HOST クラス
HOST クラスの各レコードは、IPv4 または IPv6 で接続されたローカル コンピュータに対するホストのアクセス権を定義します。
capamsc141
HOST クラスの各レコードは、IPv4 または IPv6 で接続されたローカル コンピュータに対するホストのアクセス権を定義します。
Privileged Access Manager
は、HOST クラスに追加するホスト名のアドレスを解決します。つまり、これらの名前はオペレーティング システムの hosts ファイルで指定されているか、NIS または DNS で定義されている必要があります。各 HOST レコードの INETACL プロパティは、ローカル ホストがそのホストに提供できるサービスを定義します。
Privileged Access Manager
では、ホスト名に別名を使用できます。ただし、別名を表すレコードが権限チェックに使用されることはありません。ホストとの接続を保護するには、Privileged Access Manager
のホストの正規名を把握している必要があります。Privileged Access Manager
は 1 つの IP アドレスでホスト名を解決します。1 つのホスト名に複数の IP アドレスが設定されている場合、以下のクラスのいずれかを使用します。- GHOST
- HOSTNET
- HOSTNP
HOST クラス レコードのキーは、ホストの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、「
情報のみ
」と記載されます。- COMMENTレコードに含める追加情報を定義します。Privileged Access Managerは、この情報を許可に使用しません。制限:255 文字。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- GROUPSリソース レコードが属する GHOST クラスまたは CONTAINER クラスのレコードのリストです。HOST クラスのレコードのこのプロパティを変更するには、適切な CONTAINER または GHOST クラスのレコードの MEMBERS プロパティを変更する必要があります。このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem- パラメータを使用します。
- INETACLローカル ホストからクライアント ホストのグループに提供可能なサービス、および各サービスのアクセス タイプを定義します。アクセス制御リストの各要素には、以下の情報が含まれます。
- Services referenceサービス(ポート番号または名前)への参照です。すべてのサービスを指定する場合は、サービス参照としてアスタリスク(*)を入力します。また、Privileged Access Managerでは、/etc/rpc ファイル(UNIX の場合)または \etc\rpc ファイル(Windows の場合)に指定された動的なポート名もサポートしています。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。
type-of-access)、service、および stationName パラメータを使用します。 - INSERVRNGEローカル ホストがクライアント ホストのグループに提供するサービスの範囲を指定します。INETACL プロパティと同様の機能を実行します。INSERVRANGE プロパティのアクセサおよびアクセス タイプを変更するには、authorize[-] コマンドで service(serviceRange) パラメータを使用します 。
- OWNERレコードを所有するユーザまたはグループを定義します。
- RAUDITPrivileged Access Managerが監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前はResourceAUDITの短縮形です。有効な値は以下のとおりです。
- すべてすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
Privileged Access Managerでは、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたか、については記録されません。監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。 - UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。
- WARNING警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。
例:
ホスト名パターンを使用して、制限されたリモート ホストから Privileged Access Manager
エンドポイントへの Telnet を使用した受信接続を防止します。手順 1:
/etc/hosts にリモート ホスト(My_Remote_Host.example.com)を追加します。コマンド プロンプトで以下のコマンドを実行します。vi /etc/hosts
手順 2:
ネットワーク インターセプトの場合、ルックアヘッド データベース「ladb」はリモート ホストのアドレスで適切に入力する必要があります。この動作を確認するには、コマンド プロンプトで以下のコマンドを実行します。./sebuildla -h
手順 3:
コマンド プロンプトで以下のコマンドを実行し、リモート ホスト(My_Remote_Host.example.com)が /etc/hosts に追加されていることを確認します。./sebuildla -H
手順 4:
受信 Telnet 接続を防止するリモート ホスト(My_Remote_Host.example.com)を定義します。PAMSC> nr HOST My_Remote_Host.example.com
手順 5:
リモート ホスト(My_Remote_Host.example.com)からの Telnet を使用した受信接続を防止するルールを設定します。PAMSC> authorize HOST My_Remote_Host.example.com service(telnet) access(none)
手順 6:
Telnet を使用して、リモート ホストから Privileged Access Manager
エンドポイントへの接続を試行します。接続に失敗しますが、その他の接続には影響がありません。リモート ホスト(My_Remote_Host.example.com)からのすべてのタイプの接続を拒否するには、以下のルールを設定します。
PAMSC> authorize HOST My_Remote_Host.example.com service(*) access(none)