PAM360のSSHコマンドコントロール(フィルタリング)

PAM360は、SSHプロトコルを使って、リモート接続を起動し、関連コマンドを実行することで、必要な操作を実行できます。SSHコマンドコントロール(フィルタリング)機能では、コマンドをアカウント、リソース、および/または必要に応じてグループと関連づけることで、リモート接祖hンで事前定義済おk万度リストのセットを構成できます。

例えば、あなたがコマンドコントロールが適用された特定リソースへのアクセス権があるユーザーの場合、許可されたコマンドリスト内のコマンドのみ実行できるため、アクセスコントロールのスコープ強化により、セキュリティが確保されます。

SSHコマンドこントロール(フィルタリング)ワークフロー -
［コマンドを追加］ → ［コマンドをコマンドグループと関連づけ］ → ［コマンドグループを必要レベルで構成(アカウント、リソースおよび/またはリソースグループ)］

メモ：
PAM360で実行したコマンドとコマンドグループ操作には、関連操作タイプと理由とあわせて、リソース監査セクションにレコードの証跡があります。

本書の終わりでは、以下のトピックについて学ぶことになります：

1. コマンドコントロールアクセスを有効化
2. コマンドを管理
3. コマンドグループを管理
4. SSHコマンドコントロールを構成
5. フィルタリングしたコマンドを実行
6. 優先はリアルタイムでどのように機能しますか

1.コマンドコントロールアクセスを有効化

SSHコマンドコントロール(フィルタリング)の最初の手順は、必要な権限にあわせてカスタムロールのコマンドコントロール関連権限を有効にすることです。この実行には、［管理者］ >> ［カスタマイズ］ >> ［ロール］ >> ［ロールを追加］ >> ［権限昇格］の順に移動して、以下にしたがって、必要事項を有効にします：

1. コマンドリストを管理
   このオプションを有効にすると、ユーザーは、PAM360のコマンドリストとコマンドグループを管理できます。このロールが有効なユーザーは、新しいコマンドとコマンドグループを、編集、削除、関連づけ、および関連づけ解除の操作で、作成できます。
2. コマンドグループを関連づけ
   このロールが有効なユーザーは、コマンドグループとアカウント、リソース、およびリソースグループとを関連づけ/関連づけ解除でき、コマンドリストを管理ウインドウからコマンドとコマンドグループを表示できます。
3. コマンドコントロールを使用
   このロールがあるユーザーは、SSHベースのリソースと関連づけられた事前定義済コマンドのみ実行できます。このロールを有効にすることで、ユーザー権限は、事前定義済リスト以外に、SSHコマンドを許可しない琴で、制限されます。管理者、特権管理者、パスワード管理者、および接続ユーザーは、デフォルトでは、このロールを与えられます。また、このロールが無効なユーザーは、ＤＤＨコマンドコントロールで構成されたアカウントに接続できません。

2.コマンドを管理

重要な注記：

コマンド管理に進む前に、コマンドリストを管理とコマンドグループを関連づけロールがあるユーザーは、SSH実行コンソールのコマンドを適切に実行するため、以下の基準を確認する必要があります：

1. PAM360に追加されたコマンドには有効な入力が必要です。
2. ターゲットシステムは、該当する場合、エイリアスコマンドについてチェックが必要です。また、PAM360 コマンドタブにそれを追加するときに、同内容を検討することが必要です。

［管理者］ >> ［権限昇格］ >> ［コマンドを管理］の順に移動します。

コマンドを管理ウインドウのコマンドタブから、追加、インポート、編集、削除、およびエクスポートを含む、コマンドに関連した必要な操作を実行できます。以下のサブセクションでは、上記の各操作について手順ごとの手続きについて案内します：

a. コマンドを追加

コマンドは以下の2つの利用可能な方法でコマンドリストに追加できます：

i. コマンドでの手動追加

1. コマンドタブで、［追加］ボタンをクリックします。
2. 開いたウインドウで、コマンド名、,コマンド、および説明を入力します。
3. 各フィールドに入力するとき、［追加］ボタンをクリックして、コマンドを追加するか、［その他を追加］をクリックして、後続コマンドを追加します。

追加したコマンドは、コマンドを管理ウインドウのコマンドタブで利用できます。

ii.CSVからコマンドをインポート

1. コマンドタブで、［インポート］ボタンをクリックします。
2. 表示されるポップアップで、ファイルタイプを選択し、ファイルのディレクトリをファイルを添付フィールドに入力し、［次へ］をクリックします。
   
   

   ヒント:
   CSVファイル形式への理解を深めるため、いくつかのコマンドとコマンドグループを手動で追加し、参照のため、それらをCSVとしてエクスポートします。



3. ファイルタイプをパスワード保護付きZIPファイルとして選択する場合、ファイルにファイル名を入力し、オあスワードを入力して、zipのファイルにアクセスします。
4. コマンドリストのインポートイベントりには、デフォルトでは、4つのフィールドが含まれています。これら4つのフィールドうち、コマンド名とコマンドは必須です。CSVファイルは、これらのフィールドの値を任意の順序で保持できます。ここから、コマンドをコマンドグループと関連づけることができます。
   
   
   

   メモ：
   コマンドグル－プへの関連づけフィールドをマッピングすると、コマンドが同じ名前のコマンドグループと関連づけられます。CSVファイル中の管理コマンドグループ名がコマンドリストを管理のコマンドタブに存在しない場合、新しいコマンドグル－プが同じ名前で作成され、各コマンドがそこと関連づけられます。



5. CSVのフィールドを選択し、対応する属性にマッピングして、［インポート］をクリックします。.

CSVファイルからインポートされたコマンドは、コマンドを管理ウインドウのコマンドタブで利用できます。

コマンドリストで、必要なコマンドをクリックします。開いたコマンド詳細ウインドウから、コマンド情報を取得し、編集と削除.を含む操作を実行することもできます。

b. コマンドを編集

1. コマンドタブで、必要なコマンドの横の操作にある［コマンドを編集］をクリックするか、コマンド詳細ウインドウの［編集］ボタンをクリックします。
2. 開いたウインドウで、必要なフィールドを更新し、［保存］をクリックして、既存のコマンド詳細を編集します。
   
   

   メモ：
   コマンドグループに関連づけフィールドにある必要なコマンドグループを選択し、コマンドを各コマンドグループに関連づけます。

c. コマンドを削除

1. コマンドタブで、必要なコマンドの横の操作にある［コマンドを削除］アイコンをクリックするか、コマンド詳細ポップアップから［削除］ボタンをクリックします。
2. 開いたポップアップで、［削除］ボタンをクリックし、コマンドリストからコマンドを削除します。
3. コマンドを一括削除するには：
   1. 削除する必要なコマンドを選択します。
   2. 上部ペインの［削除］ボタンをクリックします。
   3. ［削除］をクリックし、選択したコマンドを一括で削除します。

メモ：
コマンドタブからコマンドを削除すると、既存のコマンドグループがある場合はそこから関連づけが解除され、コマンドリストから完全削除されます。

d. コマンドをエクスポート

コマンドを管理ウインドウのコマンドタブにあるコマンドをエクスポートできます。コマンドタブから、［エクスポート］ボタンをクリックし、すべてのコマンドをCSVファイルとしてエクスポートします。実行時、利用可能なコマンドがすべて入ったCSVファイルが、お使いのブラウザで設定したとおり、デフォルトディレクトリにダウンロードされます。

3.コマンドグループを管理

必要なコマンドを管理した後、コマンドを管理ウインドウのコマンドグループタブから追加、編集、関連づけ/関連づけ解除および削除を含むコマンドグループ操作の実行を開始できます。以下のサブセクションでは、上記の各種操作について手順ごとの簡単な手続きを案内します：

a. コマンドグループを追加

1. コマンドグループタブで、［追加］ボタンをクリックします。
2. 開いたウインドウで、コマンドグループ名を入力し、［追加］をクリックします。


メモ：
確認を提出してコマンドグループを追加する前に、必要なコマンドを下のコマンドリストからセンタkうし、それらをこの新しく追加されたコマンドグループと関連づけることができます。

コマンドグループタブの必要なコマンドグループをクリックします。開いたコマンドグループ詳細ウインドウで、関連づけられたコマンド詳細とあわせて、コマンドグループ情報を取得し、編集と削除を含む操作を実行できます。

b. コマンドグループを編集

1. コマンドグループタブで、必要なコマンドグループの横の操作にある［コマンドグループを編集］アイコンをクリックするか、コマンドグループ詳細ポップアップの［編集］ボタンをクリックします。
2. 開いたウインドウで、必要事項を更新し、［保存］をクリックして、コマンドグループ詳細を編集します。

c. コマンド詳細を削除

1. コマンドグループタブで、必要なコマンドグループの横の操作にあるコマンドグループを削除アイコンをクリックするか、コマンドグループ詳細ポップアップの［削除］ボタンをクリックします。
2. 開いたポップアップで、［削除］をクリックして、コマンドグループリストからコマンドグループを編集します。
3. コマンドグループを一括削除するには：
   1. 削除する必要なコマンドグループを選択します。
   2. 上部ペインの［削除］ボタンをクリックします。
   3. ［削除］をクリックし、選択したコマンドグループを一括削除します。

メモ：
コマンドグループを削除すると、完全に削除されますが、そこと関連づけられたコマンドは削除されません。

d. コマンドグループとのコマンドの関連づけ/関連づけ解除

1. コマンドグループタブで、必要なコマンドグループの横の操作にある［コマンドグループを編集］アイコンをクリックするか、コマンドグループ詳細ポップアップの［編集］ボタンをクリックします。
2. 利用可能なコマンドリストからコマンドを選択/選択解除し、コマンドグループとコマンドを関連づけ/関連づけ解除します。
3. ［保存］をクリックして変更を適用します。

メモ：
新しいコマンドグループの追加中、コマンドをコマンドグループと関連づけることもできます。

4.SSHコマンドコントロールを構成

必要なコマンドグループで準備が完了したら、アカウント、リソース、およびリソースグループレベルでSSHコマンドコントロールの構成を開始できます。下のサブセクションでは、各種レベルでSSHコマンドコントロールを構成する手順ごとのプロセスについて簡単に説明します：

重要な注記：
構成されたアクセスコントロールで、コマンドコントロール（フィルタリング）の使用を強く推奨します。これは、ユーザーの共有アカウントパスワードへのアクセスを制限するためです。アカウントパスワードがプレインテキストでアクセス可能な場合、ユーザーは、サードパーティSSHクライアントを使って、コマンドコントロール制限なしで各自でコマンドを実行できます。

a. アカウントへのコマンドコントロールを構成

1. ［リソース］ >> ［すべてのマイパスワード］ >> ［リソース］の順に移動し、必要なSSHリソースをクリックします。
   ［または]
   ［リソース］ >> ［すべてのマイリソース］ >> ［パスワード］ の順に移動します。
2. 表示されるページで、必要なアカウントの横の［アカウント操作］ ドロップダウンをクリックし、［SSHコマンドコントロールを構成］を選択します。
3. 開いたポップアップで、アカウントと関連づける必要なコマンドグループを選択し、［関連づけ］をクリックします。


これで、コマンドグループは、正常に関連づけられ、コマンドコントロールがアカウントで有効になります。.



メモ：
コマンドグループを選択解除し、コマンドグループアカウントから関連づけ解除するか、［関連づけ解除］ボタンをクリックし、アカウントにコマンドコントロールを呼び出します。



4. コマンドコントロールを一括構成するには：
   1. 必要なアカウントを選択し、［他の操作］ドロップダウンをクリックして、［SSHコマンドコントロールを構成］を選択します。
      [または]
      必要なアカウントを選択し、上部ペインの［アカウント操作］ドロップダウンをクリックし、構成セクションのSSHコマンドコントロールを選択します。
   2. 開いたポップアップで、アカウントと関連づけるコマンドグループを選択し、［関連づけ］をクリックします。
   これで、コマンドコントロールが正常に一括関連づけされ、コマンドコントロールが選択したアカウントについて有効になります。
   
   
   

b. リソースにコマンドコントロールを構成

1. ［リソース］ >> ［すべてのマイパスワード］ >> ［リソース］の順に移動します。
2. 必要なSSHリソースの横の［リソース操作］ドロップダウンをクリックし、［SSHコマンドコントロールを構成］を選択します。
3. 開いたポップアップで、リソースと関連づける必要なコマンドグルーポプを選択し、［関連づけ］をクリックします。
これで、コマンドコントロールが正常に関連づけされ、コマンドコントロールがリソースについて有効になります。



メモ：
コマンドグループを選択解除し、リソースからコマンドグループを関連づけ解除するか、［関連づけ解除］ボタンをクリックし、リソースにコマンドコントロールを呼び出します。



4. リソースタブから、コマンドコントロールを一括構成するには：
   1. 必要なSSHリソースを選択し、上部ペインの［リソース操作］ドロップダウンをクリックし、構成の［SSHコマンドコントロール］セクションを選択します。
   2. 開いたポップアップで、リソースと関連づけする必要なコマンドグループを選択し、［関連づけ］をクリックします。
   これで、コマンドコントロールが正常に一括関連づけされ、コマンドコントロールが選択したリソースについて有効になります。

c. リソースグループにコマンドコントロールを構成

1. [グループ]タブに移動します。
2. 必要なリソースグループの横の［操作］ドロップダウンをクリックし、［SSHコマンドコントロールを構成］を選択します。
3. 開いたポップアップで、リソースグループと関連づけする必要なコマンドグループを選択し、［関連づけ］をクリックします。
これで、コマンドコントロールが正常に関連づけされ、コマンドコントロールがリソースグループについて有効になります。



メモ：
コマンドグループを選択解除し、リソースグループからコマンドグループを関連づけ解除するか、［関連づけ解除］ボタンをクリックし、リソースグループにコマンドコントロールを呼び出します。



4. コマンドコントロールを一括構成するには：
   1. 必要なSSHリソースグループを選択し、上部ペインの［一括構成］ドロップダウンをクリックし、構成の［SSHコマンドコントロール］セクションを選択します。
   2. 開いたポップアップで、リソースと関連づけする必要なコマンドグループを選択し、［関連づけ］をクリックします。
   これで、コマンドコントロールが正常に一括関連づけされ、コマンドコントロールが選択したリソースグループについて有効になります。

5.フィルタリングされたリストを実行

コマンドコントロールを使用ロールがあるユーザーは、別のグループれベルで適用されるコマンドのみ実行できます。コマンドの許可リストを実行するには：

1. SSHプロトコルを使って、必要なアカウントにリモートセッションを起動します。

2. 開いたセッションで、ログインしたSSHアカウントと関連づけられた事前定義済の許可コマンドリストのセットが表示されます。
   1. 右ペインにマウスを当て、コマンドリストの必要なコマンドの横の［実行］アイコンをクリックし、SSH起動コンソールでコマンドを実行します。
   2. 右ペインの［プレビュー］アイコンをクリックし、SSHセッションのコマンド実行ログを表示します。
   

メモ：

• SSHコマンドコントロールを構成すると、ユーザーは、管理者が事前定義したコマンドを実行できます。
• ユーザーは、SSHコマンドコントロールで構成したアカウントでコマンドを実行することはできません。
• SSHコマンドコントロールで構成されたアカウントは、コマンドコントロールを使用ロールがないユーザーにリモートセッションを制限します。

6.優先はリアルタイムでどのように機能しますか？

ケース1：

デバイスへのSSH接続がアカウント、リソース、およびリソースグループレベルからSSHコマンドコントロール構成を取得する場合、その特定アカウントの認証されたSSHセッションは、アカウントレベルでコマンドグループから関連づけられたコマンドを取り込みます。

メモ：
別のグループの別のコマンドグループで構成された場合、優先は、低レベル(［アカウント］ << ［リソース］ << ［リソースグループ］)に与えられます。

ケース 2:

同様に、デバイスへのSSH接続がリソースおよびリソースグループレベルからSSHコマンドコントロール構成を取得する場合、そのアカウントの認証されたSSHセッションは、リソースレベルでコマンドグループから構成されたコマンドを取り込みます。

ケース 3:

デバイスへのSSH接続が別のリソースグループからSSHコマンドコントロール構成を取得する場合、認証されたSSHセッションは、別のリソースグループで構成されたコマンドグループの連結コマンドを取り込みます。