UNIX/Linux版 CF1適用後の暗号化鍵の問題について

Document created by YOSHINORI_MOMIKI Employee on Mar 24, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000191

 

製品名:Privileged Identity Manager

 

バージョン:r12.8

 

OS:UNIX/Linux

 

◆ 内容

 r12.8GAからCF1を適用すると、暗号化鍵が初期化される問題について。

 

◆ 詳細内容

 CA Privileged Identity Manager UNIX/Linux版(以下:CAPIM)にてr12.8GAからCF1を適用すると、暗号化鍵が初期化される問題が確認されております。

 この問題は、r12.8CF1のみで発生し、次期12.8SP1で修正される予定となっております。

 [発生条件]

 1:r12.8GA新規インストール時(install_base)に、暗号化鍵を設定した場合:

 -------------------[ CA ControlMinder 内部暗号化鍵の変更 ]------------------

  

 

CA ControlMinder は、暗号化鍵を使用して CA ControlMinder プログラム間の通信を保護しています。

 

以下のプロンプトで新しいキーを入力すると、デフォルトの暗号化鍵を変更することができます。

 

また、sechkey ユーティリティを使用すれば、インストール終了後に、暗号化鍵を変更することもできます。

 

 

 

注: 相互に通信するすべての CA ControlMinder ホストで、同じ暗号化鍵を使用する必要があります。

 

新しい暗号化鍵を今すぐ設定しますか? [Y/n]:Y

新しい暗号化鍵を入力してください。「99」と入力すると、暗号化鍵を変更しないで終了します:
********

 

暗号化鍵を設定しますか? [Y/n]:Y

CA ControlMinder sechkey v12.80.0.1432 - internal key changer

Copyright (c) 2013 CA. All rights reserved

 

'/opt/CA/AccessControl/lib/libcrypt' のキーを検索しています...検出、置換されました。

'/opt/CA/AccessControl/bin/seload' のキーを検索しています...検出、置換されました。

'/opt/CA/AccessControl/lib/libcryptscr.so' のキーを検索しています...検出、置換されました。

 

2:r12.8GAインストール後に暗号化鍵を変更した場合:

#sechkey -d <新しい暗号化鍵>

 

[確認方法]

暗号化鍵が初期化されているか、以下の方法で確認する事ができます。

1:CAPIMサービス起動後、UNIX/Linuxのシスログに以下のメッセージが出力されているかをご確認下さい。

seosd: 所有者の秘密鍵を取得できません

seosd: 暗号鍵の取得に失敗しました

seoswd: 所有者の秘密鍵を取得できません

seoswd: 暗号鍵の取得に失敗しました

 

2:現在の暗号化鍵の状態をご確認頂き、「検出されませんでした。」のメッセージが出力されるかをご確認下さい。

#secons -s

*暗号化鍵を確認する為には、CAPIMサービスの停止が必要となります。

#sechkey <設定した暗号化鍵> -n

CA ControlMinder sechkey v12.80.0.1675 - internal key changer

Copyright (c) 2013 CA. All rights reserved.

'/opt/CA/AccessControl/lib/libcrypt' のキーを検索しています...検出されました。

'/opt/CA/AccessControl/bin/seload' のキーを検索しています...検出されました。

'/opt/CA/AccessControl/lib/libcryptscr.so' のキーを検索しています... 検出されませんでした。

 

[回避方法]
1:CAPIMサービスの停止(カーネル含む)して下さい。
#secons -sk
#SEOS_load -u
全CAPIMサービスが停止されている事をご確認下さい。
2:暗号化鍵を確認して下さい。
[確認方法]に記載した通り、「検出されませんでした。」と出力されるかをご確認下さい。
#sechkey <設定した暗号化鍵> -n
3:バックアップ用の一時ディレクトリを作成して下さい。
バックアップ用の一時ディレクトリの場所は何処に作成して頂いても問題ございません。
#mkdir /opt/CA/AccessControl/BAK
4:CF1適用後の以下のファイルをバックアップして下さい。
ファイルを移動する前に、下記ファイルのパーミッションをご確認下さい。
#mv /opt/CA/AccessControl/bin/seosd /opt/CA/AccessControl/BAK/seosd.CF1
#mv /opt/CA/AccessControl/bin/selang /opt/CA/AccessControl/BAK/selang.CF1
#mv /opt/CA/AccessControl/lib/libcryptscr.so.128.0
/opt/CA/AccessControl/BAK/libcryptscr.so.128.0.CF1
5:r12.8GA用の以下ファイルをCAPIMインストールディレクトリにコピーして下さい。
#cp /opt/CA/AccessControl/patch/T4A7082/seosd /opt/CA/AccessControl/bin/
#cp /opt/CA/AccessControl/patch/T4A7082/selang /opt/CA/AccessControl/bin/
#cp /opt/CA/AccessControl/patch/T4A7082/libcryptscr.so.128.0
/opt/CA/AccessControl/lib/
6:CF1適用前に設定した暗号化鍵が検出されるかをご確認下さい。
#sechkey <設定した暗号化鍵> -n
'/opt/CA/AccessControl/lib/libcrypt' のキーを検索しています...検出されました。
'/opt/CA/AccessControl/bin/seload' のキーを検索しています...検出されました。
'/opt/CA/AccessControl/lib/libcryptscr.so' のキーを検索しています...検出されました。
7:暗号化鍵をデフォルト鍵に変更し、デフォルト鍵が検出されるかをご確認下さい。
#sechkey <設定した暗号化鍵> -d
'/opt/CA/AccessControl/lib/libcrypt' のキーを検索しています...検出、置換されました。
'/opt/CA/AccessControl/bin/seload' のキーを検索しています...検出、置換されました。
'/opt/CA/AccessControl/lib/libcryptscr.so' のキーを検索しています...検出、置換されました。
#sechkey -d -n
'/opt/CA/AccessControl/lib/libcrypt' のキーを検索しています...検出されました。
'/opt/CA/AccessControl/bin/seload' のキーを検索しています...検出されました。
'/opt/CA/AccessControl/lib/libcryptscr.so' のキーを検索しています...検出されました。
8:バックアップ用の一時ディレクトリに移動したCF1適用後の以下のファイルをCAPIMインス
トールディレクトリにコピーして下さい。
#cp /opt/CA/AccessControl/BAK/seosd.CF1 /opt/CA/AccessControl/bin/seosd
#cp /opt/CA/AccessControl/BAK/selang.CF1 /opt/CA/AccessControl/bin/selang
#cp /opt/CA/AccessControl/BAK/libcryptscr.so.128.0.CF1
/opt/CA/AccessControl/lib/libcryptscr.so.128.0
[回避方法]4:で確認したパーミッションになっていない場合は、変更して下さい。
9:暗号化鍵がデフォルト鍵に設定されているかをご確認下さい。
#sechkey -d -n
/opt/CA/AccessControl/lib/libcrypt' のキーを検索しています...検出されました。
/opt/CA/AccessControl/bin/seload' のキーを検索しています...検出されました。
/opt/CA/AccessControl/lib/libcryptscr.so' のキーを検索しています...検出されました。
10:暗号化鍵をデフォルト鍵から設定した暗号化鍵に変更し、暗号化鍵が設定されたかを
ご確認下さい。
#sechkey -d <設定した暗号化鍵>
/opt/CA/AccessControl/lib/libcrypt' のキーを検索しています...検出、置換されました。
/opt/CA/AccessControl/bin/seload' のキーを検索しています...検出、置換されました。
/opt/CA/AccessControl/lib/libcryptscr.so' のキーを検索しています...検出、置換されました。
#sechkey <設定した暗号化鍵> -n
/opt/CA/AccessControl/lib/libcrypt' のキーを検索しています...検出されました。
/opt/CA/AccessControl/bin/seload' のキーを検索しています...検出されました。
/opt/CA/AccessControl/lib/libcryptscr.so' のキーを検索しています...検出されました。
11:バックアップ用の一時ディレクトリを削除して下さい。
#rm -r /opt/CA/AccessControl/BAK/
12:CAPIMサービスを起動して下さい。
#seload
13:CAPIMサービス起動後、UNIX/Linuxのシスログに以下のメッセージが出力されていないかをご確認下さい。
seosd: 所有者の秘密鍵を取得できません
seosd: 暗号鍵の取得に失敗しました
seoswd: 所有者の秘密鍵を取得できません
seoswd: 暗号鍵の取得に失敗しました

Attachments

    Outcomes