2 返信 最新の回答 日時: Nov 2, 2015 2:16 AM ユーザー:jfurukaw

    【TIPS】VSEL コンソールにログインができない場合の対応

    jfurukaw

      こんにちは

      マカフィー テクニカルサポートセンターです。

       

      今回はVirusScan Enterprise for Linux (VSEL) でコンソール画面にログインができなくなった場合の

      対応について、よくあるケースの中から、有効な対応策をご紹介いたします。

      VSEL をご利用で同様の問題が発生している場合は、以下の対処策をご確認ください。

       

      VSEL のコンソールへのログイン時に、

      Error: bad credentials Error Code ** Description authentication failure

      というエラーが発生したり、コンソールのURLへのアクセス時に406 エラーが

      発生してログイン画面が表示されないといったケースがあります。


      ※画像はError Code 34 が表示された際の画面です

      VSEL.png

      これらの事象は主に以下のような要因で発生いたします。

       

      ・ブラウザに英語の言語が追加されていない

      ・ブラウザのcookieまたはキャッシュデータに問題がある

      ・ePolicy Orchestrator (ePO) から配備されたVSELで ログインパスワードが設定されていない

      ・ログイン時に認証に利用されるPAM (Pluggable Authentication Modules) が正しく読み込まれていない(64bit OSの場合)

       

      以下の対処を実施いただき、コンソールへログインが出来るかをご確認ください。


      ①ブラウザのキャッシュ、cookieの削除

      ご利用いただいているブラウザのcookieと、キャッシュを削除してから、

      ブラウザを再起動し、コンソールへログインができるかをご確認ください。

       

       

      ②ブラウザへ言語:英語の追加 (VSEL1.7 / VSEL1.7.1)

      ブラウザに言語:英語が追加されていない場合は、追加いただきましてログインが

      出来るかをご確認ください。ブラウザの言語の追加方法については各ブラウザの提供元へ

      ご確認ください。例えば、Internet Explorer の場合、インターネットオプションの

      全般タブから"言語"をクリックし英語(米国)を追加します。言語を追加した後、

      ブラウザを再起動して、VSEL のコンソールにログインができるかご確認ください。


      ※この設定はVSEL 1.9 以降では必要ありません。VSEL1.7 /1.7.1をご利用の場合に設定ください。

       

      ③ ePOから配備されたVSELの場合

      ePOからVSELを配備した場合、ログインパスワードを設定していただく必要があります。

      以下のコマンドで設定いただきまして、ログインが出来るかをご確認ください。

      また、スタンドアロンの場合でも、以下のコマンドで、ログインパスワードの

      再設定が可能です。念の為、設定されているパスワードを以下コマンドで

      変更後、ログインが成功するかをご確認ください。

       

      # /opt/NAI/LinuxShield/bin/nails passwd

       

       

      ④ PAM (Pluggable Authentication Modules) の設定

      64bit OSをご利用いただいている場合、VSEL のコンソールへログインをする場合には、

      32-bit pam ライブラリ 及び 32-bit libgcc パッケージが インストールされている必要が

      あります。以下のKBに基づき、インストールされていない場合は、これらのパッケージを

      インストールしてログインができるかをご確認ください。

       

      ※VSELをインストールした後に32-bit pam ライブラリ 及び 32-bit libgccをインストールした場合、

       改善しないケースがございますので、32-bit pam ライブラリ 及び 32-bit libgccがインストールされた

       状態でVSELを再インストールいただく事で改善するかをご確認ください。

       

      [URL] VirusScan Enterprise for Linux 1.7 コンソールにログオンできません

      https://kc.mcafee.com/corporate/index?page=content&id=KB80641&locale=ja_JP&viewl ocale=ja_JP

      ※上記KBはVSEL1.7として記載されておりますが1.7.1、1.9.0でも同様です

       

      [URL]Error: Failed dependencies (when installing VirusScan Enterprise for Linux 1.9.x on RedHat 6.x or CentOS 6.x systems)

      https://kc.mcafee.com/corporate/index?page=content&id=KB78847

       

      ⑤PAMの認証設定の編集

      PAM のパッケージを追加してもコンソールへログインができない場合、

      対処として、pam設定ファイル( /etc/pam.d/nails )を念の為バックアップしてから、

      テキストエディタで開き、既存の設定を以下のように修正していただき、system-auth

      バイパスしてログインしていただくようにして改善するかをお試しください。

      もし設定後も改善しない場合は、ブラウザのキャッシュ削除を再度行ってからログインを

      お試しください。

       

      修正前

      ----------

      #%PAM-1.0

      auth include      system-auth

      ----------

       

      修正後

      ----------

      #%PAM-1.0

      auth sufficient   pam_unix.so nullok try_first_pass

      auth required     pam_nologin.so

      ----------

       

      ※上記編集後のシステム再起動は必要ありません

       

      [URL]How to configure PAM for VirusScan Enterprise for Linux manager authentication

      https://kc.mcafee.com/corporate/index?page=content&id=KB70568

       

       

      ⑥関連の必要なパッケージのインストール

      64bit 版のUbuntu をご利用いただいている場合、ログイン処理に

      必要なライブラリがインストールされている必要があります。

      以下の必要なパッケージがインストールされていることを確認し、

      不足しているパッケージをインストールしていただいてから、

      コンソールへログインが出来るかをご確認ください。

       

      - 1.必要なパッケージの確認

      以下のパッケージがインストールされているかご確認ください。

      libc6

      libc6:i386

      ia32-libs

      libpam0g

      libpam0g:i386

      libpam-modules

      libpam-modules:i386

      linux-headers-<カーネルバージョン>

      linux-image-<カーネルバージョン>

      ia32-libs-multiarch

      libglapi-mesa:i386

       

      - 2.必要なパッケージのインストールを以下のコマンドで実行します。

       

      # apt-get install libc6 libc6:i386 ia32-libs libpam0g libpam0g:i386 libpam-modules libpam-modules:i386 linux-headers-3.2.x-xx-generic linux-image-3.2.x-xx-generic ia32-libs-multiarch libglapi-mesa:i386 -y

       

      linux-headers-3.2.x-xx-generic linux-image-3.2.x-xx-genericについては、

      ご利用のカーネルによりバージョンが異なります。uname -r のコマンドでご利用の

      カーネルバージョンを確認し必要なパッケージをインストールください。

       

      – 3. 32bit 用のPAMの設定を実施

      上記パッケージインストール後、以下のコマンドにて32bit用のPAMの設定を行います。

       

      # mkdir /pam32lib

      # cp -ip /lib/i386-linux-gnu/security/pam_unix.so /pam32lib/pam_unix32.so

      # cp -ip /lib/i386-linux-gnu/security/pam_nologin.so /pam32lib/pam_nologin32.so

       

      – 4. Pam設定ファイル書き換え

      pamの認証ファイルについて、⑤ にて紹介した手順にて以下のように書き換えてください。

       ----------

      #%PAM-1.0

      auth sufficient   pam_unix.so nullok try_first_pass

      auth required     pam_nologin.so

      ----------

       

       上記の対応実施した後、コンソールへログインができるかをご確認ください。

       

      ⑦ libgcc_s.so.1 のファイルがない、またはOSのアップグレード後、PAMライブラリファイルのパスが変わった

      ログインができなくなる場合の事例としまして、ログイン時の処理に利用される

      libgcc_s.so.1 のファイルがない場合やOSのアップグレードをして、PAMライブラリ

      ファイルのパスが変わった場合にログインができなくなるケースがあります。

      それぞれのケースについて以下の KB の手順にて改善がみられるかをご確認ください。

       

      OS のアップグレード後、PAMライブラリファイルのパスが変わった場合

       

      [URL]VirusScan Enterprise for Linux 1.7 authentication fails after an OS upgrade

      https://kc.mcafee.com/corporate/index?page=content&id=KB73087

       

      libgcc_s.so.1 のファイルがない場合

       

      [URL]error code 34, authentication failure (when logging on to VSEL)

      https://kc.mcafee.com/corporate/index?page=content&id=KB77479

       

       

      ⑧ nailsサービスの再起動

      nails サービスのリスタートが有効な対処となる事例がございます。以下コマンドにて

      nailsサービスを再起動していただきまして状況が改善するかをご確認ください。

       

      # /etc/init.d/nails restart

       

      今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。

       

      以上

       

      マカフィーテクニカルサポートセンター

        • 1. Re: 【TIPS】VSEL コンソールにログインができない場合の対応
          jfurukaw

          んにちは

          マカフィー テクニカルサポートセンターです。

           

          以前投稿させていただきました本記事について、各対処を実行しても

          VSELコンソールへのログインに失敗するというお問い合わせをいただき、

          別の対処方法で改善したケースがありましたのでご紹介いたします。

           

          もし上記記事の対処をすべて実施しても改善がない場合、以下の対処策を

          ご確認ください。

           

          PAMの認証処理で利用される環境変数の設定変更

          PAM認証処理に利用される環境変数の設定が正しく利用できずに

          PAM関連のライブラリの参照に失敗する場合、VSELコンソールへの

          ログインに失敗するケースがあります。

          環境変数を利用せずにPAMのライブラリを参照するように修正します。

          以下の手順にて改善するかをご確認ください。

           

          [手順]

          1. 以下のコマンドでnailsサービスを停止します。

          /etc/init.d/nails stop

           

          2. /opt/NAI/LinuxShield/bin/ に移動して、「authpam-wrapper」という

           ファイルをコピーしてバックアップします。

           

          3. /opt/NAI/LinuxShield/bin/authpam-wrapper ファイルをテキストエディタで開き以下のように修正します。

           (- LD_PRELOAD~で始まる行を削除します。)

           

          修正前:

          declare -r installDir="/opt/NAI/LinuxShield"

          LD_PRELOAD=${installDir}/lib/libstdc++.so.6 ${installDir}/libexec/authpam $*

          exit $?

           

          修正後:

          declare -r installDir="/opt/NAI/LinuxShield"

          exit $?

           

          4. ファイルを保存します。

          5. 以下のコマンドでnails サービスを開始します。

          /etc/init.d/nails start

           

          上記実施後、コンソールへログインができるかをご確認ください。

           

          上記対応を実施しても改善がない場合、上記対応の実施した結果とともに

          テクニカルサポートまでお問い合わせください。お問い合わせいただく際には、

          問題の発生している端末にて取得した以下の情報についてもご提供ください。

           

          MERログ

          以下のコマンドを実行してMERログ(mer.results)を収集してお送りください。

           

          # /opt/NAI/LinuxShield/bin/nails dump -v > (保存先を指定)/mer.results

           

          ■認証に利用するpamパッケージの依存関係の情報

          以下のコマンドの出力結果をお知らせください。

           

          # ldd /opt/NAI/LinuxShield/libexec/authpam

           

          出力例:

          /opt/NAI/LinuxShield/libexec/authpam: /opt/McAfee/runtime/2.0/lib/libstdc++.so.6: version `GLIBCXX_3.4.9' not found (required by /opt/NAI/LinuxShield/libexec/authpam)

          linux-gate.so.1 =>  (0x0062d000)

          libdl.so.2 => /opt/McAfee/runtime/2.0/lib/libdl.so.2 (0x0088e000)

          libstdc++.so.6 => /opt/McAfee/runtime/2.0/lib/libstdc++.so.6 (0x00ce0000)

          libm.so.6 => /opt/McAfee/runtime/2.0/lib/libm.so.6 (0x009f0000)

          libgcc_s.so.1 => /opt/McAfee/runtime/2.0/lib/libgcc_s.so.1 (0x006a4000)

          libc.so.6 => /opt/McAfee/runtime/2.0/lib/libc.so.6 (0x0013f000)

          /lib/ld-linux.so.2 (0x00711000)

           

          SSL認証の利用可否

          ログインに失敗する端末上で以下のコマンドを実行します。

           

          # /opt/NAI/LinuxShield/libexec/openssl s_client -host 127.0.0.1 -port 65443

           

          SSLの通信が行われ、以下が最後に出力されます。(出力されない場合は

          出力結果をお知らせください。)

           

          +OK welcome to the NAILS Statistics Service <6373.6372.1291197383.40>

           

          続いて以下のように入力します。

           

          auth <VSELコンソールへのログインユーザ名> <パスワード>

          入力例:auth nails p@ssw0rd

           

          上記を入力してEnterを押します。

          "+OK successful authentication"と出れば、ssl認証は成功です。

          "-ERR authentication failure"と出る場合、失敗している状況です。

          上記コマンドの実行結果もサポートまでお知らせいただけますと

          幸いです。

           

          [参考URL]How to verify successful authentication for VSEL using OpenSSL

          https://kc.mcafee.com/corporate/index?page=content&id=KB70569

           

          ■ログインがエラーとなる画面のスクリーンショット / 利用しているブラウザのバージョン

           

          VSELコンソールへアクセスするのに利用しているブラウザのバージョン

          およびログイン時に発生するエラー画面のスクリーンショットをサポートまで

          ご提供ください。

          ※可能であれば、切り分けとして、異なるブラウザでログインを試行した場合の挙動

          および、ブラウザのバージョンが古い場合、最新のバージョンを利用した場合に、

          改善がみられるかについても確認いただけますと幸いです。

           

           

          今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。

          マカフィー テクニカルサポートセンター

          • 2. Re: 【TIPS】VSEL コンソールにログインができない場合の対応
            jfurukaw

            こんにちは

            インテルセキュリティ テクニカルサポートセンターです。

             

            以前投稿させていただきました本記事について、各対処を実行しても

            VSELコンソールへのログインに失敗するというお問い合わせをいただいた

            ケースがありましたのでご紹介いたします。

             

            ⑩ ブラウザ上でTLS1.1、1.2が無効になっている場合

             

            ログインに利用されるブラウザについて、TLS1.1および1.2に対応して

            いなかったり、ブラウザ上でこれらのプロトコルが無効にされている場合、

            コンソールへアクセスできません。

             

            VSEL1.9.1 以降ではSSLの脆弱性対策の為、SSLv3 のプロトコルが

            無効に設定されており、TLSv1.1およびTLS1.2 に対応していな

            いとコンソールへアクセスができないためです。

             

            [参考URL]VirusScan Enterprise for Linux 1.9.x Known Issues

            https://kc.mcafee.com/corporate/index?page=content&id=KB78126&actp=null&viewloca le=en_US

             

            上記KBより抜粋

            > Issue: Web UI only works for browsers that have TLSv1.1 and TLSv2 protocol support (Security enhancement).

             

            対応としては、ブラウザを TLS1.1、1.2 に対応したバージョンへアップグレードいただく、またはTLS1.1、1.2 を

            ブラウザ上で有効にしていただくことでVSEL コンソールへアクセスができるかをご確認ください。

             

            今後ともマカフィー製品をご愛顧くださいますよう宜しくお願い致します。

            インテルセキュリティ テクニカルサポートセンター