Windows 権限を設定する
Firefox 3. 5 以降でセキュリティ証明書をインストールする
Firefox 3.5 以降を使用しているときに、ログオン時にダイアログ ボックスが表示されないようにセキュリティ証明 書をインストールできます。
タスク
1 ブラウザーから ePolicy Orchestrator を起動します。[安全な接続ができませんでした] ページが表示されま す。
2 ページの下にある [例外として扱うこともできます] をクリックします。ページに [例外の追加] ボタンが表示さ れます。
3 [例外の追加] をクリックします。[セキュリティ例外の追加] ダイアログ ボックスが表示されます。
4 [証明書を取得] をクリックします。証明書のステータス情報が更新され、[セキュリティ例外を確認] ボタンが有
効になります。
5 [次回以降にもこの例外を有効にする] を選択して [セキュリティ例外を承認] をクリックします。
ePolicy Orchestrator にログオンしたときに、証明書のプロンプトが表示されなくなります。
OpenSSL で自己署名証明書を作成する
認証局が発行した証明書を使用できない場合や不要な場合があります。また、このような証明書が間に合わない場合 もあります。初期のテストや、内部ネットワークで使用するシステムの場合、自己署名証明書を使用すると、基本的 なセキュリティと必要な機能を提供することができます。
開始する前に
自己署名証明書を作成するには、Windows 用の OpenSSL が必要です。OpenSSL は次の場所から入 手できます。
http://www.slproweb.com/products/Win32OpenSSL.html
McAfee ePO サーバーで使用する証明書を作成して自己署名するには、Windows 用の OpenSSL を使用します。
自己署名証明書の作成には他のツールも使用できます。ここでは、OpenSSL を使用する場合のプロセスについて説明 します。
このタスクで使用するファイル構造は次のとおりです。
デフォルトでは、OpenSSL はこれらのフォルダーを作成しません。以下の例では、これらのフォルダーを使用しま す。フォルダーを作成しておくと、出力ファイルを簡単に見つけることができます。
• [C:\ssl\] - OpenSSL のインストール フォルダー
• [C:\ssl\certs\] - 作成する証明書の保存場所
• [C:\ssl\keys\] - 作成するキーの保存場所
• [C:\ssl\requests\] - 作成する証明書要求の保存場所
タスク
1 コマンドラインで以下のコマンドを入力して、初期の証明書キーを生成します。
C:\ssl\bin>openssl genrsa -des3 -out C:/ssl/keys/ca.key 1024 次の画面が表示されます。
2 最初のコマンド プロンプトでパスフレーズを入力します。確認のため、次のコマンド プロンプトでも同じパスフ レーズを入力します。
入力したパスフレーズは記録しておいてください。プロセスの後半で必要になります。
ca.key という名前のファイルが生成され、C:\ssl\keys\ に保存されます。
次のようなキーが生成されます。
3 コマンドラインで以下のコマンドを入力して、作成した証明書キーに自己署名します。
openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cer 次の画面が表示されます。
以下のコマンド プロンプトで必要な情報を入力します。
• Country Name (2 letter code) [AU]:
• State or Province Name (full name) [Some-State]:
• Locality Name (eg, city) []:
• Organization Name (eg, company) [Internet Widgits Pty Ltd]:
• Organizational Unit Name (eg, section) []:
• Common Name (eg, YOUR name) []:
このコマンド プロンプトで、サーバーの名前 (McAfee ePO サーバーの名前など) を入力します。
• Email Address []:
ca.cer という名前のファイルが生成され、C:\ssl\certs\ に保存されます。
次のような自己署名証明書が生成されます。
VeriSign や Microsoft Windows Enterprise Certificate Authority などの外部の認証局を使用する場合には、
ePolicy Orchestrator に署名済み証明書を作成してください。詳細については、KnowledgeBase の記事 KB72477 を参照してください。
4 証明書を McAfee ePO サーバーにアップロードして管理します。
その他の便利な OpenSSL コマンド
OpenSSL コマンドを使用すると、生成された PKCS12 証明書からキーを抽出して結合したり、パスワードで保護 された秘密鍵の PEM ファイルをパスワードで保護されていないファイルに変換することができます。
PKCS12 証明書に使用するコマンド
以下のコマンドは、証明書とキーの両方を含む PKCS12 証明書を 1 つのファイルに作成します。
説明 OpenSSL コマンドの形式
証明書とキーを 1 つのファイルに作成する openssl req -x509 -nodes -days 365 -newkey rsa:1024 -config path\openssl.cnf -keyout path
\pkcs12Example.pem -out path\pkcs12Example.pem 証明書の PKCS12 バージョンをエクスポートする openssl pkcs12 -export -out path
\pkcs12Example.pfx -in path
\pkcs12Example.pem -name " user_name_string "
以下のコマンドは、PKCS12 証明書に含まれる証明書とキーを分離します。
説明 OpenSSL コマンドの形式
.pfx ファイルから .pem キーを抽出する openssl pkcs12 -in pkcs12ExampleKey.pfx -out pkcs12ExampleKey.pem
キーのパスワードを削除する openssl rsa -in pkcs12ExampleKey.pem -out pkcs12ExampleKeyNoPW.pem
ePolicy Orchestrator サーバーは、pkcs12ExampleCert.pem を証 明書として使用し、pkcs12ExampleKey.pem をキー (またはパスワ ードで保護されていないキー pkcs12ExampleKeyNoPW.pem) とし て使用します。
パスワードで保護された秘密鍵の PEM ファイルを変換するコマンド
パスワードで保護された秘密鍵の PEM ファイルをパスワードで保護されていないファイルに変換するには、次のコ マンドを入力します。
openssl rsa -in C:\ssl\keys\key.pem -out C:\ssl\keys\keyNoPassword.pem
前の例で、C:\ssl\keys は、key.pem、keyNoPassword.pem という名前のファイルの入出力パスです。
既存の PVK ファイルを PEM ファイルに変換する
ePolicy Orchestrator のブラウザーは、PEM でエンコードされた秘密鍵に対応しています。パスワードで保護され た秘密鍵だけでなく、パスワードで保護されていない秘密鍵にも対応しています。OpenSSL を使用すると、PVK 形 式のキーを PEM 形式に変換できます。
開始する前に
PVK ファイルを変換するには、Windows 用の OpenSSL をインストールします。このソフトウェアは 次の場所から取得できます。
http://www.slproweb.com/products/Win32OpenSSL.html
Windows 用の OpenSSL を使用して、PVK 形式の証明書を PEM 形式に変換します。
タスク
1 以前に作成した PVK ファイルを PEM ファイルを変換するには、コマンドラインで次のコマンドを入力します。
openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl
\keys\myPrivateKey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd この例で、-passin と -passout はオプションの引数です。
2 プロンプトが表示されたら、元の PVK ファイルを作成したときに使用したパスワードを入力します。
前の例で -passout 引数を指定しないと、新しく作成した PEM 形式のキーはパスワードで保護されません。
権限セット
権限セットを使用すると、ソフトウェアで使用できる機能に対するアクセス権を制御できます。
ePolicy Orchestrator では、システムの様々な部分に対するアクセス権をユーザーに付与し、アクセスを制御する必
要があります。
目次
権限セットを管理する
ユーザー、グループ、権限セットの関係
ePolicy Orchestrator では、ユーザー、グループ、権限セットの関係によって項目へのアクセスが制御されていま す。
ユーザー
ユーザーには 2 つのカテゴリがあります。一つは管理者で、システム全体に対するフルアクセス権が付与されます。
もう一つは通常ユーザーです。通常ユーザーには、ePolicy Orchestrator でのアクセス レベルが定義された権限セ ットが割り当てられます。
ユーザー アカウントの作成と管理は、いくつかの方法で行うことができます。
• ユーザー アカウントを手動で作成し、各アカウントに適切な権限セットを割り当てます。
• ユーザーが Windows 認証でログオンできるように McAfee ePO サーバーを設定します。
ユーザーに Windows 認証情報によるログオンを許可するには、複数の設定を行い、コンポーネントをセットアップ する必要があります。このオプションの詳細については、「Active Directory による ePolicy Orchestrator ユーザ ーの管理」を参照してください。
ユーザー アカウントと権限セットは密接に関係していますが、これらは別々の方法で作成し、設定します。権限セッ トの詳細については、「権限セットを管理する」を参照してください。
管理者
管理者には、読み取り権限、書き込み権限、すべての操作の実行権限があります。サーバーをインストールすると、
管理者のアカウントが自動的に作成されます。デフォルトでは、このアカウントのユーザー名は [admin] になりま す。インストール中にデフォルト値を変更すると、このアカウントの名前も変更されます。
別のユーザーが管理者権限を必要とする場合には、管理者アカウントを追加することができます。
管理者固有の権限は次のとおりです。
• ソース サイトおよびフォールバック サイトの作成、編集、削除
• サーバー設定の変更
• ユーザー アカウントの追加と削除
• 権限セットの追加、削除、割り当て
• ePolicy Orchestrator データベースへのイベントのインポートと保存されるイベントの制限
グループ
クエリとレポートはグループに割り当てられます。グループは、プライベート (そのユーザーのみ)、グローバル公 開 (共有)、1 つ以上の権限セットで共有、のいずれかになります。
権限セット
特定のアクセス プロファイルは権限セットで定義されます。通常、ePolicy Orchestrator の様々な部分に対するア
権限セットを管理する
[権限セット] ページでは、ユーザー アクセスを管理します。権限セットの作成、変更、エクスポート、インポート を行うことができます。
完全な権限セットを定義している場合、これらの権限セットをエクスポートして他のサーバーにインポートすると、簡 単に移行することができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1 [権限セット] ページを開き、[メニュー] 、 [ユーザー管理] 、 [権限セット] の順に選択します。
2 以下のいずれかのアクションを選択します。
アクショ ン
手順 権限セッ トを追加 する
1 [新しい権限セット] をクリックします。
2 新しい権限セットの名前を入力します。
既存の名前を使用できません。 権限セットごとに一意の名前を設定してください。
3 この権限セットを特定のユーザーにすぐに割り当てるには、ユーザー セクションでユーザー名を 選択します。
4 この権限セットを Active Directory グループに関連付けるには、[サーバー名] リストからサー バーを選択して、[追加] をクリックします。
5 追加されている Active Directory サーバーを削除するには、Active Directory のリスト ボック スからサーバーを選択して、[削除] をクリックします。
6 [保存] をクリックして、権限セットを作成します。
これで権限セットが作成されましたが、権限はまだ割り当てていません。
権限セッ トを編集 する
1 変更する権限セットを選択します。 詳細が右側に表示されます。
権限セットを作成すると、選択することができます。
2 カテゴリ行で [編集] をクリックし、変更する権限のカテゴリを選択します。
3 権限を変更して [保存] をクリックし、権限セットの変更をデータベースにコミットします。
権限セットの変更を完了したときに [保存] をクリックする必要はありません。 各カテゴリを変 更すると、変更は自動的に保存されます。 行った変更はすぐにシステムに反映されます。ポリシー の設定に従い、ネットワーク内の残りのシステムに変更が適用されます。
権限セッ トをコピ ーする
1 複製する権限セットを [権限セット] リストから選択し、[アクション] 、 [複製] の順にクリック します。
2 複製後の権限セットの名前を入力します。 デフォルトでは、既存の名前の前に (copy) が付きま す。
既存の名前を使用できません。 権限セットごとに一意の名前を設定してください。
3 [OK] をクリックします。
権限セットが複製されます。元の権限セットは、権限セット リストで選択されたままです。