Gemalto HSMとの統合
Keeper SSOコネクトは、オプションでオンプレミスおよびクラウドベースのGemalto HSMデバイスと統合して、鍵の保護と保管を実現します。
Gemalto HSMとの統合
Keeper SSOコネクトHSMの概要
SSOコネクトのdata
フォルダ内には、ファイルがいくつかあります。このうちの2つのファイルには、サーバーで生成された、保護する必要のある秘密鍵が含まれ、エンドユーザーの自動生成されたマスターパスワードの暗号化と復号化に利用されます。また、暗号化されたデータのローカルキャッシュを含む.sql
ファイルもあります。重要なのは、このデータフォルダへのアクセスを制限することです。
Windows以外のマシンの場合、data
フォルダはSSOコネクトのインストールフォルダ (通常は、$HOME/sso_connect/data
) の下にあります。
Windowsマシンの場合、バージョン14.1以降、data
フォルダは、C:\ProgramData\Keeper SSO Connect\data\
にあります。バージョン14.1より前は、C:\Program Files\Keeper Security\SSO Connect\data\
にありました。
以下に説明するように、HSM (ハードウェアセキュリティモジュール) を利用することで、セキュリティをもう1層追加できます。HSMが使用可能な場合、SSOコネクトのインスタンスごとに暗号鍵が生成され、HSMに安全に保存されます。暗号鍵は、data/
フォルダ内の重要なプロパティファイルの暗号化に使用されます。
Gemalto Luna HSMの手順
HSMの要件
Gemalto HSMは、Lunaファームウェア6.2以降を実行している必要があります。
ネットワーク要件
TCP/443ポートの開放、Keeper SSOコネクトからwww.keepersecurity.comへのステートフルな発信
TCP/22ポートの開放、HSM管理端末からHSMシステムへのステートフルな発信
TCP/22ポートの開放、CLI 設定用のKeeper SSOコネクトサーバーへの着信
TCP/1792ポートの開放、HSMシステムとの双方向通信
TCP/8080ポートの開放、管理者GUIにアクセスするためのKeeper管理者ワークステーションからKeeper SSOコネクトへの着信 (オプション)
ネットワークアクセスをテスト
Linux固有の要件
CentOS 6または7を推奨しますが、以下の操作を追加すれば、Ubuntuでも実行できます。
/lib/ld-linux.so.2
が存在する場合は、次のセクションに進みます。
Lunaクライアントをインストール
Keeper SSOコネクトでLuna HSMを使用するには、Lunaクライアントをインストールして、正しく設定する必要があります。
LunaクライアントソフトウェアをSSOコネクトサーバーにコピーします。 通常、ファイルの名前は、
LunaClient_7.3.0-165_Linux.tar.gz
のようになっています。SSOコネクトサーバーにログインします。
Lunaクライアントのインストーラーを実行します。
$JAVA_HOME/jre/lib/security/java.security
を編集します。a. セキュリティプロバイダの一覧を見つけます。
b.
security.provider.10=com.safenetinc.luna.provider.LunaProvider
を追加します。c.ファイルを保存します。
Lunaへのアクセスを設定
要件
HSMマシンのIPアドレスまたはホスト名。
管理者パスワード (別名、セキュリティ責任者のパスワード)。
現在使用中のマシンのIPアドレスやユーザーの名前などの一意の文字列。
パーティションのクリプトオフィサーのパスワード。
鍵を保管するパーティション名 (これは設定済みのはずです)。
パーティションをまだ設定していない場合は、'lunash'プログラムを使用し、管理者としてログインしてパーティションを作成してください。Gemalto Lunaのドキュメントをご参照ください。
HSMの設定を確認
Lunaクライアントを起動します。
HSMにアクセスするためにKeeper SSOコネクトを設定
通常のSSOコネクト設定の質問に加えて、以下に示すようなHSM固有の質問がいくつかあります。
トラブルシューティング
設定のトラブルシューティング
サーバーが適正であることを確認します。CentOS 6または7を推奨します。現時点ではWindowsはサポートしていません。
Lunaクライアントがサーバーに正しくインストールされていることを確認します。Lunaクライアントを実行して、クリプトオフィサーとしてログインし、正常にログインしてパーティションの内容を表示できることを確認します。
Java 1.8またはJava 11が利用可能であることを確認します。
Lunaライブラリが利用可能であることを確認します。
正しいポートが解放されていることを確認します。ファイアウォールは、ポート22および1792で発着信両方の接続を許可する必要があります。
ユーザーがhsmusersグループのメンバーであることを確認します。
SSOconnectがマシンにインストールされていることを確認します。
通常、
sso_connect
、KeeperSSO
、またはそれに類似した名前のフォルダがあります。フォルダには多数のjarファイルが含まれます。
data
フォルダに不完全な設定がないことを確認します。以前KeeperSSOを設定しようとして失敗した場合は、
KeeperSSO/data
フォルダを削除してもう一度やり直すのが安全です。
アプリが
data/
フォルダに対する読み取り/書き込み権限を持っていることを確認します。
動作のトラブルシューティング
ログファイルにエラーがないか確認します。SSOconnectのセキュアキーストレージサブシステムは、問題が発生すると、ログにERROR行を出力します。
エラーは、「セキュアキーストレージが使用できません (Unable to use Secure Key Storage)」といったパターンになります。これは、以下のいずれかの問題を示しています。
バックアップ
data
フォルダにはSSOコネクト設定ファイルが含まれています。少なくとも、最初の設定の後、および設定を変更するたびにバックアップする必要があります。設定ファイル以外にも、data
にはデータファイルがありますが、こちらは、Keeperサーバーとの同期が外れると自動的に更新されます。そのため、通常の定期バックアップを利用してもよいですが、必須ではありません。すべてのコンフィグレーション設定がインスタンス間で共有されているわけではないため、各SSOコネクトインスタンスのdata
フォルダを個別にバックアップする必要があります。
Windows以外のマシンの場合、data
フォルダはSSOコネクトのインストールフォルダ (通常は、$HOME/sso_connect/data
) の下にあります。
Windowsマシンの場合、バージョン14.1以降、data
フォルダは、C:\ProgramData\Keeper SSO Connect\data\
にあります。バージョン14.1より前は、C:\Program Files\Keeper Security\SSO Connect\data\
にありました。
回復
サーバーの障害
SSOコネクトサーバーが停止した場合は、上記の標準的なインストール手順に従って、代替マシンにLunaとSSOコネクトを再インストールする必要があります。
上記のとおり、data
フォルダをバックアップした場合は、データフォルダを復元してから、SSOコネクトを起動してください。(SSOコネクトを起動したため) data
フォルダがすでに存在する場合は、SSOコネクトを停止し、データフォルダ内のファイルをすべて削除し、バックアップしたデータフォルダからファイルをコピーして、SSOコネクトを再起動します。SSOコネクトが正常に起動するはずです。
data
フォルダをバックアップしていなかった場合、またはバックアップが古い場合は、代替インスタンスを新規でインストールするように設定する必要があります。SSOコネクトのインストールガイドに従ってください。
HSMの障害
HSMを使用する場合、HSMは設定ファイルの復号化に使用した暗号鍵をdata
フォルダに保存します。HSMへのアクセスは、SSOコネクトの起動時に1度、設定が変更されるときにも随時行われます。設定ファイルが暗号化されており、HSMに保存した暗号鍵が失われたか、またはアクセスできない場合は、暗号化されていない設定ファイルを新規作成するために、SSOコネクトインスタンスを再度設定する必要があります。data
フォルダの内容を削除し、SSOコネクトをもう一度最初から設定します。
HSM/SKSの使用を無効にするには、「SKSを有効にしますか? (Enable SKS?)」という設定の質問に「いいえ(no)」を入力するか、または-disableSKS
コマンドラインオプションを使用します。
Last updated