ユーザが SFTP を使用してエンドポイントにログインする際、SFTP アプリケーションでは、ユーザの認証に SSH が使用されます。 CA ControlMinder により SFTP アプリケーションからログイン試行がインターセプトされる際、デフォルトではログインが SSH ログインとして扱われ、ログイン試行の許可や拒否に SSH LOGINAPPL レコードのルールが使用されます。
SFTP と SSH のログイン試行を区別し、SFTP ログインおよび SSH ログイン用に個別のルールを書き込むように CA ControlMinder を設定するには、SFTP ログイン インターセプトを有効にする必要があります。
SFTP ログイン インターセプトを有効にする方法
er LOGINAPPL SSH loginflags(EXECLOGIN)
このコマンドにより、SSH ログインのトリガが、プロセスが実行する最初の EXEC アクションであることが指定されます。
er LOGINAPPL SFTP loginpath(path) defaccess(a)
SFTP ログイン アプリケーションのフル パスを指定します。
このコマンドにより、SFTP という名前の LOGINAPPL レコードが作成され、SFTP ログイン アプリケーションへのパスが定義されて、ほかに制限がない限り、すべてのユーザが SFTP を使用してエンドポイントにログインできることが指定されます。
例: SFTP ログイン インターセプトの有効化
この例では、/usr/libexec/openssh/sftp-server にある SFTP ログイン アプリケーションに対して、SFTP ログイン インターセプトが有効にされます。 最初の selang コマンドでは、CA ControlMinder により SSH ログインに対して PAM ログイン インターセプトが使用されることも指定されます。
er LOGINAPPL SSH loginflags(EXECLOGIN, PAMLOGIN) er LOGINAPPL SFTP loginpath(/usr/libexec/openssh/sftp-server) defaccess(a)
注: LOGINAPPL クラスの詳細については、「selang リファレンス ガイド」を参照してください。
|
Copyright © 2013 CA.
All rights reserved.
|
|