SFTP ログイン インターセプトの有効化
ユーザが SFTP を使用してエンドポイントにログインする際、SFTP アプリケーションでは、ユーザの認証に SSH が使用されます。 が SFTP アプリケーションからのログイン試行をインターセプトする際に、デフォルトではそのログインを SSH ログインとして扱います。 製品は、ログイン試行の許可や拒否に SSH LOGINAPPL レコードのルールを使用します。
capamsc141jp
ユーザが SFTP を使用してエンドポイントにログインする際、SFTP アプリケーションでは、ユーザの認証に SSH が使用されます。
Privileged Access Manager Server Control
が SFTP アプリケーションからのログイン試行をインターセプトする際に、デフォルトではそのログインを SSH ログインとして扱います。 製品は、ログイン試行の許可や拒否に SSH LOGINAPPL レコードのルールを使用します。SFTP と SSH のログイン試行を区別し、SFTP ログインおよび SSH ログイン用に個別のルールを書き込むように
Privileged Access Manager Server Control
を設定するには、SFTP ログイン インターセプトを有効にします。SFTP ログイン インターセプトを有効にする方法
- エンドポイントでコマンド プロンプト ウィンドウを開きます。
- 以下の selang コマンドを入力します。er LOGINAPPL SSH loginflags(EXECLOGIN)このコマンドにより、SSH ログインのトリガが、プロセスが実行する最初の EXEC アクションであることが指定されます。
- 以下の selang コマンドを入力します。er LOGINAPPL SFTP loginpath(path) defaccess(a) loginpath(path)Specifies the full path to the SFTP login application.er LOGINAPPL SFTP loginpath(path) defaccess(a)
- loginpath(path)SFTP ログイン アプリケーションのフル パスを指定します。
例: SFTP ログイン インターセプトの有効化
この例では、/usr/libexec/openssh/sftp-server にある SFTP ログイン アプリケーションに対して、SFTP ログイン インターセプトが有効にされます。最初の selang コマンドでは、
Privileged Access Manager Server Control
が SSH ログインに対して PAM ログイン インターセプトを使用することも指定されています。er LOGINAPPL SSH loginflags(EXECLOGIN, PAMLOGIN) er LOGINAPPL SFTP loginpath(/usr/libexec/openssh/sftp-server) defaccess(a)
注:
LOGINAPPL クラスの詳細については、「selang リファレンス ガイド」を参照してください。