データ復元

災害またはデータ損失の場合、バックアップしたデータをPAM360データベースに復元できます。データを復元するには、PAM360スクリプトを入力します。

以下のセクションで、下のデータベースのデータ復元についての詳細手順を学びます:

  1. PostgreSQLがあるPAM360
  2. MS SQL ServerがあるPAM360

1.PostgreSQLがあるPAM360に必要な手順

以下の手順は、PostgreSQLがあるPAM360のデフォルトインストールにバックエンドデータベースとして適用されます。

重要な注記:

    1. データを復元する前に、PAM360 Serverを停止します。サーバーの稼働中に復元が行われると、データが壊れる場合があります。
    2. Windowsで実行されているPAM360からバックアップされたデータは、Windowsでのみ復元できます。
    3. バックアップの復元中、以前あったのと同じPAM360ビルドを再インストールしていることを確認してください。たとえば:PAM360ビルド4500を以前使っていた場合は、また同じものをインストールします。
    4. restoreDBコマンドを使用する前に、毎回サービスを必ず、一度起動して停止してください。

1.1 Windowsの場合

  1. <PAM360_Installation_Directory>/binフォルダに移動します。
  2. スクリプト'restoreDB.bat <backup file name> -p <Key path>'を実行します。バックアップファイル名を.ezip形式で入力します。バックアップファイルとpam360_key.keyファイルがPAM360 Server内の同じパスの同じフォルダにある必要がありますので、注意してください。
  3. <PAM360_Installation_Folder>/confフォルダを開き、manage_key.confファイルを編集して、pam360_key.key(AES 256暗号化マスターキー)の場所を指定します。PAM360には、起動するごとに、フルパスでアクセス可能なpam360_key.keyファイルが必要です。正常に起動した後はキーが必要なくなるため、キーファイルがあるデバイスをオフラインで取得できます。
  4. バックアップされたコンテンツが、PAM360 DB.Nowに復元され、コマンドupdateserverconf.batを実行します。表示されるポップアップで、デフォルト名をServer.keystoreとし、パスワードをpasstrixとして入力します。この操作は、PAM360 Serverの製品に付属のデフォルトSSL証明書に適用されます。
  5. 信頼されるSSL証明書をPAM360 Serverに追加するには、以下の手順に従います:
    1. PAM360 Webインターフェイスに管理者アカウントでログインし、[管理者] >> [構成] >> [PAM360 Server]の順に進みます。
    2. ここで、信頼される証明書を参照し、必要な証明書の詳細を入力して、変更を保存します。これで、PAM360 Serverは、提供した信頼のSSL証明書で暗号化されます。

1.2 Linuxの場合

  1. <PAM360_Installation_Directory>/binフォルダに移動します。
  2. スクリプト「sh restoreDB.sh <backup file name> -p <Key path>」を実行します。バックアップファイル名を.ezip形式で入力します。バックアップファイルとpam360_key.keyファイルがPAM360 Server内の同じパスの同じフォルダにある必要がありますので、注意してください。
  3. <PAM360_Installation_Folder>/confフォルダを開き、manage_key.confファイルを編集して、pam360_key.key(AES 256暗号化マスターキー)の場所を指定します。PAM360には、起動するごとに、フルパスでアクセス可能なpam360_key.keyファイルが必要です。正常に起動した後はキーが必要なくなるため、キーファイルがあるデバイスをオフラインで取得できます。
  4. バックアップされたコンテンツは、PAM360 DBに復元されます。続いて、コマンドupdateserverconf.shを実行します。表示されるポップアップで、デフォルト名をServer.keystoreとし、パスワードをpasstrixとして入力します。この操作は、PAM360 Serverの製品に付属のデフォルトSSL証明書に適用されます。

    5. 注記:updateserverconf.shコマンドを実行する前に、x11がPAM360 Serverで有効になっていることを確認します。

  1. 信頼されるSSL証明書をPAM360 Serverに追加するには、以下の手順に従います:
    1. PAM360 Webインターフェイスに管理者アカウントでログインし、[管理者] >> [構成] >> [PAM360 Server]の順に進みます。
    2. ここで、信頼される証明書を参照し、必要な証明書の詳細を入力して、変更を保存します。これで、PAM360 Serverは、提供した信頼のSSL証明書で暗号化されます。

2.MS SQL ServerがあるPAMに必要な手順

2.1 前提条件

PAM360は、SQL Serverの暗号化メカニズムを使って、データを暗号化します。暗号化マスターキーは、<PAM360インストールフォルダ>/confディレクトリに、masterkey.keyの名前で保存されます。セキュリティ上の理由から、MS SQLのインストール中、暗号化キーはデフォルトの場所から安全な場所に移動し、災害復旧の実行中に使用することを推奨します。

2.2 手続き

手順1

MS SQL ServerがあるPAM360の別のインスタンスをバックエンドとしてインストールします。.これで、バックアップの復元が必要なMS SQLサーバーの新しいインスタンスをインスタンスを指定します。MS SQLサーバーの新しいインスタンスがSSLで構成されていることを確認します。詳細は、SQL構成の手順10.1.1~10.1.3を参照してください。

手順2

PAM360バックアップファイルをSQL Serverからコピーします。デフォルトでは、以下の形式のファイル名で、<MSSQL_installation_folder>/Backupフォルダにあります: pam360backup_pam360version_backupdate-time.bak (例えば、pam360backup_4500_110721-1159.bak).PAM360データのバックアップを取ることについての詳細は、ここをクリックしてください。MS SQLデータベースから取ったバックアップは、SQLサーバーが稼働しているホストの.bakファイルとして保存されます。

手順3

"Microsoft SQL Server Management Studio" (バックアップしたデータを復元するマシン - すなわち、SQL Serverの別のインスタンスで)を起動し、Database Engineに接続します。

手順4

[データベース]を右クリックし、表示されたメニューで[データベースを復元]をクリックします。

restore-database

手順5

[データベースを復元]ウインドウで、オプション[デバイスから]を選択し、[...]ボタンをクリックしてPAM360バックアップファイルを参照します。

restore-database

手順6

開いた[バックアップを指定]ウインドウで、オプション[ファイル]をバックアップメディアとして選択し、[追加]をクリックします。

restore-database

手順7

[バックアップファイルを探す]ウインドウで、PAM360バックアップファイルを選択して[OK]をクリックします。

restore-database

手順8

  1. 次に、[データベース復元]ウインドウで、バックアップを復元するデータベースを選択し、[データベースへ]フィールドで指定します。
  2. [バックアップセットを選択して復元]で、必要な[復元列]を選択します。
  3. [OK]をクリックして、データベースの復元を開始します。
  4. 復元が完了すると、ステータスウインドウがポップアップ表示されます。
restore-database

手順9

次に、マスターキーの復元が必要です。上の条件セクションで記載のとおり、暗号化マスターキーは、デフォルトでは、masterkey.keyという名前のファイルに<PAM360インストールフォルダ>/confディレクトリに保存されます。セキュリティ上の理由から、ファイルを一部の他の安全な場所に移動した場合、それを特定します。masterkey.keyファイルを開き、パスワードをコピーします。

手順10

  1. PAM360バックアップファイルを復元したSQL Serverに接続します。
  2. Microsoft SQL Server Management Studioを開き、データベースエンジンに接続します。
  3. 以下のクエリを実行します:

    write_the_name_of the restored_databaseを使用、
    パスワードでマスターキー復号を開く= 'type_the_master_key_password';
    パスワードで暗号化でマスターキー再生成を変更= 'type_the_master_key_password';

例:

passtrixを使用、
パスワードでマスターキー復号を開く= 'secret';
パスワードで暗号化でマスターキー再生成を変更= 'secret';

上のクエリーを実行すると、データが復号されます。

手順11

<PAM360_Installation_Folder>/confフォルダに移動し、manage_key.confを編集して、pam360_key.keyの場所(encryption master key)を制定します。PAM360には、起動するごとに、フルパスでアクセス可能なpam360_key.keyファイルが必要です。正常に起動した後はキーが必要なくなるため、キーファイルがあるデバイスをオフラインで取得できます。

重要な注記:

    1. .bakファイルのデータベース復元を実行し、上のクエリを実行して、PAM360がデータベースに接続するのと同じアカウントで、マスターキーを設定します。
    2. ただし、別のアカウントを使ってSQL Studioでデータベースを復元し、Alterマスターキークエリを実行する場合、下の追加クエリを実行して、PAM360アカウントがマスターキーを読み取るのに必要な許可を提供します。

      GRANT VIEW DEFINITION ON CERTIFICATE::PMP_CERT TO [user]
      GRANT VIEW DEFINITION ON SYMMETRIC KEY::PMP_SYM_KEY TO [user]
      GRANT CONTROL ON CERTIFICATE::PMP_CERT TO [user]

    3. 上のクエリの[user]は、PAM360がSQLデータベースに接続するのに使うアカウントの実際のログインメインを示します。このアカウント名は、アカウントがWindows認証を使用しないかぎり、<PAM360_Installation_Folder>/conf/database_params.confファイル中のJDBC URLにあります。
    4. 下のクエリを実行し、CERTIFICATE and SYMMETRIC KEY証明書と対称キーの正しい名前を検証します:

      select * from sys.certificates
      select * from sys.symmetric_keys