HOSTNET クラス
HOSTNET クラスの各レコードは、特定のネットワーク上のホストによるグループを定義します。HOSTNET のレコードはルールを定義します。このルールは、IPv4 通信を使用する場合に、グループの他のホストがローカル ホストに対して持つアクセス権を管理します。
cminder140jp
HOSTNET クラスの各レコードは、特定のネットワーク上のホストによるグループを定義します。HOSTNET のレコードはルールを定義します。このルールは、IPv4 通信を使用する場合に、グループの他のホストがローカル ホストに対して持つアクセス権を管理します。
注:
IP 通信用の Privileged Access Manager Server Control
アクセス ルールは IPv4 にのみ適用されます。IPv6 によるアクセスは管理しません。INMASKMATCH プロパティは、HOSTNET クラスのレコードの対象になる他のホストを規定します。INETACL プロパティは、ローカル ホストが他のホストに提供できるサービスを定義します。
HOSTNET クラスのレコードのキーは、HOSTNET クラスのレコードの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、
「情報のみ」
と記載されます。- COMMENTレコードに含める追加情報を定義します。Privileged Access Manager Server Controlは、この情報を許可に使用しません。制限:255 文字。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- GROUPSリソース レコードが属する CONTAINER クラスのレコードのリストを定義します。クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの mem+ または mem- パラメータを使用します。
- INETACLローカル ホストからクライアント ホストのグループに提供可能なサービス、および各サービスのアクセス タイプを定義します。アクセス制御リストの各要素には、以下の情報が含まれます。
- Services referenceサービス(ポート番号または名前)への参照です。すべてのサービスを指定する場合は、サービス参照としてアスタリスク(*)を入力します。また、Privileged Access Manager Server Controlでは、/etc/rpc ファイル(UNIX の場合)または \etc\rpc ファイル(Windows の場合)に指定された動的なポート名もサポートしています。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。
type-of-access)、service、および stationName パラメータを使用します。 - INSERVRNGEローカル ホストがクライアント ホストのグループに提供するサービスの範囲を指定します。INETACL プロパティと同様の機能を実行します。INSERVRANGE プロパティのアクセサおよびアクセス タイプを変更するには、authorize[-] コマンドで service(serviceRange) パラメータを使用します。
- INMASKMATCHこの HOSTNET レコードが適用されるホストのグループを定義します。このプロパティには mask 値と match 値があり、要求元ホストがグループに属しているかどうかを判断するために、要求元ホストの IP アドレスに適用されます。INMASKMATCH プロパティは、IPv4 形式のアドレスのみサポートします。注:このプロパティは、chres コマンドの mask パラメータと match パラメータに相当します。
- OWNERレコードを所有するユーザまたはグループを定義します。
- RAUDITPrivileged Access Manager Server Controlが監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前はResourceAUDITの短縮形です。有効な値は以下のとおりです。
- allすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
Privileged Access Manager Server Controlでは、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたか、については記録されません。監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。 - UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。
- WARNING警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。
例:
特定のサブネット内で、リモートホストから Privileged Access Manager Server Control
エンドポイントへの受信接続を防止します。手順 1:
/etc/hosts にリモート ホストを追加します。コマンド プロンプトで以下のコマンドを実行します。vi /etc/hosts
手順 2:
ネットワーク インターセプトの場合、ルックアヘッド データベース「ladb」はリモート ホストのアドレスで適切に入力する必要があります。この動作を確認するには、コマンド プロンプトで以下のコマンドを実行します。./sebuildla -h
手順 3:
コマンド プロンプトで以下のコマンドを実行し、リモート ホストが /etc/hosts に追加されていることを確認します。./sebuildla -H
手順 4:
特定のルールを作成します。「engineering」がエンジニアリング部門に属しているサブネット(10.131.33)内のホストのグループを定義すると仮定します。IP アドレス(10.131.33.*)からのすべての受信接続は、ルールに基づいて、「マスク」値を使用すると見なされます。AC> nr HOSTNET engineering mask(255.255.255.0) match(10.131.33.0)
手順 5:
Telnet を使用した特定のサブネット内のリモート ホストからの受信接続を防止するルールを設定します。AC> authorize HOSTNET engineering service(telnet) access(none)
手順 6:
Telnet を使用して、リモート ホスト(サブネット内)から Privileged Access Manager Server Control
エンドポイントへの接続を試行します。接続に失敗しますが、その他の接続には影響がありません。特定のサブネット内のリモート ホストからの任意のタイプの接続を拒否するには、以下のルールを設定します。
AC> authorize HOSTNET engineering service(*) access(none)