SFTP ログイン インターセプトの有効化
ユーザが SFTP を使用してエンドポイントにログインする際、SFTP アプリケーションでは、ユーザの認証に SSH が使用されます。CA ControlMinder が SFTP アプリケーションからのログイン試行をインターセプトする際に、デフォルトではそのログインが SSH ログインとして扱われ、ログイン試行の許可や拒否に SSH LOGINAPPL レコードのルールが使用されます。
cminderpim14jp
ユーザが SFTP を使用してエンドポイントにログインする際、SFTP アプリケーションでは、ユーザの認証に SSH が使用されます。CA ControlMinder が SFTP アプリケーションからのログイン試行をインターセプトする際に、デフォルトではそのログインが SSH ログインとして扱われ、ログイン試行の許可や拒否に SSH LOGINAPPL レコードのルールが使用されます。
SFTP と SSH のログイン試行を区別し、SFTP および SSH のログイン用に個別のルールを書き込むように CA ControlMinder を設定するには、SFTP ログイン インターセプトを有効にする必要があります。
SFTP ログイン インターセプトを有効にする方法
- エンドポイントでコマンド プロンプト ウィンドウを開きます。
- 以下の selang コマンドを入力します。er LOGINAPPL SSH loginflags(EXECLOGIN)このコマンドにより、SSH ログインのトリガが、プロセスが実行する最初の EXEC アクションであることが指定されます。
- 以下の selang コマンドを入力します。er LOGINAPPL SFTP loginpath(path) defaccess(a) loginpath(path)Specifies the full path to the SFTP login application.er LOGINAPPL SFTP loginpath(path) defaccess(a)
- loginpath(path)SFTP ログイン アプリケーションのフル パスを指定します。
例: SFTP ログイン インターセプトの有効化
この例では、/usr/libexec/openssh/sftp-server にある SFTP ログイン アプリケーションに対して、SFTP ログイン インターセプトが有効にされます。最初の selang コマンドでは、CA ControlMinder が SSH ログインに対して PAM ログイン インターセプトを使用することも指定されています。
er LOGINAPPL SSH loginflags(EXECLOGIN, PAMLOGIN) er LOGINAPPL SFTP loginpath(/usr/libexec/openssh/sftp-server) defaccess(a)
注:
LOGINAPPL クラスの詳細については、「selang リファレンス ガイド」を参照してください。