================================================================================ SECUREMATRIX(R) Version 3.5.0 アップデータについて 2011 年 12 月 28 日 株式会社シー・エス・イー ICT 営業部 ================================================================================ ============================ == ドキュメント改版履歴 == ============================ 初版 2011/12/22 第 2 版 2011/12/28 ================ == はじめに == ================ 本文書では、SECUREMATRIX (以下、SMX) Version 3.5.0 アップデータに関する機能、制 限事項、既知の問題、配布ファイル、対象 SMX バージョンおよび対象ディストリビュー ションについて記述しています。 ============ == 目次 == ============ ======================================================== 1. SMX Version 3.5.0 における機能について 1-1. 新機能 1-2. 改善された機能 1-3. 廃止された機能 2. SMX Version 3.5.0 の制限事項 2-1. アップデート時の制限事項 2-2. アンアップデート時の制限事項 2-3. 管理機能の制限事項 2-4. EasySetup の制限事項 2-5. DESKTOP LOGON の制限事項 2-6. Cluster Manager の制限事項 2-7. SNMP 機能の制限事項 2-8. その他の制限事項 2-9. SMX Version 3.4.0.K と共通の制限事項 2-10. SMX Version 3.3.2 と共通の制限事項 2-11. SMX Version 3.3.1 と共通の制限事項 3. SMX Version 3.5.0 における既知の問題 4. SMX Version 3.5.0 配布ファイル 5. SMX 対象バージョン 6. 対応ディストリビューション 7. アップデート手順について ======================================================== ================================================== == 1. SMX Version 3.5.0 における機能について == ================================================== ==================== == 1-1. 新機能 == ==================== [ SMX 認証サーバ・クラスタ機能 ] 1. 縮退運転状態からの復旧を、運用を停止せずに実行できるようになりました。 [ 管理機能 ] 2. ユーザグループ毎にパスワードポリシーを設定することが可能になりました。 3. ユーザグループ毎に所属可能なユーザ数の上限を設定することが可能になりました。 4. ユーザグループ毎に「レルム」を設定することが可能になりました。レルムを使う ことにより、ユーザグループ毎に同一の UserID および LoginID を登録することが 可能になりました。 5. ユーザグループの配下にユーザグループを作成することが可能になりました。ユーザ グループの多段階階層は、最大で 16 階層まで作成が可能です。 また、配下のユーザグループに対して BROWSER LOGON、RADIUS LOGON、CLOUD LOGON のアクセス設定が可能になりました。 6. RADIUS LOGON における CiscoASA との連携において、iPhone アプリケーションの CiscoASA AnyConnect を使用した CiscoASA へのシングルサインオンが可能になりま した。 また、CiscoASA のトンネルグループ機能 (任意の URL 設定) に対応しました。 [ SNMP 対応 ] 7. SNMP エージェントによる監視が可能になりました。 ============================ == 1-2. 改善された機能 == ============================ [ 管理機能 ] 1. コマンド版管理機能のユーザインポート機能において、アクセス制御情報のインポー トが可能になりました。 2. 管理機能の一部文言 (主に左側メニューの項目名) を新名称に変更しました。 3. 管理機能の TOP 画面に表示される「登録ユーザ数」情報をユーザグループに関する 新機能に伴い、変更しました。 4. 管理機能に不正な URL でアクセスした場合のエラー画面を変更しました。 5. ユーザ管理の検索条件における文字入力欄の項目を、前方一致検索から完全一致検索 に変更しました。また、「*」を使用することで前方一致検索、後方一致検索および 部分一致検索を実行することが可能になりました。 [ EasySetup ] 6. SMX GSB サーバ証明書管理の証明書インポート機能に「中間証明書 (2)」と「ルート 証明書」の入力欄を追加しました。「中間証明書 (2)」を利用することでクロスルー ト証明書のインポートが可能になりました。 7. SMX 設定で設定反映を実行した際に、SMX GSB サーバと SMX ISB サーバの root ユーザの crontab ファイルの内容を、SMX が必要とする記述のみを更新し、その他 の記述内容は保持する動作に修正しました。 8. システム設定において、ホスト名およびドメイン名の入力内容によって /etc/hosts ファイルの更新に失敗する場合がある問題を修正しました。 [ RADIUS LOGON ] 9. FirePass 連携において、FirePass のログオン前シーケンスを使用する際に、複数の ユーザが同時にアクセスすると稀にエラーが発生する問題を修正しました。 10. SSL-VPN シングルサインオン設定の初期値に含まれるドメイン名を securematrix.jp に修正しました。 [ CLOUD LOGON ] 11. サービスプロバイダ情報の入力欄「サービスプロバイダ概要」に、"Attribute:" で 始まる文言を設定した場合、サービスプロバイダへのログイン時に生成する SAML ア サーションに SAML アトリビュートを追加することが可能になりました。 12. ID マッピング設定の UserID 入力に、管理者、副管理者、監査者および副監査者の 権限を持つユーザを入力できないように修正しました。 [ DESKTOP LOGON ] 13. Windows XP および Windows Vista / Windows 7 に適用するモジュールのバージョン アップを行いました。主に文言の変更を行っております。 同梱されるバージョンは以下のとおりです。 ・SMX DESKTOP LOGON for Windows XP Version 2.6.2 ・SMX DESKTOP LOGON for Windows Vista/Windows 7 Version 1.1.3 [ MOBILE LOGON ] 14. お知らせ画面に Copyright を追加しました。 [ ログイン画面 ] 15. パスワード変更時に特定の記号を使用した場合、パスワード確認画面のパスワード情 報が表示されなくなる問題を修正しました。 [ プロセス ] 16. SMX 認証サーバプロセスの起動時において、連携している SMX GSB サーバがアクセ スコントロール情報などを再取得するようになりました。 この改善により、SMX GSB サーバが SMX 認証サーバよりも先に起動した場合にアク セスコントロール情報などが取得できないため、404 エラーが発生する問題が解消さ れました。 17. データベースプロセスがログファイルにエラーメッセージを出力するように修正しま した。 [ バックアップ ] 18. カスタマイズ機能の登録数が 10 件以上の場合においても、バックアップ対象に含ま れるようになりました。 [ その他 ] 19. 暗号アルゴリズムの 2010 年問題への対応として、外部との https 通信および内部 での https 通信で使用できる暗号スイートを変更しました。 なお、共通鍵暗号に 3DES を使用する暗号スイートも、Windows XP 版の Internet Explorer 6 および 7 に対応するため、引き続き使用可能となっております。 20. 一部のディストリビューションにおいて動作している tmpwatch 機能により、SMX プロセスリソース監視機能が正常に動作しなくなる問題を修正しました。 21. Version 3.5.0 では、以下のパッチおよびモジュールにて実装された機能も含まれま す。 ・SMX Version 3.3.1 ・SMX Version 3.3.2 ・SMX MOBILE LOGON for ArraySPX モジュール ・SMX MOBILE LOGON for ユニバーサル機能モジュール ・SMX Version 3.4.0.K 機能拡張モジュール ・SMX Version 3.3 脆弱性対策モジュール ============================ == 1-3. 廃止された機能 == ============================ [ 管理機能 ] 1. システム設定からローミング機能を削除しました。 2. SMX 認証サーバがクラスタ構成の場合に使用する復旧用のコマンド rsyncDB.sh を削 除しました。(※ 復旧は Cluster Manager にて行います。) ======================================== == 2. SMX Version 3.5.0 の制限事項 == ======================================== ====================================== == 2-1. アップデート時の制限事項 == ====================================== 1. アップデートを実行する際は、全ての SMX サーバに対してアップデートを実行する 必要があります。 ※ 異なる SMX バージョンが混在する環境での動作は保証されません。 2. アップデートを実行する際は、SMX の各サーバプロセスの停止が発生するため、運用 停止が伴います。 3. SMX 認証サーバのアップデート実行に必要な時間はデータベースに登録されている データ量に依存します。 以下、アップデート実行時間の一例となります。 ----- アップデート実行時間例 ----- [ アップデート実行環境 ] ・SMX Version 3.3.2 [ アップデート前のデータベース登録データ量 ] ・登録されているユーザ数 : 5,000 ID ・登録されているアクセスログ件数 :1,000,000 件 ・登録されているオペレーションログ件数 : 10,000 件 [ アップデート実行時間 ] 5 分 ---------------------------------- 4. プロセスを停止する service_stop_all.sh を実行した際にプロセス自動起動などの 機能によりプロセス停止が失敗し「エラー」と表示され、プロセス停止が完了しない 場合があります。 その際には再度 service_stop_all.sh を実行し、「SECUREMATRIX のサービスが停止 していることを確認できました」と表示されることを確認してください。 5. アップデート手順は、対象となる SMX バージョンがインストールされている環境に おいてのみ実施可能です。 6. SMX 認証サーバがクラスタ構成の場合、アップデート実行時の前提条件としてデータ ベースの同期状態が正常状態である必要があります。アップデート実行前に管理機能 の「クラスタ運用」−「運用状態」から "データ同期状況" が正常であることを確認 してください。 ※ "データ同期状況" が正常ではない場合はアップデート実行前に Cluster Manager を使用して復旧を実行してください。 7. アップデータを全ての SMX サーバに対してアップデータファイルを配布する機能 (all_deploy.sh) を使用する場合は、SMX 認証サーバとその他の各 SMX サーバ間に おいて SSH 通信が行えることを確認してから実行してください。 ※ all_deploy.sh については「アップデート手順書 (installed.txt)」を参照して ください。 8. アップデート実行時に SMX 各サーバ に対してアップデータファイルを配布する機能 (all_deploy.sh) を使用して /home/smxd 配下にファイルを配布するために必要とな る「/」パーティションの空き容量は、SMX 各サーバで以下のとおりです。 ・SMX プライマリ認証サーバ:約 1,260 MB ・SMX セカンダリ認証サーバ:約 630 MB ・SMX GSB サーバ :約 630 MB ・SMX ISB サーバ :約 630 MB 9. アップデート実行後に /home/smxd 配下 (「/」パーティション) に残存するファイ ルにより使用されるディスク容量は、SMX 各サーバで以下のとおりです。 ・SMX プライマリ認証サーバ:約 840 MB ・SMX セカンダリ認証サーバ:約 420 MB ・SMX GSB サーバ :約 420 MB ・SMX ISB サーバ :約 420 MB ========================================== == 2-2. アンアップデート時の制限事項 == ========================================== 1. アンアップデートを実行する際は、全ての SMX サーバに対してアンアップデートを 実行する必要があります。 ※ 異なる SMX バージョンが混在する環境での動作は保証されません。 2. アンアップデートを実行する際は、SMX の各サーバプロセスの停止が発生するため、 運用停止が伴います。 3. SMX 認証サーバのアンアップデート実行に必要な時間はアップデート前にデータベー スに登録されているデータ量に依存します。 以下、アンアップデート実行時間の一例となります。 ----- アンアップデート実行時間例 ----- [ アップデート実行前の環境 ] ・SMX Version 3.3.2 [ アップデート前のデータベース登録データ量 ] ・登録されているユーザ数 : 5,000 ID ・登録されているアクセスログ件数 :1,000,000 件 ・登録されているオペレーションログ件数 : 10,000 件 [ アンアップデート実行時間 ] 5 分 -------------------------------------- 4. プロセスを停止する service_stop_all.sh を実行した際にプロセス自動起動などの 機能によりプロセス停止が失敗し「エラー」と表示され、プロセス停止が完了しない 場合があります。 その際には再度 service_stop_all.sh を実行し、「SECUREMATRIX のサービスが停止 していることを確認できました」と表示されることを確認してください。 5. アップデート実行後の SMX Version 3.5.0 環境において、管理機能の「バックアッ プ」にて取得したバックアップファイルは、アンアップデート後の環境ではリストア に使用することはできません。 ※ バックアップファイルは、バックアップを取得した SMX バージョンにおいてのみ リストアに使用することが可能です。 6. アンアップデートを実行すると、データベースに登録されているデータはアップデー ト前の状態に戻ります。そのため、アップデート後に登録したユーザ情報や変更した パスワード情報などは削除されます。 7. アップデート後に EasySetup で設定変更した内容は、アンアップデート実行後も保 持されます。ただし、SMX Version 3.5.0 で追加された CLOUD LOGON の「アクセス する中間パス」の設定情報は、アンアップデート実行時に削除されます。 ※ 再度アップデートを実行した場合は初期値 (smx_cloud) となります。 ================================ == 2-3. 管理機能の制限事項 == ================================ [ ユーザ管理 ] 1. ユーザインポートによる一括変更において、登録されているユーザのユーザグループ 移動が実行できる条件は、以下の条件を全て満たしている場合のみとなります。 ・CSV ファイルのフォーマットが「user_csv_ver1.0」である。 ・登録されているユーザの UserID および LoginID がシステムで一意である。 ・登録されているユーザグループに、下位のユーザグループが存在していない。 2. レルム付きの LoginID を検索する場合は、検索条件の LoginID にレルム付きの値を 入力する必要があります。 3. ユーザ一覧表示でユーザグループ名を押下した際の並び替えは、ユーザグループの登 録順での並び替えとなります。 4. ユーザが認証を実行している最中に、当該ユーザのユーザグループ所属を変更した場 合、当該ユーザの認証が失敗します。 5. 検索条件のユーザグループの選択欄を押下する際に、ツリー形式ではない表示になる 場合があります。その場合は再度押下してツリー形式の表示になるか確認してくださ い。 6. 3 万件以上のユーザを一度に表示させた場合、管理機能の画面がフリーズすることが あります。 [ ユーザグループ管理 ] 7. レルムの文字長は最大 64 文字となります。 なお、多段階階層のユーザグループでレルムを設定する場合は、レルムを結合する記 号「.」を含めて最大で 64 文字までとなります。 8. 多段階階層のユーザグループでレルムを設定する場合は、親ユーザグループや配下の ユーザグループのレルムを含めて一意である必要があります。 9. 多段階階層のユーザグループは最大 16 階層まで作成が可能です。 10. 16 番目の階層のユーザグループに所属しているグループマネージャー権限を持つ ユーザ (以下、グループマネージャ) は、新規にユーザグループを作成することはで きません。 11. ユーザグループの変更時に、配下のユーザグループを、親ユーザグループとして選択 することはできません。 12. ユーザグループを削除する際に、所属するユーザの LoginID (レルム付き) が既存の 他ユーザの LoginID (レルム付き) と重複する場合はユーザグループ削除はできませ ん。 13. ユーザグループの設定値「上位ユーザグループお知らせ」がチェック有りの場合、当 該のユーザグループに所属しているグループマネージャは、お知らせの設定ができま せん。 また、当該のユーザグループの配下のユーザグループに所属しているグループマネー ジャも同様にお知らせの設定ができません。 14. ユーザグループの設定値「上位ユーザグループお知らせ」をチェック無しからチェッ ク有りに変更した際も、当該のユーザグループが設定していたお知らせは保持されま す。再度当該の設定値をチェック無しに変更した際は、保持されていたお知らせが再 度使用できます。 15. ユーザグループの設定値「上位ユーザグループパスワードポリシー」がチェック有り の場合、当該のユーザグループに所属しているグループマネージャは、パスワードポ リシーの設定ができません。 また、当該のユーザグループの配下のユーザグループに所属しているグループマネー ジャも同様にパスワードポリシーの設定ができません。 16. ユーザグループの設定値「上位ユーザグループパスワードポリシー」をチェック無し からチェック有りに変更した場合、当該のユーザグループが設定していたパスワード ポリシーは破棄されます。再度当該の設定値をチェック無しに変更した際は、上位の ユーザグループのパスワードポリシーと同じパスワードポリシーが初期値として設定 されます。 [ 仮想ユーザグループ管理 ] 17. SMX Version 3.5.0 では、仮想グループは任意のユーザグループの配下として登録さ れます。 (オーナーユーザグループに所属します。) 仮想グループに所属しているユーザは、ユーザ自身の所属ユーザグループの変更や、 所属ユーザグループの上位ユーザグループ (親ユーザグループ) の変更に伴い、仮想 グループから除名される場合があります。 上記のユーザグループに関係する変更を実行する際は、仮想グループからの除名有無 にご注意ください。 なお、除名を確認する警告は表示されません。 [ システム設定 ] 18. LoginID とレルムを区切るためのセパレータ記号は「# &」から選択可能です。初期 値は「#」となります。 [ パスワードポリシー ] 19. 「パスワードポリシーをもつユーザグループ」の選択欄から選択可能なユーザグルー プは、ユーザグループの設定値「上位ユーザグループパスワードポリシー」がチェッ ク無しになっているユーザグループのみとなります。 20. パスワードアナライズ機能は、監査者権限ユーザ、副監査者権限ユーザおよびパス ワードポリシーの設定が可能なグループマネージャが実行可能です。グループマネー ジャのパスワードアナライズ対象ユーザは、ユーザ管理にて確認できるユーザのみと なります。 [ BROWSER LOGON ] 21. グループマネージャが BROWSER LOGON の設定において、アクセス許可の設定を実行 できる条件は、BROWSER LOGON で登録されている GSB アクセスコントロールに対し て、所属するユーザグループがアクセス可能な場合のみとなります。 [ RADIUS LOGON ] 22. グループマネージャが RADIUS LOGON の設定において、アクセス許可の設定を実行で きる条件は、RADIUS LOGON で登録されている RADIUS クライアントに対して、所属 するユーザグループがアクセス可能な場合のみとなります。 [ CLOUD LOGON ] 23. グループマネージャが CLOUD LOGON の設定において、アクセス許可の設定を実行で きる条件は、CLOUD LOGON で登録されているサービスプロバイダ連携に対して、所属 するユーザグループがアクセス可能な場合のみとなります。 [ お知らせ設定 ] 24. SMX Version 3.3.2 以前に、グループマネージャが設定可能だった「管理者のお知ら せ表示」設定は削除されました。 [ 運用管理 ] 25. パスワードアナライズ実行後の強制変更適用時に送信される通知メッセージ設定は、 監査者権限ユーザおよび副監査者権限ユーザのみ設定可能となります。 [ 監査 ] 26. グループマネージャはオペレーションログ検索を使用できません。 [ コマンド版管理機能 ] 27. コマンド版管理機能は、システム管理者のみの使用としてください。 28. groupImport.sh は、多段階階層のユーザグループには対応していません。 29. importUpdate.sh は、以下の条件を全て満たしている場合のみ、登録されているユー ザのユーザグループ移動が実行可能です。 ・オプションの "-CSV_11" を付与していない。 ・CSV ファイルのフォーマットが「user_csv_ver1.0」である。 ・登録されているユーザの UserID および LoginID がシステムで一意である。 ・登録されているユーザグループに、下位のユーザグループが存在していない。 ================================== == 2-4. EasySetup の制限事項 == ================================== 1. SMX 設定において、SMX 認証サーバの情報入力項目で CLOUD LOGON の設定を行って も、SMX GSB サーバが存在しない場合は CLOUD LOGON は使用できません。 2. SMX 設定において、新規に SMX サーバを追加する場合は、追加対象の SMX サーバの バージョンと追加先の SMX サーバのバージョンを同一にする必要があります。 ====================================== == 2-5. DESKTOP LOGON の制限事項 == ====================================== 1. SMX DESKTOP LOGON for Windows XP Version 2.6.2 のサポート対象 OS は Microsoft Windows XP Professional SP3 となります。 2. SMX DESKTOP LOGON for Windows Vista/Windows 7 Version 1.1.3 のサポート対象 OS は Microsoft Vista Business SP2 および Microsoft Windows 7 SP1 となりま す。 3. サポート対象となる Windows Server (ActiveDirectory) は、以下のとおりです。 ・Windows Server 2003 Service Pack 3 ・Windows Server 2008 Service Pack 2 4. SMX DESKTOP LOGON for Windows Vista/Windows 7 において、ログイン ID に入力可 能な文字数は 127 文字となります。そのため、レルムを使用する際には LoginID お よびレルムの文字数を 127 文字以下にしてください。 ======================================== == 2-6. Cluster Manager の制限事項 == ======================================== 1. Cluster Manager は端末エミュレータソフトウェアから SMX 認証サーバに接続して 実行してください。その際に表示用の文字コードは「UTF-8」を使用してください。 2. Cluster Manager を複数のコンソールから同時に多重実行することはできません。 3. 診断復旧の実行中は、管理機能プロセスが停止します。そのため、診断復旧中は管理 機能および監査機能を使用することはできません。 4. 診断復旧の実行中は、crond プロセスが停止します。そのため、診断復旧中は crond による定期的な処理は実行されません。 5. 診断復旧の実行中は、SMX プライマリ認証サーバと SMX セカンダリ認証サーバ間の ネットワーク通信ができる必要があります。 6. 診断復旧の実行中は、以下の機能を使用しないでください。 ・バックアップ / リストア ・EasySetup 7. 診断復旧は、以下の SMX 認証サーバにおける定期処理の実行中には行わないでくだ さい。 ・毎日 01:00 (有効期限切れとなった認証トランザクションを削除する処理) ・毎日 01:10 (データベースの定期的なメンテナンス処理) ・毎日 03:00 (バックアップ処理) 8. 診断復旧において、同期元のデータベースの選択によっては、運用停止を伴う復旧と なる場合があります。 9. 診断復旧の実行時間は、縮退運転状態の際に発生したログイン認証数や、診断復旧の 実行中に発生したログイン認証数に依存されます。 10. 診断復旧における無停止復旧中に、一時的な認証待ちが発生する場合があります。 11. アクセスログおよびオペレーションログがデータベースに 1 件も登録されていない 場合は、診断復旧実行中における "縮退後の各 SMX 認証サーバのデータ" に表示さ れる「Access 最終日時」および「Operation 最終日時」が「0000-00-00 00:00:00」 と表示されます。 12. SMX 認証サーバマシンの OS 時刻を、過去の時刻に変更した場合、ログ出力が正常に 実行されなくなります。OS 時刻が変更された場合はクラスタプロセスを再起動して ください。 13. SMX プライマリ認証サーバと SMX セカンダリ認証サーバ間のネットワーク通信に異 常が発生した場合、異常発生から最大で 106 秒間は、状態確認、停止および診断復 旧実行時における状況判断ができません。 ============================= == 2-7. SNMP の制限事項 == ============================= 1. SNMP は net-snmp 5.6.1 のみのサポートとなります。 2. SNMP 機能の監視対象および監視間隔を変更することはできません。 3. SNMP 機能では SNMP エージェントのみ用意しています。SNMP マネージャは提供して いません。 4. SMX Version 3.5.0 アップデート後は、SNMP 機能のプロセスは起動しません。 ※ 別途設定が必要となります。 5. EasySetup の SMX 設定において「設定変更」を実行するとプロセスの停止が生じる ため、SNMP 機能の監視により通知メールが送信されます。 6. Cluster Manager の「停止」や「診断復旧」を実行するとプロセスの停止が生じるた め、SNMP 機能の監視により通知メールが送信されます。 ============================== == 2-8. その他の制限事項 == ============================== [ ログイン認証 ] 1. ActiveX モジュールのインストールには、以下の Windows の権限が必要です。 ・Windows XP :PowerUsers 以上の権限 ・Windows Vista :管理者権限 ・Windows 7 :管理者権限 [ MOBILE LOGON ] 2. iPhone 端末で RADIUS LOGON の使用が可能な RADIUS クライアントは Firepass、 JuniperSA、ArraySPX、汎用設定となります。 [ CiscoASA AnyConnect 連携 ] 3. RADIUS LOGON における CiscoASA との連携において、iPhone アプリケーションの CiscoASA AnyConnect を使用する際には、CiscoASA AnyConnect の設定の "External Control" 設定を「Enable」にする必要があります。 [ NEC 製シンクライアント端末 US110 および US10Na 連携 ] 4. ログイン ID に入力可能な文字数は 48 文字となります。そのため、レルムを使用す る際には LoginID およびレルムの文字数を 48 文字以下にしてください。 5. ログイン ID に「&」を入力することはできません。そのため、レルムを使用する際 には「#」を使用してください。 ================================================== == 2-9. SMX Version 3.4.0.K と共通の制限事項 == ================================================== [ CLOUD LOGON ] 1. SMX GSB サーバを利用したログインが可能なサービスプロバイダは「セールスフォー ス・ドットコム」のみです。 2. サービスプロバイダへのログイン前に「お知らせ画面」を表示します。「お知らせ画 面」を非表示にする事はできません。 3. シングルサインオンを実施する場合は SMX 認証画面が表示されないため、パスワー ドを変更する事ができません。 ※ シングルサインオンについて SMX GSB サーバにてマトリクス認証を完了させたブラウザでセッションを保持し ている場合、再度マトリクス認証を実施せずにサービスプロバイダへログイン可 能となります。 4. シングルサインオン時においては、SMX ユーザに付与した「アクセス制御」は適用さ れません。「サービスプロバイダ連携」で設定した「アクセス制御」および「ユーザ 管理」の「ユーザ状態」のみ有効になります。 ・シングルサインオン時に適用されないアクセス制御 (以下 6 つ) [1] 強制ロック [2] 時間ロック [3] 日付ロック [4] 曜日ロック [5] アタックロック [6] 認証回数ロック ・シングルサインオン時に適用されるアクセス制御 (以下 2 つ) [1] アクセスを許可するユーザグループ [2] アクセスを許可する仮想グループ 5. サービスプロバイダ連携の登録数は最大 50 個までとなります。 6. 以下の 2 つのアクセスパスが一致した場合、CLOUD LOGON が優先されるため 「BROWSER LOGON」に設定したパスにアクセスする事はできません。 ・管理機能の「BROWSER LOGON」における「仮想パス」 ・管理機能の「CLOUD LOGON」における「アクセスパス」 7. CLOUD LOGON の動作環境は SMX Version 3.5.0 の動作環境に準拠しますが、以下の ブラウザは動作対象外となります。 ・Microsoft Internet Explorer version 6.0 ================================================= == 2-10. SMX Version 3.3.2 と共通の制限事項 == ================================================= [ MOBILE LOGON ] 1. iPhone 端末による SECUREMATRIX 認証時にパスワード変更はできません。パスワー ド変更は PC 端末で実施してください。 [ ダミーマトリクス表示機能 ] 2. ダミーマトリクス表示機能の ON と OFF を切り替えるには SMX 認証サーバプロセス の再起動が必要なため、約 1 分程度の運用停止が伴います。 3. ダミーマトリクス表示機能が適用される機能は以下の通りです。 (1) SMX 管理機能 / 監査機能 (2) BROWSER LOGON (3) RADIUS LOGON (4) BROWSER TOKEN (5) INTRANET LOGON (6) DESKTOP LOGON (*1) (7) 認証 API (8) NEC 製 シンクライアント端末 US110 および US10Na (*1) オフライン資源による認証時にダミーマトリクス表示機能は適用されません。 [ EasySetup ] 4. SMX GSB サーバ証明書管理において、入力した証明書情報は SMX 内部にて使用され ている証明書の情報には反映されません。SMX 内部にて使用している証明書情報を変 更する場合は「SMX 設定」を実行してください。 ================================================= == 2-11. SMX Version 3.3.1 と共通の制限事項 == ================================================= 共通の制限事項はありません。 ================================================ == 3. SMX Version 3.5.0 における既知の問題 == ================================================ [ 管理機能 ] 1. ユーザグループ情報の表示において、ブラウザの表示サイズに応じて項目名の表示幅 が横長になる場合があります。 2. アクセスログ検索において、ユーザグループに所属しているユーザが RADIUS LOGON の認証に失敗した際のアクセスログに、当該のユーザが所属するユーザグループ名が 表示されません。また、ユーザグループを検索条件に使用した場合の検索結果に当該 のアクセスログが含まれません。 3. RADIUS LOGON において、アクセス許可のあるユーザグループを削除した後に、アク セス可能ユーザグループにひとつもチェックが無い状態になると、全てのユーザが当 該の RADIUS クライアントへのアクセスができなくなる場合があります。 ※ 当該の RADIUS クライアントの SSL-VPN シングルサインオン設定の登録ボタンを 押下することでアクセスできるようになります。 4. ユーザインポートの実行中に Cluster Manager の「停止」を使用して SMX 認証サー バをいずれか片方だけ停止した場合、インポートが失敗します。 5. 任意のユーザを、2 つ以上のブラウザから同時にユーザ情報の変更を実行した場合、 1 つのブラウザではユーザ情報の変更が成功しますが、それ以外のブラウザでのユー ザ情報の変更は失敗する場合があります。 6. ユーザグループの変更時において、ユーザグループ割り当てユーザ数を変更する際に 変更が完了しない場合があります。 7. グループマネージャが自分自身を、下位のユーザグループへの所属に変更した後に、 ログオフをせずに再度管理機能の TOP ページを表示すると、TOP ページにお知らせ が表示されません。 また、SMX 認証サーバがクラスタ構成の場合は、管理機能にログイン認証する際の認 証要求先が、SMX セカンダリ認証サーバに切り替わる場合があります。 ※ 上記問題が発生した場合、Cluster Manager の「診断復旧」を実行することで認 証要求先を SMX プライマリ認証サーバへ切り戻すことが可能です。なお、運用停 止は伴いません。 また、SNMP 機能を使用することで、SMX セカンダリ認証サーバへの切り替わりを 検知することが可能です。 8. ユーザインポートやユーザ一括変更の実行時において、登録および更新の対象となる ユーザ数が多く、実行時間が 30 分以上を超過した際は、ブラウザがタイムアウトと なり、実行結果が表示されません。 [ コマンド版管理機能 ] 9. マトリクス表の表数固定設定 (fixedMatrix.sh) を SMX セカンダリ認証サーバで実 行した際に、通常は停止している SMX セカンダリ認証サーバ上の管理機能プロセス が起動状態となります。 [ ログイン画面 ] 10. パスワード変更時の変更後パスワード確認画面において、変更後のパスワードの文字 長が表示欄の大きさを超過する場合は、表示欄にスクロールバーが表示されます。 11. Mozilla Firefox を使用してログイン認証を行った場合、お知らせ画面に表示される 閉じるボタンは動作しません。 [ DESKTOP LOGON ] 12. パスワード変更時における新しいパスワード入力の際に、入力内容を表示するための チェックボックスをチェック有りにした状態でパスワード変更をキャンセルした場合 再度パスワード変更を実行したときに当該のチェックボックスがチェック有りの状態 となります。 ※ SMX DESKTOP LOGON for Windows XP では発生しません。 [ SmxKeyProtect ] 13. 認証およびパスワード変更時のログイン ID およびパスワード入力時にキーボードの キーを同時に複数入力した場合、入力した文字と対応しない文字に変換される場合が あります。もし、予期せぬ文字に変換された場合は、一旦ブラウザからフォーカスを 外してください。その後に再度ブラウザにフォーカスを合わせると予期せぬ文字に変 換される事象は解消します。 14. 管理機能「システム設定」において、SmxKeyProtect ダウンロード方法を「自動」に 設定している場合は、認証時に自動的に SmxKeyProtect がインストールされますが 稀に自動インストールに失敗する事があります。自動インストールに失敗する場合は SmxKeyProtect ダウンロード方法を「手動」に設定してください。 ========================================== == 4. SMX Version 3.5.0 配布ファイル == ========================================== 1. SMX Version 3.5.0 アップデータについて readme.txt (本文書) 2. アップデート手順書 installed.txt 3. SMX アップデータ updater_ver-3_5_0.tar.gz ============================== == 5. SMX 対象バージョン == ============================== 1. SMX Version 3.3.0 2. SMX Version 3.3.1 3. SMX Version 3.3.2 4. SMX MOBILE LOGON for ArraySPX モジュール適用済み環境 5. SMX MOBILE LOGON for ユニバーサル機能モジュール適用済み環境 6. SMX Version 3.4.0.K 機能拡張モジュール適用済み環境 7. SMX Version 3.3 脆弱性対策モジュール適用済み環境 ====================================== == 6. 対応ディストリビューション == ====================================== 1. Red Hat Enterprise Linux AS 4.0 2. Red Hat Enterprise Linux ES 4.0 3. Red Hat Enterprise Linux 5.2 4. Red Hat Enterprise Linux 5.3 5. Red Hat Enterprise Linux 5.4 6. Red Hat Enterprise Linux 5.5 (*1) 7. Red Hat Enterprise Linux 5.7 (*2) 8. MIRACLE LINUX V4.0 (*3) 9. Asianux Server 3 (*4) (*1) SMX プレインストールモデル AP612 を含む (*2) SMX プレインストールモデル AP614 を含む (*3) SMX アプライアンスサーバ AP400 シリーズのみ対応 (*4) SMX アプライアンスサーバ AP552 シリーズのみ対応 =================================== == 7. アップデート手順について == =================================== SMX Version 3.5.0 のアップデート手順は以下のファイルを参照してください。 アップデート手順書: installed.txt 以上 ------------------------------------------------------------------------------- Copyright(C) 2011 CSE Co.,Ltd. 「SECUREMATRIX」、「マトリクス認証」は株式会社シー・エス・イーの登録商標です。 本書に記載されたその他全ての社名、商品名は、各社の商標または登録商標です。 -------------------------------------------------------------------------------