SFTP ログイン インターセプトの有効化

ユーザが SFTP を使用してエンドポイントにログインする際、SFTP アプリケーションでは、ユーザの認証に SSH が使用されます。CA ControlMinder が SFTP アプリケーションからのログイン試行をインターセプトする際に、デフォルトではそのログインが SSH ログインとして扱われ、ログイン試行の許可や拒否に SSH LOGINAPPL レコードのルールが使用されます。
cminderpim14jp
ユーザが SFTP を使用してエンドポイントにログインする際、SFTP アプリケーションでは、ユーザの認証に SSH が使用されます。CA ControlMinder が SFTP アプリケーションからのログイン試行をインターセプトする際に、デフォルトではそのログインが SSH ログインとして扱われ、ログイン試行の許可や拒否に SSH LOGINAPPL レコードのルールが使用されます。
SFTP と SSH のログイン試行を区別し、SFTP および SSH のログイン用に個別のルールを書き込むように CA ControlMinder を設定するには、SFTP ログイン インターセプトを有効にする必要があります。
SFTP ログイン インターセプトを有効にする方法
  1. エンドポイントでコマンド プロンプト ウィンドウを開きます。
  2. 以下の selang コマンドを入力します。
    er LOGINAPPL SSH loginflags(EXECLOGIN)
    このコマンドにより、SSH ログインのトリガが、プロセスが実行する最初の EXEC アクションであることが指定されます。
  3. 以下の selang コマンドを入力します。
    er LOGINAPPL SFTP loginpath(path) defaccess(a) loginpath(path)Specifies the full path to the SFTP login application.
    er LOGINAPPL SFTP loginpath(
    path
    ) defaccess(a)
    • loginpath(
      path
      )
      SFTP ログイン アプリケーションのフル パスを指定します。
    このコマンドにより、SFTP という名前の LOGINAPPL レコードが作成され、SFTP ログイン アプリケーションへのパスが定義されて、ほかに制限がない限り、すべてのユーザが SFTP を使用してエンドポイントにログインできることが指定されます。
例: SFTP ログイン インターセプトの有効化
この例では、/usr/libexec/openssh/sftp-server にある SFTP ログイン アプリケーションに対して、SFTP ログイン インターセプトが有効にされます。最初の selang コマンドでは、CA ControlMinder が SSH ログインに対して PAM ログイン インターセプトを使用することも指定されています。
er LOGINAPPL SSH loginflags(EXECLOGIN, PAMLOGIN) er LOGINAPPL SFTP loginpath(/usr/libexec/openssh/sftp-server) defaccess(a)
注:
LOGINAPPL クラスの詳細については、「selang リファレンス ガイド」を参照してください。