IBM Support

QRadar: 「 Failure to connect to secondary host. Please make sure password is correct. 」というエラーで HA ホストの追加に失敗する事象について

Troubleshooting


Problem

セカンダリー・ピアが不整合を起こしていることが原因で、プライマリーが SSH 経由で接続に失敗するために HA を作成できません。

Symptom

HA ウィザードに正しい情報を追加して HA を作成しようとすると、UI が以下のエラーを報告します:
image 11792
以下のエラーは、プライマリー・ピアの /var/log/setup-xxx/qradar_hasetup.log に表示されることがあります。
[HA Setup (P-M----)] ESC[31m[ERROR] Failed to install ssh key on <Secondary peer IP>

Cause

考えられる原因:
  1. パスワード設定でセカンダリー・ピアに指定された特殊文字が多すぎる。
  2. ファイアウォールまたは iptables でフィルタリングされ、ポート 22 がオープンされていない( SSH サービスがアクティブではない)などのネットワークの不整合がある。
  3. セカンダリー・ピアに /root/.ssh/ ディレクトリーが欠落している。

Environment

 HA クラスターの作成時

Diagnosing The Problem

  1. パスワードの特殊文字が多すぎる。
    1. コンソールから SSH を使用し、プライマリー・ピアに接続します。
    2. プライマリー側から SSH を使用し、セカンダリー・ピアに接続します。
    3. パスワード内に特殊文字が多すぎると、 SSH が接続およびレポートに失敗することがあります: 
      Permission denied (publickey,password)
  2. 接続をブロックしているネットワークがある。
    1. IMM または XCC WebUI にログインし、セカンダリー・ピアへのコンソール接続を開始します。
    2. sshd サービスがアクティブであることを確認します。 
      systemctl is-active sshd
    3. ポート 22 がオープンされていることと、listen していることを確認します。 
      netstat -napl | grep sshd

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      15871/sshd
    4. iptables がソースからポート 22 へ接続を受け入れていることを確認します。 
      iptables -L -n -v |  grep 22
      正しい出力: 
       3949  237K ACCEPT     tcp  --  *      *  0.0.0.0/0      0.0.0.0/0      state NEW tcp dpt:22
      正しくない出力:
       3949  237K ACCEPT     tcp  --  *   *  <Console or other IP>   0.0.0.0/0    state NEW tcp dpt:22
  3. SSH ディレクトリーが欠落している。
    1. SSH を使用して、セカンダリー・ピアに接続します。
    2. パーミッション 700 および所有権 root を持つディレクトリーが存在することを確認します。 
      ls -lad /root/.ssh

Resolving The Problem

管理者はこの技術情報のステップを行う前に、これらのデプロイメントについて理解するため、QRadar HA ドキュメントを閲覧されることを推奨します。また、以下のリンクも合わせてご参照ください:

1 簡単なパスワードを構成し、プライマリーとセカンダリーの間でパスワードレス・アクセスを有効にする

  1. プライマリー・ピアに SSH 接続します。
  2. セカンダリー・ピアに SSH 鍵をコピーします。 
    ssh-copy-id <secondary peer IP>
  3. セカンダリー・ピアに SSH 接続します。
  4. 特殊文字数が少ない、または特殊文字を使用しない単純なパスワードへ一時的に変更します。
    注: このパスワードは影響を受けずに HA クラスターが作成された後、同じコマンドを用いて変更できます。 
    passwd root
  5. プライマリー・ピアからセカンダリー・ピアへ SSH 接続し、パスワードを必要としないことを確認します。
  6. HA クラスターの作成を再試行します。

2 sshd サービスがアクティブであることを確認し、いづれのソースからも接続を許可するよう iptables を構成する

  1. セカンダリー・ピアに SSH 接続します。
  2. sshd サービスを再起動します。 
    systemctl restart sshd
  3. ポート 22 がオープンされていることと、 listen していることを確認します。 
    netstat -napl | grep sshd
  4. いづれのソースからも接続を許可するように、 iptables で一時的なエントリーを構成します。
    注: このエントリーは、HA クラスターが影響を受けずに作成された後に削除できます。 
    echo "-A INPUT -p tcp --dport 22 -j ACCEPT" >> /opt/qradar/conf/iptables.pre
  5. IP Tables サービスを再ロードします。 
    /opt/qradar/bin/iptables_update.pl
  6. iptables サービスが実行中であることを確認します。実行中でない場合は、次のリンクをご確認ください。
    QRadar: iptables 事象のトラブルシューティング
  7. プライマリー・ピアからセカンダリー・ピアへ SSH 接続し、アクセスが可能なことを確認します。 SSH 接続を確立できない場合は、次のリンクをご確認ください。
    QRadar: 接続が確立できない場合の SSH のトラブルシューティング
  8. HA クラスターの作成を再試行します。

3 SSH ディレクトリーを作成および構成する

  1. セカンダリー・ピアに SSH 接続します。
  2. 欠落しているディレクトリーを作成します。 
    mkdir -pv /root/.ssh
  3. 適切な権限を設定します。
    chmod 700 /root/.ssh
  4. 適切な所有権を設定します。 
    chown root:root /root/.ssh
  5. プライマリー・ピアからセカンダリー・ピアへ SSH 接続し、アクセスできることを確認します。 SSH 接続を確立できない場合は、次のリンクをご確認ください。
  6. HA クラスターの作成を再試行します。
結果:
 HA クラスターの作成が正常に完了できます。
作成が失敗した場合は、新規 CASE を作成し、IBM® QRadar® サポート にお問い合わせください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtXAAQ","label":"High Availability"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
23 March 2022

UID

ibm16513663

Page Feedback