認証リレー

認証として設定されていないインターネットに接続されたリレーを含む BigFix デプロイメントは、セキュリティー脅威にさらされます。

このコンテキストでのセキュリティー脅威は、リレーとコンテンツまたは操作、それらに関連付けられているダウンロード・パッケージ、または機密情報 (例えば、ソフトウェア、脆弱性情報、パスワードなど) が含まれる可能性のある「リレー診断」ページへの無許可アクセスを意味します。

リレーを認証リレーとして構成し、エージェントを認証できます。これにより、信頼されたエージェントのみが、サイト・コンテンツの収集やレポートの通知を行うことができます。DMZ にある、インターネットに接するリレー用の認証リレー構成を使用します。エージェントを認証するように構成されたリレーは、サーバーが発行および署名した TLS 証明書を鍵交換中に提示する子エージェントまたはリレーとのみ、TLS 通信を実行します。

リレーが認証として設定されている場合、ご使用環境での BigFix クライアントのみがそれに接続でき、クライアント間の通信は TLS (HTTPS) を介して発生します。また、この設定は、リレーとサーバーの診断ページへの未承認アクセスを防止します。
注: 新しいクライアントをインストールする必要があり、認証リレーにのみ到達できる場合、手動でキーを交換する必要があります。詳しくは、手動での鍵交換を参照してください。

リレー認証を有効にする方法

リレーを認証リレーにアップグレードするには、次のステップを実行します。
  1. BES サポート Web サイトで BES クライアント設定を探します。リレー認証 Fixlet を有効にします。
  2. Fixlet を実行してアクションが完了するのを待ちます。
また、_BESRelay_Comm_Authenticating 構成設定を手動で更新することにより、認証のリレーを構成できます。設定のデフォルト値は 0 で、リレー認証が無効なことを示します。認証を有効にするには、値を 1 に設定します。詳細については、「認証」を参照してください。

デフォルトにより、すべてのクライアントは 6 時間ごとにその親リレーで再登録されます。既存のクライアントはそれぞれをリレーで再登録しない限りレポートを送信できません。