この Vault タイプを使用して、Wallix AdminBastion(WAB)Vault から認証資格情報を取得します。
Wallix AdminBastion(WAB)Vault の資格情報
ここをクリックすると、各手順を順番に確認できます。スキャンする IP アドレスの追加、Scanner Appliance の設定、Vault と認証レコードの設定、オプションプロファイルの設定、スキャンの開始の各手順について説明しています。
WAB Vault の設定パーミッションはマネージャユーザが持っています。このパーミッションは、ユニットマネージャにも付与することができます。
Vault に次の資格情報を定義します。
「URL」 - WAB の Web サービス API にアクセスするための HTTP または HTTPS URL です。
「SSL Verify」 - このオプションは、URL で HTTPS が使用されるときに使用できます。「SSL Verify」オプションがクリア(チェックが解除)されている場合を除いて、Qualys スキャナは、証明書が有効で信頼できることを確認するために Web サーバの SSL 証明書を検証します。証明書が周知の認証局(CA)によって発行されていない場合、または自己署名された証明書である場合は、このオプションをオフにして、SSL 検証を省略することが可能です。
「Username」 - WAB の Web サービス API を呼び出すことができるユーザアカウントです(下記のユーザアカウントの要件を参照してください)。
「Password」 - ユーザアカウントのパスワード。注記 - パスワードかアプリケーションキーのどちらかを指定できますが、両方を指定することはできません。
「Application API Key」 - WAB REST API キーに貼り付けます。キーを Qualys スキャナの IP アドレスに制限する必要があります。「Help」->「About」を選択して、アカウントを持つ SOC にある Qualys スキャナを表示します。この情報を使用して、アプリケーションキーは、WAB の Web サービス API に接続するための認証子として機能します。鍵の作成およびアクセス権の制限に関する詳細については、WAB REST API の使用に関するドキュメントを参照してください。
ユーザアカウントは、「ユーザ」プロファイルを持ち、リソースグループのメンバーである必要があります。たとえば、「qualys_wallix_user」というユーザを作成し、このユーザをユーザグループ「qualys_wallix_group」に追加します。次に、ユーザグループをリソースグループ「qualys_scan_group」に追加します。スキャンするすべてのターゲットは、ユーザと同じリソースグループに属している必要があります。
ユーザアカウントで次の設定を行う必要があります。
Profile: user
Force password change: なし
Account expiration date: 設定しない
IP 制限: IP/Subnet: 設定しない(スキャナ IP/サブネットは、このフィールドに設定しないでください)
いつスキャンを実行するかを検討し、時間枠内にユーザグループが Vault にアクセスできることを確認します。
各ターゲットアカウント設定を次のように編集します:
Auto password change - オフ(選択しない)
Checkout policy: default
認証レコードで Wallix AdminBastion (WAB) vault を選択し、認証名とターゲット名を入力します。
基本的には、リソースグループにアクセスし、グループ内のターゲットをスキャンする権限を Vault ユーザに与えます。次に、レコードに認証名を入力します。
WAB で次の設定行う必要があります。
Enable password checkout - オン(これはグループ内のユーザがパスワードを照会できることを意味します。)
Enable sessions - オフ(選択しない)
Enable approval workflow - オフ(選択しない)
以下の形式のいずれかを使用してターゲット名を入力します。
user@global_WABdomain
user@local_WABdomain@device
user はターゲットにアクセスできるユーザ、global_WABdomain はドメインコントローラのドメイン名、local_WABdomain はローカルドメイン、device はスキャンするデバイスです。
同じ命名規則を使用する複数のターゲットに一致させるために、ターゲット名を定義するときに 1 つ以上の変数を使用できます。
${ip} // ターゲットの IP アドレス(10.20.30.40)。
${ip_dash} // ドットの代わりにダッシュを使用したターゲットの IP アドレス(10-20-30-40)。
${dnshost} // ターゲットの DNS ホスト名(host.domain)。
${host} // ターゲットのホスト名(.domain の前にホスト)。
${nbhost} // (Windows のみ)ターゲットの NetBIOS ホスト名(大文字、つまり HOST_ABC)。
WAB に 6 つのデバイスがあるとします。
CentOS6
10.50.60.70
10.50.60.88
10.30.10.12
10-20-32-201
10-20-31-112_win81-x86.prod.qualys.com
次のターゲット名を持つ 4 つのレコードを作成する必要があります(ユーザが「qualys_scan」で local_WABdomain が「local」)。
Record 1: qualys_scan@local@CentOS6
Record 2: qualys_scan@local@${ip} (matches 10.50.60.70, 10.50.60.88 and 10.30.10.12)
Record 3: qualys_scan@local@10-20-32-201 -or- qualys_scan@local@${ip_dash}
Record 4: qualys_scan@local@10-20-31-112_win81-x86.prod.qualys.com -or- qualys_scan@local@${ip_dash}_${dnshost}