HOST クラス

HOST クラスの各レコードは、IPv4 または IPv6 で接続されたローカル コンピュータに対するホストのアクセス権を定義します。
capamsc141
HOST クラスの各レコードは、IPv4 または IPv6 で接続されたローカル コンピュータに対するホストのアクセス権を定義します。
Privileged Access Manager
は、HOST クラスに追加するホスト名のアドレスを解決します。つまり、これらの名前はオペレーティング システムの hosts ファイルで指定されているか、NIS または DNS で定義されている必要があります。
各 HOST レコードの INETACL プロパティは、ローカル ホストがそのホストに提供できるサービスを定義します。
Privileged Access Manager
では、ホスト名に別名を使用できます。ただし、別名を表すレコードが権限チェックに使用されることはありません。ホストとの接続を保護するには、
Privileged Access Manager
のホストの正規名を把握している必要があります。
Privileged Access Manager
は 1 つの IP アドレスでホスト名を解決します。1 つのホスト名に複数の IP アドレスが設定されている場合、以下のクラスのいずれかを使用します。
  • GHOST
  • HOSTNET
  • HOSTNP
HOST クラス レコードのキーは、ホストの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、「
情報のみ
」と記載されます。
  • COMMENT
    レコードに含める追加情報を定義します。
    Privileged Access Manager
    は、この情報を許可に使用しません。
    制限:
    255 文字。
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIME
    アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
    このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。
    日時の制約の単位は 1 分です。
  • GROUPS
    リソース レコードが属する GHOST クラスまたは CONTAINER クラスのレコードのリストです。
    HOST クラスのレコードのこのプロパティを変更するには、適切な CONTAINER または GHOST クラスのレコードの MEMBERS プロパティを変更する必要があります。
    このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem- パラメータを使用します。
  • INETACL
    ローカル ホストからクライアント ホストのグループに提供可能なサービス、および各サービスのアクセス タイプを定義します。アクセス制御リストの各要素には、以下の情報が含まれます。
    • Services reference
      サービス(ポート番号または名前)への参照です。すべてのサービスを指定する場合は、サービス参照としてアスタリスク(*)を入力します。
      また、
      Privileged Access Manager
      では、/etc/rpc ファイル(UNIX の場合)または \etc\rpc ファイル(Windows の場合)に指定された動的なポート名もサポートしています。
    • アクセス
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    INETACL プロパティでアクセサおよびそのアクセス タイプを変更するには、authorize[-] コマンドで、access(
    type
    -
    of
    -
    access
    )、service、および stationName パラメータを使用します。
  • INSERVRNGE
    ローカル ホストがクライアント ホストのグループに提供するサービスの範囲を指定します。
    INETACL プロパティと同様の機能を実行します。
    INSERVRANGE プロパティのアクセサおよびアクセス タイプを変更するには、authorize[-] コマンドで service(
    serviceRange
    ) パラメータを使用します 。
  • OWNER
    レコードを所有するユーザまたはグループを定義します。
  • RAUDIT
    Privileged Access Manager
     が監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前は
    Resource
    AUDIT
    の短縮形です。有効な値は以下のとおりです。
    • すべて
      すべてのアクセス要求
    • success
      許可されたアクセス要求
    • failure
      拒否されたアクセス要求(デフォルト)
    • none
      アクセス要求を記録しない
    Privileged Access Manager
    では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたか、については記録されません。
    監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
  • UPDATE_TIME
    (情報)レコードが最後に変更された日時を表示します。
  • UPDATE_WHO
    (情報)更新を実行した管理者を表示します。
  • WARNING
    警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。
例:
ホスト名パターンを使用して、制限されたリモート ホストから
Privileged Access Manager
 エンドポイントへの Telnet を使用した受信接続を防止します。
手順 1:
 /etc/hosts にリモート ホスト(My_Remote_Host.example.com)を追加します。コマンド プロンプトで以下のコマンドを実行します。
vi /etc/hosts
手順 2:
 ネットワーク インターセプトの場合、ルックアヘッド データベース「ladb」はリモート ホストのアドレスで適切に入力する必要があります。この動作を確認するには、コマンド プロンプトで以下のコマンドを実行します。
./sebuildla -h
手順 3:
コマンド プロンプトで以下のコマンドを実行し、リモート ホスト(My_Remote_Host.example.com)が /etc/hosts に追加されていることを確認します。
./sebuildla -H
手順 4:
 受信 Telnet 接続を防止するリモート ホスト(My_Remote_Host.example.com)を定義します。
手順 5:
 リモート ホスト(My_Remote_Host.example.com)からの Telnet を使用した受信接続を防止するルールを設定します。
PAMSC> authorize HOST My_Remote_Host.example.com service(telnet) access(none)
手順 6:
 Telnet を使用して、リモート ホストから
Privileged Access Manager
エンドポイントへの接続を試行します。接続に失敗しますが、その他の接続には影響がありません。
リモート ホスト(My_Remote_Host.example.com)からのすべてのタイプの接続を拒否するには、以下のルールを設定します。
PAMSC> authorize HOST My_Remote_Host.example.com service(*) access(none)