ステップ 2 - ライセンス証明書の要求とマストヘッドの作成

下記の手順を実行する前に、ライセンスを購入し、License Key Center のアカウントを使用して BigFix ライセンス認証ファイル (*.BESLicenseAuthorization) を入手しておく必要があります。PoC (概念検証) 評価版の場合、このファイルは HCL の技術営業担当員によって提供されています。

ライセンス認証ファイルを入手したら、ライセンス証明書を要求した上で、個別設定されたサイト・マストヘッドを作成できます。これにより、BigFix をインストールおよび使用できます。マストヘッドには、サーバー CGI プログラムの URL、および署名済み MIME ファイル内のその他のサイト情報が含まれます。マストヘッドは、アクション・サイトへのアクセスおよび認証の中心となるものです。マストヘッドを作成し、サイトをアクティブにするには、以下の手順に従います。

  1. BigFix インストーラーBigFix-BES-10.0.exeを実行します。プロンプトが表示されたら、「正規版」インストールを選択し、「正規版」オプションを選択し、ソフトウェア使用許諾契約に同意します。「ようこそ」画面で 「次へ」をクリックします。
    注: 「評価版」のインストールを選択する場合は、そのタイプのインストールでは拡張セキュリティー・オプションがサポートされないことを念頭に置いてください。この機能について詳しくは、セキュリティー構成シナリオを参照してください。
  2. 使用許諾契約を読んで同意した後に、最初のオプションの「BigFix ライセンス認証ファイルを使用してインストールする」を選択し、秘密鍵とマストヘッドを作成します。最初のオプションを選択します。BigFix ライセンス認証ファイルを使用してインストールする
  3. CompanyName.BESLicenseAuthorization のような名前が付いているライセンス認証ファイルの場所を入力します。
  4. BigFixサーバーの「DNS 名」または「IP アドレス」を指定して、「次へ」をクリックします。このフィールドに入力した名前は、ライセンスに記録され、BigFix サーバーを識別するためにクライアントによって使用されます。
    注: サーバー・コンピューターを変更したり、拡張ネットワーク構成を行ったりする場合の柔軟性を考慮して、bes.companyname.com などの DNS 名を入力します。この名前は、ライセンス証明書に記録され、クライアントによって BigFix サーバーを識別するために使用されます。ライセンス証明書を作成してからは、DNS 名を変更することはできません。DNS 名を変更する場合は、新しいライセンス証明書を要求する必要があります。そのためには、完全な新規インストールを行う必要があります。
  5. サイトの資格情報のパスワードを入力すると、適用環境用のサイト管理キーを作成できるようになります。パスワードを (確認のために) 2 回入力し、秘密鍵ファイルを暗号化するためのキー・サイズ (2K ビットから 4K ビット) を指定します。このパスワードのバックアップ・コピーを作成し、安全な場所に保存します。「作成」をクリックします。この方法で、すべての BigFix ユーザーの作成および許可に使用される公開鍵と秘密鍵のペアを生成します。
  6. 「フォルダーの参照」ダイアログで、安全なアクセス許可が設定されたフォルダーまたはリムーバブル・ドライブ (PGPDisk や USB ドライブなど) に秘密鍵 (license.pvk) ファイルを保存します。「OK」をクリックします。
    重要: 秘密鍵ファイルまたはサイトの資格情報のパスワードを失った場合は、新しいライセンス証明書を作成する必要がありますが、これを行うには完全に新しいインストールを実行する必要があります。また、秘密鍵ファイルとパスワードを持つすべてのユーザーは、BigFix クライアントがインストールされているすべてのコンピューターに対する完全な制御ができるようになっているため、管理者は、秘密鍵ファイルとパスワードが保護されているようにしておく必要があります。
  7. ライセンス確認のために要求ファイルを HCL に送信するよう求められます。インターネット接続がある場合、インターネット経由で要求を送信することもできます。この場合、ライセンスの検証用として要求ファイルが HCL に送信されます。この要求は、元の認証ファイル、サーバーの DNS 名、および公開鍵で構成されており、すべて単一のファイルにパッケージ化されます。
  8. 要求をインターネット経由で送信し、社内でプロキシーを使用してインターネットにアクセスする場合は、「プロキシーの設定」をクリックします。「プロキシー設定」パネルが表示されます。このパネルでプロキシー接続を構成できます。プロキシー接続を構成するための設定が表示されます。
  9. 以下を指定します。
    • ホスト名または IP アドレスと、オプションでプロキシー・マシンと通信するポート番号。
    • プロキシー・マシンで定義されているユーザーの資格情報。接続を確立するときに、この資格情報の使用が必要になります。
    • プロキシー経由で到達してはならない、BigFix トポロジー内のシステムを識別する、ホスト名、サブドメイン、IP アドレスのコンマ区切りリスト。デフォルトでは、BigFix V9.5 は、内部通信がプロキシーを経由しないように設定されています。このフィールドに値を設定した場合、デフォルトの動作を上書きすることができます。内部通信がプロキシーに送信されないようにするには、このフィールドに指定されている例外のリストに localhost, 127.0.0.1, yourdomain.com, IP_Address を追加します。
    • プロキシーに強制的にトンネリングを試行させるかどうか。デフォルトでは、プロキシーはトンネリングを試行しません。
    • 通信を確立する際に使用する認証方法。認証方法をプロキシーに選択させるか、特定の認証方法を使用するよう強制することができます。
      注: FIPS モードを有効にする場合は、digest 以外の認証方法を選択してください。
    「接続のテスト」をクリックして、構成したプロキシーに正常に接続できるかどうかを確認できます。これらの入力フィールドで使用する値および構文について詳しくは、プロキシー接続のサーバー上での設定を参照してください。

    「OK」をクリックして設定を保存し、「ライセンス要求」パネルに戻ります。

  10. 「要求」をクリックします。ウィザードは、BigFix ライセンス・サーバーからライセンス証明書 (license.crt) を取得します。

    あるいは、インターネット接続がないエアー・ギャップにいる場合、request.BESLicenseRequest という名前のファイルとして要求を保存するオプションを選択します。インターネット接続を使用してファイルをマシンにコピーし、インストーラーに表示される BigFix の Web サイトの URL に要求を送信します。表示されるページで license.crt ファイルを取得できます。このファイルをインストール・コンピューターにコピーし直して、インストーラーにインポートします。

  11. 「ライセンス要求」ダイアログから、「作成」をクリックして、マストヘッド・ファイルを作成します。
  12. デジタル署名を確認するために使用される公開鍵とともに構成およびライセンスの情報が含まれる、マストヘッド・ファイルのパラメーターを入力します。このファイルは資格情報フォルダーに保存されます。このウィンドウには、デジタル署名の確認に使用される公開鍵とともに構成およびライセンスの情報が含まれている、マストヘッド・ファイルのパラメーターが表示されます。
    以下のオプションを設定できます。
    サーバーのポート番号:
    通常、この番号を変更する必要はありません。52311 が推奨ポート番号ですが、異なるポートの方が特定のネットワークでの利便性が高い場合は、異なるポートを選択できます。通常、ポートは、IANA が管理するプライベート・ポートの範囲 (49152 から 65535) から選択します。予約済みのポート番号 (ポート 1 から 1024) を使用できますが、トラフィックを正常にモニターする機能または制限する機能が低下する可能性があり、特定のアプリケーションについてポート番号を使用できなくなります。クライアントの適用にこの番号を変更すると、BigFixが正しく機能しなくなります。追加情報については、ポート番号の変更を参照してください。
    注: ポート番号 52314 はプロキシー・エージェント用として予約されているため、BigFix のコンポーネント間のネットワーク通信には使用しないでください。
    収集間隔:
    このオプションは、サーバーからの通知がない状態でクライアントが待機する時間を決定します。この時間が経過すると、クライアントは、新規コンテンツが使用可能であるかどうかを確認します。一般にサーバーは、新規コンテンツを収集するたびに、UDP 接続を通じて新規コンテンツが提供されていることをクライアントに通知することを試み、この遅延を回避します。ただし、UDP がファイアウォールによってブロックされているか、またはネットワーク・アドレス変換 (NAT) によってサーバーの観点からクライアントの IP アドレスが再マップされる状況では、クライアントからタイムリーに応答を得るためには、間隔を短くすることが必要になります。収集レートが高くても、差分のみが収集されるため、サーバーのパフォーマンスへの影響はほんのわずかです。クライアントは、すでに保有する情報は収集しません。
    初期アクション・ロック:
    インストール後にクライアントが自動的にロックされるようにする場合、すべてのクライアントの初期ロック状態を指定します。ロックされたクライアントは、どの Fixlet メッセージがそのクライアントの適用対象であるかをレポートしますが、アクションは適用しません。デフォルトでは、クライアントがロックされないままにして、後から特定のクライアントをロックします。ただし、新規にインストールされたクライアントを制御しやすくするため、最初からクライアントをロックした状態にしておき、その後個別にロック解除したい場合もあります。あるいは、一定の期間 (分単位) だけ、クライアントがロックされるように設定することもできます。
    アクション・ロック・コントローラー:
    このパラメーターによって、誰がアクション・ロック状態を変更できるかが決まります。デフォルトは「コンソール」です。これは、管理権限を持つすべてのコンソール・オペレーターに、ネットワーク内の任意のクライアントのロック状態を変更することを許可します。ロックの制御をエンド・ユーザーに委任したい場合は、「クライアント」を選択できますが、これは推奨されません。
    アクションのロックから次のサイト URL を除外する:
    まれに、特定の URL を、すべてのアクション・ロックから除外することが必要な場合があります。このボックスにチェック・マークを付け、除外する URL を入力します。
    注: 指定できるサイト URL は 1 つのみであり、先頭を http:// にする必要があります。
    すべてのクライアントに対する最近のフォールバック・リレー (ルート・サーバーに置き換え)
    クライアントが設定内で指定したいずれのリレーにも接続していない場合は、クライアントにフォールバック・リレーを定義する必要が生じることがあります。このチェック・ボックスを選択して、お使いの環境のフォールバック・リレーを次のいずれかのフォーマットに指定します。
    • ホスト名。たとえば、myhostname です。
    • 完全修飾ドメイン名 (FQDN)。たとえば、myhostname.mydomain.com です。
    • IP アドレス。たとえば、10.10.10.10 です。

    このチェック・ボックスをオフにしてフォールバック・リレーを定義する場合は、ご自身の環境にあるルート・サーバーが使用されます。

    注: フォールバック・リレーを指定する前に、ルート・サーバーに直接レポートするすべてのクライアントまたはリレーにリレーと定義されたルート・サーバーがあることを確認します。この設定により、エンドポイントでルート・サーバーを選択できなくなるということはありません。BES ルート・サーバーの _BESRelay_Register_Affiliation_AdvertisementList を、DoNotSelectMe など、クライアントで設定されないグループ名に設定します。
    FIPS 140-2 に準拠した暗号を使用する必要がある
    ネットワークを連邦情報処理標準に準拠させるには、このボックスにチェック・マークを付けます。これにより、すべての BigFix コンポーネントが FIPS モードへの移行を試みるように、マストヘッドが変更されます。デフォルトでは、クライアントは、正しく FIPS モードに入ることができない場合、非 FIPS モードのままとなります。これは、特定のレガシー・オペレーティング・システムでは問題となる場合があります。このボックスにチェック・マークを付けると、クライアントの起動時間が 2 秒から 3 秒ほど長くなる可能性があります。

    詳しくは、BigFix 環境での FIPS 140-2 暗号方式を参照してください。

    注: FIPS モードを有効にすると、プロキシーへの接続時に一部の認証方式を使用できなくなる可能性があります。インターネットへのアクセスやBigFixサブコンポーネントとの通信にプロキシーを使用することを選択した場合は、プロキシー構成が digest 以外の認証方法を使用するようにセットアップされていることを確認してください。
    アーカイブでの Unicode ファイル名の使用を許可する (Allow use of Unicode filenames in archives):
    この設定は、BigFix アーカイブでファイル名を書き込む際に使用されるコード・ページを指定します。ファイル名を UTF-8 コード・ページで書き込むには、このボックスにチェック・マークを付けます。
    ローカル適用環境のコード・ページ (例えば、Windows-1252 や Shift JIS) を使用してファイル名を書き込む場合は、このボックスにチェック・マークを付けないでください。BigFix V9.5 のフレッシュ・インストールを実行する場合、デフォルトでは、ファイル名は UTF-8 で書き込まれます。
    注: BigFix 環境を V9.5 にアップグレードすると、ファイル名はデフォルトでローカル・デプロイメントのコード・ページで書き込まれます。
    完了したら「OK」をクリックします。
  13. BigFix コンポーネント・インストーラーのインストール先フォルダーを選択します。BigFix インストール・ガイド・ウィザードが起動し、BigFix コンポーネントをインストールするためのガイドが表示されます。
    注: このステップによって、BigFix クライアント、BigFix コンソール、および BigFix サーバーのインストーラーが作成されますが、コンポーネントはインストールされません。
注: 秘密鍵 (license.pvk) により、すべてのエージェントによって信頼されるサーバー署名キーの作成権限とローテーション権限が付与されます。このキーは、ライセンス証明書の作成処理中には HCL に送信されない ため、慎重に保護する必要があります。また、秘密鍵ファイルの暗号化に使用した視覚情報のパスワードのバックアップ・コピーを作成して、安全な場所に保存します。サーバーをワークステーションに再インストールするには、保管されている BigFix 資格情報を再使用する必要があります。秘密鍵ファイルまたはサイトの資格情報のパスワードを失った場合は、新しいライセンス証明書を作成する必要がありますが、これを行うには完全に新しいインストールを実行する必要があります。