FAQ about SmartGate

Q.Smart Gateではどのようなログを収集できますか？

A
SmartGate2.7では、以下４つの種類のログを収集・設定することが可能となっております。

1). Accounting service
2). Usage service
3). Event log service
4). OLR 登録発行状況

詳しくはSG_log.txtを参照

Q.エンドユーザ様がクライアントPCの時間の変更を実施してしまった場合どうなるでしょうか？

時間をもどすなどの操作をしたときに、
SmartGateそのもの機能停止（接続できない。）などの状況が確認されています。
基本的にセキュリテイソフトであるので、時間を進める、ずっと前の時間に戻すなどの操作は止めて頂くようお願いします。
クライアントのみの時間の操作であるならば、
そう差後のACLの取得に注意して頂いて問題無い用であれば
そのままご使用になって頂いても良いかと思います。

Q.プロキシやルーターを使用してSmartGateに接続したいのですがどのように設定すればいいでしょうか？

SmartPassオプションにてWebプロキシ及び、SSLプロキシを設定していただきます。
[プロキシサーバを使用する]もしくは[プロキシサーバを使用する（認証あり）]を指定し、IPアドレス及びポート番号を指定します。
FTPプロキシ、Genericプロキシは、[SSLプロキシ]タブで設定された[SSLプロキシ]を有効にするをチェック
して下さい。
以上でプロキシ経由でSmartGateサーバに接続可能となります。
また、SOCKSプロキシーを使用している場合は別途SCOKSクライアントを導入する必要があります。この場合は上記の設定は不要です。

Q.Proxy経由でのSmartPassの利用しています。クライアントからProxyサーバ、FireWallを通過しても問題なく動作するのでしょうか?

問題なく動作します。
　ただし、proxy Serverで認証を利用している場合は認証方式によっては
　利用できない場合がございます。

Q.なりすまし等の不正アクセスの心配はありませんでしょうか？

通常心配はございません。

Q.TOKEN　Fileを複数のPCで使用する場合はどうしたらいいでしょうか？

TOKEN Fileを複数のPCでご使用になる場合はFDにコピーする方法となってしまいます。
FDにコピーし、ご使用になる場合は以下を行ってください。

①C:\Program Files\V-ONE\SmartPass 3.4a\DATA\User.tkn
※Cドライブにインストールした場合
を、FDに保存します。
②次に、コントロールパネルのV-ONE FIPS Tokenを開き、設定タブで
[FIPSトークンファイル名]で保存したFD内のUser.tknを指定します。
例： A:\User.tkn
③その後、FDを入れOLRを行ってください。
②の設定をご使用になるPCにて設定していただければ、違うPCにて
自分のToken Fileをご利用することが可能になります。

Q.OLRを使用しないでServer側にてユーザを追加する方法はありますか？

あります。
SmartGate Serverの[Users]タブにて[Add]を選択してユーザを追加します。
ここでユーザに割り当てる
★ユーザID
★名前
★グループ
★Authentication ID（32桁：アルファベットと数字からなるID）
※Authentication IDについては[Random]ボタンによって生成しても可
を設定します。

ユーザを追加したら、ユーザに以下の情報を伝え、設定していただきます。
★SmartGate Server Name(SmartGateインストール時に設定したもの)
★ユーザID
★SmartGate ServerのIPアドレスまたはFQDN名
★Authentication ID
上記の設定をClientはコントロールパネルのV-ONE FIPS Tokenの[鍵情報]タブ
にて設定します。[追加]ボタンを押し、それぞれの情報を設定します。
※鍵の名前の項目はSmartGate Server Nameにあたります。
※ユーザ名はユーザIDにあたります。
※鍵マテリアルはAuthentication IDにあたります。

Q.SmartGateのミラーリング機能ではユーザー関連情報の追加更新分以外でログ情報等は反映されるのでしょうか。

クライアントのログイン情報等は反映されます。
SmartGate Server自体のログ、TCP,Web等のルールは反映されません。

Qクラスタリング構成時（２台構成）に１台のSmartGateサーバがダウンした場合、生きているSmartGateサーバーもミラーリング機能を停止させないと使用不可能になってしまうのは、どのような理由からでしょうか。

SmartGateのバックアップ機能をお互いのマシンで使っているのですが、この時、片方のSmartGateが停止してしまうと、動作しているSmartGateは情報の更新がある度にバックアップを行おうとして停止しているSmartGateにアクセスしようとします。勿論アクセスできないので、再度リトライを繰り返します。
多数のユーザが利用する環境ですと、これが動作しているSmartGateの負荷となり、動作しているSmartGateも利用できない状態になってしまいます。

Q.１台のSmartGateサーバがダウンした場合、生きているSmartGateサーバーのミラーリング機能を自動的（バッチ等実行する）に停止させる方法はありますでしょうか

SmartGateサーバが停止したことを検知できませんので別プログラムで検知
することが必要です。
また、バックアップ機能を停止するには、C:\Program Files\V-ONE\SmartGate 2.7\data\sgconf.ini
※Cドライブにインストール時のデフォルトディレクトリのファイル中のbuckup_userdbという行をコメントアウトし、SmartGateサービスを再起動することで可能となります。

Q.現行SmartGate Ver2.4またはVer2.7で１台のＳＧサーバの機能が停止した時にSmartGateレベルでの検知は可能でしょうか。

SmartGateレベルでの検知の機能は持っておりません。

Q.下記のようなエラーが出ました。どういった意味でしょうか？
SmarePass is unable to connect to
server:smartgate.ant.co.jp.The server could be down
or is not responding.

If you are unable to connect again iater,contact the server's
administrator.

WindowsNTのマシンの性能限界で動作させた場合に
プロセスが残っていますなどの現象が発生することがあります。
恐らくこの影響で、今回SmartPassからの接続がうまくできなかったのでは
ないかと予想されます。
対応策といたしましてはサーバのハードウェアスペックアップがあります。
また緊急の対応策としてはサーバのリブートサイクルを短くしていただく方法があります。

Q.SmartGateサーバでユーザのアクセス履歴／認証履歴に関するログ情報の取得・保存が可能かまた可能であればどのような情報をどのような方法、タイミングで取得できるかをおしえてください。

A
Logging settingsのAccounting serviceの機能を使用することに
よって実現可能です。
このAccounting serviceは任意のサーバに用意したsyslogサービス
に対して情報を送信します。
送信する情報は以下のようになっています。
・SmartPassのIPアドレス
・SmartPassのユーザID
・Session開始時間
・Session終了時間
・Destination host
・Destination port
・Server側からClientに送られたパケットの量(Byte)
・Client側からServerに送られたパケットの量(Byte)
・"misc"という文字列（log終了）
以上の情報を指定したhost:portに送信いたします。
Syslog Serviceとして以下のようなものがございますのでお試し下さい。
http://www.softseek.com/Utilities/System/Review_25703_index.html

Q.現在稼動しているSmartPass3.1BとSmartGate2.4に関して、IE5.5との不具合が確認されていますか？
もし確認されているなら、不具合の詳細は何か。また SmartPass3.4とSmartGate2.7では解決されているのでしょうか？

現在IE5.5を導入するとSmartPassが利用できなくなる現象が確認されております。
原因としましては、wsock32.dllがIE5.5を導入することによって入れ替わるので
SHIMの機能が利用できなくなります。
IEをご使用の場合はプロキシの設定で127.0.0.1:2080を設定することによりのこの問題は回避されます。
その他のアプリケーションをご使用の場合はIE同様にアクセスするサーバを127.0.0.1:port番号
と設定してください。すると指定したport番号を許可しているサーバ一覧が表示されますので
※指定したPort番号を許可しているサーバが一つの場合は表示されません。
選択し[OK]することによって接続いたします。

上記問題については次期バージョンのSmartGate4.1に含まれる
SmartPass4.1にて修正される予定です。

Q.SHIMはどういう機能なのでしょうか。(2000,9.1)

A
SHIMは、アプリケーションがWinscokを呼び出す時、それをインターセプトして、スマートゲートに導いてあげる機能です。

Q.SmartGateは、Java Appletに対応しているのでしょうか？
対応している場合、SmartGate側で何か特別な設定は
いるのでしょうか？

SmartGateの暗号化については、
Java Appletの動作にも問題ありません。
（利用可能です。）

Q.OLRサーバを別に立てずに、SmartGateサーバー2台だけで運用する場合には、どのような不利益があるのでしょうか？

A
SmartGateのクラスタリング構成時（２台構成）にＯＬＲサーバを別立てに
しない場合、ユーザーはどちらか一方のサーバーでＯＬＲを行うこと
になります。ＯＬＲ情報を２台のSmartGateサーバへ反映させるために現在
SmartGateのミラーリング機能を使用しています。（お互いにユーザー関連
情報の追加更新分のみをバックアップする機能。）

◆現状の問題点として、１台のSmartGateサーバがダウンした場合、生きて
いるSmartGateサーバーもミラーリング機能を停止させないと使用不可能に
なってしまう（ダウンではありませんが）という点があります。

◆またお互いにバックアップをかけるという動作がサーバーへの負荷
を高めるといった不利益を発生させています。（ＯＬＲ用のサーバを別
建てにする場合はミラーリング機能は使用しません。）

Q.SmartGateでは、アクセスリストの設定時にDestination hostでFQDN or IPアドレスを設定できるようなことが、インストールガイドに掲載されていたと思います。
名前解決を行うと宛先は全てIPアドレスに変換されると思うのですが、アクセスリストで宛先がIPアドレスのリストしか登録しなかった場合、何か不具合が出るのでしょうか？

A
ご指摘の通り
IPアドレスで登録しているときにclientがFQDN名で
アクセスした場合にSmartGateを経由できないことがあります。
またその逆も場合もあります。
申し訳ございませんが、FQDN及びIPアドレス両方設定することをおすすめ致します。

Q.SmartGate2.7ではシングルポート対応とのことですが例外的なものはありますでしょうか。

いいえ、例外はございません。

Q.SmartGate2.4ではＯＲＡＣＬＥ７.32サーバとの通信でＳＱＬ*ｎｅｔの問題点がありましたが
Smartgate2.7では解消されていることは以前伺いましたが、
ＯＲＡＣＬ8サーバでの問題点は解消されているのでしょうか。

上記の問題は、私ともでは何も聞いておりません。
この為に、情報はありません。
Oracle8のClientモジュールのNT版にSmartPass3.4aを導入した場合にフックすることができません。
Oracleの設定ファイルを変更してローカルホストに向ける必要があります。
※これはWinsock2.0を使ったアプリケーションの為です。SmartPass3.4aではWinsock2.0を使ったアプリケーションはフックすることができません。

Q.SmartGateサーバのログレベルにはどんな種類の情報があるのでしょうか。
ログレベル別に教えてください。

A
ログレベルの違いに関しての情報はありません。
開発元に、問い合わせを行いたいとおもいますが、
的確な情報が得られるかどうかと、その時期に関しては不明です。

Q.ログレベル毎に容量の違いを教えてください。

ログレベルを上げることによって、出力の量が大量になります。

Q.ログはＨＤＤ容量を超えた場合、上書きされるのでしょうか。

同じファイルにログを書き出していきます。
あるタイミングでファイルを別名にして
保存することをお願いします。

SmartGate FAQ

回答