ディレクトリ認証とは - Security Center 5.8

Security Center 管理者ガイド 5.8

series
Security Center 5.8
revised_modified
2019-09-17

ディレクトリ認証は、特定のマシン上のすべてのクライアントおよびサーバーアプリケーションが Directory に接続する前に Directory の ID 証明書を強制的に検証する Security Center のオプションです。この処置により、中間者攻撃を防止できます。

ディレクトリ認証が必要な場合

ディレクトリ認証の目的は、中間者攻撃 (MITM)攻撃からの保護です。インターネット (または信頼できないネットワーク) 経由でシステムに接続するアプリケーションが存在しない場合、このタイプの攻撃が発生する可能性は非常に低くなります。その場合は、このオプションを有効にしなくてもおそらく安全です。

ID 証明書とは

ID 証明書は、デジタル証明書または公開キー証明書とも呼ばれ、コンピューターまたは組織がパブリックネットワークを介して情報を安全に交換できるようにするデジタル署名済みのドキュメントです。この証明書には、所有者の ID、所有者に今後送信されるメッセージを暗号化するために使用される公開キー、および認証局のデジタル署名 (CA) に関する情報が含まれています。

しくみ

Security Center のサーバーコンポーネントをインストールすると、ローカルコンピューターの証明書ストアに GenetecServer-{MachineName} という名前の自己署名証明書が自動的に作成されます。現在の証明書は、Server Admin のサーバーページの [保護された通信] セクションで確認できます。

この自己署名証明書は、メインサーバーに対する拡張サーバーを識別するために使用されます。これにより、メインサーバーに接続するために使用するパスワードを拡張サーバーにローカルに保存する必要はありません。

ディレクトリ認証は、Security Center のインストール時に推奨されるセキュリティ設定を選択するか、カスタムセキュリティ設定の選択時に [ディレクトリ認証を常に検証する] を選択すると、有効になります。

要確認: ディレクトリ認証を有効にする場合は、メインサーバー上の自己署名証明書を信頼された 認証局 (CA). この CA は、内部の CA でもサードパーティの CA でも構いません。これにより、基礎となるメカニズムをユーザーに意識させずに、高度なセキュリティで保護されたシステムを導入できます。

メインサーバーに自己署名証明書を保持する場合は、初めてワークステーションを使用して Directory に接続するときに、Directory サーバーを信頼できるかどうかをユーザーに確認するメッセージが表示されます。

ユーザーがメインサーバーを信頼できることを確認すると、証明書がホワイトリストに登録され、その後はこのダイアログボックスが表示されなくなります。

拡張サーバーについても同じ確認が必要です。Server Admin を使用して初めて拡張サーバーにログオンするときに、ダッシュボードに次のメッセージが表示されます。

[メインサーバー接続] をクリックし、表示されたダイアログボックスで [証明書を受け入れる] をクリックする必要があります。

メインサーバーを確認した後は、メインサーバーと拡張サーバーのどちらかでパスワードまたは証明書を変更でき、変更時に 2 つのサーバーが接続されている限り、信頼を再確認する必要はありません。

要件

ディレクトリ認証が機能するには、次の条件を満たす必要があります。
  • ネットワーク上で DNS が構成されていること。サーバーとクライアントワークステーションがメインサーバー名を解決できること。
  • DNS によって、メインサーバー名がディレクトリ証明書に記載されている共通名に解決されること。
  • クライアントワークステーションと拡張サーバーが、メインサーバーによって提供される証明書を信頼できること。そうでない場合は、特定のマシンを使用して初めてメインサーバーに接続するときに、常にユーザーの介入が必要になります。

インストール後にこの設定を変更する方法

ソフトウェアのインストール後にディレクトリ認証の設定を変更するには、設定を変更する各コンピューター上の GeneralSettings.gconfig ファイルを編集する必要があります。