OpenManage Enterprise 4.0.x ユーザーズ ガイド

ログインセキュリティのプロパティの設定

アプライアンスに安全にログインするためにプロパティを設定します。

1. 許可するIP範囲を制限するを展開します。
   注:［許可するIP範囲を制限する］がアプライアンスで設定されている場合、指定された範囲外のデバイスに対しては、アラートの受信、ファームウェアのアップデート、およびネットワークの識別情報など、アプライアンスへのインバウンド接続はブロックされます。ただし、アプライアンスからの接続はすべてのデバイスで機能します。
   1. OpenManage Enterpriseへのアクセスを許可する必要があるIPアドレス範囲を指定するには、IP範囲を有効にするチェック ボックスを選択します。
   2. IP範囲のアドレス(CIDR)ボックスには、カンマ区切りの形式で複数のIPアドレス範囲を入力できます。
   3. 適用をクリックします。デフォルトのプロパティにリセットするには、破棄をクリックします。
   注:複数のIP範囲がIP範囲アドレス(CIDR)ボックスに入力されている場合、適用ボタンは有効になりません。
2. ログイン ロックアウト ポリシーを展開します。
   1. 特定のユーザー名がOpenManage Enterpriseにログインすることを防止するには、ユーザー名によるチェック ボックスを選択します。
   2. 特定のIPアドレスがOpenManage Enterpriseにログインすることを防止するには、IPアドレスによるチェック ボックスを選択します。
   3. ロックアウト失敗回数ボックスには、OpenManage Enterpriseがユーザーをログインできなくするまでの失敗した試行の数を入力します。デフォルトでは3回です。
   4. ロックアウト失敗時間枠ボックスでは、OpenManage Enterpriseが失敗した試行に関する情報を表示する必要がある期間を入力します。
   5. ロックアウト ペナルティー時間ボックスに、ユーザーが複数回失敗した後に、ログイン操作を再試行できるまでの時間の長さを入力します。
   6. 適用をクリックします。設定をデフォルトの属性にリセットするには、破棄をクリックします。
3. TLSプロトコル設定を展開します。
   1. TLSプロトコルをTLS 1.2以降、TLS 1.2、またはTLS 1.3に設定します。
      注:移行のために、アプライアンスにTLS 1.2プロトコルが設定されていることを確認します。
   2. カスタムTLS 1.2暗号文字列を入力して、TLS 1.2の使用時にアプライアンスでサポートされる暗号化タイプをカスタマイズします。
   3. カスタムTLS 1.3暗号文字列を入力して、TLS 1.3の使用時にアプライアンスでサポートされる暗号化タイプをカスタマイズします。
4. RSA SecurID設定を展開すると、管理者は、アプライアンスへのログイン時に多要素認証が必要とされるアプライアンス ユーザー（他の管理者を含む）を選択できます。
   1. RSA SecurIDを有効にするには、有効チェック ボックスをオンにします。
   2. RSA認証サーバーにログインし、必要なRSAサーバー証明書をダウンロードします。
   3. アップロードをクリックしてダウンロード済み証明書をアップロードし、表示をクリックして証明書の詳細を表示します。
   4. RSA SecurID認証サーバーのURLとHTTPSアクセス用のポート番号を入力します。
   5. RSA SecurIDクライアントIDを入力します。ClientIDは、RSA認証エージェント アプリケーション(RSASecurIDSoftwareToken)がインストールされているシステムのホスト名/IPアドレスです。アクセス > 認証エージェント > 新規追加の順にクリックして、外部RSAサーバーのSecurity ConsoleでクライアントIDを設定し、ClientIDを作成します。
   6. RSA SecurIDアクセス キーを入力します。RSA認証サーバーでアクセス キーを取得するには、設定 > システム設定 > RSA SecurID > Authentication APIセクションに移動します。
      注:新しいキーが生成された場合でも、古いアクセス キーは無効になりません。アクセス キーの有効期間は、RSA認証サーバーで設定されたタイム フレーム（デフォルト：60日）で決まります。セキュリティ侵害の疑いがある場合は、アプライアンスにキーを入力する前に、RSA認証サーバーでアクセス キーを2回再生成します。
   7. 接続タイムアウトを入力します。これは、RSA認証サーバーがIdentity Routerからの応答を待機する時間です。
   8. 読み取りタイムアウトを入力します。これは、コレクターが前回の読み取りの後、データの読み取りを待機する時間（秒）です。この時間の経過後、読み取り試行は中止されます。
   9. 接続のテストボタンを使用して、アプライアンスが指定ポート経由でRSA認証サーバーにアクセスできるかどうかを確認します。プロキシが導入されている場合は、サービスの中断を回避するために、アプライアンスがRSA認証サーバーとまだ通信できることを確認します。
      指定された証明書が有効かどうかを確認するには、api/ApplicationService/MfaCertificateにHTTP GET要求を送信します。
   10. 適用をクリックして、RSA認証サーバーへの登録を開始します。プロキシが導入されている場合は、サービスの中断を回避するために、アプライアンスがRSA認証サーバーとまだ通信できることを確認します。変更を破棄するには、キャンセルをクリックします。
       注:無効なパスコードを3回入力すると、RSAアカウントは「ネクスト トークン モード」になります。ユーザーは、RSAトークン ジェネレーターから提供される次の2つのパスコードを入力するように求められます。無効なパスコードを4回入力すると、アカウントがロックされる可能性があります。アプライアンスはログインの試行を許可していますが、ユーザーのRSA認証は失敗します。アプライアンスでログインを再試行する前に、RSAサーバー アカウントのステータスが検証されたことを確認します。