HCL Domino V12 DAOS 拡張

Slide 1

Slide 1 text

V12 DAOS 拡張中野晴幸 Haruyuki Nakano @harunkakano (Twitter) harunakano.blogspot.com (Blog)

Slide 2

Slide 2 text

V12のDAOS拡張 • 暗号化「する/しない」をサーバー文書で設定可能に • 暗号化キーを「シェア」可能に • 暗号化強度を指定可能に • DAOSMGRコマンドの拡張

Slide 3

Slide 3 text

暗号化「する/しない」をサーバー文書で設定可能に V12 の DAOS 拡張（１）

Slide 4

Slide 4 text

サーバー文書 [DAOS]タブ – DAOS Settings V11.0.1 FP2 V12 Beta 2 暗号化に関する項目

Slide 5

Slide 5 text

DAOSオブジェクトの暗号化 V11.0.1 FP2 notes.ini DAOS_ENCRYPT_NLO=1 0: しない 1: する（デフォルト） V12 Beta 2 サーバー文書

Slide 6

Slide 6 text

暗号化キーを「シェア」可能に V12 の DAOS 拡張（２）

Slide 7

Slide 7 text

暗号化に3つ目の選択肢 1 None 暗号化しない 2 Private to this server 暗号化キーに「サーバーID」を使用 3 Shared 暗号化キーに「Shared Key」を使用

Slide 8

Slide 8 text

暗号化キー Private to this server Shared Server.id CredStore.nsf SharedKey created by keymgmt command Credential Store App. created by keymgmt command

Slide 9

Slide 9 text

Export/Import CredStore.nsf exportdb.nsf keymgmt export sharedkey exportdb.nsf ServerB/bb ServerA/aa CredStore.nsf ServerB/bb keymgmt import credstore exportdb.nsf exportdb.nsf コピー Shared Key Exportされたキーが入った DBが作成される指定したサーバー以外で Importするとどんなメッセージがでるの？キー共有先サーバー名サーバー名はドミノディレクトリまたは 2次ディレクトリで検索できなければならない

Slide 10

Slide 10 text

生成されるNLO Private to this server Shared ServerA.id ServerB.id SharedKey SharedKey aaa.txt xxx.nlo Server A Server B Server A Server B Different NLO Same NLO

Slide 11

Slide 11 text

現状（～V11）のDAOS • DAOSオブジェクトの暗号化キーとしてサーバーIDを使用する • 同じ添付ファイルから生成したNLOでもサーバーごとに違うものになる • 重複排除機能のあるバックアップの活用、あるいはNLOの破損時に他サーバーで生成されたNLOのコピーで復元可能としたい場合、暗号化をオフにする必要がある • NLOは、暗号化が必須の Tier 2 ストレージ上でも、Pushするサーバー毎に別フォルダーで管理される

Slide 12

Slide 12 text

V12は暗号化キーをシェア可能に • DAOSオブジェクトの暗号化キーの第2の選択肢「Shared Key」 • クラスタ内/外、ドメイン内/外を問わず広範囲にシェア可能 • 同じ添付ファイルから生成されたNLOは、キーを共有したサーバー間で同一になる • Tier 1 でバックアップ時の重複排除が可能、別サーバーからの NLOコピーによる復元が可能 • Tier 2 ストレージ内でNLOを共有可能

Slide 13

Slide 13 text

暗号化強度を指定可能に V12 の DAOS 拡張（３）

Slide 14

Slide 14 text

DAOS 暗号化強度 • サーバー文書 – [DAOS]タブ – DAOS Settings • DAOS encryption strength

Slide 15

Slide 15 text

暗号化強度の選択肢 Private to this server Shared • Shared Key 作成時に指定 • AES-128（デフォルト） • AES-256 • サーバー文書上で選択 • Domino classic • AES-128（デフォルト？） • AES-256 Shared の場合サーバー文書では変更できない

Slide 16

Slide 16 text

V12でNLOの暗号化はどうなる？ • V12で新規に生成するNLOの暗号化強度は「AES-128」になる • V11までのバージョンで暗号化されたオブジェクトを「daosmgr nloencryption decrypt」で復号化した後「daosmgr nloencryption encrypt」で暗号化すると「AES-128」になる • V11までの暗号化強度を維持する notes.ini パラメータ DAOS_ENCRYPTION_METHOS=0

Slide 17

Slide 17 text

DAOSMGR コマンドの拡張 V12 の DAOS 拡張（４）

Slide 18

Slide 18 text

daosmgr objectpull | • Tier 2 ストレージにある NLO を Tier 1 へ移動する • age 指定した age 以下のNLOを Tier 1 へ移動 • nlofilename 指定した NLO を Tier 1 へ移動

Slide 19

Slide 19 text

daosmgr objectinfo -v • NLO の暗号化に関する詳細などを知ることが可能

Slide 20

Slide 20 text

スライドの最後