Question & Answer
Question
バージョンにより、QRadar のセキュリティーの変更によって、外部認証が利用できない場合における管理者ユーザー・アカウントのログイン方法が変わります。この技術情報では、同機能の変更方法についてご案内します。
Cause
LDAP、Active Directory、TACAS、または Radius などの外部サービスで、フォールバック・パスワードに関するセキュリティー変更により、管理者ユーザー権限が割り当てられているユーザーがログインができなくる場合があります。「 Admin 」に指定されたユーザーは常にログイン可能ですが、「 user.lastname 」などの管理者ユーザー権限は、外部認証サーバーが使用不可の際に認証されない場合があります。
影響を受けるバージョン
下記バージョンでは、外部認証サーバーが使用不可または応答しない場合に管理者がログインできるように LOCAL_FALLBACK_FOR_ALL_ADMINS パラメーターを追加することができます。
影響を受けないバージョン
下記バージョンでは、ローカル・パスワードへのフォールバックがすべての管理者アカウントで使用できます。これらのバージョンでは、LOCAL_FALLBACK_FOR_ALL_ADMINS パラメーターの使用を許可する変更はありません。
影響を受けるバージョン
下記バージョンでは、外部認証サーバーが使用不可または応答しない場合に管理者がログインできるように LOCAL_FALLBACK_FOR_ALL_ADMINS パラメーターを追加することができます。
- QRadar 7.2.8 Patch 8 ( 7.2.8.20170707222831 )
- QRadar 7.2.8 Patch 9 ( 7.2.8.20170726184122 )
- 今後すべての QRadar 7.2.8 バージョン
- QRadar 7.3.0 Patch 4 ( 7.3.0.20170830160510 )
- 今後すべての QRadar 7.3.0 バージョン
影響を受けないバージョン
下記バージョンでは、ローカル・パスワードへのフォールバックがすべての管理者アカウントで使用できます。これらのバージョンでは、LOCAL_FALLBACK_FOR_ALL_ADMINS パラメーターの使用を許可する変更はありません。
- QRadar 7.3.0 ( 7.3.0.20170315023309 )
- QRadar 7.3.0 Patch 1 ( 7.3.0.20170503143306 )
- QRadar 7.3.0 Patch 2 ( 7.3.0.20170620100024 )
- QRadar 7.3.0 Patch 3 ( 7.3.0.20170727172058 )
Answer
以前の QRadar では、すべての管理者アカウントに対して常にフォールバック・パスワードが使用されます。該当のポリシー内のセキュリティー変更は、QRadar の構成変更が行われるまで「 Admin 」に指定されたユーザー・アカウントのみがログインできるように QRadar 7.2.8 Patch 8 (7.2.8.20170707222831) および QRadar 7.3.0 Patch 4 (7.3.0.20170830160510) でリリースされました。この変更には、コンソール・アプライアンスへの root アクセス権限が必要です。
- QRadar コンソールの更新
外部認証が無効な場合、QRadarに保存されているローカルパスワードへのフォールバック認証を有効にすることが可能です。LOCAL_FALLBACK_FOR_ALL_ADMINSの値がFALSEに構成されている場合、「 Admin 」に指定されたユーザーのみが認証を行うことができますが、すべての管理者がローカルのフォールバックパスワードを使用できるようにするには、nva.confに新規に下記パラメータを追加する必要があります。
LOCAL_FALLBACK_FOR_ALL_ADMINS=TRUE
手順:- 管理者として QRadar コンソールにログインします。
- 既存の nva.conf ファイルのコピーを作成するには、次のとおり入力します: cp /opt/qradar/conf/nva.conf /root/nva.conf.bak
- LOCAL_FALLBACK_FOR_ALL_ADMINS=TRUE に変更するため、以下のファイルを追加します。
/opt/qradar/conf/nva.conf
/store/configservices/deployed/globalconfig/nva.conf
/store/configservices/staging/globalconfig/nva.conf
重要: ご利用のバージョンによっては、nva.conf にこの行の追加または編集が必要になる場合があります。この変更を行う場合は行の位置にかかわらず、新しい行を上部、下部、またはアルファベット順に QRadar コンソールへ追加することができます。管理者は、問題が発生した場合にファイルをリストアするため、root ディレクトリーから nva.conf.bak として作成したバックアップ・ファイルを編集しないでください。 - 変更内容をファイルに保存します。
- 管理者としてコンソールにログインします。
- 「管理」タブをクリックします。
- 「変更のデプロイ」をクリックします。
結果:
「変更のデプロイ」が完了すると、すべての管理対象ホストに外部認証が使用できない場合にすべての管理者がコンソールにログインできるようにするための変更が含まれる更新済みの nva.conf ファイルが提供されます。
この変更は、QRadar の patches/updates に保持されます。この構成は一度変更すると、今後のソフトウェア・バージョンで該当の手順を再び行う必要はありません。この変更にかんするサポートがが必要な場合が、case を新規でオープンして QRadar サポートにお問い合わせください。
Related Information
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Admin Console","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2;7.3","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
14 September 2022
UID
ibm16559614