SSH デバイス接続情報
目次
cminder12902jp
目次
SSH デバイス タイプを使用して、UNIX 特権アカウントを管理できます。
重要:
SAM SSH エンドポイントを設定する前に、エンドポイント上のトンネル化されたクリア テキスト パスワードを無効にしてから、エンドポイントを設定します。このタイプのデバイスを作成する場合、以下の情報を指定して、
Privileged Identity Manager
エンタープライズ コンソールがデバイスに接続できるようにします。- ユーザ ログインエンドポイントの管理ユーザの名前を定義します。 SAM は、エンドポイントへの接続、アカウントの検出、パスワードの変更など、エンドポイントに対する管理タスクの実行にこのアカウントを使用します。以下の点に注意してください。[詳細]オプションを指定すると、SAM は管理タスクの実行に[ユーザ ログイン]アカウントを使用しません。 代わりに、SAM は特定の特権アカウントを使用して、エンドポイントでの管理タスクを実行します。 操作管理者アカウントを指定すると、SAM は、そのアカウントを使用してエンドポイント上で管理タスクを実行します。
- パスワードエンドポイントの管理ユーザのパスワードを定義します。
- Hostエンドポイントのホスト名を定義します。
- Telnet 使用SSH デバイスへの接続に、SSH ではなく Telnet を使用するように指定します。
- 操作管理者ユーザ ログイン(オプション)エンドポイントの操作管理ユーザの名前を定義します。 SAM は、このアカウントを使用してエンドポイントに対する管理タスクを実行します。たとえば、特権アカウントのパスワードを検出し、変更します。 操作管理者ユーザを指定しない場合、SAM はユーザ ログイン アカウントを使用して、エンドポイントに対する管理タスクを実行します。Check Point ファイアウォールを使用する SSH エンドポイントに対して操作管理者ユーザを指定する場合、エキスパート ユーザを指定します。 ただし、SAM を使用してエンドポイント上のエキスパート アカウントのパスワードを変更することはできません。 この制限は、エキスパート アカウントが SAM 内の接続解除されたアカウントである必要があることを意味します。
- 操作管理者パスワード(オプション)操作管理者ユーザのパスワードを定義します。
- 設定ファイルSSH デバイスの XML 設定ファイルの名前を指定します。 ニーズに合わせて XML ファイルをカスタマイズできます。注:このフィールドの値を指定しない場合、Privileged Identity Managerは ssh_connector_conf.xml ファイルを使用します。
- 詳細エンドポイントへの接続、アカウントの検出、パスワードの変更など、エンドポイントに対する管理タスクの実行に特権管理アカウントを使用するかどうかを指定します。 たとえば、複数のエンドポイントに対して管理タスクを実行できる特権ドメイン アカウントを指定できます。このオプションを指定すると、SAM は管理タスクの実行に[ユーザ ログイン]アカウントを使用しません。
- 排他的セッションの無効化このエンドポイントでの排他的セッションのチェックを無効にするかどうかを指定します。 選択されている場合、SAM はエンドポイント上で開いているセッションをチェックしません。
- 排他的 Break Glass を拒否排他的アカウントに対する Break Glass チェックアウト アクションをブロックするように指定します。
SAM で UNIX エンドポイントに接続する方法
エンドポイントを作成する際、SAM でのエンドポイントへの接続、特権アカウントのパスワードの検出や変更などの管理者タスクの実行に使用する管理者アカウントを指定します。 UNIX アカウントでは、最も適切な管理者アカウントは root です。 SAM は SSH を使用して UNIX エンドポイントに接続しますが、組織によってはユーザやアプリケーションが root ユーザとして SSH 接続を行うのを禁じている場合があります。
この問題を解決するために、SSH Device エンドポイントを作成する際に、接続アカウントと操作管理者アカウントの両方を指定できます。 (SAM では UNIX エンドポイント用のエンドポイント タイプとして SSH Device が使用されます)。2 つのアカウントを使用することにより、さらにユーザに、操作管理者アカウントより少ない権限しか持たない接続アカウントも使用できるようになります。
以下のプロセスでは、SAM がこれらのアカウントを使用して SSH Device エンドポイントに接続する方法について説明します。
- SAM は、接続アカウントのクレデンシャルを使用してエンドポイントに接続します。
- SAM では、そのアカウントへの su の実行に、操作管理者アカウントのクレデンシャルが使用されます。たとえば、操作管理者アカウントが root の場合、SAM では、su を使用した root アカウントの使用に、root のクレデンシャルが使用されます。
- SAM では、操作管理者として管理タスクが実行されます。たとえば、操作管理者アカウントが root の場合、SAM では、root として管理タスクが実行されます。
SSH Device エンドポイント上の特権アカウントを表示すると、接続アカウントおよび操作管理者アカウントの両方がエンドポイント管理者としてリストされます。
カスタマイズした SSH Device エンドポイントを作成する方法
特権アカウントを検出するために SAM が使用するデフォルト設定が SSH Device エンドポイントに適用されない場合は、カスタマイズした SSH Device エンドポイントを作成できます。
カスタマイズした SSH Device エンドポイントを作成するには、以下の手順に従います。
- SSH Device XML ファイルをカスタマイズします。
- Privileged Identity Managerエンタープライズ コンソールで SSH Device エンドポイントを作成します。 作成した XML ファイルの名前を[環境設定ファイル]フィールドに入力します。SSH Device エンドポイントがカスタム設定を使用して作成されます。
- 作成したエンドポイントで特権アカウント検出ウィザードを実行します。Privileged Identity Managerエンタープライズ コンソールは、XML ファイルに定義したパラメータを使用して、エンドポイントの特権アカウントを検索します。
- JCS コネクタ ログ ファイル(jcs_stdout.log)および JCS コネクタ エラー ファイル(jcs_sterr.log)を確認します。 ファイルは以下の場所にあります。ACServerInstallDir/Connector Server/logs
- 必要な場合は、XML ファイルを修正してログ ファイルに表示されるエラーを解決します。
注:
SSH デバイス XML ファイルの形式の詳細については、「リファレンス ガイド」を参照してください。SSH デバイス XML ファイルのカスタマイズ
SSH ネットワークおよびデバイス XML ファイルは、SAM が SSH デバイスまたはネットワーク デバイス エンドポイントに接続し、ユーザ アカウントを検出し、エンドポイント上の特権アカウント パスワードを変更する方法を定義します。
Privileged Identity Manager
には複数の SSH デバイスおよびネットワーク デバイス XML ファイルが用意されています。 これらのファイルには、SSH デバイスおよびネットワーク デバイス エンドポイントのさまざまなタイプに接続するために SAM が使用するデフォルト設定が含まれています。SSH デバイスまたはネットワーク エンドポイントが別の方法を使用してエンドポイント上の特権アカウント パスワードを変更する場合は、デバイス XML ファイルをカスタマイズしてデフォルト以外の設定を指定します。 たとえば、SSH Device XML ファイルをカスタマイズして、標準以外の方法でユーザ アカウントを検出して特権アカウント パスワードを変更するエンドポイントをルータ、スイッチ、またはファイアウォール用に作成します。
注:
エンタープライズ管理サーバおよび配布サーバはそれぞれ、エンドポイントに接続するためにローカルの Device XML ファイルを使用します。 エンタープライズ管理サーバ上の Device XML ファイルをカスタマイズする場合、自分の Privileged Identity Manager
環境内のすべての配布サーバの Device XML ファイルも更新されていることを確認してください。以下の手順に従います。
- Privileged Identity Managerエンタープライズ コンソール上で、カスタマイズする XML ファイルを探します。 これらのファイルは、以下のディレクトリにあります。
- SSH デバイスACServerInstallDir/conf/override/sshdyn
- ネットワーク デバイスACServerInstallDir/conf/override/netdevicedyn
- カスタマイズするファイルをコピーし、新しいファイルを編集用に開きます。注:新しいファイルは同じディレクトリに保存します。
- 自社の要件に合わせてファイル内のパラメータを変更します。ファイル内の各 <item> 要素は、特定のコマンドのパラメータを定義します。 SAM は、これらのコマンドを使用してエンドポイント上のユーザを取得し、パスワードを変更します。 <item> 要素を変更して、SAM がエンドポイントに送信するコマンドを定義します。 また、エンドポイントに接続するために SAM が使用する設定を変更することもできます。
- ファイルを保存して閉じます。これで、デバイス XML ファイルがエンドポイント用にカスタマイズされました。
注:
SSH デバイス XML ファイルの形式の詳細については、「リファレンス ガイド」を参照してください。注:
中国語、日本語、または韓国語を含むファイルをカスタマイズしている場合は、UTF-8 エンコーディングを使用してファイルを保存する必要があります。例: SSH Device XML ファイルで SAM コマンドを定義する方法
この例では、SSH Device XML ファイルのセクションで SAM が SSH Device エンドポイント上で実行するコマンドを定義する方法について説明します。 このセクションの各 <item> 要素は、特定のアクションのパラメータを定義します。 すべての <item> 要素が一体となって、SAM がエンドポイントと対話する方法を定義する 1 つのスクリプトが作成されます。
各 <item> 要素は、sCommand パラメータで始まります。 sCommand パラメータは、SAM がエンドポイント上で実行するコマンドを定義します。 sCommand パラメータの後のパラメータは、SAM がそのコマンドの後に実行する他のアクションを定義します。
この例では、Cisco-UCS_connector_conf.xml ファイルのセクションで、Cisco スイッチ上の特権アカウント パスワードを変更するために SAM が使用するコマンドを定義する方法を示します。 Cisco-UCS_connector_conf.xml ファイルは以下のディレクトリにあります。
ACServerInstallDir/Connector Server/conf/override/sshdyn
この例では、Cisco-UCS_connector_conf.xml ファイルの 1 つのセクションのみを示します。 ファイル内の追加の要素では、Cisco スイッチへの接続を設定し、SAM がユーザを取得するために実行するコマンドを指定します。
注:
SSH デバイス XML ファイルの形式の詳細については、「リファレンス ガイド」を参照してください。以下のプロセスでは、Cisco スイッチ上の特権アカウント パスワードを変更するために SAM が実行するコマンドを示します。 SAM が実行するコマンドを <item> 要素で設定する方法を示すために、対応する <item> 要素を各手順の最後に示します。
- SAM は、特権アカウントのパスワードの変更を指定します。 SAM は、この手順を完了するために以下のアクションを実行します。
- SAM は以下のコマンドを発行します。set password
- SAM は 500 ミリ秒待機します。
- SAM はword:という文字列を受信するまで待機します。 この文字列を受信すると、次の手順に進みます。
この手順で SAM が実行するアクションは、以下の <item> 要素で指定されます。<item> <param name="sCommand" value="set password" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="word:" /> </item> - SAM は、特権アカウントの新しいパスワードを指定します。 SAM は、この手順を完了するために以下のアクションを実行します。
- SAM はエンドポイントに新しいパスワードを送信します。SAM はログ ファイルに新しいパスワードを書き込みません。
- SAM は 500 ミリ秒待機します。
- SAM はword:という文字列を受信するまで待機します。 この文字列を受信すると、次の手順に進みます。
このコマンドのパラメータは、以下の <item> 要素で指定されます。<item> <param name="sCommand" value="[%%password%%]" /> <param name="bHideSentLog" value="true" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="word:" /> </item> - SAM は、特権アカウントの新しいパスワードを確認します。 SAM は、この手順を完了するために以下のアクションを実行します。
- SAM はエンドポイントに新しいパスワードを再送信します。SAM はログ ファイルに新しいパスワードを書き込みません。
- SAM は 500 ミリ秒待機します。
- SAM はlocal-user* #という文字列を受信するまで待機します。 この文字列を受信すると、次の手順に進みます。SAM がfailure、invalid、またはerrorという文字列を受信した場合、パスワード変更は失敗しました。
このコマンドのパラメータは、以下の <item> 要素で指定されます。<item> <param name="sCommand" value="[%%password%%]" /> <param name="bHideSentLog" value="true" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="local-user* #" /> <param name="sFailureResult" value="failure;invalid;error" /> </item> - SAM は、特権アカウントの新しいパスワードをコミットします。 SAM は、この手順を完了するために以下のアクションを実行します。
- SAM は以下のコマンドを発行します。commit-bufferSAM はログ ファイルにこのコマンドを書き込みません。
- SAM は 500 ミリ秒待機します。
- SAM はlocal-user #という文字列を受信するまで待機します。 この文字列を受信すると、パスワード変更は完了します。SAM がError: Update failed:という文字列を受信した場合、パスワード変更は失敗しました。
このコマンドのパラメータは、以下の <item> 要素で指定されます。<item> <param name="sCommand" value="commit-buffer" /> <param name="bHideSentLog" value="true" /> <param name="iWait" value="500" /> <param name="sWaitForText" value="local-user #" /> <param name="sFailureResult" value="Error: Update failed:" /> </item>パスワード変更が完了しました。