ePO では、リモート コマンドを送信するユーザーを認証する証明書を受け入れることができます。 このアプローチを利用すれば、リモート コマンドを安全に実行できます。
この記事では、リモート コマンドの証明書ベースの認証用に ePO を設定する方法を説明します。
始める前に
、OpenSSL 等のツールを使って、以下の証明書を作成するか、またはサービス プロバイダーから購入してください。
- 認証局 (CA) 証明書
- ユーザー証明書
- サーバー証明書
リモート コマンドの証明書ベースの認証用に ePO を設定するには:
- ePO コンソールにログオンします。
- 証明書ベースの認証を設定します。
- メニュー、設定、サーバー設定、証明書ベースの認証 の順に選択し、編集 をクリックします。
- Enable certificate-based Authentication (証明書ベースの認証を有効にする) を選択します。
- CA 証明書をインポートし、必要に応じて、パスワードを入力し、保存 をクリックします。
- McAfee ePolicy Orchestrator 5.x アプリケーション サーバー サービスを再起動します。
- スタート、ファイル名を指定して実行 の順にクリックし、services.msc と入力して、OK をクリックします。
- 次のサービスを右クリックして、再起動 を選択します。
McAfee ePolicy Orchestrator 5.x Server
- サーバー証明書をアップロードする:
- メニュー、設定、サーバー設定、サーバー証明書 を選択します。
- サーバー証明書と秘密鍵をインポートします。
- 必要に応じて、秘密鍵のパスワードを入力し、保存 をクリックします。
- McAfee ePolicy Orchestrator 5.x アプリケーション サーバー サービスを再起動します。
- スタート、ファイル名を指定して実行 の順にクリックし、services.msc と入力して、OK をクリックします。
- 次のサービスを右クリックして、再起動 を選択します。
McAfee ePolicy Orchestrator 5.x Server
- 証明書ベースの認証用にユーザーを設定する:
- メニュー、ユーザー管理、ユーザー の順にクリックして、新規ユーザー をクリックします。
- 名前と説明を入力します。
- Select 証明書ベースの認証 を選択します。
- ユーザー証明書をインポートします。
- 保存 をクリックします。
- cURL をダウンロードして、設定したユーザーのクライアント システムにインストールします。
これで、cURL を使って、リモート ePO コマンドを実行できます。 たとえば、クライアントシステムから、次のコマンドを実行して、ePO サーバーにインストールされている拡張ファイルのリストを返します:
curl -k -X GET -u asher: --cert ./ClientCert.pem:HelloWorld --key ./privateKeyclient.pem "https://ePOIPAddress:8443/remote/ext.list"
ここで:
- "asher" はユーザー名です。 パスワード ("asher" の後の ":" の前) がヌルであることに注意してください。
- "ClientCert.pem" はクライアント証明書です。
- "ClientCert.pem:" に続く "HelloWorld" は、キーストア パスワードです。
- "privateKeyclient.pem" は、秘密鍵です。
- "ePOIPAddress" は、ePO サーバーの IP アドレスです。
このコマンドを実行すると、次のようなインストールされた拡張ファイルの一覧が返されます:
OK:
rs 5.7.0.0 installed admin 2016-02-08 19:38:03.287
ComputerMgmt 5.6.0.349 installed admin 2016-02-08 20:16:27.307
Issue 5.7.0.0 installed admin 2016-02-08 19:38:15.33
SoftwareMgmt 5.6.0.349 installed admin 2016-02-08 20:16:31.533
auth 5.7.0.0 installed admin 2016-02-08 19:38:19.68
ProductDeployment 5.6.0.349 installed admin 2016-02-08 20:16:57.68