050" /> [ サーバーがリスンする TCP ポート。デフォルトは 8050 で、必要に応じて変更
する。
]
<add key="maxConnections" value="2000" /> [ サーバーに許可されるアクティブなソケット接続数。]
<add key="url" value="https://keyserver.domain.com:8081/xapi" /> [Device Server の URL。Enterprise Server が
v7.7 以降の場合の形式:https://keyserver.domain.com:8443/xapi/ -- Enterprise Server が v7.7 より前の場合の形式:
https://keyserver.domain.com:8081/xapi(末尾にスラッシュは指定しません)]
<add key="verifyCertificate" value="false" /> [暗号を検証する場合は true に設定し、検証しない場合または自己
署名暗号化を使用する場合は
false に設定 ]
<add key="user" value="superadmin" /> [Device Server と通信するために使用されるユーザー名。このユーザーは
リモート管理コンソールで選択したフォレンジック管理者の種類を持つ必要があります。
サーバーを認証できる任意の方法に指定できます。
きます。アクティブディレクトリに対する権限のための、そのユーザーアカウントに検証が必要であるため、サー
バーを認証できるすべての方法が容認できます。例えば、マルチドメイン環境では、
名のみを入力すると失敗する可能性があります。その理由は、サーバーが
できないからです。マルチドメイン環境では、ドメイン
単一ドメイン環境では、
SAM アカウント名が容認できます。]
SAM アカウント名、UPN、またはドメイン \ ユーザー名は容認で
<add key="cacheExpiration" value="30" /> [ キーを要求することができるユーザーをサービスが確認する必要があ
る頻度(秒単位)。このサービスは、キャッシュを維持して、キャッシュがどれほど古いかを追跡します。キャッシュ
がこの値(秒単位)より古くなると、サービスは新しいリストを取得します。ユーザーが接続されると、
は権限のあるユーザーを Device Server からダウンロードする必要があります。ユーザーのキャッシュがない場合、
または最後の「
せんが、この値によって、リストが必要に応じて更新される前に、リストをどのようなステートにするかが構成され
ます。
]
x」秒でリストがダウンロードされなかった場合、再度ダウンロードされます。ポーリングはありま
<add key="epw" value="encrypted value of the password" /> [Device Server と通信するために使用されるパス
ワード。
superadmin パスワードが変更された場合、ここで変更する必要があります。]
</appSettings>
</configuration>
に移動して、
"changeit"
でない場合は、ここで変更します。
"epw" を "password"
に変更します。
"superadmin" の形式は、
"jdoe" などの SAM アカウント
"jdoe" を検索できないため、"jdoe" を認証
\ ユーザー名の形式が容認できますが、UPN が推奨されます。
Key Server
Windows サービスの手順
1
Windows
2
Dell Key Server Service
3
<Key Server
4
Windows
26 構成ガイド
の[サービス]パネルに戻ります。
を
再起動します
インストールディレクトリ
の[サービス]パネルを閉じます。
。
> log.txt
に移動して、サービスが正しく開始していることを確認します。
Page 27
リモート管理コンソールの手順
1
必要な場合は、リモート管理コンソールにログオンします。
2
[
ドメイン
3
[
Key Server
4
Key Server
ウントの追加
5
左のメニューで、[
クリックします。
6
正しいユーザーが検索されたら、[詳細]アイコンをクリックします。
7
[
フォレンジック管理
これで、コンポーネントが Kerberos 認証 / 権限に設定されました。
]をクリックして、[詳細]アイコンをクリックします。
]をクリックします。
アカウントリストに、管理活動を実行するユーザーを追加します。この形式はドメイン\ユーザー名です。[
]をクリックします。
ユーザー
]をクリックします。検索ボックスで、手順
]を選択します。[更新]をクリックします。
4
で追加したユーザー名を検索します。[検索]を
アカ
構成ガイド 27
Page 28
28 構成ガイド
Page 29
7
フォレンジック管理者ロールの割り当て
フォレンジック権限はデフォルトで、バックエンドサーバーでは有効、フロントエンドサーバーでは無効になっています。こ
の設定は、
リモート管理コンソールの手順
1
2
3
4
5
6
現在、フォレンジック管理者ロールが設定されています。
フォレンジック認証の無効化
1
Device Server および Security Server のインストール時に適宜実行されます。
必要な場合は、リモート管理コンソールにログオンします。
左のペインで、[管理]>[
[
ユーザーの検索
す。このユーザーの資格情報は、フォレンジックモードで
Decryption Agent
[
ユーザーの検索結果
[
<Username>
[ユーザー]列で、[
バックエンドサーバーで、
動して以下のプロパティ:
service.forensic.enable=true
を、次のように変更します
service.forensic.enable=false
]ページで、フォレンジック管理者ロールを付与するユーザーの名前を入力して、[検索]をクリックしま
が実行されているときに提供されます。
のユーザー詳細
ユーザー
]ページで、[詳細]アイコンをクリックします。
フォレンジック管理者
<Security
]をクリックします。
CMGAd、CMGAu、CMGAlu
]ページで、[
Server インストールディレクトリ
管理者
]を選択します。
]をオンにして、[更新]をクリックします。
ユーティリティ、および
>\webapps\xapi\WEB-INF\context.properties
に移
2
Security Server Service
3
<Device Server
<init-param>
<param-name>forensic</param-name>
<param-value>
</init-param>
4
Device Server Service
5
ベストプラクティスとして、ロール権限をアクティブに使用していないユーザーのフォレンジック管理者ロールを削除しま
す。
を
起動し
ます。
インストールディレクトリ
@FORENSIC_DISABLE@
を
再起動
します。
>\webapps\ROOT\WEB-INF\web.xml
</param-value>
に移動して。 次を変更します。
構成ガイド 29
Page 30
30 構成ガイド
Page 31
8
Cron 表現
このセクションでは、Cron 表現の形式および特殊文字の使用方法について説明します。
Cron 表現入門
Cron は長期にわたって普及してきた UNIX ツールであるため、そのスケジューリング機能は高性能であり、実績があります。
CronTrigger クラスは、Cron のスケジューリング機能に基づいています。
CronTrigger は Cron 表現を使用します。これにより、毎週月曜日から金曜日の午前 8 時、または毎月の最終金曜日の午前
1 時 30 分のような始動スケジュールを作成できます。
Cron 表現は高性能ですが、わかりにくいことがあります。このドキュメントの目的は、Cron 表現を作成する場合のいくつか
の不明点を取り上げ、外部へ支援を求める前に使用できるリソースを提供することです。
Cron 表現の形式
Cron 表現は、空白で区切られた 6 つの必須フィールドと 1 つの任意フィールドから成ります。各フィールドには、そのフィー
ルドに許可された特殊文字のさまざまな組み合わせに加えて、許可された値を含ませることができます。
Cron 表現は、「* * * * ? *」のように単純にできます。
または、「0 0/5 14,18,3-39,52 ? JAN,MAR,SEP MON-FRI 2002-2010」のように複雑にすることもできます。
各フィールドの説明を次に示します。
フィールド名 必須かどうか 使用可能な値 使用可能な特殊文字
Minutes
Hours
Day of month
Month
Day of week
Year
はい 0~ 59
はい 0~ 23
はい 1~ 31
はい 1 ~ 12 または ~ JAN DEC
はい 1 ~ 7 または ~ SUN SAT
いいえ 空、1970 ~ 2099
, - * /
, - * /
, - * ? / L W C
, - * /
, - * ? / L C #
, - * /
特殊文字
•
文字「*」は、すべての値を指定するために使用されます。例えば、フィールドの「*」は、すべての秒を意味します。
•
文字「?」(不特定の値)は、文字を使用できる
便利です。例えば、特定の日(
フィールドに「10」を使用して、
•
文字「-」は、範囲を指定するために使用されます。例えば、
12
時間を意味します。
•
文字「,」は、追加の値を指定するために使用されます。例えば、
日、水曜日、および金曜日を意味します。
10
日)に始動をトリガーするときに、その日が何曜日でも構わない場合は、
day-of-week
2
つのフィールドの一方に何かを指定して、もう一方には指定しない場合に
フィールドに「?」を使用します。
hour
フィールドの「
day-of-week
10-12
」は、
フィールドの「
10
時間、
11
MON,WED,FRI
構成ガイド 31
day-of-month
時間、および
」は、月曜
Page 32
•
文字「/」は、増分を指定するために使用されます。
seconds
seconds
「/」の前に「*」を指定すると、開始する値として
day-of-month
基本的に、表現の各フィールドにはオンまたはオフにできる数字セットがあります。
は
セットの「
月ごとの月を意味しません。
•
文字「L」は、
つの各フィールドの意味は異なります。
day-of-month
day-of-week
day-of-week
日を意味します。「
要です。
•
文字「W」は、
するために使用されます。例えば、
日を意味します。したがって、
16
day-of-month
の月曜日にトリガーがかけられます。文字「
のみ指定できます。
文字「L」と「W」はまた、
•
文字「#」は、
ます。例えば、
意味します。
その他の例:
2#1 =
4#5 = 月の 5
#5
•
文字「C」はカレンダーに使用できます。この文字を使用すると、関連付けられているカレンダーがある場合、そのカレン
ダーに対して値が計算されます。関連付けられているカレンダーがない場合は、すべて込みのカレンダーを持つことと同じ
となります。
フィールドの値「1C」は、カレンダーに含まれる日曜日以降の最初の日を意味します。
注: day-of-week と day-of-month の両方に値を指定することは完全にはサポートされていません。いずれかのフィールドで、文字「?」を使
フィールドの「
フィールドの「
フィールドの「
0 ~ 59
です。
n
番目」ごとの値だけをオンにします。したがって、
day-of-month
フィールドの値「L」は月の最終日を意味します。1 月は
フィールドで単独で使用される場合は、7 または土曜を意味します。
フィールドで別の値の後に使用される場合は、月の最終
day-of-month
日の月曜日にトリガーがかけられます。
の値として
day-of-week
day-of-week
月の最初の月曜日
番目の水曜日。
を指定しても、月に
day-of-month
用してください。文字「C」で記述される機能は、完全にはサポートされていません。有効な文字、および月と曜日の名前では、大文
字と小文字が区別されません。MON は mon と同じです。day-of-week フィールドおよび day-of-month フィールドに影響する「?」と「 *」
の使用には、細心の注意が必要です。
始動時間を夜中の 12 時と午前 1 時の間に設定する場合は注意してください。サマータイムは、時間を遅らせるか進ませるかによって、
スキップまたは繰り返しが発生する可能性があります。
0/15
」は、0 秒、
5/15
」は、5 秒、
1/3
」は、月の初日から開始して
hours は 0 ~ 23 で、days of the month は 0 ~ 31
フィールドおよび
L
」オプションを使用する場合は結果がわかりにくいため、リストまたは値の範囲を指定しないことが重
フィールドに使用できます。この文字は、所定の日に最も近い平日(月曜日~金曜日)を指定
15
1W
を指定し、かつ、1 日が土曜日の場合は、1 ヵ月の日数の境界を飛び超えられないため、3 日
day-of-month
フィールドに使用できます。この文字は、月の「n 番目」の
フィールドの値「
5
番目の所定の曜日がない場合は、その月にトリガーがかけられないことに注意してください。
フィールドの値「5C」は、カレンダーに含まれる
15 秒、30
20 秒、35
秒、および
秒、および
0
を指定した場合と同等となります。
day-of-week
day-of-month
日が土曜日の場合は、
フィールドの値として「
15
日が火曜日の場合は、
W
」は、
day-of-month
表現で組み合わせて「LW」としても使用でき、月の最終平日を意味します。
6#3
」は、月の
45
秒を意味します。
50
秒を意味します。
3
日ごとを意味します。
seconds
です。
months は 1 ~ 12
month
フィールドの「
フィールドに使用できます。この文字は最後を意味しますが、
31
日、閏年でない
xxx
曜日を意味します。例えば、「6L」は月の最終金曜
15W
」を指定した場合、月の
14
日の金曜日にトリガーがかけられます。
15
日の火曜日にトリガーがかけられます。しかし、
が範囲や複数日のリストではなく、単独の日である場合
3
番目の金曜日(
6 =
金曜日、
5
日以降の最初の日を意味します。
および
minutes
です。文字「/」 は 、 所 定 の
7/6」は 7
xxx
の月だけをオンにし、6 ヵ
2
月の場合は
15
日が日曜日の場合は、
曜日を指定するために使用され
#3 = 月の 3
の数字の範囲
28
日となります。
15
日に最も近い平
番 目 の 金 曜 日 ) を
day-of-week
2
32 構成ガイド
Page 33
例
表現 意味
0 0 12 * * ?
0 15 10 ? * *
0 15 10 * * ?
0 15 10 * * ? *
0 15 10 * * ? 2005
0 * 14 * * ?
0 0/5 14 * * ?
0 0/5 14,18 * * ?
0 0-5 14 * * ?
0 10,44 14 ? 3 WED
0 15 10 ? * MON-FRI
0 15 10 15 * ?
0 15 10 L * ?
0 15 10 ? * 6L
0 15 10 ? * 6L
0 15 10 ? * 6L 2002-2005
0 15 10 ? * 6#3
0 0 12 1/5 * ?
毎日、午後 12 時(正午)に始動
毎日、午前 10 時 15 分に始動
毎日、午前 10 時 15 分に始動
毎日、午前 10 時 15 分に始動
2005
年の間、毎日、午前 10 時 15 分に始動
毎日、午後 2 時から午後 2 時 分まで 59 1 分ごとに始動
毎日、午後 2 時から午後 2 時 分まで 55 5 分ごとに始動
毎日、午後 2 時から午後 2 時 分まで 55 5 分ごとに始動、かつ、午後
6 時から午後 6 時 55 分まで 5 分ごとに始動
毎日、午後 2 時から午後 2 時 5 分まで 1 分ごとに始動
3
月の毎水曜日の午後 2 時 10 分および午後 時 2 分に始動 44
毎月曜日、毎火曜日、毎水曜日、毎木曜日、および毎金曜日の午前 10
時 15 分に始動
毎月 15 日の午前 10 時 分に始動 15
毎月の最終日の午前 10 時 15 分に始動
毎月の最終金曜日の午前 10 時 15 分に始動
毎月の最終金曜日の午前 10 時 15 分に始動
2002
年、2003 年、2004 年、および 年の間、毎月、毎最終金曜
日の午前
毎月の第 3 金曜日の午前 10 時 分に始動 15
毎月の初日から 5 日ごとの午後 12 時(正午)に始動
10
時 15 分に始動
2005
0 11 11 11 11 ?
毎年 11 月 11 日の午前 時 11 11 分に始動
構成ガイド 33
Page 34
34 構成ガイド
Page 35
9
Keytool を使用した自己署名証明書の作成と証明書署名
要求の生成
注: このセクションでは、Java ベースのコンポーネントの自己署名証明書を作成する手順について詳しく説明します。このプロセスは、.NET
ベースのコンポーネントの自己署名証明書を作成する目的には使用できません。
本稼働ではない環境のみで自己署名証明書を作成することを推奨します。
組織で SSL サーバー証明書が必要な場合、または他の理由で証明書を作成する必要がある場合は、このセクションで、Keytool を
使用した
Keytool は、証明書署名要求(CSR; Certificate Signing Request)の形式で、Ve ri Sign® や Entrust® などの証明機関(CA;
Certificate Authority
します。サーバー証明書は、署名機関証明書とともにファイルにダウンロードされます。その後、証明書は
にインポートされます。
新しい鍵ペアと自己署名証明書の生成
Java キーストアの作成プロセスが説明されています。
)に渡される秘密鍵を作成します。その後、CA はこの CSR に基づいて署名したサーバー証明書を作成
1
Compliance Reporter、Console Web Services、Device Server
移動します。
2
デフォルトの証明書データベースをバックアップします。
[
スタート
3
Keytool
set path=%path%;%dell_java_home%\bin
]
>
[
ファイル名を指定して実行
をシステムパスに追加します。コマンドプロンプトで次のコマンドを入力します。
]をクリックして、「
、または
move cacerts cacerts.old
Gatekeeper Web Services の
conf
」と入力します。
cacerts ファイル
ディ レクトリ に
4
証明書を生成するため、次のようにして
keytool -genkey -keyalg RSA -sigalg SHA1withRSA -alias dell -keystore
.\cacerts
5
Keytool
注: 構成ファイルは、編集する前にバックアップしてください。指定されたパラメータのみを変更してください。これらのファイル内のその
他のデータ(タグを含む)を変更すると、システムの破損や障害が発生するおそれがあります。Dell は、これらのファイルの許可されて
いない変更に起因する問題が、Enterprise Server の再インストールなしで解決できることを保証できません。
•
•
プロンプトが表示されたら次の情報を入力します。
キーストアのパスワード:
conf
ファイルの変数を同じ値に設定します。
<Compliance Reporter
定します。
<Console Web Services
定します。
<Device Server インストールディレクトリ >\conf\eserver.properties の eserver.keystore.password = の値を設定します。
姓名:
現在作業中のコンポーネントがインストールされているサーバーの完全修飾名を入力します。この完全修飾名に
は、ホスト名とドメイン名を含めます(例:
パスワードを入力し(
インストールディレクトリ
インストールディレクトリ
Keytool
を実行します。
<>;&" '
server.dell.com
の文字はサポートされていません)、次のコンポーネント
>\conf\eserver.properties の eserver.keystore.password =
>\conf\eserver.properties の eserver.keystore.password =
)。
構成ガイド 35
の値を 設
の値 を設
Page 36
•
組織単位:
•
組織:
•
市区町村:
•
都道府県:
•2 文字の国コード:
米国
カナダ
スイス
ドイツ
適切な値を入力します(例:
適切な値を入力します(例:
適切な値を入力します(例:
省略形でない都道府県の名前を入力します(例:
= US
= CA
= CH
= DE
Dell
Security
)。
Austin
)。
)。
Texas
)。
スペイン
フランス
英国
アイルランド
イタリア
オランダ
•
ユーティリティによって、情報が正しいことを確認するように求められます。正しければ「
正しくなければ「no」と入力します。
定するか、値を変更して[
•
別名のキーパスワード:
アのパスワードになります。
= ES
= FR
= GB
= IT
= NL
= IE
yes
Keytool
Enter
]をクリックします。
ここに別のパスワードを入力しなかった場合は、このパスワードはデフォルトであるキースト
は以前に入力された各値を表示します。[
Enter
]をクリックして値を確
証明機関への署名付き証明書の要求
以下の手順を使って、「
ます。
1
以前使用した値と同じ値を
keytool -certreq -sigalg MD5withRSA -alias <certificate-alias> -keystore
.\cacerts -file <csr-filename>
例:
keytool -certreq -sigalg MD5withRSA -alias dell -keystore .\cacerts -file
credant.csr
証明機関での証明書の作成時に使用される
新しい鍵ペアと自己署名証明書の生成
<
certificate-alias
>
に入力します。
BEGIN/END
」で作成した自己署名証明書の証明書署名要求(CSR)を作成し
ペアが
.csr
ファイルに格納されます。
」と入力します。
36 構成ガイド
Page 37
図 9-1. .CSR ファイルの例
2
証明機関から
ます。
注: 有効な証明書を要求する方法は数通りあります。その例は、
3
署名付き証明書を受信したら、ファイルに保存します。
4
ベストプラクティスとして、インポートプロセスでエラーが発生した場合に備え、この証明書をバックアップします。この
バックアップにより、プロセスをやり直す必要が生じるのを防ぐことができます。
SSL
サーバー証明書を取得するための組織のプロセスに従います。署名用に
「証明書の要求方法の例」に示されています。
<csr-filename>
の内容を送信し
ルート証明書のインポート
注: ルート証明書の証明機関が Verisign(Verisign Test ではない)の場合は、この手順をスキップして次の手順に進み、署名付き証明書をイ
ンポートしてください。
証明機関のルート証明書により、署名付き証明書を認証します。
1
次のいずれか
•
証明機関のルート証明書をダウンロードして、ファイルに保存します。
•
エンタープライズディレクトリサーバーのルート証明書を取得します。
2
次のいずれか
•
Compliance Reporter、Console Web Services、Device Server
にする場合は、コンポーネント
•
サーバーとエンタープライズディレクトリサーバー間の
Java Runtimes\jre1.x.x_xx\lib\security
3
次のようにして
keytool -import -trustcacerts -alias <ca-cert-alias> -keystore .\cacerts -file
<ca-cert-filename>
例:
keytool -import -alias Entrust -keystore .\cacerts -file .\Entrust.cer
1
つ
を実行します。
1
つ
を実行します。
Keytool
、または
conf
ディレクトリに変更します。
SSL
を有効にする場合は、
に変更します(
を実行し、ルート証明書をインストールします。
JRE cacerts
のデフォルトのパスワードは
Legacy Gatekeeper Connector の SSL
<Dell
インストールディレクトリ
changeit
です)。
を有効
>\
証明書の要求方法の例
証明書の要求方法の 1 つの例は、We b ブラウザを使用して、組織によって内部的に設定されている Microsoft CA Server にア
クセスする方法です。
1
Microsoft CA Server
に移動します。
IP
アドレスは、組織によって提供されます。
構成ガイド 37
Page 38
2
[
Request a certificate
図 9-2. Microsoft Certificate Services
3
[
Advanced Request
]を選択し、[
]を選択し、[
Next >
Next >
]をクリックします。
]をクリックします。
図 9-3. 要求タイプの選択
38 構成ガイド
Page 39
4
base64
エンコード
クします。
図 9-4. 高度な証明書要求
PKCS #10
ファイルを使用して証明書要求を送信
するためのオプションを選択して、[
Next >
]を ク リ ッ
5
CSR
要求の内容をテキストボックスに貼り付けます。
リックします。
図 9-5. 保存された要求の送信
Web Serv e r
の証明書テンプレートを選択して、[
Submit >
]をク
構成ガイド 39
Page 40
6
証明書を保存します。[
図 9-6. CA 証明書のダウンロード
DER encoded
]を選択し、[
Download CA certificate
]をクリックします。
7
証明書を保存します。[
図 9-7. CA 証明書のダウンロードパス
DER encoded
]を選択し、[
Download CA certification path
]をクリックします。
40 構成ガイド
Page 41
8
変換された署名機関証明書をインポートします。
DOS
ウィンドウに戻ります。次を入力します。
keytool -import -trustcacerts -file <csr-filename> -keystore cacerts
9
署名機関証明書がインポートされたので、次にサーバー証明書をインポートできます(信頼チェーンを確立できます)。次を
入力します。
keytool -import -alias dell -file <csr-filename> -keystore cacerts
自己署名証明書の別名を使用して、
10
cacerts
ファイルのリストは、サーバー証明書の
己署名されていないことを示しています。次を入力します。
CSR
要求とサーバー証明書をペアにします。
証明書チェーン
の長さが
2
であることを示しています。これは、証明書が自
keytool -list -v -keystore cacerts
チェーン内の
い(リストのサーバー証明書の下にもリストされます)。
サーバー証明書は、署名機関証明書とともに正常にインポートされました。
2
番目の証明書の証明書フィンガープリントは、インポートされた署名機関証明書である点に注意してくださ
構成ガイド 41
Page 42
42 構成ガイド
Page 43
Page 44
0 XXXXXA0 X
Loading...