SharePlex 11.4 - 管理者ガイド

SSL/TLSが有効な場合、SharePlexはSSL/TLS接続のみを受け入れます。相互にレプリケートするすべてのSharePlexインスタンスでは、すべてのSSL/TLSを有効にするか、すべてのSSL/TLSを無効にする必要があります。SSL/TLS設定にはネットワークパスワードが含まれています。このパスワードは、すべてのSharePlexインスタンスで同じである必要があります。

注意: TLS接続の場合、SharePlexはTLS1.2（またはそれ以降）をサポートしています。

SSL/TLSの設定を変更するには:

すべてのノードでsp_copをシャットダウンします
すべてのノードで「sp_security --setup」を実行します
すべてのノードでsp_copを開始します

SharePlexネットワーク通信のSSL/TLS設定を有効、無効、または表示するには、sp_securityユーティリティを使用します。

SSL/TLSを有効にする

重要! SSL/TLSは、共通のネットワークパスワードを使用して有効にするか、SharePlexのすべてのインストールで無効にする必要があります。

SSL/TLSを有効にするには:

sp_security --setupを実行し、SSL/TLSオプションを選択して、ネットワークパスワードを入力します。

% sp_security --setup Security Setup Wizard --------------------- This wizard will walk you through setting up the SharePlex network security. Setup configuration for '/home/shareplex/var110/' and Port 2100 [N]: Y Choose your network security model. Please note the following: * Cop must be down when the security model is changed, or when the network password is changed * The same model must be used among all SharePlex nodes replicating to each other * For security model [1], the same network password must be set on all SharePlex nodes replicating to each other [1] Use basic SSL/TLS connections [2] Use non-SSL/TLS connections (default prior to SharePlex 9.1.3) Security model: 1 Please enter a network password that will be used for authentication among the SharePlex nodes. All SharePlex nodes that replicate data to each other must have the same network password. Network password: Please re-enter the network password Network password: Security settings: Configuration for '/home/shareplex/var110/' and Port 2100: Security model : SSL/TLS Network password : stored for unattended startup SSL key file password : stored for unattended startup SSL key file : key.pem SSL cert file : cert.pem Setup complete!

SSL/TLSを無効にする

重要! SSL/TLSは、共通のネットワークパスワードを使用して有効にするか、SharePlexのすべてのインストールで無効にする必要があります。

SSL/TLSを無効にするには:

「sp_security --setup」を実行して、非SSL/TLS接続を選択します。

現在のSSL/TLS設定を表示する

現在のSSL/TLS設定を表示するには:

「sp_security --show」を実行します。

% sp_security --show Security settings: Configuration for '/home/shareplex/var110/' and Port 210: Security model : Un-encrypted

ホスト認証

セキュリティ機能の設定 > ホスト認証

SharePlexは、特定のリモートシステム上のSharePlexプロセスが、サービスやコマンド要求のためにローカルシステムへの接続を許可されているかどうかを検証する、ホスト認証セキュリティを提供します。ホスト認証を実装するには、SharePlex変数データディレクトリのdataサブディレクトリにauth_hostsという名前のASCIIテキストファイルを作成し、そのファイルに接続許可を与えるシステムの名前を入力します。

要件

使用する場合は、auth_hostsファイルに有効なエントリが含まれている必要があります。このファイルが存在するが、空であるか無効なエントリが含まれている場合、SharePlexは次の例のようなエラーメッセージをイベントログに送信します: unauthorized connection attempt（不正な接続の試み）。
auth_hostsファイルがシステムに存在しない場合、SharePlexは、sp_copに接続しようとするすべてのシステムからのすべての要求を受け入れます。
ローカルシステムの名前は、このファイルのコメント以外の最初の行でなければなりません。そうでない場合、ホスト認証は機能しません。
コメントを含むすべてのエントリは、リターンキーで終わる必要があります。

auth_hostsファイルを設定するには:

注意: コメント行の先頭にはポンド記号（#）を付けます。

vi（UnixおよびLinux）などのASCIIテキストエディタを実行して、空のファイルを開きます。UnixおよびLinuxのテキストエディタを使用している場合は、エディタを実行する前に、ディレクトリをSharePlex変数データディレクトリのdataサブディレクトリに変更してください。
コメント以外の最初の行に、ローカルシステムの正確なマシン名を入力します。例: Localhost.mycorp.com。

コメント以外の次の行に、以下のいずれかを入力します。

値	説明
all	すべてのリモートシステム上のプロセスに接続権限を付与します。
hostname	指定されたホストに接続権限を付与します。完全修飾マシン名を入力します。例: remotehost.mycorp.com。必要なだけホスト名を指定できますが、1行につき1つのホスト名を指定します。

ファイルをauth_hostsとして、SharePlex変数データディレクトリのdataサブディレクトリに保存します。sp_copの複数のインスタンスを実行する場合は、ファイルを正しい変数データディレクトリに保存していることを確認してください。

例

ローカルホストの名前が、コメント以外の最初の行で指定されていることに注意してください。

#Comment: first line is local host name.

Localhost.mycorp.com

#Comment: remaining lines are remote hosts.

remotehost.mycorp.com

remotehost2.mycorp.com

remotehost3.mycorp.com

SSHによるデータの保護

セキュリティ機能の設定 > SSHによるデータの保護

SharePlexは、SSH® Secure ShellTMユーティリティを使用して、安全でないネットワーク経由の安全なリモートログインなどのネットワークサービスやその他のサービスに暗号化を提供します。

要件

SSHソフトウェアを購入し、インストールします。SSHはSharePlexには含まれていません。
SharePlexでSSHを使用するには、SSH設定内でローカルポート転送（トンネリングとも呼ばれる）を使用する必要があります。ポート転送を使用すると、安全なSSHセッションを確立し、それを介してTCP接続をトンネルすることができます。
SharePlexは、ソースシステムと1つのターゲットシステム間でSSHソフトウェアと連携するように設定できます。ソースを複数のターゲットにレプリケートする場合は、SSHを使用して設定できるルートは1つだけです。
この機能はUnixおよびLinuxでサポートされています。

SSHを使うようにSharePlexをセットアップするには:

ソースシステムとターゲットシステムで、トンネルポートとして使用する利用可能なローカルポートを選択します。ピアツーピアおよび高可用性レプリケーションの場合、ポートは両方のシステムで同じ番号にする必要があります。その他のレプリケーション戦略の場合は、各システムで異なるポートを選択します。
ソースシステムで、コマンドプロンプトから以下のコマンドを発行します。このコマンドは、ターゲットシステムに接続してトンネルをセットアップします。

$ ssh -L source_port:target_host:target_port userid@target_host -N -f

ここで
- -Lは、ローカルホストの指定されたポート（クライアントとして機能）を、リモートホストとポートに転送することを指定します。
- source_portはソースシステムのポート番号です。
- target_hostはターゲットシステムの名前です。
- target_portはターゲットシステムのポートです。
- useridは、UnixおよびLinuxユーザIDです。パスワードの入力を求められます。
- -Nは、リモートコマンドを実行しないことを指定します。これは、ポートの転送だけに使用されます（プロトコルバージョン2のみ）。
- -fは、コマンド実行の直前にSSHシェルをバックグラウンドで強制的に動作させます。この引数を省略する場合は、使用しているターミナルウィンドウを開いておく必要があります。SSHはnohupでは開始することはできません。
これらのコマンドの詳細については、SSHのドキュメントを参照してください。
（複数のSharePlexインスタンスを使用する場合）ソースシステムで、SSHをセットアップしているsp_copのインスタンスの正しい変数データディレクトリをエクスポートします。

kshシェル:

export SP_SYS_VARDIR=/full_path_of_variable-data_directory

cshシェル:

setenv SP_SYS_VARDIR=/full_path_of_variable-data_directory
ソースシステムで、sp_copを開始します。
ソースシステムで、製品ディレクトリのbinサブディレクトリからsp_ctrlを実行します。
sp_ctrlで、以下のいずれかの方法でSP_XPT_USE_LOCALHOSTパラメータを設定します。
- ターゲットシステムが1つしかない場合は、以下の構文でパラメータを設定します。
  sp_ctrl> set param SP_XPT_USE_LOCALHOST 1
- ターゲットが複数ある場合は、以下のコマンドを使用して、SSHを使用するターゲットへのトンネルをセットアップします。残りのターゲットシステムへのレプリケーションは、通常の方法で直接接続します。
  sp_ctrl> set param SP_XPT_USE_LOCALHOST to host 1
ここで、hostはトンネルを使用するターゲットシステムの名前です。
sp_ctrlで、modifiedオプションを指定してlist paramコマンドを使用して、パラメータ設定を確認します。設定が正しい場合は、この時点で設定をアクティベーションすることができます。

sp_ctrl> list param modified
アクティブな設定がある場合は、sp_copを停止してから開始し、新しいパラメータ設定をアクティブにします。

sp_copを停止するには:

sp_ctrl> shutdown /productdir/bin/sp_cop &

sp_copを開始するには:

$ /productdir/bin/sp_cop &

エクスポートとインポート間のデータの暗号化

セキュリティ機能の設定 > エクスポートとインポート間のデータの暗号化

SSL/TLSを使用したくないが、ExportとImportの間のデータを暗号化したい場合は、この機能を使用することで実現できます。

SharePlexはネットワーク全体でレプリケートされたデータを暗号化するように設定できます。SharePlexはAES（Advanced Encryption Standard）暗号化を使用します。

暗号化のガイドライン

暗号化はソースシステムとターゲットシステムで有効にする必要があります。Exportプロセスを介して暗号化を有効にし、キーのサイズを設定します。Importプロセスを設定して、ソースで暗号化が有効になっていることを確認し、暗号化されていないデータがネットワーク経由で送信されないようにします。

暗号化を設定する場合は、以下のガイドラインに従ってください。

SharePlexインスタンスのすべてのExportプロセスに1つの暗号化キーを使用します。
暗号化を使用するには、SharePlexがバージョンが9.1以降である必要があります。

暗号化手順

ソースシステムでの手順:

ExportパラメータのExport parameterSP_XPT_ENABLE_AESを1に設定します。これにより暗号化が有効になります。

sp_ctrl> set param sp_xpt_enable_aes 1
create encryption key（暗号化キーの作成）コマンドを実行してキーを作成します。

sp_ctrl> create encryption key

以下はキーの例です。
E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4
（オプション）SP_XPT_AES_KEY_LENGTHパラメータを設定して、キーサイズを大きくします。

create encryption keyコマンドは、ランダムに生成された256ビットのAESキーを返します。デフォルトでは、SharePlexはこの長さの128ビットを使用してデータを暗号化します。

SharePlexが使用するキー長を長くするには、SP_XPT_AES_KEY_LENGTHパラメーターを192ビットまたは256ビットに設定します。長くするとキーのハッキングは難しくなりますが、CPUに多くの処理能力が必要になります。

sp_ctrl> set param sp_xpt_aes_key_length {192 | 256}

例: set param sp_xpt_aes_key_length 256
set encryption key（暗号化キーの設定）コマンドを実行します。これにより、キーがExport設定に追加されます。

sp_ctrl> set encryption key key_value

例: set encryption key E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4
設定をアクティベーションするためにExportを再起動します。

sp_ctrl> stop export

sp_ctrl> start export

ターゲットシステムでの手順:

SP_IMP_ENABLE_AESパラメータを1に設定します。これにより、ターゲットのSharePlexが暗号化されていないデータを受け入れないようにします。
set encryption key（暗号化キーの設定）コマンドを、Exportに設定したのと同じキー値を使用して実行します。ソースとターゲットのキー値は一致する必要があります。

sp_ctrl>set encryption key key_value

例: set encryption key E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4
設定を有効にするためにImportを再起動します。

sp_ctrl> stop import

sp_ctrl> start import

暗号化キーの表示

ソースシステムとターゲットシステムでこのコマンドを発行し、両方のキー値が一致していることを確認します。

sp_ctrl> show encryption key

Please select your product:

To serve you better, please complete the Purpose of your Chat:

Recommended Solutions for Your Problem