デバイスにアクセスするための TCP/UDP サービスの作成
このようなクライアントの例として、以下が含まれます。
capam333+
HID_TCPUDPServicesPanel
このようなクライアントの例として、以下が含まれます。
- PuTTY: PuTTY や他の SSH クライアントについては、「デバイスにアクセスするための SSH サービスの作成」を参照してください。
- IBM TN3270 および TN5250 クライアント: 「ネイティブ TN3270 または TN5250 クライアントのセットアップ」を参照してください。
- Web ポータル: Web サイトへ自動的にアクセスできるようにするには、「Web ポータルへのアクセスを可能にするサービスの設定」を参照してください。
- TCP または UDP 接続を使用する、SQL クエリ フロント エンド、メインフレーム クライアント、その他の独自のアプリケーション: 「TCP/UDP サービスの設定」を参照してください。
CSV ファイルを使用して、バッチ モードでサービスをインポートすることもできます。手順については、「サービスのインポートまたはエクスポート」を参照してください。
TCP/UDP サービスの設定
TCP/UDP サービスを追加するには、以下の手順を実行します。
- [サービス]-[TCP/UDP サービス管理]を選択します。
- 新しい TCP/UDP サービスで、[追加]を選択します。
- [サービス名]に、カスタマイズされたサービスの名前を入力します。
- [ローカル IP]に、このサービスのローカル IPv4 アドレスを入力します。[TCP/UDP サービス]ページの[ローカル IP]列に、他のサービスの既存の IP アドレスが一覧表示されます。
- ポート:以下のいずれかの形式を使用して、クライアント アプリケーションがデバイスにアクセスするために開放するすべてのポートを定義します。
- ポートの組み合わせ/リダイレクトの構文:リモートポート:ローカルポートまたはリモートポート:* (コロンで区切る)リモートポートは、デスティネーション デバイスにあります。整数を指定します。ローカルポートは、ローカル ユーザのデスクトップでの接続をリスナが待機する場所です。* (アスタリスク)を入力すると、Privileged Access Managerは使用可能な任意のポートに値を設定できます。Citrix XenApp 環境のローカル ポートについては常に * (アスタリスク)を指定します。特定のポート番号を入力するには、整数を入力します。例: 22:*例: 22:8855
- 複数のポートの構文: 各ポートはスペース、カンマ、またはカンマとスペースで区切られます。例: 67 3450 23例: 5740、 3221、 31225
- ポート範囲の構文:(最小値と最大値をダッシュで区切ります)。ポート範囲の上限値は 500 です。範囲は 1 つだけ許可されます。最初のポート-最後のポート例: 14575–15004
複数のポートとポート範囲を組み合わせないでください。エントリ タイプは 1 つのみ使用します。以下の例は正しくありません: 51000-51002, 55555 - プロトコル:サービスが使用するトランスポート プロトコルをドロップダウン リストから選択します。
- [有効化] チェック ボックスを選択します。無効なサービスは[デバイス]ページで網掛けで表示され、superを含むどのユーザに対しても動作しません。
- 列で表示:このチェック ボックスをオンにすると、[アクセス]ページでサービスがボタンとして表示されます。そうしない場合、サービスはドロップダウン リストに表示され、よりコンパクトになります。
- アプリケーション プロトコル:リモート ターゲットへの通信用のプロトコルを選択します。クライアント上のアプリケーションを呼び出す場合(SSH 以外)、デフォルトの[無効]をそのまま使用します。
- X11:SSH プロトコルの場合、このオプションによってユーザ インターフェースで X11 プロトコルが有効になります。
- キープアライブの送信間隔:SSH および telnet プロトコルの場合、このオプションは、セッションがタイムアウトしないようにキープアライブ メッセージを送信します。PAM アプレットのタイムアウトは引き続き適用されます。有効な値は、60 秒(最小)~ 172800 秒(48 時間)です。デフォルトは 0 (無効)です。アプレットのタイムアウト設定の詳細については、「全体設定の適用」トピックの「 基本設定 」を参照してください。この設定は、SSH セッションでの SSH のキー更新処理、バックグラウンド ジョブ、およびアクティビティ(ターミナルを一定間隔で更新するFor SSH Only (SSH のみ):topなどのコマンドの実行など)が、PAM のアプレット タイムアウト機能に与える影響を変更します。この設定のキー更新処理に関連する動作の例については、以下の表を参照してください。キープ アライブ設定キー更新 > アプレット タイムアウトキー更新 < アプレット タイムアウトバックグラウンド ジョブSSH でのアクティビティバックグラウンド ジョブSSH でのアクティビティ0 (無効化)タイムアウトタイムアウトなしタイムアウトなしタイムアウトなしキープアライブがアプレット タイムアウト未満(元のタイムアウト動作をオーバーライド)タイムアウトタイムアウトタイムアウトタイムアウトキープアライブがアプレット タイムアウトを超過0 と同じ(無効化)
- クライアント アプリケーション用として、自動的にクライアントを起動する場合、パスに入力します。ユーザがサービスにアクセスすると、ここで指定されたパスが起動します。ユーザは起動時にこのパスを設定または上書きできます。スペースを必要とするパスを使用するには、アプリケーション実行可能ファイル名を含むディレクトリ パスを引用符で囲みます。文字列全体を引用符で囲むと、コマンドは実行されません。Privileged Access Managerで置換する変数として、以下のリテラル文字列を使用します。
- <Local IP> は、[ローカル IP]フィールドの IP アドレスで置換されます。ここでローカル IP を繰り返さないでください。
- <First Port> は、[ポート]で定義されている第 1 ローカル ポート(コロンの後)で置換されます。ここで第 1 ポートを繰り返さないでください。
- <User> は、アクセス方法で使用されるアカウント名で置換されます。ここでアカウント名を繰り返さないでください。
- <Second Port> は、[ポート]で定義されている第 2 ローカル ポート(存在する場合)で置換されます。ここで第 2 ポートを繰り返さないでください。
- <Device Name> は、デバイスの名前で置換されます。一部のアプリケーション接続引数では、この変数が使用される場合があります。たとえば、WinSCP のアプリケーション タイトル バーには、/sessionname=<Device Name>で、IP アドレスの代わりにデバイス名が表示されます。
例: クライアント上のアプリケーションが WinSCP の場合、以下のパスを入力します。"C:\Software\WinSCP\WinSCP.exe" scp://<User>:<Password>@<Local IP>重要:WinSCP の例では、リテラル文字列<User>、<Password>、および<Local IP>を使用します。これらの文字列に実際の値を入力しないでください。<Password> 変数によって、セキュリティ リスクが生じます。クライアントに対してパスワードが公開されます。これは、ログに記録されたり、引数として公開されたりする場合があります。ユーザが接続すると、[認証情報の表示]リンクが表示されます。[表示時にパスワードを変更]オプションでを設定すると、このリスクを軽減できます。 - [OK]を選択します。
- ターゲット デバイスに対応するデバイスを作成します。
- デバイス内でのデバイス管理は、アドレスフィールドのターゲット IP アドレス(FQDN を使用しない)でデバイスを作成 します。
- [サービス]タブでコントロールを使用して、作成したサービスを[使用可能なサービス]から[Selected Services (選択されたサービス)]に移動します。
- [OK]を選択します。
- [アプリケーション名]としてターゲット アプリケーションを使用し、[ターゲット アカウント]を作成します。[アカウント名]が <User> に代入され、[パスワード]が <Password> に代入されます。詳細については、「ターゲット アカウントの追加」を参照してください。
- ターゲット デバイスをユーザまたはグループにリンクさせるポリシーを作成します。
- [サービス]タブで、作成したサービスを選択します。
- [ターゲット アカウント]列で、[編集]の虫眼鏡アイコンを使用してアカウントを選択します。
次のステップ