Novell Auditパッケージを使用すると、eDirectoryが生成したイベントを外部監査クライアントにモニタリング目的で送信することができます。
eDirectory 9.2にはeDirectory Instrumentationがバンドルされています。このパッケージは、Novell Auditを使用してeDirectoryイベントを監査する場合にインストールする必要があります。
LinuxサーバとWindowsサーバ上で、Novell Auditをインストール、設定、またはアンインストールするには、次の情報を参照してください。
サポートされているプラットフォームとインストール手順については、『NetIQ eDirectoryインストールガイド』を参照してください。
eDirectory 9.2監査には、最低でも、Novell Audit Platform Agent 2.0.2.80が必要です。
Novell Audit iManagerプラグインのインストールと使用には、iManager 3.0以降が必要です。詳細については、iManagerのドキュメントページを参照してください。
Audit Platform Agent環境設定ファイル(logevent.conf)が/etcにすでに存在する場合、Auditパッケージをインストールする前にファイルをバックアップしてください。これは新しいパッケージが既存の環境設定を上書きするためです。
Auditモジュールがすでにロードされている場合、ndstrace -c "unload auditds"コマンドを使って、auditdsモジュールをアンロードします。
64ビットAuditパッケージの場合:
Linuxプラットフォーム用のeDirectoryビルドを抽出したセットアップディレクトリから、novell-AUDTplatformagent-2.0.2-80.x86_64.rpmをインストールします。
#rpm -ivh /root/eDirectory/setup/novell-AUDTplatformagent-2.0.2-80.x86_64.rpm
Linuxプラットフォーム用のeDirectoryビルドを抽出したセットアップディレクトリから、novell-AUDTedirinst-9.2-xx.x86_64.rpmをインストールします。
メモ:eDirectoryサーバのアップグレードの場合、novell-AUDTedirinst-9.2-xx.x86_64.rpmは、すでにインストールしてあるなら自動でアップグレードされます。
#rpm -ivh <eDirectory build extracted folder>/eDirectory/setup/novell-AUDTedirinst-9.2-xx.x86_64.rpm
ndstrace -c "load auditds"を実行して、auditdsモジュールをロードします。
64ビットAuditパッケージの場合:
非ルートユーザとして、プラットフォームエージェント(PA)をインストールします。PAのインストールについては、NetIQダウンロードのWebサイトと『Novell Audit Platform Agent Guide (Novell Audit Platform Agentガイド)』(Sentinelプラグイン2011.1 r 3)を参照してください。
eDirectoryサーバを停止します。
次のコマンドを使用して、eDirectory Instrumentation rpmを抽出します。:
#rpm2cpio novell-AUDTedirinst-9.2-xx.x86_64.rpm | cpio -div
抽出されたファイルを、非ルートでインストールされているlib64ディレクトリに次のコマンドを使用してコピーします。
cp -r ./opt/novell/eDirectory/lib64/* <eDirectory build extracted folder>/eDirectory/opt/novell/eDirectory/lib64/
eDirectoryサーバを再起動します。
ndstrace -c "load auditds"を実行して、auditdsモジュールをロードします。
Audit Platform Agent環境設定ファイル(logevent.cfg)がC:\WINDOWSにすでに存在する場合、インストラメンテーションをインストールする前にファイルをバックアップしてください。これは新しいパッケージが既存の環境設定を上書きするためです。
64ビットAuditパッケージおよびAudit Platform Agentのインストールの場合、<installerFolder>windows/x/windows/x64/auditds/からNovell_Audit_PlatformAgent_Win64.exeを実行します。
メモ:
eDirectory InstrumentationがインストールされているeDirectoryサーバをアップグレードすると、eDirectory Instrumentationは自動的にアップグレードされます。現在使用しているのがeDirectory 9.0 SP2以前の場合、eDirectoryサーバをアップグレードする前にInstrumentationファイルを手動でアップグレードする必要があります。
非ルートユーザとしてeDirectoryサーバをアップグレードする場合、eDirectoryサーバをアップグレードする前にInstrumentationファイルを手動でアップグレードする必要があります。
Novell Audit Platform Agentを使って、eDirectoryイベントの監査を環境設定するには、最初にiManagerに対して、Novell Auditプラグインをインストールする必要 があります。
Novell Audit iManagerプラグインのインストールと使用には、iManager 3.0以降が必要です。iManagerのインストール要件とダウンロード手順については、『iManagerインストールガイド』を参照してください。
Novell Audit iManagerプラグインは、eDirectory 9.2プラグインにバンドルされています。eDirectory 9.2プラグインは、ダウンロードサイトからダウンロードできます。
インストール手順は、iManager 3.2用eDirectory 9.2プラグインのダウンロードページで入手できます。
Audit Platform Agentがまだ設定されていない場合、Platform Agent環境設定ファイルを編集して、LogHostでAudit Serverのホストアドレスを設定します。デフォルトで、環境設定ファイルは次のディレクトリに配置されます。
Linux: /etc/logevent.conf
Windows: Windows_directory\logevent.cfg
たとえば、LogHost属性を次のように編集します。
LogHost=192.168.1.8
詳細については、『Novell Audit 2.0 Administration Guide』の「Configuring the Audit Platform Agent」のセクションを参照してください。
iManagerを使用してNovell Audit Platform AgentによるeDirectoryイベントの監査を設定するには、監査するeDirectoryイベントのタイプを選択します。
次のURLを使って、iManagerにログインします。
https://ip_address_or_DNS/nps/
ここで、ip_address_or_DNSは、iManagerサーバのIPアドレスまたはDNS名を指しています。次に例を示します。
https://111.111.1.1/nps/
[役割およびタスク]で[eDirectoryの監査]>[監査の環境設定]の順に選択します。
イベントを収集するeDirectoryサーバに対応するNCP Serverオブジェクトをブラウズして選択します。[OK]をクリックします。
[Novell Audit]タブをクリックして、[eDirectory Instrumentationの設定]ページを表示します。
eDirectoryからレプリカリング内の別のレプリカに複製されたイベントを送信しないようにするには、[複製されたイベントを送信しない]を選択します。
このオプションを使って、不要なイベントノイズを除外し、ログサイズを小さくすることができます。
インラインプレイベントレポーティングを有効にするには、[イベントをインラインで登録する]を選択します。
このオプションを選択すると、eDirectoryのパフォーマンスが低下する可能性があるという点に注意してください。
監査するイベントタイプを選択します。
1つ以上の特定オブジェクトクラスに対するイベントをフィルタする場合は、次の操作を実行してください。
次のいずれかのハイパーリンクオブジェクトをクリックします。
[オブジェクト]>[作成]
[オブジェクト]>[削除]
[属性]>[値の追加]
[属性]>[値の削除]
[LDAP]>[LDAP追加]
[LDAP]>[LDAP変更]
[LDAP]>[LDAP削除]
[LDAP]>[LDAP変更DN]
[使用可能なオブジェクトクラス]リストで、イベントを監査するオブジェクトクラスを選択し、右矢印をクリックします。
[OK]を2回クリックします。
1つ以上の特定属性に対するイベントをフィルタする場合は、次の手順を実行してください。
次のいずれかのハイパーリンクオブジェクトをクリックします。
[属性]>[値の追加]
[属性]>[値の削除]
[使用可能な属性]リストで、イベントを監査する属性を選択し、右矢印をクリックします。
[OK]を2回クリックします。
メモ:eDirectoryはすべてのフィルタに対してイベントを個別に評価します。このため、イベントが1つのフィルタだけしか一致しない場合でも、eDirectoryはそのイベントをクライアントに送信します。イベントのフィルタリングについては、「eDirectory監査イベントのフィルタ処理について」を参照してください。
[適用]をクリックし、[OK]をクリックします。
監査設定に対する変更は、3分以内に有効になります。Auditモジュールをアンロードしてから、リロードし直して、変更を直ちに適用することもできます。Auditモジュールの詳細については、「モジュールのロードとアンロード」を参照してください。
メモ:メタイベントを生成する[値の追加]および[値の削除]属性を確認します。
Auditモジュールをロードまたはアンロードするには、プラットフォームに応じて、次の手順のいずれかを使用します。
Auditモジュールがロードされていない場合は、次のコマンドを実行してロードします。
ndstrace -c "load auditds"
Auditモジュールをアンロードするには、次のコマンドを実行します。
ndstrace -c "unload auditds"
eDirectoryの起動時にAuditモジュールを自動的にロードするには、/etc/opt/novell/eDirectory/conf/ndsmodules.conf ファイルを編集し、次の行をこのファイルに追加します。
auditds auto #eDirectory instrumentation
Auditモジュールをロードします。
[スタート]>[コントロールパネル]>[Novell eDirectoryサービス]の順にクリックします。
[Services]タブから[nauditds]を選択し、[Start]をクリックします。
Auditモジュールをアンロードします。
[スタート]>[コントロールパネル]>[Novell eDirectoryサービス]の順にクリックします。
[サービス]タブから[nauditds]を選択し、[中止]をクリックします。
eDirectoryの起動時にAuditモジュールを自動的にロードするには、次の操作を実行します。
[スタート]>[コントロールパネル]>[Novell eDirectoryサービス]の順にクリックします。
[サービス]タブから[nauditds]を選択し、[起動]をクリックします。
[自動]をオンにして、[OK]をクリックします。
eDirectoryの起動時のAuditモジュールの自動ロードを無効にするには、次の操作を実行します。
[スタート]>[コントロールパネル]>[Novell eDirectoryサービス]の順にクリックします。
[サービス]タブから[nauditds]を選択し、[起動]をクリックします。
[自動]チェックボックスをオフにして、[OK]をクリックします。
eDirectoryはジャーナルとインラインという2種類の異なるイベントレポートシステムを使って、イベントを記録します。 デフォルトでは、eDirectoryはジャーナルイベントレポートを使って、イベントを記録しますが、iManagerでインラインイベントレポートを有効にすることができます。インラインイベントレポートの有効化の詳細については、「eDirectoryに対するNovell Auditの設定」を参照してください。
ジャーナル: このレポートシステムは、同期型イベント後レポート機能を提供します。ジャーナルイベントレポートを有効にすると、eDirectoryはイベントをジャーナルイベント処理キューに追加します。次にeDirectoryは個別のスレッドを使って、キュー内のイベントを処理し、そのイベントを監査クライアントに送信します。
インライン: このレポートシステムは、同期型イベント前レポート機能を提供します。インラインイベントレポートを有効にすると、eDirectoryは同じスレッドを使用して、クライアントに直接イベントを送信します。インラインイベントレポートを有効にすると、eDirectoryのパフォーマンスが影響を受ける可能性があることに注意してください。
イベントを次のカテゴリに記録するように、eDirectoryを設定できます。
メタ
オブジェクト
属性
スキーマ
接続
エージェント
その他
バインダリ
レプリカ
パーティション
LDAP
次のイベントタイプのデフォルトセットを監査することをお勧めします。
カテゴリ |
イベントタイプ |
---|---|
メタ |
すべてのイベントタイプ |
オブジェクト |
|
属性 |
すべてのイベントタイプ |
エージェント |
|
その他 |
|
LDAP |
|
1つまたは複数の固有オブジェクトクラスまたは属性に対し、イベント種類に応じて、イベントをフィルタ処理することができます。eDirectoryは生成されたすべてのイベントを、eDirectoryサーバ上で設定されているフィルタを基準にして評価し、そのフィルタと一致するイベントだけを、監査クライアントに送信します。
複数のフィルタを使用して、eDirectoryイベントを個別にフィルタ処理できます。たとえば、特定のオブジェクトクラスと属性(1つまたは複数)の両方にフィルタを設定した場合、eDirectoryはそのいずれかのフィルタと一致するすべてのイベントをクライアントに送信します。ユーザはフィルタを変更できないため、eDirectoryは特定のオブジェクトクラスと特定の属性だけをクライアントに送信します。eDirectoryイベントをフィルタするオブジェクトクラスまたは属性は複数選択できます。
メモ:オブジェクトクラスと属性を組み合わせて最大256個までフィルタできます。
ハイパーリンクが設定された次のいずれかのイベントタイプをクリックして、そのイベントタイプをフィルタする1つ以上のオブジェクトクラスまたは属性を選択します。
カテゴリ |
イベントタイプ |
フィルタのタイプ |
---|---|---|
オブジェクト |
|
オブジェクトクラス |
属性 |
|
オブジェクトクラスまたは属性 |
LDAP |
|
オブジェクトクラス |
たとえば、別のユーザがeDirectoryでユーザアカウントを作成した場合に通知を受信する場合は、iManagerを使ってフィルタを作成し、Userオブジェクトを作成するCreate Obejectイベントだけを検索します。
iManagerで[役割およびタスク]>[eDirectoryの監査]>[監査の環境設定]と移動し、監視するNCPサーバを選択して、[Novell Audit]タブをクリックします。オブジェクトリストで、[作成]ハイパーリンクをクリックします。[使用可能なオブジェクトクラス]リストで、[ユーザ]を選択し、右矢印をクリックして、[ユーザ]を[選択されたオブジェクトクラス]リストに移動し、[OK]をクリックします。
フィルタが設定されている場合、eDirectoryはユーザが作成したイベントに対して、生成されたすべてのイベントをチェックし、該当するイベントをクライアントに送信します。他のイベントタイプを選択しない場合、または他のオブジェクトクラスや属性に対してフィルタを設定していない場合、eDirectoryは、ユーザが作成したイベントだけを監査します。
ObjectとLDAPカテゴリフィルタはオブジェクトクラスだけをフィルタしますが、Attributeカテゴリフィルタはオブジェクトクラスと属性クラスの両方をフィルタすることができます。
上記のイベントタイプのいずれかを選択し、フィルタするオブジェクトクラスまたは属性を指定しなかった場合、eDirectoryは該当するイベントタイプのすべてのイベントをクライアントに送信します。
NetIQ Sentinelは、eDirectoryイベントの収集と監査を行うコレクタを提供します。Sentinelで特定のeDirectoryイベントを監視するには、特定のeDirectory監査設定が適切に構成されていることを確認する必要があります。
監査設定の設定の詳細については、「eDirectoryに対するNovell Auditの設定」を参照してください。
eDirectoryイベントを収集するにようにSentinelを設定するには、Sentinel Plug-insサイトにある『Sentinel Collector Guide for NetIQ eDirectory』を参照してください。
アカウントとして使用するオブジェクトを作成する場合、eDirectoryは最初に汎用オブジェクトを作成し、次にAdd Valueイベントを使って、オブジェクトクラスをユーザタイプに変更します。Sentinelがイベントを適切に収集するように設定するには、iManagerでAdd Valueイベントの監査を有効にする必要があります。Add Valueイベントの監査を有効にしない場合、SentinelのCollectorはCreate Objectイベントを解析することができないためSentinelで「Configuration Error」イベントが生成されます。
オブジェクトの作成イベントを有効にするには、iManagerを起動し、[eDirectoryの監査]>[監査の環境設定]>[Novell Audit]ウィンドウの順に移動します。[オブジェクト]>[作成]と[属性]>[値の追加]の両方を選択します。
eDirectoryは各LDAPリクエストをトランザクションと見なし、リクエストが開始された場合、レスポンスを受信した場合、およびトランザクションが完了した場合に、イベントを生成します。
ただしSentinelでは、各リクエストレスポンスペアは1つのイベントとして処理されます。SentinelでeDirectoryのLDAPイベントタイプを監視するには、リクエストイベントとレスポンスイベントの両方に対して監査を有効にする必要があります。たとえばLDAPバインドリクエストを監査するには、iManagerでLDAP BindイベントとLDAP Bind Responseイベントの両方の監査を設定する必要があります。
eDirectoryでFailed Loginイベントを監視する場合は、iManagerを使って、eDirectoryサーバ上のAdd Valueイベントの監査を有効にする必要があります。また、eDirectoryコンテナやFailed Loginイベントを監査するコンテナの[不正侵入者検出]を有効にする必要があります。
重要:監視するコンテナのレプリカが存在するサーバごとに、[不正侵入者検出]と[値の追加]のイベント監査を有効にする必要があります。
コンテナで[不正侵入者検出]を有効にするには、次の手順を実行してください。
iManagerにログインします。
[役割およびタスク]で[ディレクトリ管理]>[オブジェクトの変更]の順に選択します。
監査するeDirectoryコンテナをブラウズして選択します。[OK]をクリックします。
[一般]タブで、[不正侵入者検出]をクリックします。
[Intruder Detection]をオンにします。
[OK]をクリックします。
メモ:
他のまたは[不正侵入者検出]関連の設定を設定したり、[検出後にアカウントをロック]設定を有効にする必要はありません。
NMAS経由で行われるログインの失敗ログインイベントを監視するには、NMASコレクタの[終了ログイン状況]を確認する必要があります。詳細については、NMASイベントの監査を参照してください。
次のセクションでは、Novell Auditパッケージのアンインストール方法について説明します。
LinuxのAuditパッケージをアンインストールするには、次の手順を実行します。
ndstrace -c unload auditdsコマンドを使って、Auditモジュールをアンロードします。
novell-AUDTedirinst-9.2.0-xx.rpmをアンインストールします。
#rpm -e --nodeps novell-AUDTedirinst-9.2.0-xx
/etc/opt/novell/eDirectory/conf/ndsmodules.confファイルを編集して、auditdsに対応する行(存在する場合)を削除することで、eDirectoryの起動時のAuditモジュールの自動ロードを無効にします。auditdsに対応する行を次に示します。
auditds auto #eDirectory Instrumentation
メモ:他にインストールされている監査がない場合は、#rpm -e novell-AUDTplatformagent-2.0.2-80コマンドを使ってnovell-AUDTplatformagent-2.0.2-80 Audit Platform Agentをアンインストールします。
WindowsのAuditパッケージをアンインストールするには、次の手順を実行します。
次のようにAuditモジュールをアンロードします。
[スタート]>[コントロールパネル]>[Novell eDirectoryサービス]の順に移動します。
[サービス]を選択します。
nauditds.dlmをクリックし、次に[中止]をクリックします。
C:\Novell\NDSディレクトリからnauditds.dlmを削除します。 directory.
C:\Novell\NDSディレクトリからediraudit.schファイルを削除します。
メモ:他のインストラメンテーションがインストールされていない場合は、C:\Novell\NDSからlogevent.dllファイルを削除することで、Audit Platform Agentをアンインストールします。