もう 1 つの方法として、TCP クラスを使用すると、ホスト単位ではなくサービス単位で保護機能を指定できます。
注: TCP クラスの詳細については、「リファレンス ガイド」を参照してください。
受信サービスおよび送信サービスを制御するには、TCP クラスを使用します。
たとえば、以下のコマンドでは、ftp サービスのレコードを作成し、デフォルトのアクセス タイプを READ(サービスを使用できるという意味)に設定します。ただし、PUBLIC* という名前パターンと一致するホストは、そのサービスを受信できないようにします。
newres TCP ftp defaccess(READ) authorize‑ TCP ftp hostnp(PUBLIC*) access(N)
また、特定のユーザまたはグループのみに特定サービスの受信を許可するように指定することもできます。 たとえば、hermes というホストに対しては、すべてのユーザが FTP サービスを実行できるが、hermes に telnet でアクセスできるのは acctng というグループのメンバに限定する場合は、以下のコマンドを入力します。
newres HOST hermes newres TCP ftp owner(nobody) defaccess(read) newres TCP telnet owner(nobody) defaccess(read) authorize TCP ftp uid(*) host(hermes) access(write) authorize TCP telnet gid(acctng) host(hermes) access(write)
注: defaccess(read) は送信サービスを無効にし、 defaccess(write) は受信サービスを無効にします。
HOST クラスがアクティブである(つまり、アクセスの基準として使用されている)場合、TCP クラスは実質上アクティブにできません。 setoptions class‑ HOSTコマンドを使用すると、HOSTクラスを無効にできます。その後、必要に応じてsetoptions class+ TCPコマンドを使用してTCPクラスを有効にします。 HOST クラスを無効にすると、GHOST、HOSTNET、および HOSTNP も自動的に無効になります。
また、TCP クラスがアクティブである場合は、setoptions class- (CONNECT) コマンドを使用して、CONNECT クラスを無効にします。
|
Copyright © 2013 CA.
All rights reserved.
|
|