15.10.6 システム構成
通信暗号化機能を使用すると,ビューアーホストとマネージャーホストの通信データの機密性を確保できます。通信暗号化機能を使用した場合の,推奨するシステム構成を次に示します。
- 〈この項の構成〉
(1) 基本のシステム構成
マネージャー,エージェントはバージョン13,認証サーバのJP1/Baseはバージョン13以前とし,バージョン12以前との混在環境をサポートします。
(2) 複数のマネージャーホストに接続するシステム構成
1台のビューアーホストで2台のビューアーを起動し,1台のビューアーは通信暗号化機能が有効のマネージャーホストに接続し,もう1台のビューアーは通信暗号化機能が無効のマネージャーホストに接続する場合のシステム構成を次に示します。
JP1/IM - Viewで通信を暗号化するホストとしないホストを設定します。設定方法については,マニュアル「JP1/Integrated Management 3 - Manager コマンド・定義ファイル・APIリファレンス」の「非暗号化通信ホスト設定ファイル(nosslhost.conf)」(2. 定義ファイル)を参照してください。
ビューアーホストと通信暗号化機能が無効のマネージャーホスト間の通信データの機密性を確保する場合は,ファイアウォールやVPNなどで物理的,ネットワーク的にセキュアな環境にし,アンセキュアな環境のビューアーホストからのマネージャーホストへの非暗号化通信はファイアウォールなどで通信できないようにします。
(3) 複数のビューアーホストが接続するシステム構成
マネージャーホストはビューアーホストと非暗号化通信を許可しないため,バージョン10以前のJP1/IM - Viewとの混在環境はサポートしません。
(4) マネージャーホストとビューアーホストの階層構成
拠点または中継マネージャーホストで通信暗号化機能が無効の場合,ビューアーホストとの通信は暗号化されません。
通信データの機密性を確保する際は,ファイアウォールやVPNなどで物理的,ネットワーク的にセキュアな環境にします。アンセキュアな環境のビューアーホストからの通信はすべて暗号化し,非暗号化通信はファイアウォールなどで通信できないようにします。また,非暗号化通信するビューアーホストはセキュアな環境に配置します。
(5) マネージャーホストと認証サーバの構成
マネージャーホストと認証サーバ間の通信を暗号化する場合は認証サーバの認証圏を考慮してください。
-
マネージャーホストがすべてバージョン12の構成の場合
認証サーバの通信暗号化機能が有効の場合は,すべてのJP1/Base(マネージャーホスト)の通信暗号化機能(認証サーバのクライアントとしての機能)を有効にします。
図15‒45 マネージャーホストがすべてバージョン12の構成 -
マネージャーホストがバージョン11以降とバージョン10以前の混在構成の場合
認証サーバの通信暗号化機能が有効の場合は,別途認証サーバの暗号化機能が無効のサーバを構築して認証圏を分ける必要があります。
図15‒46 マネージャーホストがバージョン11以降とバージョン10以前の混在構成