このセクションでは、さまざまなSentinelプラグインをFIPS 140-2モードで実行するための設定について説明します。
メモ:以下の手順は、/opt/novell/sentinelディレクトリにSentinelをインストールしたと想定した場合のものです。すべてのコマンドをnovellユーザとして実行します。
Agent Managerイベントソースサーバのネットワーク設定時に[暗号化(HTTPS)]オプションを選択した場合にのみ、以下の手順に従ってください。
Agent ManagerコネクタをFIPS 140-2モードで実行するように設定するには:
Agent Managerイベントソースサーバを追加または編集します。[セキュリティ]ウィンドウが表示されるまで、設定画面を進めていきます。詳細については、『Agent Manager Connector Guide』を参照してください。
[クライアント認証のタイプ]フィールドでオプションを1つ選択します。クライアント認証タイプによって、SSL Agent Managerイベントソースサーバがデータの送信を試行しているAgent ManagerイベントソースのIDをどの程度厳密に検証するかが決まります。
開く: Agent Managerエージェントから着信するすべてのSSL接続を許可します。クライアント証明書の検証または認証は行いません。
厳密: 証明書が有効なX.509証明書であるかを検証し、クライアント証明書がイベントソースサーバによって信頼されていることも確認します。新規ソースはSentinelに明示的に追加する必要があります(そうすることで、不正なソースが認証されていないデータを送信できないようにします)。
[厳密]オプションの場合、各新規Agent Managerクライアントの証明書をSentinel FIPSキーストアにインポートする必要があります。SentinelがFIPS 140-2モードで動作しているときは、イベントソース管理(ESM)インタフェースを使用してクライアント証明書をインポートすることはできません。
証明書のインポートについて詳しくは、証明書をFIPSキーストアデータベースにインポートするを参照してください。
メモ:FIPS 140-2モードでは、Agent ManagerイベントソースサーバはSentinelサーバキーを使用するため、サーバキーペアのインポートは必須ではありません。
エージェントでサーバ認証が有効になっている場合、コネクタが展開されている場所に応じて、Sentinelサーバ証明書かリモートCollector Manager証明書を信頼するようにエージェントも設定する必要があります。
Sentinelサーバ証明書がある場所: /etc/opt/novell/sentinel/config/sentinel.cer
リモートCollector Manager証明書がある場所: /etc/opt/novell/sentinel/config/rcm.cer
メモ:認証局(CA)によってデジタル署名されているカスタム証明書を使用している場合は、Agent Managerエージェントが適切な証明書ファイルを信頼していなければなりません。
データベース接続の設定時に[SSL]オプションを選択した場合にのみ、以下の手順に従います。
データベースコネクタをFIPS 140-2モードで実行するように設定するには:
コネクタを設定する前に、データベースサーバから証明書をダウンロードし、database.certというファイル名にして、Sentinelサーバの/etc/opt/novell/sentinel/configディレクトリに保存します。
詳細については、各データベースのマニュアルを参照してください。
証明書をSentinel FIPSキーストアにインポートします。
証明書のインポートについて詳しくは、証明書をFIPSキーストアデータベースにインポートするを参照してください。
続けてコネクタの設定を行います。
Sentinel Linkイベントソースサーバのネットワーク設定時に「暗号化(HTTPS)」オプションを選択している場合にのみ、以下の手順に従ってください。
Sentinel LinkコネクタをFIPS 140-2モードで実行するように設定するには:
Sentinel Linkイベントソースサーバを追加または編集します。[セキュリティ]ウィンドウが表示されるまで、設定画面を進めていきます。詳細については、『Sentinel Link Connector Guide』を参照してください。
[クライアント認証のタイプ]フィールドでオプションを1つ選択します。クライアント認証タイプによって、SSL Sentinel Linkイベントソースサーバがデータの送信を試行しているSentinel Linkイベントソース(Sentinel Linkインテグレータ)のIDをどの程度厳密に検証するかが決まります。
開く: クライアント(Sentinel Linkインテグレータ)から着信するすべてのSSL接続を許可します。インテグレータ証明書の検証または認証は行いません。
厳密: インテグレータ証明書が有効なX.509証明書であるかを検証し、インテグレータ証明書がイベントソースサーバによって信頼されているかも確認します。詳細については、各データベースのマニュアルを参照してください。
[厳密]オプションの場合:
Sentinel LinkインテグレータがFIPS 140-2モードで動作しているときは、/etc/opt/novell/sentinel/config/sentinel.cerファイルを送信側のSentinelマシンから受信側のSentinelマシンにコピーする必要があります。証明書を受信側のSentinel FIPSキーストアにインポートします。
メモ:認証局(CA)によってデジタル署名されているカスタム証明書を使用している場合は、適切なカスタム証明書ファイルをインポートする必要があります。
Sentinel Linkインテグレータが非FIPSモードで動作しているときは、カスタムインテグレータ証明書を受信側のSentinel FIPSキーストアにインポートする必要があります。
メモ:送信者がSentinelログマネージャ(非FIPSモード)であり、受信者がFIPS 140-2モードのSentinelである場合、送信者がインポートするサーバ証明書は受信者のSentinelマシンの/etc/opt/novell/sentinel/config/sentinel.cerファイルです。
SentinelがFIPS 140-2モードで動作しているときは、イベントソース管理(ESM)インタフェースを使用してクライアント証明書をインポートすることはできません。証明書のインポートについて詳しくは、証明書をFIPSキーストアデータベースにインポートするを参照してください。
メモ:FIPS 140-2モードでは、Sentinel LinkイベントソースサーバはSentinelサーバのキーペアを使用します。サーバのキーペアのインポートは必須ではありません。
Syslogイベントソースサーバのネットワーク設定時に「SSL」プロトコルを選択している場合にのみ、以下の手順に従ってください。
SyslogコネクタをFIPS 140-2モードで実行するように設定するには:
Syslogイベントソースサーバを追加または編集します。[ネットワーク]ウィンドウが表示されるまで、設定画面での作業を進めていきます。詳細については、『Syslog Connector Guide』を参照してください。
[設定]をクリックします。
[クライアント認証のタイプ]フィールドでオプションを1つ選択します。クライアント認証タイプによって、SSL Syslogイベントソースサーバがデータの送信を試行しているSyslogイベントソースのIDをどの程度厳密に検証するかが決まります。
開く: クライアント(イベントソース)から着信するすべてのSSL接続を許可します。クライアント証明書の検証または認証は行いません。
厳密: 証明書が有効なX.509証明書であるかを検証し、クライアント証明書がイベントソースサーバによって信頼されていることも確認します。新規ソースはSentinelに明示的に追加する必要があります(そうすることで、不正なソースがデータをSentinelに送信できないようにします)。
[厳密]オプションの場合、Syslogクライアントの証明書をSentinel FIPSキーストアにインポートする必要があります。
SentinelがFIPS 140-2モードで動作しているときは、イベントソース管理(ESM)インタフェースを使用してクライアント証明書をインポートすることはできません。
証明書のインポートについて詳しくは、証明書をFIPSキーストアデータベースにインポートするを参照してください。
メモ:FIPS 140-2モードでは、SyslogイベントソースサーバはSentinelサーバのキーペアを使用します。サーバのキーペアのインポートは必須ではありません。
Syslogクライアントでサーバ認証が有効になっている場合、コネクタが展開されている場所に応じて、クライアントはSentinelサーバ証明書かリモートCollector Manager証明書を信頼する必要があります。
Sentinelサーバ証明書ファイルは/etc/opt/novell/sentinel/config/sentinel.cerにあります。
リモートCollector Manager証明書ファイルは/etc/opt/novell/sentinel/config/rcm.cerにあります。
メモ:認証局(CA)によってデジタル署名されているカスタム証明書を使用している場合は、クライアントが適切な証明書ファイルを信頼していなければなりません。
Windowsイベント(WMI)コネクタをFIPS 140-2モードで実行するように設定するには:
Windowsイベントコネクタを追加または編集します。[セキュリティ]ウィンドウが表示されるまで、設定画面を進めていきます。詳細については、『Windows Event (WMI) Connector Guide』を参照してください。
[設定]をクリックします。
[クライアント認証のタイプ]フィールドでオプションを1つ選択します。クライアント認証タイプによって、Windowsイベントコネクタがデータの送信を試行しているクライアントWindowsイベント収集サービス(WECS)のIDをどの程度厳密に検証するかが決まります。
開く: クライアントWECSから着信するすべてのSSL接続を許可します。クライアント証明書の検証または認証は行いません。
厳密: 証明書が有効なX.509証明書であるかを検証し、クライアントWECS証明書がCAによって署名されているかも確認します。新規ソースは明示的に追加する必要があります(そうすることで、不正なソースがデータをSentinelに送信できないようにします)。
[厳密]オプションの場合、クライアントWECSの証明書をSentinel FIPSキーストアにインポートする必要があります。SentinelがFIPS 140-2モードで動作しているときは、イベントソース管理(ESM)インタフェースを使用してクライアント証明書をインポートすることはできません。
証明書のインポートについて詳しくは、証明書をFIPSキーストアデータベースにインポートするを参照してください。
メモ:FIPS 140-2モードでは、WindowsイベントソースサーバはSentinelサーバのキーペアを使用します。サーバのキーペアのインポートは必須ではありません。
Windowsクライアントでサーバ認証が有効になっている場合、コネクタが展開されている場所に応じて、クライアントはSentinelサーバ証明書かリモートCollector Manager証明書を信頼する必要があります。
Sentinelサーバ証明書ファイルは/etc/opt/novell/sentinel/config/sentinel.cerにあります。
リモートCollector Manager証明書ファイルは/etc/opt/novell/sentinel/config/rcm.cerにあります。
メモ:認証局(CA)によってデジタル署名されているカスタム証明書を使用している場合は、クライアントが適切な証明書ファイルを信頼していなければなりません。
イベントソースを自動的に同期する場合、またはActive Directory接続を使用しているイベントソースのリストを生成する場合は、Active Directoryサーバ証明書をSentinel FIPSキーストアにインポートする必要があります。
証明書のインポートについて詳しくは、証明書をFIPSキーストアデータベースにインポートするを参照してください。
Sentinel Linkインテグレータのネットワーク設定時に「暗号化(HTTPS)」オプションを選択している場合にのみ、以下の手順に従ってください。
Sentinel LinkインテグレータをFIPS 140-2モードで実行するように設定するには:
Sentinel LinkインテグレータがFIPS 140-2モードであるときは、サーバ認証が必須になります。インテグレータインスタンスを設定する前に、Sentinel Linkサーバ証明書をSentinel FIPSキーストアにインポートしてください。
Sentinel LinkコネクタがFIPS 140-2モードである場合:
コネクタがSentinelサーバに展開されている場合、/etc/opt/novell/sentinel/config/sentinel.cerファイルを受信側Sentinelマシンから送信側Sentinelマシンにコピーする必要があります。
コネクタがリモートCollector Managerに展開されている場合は、/etc/opt/novell/sentinel/config/rcm.cerファイルを受信側のリモートCollector Managerマシンから受信側のSentinelマシンにコピーする必要があります。
証明書を送信側のSentinel FIPSキーストアにインポートします。
メモ:認証局(CA)によってデジタル署名されているカスタム証明書を使用している場合は、適切なカスタム証明書ファイルをインポートする必要があります。
Sentinel Linkコネクタが非FIPSモードである場合:
カスタムSentinel Linkサーバ証明書を送信側のSentinel FIPSキーストアにインポートします。
メモ:Sentinel LinkインテグレータがFIPS 140-2モードであり、Sentinel Linkコネクタが非FIPSモードのときは、コネクタにあるカスタムサーバのキーペアを使用してください。内部サーバのキーペアは使用しないでください。
証明書のインポートについて詳しくは、証明書をFIPSキーストアデータベースにインポートするを参照してください。
続けてインテグレータインスタンスの設定を行います。
メモ:FIPS 140-2モードでは、Sentinel LinkインテグレータはSentinelサーバのキーペアを使用します。インテグレータのキーペアのインポートは必須ではありません。
LDAPインテグレータをFIPS 140-2モードで実行するように設定するには:
インテグレータインスタンスを設定する前に、LDAPサーバから証明書をダウンロードし、ldap.certというファイル名にして、Sentinelサーバの/etc/opt/novell/sentinel/configディレクトリに保存します。
たとえば、次のように入力します。
openssl s_client -connect <LDAP server IP>:636
コマンド実行後に返されるテキスト(BEGIN行とEND行の間)をファイルにコピーします。
証明書をSentinel FIPSキーストアにインポートします。
証明書のインポートについて詳しくは、証明書をFIPSキーストアデータベースにインポートするを参照してください。
続けてインテグレータインスタンスの設定を行います。
SMTPインテグレータは、2011.1r2以降のバージョンでFIPS 140-2をサポートしています。設定の変更は必要ありません。
Syslogインテグレータのネットワーク設定時に「暗号化(SSL)」オプションを選択している場合にのみ、以下の手順を実行してください。
SyslogインテグレータをFIPS 140-2モードで実行するように設定するには:
SyslogインテグレータがFIPS 140-2モードであるときは、サーバ認証が必須になります。インテグレータインスタンスを設定する前に、Syslogサーバ証明書をSentinel FIPSキーストアにインポートしてください。
SyslogコネクタがFIPS 140-2モードである場合: コネクタがSentinelサーバに展開されている場合、/etc/opt/novell/sentinel/config/sentinel.cerファイルを受信側Sentinelサーバから送信側Sentinelサーバにコピーする必要があります。
コネクタがリモートCollector Managerに展開されている場合は、/etc/opt/novell/sentinel/config/rcm.cerファイルを受信側のリモートCollector Managerコンピュータから受信側のSentinelコンピュータにコピーする必要があります。
証明書を送信側のSentinel FIPSキーストアにインポートします。
メモ:認証局(CA)によってデジタル署名されているカスタム証明書を使用している場合は、適切なカスタム証明書ファイルをインポートする必要があります。
Syslogコネクタが非FIPSモードである場合: カスタムのSyslogサーバ証明書を送信側のSentinel FIPSキーストアにインポートする必要があります。
メモ:SyslogインテグレータがFIPS 140-2モードであり、Syslogコネクタが非FIPSモードのときは、コネクタにあるカスタムサーバのキーペアを使用してください。内部サーバのキーペアは使用しないでください。
証明書をFIPSキーストアデータベースにインポートするには:
証明書ファイルをSentinelサーバまたはリモートCollector Managerの一時的な場所にコピーします。
/opt/novell/sentinel/binディレクトリに移動します。
次のコマンドを実行して、証明書をFIPSキーストアデータベースにインポートし、画面の指示に従ってください。
./convert_to_fips.sh -i <certificate file path>
SentinelサーバまたはリモートCollector Managerを再起動するようプロンプトが表示されたら、「yes」または「y」と入力します。
続けてインテグレータインスタンスの設定を行います。
メモ:FIPS 140-2モードでは、SyslogインテグレータはSentinelサーバのキーペアを使用します。インテグレータのキーペアをインポートする必要はありません。
このセクションでは、FIPS非対応コネクタをFIPS 140-2モードのSentinelサーバで使用する方法について説明します。FIPSをサポートしないソースがある場合、またはご使用の環境で非FIPSコネクタからイベントを収集する場合に、この方法をお勧めします。
FIPS 140-2モードのSentinelサーバで非FIPSコネクタを使用するには:
非FIPSモードのCollector Managerをインストールして、FIPS 140-2モードのSentinelサーバに接続します。
詳細については、セクション III, Sentinelのインストールを参照してください。
非FIPSコネクタを明確に非FIPSリモートCollector Managerに展開します。
メモ:監査コネクタやファイルコネクタなどの非FIPSコネクタを、FIPS 140-2モードのSentinel サーバに接続している非FIPSリモートCollector Manager上で展開する場合に発生する、既知の問題があります。これらの既知の問題の詳細については、『Sentinelリリースノート』を参照してください。