SSH 接続

SSH アクセス方法アプレットから、デバイスのログイン パスワードを使用して sudo または pbrun コマンドの実行を許可するようにデバイスを設定することができます。
capam33
SSH アクセス方法アプレットから、デバイスのログイン パスワードを使用して
sudo
または
pbrun
コマンドの実行を許可するようにデバイスを設定することができます。
トランスペアレント ログインをデバイス グループに適用することはできません。
トランスペアレント ログインでは、ターゲット デバイスの以下の項目をサポートしています。
  • OS バージョン: UNIX および Linux
  • シェル タイプ: bash、csh、tcsh、および ksh
    ksh
    シェル タイプに以下の制限が適用されます。
    • Vi コマンドライン履歴はサポートされていません。
    • Emacs コマンドライン履歴は呼び戻しコマンドをサポートしません。 例: コマンドに 1 つまたは複数のキャリッジ リターンがある場合、コマンドは実行されますが emacs モードで正しく呼び戻すことができません。
    • Ctrl + C を使用したループ コマンドの分割はサポートされていません。
  • アプリケーション: sudo および BeyondTrust PowerBroker pbrun
ターゲット上で、実行するたびにクライアントからパスワードを要求するように sudo または pbrun を設定します。 それ以外の場合は、セキュリティが脆弱になる場合があります。
UNIX/Linux の設定
ターゲット デバイスの
sudo
または
pbrun
 を設定し、呼び出されるごとにパスワードを要求します。
CA Privileged Access Manager
 はリクエストに対して透過的に応答します。 たとえば、timestamp_timeout=0 を設定すると、パスワードが常に必要となります。 sudo の実行には常にパスワードを必須にする必要があります。そうしない場合、セキュリティが低下します。
デバイスのトランスペアレント ログインの設定
セカンダリ トランスペアレント ログインを許可するようにデバイスを設定するには、以下の手順に従います。
  1. [デバイス]
    -
    [デバイス管理]
    ページで、既存のデバイス レコードを作成または開きます。
    このデバイス レコードが新しい場合は、少なくとも必須の属性(
    で示されている)を入力します。
  2. [アクセス方法]
    パネルで、
    [SSH]
    を選択します。
  3. [トランスペアレント ログイン]
    パネルにスクロールします。 sudo または pbrun (またはその両方)を設定するために以下のフィールドに入力します。
    • [次へのフル パス]
       - ターゲット デバイス上の sudo または pbrun 実行可能ファイルのディレクトリの場所を識別します。
    • [パスワード プロンプト]
      - sudo/pbrun を実行するとすぐに表示されるユーザ パスワード入力用のプロンプト(または完全に静的なサブ文字列)を指定します。
      ユーザが経験するフル プロンプトは「
      ユーザ
      の [sudo] パスワード」である可能性があります。ここで、「
      ユーザ
      」に動的に適用される実際のユーザ名が表示されます。 適用可能な最大の文字列は「[sudo] password for」になり、その文字列を使用します。
  4. 必要に応じて他のデバイス フィールドの設定を完了し、[保存]を選択します。
  5. [ポリシー]
    -
    [ポリシーの管理]
    ページで、既存のポリシー レコードを作成または開きます。
  6. [トランスペアレント ログイン]パネルにスクロールし、チェックボックスをオンにしてトランスペアレント ログインをオンにします。 特定のユーザ/ユーザ グループについてオフにするには、チェックボックスをオフにします。
  7. 必要に応じて、他のポリシー フィールドのプロビジョニングを完了し、[保存]を選択します。
    トランスペアレント ログインは、このデバイスへのアクセス用の準備ができました。
CISCO デバイス用のトランスペアレント ログイン ポリシーで設定できるのは、
1
つのアカウントのみです。 トランスペアレント ログイン ポリシーでは、複数のアカウントはサポートされていません。
ユーザ エクスペリエンス
ユーザは、SSH アクセス方法アプレットを使用して、ターゲット デバイスに通常どおりログインします。 sudo または pbrun が有効にされると、(ユーザにパスワードの入力を促す)通常の応答は表示されません。 製品は自動接続用のパスワードを提供し、sudo/pbrun は sudo コマンドの実行を続けます。
一部の一般的ではないシナリオでは、トランスペアレント ログインは意図したように動作せず、ユーザが予期しない動作が発生します。 たとえば、トークン(「XGK ###」)が表示されたり、パスワード プロンプトが表示されたりする可能性があります。 このような場合は、リターンを入力してアプリケーションを終了するか、または必要に応じて Ctrl + C を入力します。 注意して正しい構文を適用し、コマンドを再試行してください。
複雑なコマンド
コマンド ラインに任意の場所で複数回、設定されている特権コマンド(sudo または pbrun)を使用することができる一方で、
CA Privileged Access Manager
 は断続せずに完了するためにログイン パスワードを提供します。
例:
$ for i in $(cat newusers.txt); do sudo useradd $i; done $ sudo vi /etc/ssh/sshd_config && sudo /etc/init.d/ssh restart
また、複数の行に設定されている特権コマンド(sudo または pbrun)を使用することができる一方で、
CA Privileged Access Manager
 は断続せずに完了するためにログイン ユーザのパスワードを提供します。
例:
$ *for i in $(cat a_remote_location/deep_in_some_subdirectory/* > newusers.txt); do sudo useradd $i;\
> done
サポートされていない構文
トランスペアレント ログインは、以下のコマンドの使用をサポートしていません。
  • バックグラウンドに以下のような sudo コマンド引数を送信する。
    $ sudo updatedb &
  • 以下のように、vi 終了コマンドの後に sudo コマンドをストリングする。
    :wq sudo updatedb
    最初に Enter キーを使用して vi ウィンドウを終了する。
Windows デバイスで sudo または pbrun コマンドの実行中にパスワード プロンプトが表示されている場合は、Ctrl + C を使用して終了します。 Enter キーや別のキー エントリを押すなど、その他の応答はパスワードのロックアウトをトリガする場合があります。
監査ログ
pbrun の各呼び出しに続いて、以下の例のように監査ログ エントリが書き込まれます。
2016-03-11 01:16:27 user xsso ubuntu Executed "sudo pwd" using transparent login as username