5 セキュリティー責任者の操作
セキュリティー責任者は、セキュリティー設定、ユーザー、サイト、および転送パートナーを管理します。この章では、次の項目について説明します。
-
セキュリティー責任者の役割が付与されたユーザーが実行できる操作。複数の役割が割り当てられている場合は、その役割の実行手順について、該当する章を参照してください。
-
技術サポートアカウントを有効および無効にする手順。
「KMA List」メニュー
「KMA List」メニューオプションを使用すると、次を行うことができます。
-
KMA の表示
-
KMA の作成
-
KMA の情報の変更
-
KMA の削除
-
鍵プールのサイズ変更 ("鍵プールサイズの変更" を参照)。これはバックアップオペレータの機能です。
注:
6 つの役割すべてが「KMA List」パネルにアクセスし、鍵プールサイズを表示できるようになりました。
KMA の表示
KMA を表示するには:
「System Management」メニューから、「KMA List」を選択します。「KMA List」画面が表示されます。
データベース全体をスクロールするか、次のいずれかのキーで KMA リストにフィルタを適用することもできます。
-
KMA Name
-
Description
-
Site ID
-
Management Network Address
-
Service Network Address
-
Management Network Address (IPv6)
-
Service Network Address (IPv6)
-
Version
-
Failed Login Attempts
-
Enrolled
表示されている KMA リストにフィルタを適用するには、「Use」ボタンを使用します。
次に、フィールドとその説明を示します。
Filter:
KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。
-
KMA Name
-
Description
-
Site ID
-
Management Network Address
-
Service Network Address
-
Management Network Address (IPv6)
-
Service Network Address (IPv6)
-
Version
-
Failed Login Attempts
-
Enrolled
「Filter Operator」ボックス:
下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not empty
フィルタ値 1 ボックス:
いずれかの日付フィルタを選択した場合は、「Set Date」をクリックして開始日付と開始時間を指定します。値は、フィルタキーの範囲の開始値として表示されます。ほかのフィルタを選択した場合は、このフィールドに値を入力します。
フィルタ値 2 ボックス:
いずれかの日付フィルタを選択した場合は、「Set Date」をクリックして終了日付と終了時間を指定します。値は、フィルタキーの範囲の終了値として表示されます。
Use:
このボタンをクリックすると、表示されているリストにフィルタが適用されます。
Refresh:
このボタンをクリックすると、リストがリフレッシュされます。
Reset:
このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。
このボタンをクリックすると、リストの最初のページに移動します。
このボタンをクリックすると、前のページに移動します。
このボタンをクリックすると、次のページに移動します。
このボタンをクリックすると、次のページに移動します。
Results in Page:
「Options」ダイアログボックスの「Query Page Size」フィールドで構成した 1 ページ当たりのレコード数が表示されます。
KMA Name
クラスタ内の各 KMA を識別するユーザー指定の識別子が表示されます。
KMA ID
KMA を識別する一意のシステム生成識別子が表示されます。
Description
KMA の説明が示されます。
Site ID
KMA が属するサイトが示されます。
Management Network Address
管理ネットワークでの KMA の IP アドレスが表示されます。
Service Network Address
サービスネットワークでの KMA の IP アドレスが表示されます。
Management Network Address (IPv6)
管理ネットワークでの KMA の IPv6 アドレス (ある場合) が表示されます。
Service Network Address (IPv6)
サービスネットワークでの KMA の IPv6 アドレス (ある場合) が表示されます。
Version
KMA ソフトウェアのバージョン番号が表示されます。OKM 3.0 KMA では、バージョン文字列は <OKM リリース>-5.11-<OKM ビルド> の形式で表示されます。たとえば 3.0.0-5.11-2012 です。
Failed Login Attempts
ログオンに失敗した回数が表示されます。
Responding
KMA が動作中かどうかが示されます。取り得る値は True または False です。
-
True は、この OKM が接続している KMA (ローカル KMA) からの要求に KMA が応答していることを示します。このステータスはクラスタ内の KMA のすべてのペア間に該当しますが、表示される値は、リスト内の個々の KMA (リモート KMA) がローカル KMA からの要求に応答しているかどうかを示します。
-
False は、リモート KMA がダウンしているか、またはリモート KMA への通信リンクがダウンしているなどの原因で、リモート KMA が要求に応答していないことを示します。
Responding on Service Network
サービスネットワークで KMA が応答しているかどうかを示します。取り得る値は「Responding」、「Not Responding」、または「Not Accessible」です。
-
Responding は、この OKM が接続している KMA (ローカル KMA) からの要求に KMA が応答していることを示します。このステータスはクラスタ内の KMA のすべてのペア間に該当しますが、表示される値は、リスト内の個々の KMA (リモート KMA) がローカル KMA からの要求に応答しているかどうかを示します。
-
Not Responding は、リモート KMA がダウンしているか、またはリモート KMA への通信リンクがダウンしているなどの原因で、リモート KMA が要求に応答していないことを示します。
-
Not Accessible は、サービスネットワーク構成でリモート KMA へのデフォルト経路または静的経路が指定されていないなどの原因で、リモート KMA がローカル KMA にアクセスできないことを示します。
注:
ローカル KMA でデフォルト経路が構成されている場合、その KMA はリモート KMA への経路を備えているものとみなされます。サービスネットワークでほかの KMA が応答していない場合、それらの KMA は「Not Responding」と表示されます。デフォルト経路または静的経路が定義されていない場合、ほかの KMA が「Not Accessible」と表示されることがあります。古い KMA (OKM 2.3.x 以前) は「Responding」と表示されます。
Response Time
KMA が管理ネットワーク上の要求に応答するまでの時間が (ミリ秒単位で) 表示されます。この値は通常、数百ミリ秒です。ローカル KMA とリモート KMA の間に WAN 接続が存在する場合、大きくなることがあります。また、KMA 間の通信リンクがビジー状態の場合も大きくなることがあります。
Replication Lag Size
レプリケーションが実行される前の更新の数が表示されます。この数は、ゼロまたは小さい値である必要があります。大きい値は、レプリケーションがタイムリーに完了しない、KMA 間の通信リンクがダウンまたはビジー状態である、またはリモート KMA がダウンしていることを示します。この値は、新しい KMA がクラスタに追加された直後も非常に大きくなります。
Key Pool Ready
使用可能な未割り当ての鍵のパーセンテージが表示されます。
Key Pool Backed Up
バックアップが完了した鍵プールのパーセンテージが表示されます。
注:
N/A は、ダウンレベルのソフトウェアを KMA で実行しているか、または KMA で現在使用しているレプリケーションバージョンの方が低いことが原因で、KMA がこの値を特定できないことを示します。Locked
KMA がロックされているかどうかを示します。
注:
N/A は、ダウンレベルのソフトウェアを KMA で実行しているか、または KMA で現在使用しているレプリケーションバージョンの方が低いことが原因で、KMA がこの値を特定できないことを示します。Enrolled
KMA が追加されているかどうか、または KMA がクラスタに正常にログインしているかどうかが示されます。取り得る値は True または False です。
True は、KMA がクラスタに正常に追加またはログインされたことを示します。
この値は KMA が最初に作成されたときは False で、KMA がクラスタにログインすると True に変更されます。また、KMA のパスフレーズが変更されたときも False になることがあります。KMA がログインすると、ログインに使用したパスフレーズは使用できなくなります。KMA がクラスタにふたたびログインする前に、パスフレーズを変更しておく必要があります。
HSM Status
ハードウェアセキュリティーモジュール (HSM) のステータスを示します。取り得る値は、Unknown、Inactive、Software、Hardware、SW Error、HW Error、または Not Present です。
Unknown
KMA は KMS 2.2 よりも古いソフトウェアリリースを実行しています。
Inactive
KMA では現在、HSM を使用する必要がありません。これは通常、KMA がロックされていることが原因です。
Software
HSM は正常に動作しておらず、KMA はソフトウェアプロバイダを使用して鍵を生成しています。
Hardware
HSM は正常に動作しており、KMA は HSM を使用して鍵を生成しています。
SW Error/HW Error
KMA でソフトウェアプロバイダ (SW Error) または HSM (HW Error) のステータスを確認しようとしたときにエラーが発生しました。
注:
通常は、HSM は正常に動作しています (Hardware)。ただし、HSM が正常に動作しなくなり (Software)、「FIPS Mode Only」セキュリティーパラメータが Off に設定 ("セキュリティーパラメータの取り出し"を参照) されている場合、KMA はソフトウェアプロバイダを使用して鍵を生成する動作に切り替わります。ただし、HSM が正常に動作しなくなり、「FIPS Mode Only」セキュリティーパラメータが On に設定されている場合、KMA は鍵を生成したり、AES でラップされた鍵データをエージェントに返したりできません。
値が Software、SW Error、または HW Error の場合は、この KMA の Sun Crypto Accelerator (SCA) 6000 カードを確認してください ("SCA 6000 カードの確認"を参照)。
Not Present
HSM は存在せず、KMA はソフトウェアプロバイダを使用して鍵を生成しています。
SCA 6000 カードの確認
クラスタ内の既存の KMA に装着された SCA 6000 カードが故障している可能性があります。故障したカードを特定するには、KMA サーバーの背面を調べて、カードの LED を確認します。
QuickStart プログラムによって初期化され、KMS 2.1、2.2、または OKM 2.3 以降の KMA で正常に動作している SCA 6000 カードは、(S と表記された) ステータス LED が緑色に点滅し、FIPS (F) および初期化 (I) LED が緑色に点灯しています。
ステータス LED が緑色の点滅でなく、FIPS および初期化 LED が緑色の点灯でない場合、KMA の SCA 6000 カードは故障しており、FIPS モードが必要な場合は KMA を交換する必要があります。
SCA 6000 カードの LED については、『SCA 6000 User Guide』を参照してください。
KMA を作成する場合は、「Create」ボタンをクリックします。詳細については、"KMA の作成"を参照してください。
KMA の詳細を表示または変更する場合は、その KMA を強調表示して「Details」ボタンをクリックします。詳細については、"KMA の詳細の表示および変更"を参照してください。
KMA を削除する場合は、「Delete」ボタンをクリックします。詳細については、"KMA の削除"を参照してください。
KMA の作成
KMA を作成するには:
-
「KMA List」画面で、「Create」ボタンをクリックします。「Create KMA」ダイアログボックスが表示され、「General」タブがアクティブになっています。
-
次のパラメータを設定します。
「General」タブで、必要に応じて次の情報を指定します。
KMA Name
クラスタ内の KMA を一意に識別する値を入力します。この値は、1 から 64 文字で指定できます。
Description
KMA を一意に説明する値を入力します。この値は、1 から 64 文字で指定できます。
Site ID
下矢印ボタンをクリックし、KMA が属するサイトを選択します。このフィールドはオプションです。
-
「Passphrase」タブを開きます。
-
次のパラメータを設定し、「Save」ボタンをクリックします。
Enter Passphrase
このユーザーのパスフレーズを入力します。最小文字数は 8 文字、最大文字数は 64 文字です。デフォルト値は 8 です。
パスフレーズの要件:
-
パスフレーズに、ユーザーの KMA 名を含めないでください。
-
パスフレーズには、大文字、小文字、数値、または特殊文字の 4 つの文字クラスのうち 3 つを使用する必要があります。
-
使用可能な特殊文字は、次のとおりです。
~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?
-
タブ、改行などの制御文字は使用できません。
Confirm Passphrase
「Enter Passphrase」フィールドに入力した値と同じ値を入力します。
-
-
KMA レコードがデータベースに追加され、そのエントリが「KMA List」画面に表示されます。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
-
作成した KMA で QuickStart プログラムを実行し、KMA がクラスタに参加できるようにします。クラスタへの参加の手順については、"既存のクラスタへの参加"を参照してください。
KMA の詳細の表示および変更
注:
セキュリティー責任者以外のユーザーが KMA の詳細情報を表示する場合は、「Save」ボタンを含むすべてのフィールドが使用不可になります。KMA の詳細を変更するには:
-
「KMAs List」画面で、詳細情報を表示する KMA 項目をダブルクリックするか、または KMA エントリを強調表示して「Details」ボタンをクリックします。「KMA Details」ダイアログボックスが表示されます。
-
「General」タブで、次のフィールドを変更します。
-
Description
-
Site ID。
-
-
「Network Configuration」タブで、次のフィールドを変更します。
-
Management Network Address
-
Service Network Address。
-
-
「Key Pool Info」タブには、次の表示専用フィールドがあります。
Ready Keys
この KMA で生成され、バックアップ (単一ノードクラスタの場合) またはほかの KMA にレプリケート (複数ノードクラスタの場合) されたが、まだ暗号化のためにエージェントに渡されていない鍵の数が表示されます。
Backup-Up Ready Keys
鍵プール内の使用可能な鍵のうち、バックアップが完了したものの数が表示されます。N/A は、ダウンレベルのソフトウェアを KMA で実行しているか、または KMA で現在使用しているレプリケーションバージョンの方が低いことが原因で、KMA がこの値を特定できないことを意味します。
Generated Keys
この KMA で生成されたが、まだバックアップ (単一ノードクラスタの場合) またはほかの KMA にレプリケート (複数ノードクラスタの場合) されていない鍵の数が表示されます。
Key Pool Ready
鍵プール内の鍵のうち、使用可能なもののパーセンテージが表示されます。
Key Pool Backed Up
鍵プール内の使用可能な鍵のうち、バックアップが完了したもののパーセンテージが表示されます。N/A は、ダウンレベルのソフトウェアを KMA で実行しているか、または KMA で現在使用しているレプリケーションバージョンの方が低いことが原因で、KMA がこの値を特定できないことを意味します。
-
「Passphrase」タブを開き、次のパラメータを変更します。
-
Passphrase
-
Confirm Passphrase (同じパスフレーズを再入力)。
-
-
終了したら、「Save」ボタンをクリックします。データベース内の KMA レコードが変更されます。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
KMA のパスフレーズの設定
注:
KMA に接続されていない場合に、KMA のパスフレーズを変更できます。新しいクラスタを作成する場合、新しいクラスタの作成に使用される KMA には、ランダムなパスフレーズが自動的に割り当てられます。証明書の期限切れによって、KMA が実体の証明書をクラスタ内の別の KMA から取得する必要がある場合には、この機能を使用して、パスフレーズを既知の値に設定します。
KMA のパスフレーズを設定するには:
-
「KMAs List」画面で、KMA エントリをダブルクリックするか、または KMA エントリを強調表示して「Details」ボタンをクリックします。「KMA Details」ダイアログボックスが表示され、「General」タブがアクティブになっています。
-
「Passphrase」タブを開き、次のパラメータを変更します。
-
Passphrase
-
Confirm Passphrase (同じパスフレーズを再入力)。
-
-
「Save」ボタンをクリックして変更内容を保存します。KMA のデータベースエントリが変更されます。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
コンソールを使用して、パスフレーズが変更された KMA で、KMA をクラスタにログインさせる機能を選択します。再度ログインするまで、KMA はクラスタと通信できません。
注:
KMA が少なくとも数時間、クラスタからログアウトしている場合は、KMA が元のクラスタにログインする前にその KMA をロックします。最新の更新がこの KMA に伝播されたあと、「KMA List」パネルの「Replication Lag Size」に示されているように、KMA のロックを解除します。詳細については、次のトピックを参照してください。
KMA の削除
重要 – KMA を削除する前に、コンソールの「Shutdown KMA」機能を使用して、KMA をオフラインにする必要があります。KMA をオフラインにしておかないと、KMA はクラスタ外で機能し続けて、エージェントとユーザーに「古い情報」を送信します。
通常、このコマンドは、クラスタから障害のある KMA を削除する場合にのみ使用されます。ただし、使用しなくなった KMA を削除するために使用されることもあります。
削除した KMA をクラスタに再度参加させるには、KMA を出荷時のデフォルトへリセットし、QuickStart プログラムからオプション 2 を選択する必要があります。
このオプションを使用すると、セキュリティー責任者は、使用していない KMA を削除できます。
KMA を削除するには:
-
「KMAs List」画面で、削除する KMA を強調表示して「Delete」ボタンをクリックします。次のように、選択した KMA の削除を確認するダイアログボックスが表示されます。
-
「Yes」ボタンをクリックして、KMA を削除します。現在選択している KMA が削除され、「KMA List」画面に戻ります。また、この KMA に関連付けられていて、その他の実体では使用されていないエントリもすべて削除されます。
「KMA Performance List」メニュー
「KMA Performance List」メニューでは、任意の役割を持つユーザーは、この OKM クラスタの KMA に関して KMA パフォーマンス情報をクエリーすることができます。
このパネルには、各 KMA によって発行された鍵要求、レプリケーション要求、ユーザー要求、およびサーバービジー状態に関するパフォーマンス情報が表示されます。この情報には、レートまたはカウント値、および処理時間が含まれます。
レート値は、選択された期間にこの KMA がこれらの要求を処理したレートを表します。これらは、選択されたレート表示間隔の時間単位に渡るこれら要求の推定平均レート (たとえば、1 日あたりの鍵要求の推定平均値) として表されます。レート表示間隔を「entire time period」に設定した場合、パネルには選択された時間間隔内にこの KMA が処理した要求カウントが表示されます。
処理時間は、選択された期間内に発行された要求をこの KMA が処理するためにかかった平均時間 (ミリ秒) を表します。これらの処理時間は、KMA の観点からのものであり、内部的に要求を処理するために必要な時間を表します。これらには、ネットワーク上の伝送時間や SSL 接続を確立するために必要な時間は含みません。
このパネルは、選択された期間内にローカル KMA で発生したサーバービジー状態に関する情報を表示します。この状態は、その他の OKM スレッドがローカルデータベースの OKM 情報に現在アクセスしていることを示し、長時間実行する OKM 操作 (OKM バックアップなど) の間に発生することがあります。
要求処理時間が利用可能になるには、OKM クラスタがレプリケーションバージョン 15 以降を使用する必要があります。
「User List」メニュー
「User List」メニューオプションを使用すると、次を行うことができます。
-
ユーザーの表示
-
ユーザーの作成
-
既存のユーザー情報の変更
-
既存のユーザーの削除。
ユーザーの表示
ユーザーを表示するには:
「System Management」メニューから、「User List」を選択します。「User List」画面が表示されます。
データベース全体をスクロールするか、次のいずれかのキーでユーザーリストにフィルタを適用することもできます。
-
User ID
-
Description
-
Roles
-
Enabled
-
Failed Login Attempts。
表示されているユーザーリストにフィルタを適用するには、「Use」ボタンを使用します。
次に、フィールドとその説明を示します。
Filter:
KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。
-
User ID
-
Description
-
Enabled
-
Failed Login Attempts
フィルタ演算子ボックス:
下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not Empty
フィルタ値 1 ボックス:
このフィールドに値を入力します。
Use:
このボタンをクリックすると、表示されているリストにフィルタが適用されます。
Refresh:
このボタンをクリックすると、リストがリフレッシュされます。
Reset:
このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。
このボタンをクリックすると、リストの最初のページに移動します。
このボタンをクリックすると、前のページに移動します。
このボタンをクリックすると、次のページに移動します。
Results in Page:
「Options」ダイアログボックスの「Query Page Size」フィールドで構成した 1 ページ当たりのレコード数が表示されます。
User ID
クラスタ内の各ユーザーを識別する一意の識別子が表示されます。これは通常、「ユーザー名」と呼ばれます。
Description
ユーザーの説明が示されます。
Roles
ユーザーのセキュリティー役割のリストが表示されます。役割によって、ユーザーはさまざまな操作を実行できます。
Enabled
ユーザーのステータスが示されます。取り得る値は True または False です。
Failed Login Attempts
ログインに失敗した回数が示されます。
ユーザーを作成する場合は、「Create」ボタンをクリックします。詳細については、"ユーザーの作成"を参照してください。
ユーザーの詳細を変更する場合は、そのユーザーを強調表示して「Details」ボタンをクリックします。詳細については、"ユーザーの詳細の表示および変更"を参照してください。
ユーザーを削除する場合は、「Delete」ボタンをクリックします。詳細については、"ユーザーの削除"を参照してください。
ユーザーのパスフレーズまたは証明書、あるいはその両方が危殆化されている場合、セキュリティー責任者は、ユーザーのパスフレーズを設定できます。ユーザーのパスフレーズを設定する手順については、"ユーザーのパスフレーズの設定"を参照してください。
また、ユーザーが自身のパスフレーズを変更することもできます。手順については、"パスフレーズの変更"を参照してください。
ユーザーの作成
ユーザーを作成するには:
-
「User List」画面で、「Create」ボタンをクリックします。「Create User」ダイアログボックスが表示され、「General」タブがアクティブになっています。
-
次のパラメータを設定します。
「General」タブ:
User ID
ユーザーを一意に識別する値を入力します。この値は、1 から 64 文字で指定できます。
Description
ユーザーを説明する値を入力します。この値は、1 から 64 文字で指定できます。
Roles
ユーザーに付与する役割の横にあるチェックボックスを選択します。
注:
バージョン 2.1 以前の KMS ソフトウェアを現在 KMS で実行しているか、または OKM クラスタのレプリケーションバージョンが現在 10 またはそれ以下に設定されている場合、「Quorum Member」チェックボックスは使用不可であり、グレー表示されます。「Passphrase」タブ:
-
「Passphrase」タブを開きます。
-
次のパラメータを設定します。
Passphrase
このユーザーのパスフレーズを入力します。最小文字数は 8 文字、最大文字数は 64 文字です。デフォルト値は 8 です。
パスフレーズの要件:
-
パスフレーズに、ユーザーのユーザー ID を含めないでください。
-
パスフレーズには、大文字、小文字、数値、または特殊文字の 4 つの文字クラスのうち 3 つを使用する必要があります。
-
使用可能な特殊文字は、次のとおりです。
~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?
-
タブ、改行などの制御文字は使用できません。
Confirm Passphrase
「Enter Passphrase」フィールドに入力した値と同じ値を入力します。
-
-
「Save」ボタンをクリックします。ユーザーレコードがデータベースに追加されます。新しいユーザーが「User List」に表示されます。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
ユーザーの詳細の表示および変更
注:
現在ログインしているセキュリティー責任者は、自身のレコードを変更できません。ユーザー情報を変更するには:
-
「Users List」画面で、詳細情報を表示するユーザーをダブルクリックするか、またはユーザーレコードを強調表示して「Details」ボタンをクリックします。「User Details」ダイアログボックスが表示され、「Save」ボタンを含むすべてのフィールドが使用不可になっています。
-
「General」タブで、次のパラメータを変更します。
-
Description
-
Roles
-
Flags - Enabled。
「Failed Login Attempts」フィールドには、ログインに失敗した回数が表示されます。
-
-
「Passphrase」タブでユーザーのパスフレーズを変更する場合は、"ユーザーのパスフレーズの設定"を参照してください。
-
終了したら、「Save」ボタンをクリックします。
-
ユーザーの役割を追加した場合、「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
注:
ユーザーの役割を追加しなかった場合、「Save」ボタンをクリックしたあとに OKM クラスタでユーザー情報が更新され、「Key Split Quorum Authentication」ダイアログボックスは表示されません。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
ユーザーのパスフレーズの設定
ユーザーのパスフレーズまたは証明書、あるいはその両方が危殆化されていると思われる場合、セキュリティー責任者は、ユーザーのパスフレーズを設定できます。ユーザーが新しいパスフレーズを使用して KMA にログオンすると、新しい証明書が生成されます。
ユーザーのパスフレーズを設定するには:
-
「Users List」画面で、パスフレーズを選択するユーザーをダブルクリックするか、またはユーザーを強調表示して「Details」ボタンをクリックします。
-
「User Details」ダイアログボックスが表示されます。「Passphrase」タブを開きます。
-
「Enter Passphrase」フィールドで、ユーザーアカウントの作成時にセキュリティー責任者によって割り当てられたパスフレーズを入力します。
-
「Confirm Passphrase」フィールドに、前の手順で入力した値と同じ値を入力します。ユーザーレコードの新しいパスフレーズが保存されます。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
「Role List」メニュー
「Role List」メニューオプションを使用すると、ユーザーの役割を表示できます。役割とは、ユーザーが実行できるさまざまなシステム操作の、固定された論理グループを指します。1 人のユーザーに複数の役割を付与できます。
役割の表示
役割を表示するには:
「System Management」メニューから、「Role List」を選択します。「Role List」画面が表示されます。
データベース全体をスクロールするか、次のいずれかのキーで役割リストにフィルタを適用することもできます。
-
Role ID
-
Description。
表示されているリストにフィルタを適用するには、「Use」ボタンを使用します。
次に、フィールドとその説明を示します。
Filter:
KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。
-
Role ID
-
Description
「Filter Operator」ボックス:
下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。
-
Equals =
-
Not equal <>
-
Empty
-
Not Empty
フィルタ値 1 ボックス:
このフィールドに値を入力します。
Refresh:
このボタンをクリックすると、リストがリフレッシュされます。
Reset:
このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。
このボタンをクリックすると、リストの最初のページに移動します。
このボタンをクリックすると、前のページに移動します。
このボタンをクリックすると、次のページに移動します。
Results in Page:
「Options」ダイアログボックスの「Query Page Size」フィールドで構成した 1 ページ当たりのレコード数が表示されます。
Role ID
各セキュリティーの役割を識別する一意の識別子が表示されます。
Description
役割の説明が示されます。
役割の詳細情報を表示する場合は、その役割エントリを強調表示して「Details」ボタンをクリックします。詳細については、"役割の操作の表示"を参照してください。
「Site List」メニュー
サイトとは、複数のエージェント (ホストと OKM クラスタ) の接続先となる、1 つ以上の KMA が存在する物理的な場所です。エージェントは、リモートのサイトではなくローカルのサイトにある別の KMA に接続することによって、KMA の障害や負荷分散により効率的に対応できます。
「Site List」メニューオプションを使用すると、次を行うことができます。
-
サイトの表示
-
サイトの作成
-
サイトの情報の変更
-
サイトの削除。
注:
オペレータは、サイトの表示のみを行うことができます。セキュリティー責任者は、サイトを管理できます。
サイトの表示
サイトを表示するには:
「System Management」メニューから、「Site List」を選択します。「Site List」画面が表示されます。
データベース全体をスクロールするか、次のいずれかのキーでサイトリストにフィルタを適用することもできます。
-
Site ID
-
Description。
表示されているサイトリストにフィルタを適用するには、「Use」ボタンを使用します。
次に、フィールドとその説明を示します。
Filter:
KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。
-
Site ID
-
Description
「Filter Operator」ボックス:
下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
フィルタ値 1 ボックス:
このフィールドに値を入力します。
Use:
このボタンをクリックすると、表示されているリストにフィルタが適用されます。
Refresh:
このボタンをクリックすると、リストがリフレッシュされます。
Reset:
このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。
このボタンをクリックすると、リストの最初のページに移動します。
このボタンをクリックすると、前のページに移動します。
このボタンをクリックすると、次のページに移動します。
Results in Page:
「Options」ダイアログボックスの「Query Page Size」フィールドで構成した 1 ページ当たりのレコード数が表示されます。
Site ID
サイトが一意に識別されます。
Description
サイトの説明が示されます。
サイトを作成するには、「Create」ボタンをクリックします。詳細については、"サイトの作成"を参照してください。
サイトの詳細情報を表示または変更する場合は、そのサイトを強調表示して「Details」ボタンをクリックします。詳細については、"サイトの詳細の表示および変更"を参照してください。
選択したサイトを削除するには、「Delete」ボタンをクリックします。詳細については、"サイトの削除"を参照してください。
サイトの作成
サイトを作成するには:
-
「Site List」画面で、「Create」ボタンをクリックします。「Create Site」ダイアログボックスが表示されます。
-
次のパラメータを設定します。
Site ID
サイトを一意に識別する値を入力します。この値は、1 から 64 文字で指定できます。
Description
サイトを一意に説明する値を入力します。この値は、1 から 64 文字で指定できます。
次に、値を入力したダイアログボックスの例を示します。
-
「Save」ボタンをクリックします。新しいサイトが保存されてデータベースに格納され、「Site List」に表示されます。
サイトの詳細の表示および変更
注:
セキュリティー責任者以外のユーザーがサイトの詳細情報を表示する場合は、「Save」ボタンを含むすべてのフィールドが使用不可になります。サイトの詳細を変更するには:
-
「Site List」画面で、「Details」ボタンをクリックします。「Site Details」ダイアログボックスが表示されます。
-
「Description」フィールドを変更し、「Save」ボタンをクリックします。サイトの詳細が変更され、データベースに格納されます。
「SNMP Manager List」メニュー
SNMP マネージャーを表示、作成、および変更するには、次のメニューを使用します。
また、各自のネットワークで SNMP エージェントを構成し、OKM Manager の GUI で SNMP マネージャーを定義したユーザーの SNMP 情報を生成できます。OKM Manager の GUI で 1 つ以上の SNMP マネージャーを定義すると、KMA がその SNMP マネージャーの IP アドレスに SNMP インフォームを送信します。
SNMP マネージャーを作成または変更するときは、IPv6 アドレスを指定できます。
SNMP インフォームパケットで KMA が送信する情報については、付録 A, "SNMP 管理情報ベース (MIB) データ"を参照してください。
KMA の SNMP マネージャーの表示
SNMP マネージャーを表示するには:
「System Management」メニューから、「SNMP Manager List」を選択します。「SNMP Manager List」画面が表示されます。
データベース全体をスクロールするか、次のいずれかのキーで SNMP マネージャーリストにフィルタを適用することもできます。
-
SNMP Manager ID
-
Description
-
Network Address
-
Enabled
-
User Name。
表示されている SNMP マネージャーリストにフィルタを適用するには、「Use」ボタンを使用します。
次に、フィールドとその説明を示します。
Filter:
KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。
-
SNMP Manager ID
-
Description
-
Network Address
-
Enabled
-
User Name。
「Filter Operator」ボックス:
下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not empty
フィルタ値 1 ボックス:
このフィールドに値を入力します。
Use:
このボタンをクリックすると、表示されているリストにフィルタが適用されます。
Refresh:
このボタンをクリックすると、リストがリフレッシュされます。
Reset:
このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。
このボタンをクリックすると、リストの最初のページに移動します。
このボタンをクリックすると、前のページに移動します。
このボタンをクリックすると、次のページに移動します。
Results in Page:
「Options」ダイアログボックスの「Query Page Size」フィールドで構成した 1 ページ当たりのレコード数が表示されます。
SNMP Manager ID
ユーザーが定義した SNMP マネージャーの一意の識別子が表示されます。
Description
SNMP マネージャーの説明が表示されます。このフィールドはオプションです。
Network Address
SNMP トラップの送信時に使用するネットワークアドレスが表示されます。
Enabled
SNMP マネージャーが使用可能かどうかが示されます。
User Name
この SNMP マネージャーに対してセキュアで信頼できる SNMPv3 接続を確立するときに使用されたユーザー名が表示されます。
Protocol Version
SNMP プロトコルのバージョンを示します。SNMPv3 (バージョン 3) または SNMPv2 (バージョン 2) のどちらかです。
SNMP プロトコルバージョン 3 (SNMPv3) は、ユーザー名とパスフレーズを使用した認証をサポートします。SNMP プロトコルバージョン 2 (SNMPv2) は、認証をサポートせず、ユーザー名とパスフレーズを使用しません。SNMPv3 または SNMPv2 のどちらかを使用するように SNMP マネージャーを構成できます。OKM クラスタのレプリケーションバージョンが現在 10 またはそれ以下に構成されている場合、KMA は、SNMPv2 を使用するように構成された SNMP マネージャーに SNMP インフォームを送信しません。
新しい SNMP マネージャーを作成するには、「Create」ボタンをクリックします。詳細については、"新しい SNMP マネージャーの作成"を参照してください。
SNMP マネージャーの詳細情報を表示または変更する場合は、そのエントリを強調表示して「Details」ボタンをクリックします。詳細については、"SNMP マネージャーの詳細の表示および変更"を参照してください。
選択した SNMP マネージャーを削除するには、「Delete」ボタンをクリックします。詳細については、"SNMP マネージャーの削除"を参照してください。
新しい SNMP マネージャーの作成
SNMP プロトコルバージョン 3 を使用するように SNMP エージェントが構成されている場合は、OKM クラスタに SNMP マネージャーを作成する前に、必ず SNMP プロトコルバージョン 3 のユーザーを作成しておいてください。この SNMP ユーザーは、認証プロトコルには (MD5 ではなく) SHA を、プライバシプロトコルには DES を使用する必要があります。SNMP バージョン 3 ユーザーを作成する詳細については、SNMP エージェントのドキュメントを参照してください。
また、SNMP ユーザーがパスフレーズを使用する場合、KMA はこのパスフレーズをその SNMP ユーザーの認証パスフレーズおよび暗号化パスフレーズの両方に使用します。したがって、SNMP エージェントで、この SNMP ユーザーについてこれらのパスフレーズが同じ値である必要があります。SNMP ユーザーがパスフレーズを使用しない場合、KMA は SNMP 通知を SNMP エージェントに送信するときに、セキュリティーレベル「noAuthNoPriv」を使用します。
SNMP プロトコルバージョン 2 を使用するように SNMP エージェントが構成されている場合は、認証プロトコルを構成したり SNMP ユーザーを作成したりする必要はありません。現在、OKM はバージョン 2 の「public」コミュニティーのみをサポートします。
SNMP ユーザーを作成する詳細については、SNMP エージェントのドキュメントを参照してください。たとえば、Solaris システムでのシステム管理エージェントの構成については、『Solaris System Management Agent Administration Guide』(http://docs.oracle.com/cd/E19253-01/817-3000/index.html) を参照してください。また、Net-SNMP 全般の詳細については、http://www.net-snmp.org/FAQ.html を参照してください。
-
「SNMP Managers List」画面で、「Create」ボタンをクリックします。
「Create SNMP Manager」ダイアログボックスが表示されます。
-
次のパラメータを設定します。
SNMP Manager ID
SNMP マネージャーを一意に識別する値を入力します。この値は、1 から 64 文字で指定できます。
Description
SNMP マネージャーを説明する値を入力します。この値は、1 から 64 文字で指定できます。
Network Address
SNMP マネージャーのネットワークアドレスを入力します。
Flags - Enabled
このチェックボックスの選択によって、SNMP を使用可能にするかどうかを示します。
User Name
SNMP マネージャーの認証に使用するユーザー名を入力します。
Passphrase
SNMP マネージャーの認証に使用するパスフレーズを入力します。
Confirm Passphrase
「Passphrase」フィールドに入力したパスフレーズと同じ値を入力します。
Protocol Version
この SNMP マネージャーで使用する SNMP プロトコルバージョンを選択します。値 SNMPV3 は、SNMP プロトコルバージョン 3 を使用することを意味します。値 SNMPV2 は、SNMP プロトコルバージョン 2 を使用することを意味します。
SNMP プロトコルバージョン 3 (SNMPv3) は、ユーザー名とパスフレーズを使用した認証をサポートします。SNMP プロトコルバージョン 2 (SNMPv2) は、認証をサポートせず、ユーザー名とパスフレーズを使用しません。SNMPv3 または SNMPv2 のどちらかを使用するように SNMP マネージャーを構成できます。OKM クラスタのレプリケーションバージョンが現在 10 またはそれ以下に構成されている場合、KMA は、SNMPv2 を使用するように構成された SNMP マネージャーに SNMP インフォームを送信しません。
-
終了したら、「Save」ボタンをクリックして情報を保存します。新しい SNMP マネージャーエントリと、それに関連するプロファイルがデータベースに格納されます。
SNMP マネージャーの詳細の表示および変更
SNMP マネージャーの詳細を表示または変更するには:
-
「SNMP Managers List」画面で、詳細情報を表示する SNMP マネージャーエントリをダブルクリックし、「Details」ボタンをクリックします。「SNMP Manager Details」ダイアログボックスが表示されます。
-
必要に応じて、パラメータを変更します。
-
終了したら、「Save」ボタンをクリックして変更内容を保存します。
注:
SNMP マネージャーの詳細を変更するたびに、パスフレーズを再指定する必要があります。
鍵転送
鍵転送は鍵共有とも呼ばれ、鍵と関連データユニットをパートナー間でセキュアに交換することを可能にします。また、暗号化された媒体を交換するためにも必要です。この処理では、転送の送信側と受信側の両方が公開鍵と非公開鍵のペアを設定して、相手側に公開鍵を提供する必要があります。
送信側と受信側はそれぞれ、相手側の公開鍵を自身の OKM クラスタに入力します。この初期構成が完了すると、送信側は鍵のエクスポートを使用して転送ファイルを生成します。このファイルが送信側から受信側に送信されます。次に、受信側が鍵のインポートを使用して、鍵とそれに関連付けられたデータユニットを受信側の OKM クラスタにインポートします。
転送ファイルは、送信側の非公開鍵を使用して署名され、受信側の公開鍵を使用して暗号化されます。これにより、受信側のみが自身の非公開鍵を使用して転送ファイルを復号化できます。受信側は、送信側の公開鍵を使用して、ファイルが実際に想定した送信側によって作成されたファイルであることを確認できます。
鍵転送処理
OKM 内では、多数のタスクを特定の順序で実行する必要があります。これらのタスクには複数のユーザー役割が関連しているため、実際の手順については、このドキュメントの複数の章で説明します。
鍵転送パートナーの構成
鍵を移動するには、鍵の移動に関与する両方の OKM クラスタに鍵転送パートナーを構成する必要があります。
次の手順では、「C1」は 1 つめの OKM クラスタ、「C2」は 2 つめの OKM クラスタを指しています。
管理者 (セキュリティー責任者の役割):
C1 管理者 (セキュリティー責任者の役割):
-
C1 (ユーザーのクラスタ) の公開鍵情報を取得します。この操作を行うには、「Key Transfer Public Key List」メニューに移動します。"鍵転送用公開鍵リストの表示"および"鍵転送用公開鍵の詳細の表示"を参照してください。
-
公開鍵 ID と公開鍵を電子メールまたはその他の合意済みの通信形式にカット&ペーストします。この情報を C2 管理者に送信します。
注:
C2 がこの情報を受信したとき、その情報は実際に C1 から送信されたものであると確信できるように、通信方法は十分にセキュアである必要があります。情報が送信中に改ざんされることを防ぐために、フィンガープリントというメカニズムがあります。
C2 管理者 (セキュリティー責任者の役割):
-
C2 管理者:「Transfer Partner List」メニューにアクセスし、C1 からの公開鍵情報を OKM クラスタに入力します。"「Key Transfer Public Key List」メニュー"を参照してください。
-
「Create」ボタンをクリックします。転送パートナーの名前、説明、および連絡先情報を入力します。このパートナーとの間で行う処理を設定します。"転送パートナーの作成"を参照してください。
-
「Public Keys」タブを選択します。C1 から提供された情報から、公開鍵 ID と公開鍵を入力します。
公開鍵を入力すると、システムによってフィンガープリントが計算されます。C1 管理者と C2 管理者との間の通信には、鍵自体の転送に使用したものとは別のメカニズムを使用することをお勧めします。
両方の管理者は、各自の OKM で、フィンガープリントが一致することを確認する必要があります。フィンガープリントが一致しない場合は、転送中に鍵が壊れたか、または変更されたことを示します。
-
フィンガープリントが一致した場合は、「Save」をクリックします。システムから定足数の入力が求められます。定足数が求められるのは、この手順で使用可能にする鍵のエクスポート操作が、OKM クラスタから有効な鍵を抽出するために使用される可能性があるためです。これで、C1 は C2 OKM クラスタ内で転送パートナーとして構成されました。
C2 管理者 (セキュリティー責任者の役割):
C1 管理者 (セキュリティー責任者の役割):
C1 管理者 (コンプライアンス責任者の役割):
-
C1 では、C2 に送信できる鍵グループを構成する必要があります。"鍵グループ割り当ての表示"を参照してください。
C2 管理者 (コンプライアンス責任者の役割):
-
C2 では、C1 から鍵を受信できる鍵グループを構成する必要があります。"鍵グループ割り当ての表示"を参照してください。
-
必要な転送パートナーを選択します。
-
許可されていない鍵グループを 1 つ以上選択し、「Move to」(戻る矢印) ボタンをクリックして鍵グループリストに追加します。"転送パートナーへの鍵グループの追加"を参照してください。
鍵のエクスポートおよびインポート
鍵をエクスポートする前に、鍵が次の基準をすべて満たしている必要があります。基準を満たさない鍵は、オペレータが鍵のエクスポート要求を実行してもエクスポートされません。
-
鍵は、「
Allow Export From」フラグが「True」である鍵ポリシーと関連付けられた鍵グループに属している必要があります。"データユニットの詳細の表示および変更"および"鍵グループの表示"を参照してください。
フラグを設定するには、"鍵ポリシーの表示および変更"を参照してください。
-
宛先の鍵転送パートナーの「
Enabled and Allow Export To」フラグが「True」に設定されている必要があります。"転送パートナーの詳細の表示および変更"を参照してください。
フラグを設定するには、"鍵ポリシーの表示および変更"を参照してください。
-
宛先の鍵転送パートナーが、選択された鍵の鍵グループと関連付けられている必要があります。"転送パートナーへの鍵グループの追加"を参照してください。
-
鍵の状態は「Protect and Process」、「Process Only」、「Deactivated」、または「Compromised」である必要があります。"データユニットの詳細の表示および変更"を参照してください。
さらに、宛先転送パートナー ("Transfer Partner List"を参照) の、次に示すエクスポート形式設定が一致する必要があります。
-
鍵がインポートされる KMA の
ソフトウェアバージョン("ソフトウェアアップグレードのアップロードおよび適用"を参照) -
鍵がエクスポートおよびインポートされる OKM クラスタの「
FIPS Mode Only」セキュリティーパラメータ値 ("セキュリティーパラメータの取り出し"を参照)。
表 5-1 に、これらの設定間の関係をまとめます。
| ソフトウェアバージョン - インポート側 KMA | FIPS Mode Only - エクスポート側 OKM クラスタ | FIPS Mode Only - インポート側 OKM クラスタ | エクスポート形式 |
|---|---|---|---|
|
2.0.2 以前 |
オフ |
N/A |
v2.0 または Default |
|
2.0.2 以前 |
オン |
N/A |
v2.0 |
|
2.1 以降 |
オフ |
オフ |
v2.0 または Default |
|
2.1 以降 |
オン |
オフ |
v2.0 |
|
2.1 以降 |
オフ |
オン |
v2.1 (FIPS) |
|
2.1 以降 |
オン |
オン |
v2.1 (FIPS) またはデフォルト |
次の手順は、ある OKM クラスタから別のクラスタに対して、鍵のエクスポートおよびインポートを行う場合に使用します。これは、何回でも実行できます。
この手順では、「C1」は 1 つめの OKM クラスタ、「C2」は 2 つめの OKM クラスタを指しています。この手順では、C2 で鍵をエクスポートし、その鍵を C1 にインポートできるようにする方法について説明します。
C2 管理者 (オペレータの役割):
-
鍵を交換するには、「Data Unit List」画面に移動します。"データユニットの表示"を参照してください。
-
C2 から C1 に送信するデータユニット (テープ) を 1 つ以上選択します。外部タグは、テープ上のバーコードです。
選択されたデータユニットと関連付けられている鍵は、「
Allow Export From」フラグが「True」である鍵ポリシーと関連付けられた鍵グループに属している必要があります。これらの鍵は、アクティブ化されていること (「Activation Date」が空ではないこと)、および破棄されていないこと (「Destroyed Date」が空であること) が必要です。"データユニットの詳細の表示および変更"を参照してください。 -
「Export Keys」ボタンをクリックし、ダイアログボックスを表示します。
-
宛先の転送パートナーを選択し、必要に応じて鍵のエクスポートファイル名を選択して「Start」をクリックします。転送ファイルが作成されます。
C1 へのエクスポートが許可されている鍵グループに属する鍵のみがエクスポートされます。
選択した宛先転送パートナーが、これらの鍵が属する鍵グループに割り当てられている必要があります。"「Transfer Partner Assignment to Key Groups」メニュー"を参照してください。
-
電子メールまたは別の合意済みの通信形式、またはファイルを移動するメカニズムを使用して、転送ファイルを C1 管理者に送信します。
C1 管理者 (オペレータの役割):
-
「Import Keys」画面を選択します。"「Import Keys」メニュー"を参照してください。
-
鍵のインポート先になる宛先の鍵グループ、鍵をエクスポートした送信側転送パートナー (この場合は C2)、および鍵転送のファイル名を指定します。選択する鍵グループは、C2 から鍵を受信するように構成された鍵グループである必要があります。
つまり、選択した鍵グループと関連付けられている鍵ポリシーの「
Allow Import To」フラグが「True」に設定されている必要があります。また、選択した転送パートナーの「Enabled」および「Allow Import From」フラグが「True」に設定され、「Export Format」の値が前述のように設定されている必要があります。選択した転送パートナーが、選択する鍵グループに割り当てられている必要があります。"「Transfer Partner Assignment to Key Groups」メニュー"を参照してください。 -
「Start」をクリックします。
「Transfer Partners」メニュー
鍵転送パートナー機能を使用すると、OKM クラスタ間で鍵を移動できます。
Transfer Partner List
「Secure Information Management」メニューから、「Transfer Partner List」を選択します。
データベース全体をスクロールするか、次のいずれかのキーで転送パートナーリストにフィルタを適用することもできます。
-
Transfer Partner ID
-
Description
-
Contact Information
-
Enabled
-
Allow Export To
-
Allow Import From
表示されている転送パートナーリストにフィルタを適用するには、「Use」ボタンを使用します。
次に、フィールドとその説明を示します。
Filter:
表示されている転送パートナーのリストにフィルタを適用するためのフィルタオプションを選択します。すべてのフィルタの条件を満たす転送パートナーのみが表示されます。
フィルタ属性コンボボックス:
下矢印ボタンをクリックし、フィルタ条件として使用する属性を選択します。取り得る値は次のとおりです。
-
Transfer Partner ID
-
Description
-
Contact Information
-
Enabled
-
Allow Export To
-
Allow Import From
フィルタ演算子コンボボックス:
下矢印ボタンをクリックし、選択した属性に適用するフィルタ演算子を選択します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。取り得る値は次のとおりです。
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not empty
「Filter Value」テキストボックス:
選択した属性のフィルタ条件とする値を入力します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。
「Filter Value」コンボボックス:
下矢印ボタンをクリックし、選択した属性のフィルタ条件とする値を選択します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。
プラスボタンをクリックすると、フィルタが追加されます。
フィルタ行を削除するには、マイナスボタンをクリックします。このボタンは、複数のフィルタが表示されている場合にのみ表示されます。
Use:
このボタンをクリックすると、表示されているリストに選択したフィルタが適用され、リストの最初のページが表示されます。
Refresh:
このボタンをクリックすると、表示されているリストがリフレッシュされます。この操作では、前回の「Use」または「Reset」操作以降に選択されたフィルタは適用されず、リストのページは変更されません。
Reset:
このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。
このボタンをクリックすると、リストの最初のページに移動します。
このボタンをクリックすると、前のページに移動します。
このボタンをクリックすると、次のページに移動します。
Results in Page:
現在のページに表示できる項目数が表示されます。リストの最後の項目を表示している場合は、項目数に「(last page)」が付加されます。1 ページに表示する最大項目数は、「Options」ダイアログの「Query Page Size」値で定義されています。
Transfer Partner ID:
各転送パートナーを識別する一意の識別子が表示されます。この値は、1 から 64 文字で指定できます。この属性でソートするには、この列名をクリックします。
Description:
転送パートナーについて説明します。この値は、1 から 64 文字で指定できます。この属性でソートするには、この列名をクリックします。
Contact Information:
転送パートナーの連絡先情報が表示されます。この属性でソートするには、この列名をクリックします。
Enabled:
転送パートナーに鍵の共有が許可されているかどうかが示されます。取り得る値は True または False です。このフィールドが False の場合、転送パートナーは鍵を共有できません。この属性でソートするには、この列名をクリックします。
Allow Export To:
転送パートナーに鍵のエクスポートが許可されているかどうかが示されます。取り得る値は True または False です。このフィールドが False の場合、転送パートナーは鍵をエクスポートできません。この属性でソートするには、この列名をクリックします。
Allow Import From:
この転送パートナーから鍵をインポートできるかどうかが示されます。取り得る値は True または False です。このフィールドが False の場合、この転送パートナーから鍵をインポートできません。この属性でソートするには、この列名をクリックします。
Export Format:
鍵をラップできるかどうかを示します (ラップ鍵は、LAN 上の媒体鍵とトークンを暗号化します)。
「Export Format」列で、値「v2.0」は、鍵をエクスポートするときにこの転送パートナーが鍵をラップしないことを意味します。
値「v2.1 (FIPS)」は、鍵をエクスポートするときにこの転送パートナーが鍵をラップすることを意味します。
値「N/A」は、接続された KMA が 2.0.x OKM ソフトウェアを実行しているため、ユーザーがこの設定を選択できないことを意味します。
注:
KMS 2.0 を実行しているクラスタと鍵を交換するには、「Export Format」の値が「v2.0」である転送パートナーをセキュリティー責任者が作成する必要があります。詳細については、"セキュリティーパラメータの取り出し"の「FIPS Mode Only」パラメータを参照してください。
Public Key ID
各公開鍵を識別する一意の識別子が表示されます。この値は、1 から 64 文字で指定できます。この属性でソートするには、この列名をクリックします。
Public Key Fingerprint
公開鍵のフィンガープリント (ハッシュ値) が表示されます。
Entry Date
公開鍵が OKM クラスタに格納された日付が表示されます。
転送パートナーの作成
転送パートナーを作成するには:
-
「Transfer Partner List」画面で、「Create」ボタンをクリックします。「Create Transfer Partner」ダイアログボックスが表示され、「General」タブがアクティブになっています。
-
次のパラメータを設定します。
「General」タブ:
Transfer Partner ID
転送パートナーが一意に識別されます。
Description
転送パートナーを一意に説明する値を入力します。この値は、1 から 64 文字で指定できます。このフィールドは、空白のままにすることができます。
Contact Information
転送パートナーの連絡先情報を識別する値を入力します。このフィールドは、空白のままにすることができます。
Export Format
「Default」、「v2.0」、「v2.1 (FIPS)」のいずれかを選択してエクスポート形式を決定します。
値「v2.0」は、鍵をエクスポートするときにこの転送パートナーが鍵をラップしないことを意味します。
値「v2.1 (FIPS)」は、鍵をエクスポートするときにこの転送パートナーが鍵をラップすることを意味します。
値「Default」は、この転送パートナー用の鍵転送ファイルをエクスポートするとき、「FIPS Mode Only」セキュリティーパラメータの設定によって形式が決まることを意味します ("セキュリティーパラメータの取り出し"を参照)。
「FIPS Mode Only」が「Off」の場合、形式は「v2.0」になります。「FIPS Mode Only」が「On」の場合、形式は「v2.1 (FIPS)」になります。
注:
転送パートナーのエクスポート形式を「Default」に設定することの利点は、転送パートナーのエクスポート形式設定を直接編集 (この場合、変更を認証するために定足数が必要) しなくても、「FIPS Mode Only」セキュリティーパラメータを変更するだけで転送パートナーの転送ファイルの形式を変更できることです。Flags - Enabled
この転送パートナーに鍵の共有を許可するには、このボックスを選択します。このフィールドが選択されていない場合、転送パートナーは鍵を共有できません。
Allow Export To
転送パートナーへの鍵のエクスポートを許可するには、このボックスを選択します。このフィールドが選択されていない場合、転送パートナーは鍵のエクスポート操作を実行できません。
Allow Import From
この転送パートナーから鍵をインポートできるように指定するには、このボックスを選択します。このフィールドが選択されていない場合、この転送パートナーから鍵をインポートできません。
-
「Public Keys」タブを開きます。
「Public Keys」タブで、次の情報を入力します。
New Public Key ID
転送パートナーから提供された公開鍵 ID を入力します。
New Public Key
転送パートナーから提供された公開鍵を入力します。
New Public Key Fingerprint
この読み取り専用のフィールドには、新しい公開鍵のフィンガープリント (ハッシュ値) が表示されます。このフィンガープリントをパートナーと照合して、伝送中に偶然または故意に公開鍵が改ざんされていないことを確認します。
-
終了したら、「Save」ボタンをクリックします。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
転送パートナーの詳細の表示および変更
「Transfer Partner Details」ダイアログボックスを使用すると、特定の転送パートナーに関する詳細情報を表示できます。
詳細を表示するには:
-
「Transfer Partner List」画面で、転送パートナー ID を強調表示して「Details」ボタンをクリックします。「Transfer Partner Details」ダイアログボックスが表示されます。
-
「General」タブでは、次のフィールドを変更できます。
-
Description
-
Contact Information
-
Export Format
-
Flags - Enabled
-
Allow Export To
-
Allow Import From
「Transfer Partner ID」フィールドは、読み取り専用です。
-
-
終了したら、「Save」ボタンをクリックします。データベース内の転送パートナーレコードが変更されます。
-
「Public Keys」タブを開きます。
-
「Public Keys」タブでは、次のフィールドを変更できます。
New Public Key ID
転送パートナーから提供された新しい公開鍵 ID を入力します。
New Public Key
転送パートナーから提供された新しい公開鍵を入力します。
New Public Key Fingerprint
この読み取り専用のフィールドには、新しい公開鍵のフィンガープリント (ハッシュ値) が表示されます。この鍵を送信側転送パートナーに確認します。
Existing Public Keys
このリストには、この転送パートナーと関連付けられた公開鍵が表示されます。
-
終了したら、「Save」ボタンをクリックします。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
「Key Transfer Public Key List」メニュー
転送パートナー間で鍵を共有する場合、セキュリティー責任者は、まず自身の OKM クラスタの公開鍵情報にアクセスする必要があります。このメニューを使用すると、公開鍵情報を表示できます。このコマンドで表示される公開鍵と公開鍵 ID を、転送パートナーに送信する必要があります。
鍵転送用公開鍵リストの表示
鍵転送用の公開鍵リストを表示するには:
-
「System Management」メニューから、「Key Transfer Public Key List」を選択します。
データベース全体をスクロールするか、次のいずれかのキーで鍵転送用公開鍵リストにフィルタを適用することもできます。
-
Public Key ID
-
Created Date
-
Public Key
表示されている鍵転送用公開鍵リストにフィルタを適用するには、「Use」ボタンを使用します。
次に、フィールドとその説明を示します。
Filter:
表示されている公開鍵のリストにフィルタを適用するためのフィルタオプションを選択します。すべてのフィルタの条件を満たす公開鍵のみが表示されます。
フィルタ属性コンボボックス:
下矢印ボタンをクリックし、フィルタ条件として使用する属性を選択します。取り得る値は次のとおりです。
-
Public Key ID
-
Created Date
-
Public Key
フィルタ演算子コンボボックス:
下矢印ボタンをクリックし、選択した属性に適用するフィルタ演算子を選択します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。取り得る値は次のとおりです。
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
-
Empty
-
Not empty
フィルタ値テキストボックス:
選択した属性のフィルタ条件とする値を入力します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。
「Filter Value」コンボボックス:
下矢印ボタンをクリックし、選択した属性のフィルタ条件とする値を選択します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。
「Filter Value」コンボボックス:
下矢印ボタンをクリックし、選択した属性のフィルタ条件とする値を選択します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。
プラスボタンをクリックすると、フィルタが追加されます。
フィルタ行を削除するには、マイナスボタンをクリックします。このボタンは、複数のフィルタが表示されている場合にのみ表示されます。
Use:
このボタンをクリックすると、表示されているリストに選択したフィルタが適用され、リストの最初のページが表示されます。
Refresh:
このボタンをクリックすると、表示されているリストがリフレッシュされます。この操作では、前回の「Use」または「Reset」操作以降に選択されたフィルタは適用されず、リストのページは変更されません。
Reset:
このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。
このボタンをクリックすると、リストの最初のページに移動します。
このボタンをクリックすると、前のページに移動します。
このボタンをクリックすると、次のページに移動します。
Results in Page:
現在のページに表示できる項目数が表示されます。リストの最後の項目を表示している場合は、項目数に「(last page)」が付加されます。1 ページに表示する最大項目数は、「Options」ダイアログの「Query Page Size」値で定義されています。
Public Key ID:
各公開鍵を識別する一意の識別子が表示されます。この値は、1 から 64 文字で指定できます。この属性でソートするには、この列名をクリックします。
Created Date:
この公開鍵が作成された日時が表示されます。この属性でソートするには、この列名をクリックします。
もっとも最近作成された公開鍵に対応する非公開鍵は、エクスポートされたすべての鍵転送ファイルの署名に使用されます。
Public Key:
転送パートナー間での鍵転送の実行に使用される公開鍵が表示されます。この値は、Base 64 で表示されます。この属性でソートするには、この列名をクリックします。
Public Key Fingerprint:
公開鍵のハッシュ値です。これは公開鍵が正しく転送されたことを確認するために使用する値で、Base 64 で表示されます。
「Backup List」メニュー
「Backup List」メニューオプションを使用すると、セキュリティー責任者は、次を行うことができます。
-
バックアップの履歴の表示
-
バックアップファイルの詳細の表示
-
バックアップの復元。
バックアップファイルの履歴の表示
バックアップファイルの履歴を表示するには:
「Secure Information Management」メニューから、「Backup List」を選択します。「Backup List」画面が表示されます。
データベース全体をスクロールするか、次のいずれかのキーでバックアップファイルにフィルタを適用することもできます。
-
Backup ID
-
KMA ID
-
Created Date
-
Destroyed Date
-
Destruction Status
-
Destruction Comment。
表示されているバックアップファイルのリストにフィルタを適用するには、「+」ボタンを使用します。
次に、フィールドとその説明を示します。
Filter:
KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。
-
Backup ID
-
Created Date
-
Destroyed Date
-
Destruction Status
-
Destruction Comment。
フィルタ演算子ボックス:
下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。
-
Equals =
-
Not equal <>
-
Greater than >
-
Less than <
-
Greater than or equals >=
-
Less than or equals <=
-
Starts with ~
フィルタ値 1 ボックス:
日付フィルタを選択した場合は、「Set Date」をクリックして開始日時を指定します。値は、フィルタキーの範囲の開始値として表示されます。ほかのフィルタを選択した場合は、このフィールドに値を入力します。
フィルタ値 2 ボックス:
日付フィルタを選択した場合は、「Set Date」をクリックして終了日時を選択します。値は、フィルタキーの範囲の終了値として表示されます。
Use:
このボタンをクリックすると、表示されているリストにフィルタが適用されます。
Refresh:
このボタンをクリックすると、リストがリフレッシュされます。
Reset:
このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。
このボタンをクリックすると、リストの最初のページに移動します。
このボタンをクリックすると、前のページに移動します。
このボタンをクリックすると、次のページに移動します。
Results in Page:
「Options」ダイアログボックスの「Query Page Size」フィールドで構成した 1 ページ当たりのレコード数が表示されます。
Backup ID
各バックアップファイルを識別する一意のシステム生成識別子が表示されます。
KMA ID
バックアップファイルが生成された KMA が表示されます。
Created Date
バックアップが作成された日時が表示されます。
Destroyed Date
バックアップファイルが手動で破棄とマークされた日付が表示されます。
Destruction Status
破棄に関するバックアップのステータスが表示されます。取り得る値は次のとおりです。
NONE
バックアップファイルは破棄されておらず、ファイルには破棄されたデータユニットの鍵は含まれていません。
PENDING
バックアップファイルはまだ手動で破棄されておらず、ファイルには破棄されたデータユニットの鍵のコピーが含まれています。
DESTROYED
バックアップファイルは手動で破棄されています。
Destruction Comment
バックアップファイルの破棄に関するユーザー指定の情報が表示されます。
Details:
このボタンをクリックすると、バックアップの詳細情報が表示されます。
Create Backup:
このボタンをクリックすると、バックアップが作成されます。セキュリティー責任者の場合、このボタンは使用不可になっています。
Restore:
このボタンをクリックすると、バックアップが復元されます。
Confirm Destruction:
このボタンをクリックすると、バックアップの破棄を確認できます。セキュリティー責任者の場合、このボタンは使用不可になっています。
バックアップの詳細情報を表示する場合は、そのバックアップを強調表示して「Details」ボタンをクリックします。詳細については、"バックアップの詳細の表示"を参照してください。
現在選択しているバックアップを復元するには、「Restore」ボタンをクリックします。詳細については、"バックアップの復元"を参照してください。
バックアップの詳細の表示
「Backup Details」ダイアログボックスは、バックアップファイルの詳細を表示する場合に使用します。
注:
バックアップファイルは KMA 上で作成および復元されます。バックアップファイルの詳細を表示するには:
-
「Backups List」画面で、詳細情報を表示するバックアップエントリをダブルクリックするか、またはバックアップエントリを強調表示して「Details」ボタンをクリックします。「Backup Details」ダイアログボックスが表示され、すべてのフィールドが読み取り専用になっています。
-
次に、フィールドとその説明を示します。
Backup ID
各バックアップファイルを識別する一意のシステム生成識別子が表示されます。
KMA ID
このバックアップファイルが生成された KMA が表示されます。
Created Date
バックアップファイルが作成された日時が表示されます。
Completed Date
バックアップファイルの作成が完了した日時が表示されます。
Downloaded Date
バックアップファイルがダウンロードされた日時が表示されます。
Destroyed Date
バックアップファイルが破棄された日付が表示されます。
Destruction Status
破棄に関するバックアップのステータスが表示されます。
Destruction Comment
バックアップファイルの破棄に関するユーザー指定の情報が表示されます。
-
このダイアログボックスを閉じるには、「Close」ボタンをクリックします。
バックアップの復元
この機能を使用すると、バックアップファイルとバックアップ鍵ファイルで構成されるバックアップをアップロードして KMA に復元できます。バックアップファイルを KMA に復元する前に、認証に必要な定足数を満たしているかどうかを確認してください。
重要 – この開始する前に、"クラスタのバックアップからの復元"の手順を実行する必要があります。
バックアップを復元するには:
-
「Backup List」画面で、復元するバックアップを強調表示して「Restore」ボタンをクリックします。「Restore Backup」ダイアログボックスが表示されます。
-
必要なコアセキュリティーバックアップ、バックアップ鍵ファイル、およびバックアップファイルを選択します。バックアップ鍵ファイルとバックアップは、一致している必要があります。つまり、同時に作成されている必要があります。コアセキュリティーバックアップは、バックアップ鍵ファイルとバックアップファイルより古い場合または新しい場合があります。コアセキュリティーバックアップファイルは、任意のバックアップ鍵ファイルおよびバックアップファイルとともに使用できます。
-
「Start」ボタンをクリックします。
-
アップロード処理が完了すると、「Restore Backup」ダイアログボックスに完了したことが示され、「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
注:
セキュリティー責任者は、鍵分割資格の十分な定足数を指定する必要があります。「Key Split Threshold」の値を最初に設定します。これにより、"鍵分割資格の入力"に示す処理を通して、定足数のサイズが決定されます。定足数の値は、"鍵分割構成の変更"の説明に従って変更することができます。「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
-
「Restore Backup」ダイアログボックスが表示され、復元処理のステータスが示されます。
-
次に、フィールドとその説明を示します。
Backup File Name
バックアップファイルの名前です。
Backup Wrapping Key File Name
バックアップ鍵ファイルの名前が表示されます。
Core Security Backup File Name
コアセキュリティー鍵データを含むバックアップファイルの名前です。
-
復元が完了すると、完了を示すメッセージが表示されます。このダイアログボックスを閉じるには、「Close」ボタンをクリックします。データベースとセキュアな鍵ストアが、KMA に復元されます。
注:
バックアップを正常に復元したあとに、KMA の IP アドレス設定を更新する必要があります。ネットワーク設定はバックアップされないため、復元されません。"KMA の管理 IP アドレスの設定"および"KMA のサービス IP アドレスの設定"を参照してください。「System Dump」メニュー
「System Dump」メニューでは、問題解決のためのシステムダンプを作成し、OKM Manager が動作しているシステム上の圧縮ファイルにダウンロードします。ダウンロードしたファイルは、圧縮ユーティリティーで開くことができる形式になっています。
注:
ダンプには、鍵データまたは鍵を推測するために使用できる情報は含まれていません。
システムダンプの作成
-
システムダンプを作成するには、「System Management」メニューから、「System Dump」を選択します。画面が表示され、自動生成された *.tar.Z ファイルが表示されます。必要に応じて、「Browse」をクリックして出力先のパスを選択できます。
-
「Start」ボタンをクリックしてダウンロードを開始します。ダウンロードされたシステムダンプ情報のサイズをリアルタイムで示すメッセージが表示され、処理の完了が通知されます。
-
出力先のパスに移動し、*.tar.Z ファイルを開いてシステムダンプ情報を表示します。
次に、フィールドとその説明を示します。
File Name:
自動生成された *.tar.gz ファイルが表示されます。
Browse:
このボタンをクリックすると、このファイルの場所を指定できます。
Start:
このボタンをクリックすると、ダウンロード処理が開始されます。
「Security Parameters」メニュー
「Security」メニューを使用すると、セキュリティー責任者は、KMA のセキュリティーパラメータを表示および変更できます。
セキュリティーパラメータの取り出し
注:
「Master Key Provider」ボタンは、OKM クラスタで IBM メインフレームからマスター鍵を取得する場合にのみ使用します。このボタンは、OKM クラスタのレプリケーションバージョンが現在 11 以降に設定されており、「FIPS Mode Only」の値が「Off」の場合にのみ使用可能です。詳細については、『OKM-ICSF Integration Guide』を参照してください。
セキュリティーパラメータを取り出すには:
「Security」メニューから、「Security Parameters」を選択します。「Security Parameters」画面が読み取り専用モードで表示されます。
次に、フィールドとその説明を示します。
注:
次の 6 つの保持関連フィールドについては、1 つの監査ログのみが存在し、そのログは KMA 内の最大のファイルシステムに格納されます。これらのパラメータを調整する主な目的は、「Audit Event List」メニューから実行するクエリーで返される監査ログエントリの数を制御することです ("監査ログの表示"を参照)。
監査ログのエントリは、短期、中期、または長期の保持期間を示すことができます。KMA は、エントリの保持期間の制限および有効期間に基づいて、古い監査ログエントリを切り捨てます (削除します)。
たとえば、短期監査ログエントリは通常、中期監査ログエントリよりも頻繁に切り捨てられ、中期監査ログエントリは長期監査ログエントリよりも頻繁に切り捨てられます。
セキュリティー責任者は、これらの保持期間の制限および有効期間を定義することによって、古い監査ログエントリが削除される頻度を制御できます。
Short Term Retention Audit Log Size Limit
短期監査ログエントリの保持数が表示されます。この数を過ぎるとエントリは切り捨てられます。デフォルトは 10,000 です。最小値は 1000、最大値は 1,000,000 です。
Short Term Retention Audit Log Lifetime
短期監査ログエントリの保持期間 (日数) が表示されます。この期間を過ぎるとエントリは切り捨てられます。デフォルトは 7 日です。最小値は 7 日、最大値は 25,185 日 (約 69 年) です。
Medium Term Retention Audit Log Size Limit
中期監査ログエントリの保持数が表示されます。この数を過ぎるとエントリは切り捨てられます。デフォルトは 100,000 です。最小値は 1000、最大値は 1,000,000 です。
Medium Term Retention Audit Log Lifetime
中期監査ログエントリの保持期間 (日数) が表示されます。この期間を過ぎるとエントリは切り捨てられます。デフォルトは 90 日です。最小値は 7 日、最大値は 25,185 日です。
Long Term Retention Audit Log Size Limit
長期監査ログエントリの保持数が表示されます。この数を過ぎるとエントリは切り捨てられます。デフォルトは 1,000,000 です。最小値は 1000、最大値は 1,000,000 です。
Long Term Retention Audit Log Lifetime
長期監査ログエントリの保持期間 (日数) が表示されます。この期間を過ぎるとエントリは切り捨てられます。デフォルトは 730 日です。最小値は 7 日、最大値は 25,185 日です。
Login Attempt Limit
失敗が許容されるログイン試行の回数が示されます。この回数を過ぎると実体は使用不可になります。デフォルトは 5 です。最小値は 1、最大値は 1000 です。
Passphrase Minimum Length
パスフレーズの最小文字数が表示されます。デフォルトは 8 文字です。最小文字数は 8 文字、最大文字数は 64 文字です。
Management Session Inactivity Timeout
OKM Manager またはコンソールのログインセッションをアイドルにしておくことができる最長時間 (分単位) が表示されます。この時間を過ぎると、ログインセッションは自動的にログアウトされます。この値を変更しても、すでに進行中のセッションには影響を及ぼしません。デフォルトは 15 分です。最小値は 0 分 (アイドル時間なし)、最大値は 60 分です。
鍵および形式転送ファイルのインポートの設定が表示されます。
値「Off」は、AES 鍵ラップをサポートするエージェントと通信するときは常に KMA が鍵をラップするように指定します。ほとんどの顧客は、AES 鍵ラップをサポートするテープドライブファームウェアを OKM エージェントサービスで実行しているはずです。
OKM をサポートするすべての PKCS#11 プロバイダには、AES 鍵ラップのサポートが含まれています。これは、OKM 監査ログを表示して、エージェントが次に示すエージェントサービスの操作を使用していることを確認することによって、確認できます。「Operation」に対して監査フィルタを指定し、プルダウンリストから次の特定の操作を選択します。
-
Create Key v2
-
Retrieve key v2
-
Retrieve Keys v2
-
Retrieve Protect and Process Key v2
結果リストに監査イベントがある場合、指定したエージェントは OKM で AES 鍵ラップを使用しています。
値「On」は、このクラスタ内の KMA が、鍵をエージェント (テープドライブ) に送信する前に、Advanced Encryption Standard (AES) ラッピング鍵で鍵をラップすることを指定します。KMA では、1.0 の鍵をインポートできず、v2.1 (FIPS) の形式転送ファイルにかぎりエクスポートおよびインポートが可能です。
値「On」は、現在のレプリケーションバージョンが 10 以降の場合にのみ設定できます。
詳細については、"Transfer Partner List"の「Export Format」パラメータを参照してください。
Pending Operation Credentials Lifetime:
保留中の定足数操作を承認したものとして鍵分割資格が保持される期間 (日数) です。保留中の定足数操作をこの有効期間内に承認する鍵分割資格の数が不足している場合、これらの資格は期限切れになります。期限切れになったあとは、定足数メンバーが、保留中の定足数操作を再承認する必要があります。デフォルトは 2 日です。この値は、レプリケーションバージョンが 11 以降の場合にのみ使用されます。
セキュリティーパラメータを変更する場合は、「Modify」ボタンをクリックします。詳細については、"セキュリティーパラメータの変更"を参照してください。
セキュリティーパラメータの変更
セキュリティーパラメータを変更するには:
-
「Security Parameters List」画面で、「Modify」ボタンをクリックします。「Modify Security Parameters」画面が表示されます。
フィールドについては、"Short Term Retention Audit Log Size Limit"で説明します。
-
必要に応じて、セキュリティーパラメータを変更します。終了したら、「Save」ボタンをクリックします。変更内容が KMA データベースに保存されます。
コアセキュリティー
コアセキュリティーコンポーネントのプライマリ要素は、ルート鍵データです。ルート鍵データとは、クラスタの初期化時に生成される鍵データです。ルート鍵データによって、マスター鍵が保護されます。マスター鍵とは、KMA に格納されるデータユニット鍵を保護する対称鍵です。
コアセキュリティーは、鍵分割スキームによって保護されます。このスキームでは、ルート鍵データのラップを解除するために、鍵分割資格で定義された定足数のユーザーのユーザー名とパスフレーズを提供する必要があります。
このセキュリティーメカニズムでは、KMA に対してロックとロック解除の 2 つの操作状態が有効になります。
ロック状態の KMA では、ルート鍵データのラップを解除できないため、データユニット鍵にアクセスできません。このため、KMA では、新しいデータユニットを登録するか、または既存のデータユニットのデータユニット鍵を取り出すエージェントの要求を処理できません。
ロック解除状態の KMA では、ルート鍵データを使用してデータユニット鍵にアクセスし、サービスエージェントのデータユニット鍵の要求を処理できます。
「Core Security Management」メニュー
「Core Security」メニューには、次のメニューオプションがあります。
これを使用すると、セキュリティー責任者は、次を行うことができます。
-
コアセキュリティーバックアップの作成
-
鍵分割資格の表示および変更
-
自律ロック解除オプションの使用可能および使用不可への切り替え。
コアセキュリティーのバックアップ
「Backup Core Security」オプションを使用すると、セキュリティー責任者は、コアセキュリティー鍵データをバックアップしてローカルシステムのファイルにダウンロードできます。
注意:
コアセキュリティーバックアップファイルは、注意して保護してください。コアセキュリティーバックアップファイルは、任意のバックアップファイルとバックアップ鍵ファイルのペアとともに使用できるため、以前のコアセキュリティーバックアップファイルでも使用できます。コアセキュリティーバックアップの作成
鍵分割資格の変更後は、新しいコアセキュリティーバックアップの実行が必要になります。
重要 – セキュリティー責任者がコアセキュリティー鍵データをバックアップしたあとでないと、バックアップ担当者はバックアップを作成できません。"バックアップの作成"を参照してください。
-
「Core Security」メニューから、「Backup Core Security」を選択します。「Backup Core Security」ダイアログボックスが表示されます。
注:
コアセキュリティーバックアップファイルの名前は、自動的に生成されます。ただし、名前を編集するか、「Browse」ボタンをクリックして出力先のパスを選択することもできます。
-
「Start」ボタンをクリックしてコアセキュリティーバックアップファイルを作成し、ユーザー指定の出力先にダウンロードします。
-
バックアップが完了すると、メッセージが表示されます。このダイアログボックスを閉じるには、「Close」ボタンをクリックします
-
「Backup Core Security」画面に戻ります。
Key Split Configuration
「Key Split Configuration」メニューオプションを使用すると、セキュリティー責任者は、KMA の鍵分割資格を表示および変更できます。
鍵分割構成の表示
鍵分割構成を表示するには:
-
「Core Security」メニューから、「Key Split Configuration」をクリックします。「Key Split Configuration」ダイアログボックスが表示されます。
次に、フィールドとその説明を示します。
Key Split Number
鍵の分割数が表示されます。最大は 10 です。
Threshold Number
定足数の認証に必要なユーザー数が表示されます。
Split User (1-10)
既存の分割のユーザー名が表示されます。
鍵分割のユーザー名、パスフレーズ、およびしきい値の数を変更する場合は、「Modify」ボタンをクリックします。詳細については、"鍵分割構成の変更"を参照してください。
鍵分割構成の変更
鍵分割構成を変更するには:
-
「Key Split Configuration」画面で、「Modify」ボタンをクリックします。「Modify Key Split Configuration」ダイアログボックスが表示されます。
-
次のパラメータを入力し、「OK」ボタンをクリックします。
Key Split Number
鍵分割数の新しい値を入力します。最大数は 10 です。
Threshold Number
定足数を満たすために必要なユーザー数の新しい値を入力します。
Split User x
新しいユーザー名を入力します。分割ユーザーごとに、関連する「Passphrase」フィールドと「Confirm Passphrase」に値を入力します。
注:
入力できる分割ユーザーのフィールド数は、「Key Split Number」フィールドに入力した値によって決定されます。 -
最後のユーザー名とパスフレーズを入力したあと、「Save」ボタンをクリックします。
-
新しい鍵分割資格が入力されると、「Key Split Quorum Authentication」ダイアログボックスが表示されます。既存の定足数資格のユーザー名とパスフレーズを入力し、「OK」ボタンをクリックします。これは手順 2 および手順 3 で設定された「新しい」資格を設定するために必要です。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
-
データベースの以前の構成情報が新しい構成に更新されます。新しい構成が「Key Split Credentials」画面に表示されます。
注:
更新された鍵分割資格を使用して、コアセキュリティー鍵データがラップし直されます。 -
新しいコアセキュリティーバックアップを作成します ("コアセキュリティーバックアップの作成"を参照)。
注:
以前のコアセキュリティーバックアップファイルをすべて破棄して、以前の鍵分割資格がバックアップの破棄に使用できないようにする必要があります。
Autonomous Unlock Option
「Autonomous Unlock Option」メニューオプションを使用すると、セキュリティー責任者は、KMA の自律オプションを使用可能または使用不可に切り替えることができます。
自律ロック解除オプションを使用可能または使用不可に切り替えるには:
-
「Core Security」メニューから、「Autonomous Unlock Option」を選択します。「Autonomous Unlock Option」画面が表示され、現在の自律オプションのステータスが示されます。
-
現在の自律ブートステータスに従って、「Enable Autonomous Unlock」をクリックしてこのオプションを使用可能にするか、または「Disable Autonomous Unlock」をクリックしてオプションを使用不可にします。
注:
「Lock/Unlock」ボタンを使用すると、状態が切り替わり、KMA のロック状態が現在と反対の状態に設定されます。自律ロック解除オプションを使用可能または使用不可にするには、定足数を満たす必要があります。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
「Local Configuration」メニュー
「Local Configuration」メニューには、次のオプションがあります。
-
KMA のロックとロック解除
-
ソフトウェアのアップグレード ("「Software Upgrade」メニュー"を参照)
-
ネットワーク構成情報
-
自動サービスリクエスト。
KMA のロック/ロック解除
「Lock/Unlock KMA」メニューオプションを使用すると、セキュリティー責任者は、KMA のコアセキュリティーをロックまたはロック解除できます。コアセキュリティーと、コアセキュリティーがロックおよびロック解除されたときの KMA の動作の詳細については、"コアセキュリティー"を参照してください。
KMA のロック
KMA をロックするには:
-
「Local Configuration」メニューから、「Lock/Unlock KMA」を選択します。「Lock/Unlock KMA」画面が表示され、KMA の状態が示されます。この例では、状態は「Unlocked」になっています。
-
「Lock KMA」ボタンをクリックして、KMA をロックします。ボタンを 1 回押すと、このボタンは「Unlock KMA」に変わり、新しいロック状態と実行できる操作が示されます。これで、KMA はロックされました。
注:
「Lock KMA」ボタンと「Unlock KMA」ボタンを使用すると状態が切り替わり、KMA のロック状態が現在と反対の状態に設定されます。ボタンを 1 回押すと、テキストラベルとボタンラベルが変わり、新しいロック状態と実行できる操作が示されます。
KMA のロック解除
KMA のロックを解除するには:
-
「Lock/Unlock KMA」画面で、「Unlock KMA」ボタンをクリックします。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数分のユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
-
認証が成功すると、「Key Split Quorum Authentication」ダイアログボックスが閉じ、KMA のロックが解除されます。
ソフトウェアのアップグレード
「Software Upgrade」メニューオプションを使用すると、ソフトウェアアップグレードを適用できますが、これは 2 つの独立した手順で行う必要があります。
-
オペレータはソフトウェアアップグレードファイルを KMA にアップロードし、アップグレードをただちに適用します。詳細については、"ソフトウェアアップグレードのアップロードおよび適用"を参照してください。
-
セキュリティー責任者は、オペレータがアップロードおよび適用した、アクティブでないソフトウェアバージョンをアクティブ化します。
ソフトウェア更新は Oracle によって署名され、適用前に KMA によって検証されます。
ソフトウェアアップグレードの実装のガイドライン
-
この機能を実行する前に、システムをバックアップしてください。手順については、"バックアップの作成"を参照してください。
-
OKM Manager の GUI リリースは、KMA にロードするアップグレードのバージョンと一致するものを使用してください。
-
OKM 3.0 を実行する KMA は、最大で 3 つのソフトウェアバージョンを「Software Upgrade」画面に表示できます。OKM 2.x GUI では、OKM 3.0 KMA 上のソフトウェアバージョンをアクティブ化できません。Oracle Key Manager 3.0 GUI をインストールしてから使用して、OKM 3.0 KMA 上のソフトウェアバージョンをアップロードまたはアクティブ化してください。
-
OKM 3.0 KMA の場合、「Software Upgrade」画面には、逆時系列順にソフトウェアバージョンが表示されます。つまり、最新のバージョンがリストの先頭に表示されます。アクティブなバージョンを確認するには、「Active」列を確認してください。
-
OKM 2.x KMA は OKM 3.0 にアップグレードできません。OKM 3.0 アップグレードパッケージを OKM 2.x KMA にアップロードして適用しないでください。
-
KMS 2.1 以前を実行している KMA を OKM 2.3 以降にアップグレードするには、まずその KMA を KMS 2.2 にアップグレードする必要があります。
-
OKM Manager が KMA にリモート接続しているか、または OKM Manager と KMA の間の接続が低速な場合、アップロードと適用の処理に時間がかかる可能性があります。これを軽減するために、OKM Manager がインストールされているノートパソコンまたはワークステーション、および、KMA と同じサブネットに接続しているノートパソコンまたはワークステーションに、ソフトウェアアップグレードファイルをダウンロードできます。OKM Manager と KMA の間にルーターがある場合、アップグレード処理の速度が低下する場合があります。
-
アップロードと適用の処理には、OKM Manager と KMA 間の接続環境が良好な場合でも、最短で約 30 分以上かかります。アクティブ化処理には、最短でも 5 - 15 分かかります。アップロード処理があまりに低速な場合、同じサブネットに KMA として接続してみてください。
-
(ネットワーク負荷の分散を促進するために) 各 KMA にソフトウェアアップグレードファイルを一度に 1 つずつアップロードおよび適用してから、(同時にオフラインになる KMA の数を最小化するために) 各 KMA で一度に 1 つずつソフトウェアアップグレードをアクティブ化してください。
-
いずれかのアップグレード処理 (アップロード、検証、適用、アクティブ化、レプリケーションバージョンの切り替え) が失敗した場合、OKM Manager は、失敗の理由と提案する解決方法を説明する監査メッセージを生成します。
-
アップグレードされた KMA では技術サポートアカウントが使用不可になっており、必要な場合はアカウントをふたたび使用可能にする必要があります。
ソフトウェアバージョンのアクティブ化
オペレータがソフトウェアアップグレードをアップロードおよび適用したあと、セキュリティー責任者は、オペレータがアップロードおよび適用したアクティブでないソフトウェアバージョンをアクティブ化する必要があります。
-
「Local Configuration」メニューから、「Software Upgrade」を選択します。「Software Upgrade」画面が表示されます。
ソフトウェアのアクティブなバージョンが強調表示され、「Active」列が「True」に設定されます。アクティブでないバージョンも表示されます。OKM 3.0 KMA では、バージョン文字列は <OKM リリース>-5.11-<OKM ビルド> の形式です。たとえば 3.0.0-5.11-2012 です。
この画面に表示されるボタンには、次のものが含まれます。
Activate
アクティブでないソフトウェアバージョンを選択し、このボタンをクリックして、選択したソフトウェアバージョンをアクティブ化します。このソフトウェアバージョンがアクティブ化されることを知らせるメッセージが表示され、KMA がリブートします。
Switch Replication Version
アクティブなソフトウェアバージョンを選択し、このボタンをクリックして、現在のレプリケーションバージョンを切り替えます。
Software Upgrade File Name
オペレータがソフトウェアアップグレードファイルの名前を入力できます。
Browse
オペレータはこのボタンをクリックして、ローカルシステム上のソフトウェアアップグレードファイルを指定できます。
-
OKM クラスタの現在のバックアップが存在することを確認します。
アップグレードファイルをアクティブ化するには、画面上部の使用可能バージョンのリストから新しいバージョンを選択して、「Activate」ボタンをクリックします。アクティブ化されるまで、新しいバージョンはシステム上でアクティブでない状態のままです。
注:
アクティブ化処理の途中で、KMA がリブートします。リブートの間は KMA がオフラインになるため、クラスタ内で複数の KMA を同時にアクティブ化することは望ましくない場合があります。KMA をリブートするまで、ユーザーは接続されたままです。「Software Upgrade」画面にふたたびアクセスすると、新しくアップロードされたソフトウェアバージョンがアクティブなバージョンとして表示されます。
-
「Key Split Quorum Authentication」ダイアログボックスが表示されます。操作を認証するには、定足数の役割を持つユーザーのユーザー名とパスフレーズを入力する必要があります。
「Key Split Quorum Authentication」ダイアログボックスで鍵分割資格の十分な定足数を指定した場合、「Save」ボタンをクリックしたときではなく、定足数を指定したあとに OKM クラスタで情報が更新されます。
「Key Split Quorum Authentication」ダイアログボックスで十分な定足数を指定しない場合、レプリケーションバージョンに応じて 2 つの異なる結果になる可能性があります。
-
新しいソフトウェアバージョンには、OKM クラスタのレプリケーションバージョンをより大きな値に変更しないと使用可能にならない、新しい機能が含まれる場合があります。
-
新しいソフトウェアバージョンの新しい機能をすべて使用可能にするには、OKM クラスタを新しいレプリケーションバージョンに切り替える必要があります。
レプリケーションバージョン: 結果: 10 またはそれ以下 操作は失敗し、OKM クラスタではどの情報も更新されません。 11 以降 操作は保留状態になります。システムは、保留中の定足数操作のリストに操作を追加します ("「Pending Quorum Operation List」メニュー"を参照)。このリストに操作が追加されると、ポップアップメッセージが表示されます。 定足数メンバーの役割を持つユーザー (定足数メンバーユーザー) がログインし、十分な定足数を指定するまでは、OKM クラスタではどの情報も更新されません。
-
レプリケーションバージョンの切り替え
最新のソフトウェアバージョンの一部の機能は、OKM クラスタのレプリケーションバージョンを、そのソフトウェアバージョンでサポートされている最大の値に設定しないと使用可能になりません。
レプリケーションバージョンはセキュリティー責任者が手動で設定します。自動的に変更されることはありません。
-
アクティブ化された KMA にログインし、「Software Upgrade」画面に移動します。「Supported Replication Versions」列の値が、「Current Replication Version」列よりも上位のバージョンである場合、「Switch Replication Version」ボタンをクリックします。
-
新しいレプリケーションバージョンを選択して「OK」ボタンを選択します。
「Current Replication Version」の表示が上位のバージョンに変わり、レプリケーションの正常な切り替えが、OKM クラスタ内のほかのすべての KMA に送信されます。
注:
クラスタ内のすべての KMA が応答している必要があり、すべての KMA は、セキュリティー責任者が設定するレプリケーションバージョンをサポートする KMS または OKM のバージョンを実行している必要があります。
表 5-2 は、特定のレプリケーションバージョン (または、さらに上位のバージョン) を必要とする機能を、KMS および OKM のリリースごとにまとめたものです。
ネットワーク構成情報
「Network Configuration」メニューオプションは、現在の接続先である KMA のネットワーク構成設定を表示します。これらの設定は、"OKM コンソールの使用"で説明する構成画面で定義されます。
ネットワーク構成の表示
ネットワーク構成を表示するには、「Local Configuration」メニューから「Network Configuration」を選択します。「Network Configuration」画面が表示されます。
次に、フィールドついて説明します。
Description
関連する情報が、管理ネットワークアドレスとサービスネットワークアドレスのどちらに適用されるかが表示されます。
Interface Name
QuickStart プログラムで定義する、管理ネットワークまたはサービスネットワークのホスト名。
IP Address
管理ネットワークまたはサービスネットワークの IP アドレス。
Netmask
管理ネットワークまたはサービスネットワークのサブネットマスクアドレス。
DNS Server(s)
この KMA で使用する 1 つ以上の DNS ネームサーバー (ある場合)。
DNS Domain Name
この KMA で使用する DNS ドメイン (ある場合)。
DNS Configured by DHCP
これらの DNS 設定が DHCP によって暗黙に構成されたかどうかを示します。
注:
Oracle Key Manager GUI が OKM 3.0 KMA に接続されているときに、「Network Configuration」パネルには「DNS Configured by DHCP」チェックボックスが表示されません。QuickStart では DHCP で取得した DNS 情報が表示されますが、ユーザーは静的 DNS 情報を入力するか、まったく無効にする必要があります ("DNS 設定の指定"を参照)。そのため、「DNS Configured by DHCP」チェックボックスは表示されません。Using DHCP
管理ネットワークまたはサービスネットワークで DHCP を使用するかどうかを示します。
Destination
この KMA からのネットワークトラフィックの宛先となるサブネット。
Gateway
管理ネットワークまたはサービスネットワークで、ネットワークトラフィックが経路指定されるゲートウェイ IP アドレス。
Modifiable
ゲートウェイ構成が変更可能かどうかを示します。自動的に構成されるゲートウェイは変更できません。
「System Time」メニュー
「System Time」メニューオプションを使用すると、接続しているシステムのクロックを設定できます。OKM ソリューションの正しい動作を保証するためには、クラスタ内の各 KMA が報告する時間の差を 5 分以内に維持することが非常に重要です。外部の NTP サーバーの IPv6 アドレスを指定できます。
ローカルクロック情報の取得
ローカルクロック情報を取得するには:
「System Management」メニューから、「System Time」を選択します。「System Time」画面が表示されます。
次に、フィールドとその説明を示します。
Current System Time
現在のシステム時間を表示します。
System Time Retrieved At
KMA のシステム時間を取得したときのローカルクライアント時間が表示されます。
Adjust Time
このボタンをクリックすると、システム時間を変更できます。
KMA のクロックを変更する場合は、「Adjust Time」ボタンをクリックします。詳細については、"KMA のローカルクロックの調整"を参照してください。
NTP Server
この KMA が使用する NTP サーバーが表示されます (使用している場合)。セキュリティー責任者は、外部の NTP サーバーの IPv6 アドレスを指定できます。この IPv6 アドレスには、角括弧や接頭辞長を含めないでください。
Specify NTP Server
このボタンをクリックすると、この KMA で使用する NTP サーバーを指定できます。
KMA のローカルクロックの調整
KMA のクロックの調整では、1 日に一度だけ最大 5 分の範囲でクロックを進めるか、戻すことができます。正 (+) の調整では、クロックがゆっくりと先に進み、負 (-) の調整では、クロックがゆっくりと前に戻ります。
KMA のローカル時間を調整するには:
-
「System Time」メニューから、「Adjust Time」ボタンをクリックします。「Adjust System Time」ダイアログボックスが表示されます。
-
クロックに正の調整を行う場合は、「Move System Time Forward (+)」ラジオボタンを選択します。それ以外の場合は、「Move System Time Backward (-)」ラジオボタンを選択します。
-
「Offset Minutes」テキストボックスで、数値を選択します。
-
「Offset Seconds」テキストボックスで、数値を選択します。
注:
指定した調整幅が大き過ぎるとエラーメッセージが表示され、より小さな値を入力するように求められます。「OK」ボタンをクリックしてこのダイアログボックスを閉じ、新しい値を入力します。 -
「Save」ボタンをクリックして、変更を適用します。システムクロックが調整されます。