デバイスの機能

2
capam32
2
デバイス タイプ
デバイスは、3 つのタイプに分類されています。 デバイス オブジェクトは、これらのタイプの 1 つ以上を使用して、論理的に任意の物理デバイスを表すことができます。
デバイス ライセンス
([ライセンス]ページ)
  • アクセス デバイス
    : ネットワーク アドレス可能な計算中のデバイス([全体設定]および[デバイス]テンプレート内のラベル「アクセス」によって識別)
  • パスワード
    デバイス
    : パスワードが管理対象になっているデバイス(
    CA Privileged Access Manager
    からプッシュされる)は、[全体設定]および[デバイス]テンプレート内のラベル「パスワード管理」によって識別されます。
  • A2A
    デバイス
    : パスワードを取得するために
    CA Privileged Access Manager
    に接続するアプリケーション クライアントが実行されているデバイス([全体設定]および[デバイス]テンプレート内のラベル「A2A」によって識別)。
デバイス タイプ ライセンスでは、各デバイス タイプに対して最大デバイス数を許可します。 各デバイス タイプの最大数と現在の数は、[ライセンス使用状況]の[アクセス ダッシュボード]に表示されます。 同じ数が[システム情報]ダイアログ ボックスにも表示されます。
ライセンス使用状況
([ダッシュボード]ページ)
  • セッション管理ライセンス
    : アクセス デバイス用(認証情報マネージャ デバイスと共存可能)
  • 認証情報マネージャ ライセンス
    : 認証情報マネージャ デバイス用(アクセス デバイスと共存可能)
  • A2A
    管理
    ライセンス: A2A デバイス用
アクセス タイプ
CA Privileged Access Manager
は、デバイスへのアクセスを安全にし、デバイス レベルで承認されるまでデバイスへの接続を許可しません。 この承認を完了するには、アクセス方法を選択する必要があります。 これは、デバイスを作成または更新するとき、または既存のデバイスの方法を変更するときに選択できます。
  • Prepackaged (プレパッケージ)
    : 標準のアクセス方法は
    [アクセス方法]
    アプレット
    として構築されており、追加のソフトウェアをユーザのデスクトップにインストールする必要はありません。
  • カスタム
    : デフォルトのアプレット アクセス権に加えて、ほぼすべての接続アプリケーションはローカル
    CA Privileged Access Manager
    サービス
    を設定することによってアクセスを許可する設定ができます。
Access Methods
VNC、TELNET、SSH、RDP およびシリアル接続のサポートを含めて、いくつかのアクセス方法アプレットが同梱されています。 アプリケーションが、指定されたものとは別のポートで実行されている場合、デフォルトのポートを変更できます。
以下のレベルで設定が必要です。
  • グローバル レベル
    : アクセス方法を使用可能にするには、最初に[全体設定]インターフェースを使用して許可する(オンにする)必要があります。
  • デバイス レベル
    : デフォルトのアプレット アクセス権に加えて、ほぼすべての接続アプリケーションへのアクセスを許可するように
    CA Privileged Access Manager
    を設定できます。
グラフィカルおよび CLI アプレット
  • VNC
    : VNC (Virtual Networking Computing、仮想ネットワーク コンピューティング)は、キーボードおよびマウスの動きを転送するグラフィカル デスクトップ リモート アクセス アプリケーションです。 VNC アプレットのアクセスには、デスティネーション デバイス上で VNC サーバが実行されている必要があります。 記録を使用するには、VNC サーバが基本の非暗号化モードで設定されている必要があります。
  • Telnet
    : このツールは、TELNET デーモンを実行している UNIX ホストに接続するため管理者がよく使用します。
  • SSH
    : セキュア シェル プロトコル。 SSH アプレットは、SSH デーモンが実行されているサーバに接続します。 SSH アプレットでは、クライアント エンド ユーザは Putty などの SSH クライアント ソフトウェアをロードする必要がありません。
  • RDP
    : RDP は、Microsoft Terminal Services に接続するためのアクセス方法であり、Windows サーバの管理によく使用されます。 RDP アプレットは、RDP 6.x 圧縮タイプを活用するために最適化されており、RDP 5.2 と比べるとファイル サイズが著しく縮小されています。
    RDP リモート デバイスのユーザ名は、
    CA Privileged Access Manager
    のログイン ユーザ名から事前入力されません。 代わりに、ユーザはページのフィールドを使用してこのユーザ名を入力できます。
    XRDP 圧縮のサポートに制限があるため、RDP から XRDP へのセッションはより多くの帯域幅を使用します。 セッション記録は、RDP から RDP へのセッションの記録よりかなり大きくなることがあります。 暗号化のサポートには、XRDP ホスト上での xrdp.ini ファイル内の設定が必要です。
    • TLS レベル: リリース 2.6 現在、RDP クライアント(アプレット)は TLS 1.2 接続および TLS_RSA_WITH_AES_256_CBC_SHA256 暗号スイートをサポートしています。
    • パフォーマンス: 場合によっては、RDP 記録をその作成中にストレージに書き込むことができません。 そのような場合、
      CA Privileged Access Manager
      ではやり取りがスロットル調整されます。 ユーザから見ると速度が遅くなります。 全体のデータ転送速度は低下し、共有領域への書き込みは完了します。
    • XRDP:
      CA Privileged Access Manager
      RDP クライアント アプレットを使用して、管理対象の Linux デバイス上で実行されている XRDP サーバに接続することもできます。
メインフレーム アプレット
TN3270 および TN5250 は、IBM のメインフレーム または AS/400 サーバ用の Telnet クライアントで、3270 と 5250 端末およびプリンタのエミュレーションを行います。 。 SSL/TLS をサポートする SSL バージョンを利用できます。 AS/400 クラス アプレットの表示名(TN5250 および TN5250SSL のみ)は、[ユーザ情報]ページの[メインフレームの表示名]フィールドでサポートされています。
  • TN3270
    : IBM 3270 Telnet クラス
  • TN3270SSL
    : SSL 対応の IBM 3270 Telnet クラス
  • TN5250
    : IBM 5250 Telnet クラス
  • TN5250SSL
    : SSL 対応の IBM 5250 Telnet クラス
ターゲット メインフレーム アプリケーションの種類が豊富であるため、メインフレーム アプレット用の標準自動ログイン オプションがありません。 TN3270 および TN3270SSL については、ユーザ名(Ctrl-U)およびパスワード(Ctrl-P)用の組み込みマクロが用意されています。 ユーザはログイン時にこれらのキーの組み合わせを入力し、設定済みのユーザ名とパスワードを入力します。 パスワードがユーザに表示されないように、パスワード マクロは、パスワード入力フィールドが非表示のときのみ動作します。
サービス
サービスは、デバイスへのアクセスをカスタマイズする方法です。 管理者は、既知のポートで特定のアプリケーションに対してサービスを作成できます。 これらのサービスには、TCP または UDP の接続を使用する SQL クエリのフロント エンド、メインフレーム クライアント、独自のアプリケーションなどのファット クライアント アクセスが含まれます。
同梱済みのサービス
製品に同梱されているサービスは、ここで確認できます。
CA Privileged Access Manager
には、いくつかの事前設定済み SFTP/FTP サービスが付属しています。 これらのサービスは、現在、OpenSSH 派生の Linux、AIX、および Solaris SFTP 実装などのいくつかの SFTP/FTP サーバをサポートしています。 Microsoft IIS SFTP/FTP 実装も、複数のハード ドライブが存在する場合の既知の制限がある状態で、サポートされています。
他の FTP サーバについては、互換性がある可能性はありますが、
CA Privileged Access Manager
はそれらのテストや検証を行いません。 事前設定済みのサービスは、多くのお客様のコンプライアンス要件を満たすため、ターゲット デバイス SFTP/FTP アクティビティの追跡に使用する必要があります。 アクティビティはセッション ログで追跡されています。 サフィックス「
emb
」が付いたサービス名は、FTP クライアント アプリケーションのインストールをしない状態でユーザに WinSCP クライアントを提供します。
CA Privileged Access Manager
と互換性がない任意の FTP サーバへの入力をお勧めします。また、ビジネス ニーズに応じて FTP サーバを増やす追加のサポートもご検討ください。 当社の目標は、アクセス コントロールと監査の必要性のバランスをとりながら、お客様にとって最も包括的なアクセス ソリューションを提供することです。
Types
  • sftpftp:
    SFTP クライアントを使用して、FTP サーバに/FTP サーバからファイルを転送します。
  • sftpsftp:
    SFTP クライアントを使用して、SFTP サーバに/SFTP サーバからファイルを転送します。
  • sftpftpemb
    : このサービスでは、WinSCP クライアントをユーザ デスクトップにダウンロードします。 WinSCP は、Microsoft Windows 用のフリーでオープン ソースの SFTP および FTP のクライアントです。
  • sftpsftpemb
    : このサービスでは、WinSCP クライアントをユーザ デスクトップにダウンロードします。
SFTPFTPemb または SFTPSFTPemb を実行する場合、WinSCP のファイル転送のデフォルト オプションではファイルを部分的に保存します。
[環境設定]
-
[Other general options: Preferences]
-
[Transfer: Endurance]
-
[Enable
transfer resume/transfer to temporary filename
for
]に設定を変更します。 「Files above: 100KB」のデフォルト設定を「Disable」に変更すると、リモート サーバに正常にファイルを「PUT」できます。
RDP アプリケーション
Microsoft Terminal Services の場合は、デスクトップ全体へのアクセスを許可するのではなく、単一のターゲットでホストされているアプリケーションを RDP で公開できます。 この機能は、Microsoft Terminal Server を実行しているサーバでのみ利用可能です。 Windows Server 2008 では、さらに多くのセットアップが必要です。