Secure Relay für Tenable Identity Exposure 

Ab Version 3.59 übernimmt die Secure Relay-Komponente bestimmte Aufgaben in der Tenable Identity Exposure-Plattform:

  • Ermöglicht die Konfiguration von Domänen, aus denen die Daten an die Directory Listener-Komponente (DL) weitergeleitet werden, die AD-Objekte erfasst.

  • Erleichtert die Einrichtung und Wartung großer Infrastrukturen durch automatische Updates: Es werden nicht mehr mehrere DLs benötigt, für die gleichzeitige Upgrades erforderlich sind.

  • Dient als Brücke zwischen dem einzelnen DL und verschiedenen Endgeräten, wie z. B. Domänencontroller, SMTP- oder SYSLOG-Server oder LDAP-Server für die produktinterne Authentifizierung.

  • Ist an eine oder mehrere Domänen gebunden. Der DL kann eine unbegrenzte Anzahl von Relays verwalten.

  • Erfordert eine Konfiguration in der Tenable Identity Exposure-Konsole, z. B. Benennungen und Zuordnungen (Domänen-, SMTP-, SYSLOG-, LDAP-Authentifizierung).

Befolgen Sie diese Richtlinien für die Installation von oder ein Upgrade auf Tenable Identity Exposure 3.59 mit Secure Relay:

  1. Lesen Sie die Secure Relay-Anforderungen.

  1. Netzwerkanforderungen:

    • In früheren und aktuellen Versionen hat der DL über das AMQP(S)-Protokoll direkt mit dem SEN kommuniziert.

    • In Version 3.59 kommunizieren die Relays, die die mehreren DLs ersetzen, mit dem einzigen verbleibenden DL über HTTPS.

    • Envoy ist der Reverse-Proxy.

  2. Linking Key: Für die Installation von Secure Relay ist ein einmal verwendbarer Linking Key erforderlich, der die Adresse Ihres Netzwerks und ein Authentifizierungstoken enthält. Tenable Identity Exposure generiert nach jeder erfolgreichen Installation von Secure Relay einen neuen Key.

So rufen Sie den Linking Key ab:

  1. Klicken Sie in der Tenable Identity Exposure-Konsole in der linken Menüleiste auf System und wählen Sie die Registerkarte Konfiguration > Relay aus.

  2. Klicken Sie auf , um den Linking Key zu kopieren.

  1. Rollenberechtigungen: Sie müssen ein Benutzer mit rollenbasierten Berechtigungen sein, um das Relay zu konfigurieren. Die folgenden Berechtigungen sind erforderlich:

    • Datenentitäten: Entitäts-Relay

    • Schnittstellenentitäten:

      • Verwaltung > System > Konfiguration > Anwendungsdienste > Relay

      • Verwaltung > System > Relay-Verwaltung

      Weitere Informationen finden Sie unter Berechtigungen für eine Rolle festlegen.

Erforderliche Benutzerrolle: Administrator auf dem lokalen Computer.

So installieren Sie das Secure Relay:

  1. Laden Sie das ausführbare Programm für Secure Relay von der Tenable-Website für Downloads herunter.

  2. Doppelklicken Sie auf die Datei tenable.ad_SecureRelay_v3.xx.x, um den Installationsassistenten zu starten.

    Der Begrüßungsbildschirm wird angezeigt.

  3. Klicken Sie auf Weiter.

    Das Fenster Custom Setup wird angezeigt.

  4. Klicken Sie auf Durchsuchen, um die Festplattenpartition auszuwählen, die Sie für Secure Relay reserviert haben (getrennt von der Systempartition).

  5. Klicken Sie auf Weiter.

    Das Fenster Relay-Konfiguration wird angezeigt.

  7. Geben Sie folgende Informationen an:

    1. Geben Sie im Feld Relay Name einen Namen für Ihr Secure Relay ein.

    2. Fügen Sie im Feld Linking Key den Linking Key ein, den Sie aus dem Tenable Identity Exposure-Portal abgerufen haben.

    3. Wenn Sie sich für die Verwendung eines Proxy-Servers entscheiden, aktivieren Sie die Option Use an HTTP Proxy for your Relay calls und geben Sie die Proxy-Adresse und die Portnummer an.

  8. Klicken Sie auf Weiter.

    Das Fenster „Proxy-Konfiguration“ wird angezeigt:

  9. Wählen Sie eine der folgenden Optionen aus:

    1. Kein: Es soll kein Proxy-Server verwendet werden.

    2. Nicht authentifiziert: Geben Sie die Adresse und den Port für den Proxy-Server ein.

    3. Standardauthentifizierung: Geben Sie zusätzlich zu Adresse und Port den Benutzer und das Passwort für den Proxy-Server ein.

    Achtung: Um einen Proxy mit „Nicht authentifiziert“ oder „Standardauthentifizierung“ zu konfigurieren, unterstützt das Relay nur IPv4-Adressen (wie 192.168.0.1) oder einen Proxy-URI ohne http:// oder https:// (wie myproxy.mycompany.com). Das Relay unterstützt keine IPv6-Adressen (wie 2001:0db8:85a3:0000:0000:8a2e:0370:7334).

  1. Klicken Sie auf Konnektivität testen. Folgende Ergebnisse sind möglich:

    • Grünes Licht – Die Verbindung wurde erfolgreich hergestellt.

    • Ungültiger Linking Key – Rufen Sie den Linking Key aus dem Tenable Identity Exposure-Portal ab.

    • Ungültiger Relay-Name – Dieses Feld darf nicht leer bleiben. Geben Sie einen Namen für das Relay an.

    • Verbindung fehlgeschlagen – Überprüfen Sie Ihren Internetzugriff.

      Tipps:
      – Wenn die Verbindung fehlschlägt, überprüfen Sie die Umgebungsvariable „ALSID_CASSIOPEIA_CETI_Service__Broker__Host“ auf dem Directory Listener-Server.
      – Stellen Sie sicher, dass sie auf die IP-Adresse des Security Engine Node festgelegt ist. Wenn die Variable auf den Standardwert „127.0.0.1“ festgelegt ist, schlägt die Installation von Secure Relay fehl.
      – Nachdem Sie die Umgebungsvariable „ALSID_CASSIOPEIA_CETI_Service__Broker__Host“ aktualisiert haben, starten Sie den Ceti-Dienst neu.
      Starten Sie die Secure Relay-Installation erneut. Andernfalls wird ein Rollback durchgeführt, die Relay- und Envoy-Dienste bleiben installiert und jede weitere Installation wird blockiert.

  2. Klicken Sie auf Weiter.

    Das Fenster Zur Installation bereit wird angezeigt.

  3. Klicken Sie auf Installieren.

  4. Klicken Sie nach Abschluss der Installation auf Fertig stellen.

Überprüfen Sie nach Abschluss der Secure Relay-Installation Folgendes:

Liste der installierten Relays in Tenable Identity Exposure

So zeigen Sie die Liste der installierten Relays an:

  • Klicken Sie in Tenable Identity Exposure in der linken Menüleiste auf Systeme und wählen Sie die Registerkarte Relay-Verwaltung aus.

    Im Fensterbereich wird eine Liste der Secure Relays und ihrer verknüpften Domänen angezeigt.

Dienste

Nach erfolgreicher Installation werden die folgende Dienste ausgeführt:

  • Tenable_Relay

  • tenable_envoy

    Hinweis: Sie finden die Envoy-Lizenz in Tenable Identity Exposure unter Systeme > Rechtliches > Envoy-Lizenz.

Umgebungsvariablen

Mit der Installation wurden außerdem vier neue Umgebungsvariablen hinzugefügt, die sich auf Secure Relay beziehen und deren Namen mit „ALSID“ beginnen. Wenn Sie sich für die Verwendung eines Proxy-Servers entschieden haben, gibt es zwei zusätzliche Variablen, die sich auf die Proxy-IP und den Port beziehen.

Protokolle zur Fehlerbehebung

Protokolle befinden sich an diesen Speicherorten:

  • Installationsprotokolle: C:\Users\<Ihr Benutzer>\AppData\Local\Temp

  • Relay-Protokolle: Auf der VM, auf der Secure Relays gehostet werden, in dem bei der Installation angegebenen Ordner

Nachdem Sie Secure Relay installiert haben, sucht Tenable Identity Exposure regelmäßig nach neuen Versionen. Dieser Vorgang läuft vollständig automatisiert ab und erfordert HTTPS-Zugriff auf Ihre Domäne (TCP/443). Ein Symbol in der Netzwerkleiste zeigt an, wenn Secure Relay von Tenable Identity Exposure aktualisiert wird. Sobald der Vorgang abgeschlossen ist, werden die Tenable Identity Exposure-Dienste neu gestartet und die Datenerfassung wird fortgesetzt.

So deinstallieren Sie ein Secure Relay:

  1. Gehen Sie in Windows zu Einstellungen > Apps & Features > Tenable Identity Exposure Secure Relay.

  2. Klicken Sie auf Deinstallieren.

    Wenn die Deinstallation abgeschlossen ist, werden Dienste und Umgebungsvariablen von Tenable Identity Exposure Secure Relay nicht mehr in Ihrem System angezeigt.

  3. Klicken Sie in Tenable Identity Exposure in der linken Menüleiste auf Systeme und wählen Sie die Registerkarte Relay-Verwaltung aus.

  4. Wählen Sie das Relay aus, das Sie gerade deinstalliert haben, und klicken Sie auf , um es aus der Liste der verfügbaren Relay zu entfernen.

Siehe auch

  • Troubleshoot Secure Relay Installation