サーバ アクセス オプションの設定
管理者として、サーバへのアクセスに使用する方法を指定します。サーバへのアクセス方法を設定するには、[構成]、[セキュリティ]、[アクセス]のコントロールを使用します。
capam32
HID_ConfigAccess
管理者として、サーバへのアクセスに使用する方法を指定します。サーバへのアクセス方法を設定するには、
[構成]
、[セキュリティ]
、[アクセス]
のコントロールを使用します。2
アクセス オプションの指定
[アクセス]
タブ上の以下のコントロールを使用して、サーバへのアクセスに使用する方法を指定します。外部 REST API:
外部 API は、ほとんどのアクセス機能のプログラム制御を提供します。このような機能には、ユーザ、デバイス、およびポリシーの管理などがあります。このオプションは、[API ドキュメント]インターフェースも有効にします。詳細については、「外部 API」を参照してください。認証情報管理 CLI:
認証情報マネージャ CLI は、パスワード管理機能への管理者アクセスを提供します。管理機能には、ターゲットおよび要求データの追加、変更、および削除などが含まれます。CLI は、メンテナンス操作の一部のセットへのアクセスも提供します。リモート CLI は、UNIX、Linux、および Windows プラットフォームでサポートされます。詳細については、「認証情報マネージャ CLI の使用」を参照してください。 VMware コンソール:
VMware コンソールへのアクセスは、デフォルトで有効になっており、緊急時のトラブルシューティングに役立てることができます。 設定ユーザ:
製品には、無効にできる組み込みの「設定」ユーザ アカウントが付属します。このアカウントの名前を変更した場合でも、無効にできます。X-Forwarded-Host の確認:
ホワイトリストで指定されていない X-Forwarded-Host の値をすべて拒否するようにアプライアンスを設定できます。X-Forward ホストの値を拒否することで、無効なホスト ヘッダから保護します。このオプションの詳細については、「ホスト ヘッダ攻撃の低減」を参照してください。サーバがプロキシ、ロード バランサ、またはルータなどの背後にある場合、デバイスによって X-Forwarded-For HTTP ヘッダの IP スプーフィングが防止されていることを確認します。
コマンド文字列
: sudo
および pbrun
コマンドに加えて、管理対象デバイスへのトランスペアレント ログインのコマンド文字列を有効にできます。コマンド文字列は、セキュリティ面を考慮して、無効になっています。詳細については、「デバイスのセットアップ、トランスペアレント ログイン」を参照してください。TLS v1.0/1.1 接続の許可:
デフォルトでは、TLS 1.0、1.1、および 1.2 の通信プロトコルは有効に設定されています。PAM
へのインバウンド通信のセキュリティを向上させるには、ブラウザ、A2A クライアントおよび LDAP ブラウザからの該当するトラフィックで[TLS v1.0/1.1 接続の許可]
オプションを無効にします。TLS 1.0 または 1.1 のプロトコルを使用している既存の接続がある場合があります。この設定を無効にする前に、アプライアンスを再起動して、オープンしている接続の TLS 1.0 または 1.1 の接続を終了します。FIPS モードが有効になっている場合、TLS 1.0 および TLS 1.1 のプロトコルは自動的に無効になります。TLS 1.0 および TLS 1.1 は、FIPS モードでは許可されません。
バージョン 2.8 A2A クライアントおよび Windows プロキシ エージェントなど、Java 6 ランタイム環境で実行されるアプリケーションで使用できるのは TLS 1.0 プロトコルのみです。
[TLS v1.0/1.1 接続は許可されています]
オプションを無効にする前に、これらのコンポーネントを更新します。ターゲット サーバのセキュリティのアップグレードにより TLS 1.2 プロトコルの使用のみが許可される場合は、この設定を無効にします。 同時リモート接続:
デフォルトでは、アプライアンスは別の IP アドレスからの同じユーザによる同時接続を許可します。展開によっては、同時接続が必要なことがあります。たとえば、Citrix XenApp 環境には、いくつかのジャンプ ボックスおよびロード バランサがあります。エンド ユーザが複数のセッションを同時に実行し、ユーザ セッションが個々のジャンプ ボックスで開始されることがあります。 サーバへの同時接続を許可するには、このオプションを、デフォルトの
[有効]
設定のままにします。サーバへの同時接続を防止するには、このオプションを[無効]
に設定します。クラスタ化された環境では、
[同時リモート接続]
を[無効]
に設定すると、ユーザはクラスタ内の他のサーバに接続できません。たとえば、5 つの PAM サーバのクラスタがある場合、ユーザはこれらのすべてのサーバに対して 1 つの接続を持つことができますが、それらのサーバの 1 つに対して複数の接続を持つことはできません。PKI/スマート カードのオプションの指定
スマート カードのユーザのアクセス オプションを設定するには、
[PKI/スマート カード オプション]
タブで、以下のコントロールを使用します。詳細な設定情報については、「PKI スマート カード認証」を参照してください。 PKI/スマート カード ユーザ ログイン:
このオプションを選択すると、ブラウザは、アプライアンスを設定済みの URL にあるクライアント側証明書のメッセージを表示します。PKI/スマート カードがない場合ログイン ページなし:
[有効]チェックボックスがオンになっている場合、スマート カードがないと、ユーザはアプライアンスにログインできません。[無効]ボックスがオフの場合、ユーザには、ユーザ名とパスワード、またはその他の設定済みの認証方式による認証オプションがあります。スマート カードでの認証ができない場合、ユーザは、既知のユーザ名とパスワードを使用して[設定]ページを利用することができです。ポリシー識別子:
ここに、PKI ポリシーの識別子を入力します。ログイン ページで PKI/スマート カード オプションを有効化:
PKI スマート カードを使用して PAM
にログインする場合、このボタンによって、ホーム ページの[認証タイプ]ドロップダウン リストに[PKI/スマート カード]
オプションが追加されます。