|
|
|
사용자가 SFTP를 사용하여 끝점에 로그인하면 SFTP 응용 프로그램이 SSH를 사용하여 사용자를 인증합니다. CA Access Control이 SFTP 응용 프로그램으로부터의 로그인 시도를 차단할 때는 기본적으로 이 로그인을 SSH 로그인으로 간주하며, 로그인 시도를 허용 또는 거부하기 위해 SSH LOGINAPPL 레코드에 대한 규칙을 사용합니다.
CA Access Control이 SFTP와 SSH 로그인 시도를 구분하도록 구성하고, SFTP와 SSH 로그인에 대한 서로 다른 규칙을 작성하려면 SFTP 로그인 차단을 활성화해야 합니다.
SFTP 로그인 차단을 활성화하려면
er LOGINAPPL SSH loginflags(EXECLOGIN)
이 명령은 SSH 로그인에 대한 트리거가 프로세스가 수행하는 첫 번째 EXEC 작업이 되도록 지정합니다.
er LOGINAPPL SFTP loginpath(path) defaccess(a)
SFTP 응용 프로그램에 대한 전체 경로를 정의합니다.
이 명령은 SFTP로 명명된 LOGINAPPL 레코드를 만들고, SFTP 로그인 응용 프로그램에 대한 경로를 정의하고, 추가 제한 사항이 없는 경우 모든 사용자가 SFTP를 사용하여 끝점에 로그인할 수 있게 지정합니다.
예: SFTP 로그인 차단 활성화
이 예는 /usr/libexec/openssh/sftp-server에 있는 SFTP 로그인 응용 프로그램에 대한 SFTP 로그인 차단을 활성화합니다. 첫 번째 selang 명령은 또한 CA Access Control이 PAM 로그인에 대해 PAM 로그인 차단을 사용하도록 지정합니다.
er LOGINAPPL SSH loginflags(EXECLOGIN, PAMLOGIN) er LOGINAPPL SFTP loginpath(/usr/libexec/openssh/sftp-server) defaccess(a)
참고: LOGINAPPL 클래스에 대한 자세한 내용은 selang 참조 안내서를 참조하십시오.
| Copyright © 2012 CA. All rights reserved. | 이 주제에 대해 CA Technologies에 전자 메일 보내기 |