アクセス方法

アクセス方法は、接続とセッション記録を提供する標準装備の通信アプレットです。このアプレットでは、VNC、TELNET、SSH、RDP、およびシリアル接続をサポートします。デフォルトのポートを変更することができ、システム全体のプロトコルを無効にすることができます。アクセス方法アプレットは、
PAM
からローカル コンピュータにダウンロードされ、ローカルにインストールされた Java に依存します。
capam33
HID_AccessMethodPanel
アクセス方法は、接続とセッション記録を提供する標準装備の通信アプレットです。このアプレットでは、VNC、TELNET、SSH、RDP、およびシリアル接続をサポートします。デフォルトのポートを変更することができ、システム全体のプロトコルを無効にすることができます。アクセス方法アプレットは、
PAM
からローカル コンピュータにダウンロードされ、ローカルにインストールされた Java に依存します。
アクセス方法の設定は、以下の 2 段階のプロセスです。
  1. UI の[全体設定]メニューから、[アクセス方法]を選択します。
  2. アクセス方法を 1 つ以上のターゲット デバイスに割り当てます。
このトピックでは、以下の情報とタスクについて説明します。
2
アクセス方法のオプション
PAM
では、以下の異なるアクセス方法を提供します。
GUI アクセス方法
  • VNC
    (仮想ネットワーク コンピューティング)は、モニタ対象となっているデバイスにアクセスできる、グラフィカル デスクトップ リモート アクセス アプリケーションです。Mac、Windows、UNIX、または X Window のデスクトップには、この機能を使用して直接アクセスできます。VNC セッションはグラフィカルに記録することができます。この機能では、各監視対象デバイスに VNC サービスをインストールすることが必要です。
    VNC の制限事項:
    • Windows システムに SFA がインストールされる場合、SFA フィルタは VNC 接続に適用されません。
    • VNC へのアクセスでは、リモートによる Windows デバイスへの自動ログインはサポートされていません。
  • RDP
    - リモート デスクトップ プロトコル(RDP)は、Microsoft Terminal Services に接続するためのアクセス方法です。RDP は、通常 Windows サーバの管理に使用されます。RDP アプレットでは、RDP 5.2 に比べてファイル サイズが縮小された、RDP 6.x 圧縮タイプを活用します。RDP セッションはグラフィカルに記録することができます。
CLI アクセス方法
  • Telnet
    は、ホストへの標準的な Telnet アクセスを提供します。このアクセス方法を動作させるには、Telnet サービスをアクセス対象デバイス上で実行する必要があります。これをセットアップする方法については、個別のデバイス製造元のマニュアルを参照してください。この製品では、自身への Telnet セッションはサポートされていません。
  • SSH
    - この製品では、SSH バージョン 1 および 2 がサポートされています。このアクセス方法を動作させるには、SSH がアクセス対象デバイス上で実行されている必要があります。これをセットアップする方法については、個別のデバイスまたはシステムの製造元のマニュアルを参照してください。
メインフレーム
TN3270 および TN5250 は、5250 端末およびプリンタをエミュレーションする IBM AS/400 用の Telnet クライアントです。SSL バージョンは、SSL/TLS サポートで利用できます。
  • TN3270
  • TN5250
  • TN3270SSL
  • TN5250SSL
また、
PAM
では、TN5250 および TN5250SSL のみの AS/400 クラス アプレットの表示名のみもサポートしています。
表示名を使用するには、以下の手順に従います。
  1. アプライアンスの表示の右上隅で自分のユーザ名を選択します。
    [ユーザ情報]ウィンドウが表示されます。
  2. [基本情報]
    タブで、メインフレームの表示名を入力します。
  3. [OK]
    を選択します。
アクセス方法の選択
  1. [設定]
    -
    [アクセス方法]
    を選択します。
  2. デバイス設定に一般的に適用できる方法を選択します。
    特定のアクセス方法を使用しない場合は、チェック ボックスをオフにして無効にします。特定のアクセス方法を無効にした場合、すべてのデバイスで使用できなくなります。
RDP クライアント アプレットのセキュリティ要件
RDP クライアント アプレットを選択する場合、アプレットでは TLS 1.2 接続と TLS_RSA_WITH_AES_256_CBC_SHA256 暗号スイートをサポートします。RDP クライアントでは、以下のサポートされている暗号スイートを使用した転送シークレットもサポートしています。
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
最高レベルのセキュリティを確保するために、RDP ターゲット デバイス(Windows サーバ)が TLS 1.2 通信で転送シークレットを使用するように設定されていることを確認します。
PAM
が FIPS モードで動作していても、RDP サーバが FIPS 準拠の通信をサポートしていない場合は、エラーが発生します。
「サーバが通信用の FIPS 準拠オプションを提供しなかったため、
ターゲット_サーバ
に接続できません。」
というメッセージが表示されます。管理者に依頼してサーバの設定を確認します。
SSH アプレットの要件
バージョン 3.3 以降では、SSH アプレットで以下の暗号化アルゴリズムが使用されます。
  • 暗号
    = aes256-ctr、aes256-cbc、aes192-ctr、aes192-cbc、aes128-ctr
  • ハッシュ
    = hmac-sha2-512、hmac-sha2-256
  • キー交換方法
    = ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256、diffie-hellman-group-exchange-sha256 (DH 4096 ビット キーを使用)
Java ベースのブラウザから SSH アプレットを起動し、これらのアルゴリズムをサポートするには、インストールされている JRE に必要なポリシー JAR がインストールされていることを確認してください。
ポリシー JAR を入手するには、以下の手順に従います。
  1. サード パーティから「Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files」をダウンロードします。
  2. 新しいポリシー ファイルを抽出し、JRE 内の既存のポリシー ファイルを置き換えます。
アクセス方法のカスタマイズ
アクセス方法をカスタマイズできます。変更はグローバルに適用されます。
以下の手順に従います。
  1. [設定]
    -
    [アクセス方法]
    に移動します。
  2. カスタマイズするアクセス方法を選択し、
    [更新]
    を選択します。
  3. 設定を変更します。
    デフォルトのポートを更新する場合は、アクセス方法ごとに 1 つのポート番号のみを指定できます。ポート範囲は使用できません。
  4. [OK]
    を選択します。
利用可能なアクセス方法のセットは、ユーザが所有しているライセンスによって異なります。TN アプレットが利用可能であるためには、メインフレーム ライセンスが必要です。それ以外の場合、それらのアプレットはオプションとして表示されません。
アクセス方法のデバイスへの割り当て
以下の手順は、ターゲット デバイスがすでに設定されていることが前提となっています。
アクセス方法をデバイスに割り当てる方法
  1. UI で、[デバイス]-[デバイスの管理]を選択します。
  2. ターゲット デバイスのエントリをダブルクリックして開きます。
  3. [アクセス方法]
    タブを選択します。
  4. プラス記号を選択して、アクセス方法を追加します。[名前]列で、フィールド ドロップダウン リストから[アクセス方法]を選択します。 
  5. [Save and Configure Target Applications (ターゲット アプリケーションの保存と設定)]
    を選択します。ほかの方法を利用できるように、この手順を必要なだけ繰り返します。
    エントリ行の最後にある[X]を選択して、任意のエントリを削除できます。
  6. 方法を追加し、[デバイス]レコードにその他の変更を加えたら、
    [保存]
    ボタンを選択します。
ファイル転送機能の設定(オプション)
一部のアクセス方法では、ファイル転送などの機能に追加設定が必要です。
PAM
は、Mindterm アプレットを使用して、SSH アクセス方法を通じたリモート ターゲット デバイスとの間のファイル転送をサポートします。ファイル転送は記録できます。SCP および SFTP プロトコルがサポートされています。SSH ファイル転送は、
PAM
アプライアンスごとにグローバルに有効または無効になります。
MindTerm アプレット コマンド ライン ウィンドウには、512 列までと 512 行までの制限があります。さらに大きなウィンドウが必要な場合は、TCP/UDP サービスで PuTTY を使用してください。
SSH 端末ファイル転送の有効化(管理者)
SSH アプレットを使用してファイル転送を設定する方法
  1. 全体設定にアクセスする権限を持つ管理者として UI にログインします。
  2. [設定]
    -
    [全体設定]
    -
    [アプレットのカスタマイズ]
    に移動します。 
  3. [SSH 端末ファイル転送]
    チェック ボックスをオンにします。
  4. [保存]
    を選択します。
  5. 適用可能なターゲット デバイスのアクセス方法として SSH を使用するように
    PAM
    ユーザのポリシーを設定します。
SSH アクセス方法を使用したターゲット デバイスへのアクセス(ユーザ)
SSH 端末ファイル転送を有効にすると、ユーザは SCP および SFTP ファイル転送にアクセスできます。
以下の手順では、
PAM
ユーザが SSH アクセス方法を選択する方法について説明します。
  1. SSH アクセス方法の実行が許可されているユーザとして UI にログインします。
  2. 必要に応じて、[アクセス]ページに移動します。
  3. [アクセス]ページで、
    [SSH]
    アイコンを選択して、設定済みのターゲット デバイスに対する MindTerm アプレットを開きます。
  4. MindTerm Java アプレット ウィンドウ(デバイス名が表示されている)で、
    [プラグイン]
    -
    [SCP ファイル転送]
    を選択すると、ファイル転送ウィンドウが開きます。
  5. MindTerm - SCP
    internal_IP_address
    アプレット ファイル転送ウィンドウを使用して、以下の機能を実行します。
    • ローカルのクライアント コンピュータおよびリモート ターゲット デバイスの間でファイルを移動します。リスト内のディレクトリ間を移動するには、矢印を使用します。
    • 以下のコマンドを使用して、2 つのシステム ディレクトリ間でタスクを実行します。
      • ダブルクリック
        [..]
        - 親ディレクトリにジャンプします。ディレクトリに移動するには
        directory_name
        をダブルクリックします
      • ChDir
        - ジャンプ先のディレクトリを指定します
      • MkDir
        – ディレクトリを作成します
      • Rename
        - 選択したディレクトリの名前を変更します
      • Delete
        – 現在選択しているファイルまたはディレクトリを削除します
      • Refresh
        – 現在のディレクトリのリロード
ファイル転送トランザクションのログ記録(オプション)
以下の表は、ファイル転送トランザクションによる影響を受けるログ エントリのタイプを説明しています。
UI ボタン
ログ エントリ構文
 
 
トランザクション
ログ エントリの詳細
-->
put
ユーザ
remote_user
として
ローカルパス/ファイル名
* (
サイズ
)を
リモートパス/ファイル名
にアップロードします。 
<--
get
ユーザ
remote_user
として
ローカルパス/ファイル名
* (
サイズ
)を
リモートパス/ファイル名
からダウンロードします。 
* ディレクトリ(ファイルあり/なし)をコピーすることもできますが、そのアクションはログに記録されません。コピーされたディレクトリ内のファイルは、それぞれがコピーされてログに記録されます。
ChDir
 
(ログ エントリなし)
Delete
alert
[リモート | ローカル][ファイル | フォルダ]
パス名
がユーザ
remote_user
によって削除されました。 
MkDir
alert
[リモート | ローカル]フォルダの
パス名
がユーザ
remote_user
によって作成されました。 
Refresh
 
(ログ エントリなし)
Rename
alert
[リモート | ローカル][ファイル | フォルダ]の
パス/古い名前
が、ユーザ
remote_user
によって
パス/新しい名前
に変更されました。