デバイスにアクセスするための SSH サービスの作成

SSH サービスは、クライアント上のローカル サードパーティ SSH アプリケーションを呼び出して、デバイスに接続します。 ターゲット デバイスは SSH アプリケーションをホストする必要がありません、これはユーザ クライアント コンピュータ上に存在する必要があります。 ネイティブ SSH クライアントのサポートは、任意のネイティブ SSH クライアントにアクセス制御を拡張します。 これらの制御には、セッション記録、ソケットのフィルタリング、コマンドのフィルタ、およびターゲット アカウント設定による自動接続が含まれます。
capam33
SSH サービスは、クライアント上のローカル サードパーティ SSH アプリケーションを呼び出して、デバイスに接続します。 ターゲット デバイスは SSH アプリケーションをホストする必要がありません、これはユーザ クライアント コンピュータ上に存在する必要があります。 ネイティブ SSH クライアントのサポートは、任意のネイティブ SSH クライアントにアクセス制御を拡張します。 これらの制御には、セッション記録、ソケットのフィルタリング、コマンドのフィルタ、およびターゲット アカウント設定による自動接続が含まれます。
ネイティブ SSH クライアント サービス ポリシーがセッション記録用に設定されている場合、記録を動作させるには
[双方向]
チェックボックスをオンにします。
  1. [サービス]
    -
    [TCP/UDP サービス管理]
    を選択します。
  2. 新しい TCP/UDP サービスについて、
    [追加]
    を選択します。
    • サービス名:
      ポータルの名前を入力します。
    • ローカル IP:
      有効なローカル ループバック アドレスを入力します。
    • ポート:
      22
      」(SSH の場合)と、ローカル ポート マッピングまたはアスタリスクを入力します。 例:
      22:12345 または 22:*
    • [有効化]
      チェック ボックスを選択します。
    • [アクセス]ページでサービスをボタンとして表示するには、
      [列で表示]
      を選択します。 そうしない場合、サービスはドロップダウン リストに表示され、よりコンパクトになります。
    • [アプリケーション プロトコル]
      では、ドロップダウン リストから
      [SSH]
      オプションを選択します。
  3. 必要に応じて、
    [X11]
    を選択します。 詳細については、「X11 転送およびコマンドの実行」を参照してください。
  4. [クライアント アプリケーション]
    では、自動的にクライアントを起動する場合、パスに入力します。
  5. 有効な SSH サービスにアクセスすると、ここで指定されたパスが起動します。
    Windows の構文:
    C:\[path]\clientApp.exe [options] <User> <Local IP>
    <
    First Port>
    PuTTY の場合:
    "C:\Program Files\PuTTY\putty.exe" -ssh -l <User> <Local IP>
    <
    First Port>
    Linux の構文:
    /usr/bin/putty -ssh -l <User> -P <First Port> <Local IP>
    CA Privileged Access Manager
    が置換する変数として以下のリテラル文字列を使用します。
    • <Local IP> は、
      [ローカル IP]
      フィールドの IP アドレスで置換されます。 ここでローカル IP を繰り返さないでください。
    • <First Port> は
      [ポート]
      で定義される第 1 ローカル ポートで置換されます。 ここで第 1 ポートを繰り返さないでください。
    • <User> は、アクセス方法で使用されるアカウント名で置換されます。 ここでアカウント名を繰り返さないでください。
    • <Second Port> は、
      [ポート]
      で定義されている第 2 ローカル ポート(存在する場合)で置換されます。 ここで第 2 ポートを繰り返さないでください。
    • <Device Name> は、デバイスの名前で置換されます。 一部のアプリケーション接続引数では、この変数が使用される場合があります。 たとえば、WinSCP では、アプリケーション タイトル バーの「/sessionname=<Device Name>」で、IP アドレスの代わりにデバイス名が表示されます。
    • CA Privileged Access Manager
      は自動的にパスワードを挿入するため、指定する必要はありません。
  6. [OK]
    を選択します。
  7. 接続したい SSH ターゲットに対応するデバイスを作成します。
    1. [デバイス]
      -
      [デバイスの管理]
      で、
      [アドレス]
      フィールドにターゲット IP アドレス(FQDN は使用しないでください)を入力してデバイスを作成します。
    2. [サービス]
      タブでコントロールを使用して、作成したサービスを[Available Services (利用可能なサービス)]から[Selected Services (選択されたサービス)]に移動します。
    3. [OK]
      を選択します。
  8. [ホスト名]
    としてターゲット デバイスを使用して、
    [ターゲット アプリケーション]
    を作成します。 詳細については、「ターゲット アプリケーションの追加」を参照してください。  
  9. [アプリケーション名]
    としてターゲット アプリケーションを使用し、
    [ターゲット アカウント]
    を作成します。
    [アカウント名]
    が <User> に代入され、
    [パスワード]
    が <Password> に代入されます。 詳細については、「ターゲット アカウントの追加」を参照してください。
  10. ターゲット デバイスをユーザまたはグループにリンクさせる
    ポリシー
    を作成します。
    1. サービス
      ]タブで、作成したサービスを選択します。
    2. [ターゲット アカウント]列で、[編集]の虫眼鏡アイコンを使用してアカウントを選択します。
    SSH サービスは、ユーザまたはグループの選択用に[アクセス]ページに表示されます。
X11 転送およびコマンドの実行
TCP/UDP サービスを設定して、X Window System (X11) 転送およびネイティブ SSH アプリケーションのコマンド実行ができます。
これらの機能のいずれかが呼び出されると、セッションの記録がアクティブになりません。
管理者設定
以下のオプションのいずれかを許可するネイティブ SSH サービスを設定することができます。
  • [クライアント アプリケーション]
    フィールドの)
    CA Privileged Access Manager
    サービス コマンド ライン仕様を使用したオプションで SSH アプリケーションを自動的に起動します。
  • 実行時にコマンドを適用するユーザによる SSH アプリケーションの手動呼び出し。 アプリケーションを呼び出すには、[アクセス]ページでサービスのリンクを選択します。
前提条件
X11 転送を使用するには、ターゲット デバイスに X11 アプリケーションがインストールされていることを確認します。 また、SSH サーバが X11 転送を提供するように設定されていることを確認します。 ユーザ ワークステーションでは、出力を表示するために X11 サーバを実行する必要があります。
UNIX、Linux、およびその他の UNIX 系のシステムで使用すると、SSH アクセス方法は
socat
リレー ユーティリティ必要とします。
自動の呼び出し
X11 転送でクライアント アプリケーションを自動的に呼び出すように SSH セッションを設定するには、X11 オプションを設定します。
手動の呼び出し
TCP/UDP サービスが
クライアント アプリケーション
を指定せずに SSH を使用するように設定されている場合、ユーザはインストール済みの任意のアプリケーション(PuTTY など)を手動で呼び出すことができます。 サービスは、X11 転送やそのアプリケーションに使用可能なコマンド実行オプションを使用できます。
ユーザ エクスペリエンス
自動の呼び出し
適切に設定されたクライアント上のユーザが[アクセス]ページの[サービス]リンクを呼び出します。 SSH クライアント(PuTTY)は指定されたスイッチやコマンドで自動的に実行されます。
  1. ログインまたはターゲットへの自動接続の後、ユーザはターゲット上の X11 アプリケーションをすぐに実行できます。 アプリケーション出力はワークステーションに転送されます。
  2. コマンドが指定する場合、コマンドが実行を完了するとセッションはすぐにを閉じます。
手動の呼び出し
CA Privileged Access Manager
サービスの
[クライアント アプリケーション]
設定が空の場合、ユーザは手動でローカル SSH クライアント アプリケーションを起動し、SSH 接続を実行する必要があります。 ユーザはアプリケーション X11 転送またはコマンド実行の機能を使用します。 たとえば、Windows ワークステーションで PuTTY を起動した後、PuTTY の
[Connection]
-
[SSH]
-
[X11]
-
[Enable X11 forwarding]
または
[Connection]
-
[SSH]
-
[Remote]
オプションをそれぞれ使用します。 コマンドが指定する場合(後者のオプションを使用)、コマンドが実行を完了するとセッションはすぐにを閉じます。
ログ エントリ
X11 転送が発生するか、この機能に対するコマンドが実行されるたびに、セッション ログ エントリが書き込まれます。