APIによるセキュリティ管理

ここでは、Management Server上のAPI Serverと、利用可能なAPIツールについて説明します。

API

Management Server上で動作するAPI Serverに送信するAPI Requestを通じて、Management Serverの設定や制御を行うことができます。

API Serverは、日々の作業を自動化するスクリプトを実行し、Check Pointのソリューションを、仮想化サーバ、チケットシステム、変更管理システムなどのサードパーティシステムと統合するものです。

管理APIについての詳細、コードサンプル、ユーザフォーラムの活用については、次を参照ください。

  • API ドキュメント:

    • オンラインCheck Point Management API Reference

    • 地元https://<Server IP Address>/api_docs/#introduction

      デフォルトでは、ローカルAPIドキュメントへのアクセスは無効になっています。sk174606 の指示に従ってください。

      - スタンドアロンサーバ(Security Management Serverとセキュリティゲートウェイの両方を実行するサーバ)では、SmartView Webアプリケーション(https://<Server IP Address>/smartview)を開くとWeb Portal(https://<Server IP Address>/api_docs)が機能しなくなります。

  • Developers NetworkCheck Point CheckMates Community

APIツール

これらのツールを使って、Management Server上のAPI Serverを操作することができます。

  • Gaiaオペレーティングシステムに備えられたスタンドアロン管理ツール:

    mgmt_cli

  • SmartConsoleに含まれるスタンドアロン管理ツール:

    mgmt_cli.exe

    このツールは、SmartConsoleのインストールフォルダから、Windowsオペレーティングシステムが動作する他のコンピュータにコピーできます。

  • クライアントと管理サーバ間で、HTTPプロトコルによる通信とデータ交換を可能にするWebサービスAPI。

    また、これらのAPIを使用して、Check Pointの他のプロセスがHTTPSプロトコルを介してManagement Serverと通信することもできます。

    https://<IP Address of Management Server>/web_api/<command>

APIサーバの設定

APIサーバを設定するには

  1. SmartConsoleでSecurity Management Serverまたは該当するDomain Management Serverへ接続します。

  2. 左側のナビゲーションパネルでManage & Settingsをクリックします。

  3. 左上のセクションで、Bladesをクリックします。

  4. Management APIセクションで、Advanced Settingsをクリックします。

    Management API Settingsウィンドウが開きます。

  5. Startup SettingsAccess Settingsを設定します。

    Automatic startを選択すると、Management Serverを起動または再起動したときにAPI Serverが自動的に起動します。

    注:

    • Management Serverに4GB以上のRAMがインストールされている場合、Management Serverのインストール時にAutomatic startオプションがデフォルトで有効化されます。

    • 管理サーバのRAMが4GB未満の場合、Automatic Startオプションは無効になります。

    APIサーバに接続できるクライアントを設定するには、以下のオプションのいずれかを選択します。

    • Management server only- APIサーバに接続できるのは、管理サーバ自身だけである。このオプションで、APIリクエストを送信するために、Management Server上でmgmt_cliユーティリティを使用できます。SmartConsoleやWebサービスを使用して、APIリクエストを送信することはできません。

    • All IP addresses that can be used for GUI clients- SmartConsole でTrusted Clients として定義されているすべての IP アドレスから API リクエストを送信できます。これには、SmartConsole、Webサービス、およびManagement Server上のmgmt_cliユーティリティからのリクエストが含まれます。

    • All IP addresses- すべてのIPアドレスからAPIリクエストを送信できます。これには、SmartConsole、Webサービス、およびManagement Server上のmgmt_cliユーティリティからのリクエストが含まれます。

  6. クリックOK

  7. 左上のセクションで、Permissions & Administratorsをクリックします。

  8. 該当する各管理者のオブジェクトで、割り当てられた権限プロファイルが管理アプリケーションAPIへのアクセスを許可していることを確認します。

    1. 管理者オブジェクトを編集する。

    2. 左のパネルで、General をクリックする。

    3. Permissions セクションで、選択した権限プロファイルの右側にある目のアイコンをクリックします。

      権限プロファイルオブジェクトは読み取り専用ビューで開きます。

    4. 左のパネルで、Management をクリックする。

    5. Management API Login

      選択されていない場合は、このウィンドウを閉じて、この権限プロファイルオブジェクトを編集してください。

      詳しくは管理者への権限プロファイルの割り当て

    6. クリックClose

  9. SmartConsoleセッションを公開する。

  10. このコマンドで、Management Server上のAPI Serverを再起動します。

    api restart

    注:

    • マルチドメインサーバでは、該当するドメイン管理サーバのコンテキストでこのコマンドを実行する必要があります。

      mdsenv <IP Address or Name of Domain Management Server>

    • このコマンドの出力は必ず表示されなければならない:

      API started successfully

  11. このコマンドを使用して、管理サーバ上のAPIサーバのステータスを調べます:

    api status

    注:

    • このコマンドの出力は必ず表示されなければならない:

      --------------------------------------------
Overall API Status: Started
--------------------------------------------

API readiness test SUCCESSFUL. The server is up and ready to receive connections

    • このコマンドの出力は、APIアクセスがAPI"GUIクライアントに使用できるすべてのIPアドレスStopped"に設定され、200以上のTrusted Clientが設定されている場合、""プロセスの状態が""と表示される可能性がある:

      Processes:

Name      State     PID       More Information
-------------------------------------------------
API       Stopped   ...