キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
McAfee Employee

【TIPS】VSEL コンソールにログインができない場合の対応

こんにちは

マカフィー テクニカルサポートセンターです。

今回はVirusScan Enterprise for Linux (VSEL) でコンソール画面にログインができなくなった場合の

対応について、よくあるケースの中から、有効な対応策をご紹介いたします。

VSEL をご利用で同様の問題が発生している場合は、以下の対処策をご確認ください。

VSEL のコンソールへのログイン時に、

Error: bad credentials Error Code ** Description authentication failure

というエラーが発生したり、コンソールのURLへのアクセス時に406 エラーが

発生してログイン画面が表示されないといったケースがあります。


※画像はError Code 34 が表示された際の画面です

VSEL.png

これらの事象は主に以下のような要因で発生いたします。

・ブラウザに英語の言語が追加されていない

・ブラウザのcookieまたはキャッシュデータに問題がある

・ePolicy Orchestrator (ePO) から配備されたVSELで ログインパスワードが設定されていない

・ログイン時に認証に利用されるPAM (Pluggable Authentication Modules) が正しく読み込まれていない(64bit OSの場合)

以下の対処を実施いただき、コンソールへログインが出来るかをご確認ください。


①ブラウザのキャッシュ、cookieの削除

ご利用いただいているブラウザのcookieと、キャッシュを削除してから、

ブラウザを再起動し、コンソールへログインができるかをご確認ください。

②ブラウザへ言語:英語の追加 (VSEL1.7 / VSEL1.7.1)

ブラウザに言語:英語が追加されていない場合は、追加いただきましてログインが

出来るかをご確認ください。ブラウザの言語の追加方法については各ブラウザの提供元へ

ご確認ください。例えば、Internet Explorer の場合、インターネットオプションの

全般タブから"言語"をクリックし英語(米国)を追加します。言語を追加した後、

ブラウザを再起動して、VSEL のコンソールにログインができるかご確認ください。


※この設定はVSEL 1.9 以降では必要ありません。VSEL1.7 /1.7.1をご利用の場合に設定ください。

③ ePOから配備されたVSELの場合

ePOからVSELを配備した場合、ログインパスワードを設定していただく必要があります。

以下のコマンドで設定いただきまして、ログインが出来るかをご確認ください。

また、スタンドアロンの場合でも、以下のコマンドで、ログインパスワードの

再設定が可能です。念の為、設定されているパスワードを以下コマンドで

変更後、ログインが成功するかをご確認ください。

# /opt/NAI/LinuxShield/bin/nails passwd

④ PAM (Pluggable Authentication Modules) の設定

64bit OSをご利用いただいている場合、VSEL のコンソールへログインをする場合には、

32-bit pam ライブラリ 及び 32-bit libgcc パッケージが インストールされている必要が

あります。以下のKBに基づき、インストールされていない場合は、これらのパッケージを

インストールしてログインができるかをご確認ください。

※VSELをインストールした後に32-bit pam ライブラリ 及び 32-bit libgccをインストールした場合、

 改善しないケースがございますので、32-bit pam ライブラリ 及び 32-bit libgccがインストールされた

 状態でVSELを再インストールいただく事で改善するかをご確認ください。

[URL] VirusScan Enterprise for Linux 1.7 コンソールにログオンできません

https://kc.mcafee.com/corporate/index?page=content&id=KB80641&locale=ja_JP&viewlocale=ja_JP

※上記KBはVSEL1.7として記載されておりますが1.7.1、1.9.0でも同様です

[URL]Error: Failed dependencies (when installing VirusScan Enterprise for Linux 1.9.x on RedHat 6.x or CentOS 6.x systems)

https://kc.mcafee.com/corporate/index?page=content&id=KB78847

⑤PAMの認証設定の編集

PAM のパッケージを追加してもコンソールへログインができない場合、

対処として、pam設定ファイル( /etc/pam.d/nails )を念の為バックアップしてから、

テキストエディタで開き、既存の設定を以下のように修正していただき、system-auth

バイパスしてログインしていただくようにして改善するかをお試しください。

もし設定後も改善しない場合は、ブラウザのキャッシュ削除を再度行ってからログインを

お試しください。

修正前

----------

#%PAM-1.0

auth include      system-auth

----------

修正後

----------

#%PAM-1.0

auth sufficient   pam_unix.so nullok try_first_pass

auth required     pam_nologin.so

----------

※上記編集後のシステム再起動は必要ありません

[URL]How to configure PAM for VirusScan Enterprise for Linux manager authentication

https://kc.mcafee.com/corporate/index?page=content&id=KB70568

⑥関連の必要なパッケージのインストール

64bit 版のUbuntu をご利用いただいている場合、ログイン処理に

必要なライブラリがインストールされている必要があります。

以下の必要なパッケージがインストールされていることを確認し、

不足しているパッケージをインストールしていただいてから、

コンソールへログインが出来るかをご確認ください。

- 1.必要なパッケージの確認

以下のパッケージがインストールされているかご確認ください。

libc6

libc6:i386

ia32-libs

libpam0g

libpam0g:i386

libpam-modules

libpam-modules:i386

linux-headers-<カーネルバージョン>

linux-image-<カーネルバージョン>

ia32-libs-multiarch

libglapi-mesa:i386

- 2.必要なパッケージのインストールを以下のコマンドで実行します。

# apt-get install libc6 libc6:i386 ia32-libs libpam0g libpam0g:i386 libpam-modules libpam-modules:i386 linux-headers-3.2.x-xx-generic linux-image-3.2.x-xx-generic ia32-libs-multiarch libglapi-mesa:i386 -y

linux-headers-3.2.x-xx-generic linux-image-3.2.x-xx-genericについては、

ご利用のカーネルによりバージョンが異なります。uname -r のコマンドでご利用の

カーネルバージョンを確認し必要なパッケージをインストールください。

– 3. 32bit 用のPAMの設定を実施

上記パッケージインストール後、以下のコマンドにて32bit用のPAMの設定を行います。

# mkdir /pam32lib

# cp -ip /lib/i386-linux-gnu/security/pam_unix.so /pam32lib/pam_unix32.so

# cp -ip /lib/i386-linux-gnu/security/pam_nologin.so /pam32lib/pam_nologin32.so

– 4. Pam設定ファイル書き換え

pamの認証ファイルについて、⑤ にて紹介した手順にて以下のように書き換えてください。

 ----------

#%PAM-1.0

auth sufficient   pam_unix.so nullok try_first_pass

auth required     pam_nologin.so

----------

 上記の対応実施した後、コンソールへログインができるかをご確認ください。

⑦ libgcc_s.so.1 のファイルがない、またはOSのアップグレード後、PAMライブラリファイルのパスが変わった

ログインができなくなる場合の事例としまして、ログイン時の処理に利用される

libgcc_s.so.1 のファイルがない場合やOSのアップグレードをして、PAMライブラリ

ファイルのパスが変わった場合にログインができなくなるケースがあります。

それぞれのケースについて以下の KB の手順にて改善がみられるかをご確認ください。

OS のアップグレード後、PAMライブラリファイルのパスが変わった場合

[URL]VirusScan Enterprise for Linux 1.7 authentication fails after an OS upgrade

https://kc.mcafee.com/corporate/index?page=content&id=KB73087

libgcc_s.so.1 のファイルがない場合

[URL]error code 34, authentication failure (when logging on to VSEL)

https://kc.mcafee.com/corporate/index?page=content&id=KB77479

⑧ nailsサービスの再起動

nails サービスのリスタートが有効な対処となる事例がございます。以下コマンドにて

nailsサービスを再起動していただきまして状況が改善するかをご確認ください。

# /etc/init.d/nails restart

今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。

以上

マカフィーテクニカルサポートセンター

0 件の賞賛
2 件の返信
McAfee Employee

Re: 【TIPS】VSEL コンソールにログインができない場合の対応

んにちは

マカフィー テクニカルサポートセンターです。

以前投稿させていただきました本記事について、各対処を実行しても

VSELコンソールへのログインに失敗するというお問い合わせをいただき、

別の対処方法で改善したケースがありましたのでご紹介いたします。

もし上記記事の対処をすべて実施しても改善がない場合、以下の対処策を

ご確認ください。

PAMの認証処理で利用される環境変数の設定変更

PAM認証処理に利用される環境変数の設定が正しく利用できずに

PAM関連のライブラリの参照に失敗する場合、VSELコンソールへの

ログインに失敗するケースがあります。

環境変数を利用せずにPAMのライブラリを参照するように修正します。

以下の手順にて改善するかをご確認ください。

[手順]

1. 以下のコマンドでnailsサービスを停止します。

/etc/init.d/nails stop

2. /opt/NAI/LinuxShield/bin/ に移動して、「authpam-wrapper」という

 ファイルをコピーしてバックアップします。

3. /opt/NAI/LinuxShield/bin/authpam-wrapper ファイルをテキストエディタで開き以下のように修正します。

 (- LD_PRELOAD~で始まる行を削除します。)

修正前:

declare -r installDir="/opt/NAI/LinuxShield"

LD_PRELOAD=${installDir}/lib/libstdc++.so.6 ${installDir}/libexec/authpam $*

exit $?

修正後:

declare -r installDir="/opt/NAI/LinuxShield"

exit $?

4. ファイルを保存します。

5. 以下のコマンドでnails サービスを開始します。

/etc/init.d/nails start

上記実施後、コンソールへログインができるかをご確認ください。

上記対応を実施しても改善がない場合、上記対応の実施した結果とともに

テクニカルサポートまでお問い合わせください。お問い合わせいただく際には、

問題の発生している端末にて取得した以下の情報についてもご提供ください。

MERログ

以下のコマンドを実行してMERログ(mer.results)を収集してお送りください。

# /opt/NAI/LinuxShield/bin/nails dump -v > (保存先を指定)/mer.results

■認証に利用するpamパッケージの依存関係の情報

以下のコマンドの出力結果をお知らせください。

# ldd /opt/NAI/LinuxShield/libexec/authpam

出力例:

/opt/NAI/LinuxShield/libexec/authpam: /opt/McAfee/runtime/2.0/lib/libstdc++.so.6: version `GLIBCXX_3.4.9' not found (required by /opt/NAI/LinuxShield/libexec/authpam)

linux-gate.so.1 =>  (0x0062d000)

libdl.so.2 => /opt/McAfee/runtime/2.0/lib/libdl.so.2 (0x0088e000)

libstdc++.so.6 => /opt/McAfee/runtime/2.0/lib/libstdc++.so.6 (0x00ce0000)

libm.so.6 => /opt/McAfee/runtime/2.0/lib/libm.so.6 (0x009f0000)

libgcc_s.so.1 => /opt/McAfee/runtime/2.0/lib/libgcc_s.so.1 (0x006a4000)

libc.so.6 => /opt/McAfee/runtime/2.0/lib/libc.so.6 (0x0013f000)

/lib/ld-linux.so.2 (0x00711000)

SSL認証の利用可否

ログインに失敗する端末上で以下のコマンドを実行します。

# /opt/NAI/LinuxShield/libexec/openssl s_client -host 127.0.0.1 -port 65443

SSLの通信が行われ、以下が最後に出力されます。(出力されない場合は

出力結果をお知らせください。)

+OK welcome to the NAILS Statistics Service <6373.6372.1291197383.40>

続いて以下のように入力します。

auth <VSELコンソールへのログインユーザ名> <パスワード>

入力例:auth nails p@ssw0rd

上記を入力してEnterを押します。

"+OK successful authentication"と出れば、ssl認証は成功です。

"-ERR authentication failure"と出る場合、失敗している状況です。

上記コマンドの実行結果もサポートまでお知らせいただけますと

幸いです。

[参考URL]How to verify successful authentication for VSEL using OpenSSL

https://kc.mcafee.com/corporate/index?page=content&id=KB70569

■ログインがエラーとなる画面のスクリーンショット / 利用しているブラウザのバージョン

VSELコンソールへアクセスするのに利用しているブラウザのバージョン

およびログイン時に発生するエラー画面のスクリーンショットをサポートまで

ご提供ください。

※可能であれば、切り分けとして、異なるブラウザでログインを試行した場合の挙動

および、ブラウザのバージョンが古い場合、最新のバージョンを利用した場合に、

改善がみられるかについても確認いただけますと幸いです。

今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。

マカフィー テクニカルサポートセンター

McAfee Employee

Re: 【TIPS】VSEL コンソールにログインができない場合の対応

こんにちは

インテルセキュリティ テクニカルサポートセンターです。

以前投稿させていただきました本記事について、各対処を実行しても

VSELコンソールへのログインに失敗するというお問い合わせをいただいた

ケースがありましたのでご紹介いたします。

⑩ ブラウザ上でTLS1.1、1.2が無効になっている場合

ログインに利用されるブラウザについて、TLS1.1および1.2に対応して

いなかったり、ブラウザ上でこれらのプロトコルが無効にされている場合、

コンソールへアクセスできません。

VSEL1.9.1 以降ではSSLの脆弱性対策の為、SSLv3 のプロトコルが

無効に設定されており、TLSv1.1およびTLS1.2 に対応していな

いとコンソールへアクセスができないためです。

[参考URL]VirusScan Enterprise for Linux 1.9.x Known Issues

https://kc.mcafee.com/corporate/index?page=content&id=KB78126&actp=null&viewlocale=en_US

上記KBより抜粋

> Issue: Web UI only works for browsers that have TLSv1.1 and TLSv2 protocol support (Security enhancement).

対応としては、ブラウザを TLS1.1、1.2 に対応したバージョンへアップグレードいただく、またはTLS1.1、1.2 を

ブラウザ上で有効にしていただくことでVSEL コンソールへアクセスができるかをご確認ください。

今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。

インテルセキュリティ テクニカルサポートセンター