Dell Encryption 取扱説明書

  • こんにちは!Dell データ保護構成ガイドの内容を理解しています。このガイドでは、Dell データ保護システムの各種サーバー(Compatibility Server、Core Serverなど)の構成方法について詳細に説明されています。 証明書管理、Kerberos 認証、ログ設定など、システムのセキュリティと機能性を最適化するための設定項目についてご質問にお答えできますので、お気軽にご質問ください。
  • Compatibility Server の `server_config.xml` ファイルはどこにありますか?
    ポリシーアービトレーションのセキュリティモードを変更するにはどうすれば良いですか?
    自己署名証明書を作成するにはどうすれば良いですか?
    ドメイン以外のユーザー名形式を有効化するにはどうすればよいですか?
Dell Data Protection
© 2014 Dell Inc.
DDP|EDDP|ST、お DDP|CE ドキュメントセットに使用されている登録商標および商標Dell™ および Dell ロゴ、Dell
Precision™OptiPlex™ControlVault™Latitude™XPS
®
および KACE は、Dell Inc. の商標です。Intel
®
Pentium
®
Intel
Core Inside Duo
®
Itanium
®
、および Xeon
®
は、米国およびその他の国における Intel Corporation の登録商標です。Adobe
®
Acrobat
®
および Flash
®
は、Adobe Systems Incorporated の登録商標です。Authen Tec
®
および Eikon
®
は、Authen Tec の登録
商標です。AMD
®
は、Advanced Micro Devices, Inc. の登録商標です。Microsoft
®
Windows
®
および Windows Server
®
Internet
Explorer
®
MS-DOS
®
Windows Vista
®
MSN
®
ActiveX
®
Active Directory
®
Access
®
ActiveSync
®
BitLocker
®
BitLocker
To Go
®
Excel
®
Hyper-V
®
Silverlight
®
Outlook
®
PowerPoint
®
Skydrive
®
SQL Server
®
および Visual C++
®
は、米国お
よび/またはその他の国における Microsoft Corporation の商標または登録商標です。VMware
®
は、米国およびその他の国にお
ける VMware, Inc. の登録商標または商標です。Box
®
は、Box の登録商標です。Dropbox
SM
は、Dropbox, Inc. のサービスマーク
です。Google™Android™Google™ Chrome™Gmail™YouTube
®
および Google™ Play は、米国およびその他の国におけ
Google Inc. の商標または登録商標です。Apple
®
Aperture
®
App Store
SM
Apple Remote Desktop™Apple TV
®
Boot Camp™
FileVaultiCloud
®
SM
iPad
®
iPhone
®
iPhoto
®
iTunes Music Store
®
Macintosh
®
Safari
®
、および Siri
®
は、米国および
/またはその他の国における Apple, Inc. のサービスマーク、商標、または登録商標です。GO ID
®
RSA
®
、および SecurID
®
は、EMC Corporation の登録商標です。EnCase™ および Guidance Software
®
は、Guidance Software の商標または登録商標で
す。Entrust
®
は、米国およびその他の国における Entrust
®
, Inc. の登録商標です。InstallShield
®
は、米国、中国、欧州共同体、
香港、日本、台湾、および英国における Flexera Software の登録商標です。Micron
®
および RealSSD
®
は、米国およびその他の
国における Micron Technology, Inc. の登録商標です。Mozilla
®
Firefox
®
は、米国および/またはその他の国におけ Mozilla
Foundation の登録商標です。iOS
®
は、米国およびその他一部の国における Cisco Systems, Inc. の商標または登録商標であり、
ライセンスに基づき使用されています。Oracle
®
および Java
®
は、Oracle および/またはその関連会社の登録商標です。その他
の名称は各社の商標である場合があります。SAMSUNG™ は、米国およびその他の国における SAMSUNG の商標です。Seagate
®
は、米国および/またはその他の国における Seagate Technology LLC 登録商標です。Travelstar
®
は、米国およびその他の国
における HGST, Inc. の登録商標です。UNIX
®
は、The Open Group の登録商標です。VALIDITY™ は、米国およびその他の国
における Validity Sensors, Inc. の商標です。VeriSign
®
およびその他の関連標章は、米国およびその他の国における VeriSign, Inc.
またはその関連会社あるいは子会社の商標または登録商標であり、Symantec Corporation にライセンス供与されています。KVM
on IP
®
は、Video Products の登録商標です。Yahoo!
®
は、Yahoo! Inc. の登録商標です。
この製品は、7-Zip プログラムの一部を使用します。 ソースコードは、 www.7-zip.org で入手できます。 ライセンスには GNU LGPL
ライセンス + unRAR 制限事項 (www.7-zip.org/license.txt)が適用されます。
2014 02
次の特許を含む 1 つまたは複数のアメリカ合衆国の特許により保護されています。特許番号 7665125特許番号 7437752特許
番号 7665118
本書に記載された情報は、通知なく変更される場合があります。
3
1 Compatibility Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
server_config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
gkresource.xml
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
\ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
run-service.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2 Core Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
. . . . . . . . . . . . . . 13
PolicyService.config
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Web Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
NotificationObjects.config
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Notification.config. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Core Server Compatibility Server
. . . . . . . . . . . . . . 15
Core Server
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3 Device Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
eserver.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
run-service.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4 Security Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
context.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
6 Kerberos . . . . . . . . . . . . . . . . . . . . . 25
Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Windows
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Key Server
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
7 . . . . . . . . . . . . . . . . . . . . . . . . . 29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
8Cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Cron
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
9 Keytool . . . 35
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5
1
Compatibility Server
この章では、Compatibility Server をご使用の環境に適用させるために変更するパラメータについて詳しく説明します。構成
ファイルは、編集する前に必ずバックアップしてください。
これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の
その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。
Dell は、これらのファイル
の許可されていない変更に起因する問題が、
Compatibility Server の再インストールなしで解決できることを保証できません。
server_config.xml
<Compatibility Server のインストールディレクトリ >\conf\server_config.xml の次のパラメータを変更できます。変更して
はいけないパラメータには、その旨の注記があります
Compatibility Server が起動されている場合、Compatibility Server
Service
を停止して server_config.xml ファイルを編集し、Compatibility Server Service を再起動してこのファイルの変更内容を
有効にします。
server_config.xml
secrets.location $dell.home$/conf/secretKeyStore
secretkeystore のデフォルトの場所。このファ
イルをデフォルトの場所から変更する場合
は、このパラメータを更新します。
archive.location $dell.home$/conf/archive
アーカイブのデフォルトの場所。このファイ
ルをデフォルトの場所から変更する場合は
このパラメータを更新します
domain.qualified.authentication true
サーバーへのすべての要求に完全修飾ユー
ザーログイン名が必要かどうかを示します。
この値を変更した場合は、Device Server を再
起動しないと新しい値が有効になりません。
directory.max.search.size 1000
ディレクトリ検索の制限の後、例外がスロー
されます。
directory.server.search.timeout.seconds 60
LDAP 検索のサーバータイムアウト(秒単位)
directory.client.search.timeout 60
LDAP 検索のクライアントタイムアウト(
単位)
6
rmi.recovery.host
マルチサーバー EMS 復元を使用するには :
<!--
- uncomment and change host names to your
fully qualified domain names to chain
recovery
<property name="rmi.recovery.host">
<value>rmi://foo.fabrikam.com:1099</valu
e>
</property>
<property name="rmi.recovery.host">
<value>rmi://foo.fabrikam2.com:1099</val
ue>
</property>
-->
default.gatekeeper.group.remote CMGREMOTE
すべてのポリシープロキシがデフォルトで所
属しているグループのデフォルト名。この名
前をここでまたは
Device Server
context.properties で変更できます。
ここでグループ名を変更しときに次の事項を
実行する場合は、
Device Server でもグループ
名を変更する必要があります
Windows デバイスの Shield
CREDActivate の使用
すべてのポリシープロキシを単一のグループ
に所属させることを推奨します。
rsa.securid.enabled false
Microsoft Windows バージョン 6 RSA
SecurID
GINA Replacement として使用
している場合は、このパラメータを
true に設
定して、
Compatibility Server Service の停止
と再起動を行います。
RSA GINA Replacement 環境で Shield
ザーがアクティベーションされたら
RSA
証が
LDAP 認証を置換します。
inv.queue.task.worker.size 10
インベントリキューを処理するスレッドの数。
inv.queue.task.timeout.seconds 900
タイムアウトが発生するまでの秒数。
inv.queue.task.retry.count 3
サーバーがインベントリを、廃棄される前に
処理を試行する回数。
report.retry.max 120
再試行の最大回数。
report.retry.wait.millis 250
再試行までのミリ秒数。
server_config.xml
7
triage.execute.time 0 0 0/6 * *
トリアージは、サーバーがすでに認識している
ユーザーおよびグループを調整する処理です。
デフォルト設定は 0 0 0/6 * * ? で、夜中から 6
時間ごと(午前 0 時、午 6 時、正午、午
6 時、午前 0 時、以下同様)にトリアージを実
行することを意味します。
gatekeeper.service.max.sessions 5
ポリシープロキシセッションの最大回数。
gatekeeper.service.max.session.timeout 5
ポリシープロキシセッションの最大回数のタ
イムアウト。
security.authorization.method.IAdministrati
veService.updateAdminRoles
AcctAdmin
グループまたはユーザーの管理ロールを更新
するために必要なロール。
security.authorization.method.IAdministrati
veService.getAdministrativeAccountGroups
AcctAdmin
グループまたはユーザーの管理ロールを更新
するために必要なロール
security.authorization.method.IAdministrati
veService.openGetLogsSession
SystemAdminLogAdmin ログセッションを取得するために必要な
ロール。
security.authorization.method.IAdministrati
veService.getLogs
SystemAdminLogAdmin ログを取得するために必要なロール。
security.authorization.method.IAdministrati
veService.getLogColumnList
SystemAdminLogAdmin ログ列リストを取得するために必要なロール。
security.authorization.method.IAdministrati
veService.getLogCategoryList
SystemAdminLogAdmin ログカテゴリリストを取得するために必要な
ロール。
security.authorization.method.IAdministrati
veService.getLogPriorityList
SystemAdminLogAdmin ログ優先順位リストを取得するために必要な
ロール。
security.authorization.method.IAdministrati
veService.getUniqueIdName
AcctAdminSecAdminHelpDeskAdmin
SystemAdmin
固有 ID 名を取得するために必要なロール。
security.authorization.method.IAdministrati
veService.getAdministrators
AcctAdmin
システムの管理者リストを取得するために必
要なロール。
security.authorization.method.IAdministrati
veService.setSuperAdminPassword
SuperAdmin
superadmin パスワードを設定するために必
要なロール。
security.authorization.method.IAdministrati
veService.resetSuperAdminPassword
SecAdmin
superadmin パスワードをリセットするため
に必要なロール。
security.authorization.method.IAdministrati
veService.addDomain
SystemAdminSecAdmin ドメインを追加するために必要なロール。
security.authorization.method.IAdministrati
veService.removeDomain
SystemAdminSecAdmin ドメインを削除するために必要なロール。
security.authorization.method.IAdministrati
veService.updateDomain
SystemAdminSecAdmin ドメインを更新するために必要なロール。
security.authorization.method.IAdministrati
veService.addGroups
SystemAdminSecAdmin グループを追加するために必要なロール。
security.authorization.method.IAdministrati
veService.removeGroup
SystemAdminSecAdmin グループを削除するために必要なロール。
server_config.xml
8
security.authorization.method.IAdministrati
veService.findLdapGroups
SystemAdminSecAdmin LDAP グループを検索するために必要な
ロール。
security.authorization.method.IAdministrati
veService.findLdapUsers
SystemAdminSecAdmin LDAP ユーザーを検索するために必要な
ロール。
security.authorization.method.IAdministrati
veService.addUsers
SystemAdminSecAdmin ユーザーを追加するために必要なロール。
security.authorization.method.IAdministrati
veService.addLicense
SystemAdmin
エンタープライズライセンスを追加するため
に必要なロール。
security.authorization.method.IAdministrati
veService.getLicense
SystemAdmin
エンタープライズライセンスを表示するため
に必要なロール。
security.authorization.method.IDeviceMana
ger.recoverDevice
HelpDeskAdminSecAdmin デバイスを復元するために必要なロール。
security.authorization.method.IDeviceMana
ger.isUserSuspended
HelpDeskAdminSecAdmin ユーザーを一時停止するために必要なロール。
security.authorization.method.DeviceManag
erService.proxyActivate
SecAdmin
プロキシによってデバイスをアクティベー
ションするために必要なロール。
security.authorization.method.DeviceManag
erService.proxiedDeviceManualAuth
HelpDeskAdminSecAdmin プロキシによってデバイスを手動で復元する
ために必要なロール。
security.authorization.method.IFileManager.
getGatekeeperResource
SystemAdmin
Gatekeeper リソースファイルを取得するため
に必要なロール。
security.authorization.method.IFileManager.
approveGatekeeperResource
SystemAdmin
Gatekeeper リソースファイルを承認するため
に必要なロール。
security.authorization.method.IFileManager.
approveGatekeeperConfig
SystemAdmin
Gatekeeper 構成を承認するために必要な
ロール。
policy.arbiter.security.mode most-restrictive
このプロパティは、ポリシーに複数の親ノー
ドがあるときに、セキュリティバイアスを持
つポリシー要素に対してポリシーマッピング
アルゴリズムをどのように機能させるかを制
御します。
値:
Least-restrictive に設定すると、制限が最も緩
い、親からの要素値が使用されます
Most-restrictive に設定すると、制限が最も
厳しい、すべての親からの要素値が使用され
ます
policy.set.synchronization.sync-unmodified true
このフラグは次の外部同期によって、変更
されたフラグを
true に設定せずに、すべての
ポリシー要素を追加または再マッピングされ
る必要があることを示します。このフラグは
同期ごとに
false 切り替えられるため
キュリティ管理者が変更なしに追加する場合
はリセットする必要があります。これは詳細
オプションです。
db.schema.version.major
メジャーデータベーススキーマ。
db.schema.version.minor
マイナーデータベーススキーマ。
server_config.xml
9
db.schema.version.patch
データベーススキーマのパッチバージョン。
dao.db.driver.dir $dell.home$/lib/mssql-microsoft
データベースドライバのデフォルトの場所
このファイルをデフォルトの場所から変更す
る場合は、このパラメータを更新します。
dao.db.host
データベースサーバーのホスト名。
このパラメータは、構成ツール内で変更され
ます。
dao.db.name
データベースの名前。
このパラメータは、構成ツール内で変更され
ます。
dao.db.user
データベースに対して完全な権限を持つユー
ザー名。
このパラメータは、構成ツール内で変更され
ます。
dao.db.password
データベースに対して完全な権限を持つユー
ザー名のパスワード。
このパラメータは、構成ツール内で変更され
ます。
dao.db.max.retry.count 10
指定されたソケットエラーの発生時に
Compatibility Server SQL Server への再接
続を試行する最大回数。
dao.db.connection.retry.wait.seconds 5
最初の再接続試行は、ただちに行われます。2
回目は、指定された秒数後に行われます3
目は、指定された秒数の
2 倍の時間が経過し
た後に行われ、
4 回目は 3 倍の時間が経過した
後、以下同様となります。
dao.connection.pool.max.uses 10000
接続を再試行できます。0 は試行しないことを
意味します。
dao.connection.pool.inactive.threshold.seco
nds
900
接続を使用していない時間、および接続を切断
できる時間を指定するために使用されます。
dao.db.driver.socket.errors 0
このコンマで区切られたリスト内のコードに
対応するエラーが発生すると、
Compatibility
Server
SQL Server への再接続を試行しま
す。
0 Microsoft SQL のソケットエラーの
エラーコードです。サーバー一時停止エラー
17142、サーバーシャットダウンエラー
6002 が加えられます。
dao.db.mssql.compatability.level 90
SQL 2005 以降の値。
vfs.file.handler.auth com.credant.guardian.server.vfs.AuthFileHan
dler
権限ファイルハンドラ。
vfs.file.handler.inventory com.credant.guardian.server.vfs.InventoryFil
eHandler
インベントリファイルハンドラ。
server_config.xml
10
vfs.file.handler.event com.credant.guardian.server.vfs.EventFileHa
ndler
イベントファイルハンドラ。
gatekeeper.resource $dell.home$/conf/gkresource.xml
Gatekeeper リソースファイルをデフォルトの
場所から移動する場合は、このパラメータを
更新します。
gatekeeper.config $dell.home$/conf/gkconfig.xml
Gatekeeper リソースファイルをデフォルトの
場所から移動する場合は、このパラメータを
更新します。
rmi.server.registry.host localhost
このホストプロパティは、レジストリの場所を
指定するクライアントプログラムだけのため
のものです。
RMI レジストリおよびリモート
オブジェクトの作成時には使用されません
localhost で作成されます。
rmi.server.registry.port 1099
RMI レジストリポートは、インストール中に
構成できますインストール後に、このパラ
メータを使用してポートを変更することもで
きます。
この値を変更する場合はGatekeeper Web
Services
を構成する必要もあります。
security.authorization.method.IServerReport
s.getOverviewReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
サーバーレポート権限を設定するために必要
なロール。
security.authorization.method.IReportingSer
vice.removeEntity
SystemAdmin
サーバーエンティティを削除するために必要
なロール。
security.authorization.method.IReportingSer
vice.setEntityVisibility
SystemAdmin
サーバーエンティティの表示を設定するため
に必要なロール。
security.authorization.method.IReportingSer
vice.getHardwareDetailReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
デバイス詳細ページを表示するために必要な
ロール。
security.authorization.method.IReportingSer
vice.openSession
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
サーバーセッションを開くために必要な
ロール。
security.authorization.method.IReportingSer
vice.getPagedReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
レポートを表示するために必要なロール。
security.authorization.method.IReportingSer
vice.getDeviceTypeReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
デバイスタイプレポートを表示するために必
要なロール。
security.authorization.method.IReportingSer
vice.getDeviceOsReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
オペレーティングシステムレポートを表示す
るために必要なロール。
security.authorization.method.IReportingSer
vice.getDeviceModelReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
デバイスモデルレポートを表示するために必
要なロール。
security.authorization.method.IReportingSer
vice.getPolicyDetailReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
ポリシー詳細レポートを表示するために必要
なロール。
security.authorization.method.IReportingSer
vice.getWorkstationDetailReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
ワークステーション詳細レポートを表示する
ために必要なロール。
security.authorization.method.IReportingSer
vice.getEncryptionFailuresReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
暗号化失敗レポートを表示するために必要な
ロール。
security.authorization.method.IReportingSer
vice.getEncryptionSummaryReport
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
暗号化サマリーレポートを表示するために必
要なロール。
server_config.xml
11
gkresource.xml
<Compatibility Server インストールディレクトリ >\conf\gkresource.xml のパラメータを変更できます。
変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新
しいファイルに容易に転送できます。
gkresource.xml XML XML
Gatekeeper
\
次の文字列を追加すると、ドメイン \ ユーザー名の形式が有効または無効になります。この形式は、ファイル内に文字列が存
在しない場合は無効になります。値を
0 に設定しても無効にできます。
1
<Compatibility Server
インストールディレクトリ
>\conf
に移動します。
2
XML
エディタで
gkresource.xml
を開きます。
3
次の文字列を追加します。
<string name="EnableGKProbeMultiDomainSupport">1</string>
4
[保存]をクリックしてファイルを保存し、閉じます。
security.authorization.method.IReportingSer
vice.getUserDetail
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
ユーザー詳細レポートを表示するために必要
なロール。
security.authorization.method.IReportingSer
vice.getGroupDetail
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
グループ詳細レポートを表示するために必要
なロール。
security.authorization.method.IReportingSer
vice.getDomainDetail
AcctAdminHelpDeskAdmin
SystemAdminSecAdmin
ドメインレポートのリストを表示するために
必要なロール。
security.authorization.method.IKeyService.g
etKeys
ForensicAdmin
この設定は、フォレンジック統合プラグイン
と併用されます。フォレンジックツール統合
が必要な場合は
Dell サポートに連絡してく
ださい。
accountType.nonActiveDirectory.enabled false
ドメイン以外のアクティベーションの有効化
は、広範な結果を伴う高度な構成です。この
構成を有効化する前に、カスタマサポートに
問い合わせて特定の環境のニーズについて話
し合ってくださいこの値の変更後は
Compatibility Server Service を再開します。
この設定に加え、Windows コンピュータのレ
ジストリ設定を以下のように作成または変更
します。
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\CMGShield
AllowNonDomainActivations=
REG_DWORD:1
server_config.xml
12
run-service.conf
<Compatibility Server インストールディレクトリ>\conf\run-service.conf の次のパラメータの一部を変更できます。パラ
メータは、インストール時に自動的に設定されています。サービスのカスタマイズまたは構成変更を実行するには、次の手順
に従います。
1
サービスを停止します
2
サービスを削除します
3
run-service.conf
ファイルを編集および保存します。変更内容を示すコメントを、ファイル内の先頭に記録することを推奨
します。
4
サービスを再インストールします。
5
run-service.conf
JAVA_HOME Dell\Java Runtime\jreX.x
Java
インストールディレクトリの場所。
wrapper.java.additional.5 n/a
この行の MAC アドレスは、ローカルイーサ
ネットアダプタの
MAC アドレスです。
サーバーに複数の
NIC がある場合、またはプ
ライマリアダプタ以外のアダプタにバインド
する場合は、ここ
NIC の物理 MAC アドレ
スをダッシュを付けずに入力します。
wrapper.ntservice.name EpmCompatSvr
サービスの名前。
wrapper.ntservice.displayname Dell Compatibility Server
サービスの表示名。
wrapper.ntservice.description Enterprise Compatibility Server
サービスの説明。
wrapper.ntservice.dependency.1
サービスの依存関係。必要に応じて、依存関
係(開始値
1)を追加します。
wrapper.ntservice.starttype AUTO_START
サービスがインストールされるモード
AUTO_START または DEMAND_START
です。
wrapper.ntservice.interactive false
true
に設定すると、サービスはデスクトップ
と相互作用できます。
サービスを開始します
13
2
Core Server
この章では、Core Server をご使用の環境に適用させるために変更できるパラメータについて詳しく説明します。
これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の
その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。
Dell は、これらのファイル
の許可されていない変更に起因する問題が、
Core Server の再インストールなしで解決できることを保証できません。
PolicyService.config
この設定を変更して、ポリシーアービトレーションを最高セキュアから最低セキュアに変更します。<Core Server インストー
ルディレクトリ
>\PolicyService.config 内の設定を変更します。Core Server が起動されている場合サービスを停止して
PolicyService.config ファイルを編集し、サービスを再起動してこのファイルの変更内容を有効にします。
変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新
しい
PolicyServiceConfig.xml ファイルに容易に転送できます。
次のセクションを変更します
<!-- Web Service Targets -->
<object id="PolicyService" singleton="false" type="Credant.Policy.Service.PolicyService,
Credant.Policy.ServiceImplementation">
<property name="TemplateDataAccess" ref="TemplateDataAccess"/>
<property name="PolicyDataAccess" ref="PolicyDataAccess"/>
<property name="SupportDataAccess" ref="SupportDataAccess"/>
<property name="AuditLog" ref="ServiceAuditLog"/>
<property name="GlobalArbitrationBias" value="1" /> [ この値を「0」から「1」に変更して、値を最低セキュアに設
定する
]
</object>
Web Services
Core Server Web Services を無効にするには(例えば、インベントリ処理のみを実行する第 2 Core Server がインストー
ルされている場合)、次の設定を変更します。
<Core Server インストールディレクトリ >\
Credant.Server2.WindowsService.exe.Config
および
<Core Server インストールディレクトリ >\Spring.config
Core Server が実行されている場合、サービスを停止してこれら 2 つのファイルの設定を編集し、サービスを再開してこのファ
イルの変更内容を有効にします。
14
Credant.Server2.WindowsService.exe.Config
次のセクションを削除します。
<!-- Web Services Configuration -->
<system.serviceModel>
<services configSource="Services.config"/>
<behaviors configSource="Behaviors.config"/>
<bindings configSource="Bindings.config"/>
</system.serviceModel>
Spring.config
次を削除します。
AOP AdviceWeb Service Target DefinitionWeb Service Host Definition の各ヘッダーにあるすべての <object>
</object>
定義を削除します。
SMTP
Dell Data Protection | Cloud Edition を使用している場合は、これらの設定はサーバー構成ツールで自動的に行われます。
下の手順は、
Dell Data Protection | Cloud Edition を使わずに SMTP サーバーのライセンスメール通知を有効化する必要が
ある場合に使用します。
NotificationObjects.config
SMTP サーバーでライセンスメール通知を構成するには、<Core Server インストールディレクトリ >
NotificationObjects.config
ファイルを変更します。
次を変更します
<object name="EmailNotification" singleton="false" type="Credant.Notification.EmailNotification,
Credant.Notification"> [
この値は変更しない ]
<property name="NotificationDataFactory" ref="NotificationDataFactory"/> [この値は変更しない ]
<property name="Host" value="test.dell.com"/>
<property name="Port" value="25"/>
<property name="Username" value="username"/>
<property name="Password" value="${SmtpPassword}"/> [ この値は変更しない ]
<property name="Logger" ref="NotificationLogger"/> [ この値は変更しない ]
</object>
Notification.config
メールサーバーが認証を要求する場合、<Core Server インストールディレクトリ > 内にある Notification.config ファイルを
変更します。
次を変更します。
<notification>
<add key="SmtpPassword" value="your_email_server_password"/>
</notification>
15
Core Server Compatibility Server
Core Server .Net アプリケーションであるため、権限の問題によりレジストリ情報にアクセスできないことがあります。
secretkeystore(データベース暗号化キー)を読み取るために Core Server Compatibility Server のレジストリ構成情報にア
クセスして
secretkeystore の位置を取得する必要がある場合に問題となります。レジストリの権限が原因でアクセスがブロッ
クされると、
Core Server はコンソールユーザーを認証できません。以下の設定では、レジストリのアクセス権が問題になる
場合に、
Compatibility Server のフォルダ位置を Core Server の構成ファイルに追加します。
1
<Core Server
インストールディレクトリ
>\EntityDataAccessObjects.config
に移動します。
2
次の
太字
部分を変更します。
<object id="DomainDataAccess" singleton="false" type="Credant.Entity.DataAccess.DomainDataAccess,
Credant.Entity.DataAccess">
<property name="Logger" ref="DataAccessLogger"/>
<!--<property name="CompatibilityServerPath" value="PATH_TO_COMPATIBILITY_SERVER"/> -->

この行のコメントを外し、Compatibility Server への完全修飾パスを設定します。
</object>
3
[保存]をクリックしてファイルを保存し、閉じます。
4
Core Server Service
および
Compatibility Server Service
を再起動します。
Core Server
許可された認証方法に設定されるポリシーが原因で Core Server の認証がドメインコントローラーによってブロックされる場
合があります。
Core Server の構成ファイルに「スイッチ」を実装することにより、Core Server は複数の認証方法を反復的に
試行して、機能する方法を見つけることができるようになりました。
1
<Core Server
インストールディレクトリ
>\Spring.config
に移動します。
2
次の
太字
部分を変更します。
<object id="DomainCache" singleton="true" type="Credant.Authorization.DomainCache.DomainCache,
Credant.Authorization.DomainCache">
<!-- Change this logger? -->
<property name="Logger" ref="DataAccessLogger" />
<property name="DomainDataAccess" ref="DomainDataAccess" />
<property name="RefreshFrequency" value="300" />
<property name="TryAllAuthTypes" value="false" /> 
この値を「
true
」に変更するとこの機能が有効になりま
<!-- Used to change the AuthType per domain: key is domain's CID and value is the
System.DirectoryServices.AuthenticationTypes value
<property name="DomainAuthType">
<dictionary key-type="string" value-type="int" >
<entry key="5A23TPM2" value="0" />
</dictionary>
</property>
-->
</object>
3
[保存]をクリックしてファイルを保存し、閉じます。
4
Core Server Service
を再起動します。
16
17
3
Device Server
この章では、Device Server をご使用の環境に適用させるために変更できるパラメータについて詳しく説明します。
これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の
その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。
Dell は、これらのファイル
の許可されていない変更に起因する問題が、
Device Server の再インストールなしで解決できることを保証できません。
eserver.properties
<Device Server インストールディレクトリ >\conf\eserver.properties の次のパラメータを変更できます。
変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新
しいファイルに容易に転送できます。
eserver.properties
eserver.default.host Device Server Service
Device Server Service がインストールされてい
る場所の
FQDN
eserver.default.port
v7.7 以降の Enterprise Server - 8443
v7.7 より前の Enterprise Server - 8081
Device Server がデバイスからの入力アクティ
ベーション要求をリスンするポート。
eserver.use.ssl True
デフォルトではSSL は有効にされています
SSL を無効にするにはこのパラメータを False
に変更します。
eserver.keystore.location ${context['server.home']}/conf/cacerts
Device Server に使用される SSL 証明書の場所。
eserver.keystore.password changeit
構成ツールの cacerts パスワードを変更した場
合、このパラメータは適宜更新されます。初期設
定後に構成ツール内の
cacert を変更する場合
は、使用されている
Keystore パスワードでこの
パラメータを更新します。
18
run-service.conf
<Device Server インストールディレクトリ >\conf\run-service.conf の次のパラメータの一部を変更できます。パラメータは、
インストール時に自動的に設定されています。サービスのカスタマイズまたは構成変更を実行するには、次の手順に従います。
1
サービスを停止します
2
サービスを削除します
3
run-service.conf
ファイルを編集および保存します。変更内容を示すコメントを、ファイル内の先頭に記録することを推奨
します。
4
サービスを再インストールします。
5
run-service.conf
JAVA_HOME Dell\Java Runtime\jreX.x
Java
インストールディレクトリの場所。
wrapper.ntservice.name EpmDeviceSvr
サービスの名前。
wrapper.ntservice.displayname Dell Device Server
サービスの表示名。
wrapper.ntservice.description Enterprise Device Server
サービスの説明。
wrapper.ntservice.dependency.1
サービスの依存関係。必要に応じて、依存関
係(開始値
1)を追加します。
wrapper.ntservice.starttype AUTO_START
サービスがインストールされるモード
AUTO_START または DEMAND_START
です。
wrapper.ntservice.interactive false
true
に設定すると、サービスはデスクトップ
と相互作用できます。
サービスを開始します
eserver.ciphers
暗号化文字のリストを設定します。暗号文字
は、コンマで区切る必要があります。左が空であ
る場合、ソケットは
Tomcat によりサポートされ
る使用可能な暗号文字を許可します。
下の例のコメントを外して、暗号化文字のリス
を設定します。各暗号文字をコンマで区切りま
す。有効な暗号文字スイート名のリストについて
は、
Sun JSSE リファレンスガイドを参照して
ください。
#eserver.ciphers=
SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_
WITH_RC4_128_SHA,SSL_DHE_RSA_WIT
H_3DES_EDE_CBC_SHA
eserver.properties
19
4
Security Server
この章では、Security Server をご使用の環境に適用させるために変更するパラメータについて詳しく説明します。
これらのファイル内のパラメータは、本ドキュメントで説明されているもののみを変更してください。これらのファイル内の
その他のデータ(タグなど)を変更すると、システムの破損や障害が発生するおそれがあります。
Dell は、これらのファイル
の許可されていない変更に起因する問題が、
Security Server の再インストールなしで解決できることを保証できません。
context.properties
<Security Server インストールディレクトリ >\webapps\xapi\WEB-INF\context.properties の次のパラメータを変更できま
す。
変更内容を示すコメントを、ファイル内の先頭に記録することを推奨します。こうすると、アップグレード時に変更内容を新
しいファイルに容易に転送できます。
context.properties
default.gatekeeper.group.remote CMGREMOTE
デバイスリモートグループ名。変更しないで
ください。
xmlrpc.max.threads 250
この Device Server 内の並列スレッドの最大数。
default.auth.upn.suffix
サーバーが完全修飾ログイン名を要求する場
合にユーザーログイン名に付加される
UPN
サフィックス。この要求では提供されません。
device.manual.auth.enable true
手動認証が有効か無効かを示します。変更し
ないでください
service.activation.enable true
Device Server
によってアクティベーションが
処理されるかどうかを示します。変更しない
でください
service.policy.enable true
ポリシーが有効か無効かを示します。変更し
ないでください
service.auth.enable true
Device Server
によって認証が処理されるかど
うかを示します。
service.forensic.enable true
この設定は、フォレンジック統合プラグイン
と併用されます。フォレンジックツール統合
が必要な場合は
Dell サポートに連絡してく
ださい。
service.support.enable true
サーバーに関するメタ情報の取得を有効にし
ます。
service.device.enable true
SDE
キーストレージなどの Shield サービス
のサポートを有効にします。
20
/