Security World への Address Manager の参加 - BlueCat Integrity

Security World への Address Manager の参加 - BlueCat Integrity - 9.5.0

管理ガイド

Locale

日本語

Product name

BlueCat Integrity

Version

9.5.0

RFS または Security World ファイルのアップロードによって Security World を構成したら、次に Address Manager を Security World に参加させる必要があります。

この手順には、Address Manager にすでに作成されている HSM サーバに Address Manager を関連付ける操作が含まれます。ドロップダウンメニューから HSM サーバを選択し、必要に応じて並べ替えます。リスト内の最上位の HSM サーバがプライマリとして動作します。必要な数の HSM サーバを選択して、Address Manager と HSM サーバ間で最も速い通信が行われる順序を設定します。

リモートファイルシステムを使用して Address Manager および DNS サーバを Security World に参加させた場合、RFS は「認証なし」で構成されます。これは、DNSSEC および HSM のフェールオーバーには望ましい状態です。「認証」を使用した RFS の同期では、認証が単一の HSM サーバに設定され、他のクライアントが Security World に参加することが妨げられる場合があります。

Security World に Address Manager を参加させるには:

[管理] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[管理] ページにいることを確認します。
[一般] で、[HSM 構成] をクリックします。
[Security World への参加] で、[Security World への Address Manager の参加] をクリックします。
[一般] で [HSM サーバ] ドロップダウンメニューから [HSM サーバ] を選択して、[追加] をクリックします。必要な数の HSM サーバを追加するには、この手順を繰り返します。
リスト内の HSM サーバの順序を並べ替えるには、[HSM サーバ] を選択して、[上に移動] または [下に移動] をクリックします。順序の最上位の HSM サーバはプライマリであり、プライマリの下の HSM サーバはスタンバイサーバ (セカンダリまたはターシャリ) です。リストから HSM サーバを削除するには、[削除] をクリックします。
[参加] をクリックします。Address Manager の [HSM 構成情報] ページに戻ります。
注: Address Manager をレプリケーションで実行している場合は、スタンバイ Address Manager サーバを Security World に手動で参加させる必要があります。その手順には、レプリケーションを解除して、スタンバイ Address Manager サーバのユーザインターフェイスにログインし、HSM 構成の手順を繰り返す操作が含まれます。
- HSM 構成を作成します (同じ名前および鍵プロバイダを使用します)
- プライマリと同じ HSM サーバを追加します (同じポート番号を使用します)
- プライマリと同じモードを使用して、Security World を構成します
- スタンバイ Address Manager を Security World に参加させます
スタンバイ Address Manager を Security World に参加させたら、Address Manager のレプリケーションをリセットする必要があります。Address Manager レプリケーションの解除およびリセットについては、「Address Manager 災害復旧のためのデータベースのレプリケーション」を参照してください。

Address Manager が Security World に参加すると、追加のオプションを利用できるようになります。

Security World 構成の更新: Security World の構成モードを変更し、RFS を使用するか、Security World ファイルをアップロードするようにします。詳しくは、「Security World 構成の更新」を参照してください。
Address Manager の Security World の更新: Security World に HSM サーバを追加、削除、または移動する場合にクリックします。詳しくは、「Address Manager の Security World の更新」を参照してください。
Security World から Address Manager を削除: Security World から Address Manager を切り離す場合にクリックします。詳しくは、「Security World からの Address Manager の削除」を参照してください。

次に、管理対象の DNS サーバで HSM を有効にする必要があります。詳しくは、「DNS サーバの HSM の有効化」を参照してください。

注: 切断されている HSM サーバが、HSM 構成に追加されない

ベストプラクティスとして、Address Manager ユーザインターフェイスに一覧表示されたすべての HSM サーバに接続されているか検証してください。HSM サーバの接続ステータスを確認するには、次の操作を行います。

SSH を使用して root として Address Manager にログインします。
次のコマンドを実行します。
```
hsm-status.sh
```

Address Manager は、各 HSM サーバに対して [接続状態 OK] を返す必要があります。接続ステータスメッセージの数が Address Manager ユーザインターフェイスで構成した HSM サーバの数と一致していることを確認します。

Address Manager が HSM サーバに接続できない場合、または確認された接続が Address Manager ユーザインターフェイスに追加された HSM サーバの数より少ない場合は、「Troubleshooting」を参照してください。

注: Address Manager または DNS/DHCP サーバが Security World に接続できない

Address Manager または DNS/DHCP サーバが Security World に接続できない場合、サーバは後で Security World に接続できない可能性があります。このエラーが発生したら、Address Manager または DNS/DHCP サーバを Security World に再接続しようと試みる前に、以下の手順を実行してください。

SSH を使用してルートとして Address Manager または DNS/DHCP サーバにログインします。
/opt/nfast/kmdata/config/config ファイル内で HSM モジュールおよび RFS 用の設定を削除します。

ファイルの次の権限を復元します:

-rwxr-x--- 1 nfast nfast 15187 Mar 24 19:56 /opt/nfast/kmdata/config/config

次のコマンドを使用して nCipher サービスを再起動します:
```
/opt/nfast/sbin/init.d-ncipher restart
```

サービスの再起動に成功したら、Address Manager または DNS/DHCP サーバを Security World に追加するよう再試行できます。