Veritas NetBackup™ Appliance セキュリティガイド

Last Published:
Product(s): Appliances (5.3)
Platform: NetBackup Appliance OS
  1. NetBackup Appliance セキュリティガイドについて
    1.  
      NetBackup Appliance セキュリティガイドについて
  2. ユーザー認証
    1. NetBackup Appliance のユーザー認証について
      1.  
        NetBackup Appliance で認証できるユーザーの種類
    2. ユーザー認証の設定について
      1.  
        一般的なユーザー認証ガイドライン
    3.  
      LDAP ユーザーの認証について
    4.  
      Active Directory ユーザーの認証について
    5. スマートカードとデジタル証明書を使用した認証について
      1.  
        2FA
      2.  
        NetBackup Web UI でのスマートカード認証
      3.  
        NetBackup Appliance Web UI でのスマートカード認証
      4.  
        NetBackup Appliance シェルメニューでのスマートカード認証
      5.  
        役割ベースのアクセス制御の構成
      6.  
        NetBackup Web UI でのスマートカードまたはデジタル証明書の認証の構成
    6. シングルサインオン (SSO) の認証と認可について
      1.  
        NetBackup Appliance のシングルサインオン (SSO) の構成
    7.  
      多要素認証について
    8.  
      アプライアンスのログインバナーについて
    9. ユーザー名とパスワードの仕様について
      1.  
        STIG 準拠パスワードポリシールールについて
  3. ユーザー権限の確認
    1.  
      NetBackup Appliance におけるユーザー認可について
    2. NetBackup Appliance ユーザーの認可について
      1.  
        NetBackup Appliance ユーザー役割権限
    3.  
      管理者ユーザーのロールについて
    4.  
      NetBackupCLI ユーザーの役割について
    5.  
      NetBackup でのユーザー権限の確認について
  4. 侵入防止、侵入検知システム
    1.  
      NetBackup Appliance の Symantec Data Center Security について
    2.  
      NetBackup Appliance の侵入防止システムについて
    3.  
      NetBackup Appliance の侵入検知システムについて
    4.  
      NetBackup アプライアンスの SDCS イベントの見直し
    5.  
      NetBackup アプライアンスでのアンマネージモードでの SDCS の実行
    6.  
      NetBackup アプライアンスでのマネージモードでの SDCS の実行
  5. ログファイル
    1.  
      NetBackup Appliance のログファイルについて
    2.  
      Support コマンドの使用によるログファイルの表示
    3.  
      Browse コマンドを使用した NetBackup Appliance ログファイルの参照場所
    4.  
      NetBackup Appliance でのデバイスログの収集
    5.  
      ログ転送機能の概要
  6. オペレーティングシステムのセキュリティ
    1.  
      NetBackup Appliance のオペレーティングシステムのセキュリティについて
    2.  
      NetBackup Appliance の OS の主要コンポーネント
    3.  
      NetBackup Appliance オペレーティングシステムへのユーザーアクセスの無効化
    4.  
      メンテナンスシェルへのサポートのアクセスの管理
  7. データセキュリティ
    1.  
      データセキュリティについて
    2.  
      データ整合性について
    3.  
      データの分類について
    4. データの暗号化について
      1.  
        KMS サポート
    5.  
      マルウェア対策機能について
  8. Web セキュリティ
    1.  
      SSL の使用について
    2.  
      外部証明書の実装について
  9. ネットワークセキュリティ
    1.  
      ネットワークアクセス制御について
    2.  
      IPsec チャネル設定について
    3.  
      NetBackup Appliance ポートについて
    4.  
      NetBackup Appliance ファイアウォールについて
  10. コールホームセキュリティ
    1. AutoSupport について
      1.  
        データセキュリティ基準
    2. コールホームについて
      1.  
        NetBackup Appliance シェルメニューからのコールホームの構成
      2.  
        アプライアンスシェルメニューからのコールホームの有効化と無効化
      3.  
        NetBackup Appliance シェルメニューからのコールホームプロキシサーバーの構成
      4.  
        コールホームワークフローの理解
    3. SNMP について
      1.  
        Management Information Base (MIB) について
  11. リモート管理モジュール (RMM) セキュリティ
    1.  
      IPMI 設定の紹介
    2.  
      推奨される IPMI 設定
    3.  
      RMM ポート
    4.  
      リモート管理モジュールでの SSH の有効化
    5.  
      デフォルトの IPMI SSL 証明書の置換
    6.  
      外部 IPMI SSL 証明書の実装
  12. STIG と FIPS への準拠
    1.  
      NetBackup Appliance の OS STIG の強化
    2.  
      NetBackup Appliance における FIPS 140-2 への準拠
    3.  
      FIPS 準拠の暗号について
  13.  
    索引

外部 IPMI SSL 証明書の実装

外部 IPMI SSL 証明書を実装し、IPMI Web インターフェースにインポートするには、次の手順を使用します。

この手順では、例として次のパスフレーズとファイル名を使用します。この情報は、アプリケーションの必要に応じて置き換えることができます。

  • パスフレーズ: 1234

  • 秘密鍵ファイル名: privkey5250.pem

  • CSR ファイル名: ipmi5250.req

  • 証明書ファイル名 : ipmi5250.cer

外部 IPMI SSL 証明書を作成して実装するには

  1. 秘密鍵を生成します。

    メモ:

    キーを生成するには、パスフレーズが必要です。この手順の例では、「1234」を使います。パスフレーズは後で削除できます。

    次のタスクを実行して秘密鍵を生成します。

    • NetBackup Appliance シェルメニュー (シェルメニュー) にログインし、次のコマンドを実行してメンテナンスモードに入ります。

      Support > Maintenance

    • 次のコマンドを実行して秘密鍵ファイルの名前を入力し、プロンプトが表示されたらパスフレーズを入力します。

      openssl genrsa -aes256 -out privkey5250.pem 2048

    • 次のコマンドを使用して秘密鍵ファイルの内容を表示します。

      cat privkey5250.pem

    • 次のコマンドを実行して秘密鍵ファイルを確認し、プロンプトが表示されたらパスフレーズを入力します。

      openssl rsa -in privkey5250.pem -check - noout

  2. IPMI の CSR を生成します。

    CSR ファイルは .req ファイルとして作成され、CMP 要求にアップロードされます。

    • 次のコマンドを実行して CSR の名前を入力し、プロンプトが表示されたらパスフレーズを入力します。

      openssl req -new -key privkey5250.pem - sha256 -out csr_ipmi.req -subj/CN=<HostFQDN>/OU=<>/O=<>/C=<>/L=<>/ST=<>

      ここで、CN はサーバー IPMI FQDN 名、OU は組織単位、O は組織、C は国、L は場所、ST は都道府県です。出力ファイル名の結果は ipmi5250.req です。

    • 次のコマンドを使用して CSR を確認します。

      openssl req -in ipmi5250.req -subject -verify - noout

    • 次のように CSR ファイルの内容を表示します。

      cat ipmi5250.req

      これらの内容は、CMP Web サイトの CSR 要求で使用されます。

    • 新しい証明書を電子メールで受け取ります。IPMI の証明書を保存し、ファイルに ipmi5250.cer という名前を付けます。

    • 次のコマンドを使用して、証明書の詳細を表示して参照します。

      openssl x509 -text -in certificate.cer

  3. 次のように IPMI 証明書を実装します。

    • 次のコマンドを実行して秘密鍵からパスフレーズを削除し、プロンプトが表示されたらパスフレーズを削除します。

      openssl rsa -in privkey5250.pem -out privkey.pem

    • リモート管理コンソール (RMM) でバージョン BMC 2.86 以降を使用している場合は、CA root 証明書、CA 中間証明書、サーバー証明書を 1 つの .pem ファイルに連結します。次に例を示します。

      cat ipmi5250.cer root-cacert.pem root-intermediatecert.pem > ipmi5250certificate.pem

      RMM が 2.86 より前のバージョンの BMC を使用している場合は、サードパーティの認証局から受け取ったサーバー証明書のみを使用してアップロードする必要があります。

    • Web ブラウザから RMM コンソールに接続できる Windows サーバーに ipmi5250certificate.pem ファイルをコピーします。

    • RMM コンソールにログインし、左画面メニューの [構成 (Configuration )]、[SSL 証明書 (SSL Certification)]の順に選択します。

    • [ファイルの選択 (Choose file)]をクリックします。新しい SSL 証明書の入力を求められたら、[新しい SSL 証明書 (New SSL Certificate)]に ipmi5250certificate.pem、[新しい秘密鍵 (New Private Key)]に privkey.pem を選択します。

    • [アップロード (Upload)]をクリックします。証明書がすでに存在することを示すメッセージが表示されたら、[OK]をクリックします。証明書が正常にアップロードされたことを示すメッセージが表示されます。

    • RMM コンソールは自動的に再起動します。数分間待ってからログインし、Web ページを再ロードして証明書が正常に適用されたことを確認します。