TCP クラス

TCP クラスの各レコードは、メール、FTP、http などの TCP/IP サービスを定義します。TCP クラスが認証に使用されている場合、TCP リソースがアクセスを許可する場合のみ、ホストはローカル ホストからサービスを取得することができます。また、ローカル ホスト上のユーザまたはグループは、TCP リソースがアクセスを許可する場合のみ、TCP/IP サービスを使用してリモート ホストにアクセスすることができます。
capamsc141
TCP クラスの各レコードは、メール、FTP、http などの TCP/IP サービスを定義します。TCP クラスが認証に使用されている場合、TCP リソースがアクセスを許可する場合のみ、ホストはローカル ホストからサービスを取得することができます。また、ローカル ホスト上のユーザまたはグループは、TCP リソースがアクセスを許可する場合のみ、TCP/IP サービスを使用してリモート ホストにアクセスすることができます。
TCP レコード内の ACL には、ホストのアクセス タイプ(HOST)、ホストのグループ(GHOST)、ネットワーク(HOSTNET)、およびホストのセット(HOSTNP)を指定することができます。
TCP レコード内の CACL には、ホストのアクセス タイプ(HOST)、ホストのグループ(GHOST)、ネットワーク(HOSTNET)、およびホストのセット(HOSTNP)を指定することができるほか、ユーザやグループのアクセス タイプも指定することができます。
ホスト名だけではなく、IPv4 または IPv6 アドレスにも基づいてルールを設定することができます。つまり、ドメイン名変更に対応することができます。
TCPレコードのキーは、TCP/IPサービスの名前です。TCP クラスは、送信サービスおよび受信サービスの両方を制御します。
以下の定義では、TCP クラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、「
情報のみ
」と記載されます。
  • ACL
    ローカル ホストによるサービスの提供先ホストと許可されるアクセス タイプを定義します。
    アクセス制御リストの各要素には、以下の情報が含まれます。
    • ホスト参照
      HOST レコード、GHOST レコード、HOSTNET レコード、または HOSTNP レコードを定義します。
    • 許可されるアクセス
      参照ホストに与えられる、リソースに対するアクセス権限です。有効なアクセス権限は以下のとおりです。
      • none
        - どの操作の実行もホストに許可しません。
      • read
        - ローカル ホストからの TCP サービスの取得をホストに許可します。
    このプロパティを変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
  • CACL
    リソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)、およびアクセサがアクセスできるホストのリストを定義します。条件付きアクセス制御リスト(CACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • ホスト参照
      HOST レコード、GHOST レコード、HOSTNET レコード、または HOSTNP レコードを定義します。
    • アクセス
      - アクセサに与えられる、リソースに対するアクセス権限を定義します。有効なアクセス タイプは以下のとおりです。
      • write
        - このサービスを使用したホストまたはホストのグループへのアクセスをアクセサに許可します。
      • none
        - このサービスを使用したホストまたはホストのグループへのアクセスをアクセサに許可しません。
    このプロパティを変更するには、authorize コマンドまたは authorize- コマンドを使用します。
  • COMMENT
    レコードに含める追加情報を定義します。
    Privileged Access Manager
    は、この情報を許可に使用しません。
    制限:
    255 文字。
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIME
    アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
    このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。
    日時の制約の単位は 1 分です。
  • GROUPS
    リソース レコードが属する CONTAINER クラスのレコードのリストを定義します。
    クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。
    このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem- パラメータを使用します。
  • NACL
    リソースの
    NACL
    プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • アクセス
      アクセサに対して拒否されるアクセス タイプを定義します。
      このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
  • NOTIFY
    リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。
    Privileged Access Manager
    では、指定したユーザに監査レコードを電子メールで送信できます。
    制限:
    30 文字。
  • OWNER
    レコードを所有するユーザまたはグループを定義します。
  • RAUDIT
    Privileged Access Manager
     が監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前は
    Resource
    AUDIT
    の短縮形です。有効な値は以下のとおりです。
    • すべて
      すべてのアクセス要求
    • success
      許可されたアクセス要求
    • failure
      拒否されたアクセス要求(デフォルト)
    • なし
    • アクセス要求はありません。
      Privileged Access Manager
      では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。
    監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
  • UACC
    リソースに対するデフォルトのアクセス権限を定義します。 これは、
    Privileged Access Manager
    に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。
    このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
  • UPDATE_TIME
    (情報)レコードが最後に変更された日時を表示します。
  • UPDATE_WHO
    (情報)更新を実行した管理者を表示します。
  • WARNING
    警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。
例 1:
Telnet を使用したリモート ホストからの受信接続を防止します。
手順 1:
HOST および CONNECT クラスを無効にし、TCP クラスを有効にします。
PAMSC> so class-(HOST)
PAMSC> so class-(CONNECT)
PAMSC> so class+(TCP)
手順 2:
/etc/hosts にリモート ホスト(My_Remote_Host.example.com)を追加します。コマンド プロンプトで以下のコマンドを実行します。
vi /etc/hosts
手順 3:
 ネットワーク インターセプトの場合、ルックアヘッド データベース「ladb」はリモート ホストのアドレスで適切に入力する必要があります。この動作を確認するには、コマンド プロンプトで以下のコマンドを実行します。
./sebuildla -h
手順 4:
コマンド プロンプトで以下のコマンドを実行して、リモート ホスト(My_Remote_Host.example.com)が /etc/hosts に追加されていることを確認します。
./sebuildla -H
手順 5:
 受信 Telnet 接続を防止する接続元リモート ホスト(My_Remote_Host.example.com)を定義します。
手順 6:
送信 Telnet 接続を許可する Telnet サービスの TCP リソースを定義します。
PAMSC> nr TCP telnet owner(nobody) defaccess(w)
手順 7:
Telnet を使用したリモート ホスト(My_Remote_Host.example.com)からの受信接続を防止するルールを設定します。
PAMSC> authorize TCP telnet HOST(My_Remote_Host.example.com) access(n)
手順 8:
Telnet を使用してリモート ホストから
Privileged Access Manager
エンドポイントへの接続を試行します。接続に失敗しますが、その他の接続には影響がありません。
例 2:
ユーザが Telnet サービスを使用してリモート ホストにアクセスすることを防止します。
手順 1:
HOST および CONNECT クラスを無効にし、TCP クラスを有効にします。
PAMSC> so class-(HOST)
PAMSC> so class-(CONNECT)
PAMSC> so class+(TCP)
手順 2:
コマンド プロンプトで以下のコマンドを実行し、すべてのリモート ホストを /etc/hosts に追加します。
vi /etc/hosts
手順 3:
 ネットワーク インターセプトの場合、ルックアヘッド データベース「ladb」はリモート ホストのアドレスで適切に入力する必要があります。この動作を確認するには、コマンド プロンプトで以下のコマンドを実行します。
./sebuildla -h
手順 4:
すべてのリモート ホストが対象となるホスト名パターンを作成することによって、リモート ホストをリソースとして定義します。
PAMSC> nr HOSTNP *
手順 5:
ユーザ(john)によるすべてのリモート ホストへのアクセスを拒否するルールを設定します。
PAMSC> auth TCP telnet uid(john) hostnp(*) access(n)
手順 6:
john としてログインし、Telnet を使用して任意のリモート ホストへのアクセスを試行します。接続は失敗します。