Secure Relay pour Tenable Identity Exposure
À partir de la version 3.59, le composant Secure Relay prend en charge les tâches désignées sur la plateforme Tenable Identity Exposure :
-
Permet de configurer les domaines à partir desquels il transfère les données au composant Directory Listener (DL) qui collecte les objets AD.
-
Facilite la configuration et la maintenance des grandes infrastructures grâce aux mises à jour automatiques : n'a plus besoin de multiples DL qui nécessitent des mises à niveau simultanées.
-
Agit comme un pont entre le DL unique et divers terminaux, tels que les contrôleurs de domaine, les serveurs SMTP ou SYSLOG ou les serveurs LDAP pour l'authentification dans le produit.
-
Se lie à un ou plusieurs domaines. Le DL peut gérer un nombre illimité de Relays.
-
Requiert une configuration dans la console Tenable Identity Exposure, telle que des dénominations et des mappages (domaine, SMTP, SYSLOG, authentification LDAP).
Avant de commencer
Suivez ces directives pour l'installation ou la mise à niveau vers Tenable Identity Exposure 3.59 avec Secure Relay :
-
Passez en revue les les Conditions requises pour Secure Relay.
-
Configuration réseau requise :
-
Dans les versions précédentes et actuelles, le DL communiquait directement avec le SEN, à l'aide du protocole AMQP(S).
-
Dans la version 3.59, les Relays qui remplacent les multiples DL communiquent avec le DL restant via HTTPS.
-
Envoy est le proxy inverse.
-
-
Clé de liaison : l'installation de Secure Relay nécessite une clé de liaison à usage unique contenant l'adresse de votre réseau et un jeton d'authentification. Tenable Identity Exposure génère une nouvelle clé après chaque installation réussie de Secure Relay.
Pour récupérer la clé de liaison :
Dans la console Tenable Identity Exposure, cliquez sur Système dans la barre de menu de gauche et sélectionnez l'onglet Configuration > Relay.
Cliquez sur
pour copier la clé de liaison.
-
Autorisations de rôle : vous devez être un utilisateur pourvu d'autorisations basées sur le rôle pour configurer le Relay. Les autorisations requises sont les suivantes :
-
Entités de type Donnée : entité Relay
-
Entités de type Interface :
-
Gestion > Système > Configuration > Services de l'application > Relay
-
Gestion > Système > Gestion des Relays
-
-
Procédure d'installation
Rôle utilisateur requis : administrateur sur l'ordinateur local.
Pour installer le Secure Relay :
-
Téléchargez le programme exécutable pour Secure Relay à partir du site de téléchargements de Tenable.
-
Double-cliquez sur le fichier tenable.ad_SecureRelay_v3.xx.x pour lancer l'assistant d'installation.
L'écran Welcome (Bienvenue) apparaît.
-
Cliquez sur Next (Suivant).
La fenêtre Custom Setup (Configuration personnalisée) apparaît.
-
Cliquez sur Browse (Parcourir) pour sélectionner la partition de disque que vous avez réservée à Secure Relay (distincte de la partition système).
-
Cliquez sur Next (Suivant).
La fenêtre Relay Configuration (Configuration du Relay) apparaît.
-
-
Fournissez les informations suivantes :
-
Dans la zone Relay Name (Nom du Relay), saisissez le nom de votre Secure Relay.
-
Dans la zone Linking key (Clé de liaison), collez la clé de liaison que vous avez récupérée sur le portail Tenable Identity Exposure.
-
Si vous choisissez d'utiliser un serveur proxy, sélectionnez l'option Use an HTTP Proxy for your Relay calls (Utiliser un proxy HTTP pour les appels de votre Relay) et fournissez l'adresse et le numéro de port du proxy.
-
-
Cliquez sur Next (Suivant).
La fenêtre Proxy Configuration (Configuration du proxy) apparaît.
-
Sélectionnez l'une des options suivantes :
-
None (Aucun) : aucun serveur proxy n'est utilisé.
-
Unauthenticated (Non authentifié) : saisissez l'adresse et le port du serveur proxy.
-
Basic authentication (Authentification de base) : en plus de l'adresse et du port, saisissez l'utilisateur et le mot de passe du serveur proxy.
Attention : pour configurer un proxy en utilisant « Unauthenticated » (Non authentifié) ou « Basic authentication » (Authentification de base), le Relay ne prend en charge que les adresses IPv4 (telles que 192.168.0.1) ou un URI de proxy sans http:// ou https:// (tel que monproxy.masociété.com). Le Relay ne prend pas en charge les adresses IPv6 (telles que 2001:0db8:85a3:0000:0000:8a2e:0370:7334). -
-
Cliquez sur Test Connectivity (Tester la connectivité). Les événements suivants peuvent se produire :
-
Green light (Feu vert) — La connexion a abouti.
-
Invalid linking key (Clé de liaison non valide) — Extrayez la clé de liaison à partir du portail Tenable Identity Exposure.
-
Invalid Relay Name (Nom de Relay non valide) — Cette zone ne peut pas rester vide. Fournissez un nom pour le Relay.
-
Connection failed (Échec de la connexion) — Vérifiez votre accès à Internet.
Conseils :
- En cas d'échec de la connexion, vérifiez la variable d'environnement « ALSID_CASSIOPEIA_CETI_Service__Broker__Host » sur le serveur Directory Listener.
- Assurez-vous qu'elle est définie sur l'adresse IP du Security Engine Node. Si la variable est définie sur la valeur par défaut « 127.0.0.1 », elle entraîne l'échec de l'installation de Secure Relay.
- Une fois la variable d'environnement « ALSID_CASSIOPEIA_CETI_Service__Broker__Host » mise à jour, redémarrez le service Ceti.
- Relancez l'installation de Secure Relay. Sinon, le processus reviendra en arrière, ne désinstallera pas les services Relay et Envoy et bloquera toute autre installation.
-
-
Cliquez sur Next (Suivant).
La fenêtre Ready to Install (Prêt pour l'installation) apparaît.
-
Cliquez sur Install (Installer).
-
Une fois l'installation terminée, cliquez sur Finish (Terminer).
Vérifications post-installation
Une fois l'installation du Secure Relay terminée, vérifiez les éléments suivants :
Liste des Relays installés dans Tenable Identity Exposure
Pour afficher la liste des Relays installés :
-
Dans Tenable Identity Exposure, cliquez sur Systèmes dans la barre de menu de gauche et sélectionnez l'onglet Gestion des Relays.
Le volet affiche la liste des Secure Relays et de leurs domaines liés.
Services
Lorsque l'installation aboutit, les services suivants sont en cours d'exécution :
-
Tenable_Relay
-
tenable_envoy
Remarque : vous pouvez localiser la licence Envoy dans Tenable Identity Exposure sous Systèmes > Mentions légales > Licence Envoy.
Variables d'environnement
L'installation a également ajouté 4 nouvelles variables d'environnement liées à Secure Relay dont les noms commencent par « ALSID ». Si vous avez choisi d'utiliser un serveur proxy, il existe 2 variables supplémentaires associées à l'adresse IP et au port du proxy.
Journaux pour la résolution des problèmes
Vous trouverez des journaux aux emplacements suivants :
-
Journaux d'installation : C:\Users\<votre utilisateur>\AppData\Local\Temp
-
Journaux Relay : sur la VM qui héberge Secure Relay dans le dossier spécifié au moment de l'installation.
Mises à jour automatiques
Après l'installation de Secure Relay, Tenable Identity Exposure recherche régulièrement les nouvelles versions. Ce processus est entièrement automatisé et nécessite un accès HTTPS à votre domaine (TCP/443). Une icône dans la barre d'état réseau indique quand Tenable Identity Exposure met à jour Secure Relay. Une fois le processus terminé, les services Tenable Identity Exposure redémarrent et la collecte de données reprend.
Désinstallation
Pour désinstaller un Secure Relay :
-
Sous Windows, accédez à Paramètres > Applications et fonctionnalités > Tenable Identity Exposure Secure Relay.
-
Cliquez sur Désinstaller.
Une fois la désinstallation terminée, les services et les variables d'environnement Tenable Identity Exposure Secure Relay n'apparaîtront plus dans votre système.
-
Dans Tenable Identity Exposure, cliquez sur Systèmes dans la barre de menu de gauche et sélectionnez l'onglet Gestion des Relays.
-
Sélectionnez le Relay que vous venez de désinstaller et cliquez sur
pour le supprimer de la liste des Relays disponibles.
Voir aussi
-
Troubleshoot Secure Relay Installation