SSH/SSL管理者設定

PAM360を使用すると、SSLキーの有効期限、SSHキーのローテーションの失敗、証明書管理、PGPキーの有効期限等、さまざまな操作の通知を有効にすることができます。さらに、PAM360では、既存のキーを保持または上書きすることができます。このドキュメントでは、次のトピックについて学習します。

  1. 通知の管理
  2. SSHポリシーの構成

1.通知の管理

次のいずれかの場合に、メール、syslogメッセージを介して通知を受け取るように設定できます:

  1. SSL証明書が指定された日数以内に期限切れになる場合。
  2. ドメイン名が指定された日数以内に期限切れになりそうな場合。
  3. SSHキーが指定された日数を超えてローテーションされない場合。
  4. アプリケーション内から実行される証明書管理操作の場合。
  5. PGPキーが指定された日数以内に期限切れになる場合。PGPキーの詳細については、ここをクリックしてください。

メモ:PGPキーの有効期限に関する通知は、Eメールでのみ送信されます。

通知を構成するには:

  1. [管理] >> [SSH/SSL構成] >> [通知設定]の順に移動します。
  2. SSL証明書の有効期限の通知を有効にするには、[SSL証明書が次の期間において有効期限になる場合に通知する]チェックボックスをオンにします。日の値を選択します。有効期限が入力した期間(日数)内にある証明書についてのみ通知されます。
  3. 通知メールの頻度:通知を毎日受信するか、通知をカスタマイズするかを選択します。
    1. [カスタマイズ]を選択した場合は、有効期限が切れる証明書について通知する間隔(日数)を設定します。
    2. 上記の間隔に関係なくすべてのスケジュールで通知を受信する場合は、[有効期限が次の期間より短い場合は、すべてのスケジュールで証明書をメールで送信する]オプションを選択します。
    3. 期限切れの証明書に関する通知を受け取らないようにするには、[Eメール通知から期限切れの証明書を除外する]を選択します。
    4. 証明書が配置/展開されるサーバーのリストに関する詳細を取得するには、[証明書に複数のサーバーのリストを含める]を選択します。
    5. 各メールをカスタマイズするには、[証明書ごとに個別のメールを送信]を選択します。件名を記載、および/または有効期限通知の件名に追加する属性を選択できます。
      admin_settings
  4. それぞれのチェックボックスを選択することにより、ドメイン名の有効期限や、PGPキーの有効期限、または設定された期間のSSHキーローテーションの失敗、あるいはその両方に関する通知を受け取るように選択することもできます。有効期限が切れるSSL証明書、および指定された日数内にローテーションされなかったSSHキーは、上記の再発時間中に通知されます。
    admin_settings
  5. 電子メール通知の件名、内容、署名を編集することもできます。
  6. 次の2つの方法で通知を受け取るように選択できます。
    1. メール - 宛先アドレスを入力します。メールサーバー設定を構成していない場合は、メールサーバー設定タブから行ってください。
      admin_settings
    2. Syslog – [管理者] >> [統合] >> [SIEM統合]の順に移動し、syslogを配信するサーバーとポートのIPアドレスを記載します。テンプレートの詳細については、ここをクリックしてください。以下に示すSyslog形式を参照してください。
      1. SSH

        <190>Key_Name:172.21.147.130_test123_id Days_Exceeded:0 Modified_On:2016-02-16 17:41:24.008

      2. SSL

        <190>Parent_Domain: manageengine.com Included_Domain: pam360.com Days_to_Expire: 100 Expire_Date: 5.08.2017

      3. admin_settings
  7. 詳細を入力したら、[保存]をクリックします。

注意: SSHキーローテーションおよびSSL証明書の有効期限通知ポリシーで指定された日数は、ダッシュボード設定にも適用されます。

2.SSHポリシーの構成

PAM360では、PAM360が新しいキーを作成したときSSHキー管理に関する高レベルポリシーを作成(すなわち、既存のものに添付)または既存のキーを上書きできます。上書きすると、既存のキーが削除され、フレッシュスタートできます。お使いのSSH環境には、PAM360によって生成されたキーのみが含まれます。PAM360は、authorized_keysファイルでこれらの変更を直接実行します。

SSHポリシーから、authorized_keysファイルにキーを追加するためのオプションを設定できます。次から選択できます。

  1. 添付 – 既存のキーとPAM360によって展開された新しいキーを保持できます。
  2. 上書き – 認証されたキーファイルから既存のすべての公開鍵情報を削除し、PAM360からのみ展開された公開鍵を保持します。これがクリーンスタートと呼ばれるものです。

ポリシー設定を変更するには:

  1. [管理] >> [SSH / SSL構成] >> [SSHポリシー構成]にナビゲートします。
  2. キーを追加または上書きするかを選択します。
  3. [保存]をクリックします。
    admin_settings

SSHポリシー設定が更新されたことを確認するメッセージが表示されます。