DNS サーバの HSM の有効化 - BlueCat Integrity - 9.5.0

管理ガイド

Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

HSM サーバの追加、Security World の構成、および Security World への Address Manager の参加が完了したら、次の手順ではネットワーク上の管理対象の BlueCat DNS サーバで HSM サポートを有効にします。

次の手順は、新規/クリーンな BlueCat DNS サーバを Address Manager に追加する方法について説明しています。DNSSEC-HSM で使用する管理対象の DNS サーバがすでにある場合は、DNS サーバを Address Manager 管理下から削除し、[サーバの編集] ページで HSM サポートを有効にしてから、DNS サーバを Address Manager 管理下に戻す必要があります。
  • 管理対象の BlueCat DNS サーバの HSM を有効にすると、DNS サーバを HSM Security World に参加させることができます。DNS サーバが Security World の一部ではない場合、DNS のデプロイメントは失敗します。
  • 管理対象の DNS サーバで HSM を有効にして、HSM Security World に参加すると、管理対象の DNS サーバと 1 つ以上の HSM サーバの間の接続が常に必要になります。つまり、管理対象の DNS サーバと HSM サーバの間の接続は、DNSSEC-HSM ゾーン署名だけでなく、DNS サーバのあらゆる通常操作で必要になります。これにより、DNS サービスが正常に動作するようになります。
  • 専用管理が有効にされている場合、HSM は機能しません。Address Manager でサーバを構成する前に、DNS/DHCP サーバ管理コンソールから専用管理を無効にします。
  • xHA で HSM を構成できますが、一定の制限があります。詳しくは、「オプション:xHA を使用した HSM」を参照してください。
  • リモート ファイル システムを使用して Address Manager および管理対象の DNS サーバを Security World に参加させた場合、RFS は「認証なし」で構成されます。これは、DNSSEC および HSM のフェールオーバーには望ましい状態です。「認証」を使用した RFS の同期では、認証が単一の HSM サーバに設定され、他のクライアントが Security World に参加することが妨げられる場合があります。
管理対象の BlueCat DNS サーバは、DNSSEC-HSM または標準 DNSSEC のどちらか一方 (両方ではありません) を使用してゾーン署名を行うことができます。BlueCat DNS サーバは、いったん HSM ゾーン署名用に構成されると、標準 DNSSEC ゾーン署名には使用できなくなります。HSM 用に構成された DNS サーバを標準 DNSSEC に再利用する必要がある場合、その DNS サーバを再イメージ化する必要があります。
注: HSM を有効にした DNS/DHCP サーバを同時に複数追加しないでください。

BlueCat では、HSM を有効にしている場合、同時に複数の DNS/DHCP サーバAddress Manager 管理下に置かないようお客様に推奨します。例えば、複数のブラウザ タブやウィンドウから、または並行して作業している複数の admin ユーザからの操作です (必ずしも同じワークステーションからとは限りません)。このように操作すると、DNS/DHCP サーバが不適切な構成になる場合があります。

DNS サーバで HSM を有効にするには:

  1. [サーバ] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[構成情報] ページにいることを確認します。
  2. [サーバ] で、[新規] をクリックします。
    サーバを編集する場合、サーバ名をクリックします。[詳細] ページで、[サーバ名] メニューをクリックして [編集] を選択します。
  3. [サーバ] で、次の項目を設定します。
    • プロファイル: ドロップダウン メニューから DNS サーバのモデル番号を選択します。
      注: 監視サービスを使用する場合は、監視する各 DNS/DHCP サーバで最初に SNMP を有効にする必要があります。詳しくは、「DNS/DHCP サーバ の監視サービスの有効化」を参照してください。
    • 名前: サーバの名前を入力します。この名前は Address Manager ユーザ インターフェイスでのみ使用され、デプロイされた DNS データには関連付けられません。
    • 管理インターフェイス: BDDS管理コンソールの eth0 インターフェイスに構成されている IPv4 または IPv6 アドレスを入力します。専用管理が有効になっている場合、eth2 インターフェイスに構成されている IPv4 または IPv6 アドレスを入力します。
      注: サーバを編集する場合、[管理インターフェイス] フィールドは、最初に管理対象の DNS/DHCP サーバを無効にしたにのみ使用可能になります。管理インターフェイス (eth2) の IP アドレスを変更する場合は、最初に DNS/DHCP サーバ 管理コンソールを使用して管理インターフェイスの IP アドレスを再構成し、Address Manager でそのサーバを無効にしてから、新しい IP アドレスでサーバを編集する必要があります。
    • ホスト名: ネットワーク上のサーバに使用されるホスト名。例えば、myhost.example.com です。
    • サーバに接続: デフォルトでは、このオプションは選択されています。これにより、サーバを追加したら、Address Manager はそのサーバに接続できるようになります。このときにサーバに接続しない場合は、このチェックボックスを選択解除します。
      注: Address Manager にサーバを追加するために必要な [サーバ設定の検出] ボタンをクリックするには、[サーバに接続] チェックボックスを選択する必要があります。
    • 最新バージョンにアップグレード: デフォルトでは、このオプションは選択解除されています。これにより、意図しないソフトウェア更新が適用されることがなくなり、Address ManagerDNS/DHCP サーバを追加するための安全な環境となります。このチェックボックスは、アプライアンスが Address Manager 管理下に入ったときに、最新バージョンの DNS/DHCP サーバ ソフトウェアを適用する場合にのみ選択します。
      注: 必ずサーバを Address Manager に追加した後に、DNS/DHCP サーバ ソフトウェアをアップグレードすることを推奨します。[最新バージョンにアップグレード] チェックボックスを選択せずにサーバを追加します。Address Manager にサーバが追加された後、サーバ ソフトウェアをアップグレードします。詳しくは、「DNS/DHCP サーバ ソフトウェアのアップグレード」を参照してください。
    • パスワード: サーバのパスワードを入力します。[サーバ設定の検出] ボタンをクリックするには、パスワードを入力する必要があります。デフォルトのサーバ パスワードに関する詳細は、「BlueCat デフォルト ログイン資格情報」を参照してください (このトピックを見るには認証が必要です)。
    • ロケーション: (オプション) 追加または編集するサーバ オブジェクトのベースとなるロケーションをドロップダウン メニューから選択します。最もよく使用するロケーション オブジェクトがリストの先頭に表示され、以降すべてはアルファベット順となります。
  4. [サーバ設定の検出] をクリックします。Address Manager は、DNS/DHCP サーバのソフトウェア バージョン、インターフェイスの数、専用管理の状態、IP アドレス、冗長化シナリオをチェックします (4 ポート アプライアンスのみ)。
  5. オプション:次の項目を設定します (使用可能なフィールドは、DNS/DHCP サーバ のインターフェイスの数によって決まります)。
    • サービス インターフェイス: DNS/DHCP サーバ 管理コンソールを利用して設定された現在の構成に基づいて、以下のフィールドが自動的に設定されます。
      • プライマリ IPv4 サービス アドレスおよびネットワーク: 読み取り専用。これは、DNS、DHCP、DHCPv6、TFTP などのサービス トラフィックに対してのみ使用する IPv4 アドレスおよびネットマスクです (3 および 4 ポート アプライアンスのみ)。
      • プライマリ IPv6 サービス アドレスおよびサブネット: 読み取り専用。DNS/DHCP サーバ 管理コンソールにより構成済みのIPv6 サービス アドレスおよびサブネットを表示します。
    • xHA バックボーン: このチェックボックスは、xHA インターフェイスを構成して、使用する IPv4 または IPv6 アドレスおよびネットマスク/サブネットを指定する場合に選択します。
      注: xHA バックボーンに IPv6 アドレスを構成する場合、プレフィックスは許可された CIDR 範囲 (64 ~ 127) で設定する必要があります。
    • 冗長化の有効化: ネットワーク冗長化を有効にする場合はこのチェックボックスを選択し (4 ポート アプライアンスのみ)、ネットワーク冗長化を無効にする場合は選択解除します。[シナリオ] ドロップダウン メニューから、[アクティブ/バックアップ] または [アクティブ/アクティブ (802.3ad)] のどちらかを選択します。
      注: VLAN インターフェイスがサービス インターフェイス (eth0) にある場合、[サーバの追加] ページからネットワーク冗長化を有効にすることはできません。必要に応じて、構成された VLAN インターフェイスを DNS/DHCP サーバ管理コンソールで削除し、Address Manager にサーバを追加してネットワーク冗長化を有効にします。サーバを Address Manager 管理下に置くと、Address Manager ユーザ インターフェイス (サービス > サービス構成 > インターフェイス) から VLAN インターフェイスを構成することができます。

      ポート ボンディングに VLAN タグ付けが必要な場合、まずボンディングを有効にしてから、直ちに VLAN インターフェイスを構成する必要があります。

    • 暗号化された通知の有効化: 通知の暗号化は、デフォルトで無効になっています。このチェックボックスを選択すると、Address Manager と DNS/DHCP サーバとの間で暗号化された通知が有効になります。
      注:
      • [暗号化された通知の有効化] チェックボックスを使用できるのは、BDDS v9.4.0 以上のみです。
      • 通知チャネルの暗号化あり/暗号化なしを切り替える機能は、今後のリリースの Address Manager では削除される予定です。Address Manager と DNS/DHCP サーバとの間の通知に関するすべての通信は、デフォルトで暗号化され、暗号化を無効にするオプションはありません。
      • 暗号化された通知を受信するには、ファイアウォールで特定のポートを開いておく必要があります。詳しくは、「Address Manager サービス ポート」を参照してください。
  6. オプション:[監視設定] で、次を選択します (DNS/DHCP サーバ監視サービスが有効な場合のみ使用可能)。
    • デフォルト モニタリング設定を使用する [有効]: デフォルトでは選択されています。構成用として構成された DNS/DHCP サーバ 監視設定を使用する場合は、選択されたままにします。
    • グローバルモニタリング設定をオーバーライドする: サーバに対してカスタム監視設定を設定する場合は選択してから、[このサーバの監視] を選択し、次の SNMP パラメータ設定を構成します。
      • バージョン: 監視対象のサーバの SNMP バージョンを選択します。
      • ポート番号: 監視対象サーバと通信するために BAM が使用する SNMP ポートを示します。デフォルト ポートは 161 です。このポートは変更できません。
      • コミュニティ文字列: 認証に使用する SNMP コミュニティ文字列を入力し、[追加] をクリックします。リストにコミュニティ文字列が表示されます。リストに追加できるコミュニティ文字列は、最大 100 個です。文字列は、リストに表示された順序で使用されます。文字列を削除するには、該当する文字列をリストから選択し、[削除] をクリックします。リストの項目の順序を変更するには、リストで項目を選択して、[上に移動] または [下に移動] をクリックします。
  7. [検証オプション] で、次のオプションを設定して、DHCP および DNS サービス構成または構成レベルに構成された DNS ゾーン検証設定をオーバーライドします。
    • 構成レベル DHCP 検証設定のオーバーライド: このチェックボックスは、サーバに固有の DHCP デプロイメント検証オプションを設定する場合に選択します。選択すると、[DHCP 構成検証の有効化] チェックボックスが表示されます。
      • DHCP 構成検証の有効化: このチェックボックスは、dhcpd.conf ファイルの構文の確認および Address Manager からデプロイされる前のデータの検証をする場合に選択します。
    • 構成レベル DNS 検証設定のオーバーライド: このチェックボックスは、サーバに固有のデプロイメント検証オプションを設定する場合に選択します。選択すると、[DNS 構成検証の有効化] チェックボックスおよび [DNS ゾーン検証の有効化] チェックボックスが表示されます。
      • DNS 構成検証の有効化: このチェックボックスは、named.conf ファイルの構文の確認および Address Manager からデプロイされる前のデータの検証をする場合に選択します。
      • DNS ゾーン検証の有効化: このチェックボックスは、各ゾーン ファイルの構文の確認および Address Manager からデプロイされる前のデータの検証をする場合に選択します。これは、named-checkzone ツールに -i スイッチを設定することと同じです。選択した場合、[DNS ゾーンのデプロイメント検証設定] セクションがページに表示されます。
  8. [DNS ゾーン検証設定] で、次の項目を設定します。
    • ロード後のゾーン整合性検証: このオプションに選択したモードに基づいて構文の確認が実行されます。次のいずれかのモードを選択します。
      • 完全: 次の状態を確認します。
        • ゾーン内およびゾーン外のホスト名に関して、MX レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内およびゾーン外のホスト名に関して、SRV レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内およびゾーン外のホスト名に関して、委任 NS レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のグルー アドレス レコードが、子によって指定されたレコードと一致するかどうか。
      • ローカル: 次の状態を確認します。
        • ゾーン内のホスト名に関して、MX レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のホスト名に関して、SRV レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のホスト名に関して、委任 NS レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のグルー アドレス レコードが、子によって指定されたレコードと一致するかどうか。
      • 完全兄弟: [完全] モードと同じチェックを実行しますが、グルー レコードをチェックしません。
      • ローカル兄弟: [ローカル] モードと同じチェックを実行しますが、グルー レコードをチェックしません。
    • なし: ロード後のゾーン整合性チェックをすべて無効にします。
    • 名前の確認: 名前を確認します。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の処理方法を決定します。
    • MX レコードが IP アドレスであるかどうかをチェック: MX レコードが A レコードまたは AAAA レコードではなく IP アドレスを指しているかどうかをチェックします。これは、named-checkzone ツールに -M スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    • MX レコードが CNAME レコードを指しているかをチェック: MX レコードが A レコードまたは AAAA レコードではなく CNAME レコードを指しているかどうかをチェックします。これは、named-checkzone ツールに -M スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    • NS レコードが IP アドレスであるかをチェック: NS レコードが A レコードまたは AAAA レコードではなく IP アドレスを指しているかどうかをチェックします。これは、named-checkzone ツールに -n スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    • SRV レコードが CNAME レコードを指しているかをチェック: SRV レコードが A レコードまたは AAAA レコードではなく CNAME レコードを指しているかどうかをチェックします。これは、named-checkzone ツールに -S スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の処理方法を決定します。
    • 末尾にないワイルドカードをチェック: ゾーン名の最後の部分に使用されていないワイルドカードをチェックします。例えば、mail.*.example.com です。末尾にないワイルドカードは許可されますが、存在する場合に警告を受け取ることができます。これは、named-checkzone ツールに -W スイッチを設定することと同じです。[無視] または [警告] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    上記のオプションで、[無視]、[警告]、または [失敗] を指定すると、次のように処理されます。
    • 無視: 状態を無視し、ゾーン検証サーバ ログに記録しません。デプロイメントは、この状態を含むゾーン データで続行されます。
    • 警告: ゾーン検証サーバ ログに状態が記録されます。デプロイメントは、この状態を含むゾーン データで続行されます。
    • 失敗: ゾーン検証サーバ ログに状態が記録されます。デプロイメントは失敗します。既存の DNS データがそのまま維持され、新しいデータはデプロイされません。
  9. [Kerberos サービス プリンシパル] で、DNS および DHCP のサービス プリンシパルを設定します。
    • DNS サービス プリンシパルの有効化: DNS サービスのセキュリティ資格情報を指定して、GSS-TSIG プロトコルによって要求された認証鍵に使用する場合に選択します。このチェックボックスを選択すると、[レルム] および [プリンシパル] フィールドが表示されます。[レルム] および [プリンシパル] ドロップダウン メニューから、Kerberos のレルムおよびサービス プリンシパルを選択します。
    • DHCP サービス プリンシパルの有効化: このチェックボックスは、DHCP サービスのセキュリティ資格情報を指定して、GSS-TSIG プロトコルによって要求された認証鍵に使用する場合に選択します。このチェックボックスを選択すると、[レルム] および [プリンシパル] フィールドが表示されます。[レルム] および [プリンシパル] ドロップダウン リストから、Kerberos のレルムおよびサービス プリンシパルを選択します。
  10. [HSM のサポート] で、次の操作を行います。
    • [HSM サポートの有効化] チェックボックスを選択します。[サーバの追加] ページが更新されて、HSM 構成および HSM サーバのドロップダウン メニューが表示されます。
    • [HSM サーバ] ドロップダウン メニューから [HSM サーバ] を選択して、[追加] をクリックします。複数の HSM サーバを追加するには、この手順を繰り返します。
    • リスト内の HSM サーバの順序を並べ替えるには、[HSM サーバ] を選択して、[上に移動] または [下に移動] をクリックします。順序の最上位の HSM サーバはプライマリであり、プライマリの下の HSM サーバはセカンダリ、ターシャリです。リストから HSM サーバを削除するには、[削除] をクリックします。
  11. 必要に応じて [変更管理] で、コメントを追加します。
  12. [追加] をクリックします。

[詳細] タブの [一般] セクションには、[HSM サポートの有効化] が表示されます。はい: 管理対象の DNS サーバで HSM が有効になっていることを確認します。また、[HSM サーバ] セクションには、管理対象の DNS サーバにリンクされている HSM サーバがリストされます。

注: 切断されている HSM サーバが、HSM 構成に追加されない
ベスト プラクティスとして、Address Manager ユーザ インターフェイスに一覧表示されたすべての HSM サーバに接続されているか検証してください。HSM サーバの接続ステータスを確認するには、次の操作を行います。
  1. SSH を使用して root として Address Manager にログインします。
  2. 次のコマンドを実行します。
    hsm-status.sh

Address Manager は、各 HSM サーバに対して [接続状態 OK] を返す必要があります。接続ステータス メッセージの数が Address Manager ユーザ インターフェイスで構成した HSM サーバの数と一致していることを確認します。

Address Manager が HSM サーバに接続できない場合、または確認された接続が Address Manager ユーザ インターフェイスに追加された HSM サーバの数より少ない場合は、「Troubleshooting」を参照してください。

管理対象の DNS サーバで HSM を有効にしたら、次の手順では DNSSEC-HSM ポリシーを作成します。