メールの送信者認証（SPF / DKIM / DMARC）やTLS通信にも対応しています。

【Powered BLUE 880 の主な機能】

Mail	Web	DNS	サービス監視	パッチ適用
SmartHost / Backuprelay DKIM / DMARC 送信ドメイン認証 SMTPへのSSL証明書登録	TLSレベル指定 SNI HSTS ACMEプロトコル / MDモジュール対応 WebへのSSL証明書登録	SPF TXT SRV	サービスの 自動再起動	パッチの 自動適用

【Powered BLUE 880】

Powered BLUE 880 はセットアップウィザードで設定が出来ます。

 Powered BLUE 880

【運用先】

Powered BLUE 880は、AWS / Azure / VMware / Hyper-V / VPS  / FUJITSU Hybrid IT Service FJcloud-O などでの運用に対応しており、セットアップウィザードからアプライアンスの設定します。

【セットアップウィザード】

【使用許諾】

【サーバーの基本設定】

• サーバー名 / IP / Networkや参照するDNSを入力
• 日本語モードを選択することで、日本語表示となります

（クリックで拡大）

【管理画面にログイン】

【使用するサービスの有効化】

個別サービスの on / off を選択します

• DNS / FTP / Web / 仮想サイト機能　（デフォルトはoff）

【DNS / FTP / Web / 仮想サイト機能　（サービスの有効化 / on ）】

【SMTPサービスの設定】

• POPS / IMAPS
• SMTP / TLS
• 送信メールのSmarthost 2重化（ スマートリレイ / バックアップリレイ ）
• 受信メールの配送経路指定
• DKIM / DMARC / SPF （ 送信ドメイン認証 ）

【SMTPサーバーのSSL証明書】

SMTPサーバーが利用するSSLサーバー証明書を登録できます。SSL証明書としては、Public / Private などSSL証明書を登録できます。

• 電子メールサーバー専用のSSL証明書の登録機能

【サーバーの時刻の設定】

• NTPサーバーを指定 （2重）

【SELinux 設定】

【Firewall 設定】

【Webサーバーの設定】

• SNI対応
• TLSレベル選択
• ACMEプロトコル / MDモジュール対応

【DNSサービスの設定】

• プライマリDNS / セカンダリDNS
• SPF / SRV / TXTレコード

【DKIM / DMARCの設定】

【SPFレコード / DMARCレコード / DKIM キーペアの作成】

【SMTPセキュリティ機能】

• VRFYコマンド     有効・無効
• HELOコマンド　不正なホスト / FQDNでないホスト接続　許可・拒否
• HELOコマンド　DNSで名前解決が出来ないホスト接続　   許可・拒否

【仮想サイトの作成】

• WebサイトへのSSLサーバー証明書登録（Public / Private / Let`s Encrypt )

【Webサイトの認証】

作成したWebサイトへのアクセスに、各種のWeb認証を設定できます

一般的なコンテンツのWebサイト		WordPressのWebサイト

• Basic認証
• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• FID02生体認証
• AD認証

複数のWeb認証を組み合わせて、多要素認証での運用にも対応

【2nd Ethernet】

サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。

• 2nd EthernetにIPをアサイン

• 2nd Ethernetに管理画面アクセス用のFirewallを設定

【パッチのアップデート】

• 製品やOSの最新パッチを適用

【ひとり情シス対応】

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【セキュリティ監査対応】

セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します

• 最新パッチの適用
• 必要最小限のサービスのみ有効
• 暗号化のサービスの選択（例　imap ⇒ imaps  /  telnet ⇒ ssh & 証明書 )
• TLSレベルの選択
• Firewall調整
• SELinux調整
• 管理画面へのアクセス制限（アクセス元IP制限や2nd Ethernetの利用）
• プログラムバージョンの表示抑制
• 一般ユーザー権限の制限
• Web認証（多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証）
• ログの取得・保存・監査

【マイグレーション】

Powered BLUE の旧機種 B850 / B860 / B870 や Netshaker からのデータ移行にも対応

	⇒
旧機種		Powered BLUE 880

　マイグレーション対応機種

【WildflyからQuarkusへ】

• 従来までのKeycloakはWildflyに対応
• 新規のKeycloakはQuarkusに対応

【Keycloak / Quarkus対応アプライアンス】

　「Powered BLUE idP for Keycloak」

【アプライアンスの構成】

• 　OS  RockyLinux 8.x  /  RedHat 8.x
• 　Keycloak（アプリ）
• 　Quarkus
• 　GUIでのサーバーやアプリの設定

【Keycloakアプライアンス】

Keycloakアライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成（スタンドアロン・クラスター・バックアップ）などの各種設定に対応しています。

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシ連携機能
• SSLクライアント認証
• SSLサーバー証明書の登録
• OSなどのパッチ適用
• アクティブモニタ（サーバーやサービス監視・再起動・管理者への通知）

などに対応しており、コマンドラインからのプログラムのインストールや設定は不要

【Keycloakの構成 】

( 画面のイメージをクリックで拡大表示 ）

【アクセスポート 80 / 443 】

リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応

1) リバースプロキシ経由でKeycloakへアクセス（リバースプロキシ+Keycloakを1台運用）

• Client  ⇒   443 / リバースプロキシ　 ⇒  80 / Keycloak

2) ダイレクトにKeycloak へアクセス(https/443)

• Client   ⇒  443 / Keycloak (SSLサーバー証明書インストール）

【SSLサーバー証明書機能】

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

• 自己証明のSSL証明書の作成機能
• パブリックなSSL証明書や中間証明書のインポート機能
• キーストアへのSSL証明書登録機能
• トラストストアへのSSL証明書登録機能

【Keycloak のGUIパス】

WildFlyベースまでのKeycloak の管理GUIのパス 　/auth

• https://xxx.yyy.zzz.ttt/auth

QuarkusベースでのKeycloak の管理GUIのパス

• https://xxx.yyy.zzz.ttt/

Powered BLUE idP アプライアンスは任意のパスおよびポート設定機能 　例　/xyz

• https://xxx.yyy.zzz.ttt/xyz

【Keycloakのバックアップ】

• バックアップやリストア

【Keycloakのバージョンアップ】

• ver 18.0.1 から　ver 19.0.1 へ　変更　（例）

アップデート後

【サーバーの自己監視機能】

• サーバーのモニタリングやサービスの自動再起動
• パッチの自動適用機能
• 管理者への通知機能

【Keycloakへのアクセス】

https://xxx.yyy.zzz.ttt/

【idPの構成】

• 　idP – SP の構成

【SSOのステップ】

① ターゲットWeb（SP）へアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン ）
③ idP / Keycloak の認証後にターゲットのWeb（SP）サイトの表示

【閉域網での運用に対応】

仮想アプライアンスのイメージのインポートにより、インストールなしでの運用が可能

サーバーの自己監視機能により、外部の監視サービスを利用しない運用に対応

• 例　LGWANでidPを運用

【HAの構成】

• Keycloakのクラスター構成

【対応の運用先など】

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O（富士通） / IndigoPro（NTTPC） / VPSなど

【アプライアンスの提供形態】

• 運用環境に対応のアプライアンスでの提供

【KeycloakのSSLクライアント認証】

Keycloakへのアクセスは、デフォルトではID/Passwd認証です。認証機能を強化してKeycloakへのアクセスを　　「SSLクライアント認証」で運用することも出来ます。

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

IndigoProでは、VPSの自動バックアップ機能やHA機能（フェイルオーバー）、SLA、自動監視機能などを備えており「ひとり情シス」などの「企業向け用途」での運用に対応しています。

【WebARENA / IndigoProの特徴】

• 10Gbpsの高速回線VPS（べストエフォート）
• SLA
• 簡易Firewall
• セルフ監視機能
• フェイルオーバー機能（HA）- 標準装備
• 固定IP =1個
• リージョン（東日本・西日本）
• リモートコンソール
• 自動バックアップ
• UTM
• ヘルプデスク

など

各種サービスの月額費用の上限が決まっているので、予算内での運用が可能。また請求書での支払いに対応。

【Powered BLUE リバースプロキシ / Reverse Proxy】

各種の認証機能に対応のリバースプロキシ・アプライアンス

1. リバースプロキシ ＆ ワンタイムパスワード認証
2. リバースプロキシ ＆ SSLクライアント認証
3. リバースプロキシ ＆ ワンタイムパスワード認証＆ SSLクライアント認証
4. リバースプロキシ ＆ SAML認証（ Azure ADなどのidP連携  ）
5. リバースプロキシ ＆ SAML認証＆SSLクライアント認証
6. リバースプロキシ ＆ Active Directory認証
   
7. リバースプロキシ ＆ Active Directory&SSLクラアイント認証
8. リバースプロキシ ＆ 生体認証（ FIDO2 / WebAuthn ）

オールインワンでの運用に対応しています。

リバースプロキシ経由での社内LAN側などのWebサーバーへのアクセスに際して、既存の社内Web側は変更することなく、リバースプロキシ上に各種の認証を設定しての運用に対応しています。

リバースプロキシと認証機能を1台で運用出来ます。仮想アプライアンスで提供しており、WebARENA / IndigoPro 環境で認証機能付きのリバースプロキシの導入＆運用が可能です。

IndigoProは、標準機能としてフェイルオーバー機能の基盤上で運用されており、SLAなど企業向けのサービスで利用できるVPSです。

【WebArena IndigoProでの構築】

Powered BLUE リバースプロキシ / Reverse Proxyを WebArena IndigoPro 上に構築運用します

「WebArena IndigoPro」上にインスタンスを作成します

Networkなど

【リバースプロキシの設定】

リバースプロキシ先を登録します

• 複数のリバース先 / バックエンドの設定に対応
• リバース先のポート( http / https / 任意のポート番号）に対応
• 終端までSSL通信での運用に対応
• リバースプロキシーのWebサイトに「 Let’s Encrypt 」 の利用が可能
• TLSレベルの選択が可能

* Powered BLUE サーバー構築やリバースプロキシ設定後の引き渡しも対応可能

【１】リバースプロキシ ＆ ワンタイムパスワード認証

対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy

リバースプロキシにアクセス時にワンタイムパスワード認証を行います

ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では、利用するPCやスマフォ端末に応じて

●Google Authenticator
●Microsoft Authenticator
●WinAuth
●Authy
●IIJ SmartKey

などの無償のソフトウエアトークンなどを利用できます

簡単登録

QRコードを読み込むだけの簡単登録

ワンタイムパスワード認証のアクセス手順

• ワンタイムパスワードを表示
• リバースプロキシへアクセス（ワンタイムパスワード認証）
• 認証後にリダイレクト先のWebサイトが表示（例　SharePoint)

【２】リバースプロキシ ＆ SSLクライアント認証

リバースプロキシへのアクセス時にSSLクライアント認証を行います

対応のモデル
Powered BLUE Private CA & Reverse Proxy

Private-CA機能＆SSLクライアント認証

• Private-CA 機能によりSSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います

特徴

• リバースプロキシへのアクセス時にパスワードの入力不要
• 日時などでのリバースプロキシへのアクセスコントロールが可能

アクセスコントロール　例

• 組織や部門でのアクセス制限
• 曜日や時間帯でのアクセス制限
• 特定ユーザーでのアクセス制限
• 端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

有効なSSLクライアント証明書のない場合

リバースプロキシでアクセスが拒否されます

証明書　〇　　　　　　　　　証明書　

【３】リバースプロキシ ＆ ワンタイムパスワード＆ SSLクライアント認証の併用

リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います

対応のモデル
Powered BLUE Web Station

特徴

• 多要素認証によりリバースプロキシの認証の強度が上がります

認証のステップ

１）ワンタイムパスワードを表示させる
２）SSLクライアント認証 (リバースプロキシ）
３）ワンタイムパスワードを入力 (リバースプロキシ）
４）認証後にリバースプロキシ先のWebが表示

【４】リバースプロキシ ＆ SAML認証

リバースプロキシへのアクセス時にSAML認証を行います

idP / IDaaS

idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。

既にこれらのiDaaSなどのサービスを利用されている場合に運用が出来ます

SAML-SP

Powered BLUE リバースプロキシは、SAML認証に対応のSP(サービスプロバイダ）として動作します

対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS

特徴

• シングルサインオン/SAML認証に対応のリバースプロキシとして運用が出来ます

認証のステップ

１） ID認識型リバースプロキシへアクセス
２） 初回のみ idP へアクセス ( シングルサインオン ）
３） idPの認証後にリバースプロキシ先のWebサイトの表示

【５】リバースプロキシ ＆ SAML認証とSSLクライアント認証の併用

リバースプロキシへのアクセス時にiDaaS側のSAML認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。

特徴

• リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます

【６】リバースプロキシ ＆ AD認証

リバースプロキシへのアクセス時にActive Directory認証経由で、社内Webへのアクセスします。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシにはユーザーアカウントが不要なため、簡単に運用ができます。

AD認証時の手順

１）リバースプロキシへアクセス
２）アカウントやパスワードを入力（AD認証）
３）ADの認証後にリバース先のWebを表示

【7】リバースプロキシ ＆ SSLクライアント認証+AD認証

リバースプロキシへのアクセス時に「SSLクライアント認証とActive Directory認証」を併用します。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシへのアクセスに際して、多要素認証で運用ができます。

SSLクライアント認証＆AD認証時の手順

１）リバースプロキシへアクセス
２）SSLクライアント認証
３）アカウントやパスワードを入力（AD認証）
４）ADの認証後にリバース先のWebを表示

【8】生体認証対応（FIDO2 / WebAuthn)

FIDO2の生体認証（指紋認証）機能により、「なりすまし防止」でのアクセスが出来ます

特徴

• 生体情報は覚える必要がない
• パスワードレス認証に対応
•  生体情報は偽造しにくい

生体認証器

利用者はUSBタイプのセキュリティキー「指紋認証器」をPCへ接続

指紋を登録

構成

　https://www.mubit.co.jp/sub/products/blue/b870-sso-rev.html

指紋認証時のWebアクセス手順

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ 認証後にターゲットWebへリダイレクト

WAN側設置のWeb

クラウドやWAN側に設置のWebへのアクセス認証をリバースプロキシで代行させることもできます。

認証対応のリバースプロキシからのアクセスに限定することで、Webサーバー側に認証機能が無い、もしくは認証機能が弱い場合でも運用が可能です。

ひとり情シス対応

Powered BLUE アプライアンスは

• サーバーの自己監視
• サービスの自動再起動
• パッチのスケジュールアップデート

などの機能を装備。ひとり情シスでの運用に対応しています。

ログの保存

• シスログの保存 ( 任意期間の保存 )
• シスログの転送 ( 同時に3カ所への送信 )
• シスログのトラップ

などに対応 (オプション）

任意キーワードでのトラップ　&  アラートメールの送信先の指定　例

こんな場合に

• 既存のWebサイトを変更せずに認証機能を強化したい
• アプライアンスで運用したい
• ひとり情シスで運用したい
• 高速な回線で運用したい
• 費用は安価＆固定で運用したい
• 冗長構成（HA）に予算をかけられないけど、HA機能はほしい
• 自動バックアップは必須
• 国内クラウド基盤で運用したい

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

デモサイト

【WebARENA / IndigoProの特徴】

• 10Gbpsの高速回線VPS（べストエフォート）
• 利用できるOS ( RockyLinux / CentOS  / Ubuntu / Windows – Server )
• GUIはシンプル
• 簡易Firewall
• サーバーにはグローバルIPが直接アサイン（IPは1個のみ ）
• サーバースペックの変更可能
• SLA対応
• セルフ監視機能
• フェイルオーバー（HA）機能　-  標準装備
• リージョン（東日本・西日本）
• リモートコンソール
• 任意の ISO からのインストールに対応
• 自動バックアップ
• 大容量ストレージ
• UTM
• ヘルプデスク

などです。

WAFやロードバランサー機能を使いたい場合には、UTMの利用が可能です。

【費用】

各種の費用は月額の「上限金額が設定」されており、予算内での運用ができます。また、企業向けにはクレジットカードの他に請求書での支払いにも対応しています。

【WebArena IndigoProでの構築】

「WebArena IndigoPro」上にインスタンスを作成します

＊アップロードISOイメージ（ ISO ファイルは30個まで　トータル10GBの容量 )
＊持込み ISOからインストールの場合、基盤側からアサインされた固定IPをサーバーに設定
（ dhcp では IP がアサインされません ）

【インストール後】

【sshでのログイン設定】

CentOS 7.1 の場合

当該サーバーへWAN側からアクセスする場合、当該サーバーの　/etc/hosts.allow  に　ssh でアクセスする際に許可するIPを指定します

例　IP=123.123.0.10 を許可の場合

[root]#  cat /etc/hosts.allow
sshd : 123.123.0.10

RockyLinux 8.4 の場合

sshでのアクセスの制約はありません

【Firewall機能】

IndigoPro の管理画面からFirewall機能の設定で、ssh でのアクセスを許可します

【sshでのアクセス】

RockyLinux 8.4

# ssh  xxx.yyy.zzz.ttt  -l  rocky
# passwd: xxxxxx
# sudo su -l

CentOS 7.1

# ssh  xxx.yyy.zzz.ttt  -l  root
# passwd: xxxxxx

【キーボードの指定】

• 日本語や英語のキーボードなどを選択できます
• コンソールからログインする場合には、適切な設定が必要です

【ポート監視】

• 標準でサーバーのポート監視サービスを利用できます（監視ポートは固定）
• 指定のポートを監視して、異常時には指定のメールアドレスへ通知（3アドレス登録可能）

【バックアップ】

自動バックアップ（オプション）を設定できます

• バックアップスケジュール（毎日・毎週・毎月）
• 3世代

【バックアップ結果】

• 特定のバックアップは削除しない設定が可能

例　初期セットアップのバックアップは削除せずに「保護」しておく

【swapの設定前】

RockyLinux デフォルトのHDD構成は、1パーティションでメモリスワップがありません。SWAPがないとメモリを使い切った場合には、サーバーが停止します。( CentOS 7.1はswapが設定されています）

RockyLinux 8.4　のディスク構成など

[root]# free 　　　　　 total 　　used 　　free 　　shared 　　buff/cache 　　available
　Mem:　 3880168 　351856 　2981896 　　25348　　 546416　　　　 3274084
　Swap: 　　　0         0         0

[root]# df -k
Filesystem     1K-blocks    Used Available Use% Mounted on
devtmpfs         1877904       0   1877904   0% /dev
tmpfs            1913160       0   1913160   0% /dev/shm
tmpfs            1913160    8776   1904384   1% /run
tmpfs            1913160       0   1913160   0% /sys/fs/cgroup
/dev/vda1      104846316 2089444 102756872   2% /
tmpfs             382632       0    382632   0% /run/user/1000

【swapの設定方法】

/etc/rc.d/rc.local に設定の例　（ RockyLinux 8.4 )

[root]# cat  /etc/rc.d/rc.local
#!/bin/bash
# --- add swapfile 4GB ---
SWAPFILE=/swapfile
if [ -e $SWAPFILE ] ; then
  swapon $SWAPFILE
else
  dd if=/dev/zero of=$SWAPFILE bs=1024K count=4096
  chmod 600 $SWAPFILE
  mkswap $SWAPFILE
  swapon $SWAPFILE
fi
 
[root]# chmod  755  /etc/rc.d/rc.local
[root]# reboot

再起動後にSWAPが有効
[root]# free
　　　　　 total 　　used 　　free 　　shared 　　buff/cache 　　available
　Mem:　 3880168 　351856 　2981896 　　25348　　 546416　　　　 3274084
　Swap:  3997692        0  3997692

【フェイルオーバー機能・HA】

システムとして、フェイルオーバー機能を有しています。利用者側では運用に際して特別な設定などは不要です。

【その他】

network インターフェース名は　 ifcfg-eth0 です

CentOS 7.1
デフォルトでは　exclude=kernel*   が設定されており、kernelのアップデートが出来ません
cloud-init はインストールされていません

RockyLinux　8.4
cloud-init はインストールされています

生体認証に対応のリバースプロキシは、NTTPCコミュニケーションズが提供する10Gbpsの広帯域VPSサーバーの　「WebArena IndigoPro 」環境に構築＆運用します。

リモートワーク時にWebサイトへアクセスする場合に「なりすまし」を防止するために、生体認証機能のリバースプロキシを利用します。リバースプロキシを利用することでターゲットWeb側を改修することなく導入できます。生体認証を利用することでパスワードレス認証でターゲットWebへアクセスが出来ます。

【必要な機器や環境】

ユーザー側	PC（汎用）
	ブラウザ
	生体認証器
システム	生体認証対応リバースプロキシ
運用先	WebArena IndigoPro

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2では、

認証器（セキュリティ・キー）を利用することにより「なりすましを防止」してパスワードレス認証を行います。

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

• パスワードを覚える必要がない ( パスワードレス認証 )
• 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
• 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【FIDO2対応のブラウザ】

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

• Chrome
• Edge
• Firefox
• Safari

【生体認証】

FIDO2対応の生体認証には

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。これらの認証方式から、使いやすい「指紋認証」を選択して利用します。

【指紋認証の特徴】

• 10本の指が登録でき、どの指でも認証ができる
• 認証精度が安定している
• 認証器が豊富
• USBタイプはPCへの接続が簡単
• 汎用のPCで利用できる
• Windows10の標準機能で指紋登録ができる

【今回の構成】

生体認証対応のリバースプロキシ・システムとしては、「Powered BLUE Reverse Proxy for Biometrics」を利用して「WebArena IndigoPro」上で運用します。

【WebArena IndigoProの特徴】

• 10Gbpsの高速回線（ベストエフォート）
• 固定IP=1個
• セルフ監視機能
• フェイルオーバー機能（HA）-  標準装備
• SLA
• 簡易Firewall
• リモートコンソールでのサーバーへのアクセス
• VPSのスペック変更可能
• リージョン（東日本・西日本）
• 自動バックアップ
• 大容量ストレージ
• UTM
• ヘルプデスク

などです。

VPS費用や自動バックアップなど月額上限費用が決まっているため、予算内でのVPSの運用が可能です。またセルフ監視機能により「ひとり情シス環境」での運用にも対応しています。

ロードバランサー機能を使いたい場合には、UTMの利用が可能です。

【WebArena IndigoProでの構築】

「WebArena IndigoPro」上にインスタンスを作成します

Networkなど

【リバースプロキシの設定】

「Powered BLUE Reverse Proxy for Biometrics」へリバースプロキシ先を登録します

• 複数のリバース先 / バックエンドの設定に対応
• リバース先のポート( http / https / 任意のポート番号）に対応
• 終端までSSL通信での運用に対応
• リバースプロキシーのWebサイトに「 Let’s Encrypt 」 の利用が可能
• TLSレベルの選択が可能

【生体認証器】

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

【指紋認証器の登録手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー（指紋認証器）への指紋登録】

* Windows10/11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

１）アカウントを選択

２）サインインオプション&セキュリティキーを選択

３）セキュリティキー（指紋認証器）にタッチ

４）「セキュリティキーの指紋」のセットアップを選択

５）セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

６）本人の確認（指紋認証器に設定したPINコードの入力）

７）「指紋認証器」へ指紋の登録

８）指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

９）他の指も登録できます（合計10本まで）

【Webへのアクセス手順】

パスワードレス認証で運用のケース

（「認証器の所持認証」+「生体認証」の2要素認証 ）

１）生体認証対応リバースプロキシへアクセス（IDのみ入力 / パスワードレス）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebへリダイレクト

3要素認証で運用のケース

（「パスワード認証」＋「認証器の所持認証」+「生体認証」　の3要素認証 ）

１）生体認証対応リバースプロキシへアクセス（ID & パスワード認証）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebへリダイレクト

【こんな場合に】

• Webアクセス時に確実な「本人確認」を行いたい
• パスワードレスでのWeb認証を行いたい
• 既存のWebサーバー側の変更はしたくない
• アプライアンスで運用したい
• ブラウザから利用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない
• ひとり情シスで運用したい
• HAに費用はかけられないが、HA機能は必要
• 国内法が適用されるクラウド基盤で運用したい

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

社内のWebに関して

• AD認証でアクセスしたい
• LDAP認証でアクセスしたい
• 終端のWebまでSSL通信でアクセスしたい（End-to-EndでのSSL通信）
• ワンタイムパスワード認証でアクセスしたい
• SSLクライアント認証で認証機能を強化したい

場合には、KeycloakはSAML認証対応リバースプロキシと組み合わせることで、上記のようなケースにおいてもターゲット側のアプリに大きな変更をかけずにセキュアなアクセス環境を構築できます。

「Keycloak」と「SAML認証対応のリバースプロキシ」で構成します。

idP/Keycloak

idPとして、SAML認証に対応のkeycloakを利用します。

ローカルユーザー認証に加えて、ユーザーストレージ機能によるAD連携やLDAP連携を利用できます

Keycloakのアプライアンスを利用することもできます

Powered BLUE idP for Keycloak

Keycloakを自社で簡単に運用が出来るidPアプライアンスです

「Powered BLUE idP for Keycloak」

Powered BLUE idP for Keycloak　構成

• OS RedHat 8.x / RockyLinux 8.x 対応
• Keycloak （アプリ）
• GUIでのサーバーやアプリの設定
• アプライアンス

GUIからサーバーや idP / Keycloak の操作や設定

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシ内蔵＆連携　( 1台で運用 ）
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）

などに対応しており、コマンドラインからのプログラムのインストールや設定は不要

*1　リバースプロキシ連携での運用およびリバースプロキシ無しのhttpsでKeycloakへダイレクトアクセスでの運用構成に対応

( 画面のイメージをクリックで拡大表示 ）

Keycloakのバックアップ　例

Keycloakのアップグレード

ver 13.0.1 から　ver 15.0.2 へ

【アクセスポート 80 / 443 】

リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応

1) リバースプロキシ経由でKeycloakへアクセス （1台で運用）

• Client  ⇒   （443 / リバースプロキシ　 ⇒  80 / Keycloak）

2) ダイレクトにKeycloak へアクセス(https/443)

• Client   ⇒  443 / Keycloak (SSLサーバー証明書インストール）

SSLサーバー証明書機能

• 自己証明のSSL証明書の作成機能
• パブリックなSSL証明書のインポート機能

サーバーの簡単運用

• サーバーのモニタリングやサービスの自動再起動
• パッチの自動適用機能
• 管理者への通知機能

Keycloakのクラスタ構成

GUIからのKeycloakクラスタ構成の設定や運用に対応

クローズドネットワーク

仮想アプライアンスのインポートによりインストールなしでの運用が可能
サーバーの自己監視機能により、外部の監視サービスを利用しない運用に対応

• 例　LGWANでKeycloakを運用

Keycloakへのアクセス

https://xxx.yyy.zzz.ttt/

* リバースプロキシを経由しない、直接の https / 443 portでのKeycloakへのアクセス構成にも対応

ID認識型のリバースプロキシ

SSO対応のリバースプロキシとして、SAML認証機能のリバースプロキシ・アプライアンス　「Powered BLUE Reverse-Proxy for SSO / IDaaS」を利用します。

特徴としては

• SAML認証対応リバースプロキシ機能
• SSLクライアント認証対応
• ワンタイムパスワード認証
• HA構成対応
• End-to-End のSSL通信に対応
• syslog対応

などの機能を有しているアプライアンスです。

AWSやAzure、VPSなどのクラウド環境やVMware / Hyper-Vなどの仮想環境での運用に対応しています。

AD認証+SSLクライアント認証時の構成

SAML認証対応のリバースプロキシに「SSLクライアント認証機能」を付与します

AD認証+ワンタイムパスワード認証時の構成

SAML認証対応のリバースプロキシに「ワンタイムパスワード認証機能」を付与します

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

アクセス時の手順

AD認証+SSLクラアイント認証＋ワンタイムパスワード認証時の構成

SAML認証対応のリバースプロキシに「ワンタイムパスワード認証機能+SSLクライアント認証」を付与します

リバースプロキシの冗長構成

SAML認証対応のリバースプロキシをHA構成で運用します

Master側のSAML認証対応のリバースプロキシの設定内容が、Slave側のリバースプロキシに自動同期します。

HA構成時にワンタイムパスワード認証やSSLクライアント認証の併用もできます。

レガシーWeb へSSO / リバースプロキシでの代理認証

SAML認証やOIDC認証（Open ID Connect）に未対応のバックエンドのWebへ、リバースプロキシから ユーザー情報 を代理入力してSSOで運用します。ユーザーからのバックエンドのWebへの ID / パスワードなどの入力は不要です。

1. リバースプロキシが代理認証を行うため、利用者側でのID/パスワードの管理不要
2. 利用者からのID/パスワード漏洩リスクを大幅低減
3. 「Webシステム」のOSに依存せずに導入
4. 「Webシステム」は 原則、改修不要
5. 「Webシステム」は WANやLAN の任意の場所に設置　*1
6.  ブラウザのみで利用（ブラウザのプラグイン不要）

対応の運用先

運用先に対応の仮想アプライアンスでの提供

• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS  などクラウド環境
• VMware / Hyper-V / Nutanix などの仮想環境

デモ

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

【1】Mattermost Team EditionでAD連携やLDAP連携

Mattermost専用のアプライアンス 「Powered BLUE for Mattermost」では、オープンソース版のMattermost（Team Edition）でも、ADやLDAPとの連携に対応しています。またMattermostの自動バックアップ機能なども有しています。

【2】高度な運用

MattermostへのアクセスにSSLクライアント認証を設定しての運用に対応

・リモートワークでも安全にMattermostへアクセスさせる運用が可能

【3】idP連携でSSO

Mattermost Team EditionでのidP 連携のシングルサインオン

【4】閉域網対応

クローズドネットワークでの運用にも対応　( LGWANなど ）

【5】アプライアンス

• サーバー設定や運用からMattermostの設定までをGUIから操作

【6】自動バックアップ機能

Mattermostのスケジュール・バックアップでの運用

例　毎日　1:10 AM　に自動バックアップ （ バックアップ保存回数 / 10回 ）

【7】サーバーの自己監視＆自己復旧

アクティブモニタの機能により

• サーバーの自己監視
• サービス停止時の自動復旧

機能を装備。サードパーティの監視サービスを利用することなくサーバーの運用が可能です。

【8】ひとり情シス対応

• OSのスケジュールアップデート機能

を有しており、運用時のサーバー管理者の負荷を軽減します

【9】Zoom連携

Mattermostからビデオ会議 Zoom Meeting の開始が可能

【10】生体認証でMattermostへアクセス

なりすましを防止して本人確認を確実に行えるFIDO2の「生体認証」での運用にも対応しています

「生体認証でMattermostへアクセス」

【11】Mattermost のこんな使い方にも対応

• Mattermost  Team Editionでシングルサインオンで運用したいい
• SSLクライアント認証で運用したい
• 閉域網で運用したい
• ひとり情シスで運用したい
• 自社管理で運用したい
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS  などクラウド環境で運用したい
• VMware / Hyper-V / Nutanix などの仮想環境で運用したい
• ログを長期保存したい
• 生体認証でアクセスしたい

デモ

Mattermostの　　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

SAML認証の特徴として、ターゲットの Web がLAN内に設置の場合にでも認証が出来るメリットがあります。

【こんな場合に】

• 認証対応のWebを構築運用したい
• Keycloakで認証したい
• ワンタイムパスワード認やSSLクライアント認証など多要素認証で利用したい
• AD連携で認証を行いたい
• 管理者に負担を掛けずに運用したい
• Azure ADなどの高額なidPは利用できない
• セキュリティポリシーにより、SaaSのidPやSPは利用できない
• Keycloak のWildfly からQuarkus へ変更したい

◉構成する idP / SP

◉ idP / Keycloak

一般的なKeycloakを利用できます

Keycloakのアプライアンスを利用することも出来ます

　「Powered BLUE idP for Keycloak」

Powered BLUE idP for Keycloak　構成

• OS RedHat 8.x / RockyLinux 8.x 対応
• Keycloak
• GUIでのサーバーやアプリの設定
• アプライアンス

Keycloakの構成やDB設定

GUIからの

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシ内蔵＆連携機能
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）

など対応しており、コマンドラインからのプログラムのインストールや設定は不要です

◉ スタンドアローンやクラスター構成　DBセットアップ

• データベース構成
• スタンドアローンやクラスター構成

• クラスター構成

Keycloakのバックアップ　例

Keycloakのバージョンアップ　例

ver 18.0.1 から　ver 19.0.1 へ　変更 ( WildFlyからQuarkus 対応版へ変更）

①   リバースプロキシ構成（有・無）

ダイレクトアクセス・モード　Client ⇒   ( 443 / Keycloak )

• Keycloakを直接443番ポートで運用します

リバースプロキシ・モード　　Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で構成

• リバースプロキシ経由でKeycloakへアクセスする運用です

②  パス設定　（Quarkusでも任意のパスを指定できます）
https:// idp.keycloak.com / auth /

③  http・https ポート設定
443 / 8080 / 80  /etc

SSLサーバー証明書機能

• 自己証明のSSL証明書の作成機能
• パブリックなSSL証明書のインポート機能

サーバーの簡単運用

• サーバーのモニタリングやサービスの自動再起動
• パッチの自動適用機能
• 管理者への通知機能

* サーバーの自己監視機能により、外部の監視サービスを利用しない運用が可能

 ◉構成例

• サーバ側ホスト（IdP ） https://idp.example.jp (KEYCLOAK)
• クライアント側ホスト（SP ） https://www.example.jp (SSO クライアント設定)
• ユーザ名 demo (demo@example.jp)

◉ SP / Webアプライアンス

SAML認証に対応のWebサーバーとしては、SAMLやOpenID Connect認証に対応した「Powered BLUE Web for SSO / IDaaS」を利用します。今回はSAML認証のSPとして設定します。

この製品は

• SAML認証及びOIDC認証に対応のWeb機能
• Web/Mail/DNS/ftp（インターネットサーバー機能）
• Let’s Encrypt （フリープラグインで提供）
• WordPress（フリープラグインで提供）
• ひとり情シスでの運用に対応

のアプライアンスです

SAML/SPの設定

• SAML-SPの設定
• Webページの作成

などを行います

• エンドポイント　URL IdP との通信に使用するURL。
• エンティティID 　クライアントの識別ID。
• SAML SP 証明書 　IdP のSAML リクエストの署名に使用する公開鍵。
• 認証ルート
  仮想サイトでSAML 認証を適用するウェブの絶対パス（ルート相対パス）を設定します。デフォルトは、「/saml」です。認証するパスを追加する場合は、このディレクトリの下層に作成する必要があります。サイト全体を認証する場合は「/」を指定してください。

SAML認証対応のWebページ

一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築＆SAML認証での運用に対応。Webサイトには「ユーザーアカウント不要」での運用が可能です。

一般的なWebコンテンツのWebサイト	WordPressのWebサイト

◉idP・keycloak側の設定

• レルム名  saml-demo
• クライアントID  https://www.example.jp/saml/endpoint/metadata
• レルムロール  saml-demo-role
• ユーザ名  demo ( demo@example.jp)

レルムの追加

saml-demo

クライアントの追加

「ファイルを選択」をクリックし、ダウンロードして置いたSP メタデータ（このサイトの場合は
www.example.jp_metadata.xml ）をインポートします。SP メタデータを使用することで、必要項目の入力を省略できます。

ロールの追加

例　saml-demo-role

ユーザーの追加

例　demo

パスワードの設定

ユーザーにロールの割り当て

idPのメタデータのダウンロード

サーバ側のエンドポイント情報が格納されたIdP メタデータファイルをダウンロードします。「クライアント」メニューの「インストール」の「Mod Auth Mellon files]を選択してzipファイルをダウンロードします。

ダウンロードしたzip ファイルを展開します。以下の3ファイルが含まれています

• client-cert.pem
• idp-metadata.xml
• sp-metadata.xml

◉SP側へのidPメタデータの登録

上記でダウンロード&展開した、Keycloak側の idp-metadata.xml ファイルをインポートします

SP側のSAML認証の適用

SAML認証パスの設定

例　/SAMLに認証を設定

◉動作認証の確認

１）認証が適用された http://www.example.jp/saml/ へアクセスします
２）IdP　https://idp.example.jp　にリダイレクトされ、認証用の画面が表示されます
３）認証後にターゲットのWebサイトが表示されます

Webページの表示

一般的なWebコンテンツのWebサイト	WordPressのWebサイト

◉Keycloakを多要素認証で運用

Keycloakへのアクセスは「ID・パスワード認証」が標準設定です。

Keycloakを「ID・パスワード＋SSLクライアント認証」で運用する構成例です

　KeycloakをSSLクライアント認証（多要素認証）で運用する

◉各種Web システムへのSSO

一度のKeycloakの認証で、複数のWebシステムへSSOでアクセスできます

◉運用先

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPS

◉デモサーバー

SAML認証の　　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

4OSSのテンプレートを使ったサーバーでは、AWSと同様にssh-key ファイルでのログインが標準です。Azureのようなインスタンス作成時のパスワードログインの選択肢はありません。

• AWS 　ssh-keyでのログイン
• 4OSS　ssh-keyでのログイン
• Azure   ssh-keyでのログインやパスワードログインが選択出来る

リモートコンソール

4OSSの特徴としては、noVNCでのリモートコンソールからのログインをサポートしています。リモートコンソールでサーバー起動時の状態などを見ることが出来ます。AWSなどでは正常に起動しない場合でも、悶々として待っているしかありませんが、4OSSでは起動中の様子がコンソールから見れるので気をもむような事態が解消されます。

ただし、4OSSのLinuxテンプレートを利用したサーバーの場合、最初の起動時にはパスワードは自動生成されるためにパスワードは不明です。他社のように自動で生成されたパスワードのポップアップ表示などの親切な機能はありません。また初期設定では、パスワード認証がオフの為にパスワード認証でのログインが出来ません。つまりデフォルトのテンプレートから作成のLinuxサーバーでは、リモートコンソールからのログインが不可能です。

sshでのパスワードログイン許可やリモートコンソールからのログイン設定

デフォルトでは、rootのパスワードが不明＆root ログインが禁止の為に、sshでのパスワードログインやリモートコンソールからはログインできません。cloud.initなど によりサーバー起動時の設定が規定されています。サーバー起動後にssh-keyなどでログインした後に、デフォルトの設定を変更する必要があります。

いざ鎌倉

外部のWAN側からサーバーにアクセス出来ない場合などでも、コンソールからログインを出来るようにしておくと、何らかの障害でWANからサーバーにアクセス出来ないケースで役立ちます。

cloud.init の設定変更　（root ログイン許可 / ssh でのパスワード認証許可)

/etc/cloud/cloud.cfg　ファイルの2か所を

disable_root: 0
ssh_pwauth: 1

へ変更

rootのパスワード設定

[root@test-c73 cloud]# passwd
Changing password for user root.
New password:                     ←　パスワードの入力
Retype new password:　　　　　　　　←　パスワードの再入力
passwd: all authentication tokens updated successfully.
[root@test-c73 cloud]#

sshやリモートコンソールからのログイン（root ログイン許可 / ssh でのパスワード認証許可)

/etc/ssh/sshd_config　ファイルの以下の項目を設定

PermitRootLogin　 yes
PasswordAuthentication 　yes

へ変更

sshd の再起動

[root@test-c73 cloud]# systemctl　 restart　 sshd
[root@test-c73 cloud]#

$ ssh 　133.162.65.161　-l　 root
root@133.162.65.161’s password:　　　　←　パスワードの入力
Last login: Mon Sep 17 10:02:50 2018
[root@test-c73 ~]#

リモートコンソールからのログイン

リモートコンソール

• root に設定したパスワードを入力
• コンソールからのログイン

time-zone / 日本時間 JST に変更

デフォルトのタイムゾーンは、英語版テンプレートのためUTCです。

[root@test-c73 ~]# date
Mon Sep 17 11:57:52 UTC 2018

オリジナルをバックアップ

[root@test-c73 etc]#　cp　 /etc/localtime　 /etc/localtime.org

日本時間に変更（リンクの変更）

[root@test-c73 etc]# ln 　-sf 　/usr/share/zoneinfo/Asia/Tokyo 　/etc/localtime

[root@test-c73 ~]# date
Mon Sep 17 21:04:15 JST 2018

時間を適切に調整しないと、cronなどで運用時に意図しない時間に動作したりします。またlogの時間などがUTCだとわかりにくい場合があります。

Localeの設定

英語版のため、locale は US です

[root@test-c73 ~]# locale
LANG=en_US.UTF-8
LC_CTYPE=”en_US.UTF-8″
LC_NUMERIC=”en_US.UTF-8″
LC_TIME=”en_US.UTF-8″
LC_COLLATE=”en_US.UTF-8″
LC_MONETARY=”en_US.UTF-8″
LC_MESSAGES=”en_US.UTF-8″
LC_PAPER=”en_US.UTF-8″
LC_NAME=”en_US.UTF-8″
LC_ADDRESS=”en_US.UTF-8″
LC_TELEPHONE=”en_US.UTF-8″
LC_MEASUREMENT=”en_US.UTF-8″
LC_IDENTIFICATION=”en_US.UTF-8″
LC_ALL=

ja_JP への変更

[root@test-c73 etc]# localectl  set-locale LANG=ja_JP.eucjp

設定内容を現在のコンソールにも適用

[root@test-c73 etc]# source  /etc/locale.conf

[root@test-c73 etc]# locale
LANG=ja_JP.eucjp
LC_CTYPE=”ja_JP.eucjp”
LC_NUMERIC=”ja_JP.eucjp”
LC_TIME=”ja_JP.eucjp”
LC_COLLATE=”ja_JP.eucjp”
LC_MONETARY=”ja_JP.eucjp”
LC_MESSAGES=”ja_JP.eucjp”
LC_PAPER=”ja_JP.eucjp”
LC_NAME=”ja_JP.eucjp”
LC_ADDRESS=”ja_JP.eucjp”
LC_TELEPHONE=”ja_JP.eucjp”
LC_MEASUREMENT=”ja_JP.eucjp”
LC_IDENTIFICATION=”ja_JP.eucjp”
LC_ALL=

キーマップの調整

コンソールからログイン操作の際には、利用するキーボードのキーマップを合わせないと特殊記号などのアサインが異なるので、特殊記号の入力に苦労します。

英語版テンプレートのデフォルトのキーマップは、us-101 キーボードです

[root@test-c73 etc]# localectl   status
System Locale: LANG=ja_JP.eucjp
VC Keymap: us
X11 Layout: us

• 101でもキー配列が異なる場合があります　（ex 101 AT Keyboard )

jp106 日本語キーボードへの変更

[root@test-c73 ~]# localectl　 set-keymap 　--no-convert 　jp106
[root@test-c73 ~]# localectl　 status
System Locale: LANG=ja_JP.eucjp
VC Keymap: jp 106
X11 Layout: us

パッチの適用

4OSSではAWSなどのLinuxサーバーと異なり、CentOS の場合 yum update でkernelなどもアップデートが出来ます。

アップデート前

[root@test-c73 ~]# uname   -a
Linux test-c73.novalocal 3.10.0-514.10.2.el7.x86_64 #1 SMP Fri Mar 3 00:04:05 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

[root@test-c73 ~]# yum  update

#### #### 10 ##・#### (+35 ###########・####)
#### 201 ##・####
######: 249 M Is this ok [y/d/N]:　y
[root@test-c73 ~]# reboot

アップデート後

[root@test-c73 ~]# uname   -a
Linux test-c73.novalocal 3.10.0-862.11.6.el7.x86_64 #1 SMP Tue Aug 14 21:49:04 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

アップデート＆再起動後に、kernelが　3.10.0-514.10.2 ーー＞3.10.0-862.11.6　へ変更されました

シスログサーバー

Powered BLUE Syslog サーバーは、

• シスログの受信
• シスログの保存
• シスログの転送
• 送信キュー
• 機器の認証
• 暗号化送受信
• シスログのリアルタイムトラップ
• インターネットサーバー機能（ Mail / Web / DNS / ftp ）

機能を備えたオールインワンのシスログ・アプライアンスです。

ログの受信や転送など

複数のサーバー（クライアント）からのシスログの受信や保存が出来ます。受信ログのリアルタイムトラップ機能により、指定のキーワードに合致の場合に管理者への通知が可能です。また同時に複数拠点のシスログサーバーへのログの転送を行うことが出来ます。ログの通信については、送受信機器の認証機能や暗号化通信機能、および送信相手側の機器に送信できない場合の送信キュー等の機能も有しています。

運用例

マルチモードでの運用に対応

シスログ送信・中継・受信の３モードでの同時運用に対応

拠点間のログの安全な送受信

　機器の認証や暗号化通信による送受時の「なりすまし&盗聴」防止
　送信キューにより回線途絶時などのログの喪失を防止
　ログの冗長送信（最大3台のサーバーへの多重送信）

受信ログのリアルタイムアラート

　任意キーワードでのログのトラップ＆メール通知

受信ログの長期保存

• ログローテーション回数指定・任意期間でのログの保存
• 5年間保存の例　毎日ローテーション　365日 x 5 年 = 1825 回

受信ログのホスト別の振り分け

• 受信ログはホスト毎に振り分け
• ログの閲覧やダウンロード

ひとり情シス対応

GUIでの操作や設定。

アクティブモニタによりサーバーの自己監視機やサービス停止時の自動復旧機能を装備。サードパーティの監視サービスを導入しなくても運用が可能です。

パッチのスケジュールアップデートなどを備えており、ひとり情シス環境でも簡単に運用ができます。

提供形態

運用先に合わせた、仮想アプライアンスでの提供

対応の運用先

• 仮想基盤　VMwareESXi / Hyper-V / Nutanix
• クラウド　AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPS

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。