Hitachi ID PAM Vault には、インストールされている Hitachi ID Management Suite バージョン 7.3 以降の Hitachi ID Privileged Access Manager(PAM)へのアクセスに必要なログイン資格情報を設定します。
1)HTTP プロトコルまたは HTTPS プロトコルで動作するようにスキャナを統合するには、Hitachi ID PAM ユーザインタフェースで「Webservices」オプションを有効にする必要があります。「Manage System」->「Maintenance」->「Services」を選択し、「Hitachi ID (idapi) API Service」を有効にしてから、これが動作することを確認します。
2)Hitachi ID PAM 環境で行う必要があるその他の設定については、Hitachi ID Systems Customer Portal(https://hitachi-id.com/portal/?q=node/343、ログインが必要)にある「Qualys Integration Notes」を参照してください。この Hitachi の記事にアクセスできない場合: 表示表示
Qualys との統合についての注記(Hitachi より転載)
問題点:
Qualys システムと統合する場合、適切な動作を保証するには Hitachi IP Privileged Password Manager で特定の設定が必要になります。
解決策:
(1)IP および DNS の値による API ルックアップを許可するためには、Windows NT エージェントが正しい IP および DNS 情報を返す必要があります。新しいオプションとしてWINNT EMIT INFO が利用できます。このオプションを有効にすると、レジストリ設定により agtnt.exe エージェントがリセット動作時に IP/DNS 情報を返すようになります。このオプションは、製品内から設定することができます(「PSA」->「Maintenance」->「Connector behaviour」->「Windows NT Server/domain」にあります)。
(2)製品に付属の PSLang スクリプトで処理される ssh エージェントのサンプル(agtssh.exe)で、DNS/IP 情報を収集して返すことが有効になっている必要があります。これは、samples/agtssh.psl sスクリプトの先頭部分で $emit_info 変数を 1 にセットすることで設定されます。デフォルトモードでは、この変数は 0 にセットされます。
(3)API の OTP(“ ワンタイムパスワード ”)モード(デフォルト)を無効にする必要があります。これは、設定するインスタンスに対応する、レジストリ内の DWORD エントリです。このエントリは、レジストリの次の場所にあります: <instance>\idapi\DisableOTPこの値を“ 1 ”に設定する必要があります。
Vault を使用する方法 |
ここをクリックすると、各手順を順番に確認できます。スキャンする IP アドレスの追加、Scanner Appliance の設定、Vault と認証レコードの設定、オプションプロファイルの設定、スキャンの開始の各手順について説明しています。 |
Vault 資格情報 |
Hitachi ID PAM Vault に対して次の資格情報を定義できます。 |
「URL」 - Hitachi ID PAM Web サービスの HTTP URL または HTTPS URL を入力します(「SSL Verify」オプションは、入力した URL が HTTPS を使用している場合にのみ設定できるようになります)。 |
「Username / Password」 - Hitachi ID PAM ユーザアカウントのユーザ名(ID)です。Qualys スキャナがこのアカウントを使用して接続できるようにするには、このユーザが Hitachi ID Management Suite の Administrator information の下で次のように設定されている必要があります。1)権限「OTP IDAPI caller」で、2)「IP address with CIDR bitmask」フィールドに入力された値に Qualys スキャナの IP アドレスが含まれている。 |
動作方法 |
Hitachi ID PAM からパスワードを取得するには、スキャン対象の IP アドレスと FQDN(ホスト名)が必要です。ドメイン認証を必要としない Unix ホストと Windows ホストの場合、認証レコードに IP アドレスを入力すると、ホストの FQDN を取得するために DNS の逆引きクエリが実行されます。ドメイン認証が必要な Windows ホストの場合、ドメインコントローラの IP アドレスを取得するために通常の DNS クエリが実行され、Hitachi PAM にパスワードをクエリするときに、この IP とドメインの FQDN が使用されます。 |
ユーザパーミッション |
Hitachi ID PAM Vault の設定パーミッションはマネージャユーザが持っています。このパーミッションは、ユニットマネージャにも付与することができます。 |
「SSL Verify」オプションがクリア(チェックが解除)されている場合を除いて、Qualys スキャナは、証明書が有効で信頼できることを確認するために Web サーバの SSL 証明書を検証します。証明書が周知の認証局(CA)によって発行されていない場合、または自己署名された証明書である場合は、このオプションをオフにして、SSL 検証を省略することが可能です。(注記: 「SSL Verify」オプションは、入力した URL が HTTPS を使用している場合にのみ設定できるようになります)。