CONNECT クラス
CONNECT クラスの各レコードは、ローカル ホストからの接続に TCP over IPv4 または IPv6 を使用できるリモート ホストを定義します。
capamsc141
CONNECT クラスの各レコードは、ローカル ホストからの接続に TCP over IPv4 または IPv6 を使用できるリモート ホストを定義します。
CONNECT クラスがアクセスの基準として使用されている場合、TCP クラスは事実上アクティブにできません。接続を保護するには、TCP クラスまたは CONNECT クラスのどちらかを使用します。両方は使用しません。
CONNECT クラスのレコードのキーは、リモート ホストの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、
「情報のみ」
と記載されます。- ACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。
- CALACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- カレンダUnicenter TNG のカレンダへの参照を定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。
カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。 - CALENDARPrivileged Access Managerのユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。Privileged Access Managerにより、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
- CATEGORYユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
- COMMENTレコードに含める追加情報を定義します。Privileged Access Managerは、この情報を許可に使用しません。制限:255 文字。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- GROUPSリソース レコードが属する CONTAINER クラスのレコードのリストを定義します。クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem- パラメータを使用します。
- NACLリソースのNACLプロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。
- Accessorアクセサを定義します。
- アクセスアクセサに対して拒否されるアクセス タイプを定義します。このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
- NOTIFYリソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。Privileged Access Managerでは、指定したユーザに監査レコードを電子メールで送信できます。制限:30 文字。
- OWNERレコードを所有するユーザまたはグループを定義します。
- PACLアクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
- Accessor
- アクセサを定義します。
- プログラム指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。PACL のリソースの指定にはワイルドカード文字を使用できます。
pgm) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。 - RAUDITPrivileged Access Managerが監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前はResourceAUDITの短縮形です。有効な値は以下のとおりです。
- すべてすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
Privileged Access Managerでは、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたか、については記録されません。監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。 - SECLABELユーザまたはリソースのセキュリティ ラベルを定義します。SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。
- SECLEVELアクセサまたはリソースのセキュリティ レベルを定義します。注:このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。
- UACCリソースに対するデフォルトのアクセス権限を定義します。これは、Privileged Access Managerに定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
- UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。
- WARNING警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。
例:
Privileged Access Manager
エンドポイントからリモート ホストへの外部接続の制御手順 1:
/etc/hosts にリモート ホスト(My_Remote_Host.example.com)を追加します。コマンド プロンプトで以下のコマンドを実行します。vi /etc/hosts
手順 2:
ネットワーク インターセプトの場合、ルックアヘッド データベース「ladb」はリモート ホストのアドレスで適切に入力する必要があります。この動作を確認するには、コマンド プロンプトで以下のコマンドを実行します。./sebuildla -h
手順 3:
コマンド プロンプトで以下のコマンドを実行し、リモート ホスト(My_Remote_Host.example.com)が /etc/hosts に追加されていることを確認します。./sebuildla -H
手順 4:
特定のユーザによる Privileged Access Manager
エンドポイントから指定されたリモート ホストへの Telnet 接続を防止するルールを定義します。PAMSC> authorize CONNECT My_Remote_Host.ca.com uid(john) access(none)
リモート ホストへのすべてのユーザ アクセスを拒否するには、uid に '*' を使用します。
PAMSC> authorize CONNECT My_Remote_Host.ca.com uid(*) access(none)
ユーザが接続を許可されているリモート ホストのプログラムを指定することもできます。
PAMSC> authorize CONNECT My_Remote_Host.ca.com uid(john) via(pgm(/usr/bin/telnet)) access(r)
手順 5:
John ユーザとしてログインし、Telnet を使用してリモート ホストへの接続を試行します。接続に失敗しますが、その他の接続には影響がありません。