CONNECT クラス

CONNECT クラスの各レコードは、ローカル ホストからの接続に TCP over IPv4 を使用できるリモート ホストを定義します。
cminder12901jp
CONNECT クラスの各レコードは、ローカル ホストからの接続に TCP over IPv4 を使用できるリモート ホストを定義します。
注:
IP 通信用の
Privileged Identity Manager
アクセス ルールは IPv4 にのみ適用されます。
Privileged Identity Manager
は IPv6 によるアクセスを管理しません。
注:
CONNECT クラスがアクセスの基準として使用されている場合、TCP クラスは事実上アクティブにできません。 接続を保護するには、TCP クラスと CONECT クラスのどちらかを使用します。両方は使用しません。
CONNECT クラスのレコードのキーは、リモート ホストの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「
情報のみ
」と記載されます。
  • ACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセス タイプを定義します。
    アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    ACL を変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
  • CALACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。
    カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • Calendar
      Unicenter TNG のカレンダへの参照を定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    カレンダが有効な場合のみアクセスが許可されます。 その他の場合はすべてのアクセスが拒否されます。
    カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
  • CALENDAR
    Privileged Identity Manager
    のユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。  
    Privileged Identity Manager
    により、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
  • CATEGORY
    ユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
  • COMMENT
    レコードに含める追加情報を定義します。  
    Privileged Identity Manager
    は、この情報を許可に使用しません。
    制限:
    255 文字
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIME
    アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
    このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。
    日時の制約の単位は 1 分です。
  • GROUPS
    リソース レコードが属する CONTAINER クラスのレコードのリストを定義します。
    クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。
    このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem- パラメータを使用します。
  • NACL
    リソースの
    NACL
    プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • Access
      アクセサに対して拒否されるアクセス タイプを定義します。
      このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
  • NOTIFY
    リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。  
    Privileged Identity Manager
    では、指定したユーザ宛に監査レコードを電子メールで送信できます。
    制限:
    30 文字。
  • OWNER
    レコードを所有するユーザまたはグループを定義します。
  • PACL
    アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
    • Accessor
    • アクセサを定義します。
    • Program
      指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
      注:
      PACL のリソースの指定にはワイルドカード文字を使用できます。
    プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(
    pgm
    ) パラメータを使用します。 アクセサを PACL から削除するには、authorize- コマンドを使用します。
  • RAUDIT
    Privileged Identity Manager
    が監査ログに記録するアクセス イベントのタイプを定義します。 RAUDIT という名前は
    R
    esource
    AUDIT
    の短縮形です。 有効な値は以下のとおりです。
    • all
      すべてのアクセス要求
    • success
      許可されたアクセス要求
    • failure
      拒否されたアクセス要求(デフォルト)
    • none
      アクセス要求を記録しない
    Privileged Identity Manager
    では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。
    監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
  • SECLABEL
    ユーザまたはリソースのセキュリティ ラベルを定義します。
    注:
    SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。
  • SECLEVEL
    アクセサまたはリソースのセキュリティ レベルを定義します。
    注:
    このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。
  • UACC
    リソースに対するデフォルトのアクセス権限を定義します。 これは、
    Privileged Identity Manager
    に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。
    このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
  • UPDATE_TIME
    (情報)レコードが最後に変更された日時を表示します。
  • UPDATE_WHO
    (情報)更新を実行した管理者を表示します。
  • WARNING
    警告モードを有効にするかどうかを指定します。 リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。
例: 
Privileged Identity Manager
 エンドポイントからリモート ホストへの外部接続の制御
手順 1:
 /etc/hosts にリモート ホスト(My_Remote_Host.example.com)を追加します。 コマンド プロンプトで以下のコマンドを実行します。
vi /etc/hosts
手順 2:
 ネットワーク インターセプトの場合、ルックアヘッド データベース「ladb」はリモート ホストのアドレスで適切に入力する必要があります。 この動作を確認するには、コマンド プロンプトで以下のコマンドを実行します。
./sebuildla -h
手順 3:
コマンド プロンプトで以下のコマンドを実行し、リモート ホスト(My_Remote_Host.example.com)が /etc/hosts に追加されていることを確認します。
./sebuildla -H
手順 4:
 特定のユーザによる
Privileged Identity Manager
エンドポイントから指定されたリモート ホストへの Telnet 接続を防止するルールを定義します。
AC> authorize CONNECT My_Remote_Host.ca.com uid(john) access(none)
リモート ホストへのすべてのユーザ アクセスを拒否するには、uid に '*' を使用します。
AC> authorize CONNECT My_Remote_Host.ca.com uid(*) access(none)
ユーザが接続を許可されているリモート ホストのプログラムを指定することもできます。
AC> authorize CONNECT My_Remote_Host.ca.com uid(john) via(pgm(/usr/bin/telnet)) access(r)
手順 5:
 John ユーザとしてログインし、Telnet を使用してリモート ホストへの接続を試行します。 接続に失敗しますが、その他の接続には影響がありません。