LANDesk® Management Suite 8.6

LANDesk® Management Suite 8.6
LANDesk Management Gateway 3.0
導入およびユーザーズガイド
著作権と商標
Copyright © 2005, LANDesk Software, Ltd. All rights reserved.
LANDesk®は LANDesk Software, Ltd.の登録商標です。
*その他のブランドおよび名称は、それぞれの所有者に帰属します
i
目次
著作権と商標 ................................................................................................................................i
概要............................................................................................................................................ 4
LANDesk Management Gatewayとは ................................................................................... 4
管理ゲートウェイの使用方法 .............................................................................................. 4
処理可能な接続数.............................................................................................................. 5
安全性.................................................................................................................................... 6
セットアップ.................................................................................................................................. 8
LANDesk Management Gatewayのセットアップの概要 .......................................................... 8
セットアップフェーズ ........................................................................................................... 8
フェーズ 1： LANDesk Management Gatewayサーバのセットアップ........................................ 9
セットアップ構成.................................................................................................................. 9
ハードウェア要件 .............................................................................................................. 10
管理ゲートウェイのセットアップ.......................................................................................... 10
フェーズ 2：コアサーバの設定.............................................................................................. 12
フェーズ 3：被管理デバイスの設定 ....................................................................................... 13
リファレンス ............................................................................................................................... 15
管理ゲートウェイ管理コンソールの使用方法.......................................................................... 15
[Network settings] (ネットワーク設定)............................................................................... 15
[Gateway control] (ゲートウェイ制御) ............................................................................... 16
[User accounts] (ユーザアカウント) ................................................................................. 16
管理ゲートウェイWebコンソールへのログイン........................................................................ 17
コア証明書の管理................................................................................................................. 18
クライアント証明書の管理 ..................................................................................................... 19
ゲートウェイサービスの設定................................................................................................. 20
システム設定の変更 ............................................................................................................. 21
ファイアウォール設定の変更 ................................................................................................. 22
ユーザの管理 ....................................................................................................................... 23
電子メール設定の変更.......................................................................................................... 25
レポートの表示 ..................................................................................................................... 26
ソフトウェア配布とパッチ管理 ................................................................................................ 27
リモートコントロール ............................................................................................................. 28
付録.......................................................................................................................................... 29
付録 1：よくある質問(FAQ)................................................................................................... 29
付録 2：トラブルシューティング.............................................................................................. 31
接続の問題 ...................................................................................................................... 31
ii
その他の問題................................................................................................................... 33
付録 3：サポート対象のNICとコントローラ ............................................................................. 34
サポート対象のNIC .......................................................................................................... 34
サポート対象のコントローラ............................................................................................... 34
iii
概要
LANDesk Management Gateway とは
LANDesk Management Gateway(管理ゲートウェイ)を利用すると、ローカルネットワークに接続さ
れていないデバイスを、ファイアウォールにセキュリティホールを開けることなく、LANDesk
Management Suite または LANDesk Server Manager を使用して管理することができます。
LANDesk Management Gateway は、インターネット経由でセキュアな通信と機能を提供するため
の特許技術を利用するインターネットアプライアンスです。この製品は、コアコンソールと被管理デ
バイスがそれぞれのインターネット接続を経由してリンクされる合流点として機能します。これには、
コンソールやデバイスがファイアウォールの内側にある場合や、インターネットへのアクセスにプロキ
シを使用している場合も含まれます。LANDesk Management Gateway ではセキュアな SSL トンネ
ルを使用して、コンピュータ同士が接続されている限り、2 台のコンピュータ間で双方向データを継続
的にルーティングします。SSL データは LANDesk Management Gateway で復号化されないため、
データが暗号化されていない「穴」はプロトコルに存在しません。この仕組みによりセキュリティが確
保され、CPU の使用を最小限に抑えることにより多数の接続が可能になり、複数の接続間の複雑
な同期処理は不要となります。データが受け取られると、遅延なくその目的地へ送信されます。
LANDesk Management Gateway は、Linux 2.6.12 カーネルのカスタマイズされたバージョンであ
る LDLinux を実行します。また、標準のメッセージングサービス、Web サービス、およびデータベー
スサービスを使用します。さらに、接続時間、転送済みバイト数、ID 情報などの接続情報をサーバ
のハードディスクにログとして記録します。プログラム自体は最小限のハードディスク領域しか使用
しません。ほとんどのディスク領域はログ記録の目的に使用されます。
管理ゲートウェイの使用方法
LANDesk Management Gateway は、ソフトウェア配布、パッチ管理、インベントリスキャン、リモー
トコントロールなどの機能を実現します。LANDesk Management Gateway を LANDesk
Management Suite または LANDesk Server Manager と組み合わせて使用するとき、管理ゲート
ウェイを経由する通信は常に被管理デバイスによって開始される必要があります。言い換えると、被
管理デバイスはコアにデータを送信することや、コアからのデータを要求することができますが、コア
は要求されていないデータを被管理デバイスに「プッシュ」することはできません。コアは管理ゲート
ウェイを経由して被管理デバイスに何もプッシュすることができないため、このことを考慮して被管理
4
概要
デバイスを設定する必要があります。また、管理ゲートウェイ経由で接続している被管理デバイスは、
コアサーバとしか接続できないことにも注意する必要があります。
処理可能な接続数
1 台の LANDesk Management Gateway サーバが処理できる実際の接続数は、接続の種類と被
管理デバイス上での操作の両方によって変化します。たとえば、モデム接続であれば、いくら多くの
被管理デバイス上での操作が発生しても、通信速度の制限により、高速接続よりも多くの接続数を
処理することができます。管理ゲートウェイが作成可能な合計の接続数の上限は 1024 個です。こ
れらの接続は次のように割り当てられます。
•
コア上のゲートウェイサービスはスレッドプールを使用します。スレッドプール内では、最
小 6 個、最大 120 個の接続が、管理ゲートウェイ経由の接続をクライアントが要求するのを
待機します。
•
リモートコントロールは 1 セッションにつき 2 個の接続を使用します。1 個はゲートウェイか
らクライアントへの接続、もう 1 個はゲートウェイからコアへの接続です。
•
残りの接続は他の被管理デバイスが使用できます。管理ゲートウェイは、被管理デバイス
からの最大 700 個の接続要求のキューを維持および管理します。
コアと被管理デバイスの間の最大同時接続数は 500 個です。管理ゲートウェイが処理可能な接続
数は、LANDesk Management Suite または LANDesk Server Manager との組み合わせによって
制限されるものではありません。多数の同時接続の必要性を減らすには、タイミングをずらしてイン
ベントリスキャンを実行するよう被管理デバイスをスケジュールすることができます。
5
LANDesk Management Gateway 3.0 導入ガイド
安全性
LANDesk Management Gateway 経由の接続では、デジタル証明書と、新しいデュアル SSL セッ
ションアーキテクチャが利用されます。セッションは被管理デバイスによって開始されます。被管理
デバイスはまず、LANDesk Management Gateway 自体と通信します。2 番目の SSL セッションが
エンド間の経路全体で張られ、被管理デバイスとコンソールコンピュータ間のデータ転送を可能にし
ます。LANDesk Management Gateway がデータの復号化や再暗号化を一切行う必要がないのは、
この 2 番目の SSL セッションの働きによるものです。この仕組みによりセッションのセキュリティが強
化され、LANDesk Management Gateway 自体にかかるリソース負荷も軽減されます。データは目
的地に到達した時点ではじめて復号化されます。
ファイアウォール変更の必要性
443 番ポートと SSL を使用したセキュアなインターネットトランザクションを許可するようにファイアウ
ォールが設定されている場合、LANDesk Management Gateway を使用してもファイアウォールへ
の変更は一切発生せず、ファイアウォールの動作も変更されません。LANDesk Management
Gateway は標準プロトコルを使用して、ファイアウォール、プロキシ、および NAT ルータ経由で機能
し、インフラストラクチャの変更が必要になったり、不必要なポートを開放したりすることはありません。
LANDesk Management Gateway 自体は、Linux プロトコルスタックに組み込まれたファイアウォー
ル(iptables)を使用します。このファイアウォール用の規則は、LANDesk Management Gateway の
通信のために必要なポート以外のすべてのポート上での通信を拒否します。また、拒否アドレス範
囲(インターネット上で有効でない内部アドレス群)のリストも存在します。
LANDesk Management Gateway は、インターネットに直接アクセスすることができない DMZ(DeMilitarized Zone：非武装地帯)環境にセットアップすることもできます。DMZ とは単に、ファイアウォ
ールの集合によってインターネットおよび組織のイントラネットから隔離された LAN のことです。
DMZ ファイアウォール規則では、DMZ 内のホストにはイントラネット内のホストに対してよりも、多く
のアクセス許可を与えています。それでもインターネットへの直接アクセスに比べればそのアクセス
は制限されています。DMZ LAN 上での内部アドレスの割り当てが、(172.168.x.x のよう
に)LANDesk Management Gateway の内部ファイアウォールによって拒否される範囲内にある場
合、必要なアドレスまたはアドレス範囲を許可するようにファイアウォール設定ファイルを修正するこ
とができます。LANDesk Management Gateway 上で設定を変更する前に、専門家のアドバイスを
受けるようにしてください。
SUMO
LANDesk Management Gateway は、チェックサムスキャナ SUMO を使用してシステム上の変更
を検出することによって、ウイルス、トロイの木馬、または無許可のシステム変更を防ぎます。SUMO
データベースはインストール処理の間に作成され、Web ページやシステムバイナリディレクトリなど、
管理ゲートウェイ上の非常に重要な領域が数分おきにチェックされます。不整合が見つかると、
SUMO から管理者に電子メールで通知が送信されます。SUMO データベースはセルフチェックされ、
メンテナンスは必要ありません。
LANDesk Management Gateway のログ記録
監査証跡の使用は、攻撃を抑止する最良の手段の 1 つです。監査証跡は攻撃を直接防ぐわけでは
ありませんが、攻撃がいつ、どのようにして発生したかの特定を容易にします。LANDesk
Management Gateway はアクティビティおよび接続の情報をログに記録し、これらの情報にはレポ
ート形式で容易にアクセスできます。
6
概要
接続のブロック
管理者は、LANDesk Management Gateway 経由で接続するための証明書が与えられた被管理
デバイスのリスト内のコンピュータをブロックする、またはコンピュータをリストから削除することがで
きます。ブロックされたコンピュータは、後から必要に応じてブロックを解除することができます。
7
セットアップ
LANDesk Management Gateway のセットアップの概
要
LANDesk Management Gateway はセキュアなインターネットアプライアンスです。セットアップに
際しては、インターネット、ネットワーク、ハードウェア設定の問題に関する、以下を含む十分な知識
が必要です。
•
管理ゲートウェイをインストールするネットワーク上の位置
•
インターネットアプライアンスへの接続方法
•
公開アドレスとプライベートアドレスの違い
•
名前解決の方法
•
CD-ROM からの起動方法
注意： LANDesk Management Gateway を LANDesk Server Manager と組み合わせて使用する
には、LANDesk Server Manager 8.6 と LANDesk Management Suite 8.6 の両方をインストール
するデュアルインストールを実行する必要があります。デュアルインストールの詳細については、
「LANDesk Server Manager インストールおよび導入ガイド」を参照してください。
セットアップフェーズ
LANDesk Management Gateway のセットアップは 3 つのフェーズで構成され、次の順序で完了す
る必要があります。
•
フェーズ 1：管理ゲートウェイサーバをセットアップおよびインストールします。これは、コア
と被管理デバイスの間で接続を管理し、データをルーティングするためのセキュアなインタ
ーネットサーバとして機能する専用のコンピュータです。
•
フェーズ 2：管理ゲートウェイを使用するようにコアサーバを設定します。この設定はコア
サーバ上のコンソールから行う必要があります。
•
フェーズ 3：管理ゲートウェイ経由で接続するように被管理デバイスを設定します。管理ゲ
ートウェイを経由したリモートコントロールサポートを要求するだけの被管理デバイスにつ
いては、このステップでは LANDesk Management Suite クライアントソフトウェアのインス
トールまたは再インストールのみを行います。その他の被管理デバイス上では、インストー
ル後に BrokerConfig.exe を実行する必要があります。
8
セットアップ
フェーズ 1： LANDesk Management Gateway サーバ
のセットアップ
セットアップは起動可能なインストール CD を使用して行います。セットアップのために、Linux に関
する特別な知識は必要ありません。
注意
•
オペレーティングシステムまたはその他のソフトウェアを事前にインストールする必要はあ
りません。
•
ゲートウェイネットワークを設定するためには、静的 IP アドレス、ネットマスク、およびデフォ
ルトゲートウェイの情報が必要です。
•
LANDesk Management Gateway をセットアップするときは、セットアップに使用する IP ア
ドレスとその他のネットワーク情報を必ず記録しておいてください。この情報は後から参照で
きるように大切に保管してください。
•
セットアップ後、管理ゲートウェイインタフェースまたは管理ゲートウェイ Web インタフェー
スから行う以外の方法で、管理ゲートウェイサーバの設定を変更しないでください。
セットアップ構成
以下の図は、LANDesk Management Gateway の 2 種類の典型的なセットアップ構成を示したもの
です。
インターネットに直接アクセスするセットアップ構成
9
LANDesk Management Gateway 3.0 導入ガイド
DMZ 環境の内部へのセットアップ構成
ハードウェア要件
LANDesk Management Gateway を使用するには、以下の要件を満たすハードウェアが必要です。
マルチプロセッサ構成、またはより多くのメモリを搭載した、より高速に動作するサーバを用意し、十
分なネットワーク帯域幅を確保することで、処理可能な同時接続数を向上させることができます。
•
Intel Pentium® 4 プロセッサまたは同等以上の性能のプロセッサ
•
1GB RAM
•
1 枚または 2 枚のサポートされている NIC(2 枚の NIC を推奨。DMZ タイプのインストール
には 2 枚の NIC が必要)
•
起動可能な CD-ROM
•
40GB のハードディスク空き容量
•
ビデオカード
注意：正式にサポートされている NIC およびコントローラの一覧については、「付録 3：サポート対
象の NIC とコントローラ」を参照してください。
管理ゲートウェイのセットアップ
警告：インストール CD は、インストール先のハードディスク上の既存の情報をすべて消去します。
インストールの前に必ず、必要な情報がすべてバックアップされていることを確認してください。イン
ストールにはデュアルブートオプションは用意されていません。
1. 必要であれば、システムの BIOS セットアッププログラムを使用して起動順を変更し、コンピ
ュータがハードディスクから起動する前に CD ドライブ内の起動可能ディスクを探すように
設定します。
2. 起動可能な CD ドライブに、LANDesk Management Gateway のインストール CD を挿入
します。
3. コンピュータを再起動します。
4. 画面上のインストール指示に従います。
5. 指示に従い、CD を取り出してシステムを再起動します。
6. スタートアップ時に、初回起動ウィザードが自動的に実行されます。
7. 画面上の指示に従い、パスワードを指定します。
10
セットアップ
8. ユーザ名 admin と、指定したパスワードを使用してログインします。
9. 管理ゲートウェイが使用するネットワーク設定を変更します。
11
LANDesk Management Gateway 3.0 導入ガイド
フェーズ 2：コアサーバの設定
フェーズ 1 の完了後、LANDesk Management Gateway 経由で接続するようにコアサーバを設定
する必要があります。この手順は、ゲートウェイを使用するように被管理デバイスを設定する前に完
了する必要があります。
注意： [Gateway の構成]オプションはメインコンソールだけで使用でき、追加管理コンソールからは
利用できません。ゲートウェイの設定は LANDesk 管理者権限を持つユーザだけが変更できます。
1. コアサーバ上のコンソールから、[構成] > [管理ゲートウェイ]をクリックします。
2. [ゲートウェイ情報]タブで、ゲートウェイ情報を指定します。
3. ゲートウェイがその公開アドレスと異なる内部アドレスを使用する(たとえば、DMZ 環境にゲ
ートウェイをセットアップした)場合、[別の内部アドレスを使用する]チェックボックスをオンに
し、内部名と内部 IP アドレスを指定します。
4. ゲートウェイがプロキシを使用する場合、[プロキシを使用する]チェックボックスをオンにし、
プロキシ設定を指定します。
5. [設定のテスト]をクリックして、ゲートウェイへのコアサーバの接続をテストします。
6. テストが失敗した場合、入力した情報を確認して誤りがあれば修正し、再び[設定のテスト]を
クリックして、接続が機能するかどうか確認します。
7. [証明書]タブをクリックします。
8. [ゲートウェイにポストする]をクリックします。
9. [OK]をクリックして証明書を送信します。
12
セットアップ
フェーズ 3：被管理デバイスの設定
セットアップフェーズ 1 および 2 を完了した後で、LANDesk Management Gateway 経由でコアに
接続するように被管理デバイスを設定する必要があります。被管理デバイスを設定するためのオプ
ションには次の 3 つがあります。
•
管理ゲートウェイ経由で接続するように、個々の被管理デバイスを手動で設定する。このタ
イプの設定により、LANDesk Management Suite および LANDesk Server Manager の機
能がゲートウェイ経由で有効になります。
•
モバイルデバイスがローカルネットワークに接続している間に、それらのデバイスに設定を
「プッシュ」する。これは、ローカルネットワークから切断した後も管理ゲートウェイ経由で接
続できるようにモバイルデバイスを設定する簡単な方法です。このタイプの設定により、個
別の被管理デバイスを手動で設定しなくても、LANDesk Management Suite および
LANDesk Server Manager の機能がゲートウェイ経由で有効になります。
•
オンデマンドリモートコントロール専用に被管理デバイスを設定する。
被管理デバイスを手動で設定するには
1. 被管理デバイス上のコマンドプロンプトから、BrokerConfig.exe と入力します(起動オプシ
ョン-h を指定すると、その他の有効な起動オプションの一覧を参照できます)。
2. [証明書の要求]タブで、LANDesk コンソールのユーザ名とパスワードを入力して[送信]をク
リックします。
3. [テスト]をクリックして、被管理デバイスからゲートウェイへの接続をテストします。
4. テストが失敗した場合、入力した情報を確認して誤りがあれば修正し、再び[テスト]をクリッ
クして、接続が機能するかどうか確認します。
5. [ゲートウェイ情報]タブをクリックします。
6. 被管理デバイスがプロキシ経由でインターネットにアクセスする場合、Internet Explorer の
プロキシ設定を指定します。
7. LANDesk コアへの最適な接続方法を選択します。
8. [更新]または[閉じる]をクリックします。
ネットワークに接続されている間のモバイルデバイスに設定を「プッシュ」するには
1. [スクリプトの管理]ウィンドウで、[スクリプト] > [すべての他のスクリプト]をクリックします。
2. [Create Management Gateway client certificate]をクリックします。
3. [スケジュール]ボタンをクリックします。[スケジュールされているタスク]ウィンドウが表示され、
スクリプトがこのウィンドウに追加され、タスクに変化します。
4. [ネットワーク表示]で、タスクの実行対象デバイスを選択し、[スケジュールされているタスク]
ウィンドウ内のタスクの上にドラッグします。
5. [スケジュールされているタスク]ウィンドウで、タスクのショートカットメニューから[プロパティ]
をクリックします。
6. [タスクのスケジュール]ページで、タスクの開始時間を設定して[保存]をクリックします。
13
LANDesk Management Gateway 3.0 導入ガイド
オンデマンドリモートコントロール専用にデバイスを設定するには
•
セットアップフェーズ 1 および 2 を完了した後で、クライアントソフトウェアをインストールし
ます。被管理デバイスは、リモートコントロールを要求する前に、オンデマンドリモートコン
トロールエージェントをダウンロードしてインストールする必要があります。詳細については、
「リモートコントロール」を参照してください
14
リファレンス
管理ゲートウェイ管理コンソールの使用方法
管理コンソールを使用して、セットアップ時の管理ゲートウェイの設定や、セットアップ後の設定変更
を行うことができます。
[Network settings] (ネットワーク設定)
ネットワーク接続を追加、削除、または編集する、ホスト名/ドメインを指定または変更する、名前解決
設定を編集するなどの作業には、[Network settings]を使用します。
ネットワーク接続を追加するには
1. [Network settings]をクリックします。
2. [Network Connections]をクリックし、[Add]をクリックします。
3. アドレス、ネットマスク、およびゲートウェイを指定します。
4. [OK]をクリックします。
ネットワーク接続を編集するには
1. [Network settings]をクリックします。
2. [Network Connections]をクリックします。
3. 編集する接続を選択して[Edit]をクリックします。
4. アドレス、ネットマスク、およびゲートウェイを指定します。
5. [OK]をクリックします。
ネットワーク接続を追加または削除するには
1. [Network settings]をクリックします。
2. [Network Connections]をクリックします。
3. 削除する接続を選択します。
4. [Del]をクリックします。
5. [OK]をクリックします。
ホスト名/ドメインを指定または変更するには
1. [Network settings]をクリックします。
2. [Hostname / Domain]をクリックします。
3. ホスト名とドメインを指定します。
4. [OK]をクリックします。
15
LANDesk Management Gateway 3.0 導入ガイド
名前解決設定を編集するには
1. [Network settings]をクリックします。
2. [DNS settings]をクリックします。
3. リストから DNS サーバを選択するか、または IP アドレスを指定し、[Add]をクリックして
DNS サーバをリストに追加します([Del]をクリックして、選択された DNS サーバをリストから
削除することもできます)。
4. 検索に付加する任意の条件を追加します。
5. [OK]をクリックします。
[Gateway control] (ゲートウェイ制御)
ゲートウェイサービスまたはファイアウォールサービスを開始または停止するには、[Gateway
control]を使用します。
ゲートウェイサービスまたはファイアウォールサービスを開始または停止するには
1. [Gateway control]をクリックします。
2. 開始または停止するサービスの[Start]または[Stop]ボタンをクリックします。
[User accounts] (ユーザアカウント)
管理ゲートウェイユーザのパスワードの再設定、ロックアウトの削除をするには[User accounts]を
使用します。
パスワードを再設定するには
1. [User accounts]をクリックします。
2. パスワードを再設定するアカウントを選択します。
3. [Reset password]をクリックします。
4. 新しいパスワードを指定します。
5. [OK]をクリックします。
すべてのロックアウトを削除するには
1. [User accounts]をクリックします。
2. [Remove all lockouts]をクリックします。
16
リファレンス
管理ゲートウェイ Web コンソールへのログイン
注意：証明書の管理やゲートウェイ設定の変更を行うには、admin としてログインする必要がありま
す。
LANDesk Management Gateway にログインするには
1. ブラウザを開きます。
2. [アドレス]フィールドに http://hostname と入力します。hostname の部分には LANDesk
Management Gateway のホスト名を指定します。
3. [Management Gateway console]をクリックします。
4. ユーザ名とパスワードを入力します。
5. [OK]をクリックします。
17
LANDesk Management Gateway 3.0 導入ガイド
コア証明書の管理
LANDesk Management Gateway にコア証明書を追加する最も簡単な方法は、コアサーバ上のコ
ンソールから証明書を送信することです。証明書の内容をコピーして管理ゲートウェイコンソールに
貼り付ける方法により、コア証明書を手動で追加することもできます。
コアサーバ上のコンソールから証明書を送信するには
1. コアサーバ上のコンソールから、[構成] > [管理ゲートウェイ]をクリックします。
2. [証明書]タブをクリックします。
3. [ゲートウェイにポスト]をクリックします。
証明書の送信に成功すると、[ゲートウェイにポスト]ボタンの下にリンクとしてその証明書が表示され
ます。
管理ゲートウェイ Web コンソールを使用して証明書を手動で追加するには
1. 追加する証明書をテキストエディタで開きます。
2. 証明書の本文全体をコピーします。
3. 管理ゲートウェイコンソールで、[Manage core certificates]をクリックします。
4. [Add a certificate]をクリックします。
5. コピーした証明書のテキストをテキストボックスに貼り付けます。
6. [Save]をクリックします。
証明書を削除するには
•
管理ゲートウェイ Web コンソールから、削除する証明書と関連付けられた[Remove]リンク
をクリックします。
18
リファレンス
クライアント証明書の管理
管理者はコアサーバ上のコンソールから、LANDesk Management Gateway 経由で接続するため
の証明書が与えられた被管理デバイスのリスト内のコンピュータをブロックまたは削除することがで
きます。ブロックされたコンピュータはリストに残り、後からブロックを解除することができます。
ブロックされた証明書の一覧は LANDesk Management Gateway から参照可能です。
クライアントコンピュータをブロックまたは削除するには
1. コアサーバ上のコンソールから、[構成] > [管理ゲートウェイ]をクリックします。
2. [証明書]タブをクリックします。
3. [クライアント証明書を管理する]をクリックします。
4. ブロックまたは削除するコンピュータを選択します。
5. [選択項目をブロック]または[選択項目を削除]をクリックします。
6. [OK]をクリックします。
クライアントコンピュータのブロックを解除するには
1. コアサーバ上のコンソールから、[構成] > [管理ゲートウェイ]をクリックします。
2. [証明書]タブをクリックします。
3. [クライアント証明書を管理する]をクリックします。
4. アクセスを再び許可するコンピュータの[ブロック]チェックボックスをオフにします。
5. [OK]をクリックします。
ブロックされたクライアント証明書の一覧を管理ゲートウェイ Web コンソールから参照する
には
•
19
LANDesk Management Gateway Web コンソールから、[Blocked client certificates]を
クリックします。
LANDesk Management Gateway 3.0 導入ガイド
ゲートウェイサービスの設定
ゲートウェイサービスの以下の設定を変更することができます。
•
Verbosity of log messages (ログメッセージの詳細度) ：システムログファイルに保存
される情報の詳細度。
•
Lockout attempts (ロックアウト試行回数) ：ユーザがシステムからロックアウトされるまで
のログイン試行失敗の許容回数。
•
Lockout time (ロックアウト時間) ：ログイン試行失敗後にユーザがシステムからロックア
ウトされるまでの時間(分単位)。
•
Session timeout (セッションタイムアウト) ：アクティブでないセッションが切断されるまで
の時間(分単位)。
•
Additional host names (追加ホスト名) ： (LANDesk Management Gateway が DMZ 内
に位置し、インターネット経由のアクセスのために、ネットワーク内部からのアクセスに使用
するのとは異なる DNS 名を使用する場合などに)このゲートウェイを参照するために使用
できる代替ホスト名、またはドット付き 10 進表記の IPv4 アドレスをスペースで区切って並
べたリスト。
ゲートウェイサービスの設定を変更するには
1. 管理ゲートウェイコンソールから、[Gateway service]をクリックします。
2. 必要な設定変更を行います。
3. [Save]をクリックします。
20
リファレンス
システム設定の変更
LANDesk Management Gateway が使用する日付、時刻、およびタイムゾーンの設定を変更する
ことができます。
ゲートウェイの日付および時刻の設定を変更するには
1. 管理ゲートウェイコンソールから、[System settings]をクリックします。
2. システムの日付と時刻の設定を必要に応じて変更します。
3. [Save]をクリックします。
21
LANDesk Management Gateway 3.0 導入ガイド
ファイアウォール設定の変更
ファイアウォールの設定によって、特定のアドレスまたはアドレス範囲をブロックし、LANDesk
Management Gateway への接続を拒否することができます。
ブロックするアドレスリストを有効または無効にするには
1. 管理ゲートウェイコンソールから、[Firewall]をクリックします。
2. [Enable]または[Disable]をクリックします。
ブロックするアドレスリストにアドレスを追加するには
1. 管理ゲートウェイコンソールから、[Firewall]をクリックします。
2. ブロックするアドレスリスト内の新しい行にアドレスを入力します。標準の IP アドレスに加え
て、アドレス範囲を表すための標準の「スラッシュ表記」を使用できます。
3. [Save]をクリックします。
ブロックするアドレスリストからアドレスを削除するには
1. 管理ゲートウェイコンソールから、[Firewall]をクリックします。
2. ブロックするアドレスリストからアドレスを削除します。
3. [Save]をクリックします。
22
リファレンス
ユーザの管理
ユーザの追加、編集、および削除を行うことができます。ユーザには次の 2 種類があります。
•
管理者：管理者は、他のデバイスをリモートコントロールする、他のユーザを追加する、管
理ゲートウェイ上の設定を変更するなどの作業を行うことができます。
•
非管理者：非管理者は他のデバイスをリモートコントロールすることができます。
注意
•
十分な強度のパスワードを使用する必要があります。
•
[Organization]フィールドを使用して、サポートオペレータのアクセスを制御することができ
ます。被管理デバイスがオンデマンドリモートコントロールエージェントを使用してリモート
コントロールサポートを要求するとき、そのデバイスは所属先の組織を指定する必要があり
ます。その被管理デバイスは、その組織に所属するオペレータのリスト上にしか表示されま
せん。[Organization]フィールドにアスタリスク(*)を入力すると、リモートコントロールサポー
トを要求するすべての被管理デバイスをユーザが参照できるようにすることができます。
新しいユーザを追加するには
1. [Users]をクリックします。
2. [Add]をクリックします。
3. 追加するユーザの情報を入力します。
4. 作成するユーザに管理者権限を付与する場合、[Admin privilege]チェックボックスをオン
にします。
5. [Save]をクリックします。
ユーザを編集するには
1. [Users]をクリックします。
2. 編集するユーザと関連付けられた[Edit]リンクをクリックします。
3. 変更するユーザ情報を編集します。
4. [Save]をクリックします。
ユーザのパスワードを設定または変更するには
1. [Users]をクリックします。
2. パスワードを変更するユーザと関連付けられた[Set Password]リンクをクリックします。
3. 新しく設定するパスワードを入力し、確認のため再入力します。
4. [Save]をクリックします。
注意：デフォルトの Admin および Service アカウントのパスワードは管理コンソールからしか変更
できません。
ユーザを削除するには
1. [Users]をクリックします。
23
LANDesk Management Gateway 3.0 導入ガイド
2. 削除するユーザのチェックボックスをオンにします。
3. [Remove]をクリックします。
24
リファレンス
電子メール設定の変更
LANDesk Management Gateway が定期レポートを送信する電子メールアドレスおよび SMTP 中
継ホストを指定することができます。
電子メールを設定するには
1. 管理ゲートウェイコンソールから、[E-mail]をクリックします。
2. 管理者の電子メールアドレスを指定します。
3. 必要に応じて、SMTP 中継ホストを指定します。
4. [Test]をクリックして、指定されたアドレスへの電子メール送信をテストします。
5. [Save]をクリックします。
25
LANDesk Management Gateway 3.0 導入ガイド
レポートの表示
LANDesk Management Gateway には、以下の種類のレポートが用意されています。
•
System log (システムログ) ：接続時間、転送済みバイト数、ID 情報などの接続情報を表
示します。エントリは 90 日後にログから削除されます。
•
File system report (ファイルシステムレポート) ：ファイルシステムに加えられた変更を
表示します。侵入を検出する目的で使用できます。
•
Gateway connection table (ゲートウェイ接続テーブル) ： LANDesk Management
Gateway への現在の接続をすべて表示します。このレポートは、技術サポートが必要にな
った場合のための診断用ツールとして用意されています。
•
Gateway service status (ゲートウェイサービスのステータス) ：ゲートウェイサービスに
ついての統計を表示します。
レポートを表示するには
1. 管理ゲートウェイコンソールから、[Reports]をクリックします。
2. 表示するレポートをクリックします。
26
リファレンス
ソフトウェア配布とパッチ管理
LANDesk Management Gateway を LANDesk Management Suite または LANDesk Server
Manager と組み合わせて使用するとき、管理ゲートウェイを経由する通信は常に被管理デバイスに
よって開始される必要があります。言い換えると、被管理デバイスはコアにデータを送信することや、
コアからのデータを要求することができますが、コアは要求されていないデータを被管理デバイスに
「プッシュ」することはできません。管理ゲートウェイ経由で接続している被管理デバイスはコアサー
バとしか接続できないため、ソフトウェア配布パッケージとパッチはどちらも、コア上に位置する Web
共有から、ポリシーベースの配信方法によって配信される必要があります。ソフトウェア配布のため
の Web サーバのセットアップについて、詳しくは「LANDesk Management Suite ユーザーズガイ
ド」の「ソフトウェア配布の使用方法」の章の「配布サーバの設定」を参照してください。
27
LANDesk Management Gateway 3.0 導入ガイド
リモートコントロール
被管理デバイスが LANDesk Management Gateway 経由でリモートコントロールを要求する前に、
管理ゲートウェイ経由で接続するようにそのデバイスを設定する(「フェーズ 3：被管理デバイスの設
定」を参照)か、またはそのデバイスにオンデマンドリモートコントロールエージェントをダウンロード
してインストールする必要があります。
接続が確立された後は、LANDesk Management Gateway を経由して、LANDesk Management
Suite のリモートコントロール機能と同等のリモートコントロール操作を実行することができます。リ
モートコントロール機能の詳細については、「LANDesk Management Suite ユーザーズガイド」の
「リモートコントロールの使用方法」の章を参照してください。
オンデマンドでのダウンロードおよびインストール用のリモートコントロールエージェントを作成する
には
1. コアサーバ上のコンソールから、[構成] > [管理ゲートウェイ]をクリックします。
2. [証明書]タブをクリックします。
3. [作成]をクリックします。
4. 組織名を指定します。
5. [保存]をクリックします。
6. リモートコントロールエージェントを保存する場所を選択します。
7. [保存]をクリックします。
リモートコントロールエージェントの作成後、CD でエージェントを配布する、または、被管理デバイ
スがアクセスしてダウンロードできる場所にエージェントを送信することができます。
被管理デバイスから管理ゲートウェイ経由でリモートコントロールを要求するには
1. [スタート]メニューから、[LANDesk ゲートウェイアクセス]をクリックします。
2. ユーザ名、パスワード、および組織を指定します。
3. [OK]をクリックします。
LANDesk コンソールからリモートコントロールセッションを開始するには
1. [デバイスリスト]で、リモートコントロールを要求した被管理デバイスを右クリックします。
2. [管理ゲートウェイリモートコントロール]をクリックします。
28
付録
付録 1：よくある質問(FAQ)
LANDesk Management Gateway で使用されるのはどのポートですか。
LANDesk Management Gateway は HTTPS プロトコル上でのセキュア SSL 用に 443 番ポートを
使用します。80 番ポートも開放され、22 番ポートは SSH v2 を介して管理ゲートウェイを管理するた
めに使用できます。
接続にプロキシが不要なときにプロキシアドレスの指定を要求されるのはどうしてですか。
被管理デバイスがLANDesk Management Gatewayと通信できない場合、デバイスはプロキシをチ
ェックし、プロキシアドレスの指定を要求します。プロキシサーバを使用しない場合、このメッセージ
は誤解を招く可能性があります。これは実際には、被管理デバイスとLANDesk Management
Serverの間の接続の問題を示すものです。問題を診断および解決する方法については、「トラブル
シューティング」の情報を参照してください。
LANDesk Management Gateway が使用するのはどのバージョンの Linux ですか。
LANDesk Management Gateway は、カーネル 2.6.12 を使用する LDLinux を使用します。このバ
ージョンはオープンソースであり、ベンダ固有のコンポーネントは含まれていません。
このバージョンの Linux にパッチを適用する、またはバージョンをアップグレードすることは
可能ですか。
いいえ。LANDesk Management Gateway はユーザが選択したコンピュータ上にインストールされ
ますが、その機能はアプライアンスに非常に近いものであり、変更は推奨されていません。推奨され
る不具合の修正またはアップグレードは、適宜 LANDesk から公開されます。
LANDesk Management Gateway 上に他のパッケージをインストールしても問題ないでし
ょうか。
他のパッケージのインストールはサポートされていません。
LANDesk Management Gateway 上で SQL データベースを設定する方法を教えてくださ
い。
LANDesk Management Gateway 上の SQL データベースはセットアップの間に自動的に設定され、
それ以上の設定は不要であり、行うこともできません。
LANDesk Management Gateway を再設定することはできますか。
LANDesk Management Gateway のインタフェースから設定変更を行うことができます。それ以外
の再設定を行うことはできません。
29
LANDesk Management Gateway 3.0 導入ガイド
LANDesk Management Gateway には誰がアクセスできますか。
既定では、2 つのローカルアカウントがインストールされます。
•
Admin：このアカウントは、ローカルユーザアカウントの追加または削除と、LANDesk
Management Gateway の設定変更を行う権限を持ちます。
•
Service：このアカウントは admin に似た権限を持ち、コアサービス接続を作成するため
に使用されます。
追加のアカウントを作成し、上記以外のユーザにアクセス権限を付与することができます。
起動メニューのどの部分の設定を変更できますか。
起動メニューの設定は変更できません。
30
付録
付録 2：トラブルシューティング
接続の問題
LANDesk Management Gateway で発生する問題のほとんどは接続に関する問題であり、無効な
IP アドレスまたは DNS エントリによって引き起こされます。コアおよび被管理デバイスの両方から、
LANDesk Management Gateway 経由の接続をテストすることができます。これにより、接続の障
害が発生している箇所を特定して、問題を解決することができます。
コアから被管理デバイスへの接続をテストする方法
1. コアサーバ上のコンソールから、[構成] > [管理ゲートウェイ]をクリックします。
2. [設定のテスト]をクリックします。
被管理デバイスからコアへの接続をテストする方法
1. 被管理デバイス上のコマンドプロンプトから、BrokerConfig.exe と入力します。
2. [テスト]をクリックします。
注意
•
ユーザ名とパスワードを指定せずに[テスト]をクリックすると、有効な証明書がチェックされ、
管理ゲートウェイを経由したコアへの接続がテストされます。
•
ユーザ名とパスワードを指定して[テスト]をクリックすると、有効な証明書のチェックを省略し
て、管理ゲートウェイ経由の接続がテストされます。
接続の問題のトラブルシューティング
ポリシーの問題によって CGI 処理の開始が妨げられ、その結果、被管理デバイスとコアの間の通信
が妨げられる場合があります。
CGI プログラムをチェックするには
1. コアサーバから、ゲートウェイサービスを停止します([構成] > [管理ゲートウェイ]をクリック
し、ダイアログ下部の停止ボタンをクリックします)。
2. 被管理デバイスから、証明書を要求します(被管理デバイス上のコマンドプロンプトから
BrokerConfig.exe と入力し、[証明書の要求]タブで LANDesk コンソールのユーザ名とパ
スワードを入力し、[送信]をクリックします)。
3. コアサーバ上で、Progam Files\LANDesk\ManagementSuite\brokerreq ディレクトリ
に.csr ファイルが作成されているかどうか確認します。
.csr ファイルが作成されている場合、接続の問題の原因は CGI の問題ではありません。ファイルが
作成されていない場合、CGI プロセスが開始できるように 2 つのポリシーを編集する必要がありま
す。
4. Windows のコントロールパネルから[管理ツール]をクリックし、[ローカルセキュリティポリ
シー]をクリックします。[プロセスのメモリクォータの増加]および[プロセスレベルトークンの
置き換え]を編集し、これらのポリシーにユーザ IUSR_<サーバ名>が含まれていることを確
認します。
5. ゲートウェイサービスを再開します。
31
LANDesk Management Gateway 3.0 導入ガイド
詳細については、Microsoft インターネットインフォメーションサービス (IIS) マネージャヘルプの
「CGI プロセスが開始されない」を参照してください。
被管理デバイスが、デバイスの現在の証明書を使用して接続できない
被管理デバイスのデバイス ID は、デバイスが認証のために使用する証明書に格納されます。被管
理デバイスのデバイス ID が変化した場合、その被管理デバイスは、ゲートウェイを経由してコアに
接続する前に新しい証明書を要求する必要があります。
1. 被管理デバイス上のコマンドプロンプトから、BrokerConfig.exe と入力します。
2. [証明書の要求]タブで、LANDesk コンソールのユーザ名とパスワードを入力して[送信]をク
リックします。
被管理デバイスに「Connection not configured for Management Gateway access」
(Management Gateway アクセスのための接続が未設定)というエラーが返される
コアサーバをセットアップする前に被管理デバイスがセットアップされた場合、管理ゲートウェイのア
ドレスを使用してデバイスを設定する必要があります。
1. 被管理デバイス上のコマンドプロンプトから、BrokerConfig.exe と入力します。
2. [ゲートウェイ情報]タブをクリックします。
3. ゲートウェイの IP アドレスを指定します。
4. [更新]をクリックします。
被管理デバイスが LANDesk ソフトウェア配布ポータルにアクセスできない
この問題は、Internet Explorer で、管理ゲートウェイを使用するための設定が正しく行われていない
場合に発生する可能性があります。ローカルアドレスがプロキシを迂回できるように、被管理デバイ
ス上の Internet Explorer の設定を変更することで問題を回避できます。
コアは管理ゲートウェイに証明書を送信することができ、[設定のテスト]ボタンをクリックす
ると「Settings test successful」(設定テスト成功)の応答が返されるが、被管理デバイスが
管理ゲートウェイ経由でコアに接続できない
この問題は、コアがプロキシ経由で管理ゲートウェイに接続するように設定されているが、
[Management Gateway 構成]ダイアログからプロキシ設定を指定しなかった場合に発生する可能
性があります。プロキシ設定を Microsoft Internet Explorer に対して指定した場合、[Management
Gateway 構成]ダイアログの[設定のテスト]ボタンおよび[ゲートウェイにポストする]ボタンをクリック
すると、テストにはそれらの設定が使用されてテストは成功しますが、管理ゲートウェイサービスは
それらの設定を使用せず、接続に失敗します。BrokerService.log ファイルには、ゲートウェイサー
ビスが管理ゲートウェイの IP アドレスに接続できなかった、あるいは設定が見つからなかったことを
示すメッセージが記録される場合があります。
この問題を解決するには、次の手順に従います。
1. コアサーバ上のコンソールから、[構成] > [管理ゲートウェイ]をクリックします。
2. [ゲートウェイ情報]タブで[プロキシを使用する]チェックボックスをオンにし、Internet
Explorer に対して指定したのと同じプロキシ設定を指定します。
3. [設定のテスト]をクリックして、コアサーバがゲートウェイに接続できるかどうかテストします。
4. テストが失敗した場合、入力した情報を確認して誤りがあれば修正し、再び[設定のテスト]
をクリックして、接続が機能することを確認します。
32
付録
5. [OK]をクリックします。
その他の問題
Admin アカウントがロックアウトされる
ゲートウェイの Web インタフェースから admin アカウントがロックアウトされた場合、ゲートウェイの
管理コンソールからロックアウトを削除することができます。
1. 管理コンソールにログインします。
2. [User accounts]をクリックします。
3. [Remove all lockouts]をクリックします。
33
LANDesk Management Gateway 3.0 導入ガイド
付録 3：サポート対象の NIC とコントローラ
このリストの更新については、LANDesk 知識ベース(http://kb.landesk.com)で確認してください。
サポート対象の NIC
•
Broadcom 440x10/100
•
Intel ® Pro/100
•
VIA Rhine II
•
VIA - Rhine II Fast Ethernet Adapter
•
3Com 3C905BTX
•
Intel Pro 1000 MT
•
Broadcom NetXtreme Gigabit Ethernet
•
Intel Pro 1000
•
DUAL intel pro 1000 - 10.16.238 subnet
•
Intel Pro/1000XT
•
Realtech RTL 8139
•
Intel 82544GC 10/100
•
DUAL Intel PRO/1000 MT Dual Port NIC
•
Intel PRO/1000 CT
•
Intel 82547 Gigabit
•
Intel 6300 ESB
•
Intel 82559
•
Intel 8355x-based Enet 10/100
•
Intel Pro 1000 VE
•
Intel 82545 EM Gigabit Eth. Controller (Copper) (Rev 01)
注意：ドライバが入手可能な場合、Marvel Yukon NIC ファミリもサポートされます。
サポート対象のコントローラ
IDE
IDE コントローラをサポートしています。
SATA
以下のコントローラの動作が検証されています。
•
Silicon Image SiI 3112 SATALink Controller
•
Intel 6300ESB SATA Storage controller
•
Dual 3M-ST340014A
•
Computer Corporation Smart Array 5i/532 (rev01)
34
付録
•
SATA Controller - On-board Intel 82801DB Ultra ATA
SCSI
以下のコントローラの動作が検証されています。
•
Maxtor SCSI ultra 320
•
Adaptec AIC-7902 U320
•
LSI Controller Single channel integrated LSI 1020 Ultra320 SCSI controller
•
2 Imbedded Adaptec AIC-7902 Based Ultra320
•
2 MegaRAID SCSI-320-2 RAID Controllers
•
Adaptec AIC-7892 Ultra160 PCI SCSI Card
•
Adaptec AIC 2110 S
RAID
以下のコントローラの動作が検証されています。
35
•
LSI Controller Single channel integrated LSI 1020 Ultra320 SCSI controller (ハードウ
ェア RAID)
•
Computer Corporation Smart Array 5i/532 (rev01) (ハードウェア RAID)
•
2 MegaRAID SCSI-320-2 RAID Controllers (ハードウェア RAID)

Download Report