SharePlexは、すべてのネットワークトラフィックに対してSSL/TLS接続を有効にする機能を備えています。これにより、SharePlexインスタンス間およびSharePlexとコマンド・ライン・インターフェイス間でネットワーク上のデータが暗号化されます。
SSL/TLSが有効な場合、SharePlexはSSL/TLS接続のみを受け入れます。相互にレプリケートするすべてのSharePlexインスタンスでは、すべてのSSL/TLSを有効にするか、すべてのSSL/TLSを無効にする必要があります。SSL/TLS設定にはネットワークパスワードが含まれています。このパスワードは、すべてのSharePlexインスタンスで同じである必要があります。
注意: TLS接続の場合、SharePlexはTLS1.2(またはそれ以降)をサポートしています。
SSL/TLSの設定を変更するには:
SharePlexネットワーク通信のSSL/TLS設定を有効、無効、または表示するには、sp_securityユーティリティを使用します。
重要! SSL/TLSは、共通のネットワークパスワードを使用して有効にするか、SharePlexのすべてのインストールで無効にする必要があります。
SSL/TLSを有効にするには:
sp_security --setupを実行し、SSL/TLSオプションを選択して、ネットワークパスワードを入力します。
% sp_security --setup Security Setup Wizard --------------------- This wizard will walk you through setting up the SharePlex network security. Setup configuration for '/home/shareplex/var110/' and Port 2100 [N]: Y Choose your network security model. Please note the following: * Cop must be down when the security model is changed, or when the network password is changed * The same model must be used among all SharePlex nodes replicating to each other * For security model [1], the same network password must be set on all SharePlex nodes replicating to each other [1] Use basic SSL/TLS connections [2] Use non-SSL/TLS connections (default prior to SharePlex 9.1.3) Security model: 1 Please enter a network password that will be used for authentication among the SharePlex nodes. All SharePlex nodes that replicate data to each other must have the same network password. Network password: Please re-enter the network password Network password: Security settings: Configuration for '/home/shareplex/var110/' and Port 2100: Security model : SSL/TLS Network password : stored for unattended startup SSL key file password : stored for unattended startup SSL key file : key.pem SSL cert file : cert.pem Setup complete!
重要! SSL/TLSは、共通のネットワークパスワードを使用して有効にするか、SharePlexのすべてのインストールで無効にする必要があります。
SSL/TLSを無効にするには:
「sp_security --setup」を実行して、非SSL/TLS接続を選択します。
% sp_security --setup Security Setup Wizard --------------------- This wizard will walk you through setting up the SharePlex network security. Setup configuration for '/home/shareplex/var110/' and Port 2100 [N]: Y Choose your network security model. Please note the following: * Cop must be down when the security model is changed, or when the network password is changed * The same model must be used among all SharePlex nodes replicating to each other * For security model [1], the same network password must be set on all SharePlex nodes replicating to each other [1] Use basic SSL/TLS connections [2] Use non-SSL/TLS connections (default prior to SharePlex 9.1.3) Security model: 2 Security settings: Configuration for '/home/shareplex/var110/' and Port 2100: Security model : Un-encrypted Setup complete!
現在のSSL/TLS設定を表示するには:
「sp_security --show」を実行します。
% sp_security --show Security settings: Configuration for '/home/shareplex/var110/' and Port 210: Security model : Un-encrypted
SharePlexは、特定のリモートシステム上のSharePlexプロセスが、サービスやコマンド要求のためにローカルシステムへの接続を許可されているかどうかを検証する、ホスト認証セキュリティを提供します。ホスト認証を実装するには、SharePlex変数データディレクトリのdataサブディレクトリにauth_hostsという名前のASCIIテキストファイルを作成し、そのファイルに接続許可を与えるシステムの名前を入力します。
auth_hostsファイルを設定するには:
注意: コメント行の先頭にはポンド記号(#)を付けます。
コメント以外の次の行に、以下のいずれかを入力します。
値 | 説明 |
---|---|
all | すべてのリモートシステム上のプロセスに接続権限を付与します。 |
hostname | 指定されたホストに接続権限を付与します。完全修飾マシン名を入力します。例: remotehost.mycorp.com。必要なだけホスト名を指定できますが、1行につき1つのホスト名を指定します。 |
ローカルホストの名前が、コメント以外の最初の行で指定されていることに注意してください。
#Comment: first line is local host name. Localhost.mycorp.com #Comment: remaining lines are remote hosts. remotehost.mycorp.com remotehost2.mycorp.com remotehost3.mycorp.com |
SharePlexは、SSH® Secure ShellTMユーティリティを使用して、安全でないネットワーク経由の安全なリモートログインなどのネットワークサービスやその他のサービスに暗号化を提供します。
SSHを使うようにSharePlexをセットアップするには:
ソースシステムで、コマンドプロンプトから以下のコマンドを発行します。このコマンドは、ターゲットシステムに接続してトンネルをセットアップします。
$ ssh -L source_port:target_host:target_port userid@target_host -N -f
ここで
これらのコマンドの詳細については、SSHのドキュメントを参照してください。
(複数のSharePlexインスタンスを使用する場合)ソースシステムで、SSHをセットアップしているsp_copのインスタンスの正しい変数データディレクトリをエクスポートします。
kshシェル:
export SP_SYS_VARDIR=/full_path_of_variable-data_directory
cshシェル:
setenv SP_SYS_VARDIR=/full_path_of_variable-data_directory
sp_ctrlで、以下のいずれかの方法でSP_XPT_USE_LOCALHOSTパラメータを設定します。
sp_ctrl> set param SP_XPT_USE_LOCALHOST 1
sp_ctrl> set param SP_XPT_USE_LOCALHOST to host 1
ここで、hostはトンネルを使用するターゲットシステムの名前です。
sp_ctrlで、modifiedオプションを指定してlist paramコマンドを使用して、パラメータ設定を確認します。設定が正しい場合は、この時点で設定をアクティベーションすることができます。
sp_ctrl> list param modified
アクティブな設定がある場合は、sp_copを停止してから開始し、新しいパラメータ設定をアクティブにします。
sp_copを停止するには:
sp_ctrl> shutdown /productdir/bin/sp_cop &
sp_copを開始するには:
$ /productdir/bin/sp_cop &
SSL/TLSを使用したくないが、ExportとImportの間のデータを暗号化したい場合は、この機能を使用することで実現できます。
SharePlexはネットワーク全体でレプリケートされたデータを暗号化するように設定できます。SharePlexはAES(Advanced Encryption Standard)暗号化を使用します。
暗号化はソースシステムとターゲットシステムで有効にする必要があります。Exportプロセスを介して暗号化を有効にし、キーのサイズを設定します。Importプロセスを設定して、ソースで暗号化が有効になっていることを確認し、暗号化されていないデータがネットワーク経由で送信されないようにします。
暗号化を設定する場合は、以下のガイドラインに従ってください。
ソースシステムでの手順:
ExportパラメータのExport parameterSP_XPT_ENABLE_AESを1に設定します。これにより暗号化が有効になります。
sp_ctrl> set param sp_xpt_enable_aes 1
create encryption key(暗号化キーの作成)コマンドを実行してキーを作成します。
sp_ctrl> create encryption key
以下はキーの例です。
E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4
(オプション)SP_XPT_AES_KEY_LENGTHパラメータを設定して、キーサイズを大きくします。
create encryption keyコマンドは、ランダムに生成された256ビットのAESキーを返します。デフォルトでは、SharePlexはこの長さの128ビットを使用してデータを暗号化します。
SharePlexが使用するキー長を長くするには、SP_XPT_AES_KEY_LENGTHパラメーターを192ビットまたは256ビットに設定します。長くするとキーのハッキングは難しくなりますが、CPUに多くの処理能力が必要になります。
sp_ctrl> set param sp_xpt_aes_key_length {192 | 256}
例: set param sp_xpt_aes_key_length 256
set encryption key(暗号化キーの設定)コマンドを実行します。これにより、キーがExport設定に追加されます。
sp_ctrl> set encryption key key_value
例: set encryption key E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4
設定をアクティベーションするためにExportを再起動します。
sp_ctrl> stop export
sp_ctrl> start export
ターゲットシステムでの手順:
SP_IMP_ENABLE_AESパラメータを1に設定します。これにより、ターゲットのSharePlexが暗号化されていないデータを受け入れないようにします。
set encryption key(暗号化キーの設定)コマンドを、Exportに設定したのと同じキー値を使用して実行します。ソースとターゲットのキー値は一致する必要があります。
sp_ctrl>set encryption key key_value
例: set encryption key E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4
設定を有効にするためにImportを再起動します。
sp_ctrl> stop import
sp_ctrl> start import
ソースシステムとターゲットシステムでこのコマンドを発行し、両方のキー値が一致していることを確認します。
sp_ctrl> show encryption key
© 2024 Quest Software Inc. ALL RIGHTS RESERVED. 使用条款 隐私 Cookie Preference Center