ホーム
Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
LDAP を使用したユーザーの認証
BigFix Inventory は、Lightweight Directory Access Protocol (LDAP) サーバーを使用した認証をサポートします。この機能を使用するには、BigFix Inventory サーバーを構成する必要があります。
LDAP 接続の問題のトラブルシューティング
LDAP 接続の問題のトラブルシューティングを行います。

Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
- データのフロー
  BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。
- セキュリティー設定のシナリオ
  サポートされる各セキュリティー・シナリオを実現するために BigFix サーバーおよび BigFix Inventory サーバーで有効にする必要があるセキュリティー・オプションについて確認します。
- データベース接続暗号化の構成
  BigFix Inventory サーバーと BigFix Inventory データベースの接続を暗号化できます。暗号化は、JDBC ドライバーを使用して、BigFix Inventory サーバーとデータベース・エンジンの間に確立します。サーバーのアップグレード中に接続を暗号化できます。
- セキュア通信の構成
  セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
- 連邦暗号化標準への準拠
  暗号化に関する連邦情報処理標準要件に準拠するように、BigFix Inventory を構成できます。
- LDAP を使用したユーザーの認証
  BigFix Inventory は、Lightweight Directory Access Protocol (LDAP) サーバーを使用した認証をサポートします。この機能を使用するには、BigFix Inventory サーバーを構成する必要があります。
  - ディレクトリー・サーバーへの接続の構成
    BigFix Inventory ユーザーの認証に LDAP を使用するには、最初に、ディレクトリー・サーバーへの接続を構成する必要があります。
  - ディレクトリーへのユーザーのリンク
    LDAP を使用した認証プロセスを完了するには、作成したディレクトリーにリンクするユーザーを作成する必要があります。
  - ユーザー・プロビジョニング
    ディレクトリー・サーバーの構成後、LDAP プロトコルを使用して、そのユーザーを BigFix Inventory に統合することができます。ユーザー・プロビジョニングでは、各ユーザーを別個にリンクする代わりに、ユーザーのグループ全体を統合できます。ユーザー・プロビジョニングは、ネストされたグループやサブグループのユーザーではなく、特定の LDAP グループのユーザーを対象としています。
  - Web レポートへのユーザーの統合
    Web レポート・コンポーネントを使用して、ローカルの Web レポート・ユーザーが BigFix Inventory にアクセスできるようにすることが可能です。
  - LDAP 接続の問題のトラブルシューティング
    LDAP 接続の問題のトラブルシューティングを行います。
- シングル・サインオン (SSO) の構成と有効化
  9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
- パスワードおよび暗号化メカニズムの構成
  アプリケーション・セキュリティーを向上させるために、ユーザー・パスワードのセキュリティー・ポリシーを定義します。パスワードが保管されている鍵ストアと BigFix Inventory データベースのパスワードおよび暗号化メカニズムも構成できます。
- ユーザー・アカウントのロックアウトの構成
  9.2.8 以降で使用可能。デフォルトでは、ユーザーが 5 分以内に 10 回を超えて BigFix Inventory にログインしようとした後に、ユーザー・アカウントは 5 分間ロックされます。デフォルト設定を変更したり、ユーザー・アカウントのロックアウトを無効にしたりすることができます。
- 信頼できる VM マネージャー証明書を受け入れるためのVM Manager toolの構成
  デフォルトで、VM Manager toolは、信頼できるかどうかに関係なく、すべての VM マネージャー証明書を受け入れます。デフォルトの動作を変更して、信頼できる証明書のみをVM Manager toolが受け入れるようにすることができます。
- リレー
  リレーにより、サーバーのアップストリームとダウンストリームの両方の負荷が軽減されます。サーバーと直接通信する代わりに、指定のリレーと通信するようにクライアントに指示できます。これにより、サーバーの負荷が大幅に軽減され、クライアントとサーバーの間のネットワーク・トラフィックが大幅に削減されます。

LDAP 接続の問題のトラブルシューティング

LDAP 接続の問題のトラブルシューティングを行います。

このタスクについて

手順

BigFix Inventory に非 LDAP ユーザーとしてログインします。
「管理」 > 「ディレクトリー・サービス」をクリックし、ディレクトリー・サーバーを選択して、「接続のテスト」をクリックします。

「接続エラー」メッセージが表示される場合や、現在の証明書が信頼されていないというエラー・メッセージが表示されているが「サブジェクトの共通名」と「指紋」フィールドが空である場合は、以下の手順を実行します。

図 1. LDAP 接続エラー
1. <INSTALL_DIR>/wlp/usr/servers/server1/logs に移動し、tema.log ファイルの追加情報を確認します。
2. <INSTALL_DIR>/wlp/usr/servers/server1 に移動し、jvm.options ファイルを確認します。以下の行が jvm.options ファイルに存在することを確認して、BigFix Inventory を再起動します。
```
-Dcom.ibm.jsse2.overrideDefaultCSName=true
```
  この行は、BigFix Inventory バージョン 10.0.5 以降で、デフォルトで追加されます。
  
  注: ファイルを変更する前に、ファイルのバックアップを作成します。
問題が解決しない場合は、以下の行を jvm.options ファイルに追加して、BigFix Inventory を再起動します。
```
-Dcom.unboundid.util.SSLUtil.defaultSSLProtocol=TLSV1.2
-Dcom.unboundid.util.SSLUtil.enabledSSLProtocols=TLSV1.2
```
表示された「サブジェクトの共通名」と「指紋」フィールドが空ではなく、有効な値が含まれている場合のみ、現在の証明書を受け入れて保存します。

タスクの結果

LDAP 接続の問題が解決しました。