初期設定後、環境のニーズに合わせていつでもアプライアンスのネットワーク設定を変更できます。
アプライアンスの仮想バージョンの場合、ネットワーク設定は管理者コンソールまたはコマンドラインコンソールへの初回ログイン時に設定されます。詳細については、「アプライアンスのネットワーク設定の変更」を参照してください。
サービスとしてのK1000の場合、アプライアンスは、静的なIPアドレス、サブネットマスク、およびデフォルトゲートウェイを使用して事前設定されています。設定情報については、『KACE as a Service Setup Guide』(サービスとしての KACE セットアップガイド)を参照してください。https://support.quest.com/k1000-as-a-service/release-notes-guides に移動します。
アプライアンスネットワーク設定の大部分を変更するには、アプライアンスを再起動する必要があります。変更後の設定が有効な場合は、合計の再起動ダウンタイムは1~2分です。
1. |
◦ |
アプライアンスで組織コンポーネントが有効化されていない場合は、アプライアンス管理者コンソール(https://appliance_hostname/admin)にログインして、設定 > コントロールパネル を選択します。 |
◦ |
アプライアンスで組織コンポーネントが有効化されている場合は、アプライアンスシステム管理コンソール(https://appliance_hostname/system)にログインします。または、ページの右上隅にあるドロップダウンリストから システム を選択して、設定 > コントロールパネル を選択します。 |
2. |
3. |
アプライアンスのホスト名を入力します。デフォルトはk1000です。 | |
アプライアンスの完全修飾ドメイン名を入力します。完全修飾ドメイン名とは、ホスト名とドメインを連結した値です。例えば、k1000.example.com です。デバイスは、この名前を使用してアプライアンスに接続します。Questでは、DNSサーバに、アプライアンスの静的IPアドレスのエントリを追加することをお勧めします。SSL証明書を使用する場合、証明書と同じ完全修飾ホスト名を使用する必要があります。 | |
このチェックボックスをオンにすると、次のフォーマットを使用して、アプライアンス Web サーバ名をシステムで生成できます。Hostname.Domain。例えば、k1000.example.com です。このチェックボックスをオフにすると、カスタムのウェブサーバ名を入力できます。 |
4. |
IPv4 設定 タブで、次の情報を入力します。 |
DHCP(動的ホスト構成プロトコル)を使用して、アプライアンスの IPv4 アドレスおよびその他のネットワーク設定情報を自動的に取得する場合は、このオプションを選択します。 | |||||||||||||||
アプライアンスの IPv4 アドレス、ドメイン、サブネットマスク、デフォルトゲートウェイ、および DNS 設定を手動で指定する場合は、このオプションを選択します。
|
5. |
IPv6 設定 タブで、次の情報を入力します。 |
アプライアンスの IPv6 アドレス、プレフィックス長、およびデフォルトゲートウェイを手動で指定する場合は、このオプションを選択します。
| |||||||||
6. |
7. |
外部 SMTP サーバーのホスト名(smtp.gmail.com など)または IP アドレスを指定します。外部 SMTP サーバでは、匿名(認証なし)のアウトバウンド E メール転送を許可する必要があります。ネットワークポリシーで、アプライアンスがSMTPサーバに直接問い合わせられることを確認します。また、メールサーバは、アプライアンスからのEメールのリレーを、認証なしで許可するように設定する必要があります。IP アドレスを指定する場合は、アドレスを括弧で囲みます。例えば、「[10.10.10.10]」と入力します。 | |
外部 SMTP サーバーに使用するポート番号を入力します。標準的な SMTP にはポート 25 を使用します。セキュアな SMTP にはポート 587 を使用します。 | |
外部 SMTP サーバーにアクセスするアカウントのユーザー名を入力します(「your_account_name@gmail.com」など)。 | |
a. |
Test Connection(テスト接続)をクリックします。 |
b. |
表示される 接続テスト SMTP ダイアログボックスに、新しく設定した SMTP サーバを使用してテスト E メールを送信する E メールアドレスを入力し、テスト E メールを送信 をクリックします。 |
9. |
保存 をクリックします。 |
10. |
アプライアンスがネットワーク上の複数のゲートウェイ経由でトラフィックをルーティングできるように、ローカルルーティングテーブルを設定します。
1. |
◦ |
アプライアンスで組織コンポーネントが有効化されていない場合は、アプライアンス管理者コンソール(https://appliance_hostname/admin)にログインして、設定 > コントロールパネル を選択します。 |
◦ |
アプライアンスで組織コンポーネントが有効化されている場合は、アプライアンスシステム管理コンソール(https://appliance_hostname/system)にログインします。または、ページの右上隅にあるドロップダウンリストから システム を選択して、設定 > コントロールパネル を選択します。 |
2. |
3. |
追加 ボタンをクリックして、エントリを追加します。 |
4. |
指定したネットワークのサブネットマスクを入力します。例:24, 255.255.240.0.これはホストに適用されます。 | |
5. |
6. |
7. |
OK をクリックして続行します。 |
ローカル Web サーバの設定を構成し、管理者コンソール、システム管理コンソール、およびユーザーコンソールへのアクセスを許可するホストの許可リストを指定します。許可リストを作成すると、アクセスが許可リストにあるホストに制限されます。
1. |
◦ |
アプライアンスで組織コンポーネントが有効化されていない場合は、アプライアンス管理者コンソール(https://appliance_hostname/admin)にログインして、設定 > コントロールパネル を選択します。 |
◦ |
アプライアンスで組織コンポーネントが有効化されている場合は、アプライアンスシステム管理コンソール(https://appliance_hostname/system)にログインします。または、ページの右上隅にあるドロップダウンリストから システム を選択して、設定 > コントロールパネル を選択します。 |
2. |
このオプションを選択すると、許可リストにあるWebアドレスへのアクセスが制限されます。指定したターゲットに加え、アプライアンスのサブネット上の IP アドレスにアクセスできるようにするには、アプライアンスと同じサブネット上のすべての IP アドレスを許可する を選択します。 |
4. |
| |||||||||
許可するサブネットマスク/CIDR(Classless Inter-Domain Routing)を入力します。これを使用することで、より詳細にサブネットを制御できます。 |
6. |
7. |
8. |
OK をクリックして続行します。 |
アプライアンスのセキュリティ設定を構成して、SAMBA共有、SSL、SNMP、SSH、データベースアクセス、FTPアクセスなどの特定の機能を有効にする必要があります。
SSL を有効にするには、正しい SSL プライベートキーファイルと署名された SSL 証明書が必要です。プライベートキーにパスワードが設定されている場合、アプライアンスを自動的に再起動できません。この問題がある場合は、Questサポート(https://support.quest.com/contact-support)にお問い合わせください。
|
1. |
◦ |
アプライアンスで組織コンポーネントが有効化されていない場合は、アプライアンス管理者コンソール(https://appliance_hostname/admin)にログインして、設定 > コントロールパネル を選択します。 |
◦ |
アプライアンスで組織コンポーネントが有効化されている場合は、アプライアンスシステム管理コンソール(https://appliance_hostname/system)にログインします。または、ページの右上隅にあるドロップダウンリストから システム を選択して、設定 > コントロールパネル を選択します。 |
2. |
4. |
2 要素認証 タブで、2 要素認証(2FA)機能を設定します。2FA は、ログインプロセスにさらにステップを追加することで、ユーザーがアプライアンスにログインするためのセキュリティを強化します。これは、Google Authenticator アプリケーションに依存して検証コードを生成します。このアプリは、定期的に新しい 6 桁のコードを生成します。有効にすると、エンドユーザーはログインするたびに現在の検証コードを要求されます。 |
a. |
次のオプションを指定します。有効にすると、これらは優先順位の順に、上から下へと表示されます。例えば、以前ユーザーコンソールに 2FA を設定している場合、2FA は管理者コンソールに対してのみ有効にすることができます。 |
▪ |
システムポータルで 2 要素認証を有効にする:システム管理コンソールに 2FA を使用する場合は、このチェックボックスをオンにします。すべてのユーザーに対して 2FA を有効にするには、すべてのユーザーに必須 を選択します。 |
▪ |
admin ポータルで 2 要素認証を有効にする:このオプションは、システム管理コンソールに 2FA を有効にした場合、またはアプライアンスに設定されている組織が 1 つだけの場合にのみ表示されます。管理者コンソールに 2FA を使用する場合は、このチェックボックスをオンにします。次に、以下のオプションのいずれかを選択して、ログイン時に 2FA を必要とするユーザーを指定します。 |
▪ |
すべてのユーザーに必須:1 つの組織が設定されているアプライアンスのみ。すべてのユーザーに対して 2FA を有効にするには、このオプションを選択します。 |
▪ |
▪ |
▪ |
▪ |
ユーザーポータルで 2 要素認証を有効にする:このオプションは、管理者コンソールで 2FA を有効にした場合にのみ表示されます。ユーザーコンソールに 2FA を使用する場合は、このチェックボックスをオンにします。次に、以下のオプションのいずれかを選択して、ログイン時に 2FA を必要とするユーザーを指定します。 |
▪ |
組織によって定義:必要に応じて、ユーザーコンソールで各組織のすべてのユーザーに同じ 2FA の設定を適用します。 |
▪ |
すべてのユーザーに必須:ユーザーコンソールのすべてのユーザーに対して 2FA を有効にします。 |
▪ |
必須でありません:ユーザーコンソールのすべてのユーザーに対して 2FA を無効にします。 |
b. |
移行ウィンドウ の下で、2FA を必要とするユーザーが 2FA の設定手順をバイパスできる時間を指定します。 |
5. |
ブルートフォース防止 領域の設定を使用すると、複数回の連続した攻撃で偽の資格情報を使用してアプライアンスへのアクセスを取得することを防止できます。指定された期間内での認証試行の失敗回数を設定でき、この回数を超えると、アプライアンスはそのユーザーがログインできないようにします。 |
6. |
オプション:アプライアンスの暗号化キー セクションで、キーの生成 をクリックして新しい暗号化キーを生成します。このキーを使用して、Questサポートがテザリングを使用してトラブルシューティングのためにアプライアンスにアクセスできるようにします。現在のキーが侵害されたと考えられる場合以外は、新しいキーを生成する必要はありません。詳細については、「Quest KACE サポートへの tether を有効にする」を参照してください。 |
7. |
シングルサインオン タブで、認証設定を指定します。 |
アプライアンスでシングルサインオンを使用できないようにします。シングルサインオンを使用すると、ドメインにログオンしているユーザーが、アプライアンスのログインページに資格情報を再入力する必要なく、アプライアンス 管理者コンソール と ユーザーコンソール にアクセスできるようになります。 | |
認証にActive Directoryを使用します。Active Directoryでは、ドメインを使用して、ネットワーク上のユーザーを認証します。詳細については、「Active Directory を使用したシングルサインオン」を参照してください。 |
8. |
SAMBA タブで、各設定を次のように指定します。 |
アプライアンスのクライアント共有を使用して、ファイル(管理対象デバイスにアプリケーションをインストールする際に使用するファイルなど)を保存します。 | |||||||||||||||||||||
Samba 最小プロトコル、Samba 最大プロトコル |
必要に応じて、最小と最大の Samba プロトコルを選択します。各設定では、次のオプションを使用できます。
| ||||||||||||||||||||
アプライアンスファイル共有に対する NTLMv2 認証を有効にします。このオプションを有効にした場合は、アプライアンスファイル共有に接続する管理対象デバイスは NTLMv2 をサポートし、NTLMv2 を使用してアプライアンスに対する認証を受ける必要があります。NTLMv2は、NTLMやLANMANよりも安全ですが、非NTLMv2設定の方がより一般的なため、通常、このオプションはオフになっています。このオプションを有効にすると、Samba サーバーで lanman auth と ntlm auth が無効になります。NTLMv2レベル1~4がサポートされています。NTLM v2 レベル 5 が必要な場合は、KACE エージェントの手動プロビジョニングを検討してください。詳細については、「KACE エージェントを手動展開する」を参照してください。 | |||||||||||||||||||||
エージェントのプロビジョニングなど、Samba クライアントを介してサポートされるアプライアンスの特定の機能が、NTLMv2 を使用して強制的にオフボードネットワークファイル共有に対する認証を受けるようにします。NTLMv2は、NTLMやLANMANよりも安全ですが、非NTLMv2設定の方がより一般的なため、通常、このオプションは無効になっています。このオプションを有効にすると、SAMBAクライアント機能の client ntlmv2 auth オプションが有効になります。 |
9. |
アプライアンスに対するポート80経由のアクセスを有効にします。 ポート 80 接続を無効にする場合は、Questサポートに問い合わせて、SSL を処理するエージェント展開スクリプトを調整してください。 | |
SSL が期待どおりに動作していることを確認すると、ポート 80 からポート 443 へのすべての通信の転送を有効にできます。この転送を有効にする場合は、このチェックボックスをオンにします。 | |
管理対象デバイスが、SSL(HTTPS)を使用してアプライアンスに接続できるようにします。 この設定は、非SSLモードのLANにアプライアンスを適切に展開した後で有効にする必要があります。 SSL を有効にするには、手順 10 の説明に従って SSL 証明書をロードする必要があります。 |
1. |
PEM SSL 証明書のアップロード を選択します。 |
2. |
SSLプライベートキーファイル フィールドと SSL 証明書ファイル フィールドで、プライベートキーと証明書ファイルを選択します。 |
3. |
SSL 中間証明書(PEM 形式も含む)を有効にしてアップロードする場合は、SSL 中間証明書を有効にする を選択します。SSL 中間証明書は、証明書発行者がルート証明書のプロキシとして提供する署名付き証明書です。 |
1. |
PKCS-12 SSL 証明書のアップロード を選択します。 |
2. |
PKCS-12 ファイル フィールドで、ファイルを選択します。 |
3. |
PPKCS-12 ファイルのパスワード フィールドに、PKCS-12 ファイルのパスワードを入力します。 |
1. |
Let's Encrypt SSL 証明書の適用 をクリックします。Let’s Encrypt は、無料の、自動化された、オープンな認証局(CA)です。Let's Encrypt から証明書を取得すると、チャレンジを使用してその証明書のドメイン名が制御されていることが証明書のサーバによって検証されます。 |
2. |
E メールアドレス フィールドに、E メールアドレスを入力します。Let's Encrypt 証明書は、定期的に有効期限が切れますが、アプライアンスは自動プロセスを使用して、有効期限が切れる前に証明書を更新します。このアドレスは、証明書の有効期限が切れた場合に、Let's Encrypt との通信に使用されます。この E メールアドレスを使用して登録された Let's Encrypt アカウントが必要です。 |
1. |
CSR(証明書署名要求)または自己署名 SSL 証明書を生成します をクリックします。 |
11. |
CSP タブで、CSP の有効化 チェックボックスをオンにして、CSP(コンテンツセキュリティポリシー)を有効にします。このチェックボックスを有効にすると、KACE の信頼済みドメインのリストが自動的に追加されます。 |
◦ |
12. |
◦ |
チケットに添付されたファイルについてセキュリティを有効にする場合は、チェックボックスをオンにします。このオプションを選択した場合、ユーザーはアプライアンスの管理者コンソールまたはユーザーコンソール内からのみ、チケットに添付されたファイルにアクセスできます。 |
◦ |
13. |
保存してサービスを再起動 をクリックして変更を保存し、アプライアンスを再起動します。 |
NOTE: ポート 443 へのアクセスを有効にしてアプライアンスを再起動した後で、管理者コンソールのログインページが Firefox ブラウザで正しく表示されないことがあります。この問題が発生した場合は、FirefoxブラウザのキャッシュとCookieを削除して、もう一度やり直してください。 |
© ALL RIGHTS RESERVED. Terms of Use Privacy Cookie Preference Center