デバイスにアクセスするための SSH サービスの作成
SSH サービスは、クライアント上のローカル サードパーティ SSH アプリケーションを呼び出して、デバイスに接続します。ターゲット デバイスは SSH アプリケーションをホストする必要はなく、ユーザ クライアント コンピュータ上に存在する必要があります。この機能により、すべてのネイティブ SSH クライアントにアクセス制御が拡張されます。この機能を使用して、セッション記録、ソケットのフィルタリング、コマンドのフィルタリング、ターゲット アカウントとの自動接続などを制御できます。
pam40
SSH サービスは、クライアント上のローカル サードパーティ SSH アプリケーションを呼び出して、デバイスに接続します。ターゲット デバイスは SSH アプリケーションをホストする必要はなく、ユーザ クライアント コンピュータ上に存在する必要があります。この機能により、すべてのネイティブ SSH クライアントにアクセス制御が拡張されます。この機能を使用して、セッション記録、ソケットのフィルタリング、コマンドのフィルタリング、ターゲット アカウントとの自動接続などを制御できます。
ネイティブ SSH クライアント サービス ポリシーがセッション記録用に設定されている場合、記録を動作させるには
[双方向]
チェックボックスをオンにします。以下の手順に従います。
- [サービス]-[TCP/UDP サービス管理]を選択します。
- [追加]を選択して新しい TCP/UDP サービスを作成します。
- サービス名:サービスの名前を入力します。
- ローカル IP:有効なローカル ループバック アドレスを入力します。
- ポート:「22」(SSH の場合)と、ローカル ポート マッピングまたはアスタリスクを入力します。例:22:12345 または 22:*。
- [有効]オプションを有効にします。
- [アクセス]ページでサービスをボタンとして表示するには、[列で表示]オプションを選択します。そうしない場合、サービスはドロップダウン リストに表示され、よりコンパクトになります。
- アプリケーション プロトコル用には、ドロップ ダウン リストからSSHのオプションを選択します。必要に応じて、表示される以下の SSH 固有のコントロールを設定します。
- 必要に応じて、[X11]を選択します。(オプション) ユーザ インターフェースで X11 プロトコルを有効にするには、このオプションを選択します。詳細については、「X11 転送およびコマンドの実行」を参照してください。
- 公開鍵認証。(オプション) 詳細については、「公開鍵認証の有効化」を参照してください。
- キープアライブの送信間隔:(オプション) セッションがタイムアウトしないようにキープアライブ メッセージを送信します。(PAM アプレットのタイムアウトは引き続き適用されます。) 有効な値は、60 秒 (最小) 〜 172800 秒 (48 時間) です。デフォルトは 0 (無効)です。アプレットのタイムアウト設定の詳細については、「基本設定」を参照してください。このオプションは、SSH のキー再生成操作、バックグラウンド ジョブ、および SSH セッションでのアクティビティ (ターミナルを一定間隔で更新するtopなどのコマンドの実行など) が、PAM のアプレット タイムアウト機能に与える影響も変更します。この設定のキー更新処理に関連する動作の例については、以下の表を参照してください。キープ アライブ設定キー更新 > アプレット タイムアウトキー更新 < アプレット タイムアウトバックグラウンド ジョブSSH でのアクティビティバックグラウンド ジョブSSH でのアクティビティ0 (無効化)タイムアウトタイムアウトなしタイムアウトなしタイムアウトなしキープアライブがアプレット タイムアウト未満(元のタイムアウト動作をオーバーライド)タイムアウトタイムアウトタイムアウトタイムアウトキープアライブがアプレット タイムアウトを超過0 と同じ(無効化)
- [クライアント アプリケーション]、クライアントを自動的に起動する場合はパスを入力します。
- 有効な SSH サービスにアクセスすると、ここで指定されたクライアント アプリケーション パスが起動します。Windows 構文:C:\[path]\[clientApp].exe [options] <User> <Local IP><First Port>PuTTY の場合:"C:\Program Files\PuTTY\putty.exe" -ssh -l <User> <Local IP> <First Port>Linux 構文:/usr/bin/putty -ssh -l <User> -P <First Port> <Local IP>MacOS の構文:
- IPv4 を使用している場合、以下のコマンドまたは端末アプリを入力します。open -n -a "Terminal" ssh <User>@<Local IP> -p <First Port>
- IPv6 を使用している場合、以下のコマンドまたは端末アプリを入力します。open -n -a "Terminal" ssh <User>@[<Local IP>] -p <First Port>
Privileged Access Managerで置換する変数として、以下のリテラル文字列を使用します。IPv6 を使用している場合は、コマンド ラインの <Local IP> を角かっこで囲む必要があります: [<Local IP>]- <Local IP> は、[ローカル IP]フィールドの IP アドレスで置換されます。ここでローカル IP を繰り返さないでください。
- <First Port> は、[ポート]で定義されている第 1 ローカル ポート(コロンの後)で置換されます。ここで第 1 ポートを繰り返さないでください。
- <User> は、アクセス方法で使用されるアカウント名で置換されます。ここでアカウント名を繰り返さないでください。
- <Second Port> は、[ポート]で定義されている第 2 ローカル ポート(存在する場合)で置換されます。ここで第 2 ポートを繰り返さないでください。
- <Device Name> は、デバイスの名前で置換されます。一部のアプリケーション接続引数では、この変数が使用される場合があります。たとえば、WinSCP では、アプリケーション タイトル バーの「/sessionname=<Device Name>」で、IP アドレスの代わりにデバイス名が表示されます。
- Privileged Access Managerは自動的にパスワードを挿入するため、指定する必要はありません。
- [OK]を選択します。
- 接続したい SSH ターゲットに対応するデバイスを作成します。
- [デバイス]の[デバイス管理]で、[アドレス]フィールドのターゲット IP アドレス(FQDN を使用しない)でデバイスを作成 します。
- [サービス]タブでコントロールを使用して、作成したサービスを[使用可能なサービス]から[Selected Services (選択されたサービス)]に移動します。
- [OK]を選択します。
- [アプリケーション名]としてターゲット アプリケーションを使用し、[ターゲット アカウント]を作成します。[アカウント名]が <User> に代入され、[パスワード]が <Password> に代入されます。詳細については、「ターゲット アカウントの追加」を参照してください。
- ターゲット デバイスをユーザまたはグループにリンクさせるポリシーを作成します。
- [サービス]タブで、作成したサービスを選択します。
- [ターゲット アカウント]列で、[編集]の虫眼鏡アイコンを使用してアカウントを選択します。
ファイル転送の有効化
TCP/UDP SSH サービスを設定して、ネイティブ SFTP または SCP アプリケーションのファイル転送操作を実行できます。これらの機能のいずれかが呼び出されると、セッションの記録がアクティブになりません。
管理者設定
自動呼び出しまたは手動呼び出しのいずれかのオプションを許可するネイティブ SSH サービスを設定できます。
前提条件
SSH サービス経由のファイル転送を使用するには、ターゲット デバイスの SSH サーバが、SFTP サブシステムまたは SCP 実行を提供するように設定されていることを確認します。
自動呼び出し
サービス リンクを選択するときに、Privileged Access Manager サービス コマンドライン仕様(
[クライアント アプリケーション]
フィールド内)を使用したオプションで SSH アプリケーションを自動的に呼び出します。手動の呼び出し
実行時にコマンドを適用するユーザによる SSH アプリケーションの手動呼び出し。アプリケーションを起動するには、[アクセス]ページでサービスのリンクを選択します。
ユーザ エクスペリエンス
自動呼び出し
適切に設定されたクライアント上のユーザが[アクセス]ページの[サービス]リンクを呼び出します。SFTP または SCP クライアントは指定されたスイッチやコマンドで自動的に実行されます。ターゲット デバイスにログインするか自動接続した後、ユーザはネイティブ SFTP または SCP クライアント アプリケーションによって提供されるアップロード機能やダウンロード機能などのファイル転送操作を実行できます。
手動の呼び出し
Privileged Access Manager サービスの
[クライアント アプリケーション]
設定が空の場合、ユーザは手動でローカル SFTP または SCP クライアント アプリケーションを起動し、SFTP または SCP 接続を実行する必要があります。ログ エントリ
セッション ログ エントリは、ファイル転送操作が実行されるごとに書き込まれます。以下の操作は、セッションログに書き込まれます。
- ターゲット デバイスへのファイルのアップロード
- ターゲット デバイスからのファイルのダウンロード
- ターゲット デバイス上のファイルの削除(SFTP のみ)
- ターゲット デバイス上のフォルダの作成(SFTP のみ)
- ターゲット デバイス上のフォルダの削除(SFTP のみ)
サポートされている SFTP および SCP クライアント ソフトウェア
- Windows: WinSCP、FileZilla、Putty
- Mac: FileZilla、OpenSSH (SCP のみ)
- Linux: OpenSSH (SCP のみ)
FileZilla クライアントは、PAM は公式リリース バージョンをサポートし、開発バージョンはサポートしません。
X11 転送およびコマンドの実行
TCP/UDP サービスを設定して、X Window System (X11)転送およびネイティブ SSH アプリケーションのコマンド実行ができます。
これらの機能のいずれかが呼び出されると、セッションの記録がアクティブになりません。
管理者設定
以下のオプションのいずれかを許可するネイティブ SSH サービスを設定することができます。
- Privileged Access Managerサービス コマンドライン仕様([クライアント アプリケーション]フィールド内)を使用してオプションで SSH アプリケーションを自動的に呼び出す
- 実行時にコマンドを適用するユーザによる SSH アプリケーションの手動呼び出し。アプリケーションを呼び出すには、[アクセス]ページでサービスのリンクを選択します。
前提条件
X11 転送を使用するには、ターゲット デバイスに X11 アプリケーションがインストールされていることを確認します。また、SSH サーバが X11 転送を提供するように設定されていることを確認します。ユーザ ワークステーションでは、出力を表示するために X11 サーバを実行する必要があります。
UNIX、Linux、およびその他の UNIX 系のシステムで使用すると、SSH アクセス方法では
socat
リレー ユーティリティが必要になります。自動呼び出し
X11 転送でクライアント アプリケーションを自動的に呼び出すように SSH セッションを設定するには、X11 オプションを設定します。
手動呼び出し
TCP/UDP サービスが
クライアント アプリケーション
を指定せずに SSH を使用するように設定されている場合、ユーザはインストール済みの任意のアプリケーション(PuTTY など)を手動で呼び出すことができます。サービスは、X11 転送やそのアプリケーションに使用可能なコマンド実行オプションを使用できます。ユーザ エクスペリエンス
自動呼び出し
適切に設定されたクライアント上のユーザが[アクセス]ページの[サービス]リンクを呼び出します。SSH クライアント(PuTTY)は指定されたスイッチやコマンドで自動的に実行されます。
- ログインまたはターゲットへの自動接続の後、ユーザはターゲット上の X11 アプリケーションをすぐに実行できます。アプリケーション出力はワークステーションに転送されます。
- コマンドが指定する場合、コマンドが実行を完了するとセッションはすぐに閉じます。
手動呼び出し
Privileged Access Manager
サービスの[クライアント アプリケーション]
設定が空の場合、ユーザは手動でローカル SSH クライアント アプリケーションを起動し、SSH 接続を実行する必要があります。ユーザはアプリケーション X11 転送またはコマンド実行の機能を使用します。たとえば、Windows ワークステーションで PuTTY を起動した後、 PuTTY 接続
、SSH
、X11
、 X11 転送の有効
、または接続
、SSH
、リモート
オプションを使用します。コマンドを指定する場合(後者のオプションを使用)、コマンドが実行を完了するとセッションはすぐに閉じます。ログ エントリ
X11 転送が発生するか、この機能に対するコマンドが実行されるたびに、セッション ログ エントリが書き込まれます。
公開鍵認証の有効化
ネイティブ SSH アプリケーション用の公開鍵認証方式を使用して、ターゲット デバイスに接続するように TCP/UDP サービスを設定できます。
管理者設定
前提条件
ネイティブ SSH アプリケーション: 公開鍵認証を使用するには、ネイティブ SSH アプリケーションで
公開鍵認証
とエージェント転送
が有効であることを確認します。 ターゲット デバイス: SSH サーバが、認証済みキー ファイル($HOME/ ssh/authorized_key)または同等のファイルでユーザの公開鍵を認証するように設定されていることを確認します。
ユーザの公開鍵を使用して認証する場合は、Privileged Access Manager のポリシーで自動ログインが設定されていないことを確認します。
以下のオプションのいずれかを許可するネイティブ SSH サービスを設定することができます。
自動呼び出し
Privileged Access Manager サービス コマンドライン仕様([クライアント アプリケーション]フィールド内)を使用してオプションで SSH アプリケーションを自動的に呼び出します。
エージェント転送でクライアント アプリケーションを自動的に起動するように SSH セッションを設定するには、エージェント転送オプションを設定します。
PuTTY の場合: -A オプション。例: C:\apps\putty72\putty.exe -ssh -A <Local IP> <First Port>
手動の呼び出し
エージェント転送を有効にすることにより、SSH アプリケーションを手動で起動します。アプリケーションを起動するには、[アクセス]ページでサービスのリンクを選択します。次に、ネイティブ SSH アプリケーションを起動します。
TCP/UDP サービスが
クライアント アプリケーション
を指定せずに SSH を使用するように設定されている場合、ユーザは PuTTY などのインストールされているすべてのアプリケーションで公開鍵認証およびエージェント転送を手動で指定して、接続を開くことができます。サービスは、そのアプリケーションで使用可能な公開鍵認証およびエージェント転送オプションを使用できます。ユーザ エクスペリエンス
自動呼び出し
適切に設定されたクライアント上のユーザが[アクセス]ページの[サービス]リンクを呼び出します。SSH クライアントは指定されたスイッチで自動的に実行されます。ユーザは公開鍵認証方式を使用して、ターゲットにただちに接続できます。
手動呼び出し
Privileged Access Manager サービスの
[クライアント アプリケーション]
設定が空の場合、ユーザは手動でローカル SSH クライアント アプリケーションを起動し、SSH 接続を実行する必要があります。ユーザは、そのアプリケーションの公開鍵認証およびエージェント転送を使用します。たとえば、Windows ワークステーション上で PuTTY を起動した後に、PuTTY 秘密鍵ファイルを使用して認証を行い
、エージェント転送設定を許可します
。ログ エントリ
この機能を有効にせずに公開鍵認証を実行しようとすると、セッション ログ エントリが書き込まれます。
- 公開鍵認証は SSH TCP サービス経由では許可されていません。システム管理者にお問い合わせください。
- SSH TCP サービス経由で公開鍵を使用して接続するには、エージェント転送が必要です。