适用于 Tenable Identity Exposure 的安全中继

自 3.59 版本起,安全中继组件将接管 Tenable Identity Exposure 平台中的指定任务:

  • 允许您配置域,以便安全中继从域中将数据转发到收集 AD 对象的目录侦听器 (DL) 组件。

  • 通过自动更新,促进大型基础设施设置和维护:不再需要使用要求同时升级的多个 DL。

  • 充当单个 DL 和各种端点(例如,域控制器、SMTP 或 SYSLOG 服务器或者用于产品内身份验证的 LDAP 服务器)之间的桥梁。

  • 绑定至一个或多个域。DL 可以管理数量不限的中继。

  • 要求在 Tenable Identity Exposure 控制台中进行配置,例如命名和映射(域、SMTP、SYSLOG、LDAP 身份验证)。

请按照以下指南安装或升级含安全中继的 Tenable Identity Exposure 3.59:

  1. 查看 安全中继要求

  1. 网络要求

    • 在之前和当前版本中,DL 均使用 AMQP(S) 协议直接与 SEN 通信。

    • 在版本 3.59 中,中继取代了多个 DL,通过 HTTPS 与唯一剩下的 DL 通信。

    • Envoy 是反向代理。

  2. 链接密钥:安装安全中继需要使用包含网络地址和身份验证令牌的一次性链接密钥。Tenable Identity Exposure 每次成功安装安全中继后都会重新生成新密钥。

检索链接密钥:

  1. Tenable Identity Exposure 控制台中,单击左侧菜单栏上的“系统”,然后依次选择“配置”选项卡 >“中继”。

  2. 单击 以复制链接密钥。

  1. 角色权限:您必须是拥有角色权限的用户才能配置中继。所需的权限如下:

    • 数据实体:实体中继

    • 界面实体

      • 管理 > 系统 > 配置 > 应用程序服务 > 中继

      • 管理 > 系统 > 中继管理

      有关更多信息,请参阅“设置角色的权限”。

所需用户角色:本地计算机上的管理员

若要安装安全中继,请执行以下操作:

  1. Tenable 的下载站点下载安全中继的可执行程序。

  2. 双击文件 tenable.ad_SecureRelay_v3.xx.x 以启动安装向导。

    出现“欢迎”屏幕。

  3. 单击“下一步”。

    出现“自定义安装”窗口。

  4. 单击“浏览”以选择为安全中继保留的磁盘分区(独立于系统分区)。

  5. 单击“下一步”。

    出现“中继配置”窗口。

  7. 提供以下信息:

    1. 在“中继名称”框中,输入安全中继的名称。

    2. 在“链接密钥”框中,粘贴从 Tenable Identity Exposure 门户检索的链接密钥。

    3. 如果选择使用代理服务器,请选择“为中继调用使用 HTTP 代理”选项并提供代理地址和端口号。

  8. 单击“下一步”。

    此时会出现“中继配置”窗口:

  9. 请选择以下选项之一:

    1. 没有:不使用代理服务器。

    2. 未经身份验证:输入代理服务器的地址和端口。

    3. 基本身份验证:除了地址和端口,输入代理服务器的用户和密码。

    注意:若要使用“未经身份验证”或“基本身份验证”配置代理,中继仅支持 IPv4 地址(例如 192.168.0.1)或不带 http://https:// 的代理 URI(例如 myproxy.mycompany.com)。中继不支持 IPv6 地址(例如 2001:0db8:85a3:0000:0000:8a2e:0370:7334)。

  1. 单击“测试连接”。可能出现以下情况:

    • 绿灯 - 连接成功。

    • 链接密钥无效 - 从 Tenable Identity Exposure 门户检索链接密钥。

    • 中继名称无效 - 此框不能为空。提供中继的名称。

    • 连接失败 - 检查您的互联网访问。

      提示
      - 如果连接失败,请验证目录侦听器服务器上的环境变量 'ALSID_CASSIOPEIA_CETI_Service__Broker__Host'。
      - 务必将此变量设置为安全引擎节点的 IP 地址。如果变量被设置为默认值 '127.0.0.1',则会导致安全中继安装失败。
      - 更新环境变量 'ALSID_CASSIOPEIA_CETI_Service__Broker__Host' 后,请重新启动 Ceti 服务
      - 重新开始安装安全中继。否则,系统将回滚并保留已安装的中继和 Envoy 服务,并阻止任何进一步的安装。

  2. 单击“下一步”。

    出现“准备安装”窗口。

  3. 单击“安装”。

  4. 安装完成后,单击“完成”。

完成安全中继安装后,检查以下项目:

Tenable Identity Exposure 中安装的中继列表

查看已安装的中继列表:

  • Tenable Identity Exposure 中,单击左侧菜单栏上的“系统”,然后选择“中继管理”选项卡。

    窗格中将显示列出安全中继及其所链接域的列表。

服务

安装成功后,系统将运行以下服务:

  • Tenable_Relay

  • tenable_envoy

    注意:您可以在 Tenable Identity Exposure 中的“系统” > “法律” > “Envoy 许可证”中找到 Envoy 许可证。

环境变量

该安装还添加了 4 个与安全中继相关并且名称以“ALSID”开头的新环境变量。如果选择使用代理服务器,还会添加另外两个与代理 IP 和端口相关的变量。

故障排除日志

您可以在以下位置找到日志:

  • 安装日志:C:\Users\<your user> \AppData\Local\Temp

  • 中继日志:在安装时指定的文件夹中托管安全中继的 VM 上。

在您安装安全中继后,Tenable Identity Exposure 会定期检查新版本。此过程完全自动完成,需要对您的域进行 HTTPS 访问 (TCP/443)。网络托盘中的图标会指示 Tenable Identity Exposure 正在更新安全中继。该进程完成后,Tenable Identity Exposure 服务会重新启动并恢复数据收集。

若要卸载安全中继,请执行以下操作:

  1. 在 Windows 中,转至“设置” > “应用程序和功能” > “Tenable Identity Exposure安全中继”。

  2. 单击“卸载”。

    卸载完成后,系统中将不再显示 Tenable Identity Exposure 安全中继的服务和环境变量。

  3. Tenable Identity Exposure 中,单击左侧菜单栏上的“系统”,然后选择“中继管理”选项卡。

  4. 选择您刚卸载的中继,然后单击 ,将其从可用中继列表中删除。

另请参阅:

  • Troubleshoot Secure Relay Installation