本节将介绍如何将各个 Sentinel 插件配置为在 FIPS 140-2 模式下运行。
注:这些说明假定 Sentinel 已安装在 /opt/novell/sentinel 目录中。必须以 novell 用户的身份执行命令。
仅当您在配置代理管理器事件源服务器的联网设置期间选择了 选项时,才能执行以下过程。
添加或编辑代理管理器事件源服务器。通过配置屏幕继续操作,直到显示“安全性”窗口。有关详细信息,请参见《代理管理器连接器指南》。
从客户端鉴定类型字段中选择一个选项。客户端鉴定类型可确定 SSL 代理管理器事件源服务器校验要尝试发送数据的代理管理器事件源身份的严格程度。
打开: 允许来自代理管理器代理的所有 SSL 连接。不执行任何客户端证书验证或鉴定。
严格: 验证证书是否为有效的 X.509 证书,同时检查客户端证书是否受事件源服务器的信任。需要将新源明确添加到 Sentinel(这可以防止欺骗源发送未授权的数据)。
对于选项,必须将每个新代理管理器客户端的证书导入 Sentinel FIPS 密钥存储区。当 Sentinel 在 FIPS 140-2 模式下运行时,您无法使用事件源管理 (ESM) 界面导入客户端证书。
有关导入证书的详细信息,请参见将证书导入 FIPS 密钥存储区数据库。
注:在 FIPS 140-2 模式下,代理管理器事件源服务器使用 Sentinel 服务器密钥对;无需导入该服务器密钥对。
如果在代理中启用了服务器鉴定,则还必须将代理配置为信任 Sentinel 服务器证书或远程收集器管理器证书,具体取决于部署连接器的位置。
Sentinel 服务器证书的位置: /etc/opt/novell/sentinel/config/sentinel.cer
远程收集器管理器证书的位置: /etc/opt/novell/sentinel/config/rcm.cer
注:在使用由证书颁发机构 (CA) 进行数字签名的自定义证书时,代理管理器代理必须信任相应的证书文件。
仅当您在配置数据库连接期间选择了 SSL 选项时,才能执行以下过程。
在配置连接器之前,请从数据库服务器下载证书,然后将该证书以 database.cert 文件的形式保存到 Sentinel 服务器的 /etc/opt/novell/sentinel/config 目录中。
有关详细信息,请参考相关的数据库文档。
将证书导入 Sentinel FIPS 密钥存储区。
有关导入证书的详细信息,请参见将证书导入 FIPS 密钥存储区数据库。
继续配置连接器。
仅当您在配置 Sentinel Link 事件源服务器的联网设置期间选择了 选项时,才能执行以下过程。
添加或编辑 Sentinel Link 事件源服务器。通过配置屏幕继续操作,直到显示“安全性”窗口。有关详细信息,请参见《Sentinel Link 连接器指南》。
从客户端鉴定类型字段中选择一个选项。客户端鉴定类型可确定 SSL Sentinel Link 事件源服务器校验要尝试发送数据的 Sentinel Link 事件源 (Sentinel Link Integrator) 身份的严格程度。
打开: 允许来自客户端 (Sentinel Link Integrator) 的所有 SSL 连接。不执行任何集成器证书验证或鉴定。
严格: 验证集成器证书是否为有效的 X.509 证书,同时检查集成器证书是否受事件源服务器的信任。有关详细信息,请参考相关的数据库文档。
对于选项:
如果 Sentinel Link Integrator 处于 FIPS 140-2 模式,则您必须将 /etc/opt/novell/sentinel/config/sentinel.cer 文件从发送方 Sentinel 计算机复制到接收方 Sentinel 计算机。将此证书导入接收方 Sentinel FIPS 密钥存储区。
注:在使用由证书颁发机构 (CA) 进行数字签名的自定义证书时,必须导入相应的自定义证书文件。
如果 Sentinel Link Integrator 处于非 FIPS 模式,您必须将自定义集成器证书导入接收方 Sentinel FIPS 密钥存储区。
注:如果发送方为 Sentinel 日志管理器(处于非 FIPS 模式),而接收方为处于 FIPS 140-2 模式的 Sentinel,则要在发送方导入的服务器证书将是接收方 Sentinel 计算机中的 /etc/opt/novell/sentinel/config/sentinel.cer 文件。
当 Sentinel 在 FIPS 140-2 模式下运行时,您无法使用事件源管理 (ESM) 界面导入客户端证书。有关导入证书的详细信息,请参见将证书导入 FIPS 密钥存储区数据库。
注:在 FIPS 140-2 模式下,Sentinel Link 事件源服务器使用 Sentinel 服务器密钥对。不需要导入该服务器密钥对。
仅当您在配置 Syslog 事件源服务器的网络设置期间选择了 协议时,才能执行以下过程。
添加或编辑 Syslog 事件源服务器。通过配置屏幕继续操作,直到显示“联网”窗口。有关详细信息,请参见《Syslog 连接器指南》。
单击。
从客户端鉴定类型字段中选择一个选项。客户端鉴定类型可确定 SSL Syslog 事件源服务器校验要尝试发送数据的 Syslog 事件源身份的严格程度。
打开: 允许来自客户端(事件源)的所有 SSL 连接。不执行任何客户端证书验证或鉴定。
严格: 验证证书是否为有效的 X.509 证书,同时检查客户端证书是否受事件源服务器的信任。必须将新源明确添加到 Sentinel(这可以防止欺骗源向 Sentinel 发送数据)。
对于选项,必须将 syslog 客户端的证书导入 Sentinel FIPS 密钥存储区。
当 Sentinel 在 FIPS 140-2 模式下运行时,您无法使用事件源管理 (ESM) 界面导入客户端证书。
有关导入证书的详细信息,请参见将证书导入 FIPS 密钥存储区数据库。
注:在 FIPS 140-2 模式下,Syslog 事件源服务器使用 Sentinel 服务器密钥对。不需要导入该服务器密钥对。
如果在 syslog 客户端中启用了服务器鉴定,则必须将该客户端配置为信任 Sentinel 服务器证书或远程收集器管理器证书,具体取决于部署连接器的位置。
Sentinel 服务器证书文件位于 /etc/opt/novell/sentinel/config/sentinel.cer 位置中。
远程收集器管理器证书文件位于 /etc/opt/novell/sentinel/config/rcm.cer 位置中。
注:在使用由证书颁发机构 (CA) 进行数字签名的自定义证书时,客户端必须信任相应的证书文件。
添加或编辑 Windows 事件连接器。通过配置屏幕继续操作,直到显示“安全性”窗口。有关详细信息,请参见《Windows 事件 (WMI) 连接器指南》。
单击。
从客户端鉴定类型字段中选择一个选项。客户端鉴定类型可确定 Windows 事件连接器校验要尝试发送数据的客户端 Windows 事件收集服务 (WECS) 身份的严格程度。
打开: 允许来自客户端 WECS 的所有 SSL 连接。不执行任何客户端证书验证或鉴定。
严格: 验证证书是否为有效的 X.509 证书,同时检查客户端 WECS 证书是否已由 CA 进行签名。需要明确添加新源(这可以防止欺骗源向 Sentinel 发送数据)。
对于选项,必须将客户端 WECS 的证书导入 Sentinel FIPS 密钥存储区。当 Sentinel 在 FIPS 140-2 模式下运行时,您无法使用事件源管理 (ESM) 界面导入客户端证书。
有关导入证书的详细信息,请参见将证书导入 FIPS 密钥存储区数据库。
注:在 FIPS 140-2 模式下,Windows 事件源服务器使用 Sentinel 服务器密钥对。不需要导入该服务器密钥对。
如果在 Windows 客户端中启用了服务器鉴定,则必须将该客户端配置为信任 Sentinel 服务器证书或远程收集器管理器证书,具体取决于部署连接器的位置。
Sentinel 服务器证书文件位于 /etc/opt/novell/sentinel/config/sentinel.cer 位置中。
远程收集器管理器证书文件位于 /etc/opt/novell/sentinel/config/rcm.cer 位置中。
注:在使用由证书颁发机构 (CA) 进行数字签名的自定义证书时,客户端必须信任相应的证书文件。
如果您要自动同步事件源或使用 Active Directory 连接填充事件源的列表,则必须将 Active Directory 服务器证书导入 Sentinel FIPS 密钥存储区。
有关导入证书的详细信息,请参见将证书导入 FIPS 密钥存储区数据库。
仅当您在配置 Sentinel Link Integrator 的网络设置期间选择了 选项时,才能执行以下过程。
当 Sentinel Link Integrator 处于 FIPS 140-2 模式时,服务器鉴定是必需的。在配置集成器实例之前,请将 Sentinel Link 服务器证书导入 Sentinel FIPS 密钥存储区:
如果 Sentinel Link 连接器处于 FIPS 140-2 模式:
如果连接器部署在 Sentinel 服务器上,则您必须将 /etc/opt/novell/sentinel/config/sentinel.cer 文件从接收方 Sentinel 计算机复制到发送方 Sentinel 计算机。
如果连接器部署在远程收集器管理器上,则您必须将 /etc/opt/novell/sentinel/config/rcm.cer 文件从接收方远程收集器管理器计算机复制到接收方 Sentinel 计算机。
将此证书导入发送方 Sentinel FIPS 密钥存储区。
注:在使用由证书颁发机构 (CA) 进行数字签名的自定义证书时,必须导入相应的自定义证书文件。
如果 Sentinel Link 连接器处于非 FIPS 模式:
将自定义 Sentinel Link 服务器证书导入发送方 Sentinel FIPS 密钥存储区。
注:当 Sentinel Link Integrator 处于 FIPS 140-2 模式,而 Sentinel Link 连接器处于非 FIPS 模式时,请使用连接器上的自定义服务器密钥对。不要使用内部服务器密钥对。
有关导入证书的详细信息,请参见将证书导入 FIPS 密钥存储区数据库。
继续配置集成器实例。
注:在 FIPS 140-2 模式下,Sentinel Link Integrator 使用 Sentinel 服务器密钥对。不需要导入集成器密钥对。
在配置集成器实例之前,请从 LDAP 服务器下载证书,然后将该证书以 ldap.cert 文件的形式保存到 Sentinel 服务器的 /etc/opt/novell/sentinel/config 目录中。
例如,使用
openssl s_client -connect <LDAP server IP>:636
然后将返回的文本(BEGIN 和 END 行之间的文本,但不包括 BEGIN 和 END 行)复制到某个文件中。
将证书导入 Sentinel FIPS 密钥存储区。
有关导入证书的详细信息,请参见将证书导入 FIPS 密钥存储区数据库。
继续配置集成器实例。
SMTP 集成器支持 2011.1r2 及更高版本的 FIPS 140-2。无需进行配置更改。
本节将介绍如何将不启用 FIPS 的连接器与处于 FIPS 140-2 模式的 Sentinel 一起使用。如果您的源不支持 FIPS,或者您想要从环境中的非 FIPS 连接器收集事件,我们建议采用这种方法。
安装处于非 FIPS 模式的远程收集器管理器,以连接到处于 FIPS 140-2 模式的 Sentinel 服务器。
有关详细信息,请参见部分 11.6, 安装附加的收集器管理器和关联引擎。
将非 FIPS 连接器专门部署到非 FIPS 远程收集器管理器。
注:当非 FIPS 连接器(例如审计连接器和文件连接器)部署在已连接到处于 FIPS 140-2 模式的 Sentinel 7.1 服务器的非 FIPS 远程收集器管理器上时,会出现某些已知的问题。有关这些已知问题的详细信息,请参见《NetIQ Sentinel 7.0.1 自述》
。