2020年1月22日水曜日

SSHリモートアクセスのターゲット指定方法【Safeguard for Privileged Sessions(SPS)】

特権IDセッション管理アプライアンス”Safeguard for Privileged Sessions(SPS)”は、バスシオン(踏み台)ホストとして動作させるノントランスペアレント(非透過)モードをサポートしています。ユーザーはSPSのIPアドレスにアクセスし、直接ターゲットサーバーにはアクセスさせないことでセキュリティレベルを向上させることが可能です。


SPSのノントランスペアレント(非透過)モード

しかし、ターゲットサーバーが多い場合、サーバーごとに接続ポリシーを作成する必要があります。また、SPSに複数のエイリアスIPアドレスが必要となり、管理が複雑になります。
そこで、SPSの便利な機能の一つであるインバンド宛先選択(Inband destination selection)を使用すると、ユーザー名にターゲットサーバーの名前を含めることで、複数の接続ポリシーを作成することなく単一の接続ポリシーで、任意のサーバーにアクセスできるようにできます。
※ノントランスペアレントモードは、インバンド宛先選択と合わせて利用できます。

今回のブログでは、SSHプロトコルでのインバンド宛先選択について説明します。

インバンド宛先選択を有効にするには、インバンド宛先選択を有効にする接続ポリシー([SSH Control]>[Connections])に移動して、[Target]セクションの[Inband destination selection]を選択します。

以下の例では、宛先サーバーとして192.168.91.0/24の範囲のIPアドレスへのアクセスを許可しています。必要に応じて他のオプションを設定します。

ここでは、SPSへのアクセスポートを20220に設定していることに注意してください。


以下の宛先選択例では、ターゲットサーバーのユーザー名が"root"、ターゲットサーバーのIPアドレスが"192.168.91.101"、SPSのIPアドレスは"192.168.91.169"、SPSのアクセスポートが"20220"として説明しています。

PuTTYの接続例

PuTTYで宛先選択を使用するには、以下の形式を使用します。

<username>@<server>[:<serverport>]@<sps>

ここで、各フィールドは以下になります。
  • username: ターゲットサーバーのユーザー名。
  • server: ターゲットサーバーのホスト名またはIPアドレス。
  • serverport:ターゲットサーバーのポート番号。
  • sps: SPSのホスト名またはIPアドレス。

例:
root@192.168.91.101@192.168.91.169


ターゲットサーバーのユーザー名に対応するパスワードを入力します。Using username "root@192.168.91.101"プロンプトが表示され、宛先選択でターゲットサーバーのユーザー名が"root"で、IPアドレスが"192.168.91.101"のターゲットサーバーにアクセスしていることがわかります。


あるいは、SPSのIPアドレス(またはホスト名)とポートのみ指定します。


login as:プロンプトで、<username>@<server>[:<serverport>]を指定(例、login as: root@192.168.91.101)します。


ゲートウェイ認証を使用している場合は、以下の形式を使用してゲートウェイユーザー名を指定します。

gu=<gatewayusername>@<username>@<server>[:<serverport>]@<sps>

ここで、各フィールドは以下になります。
  • gatewayusername:ゲートウェイユーザー名。
  • username: ターゲットサーバーのユーザー名。
  • server: ターゲットサーバーのホスト名またはIPアドレス。
  • serverport:ターゲットサーバーのポート番号。
  • sps: SPSのホスト名またはIPアドレス。

例:
gu=yamada@root@192.168.91.101@192.168.91.169


ゲートウェイユーザー(Gateway password:)のパスワード入力後、ターゲットサーバーユーザーのパスワード(Password:)を入力します。


あるいは、<username>@<server>[:<serverport>]@<sps>を指定(例、root@192.168.91.101@192.168.91.169)します。
ゲートウェイユーザー名(Gateway username:)を入力しゲートウェイユーザーパスワード(Gateway password:)を入力後、ターゲットサーバーユーザーのパスワード(Password:)を入力します。


または、SPSのIPアドレス(またはホスト名)とポートのみ指定します。
Using user login as:プロンプトで、<username>@<server>[<serverport>]を指定(例、root@192.168.91.101)します。


OpenSSHの接続例


OpenSSHで宛先選択を使用するには、以下の形式を使用します。

ssh [-p <sps_port>] <username>@<server>[<serverport>]@<sps>

ここで、各フィールドは以下になります。
  • sps_port: SPSのポート番号。
  • username: ターゲットサーバーのユーザー名。
  • server: ターゲットサーバーのホスト名またはIPアドレス。
  • serverport:ターゲットサーバーのポート番号。
  • sps: SPSのホスト名またはIPアドレス。

例:
ssh -p 20220 root@192.168.91.101@192.168.91.169


ゲートウェイ認証を使用している場合は、以下の形式を使用してゲートウェイユーザー名を指定します。

ssh [-p <sps_port>] gu=<gatewayusername>@<username>@<server>[<serverport>]@<sps>

ここで、各フィールドは以下になります。
  • sps_port: SPSのポート番号。
  • gatewayusername: ゲートウェイユーザー名。
  • username: ターゲットサーバーのユーザー名。
  • server: ターゲットサーバーのホスト名またはIPアドレス。
  • serverport:ターゲットサーバーのポート番号。
  • sps: SPSのホスト名またはIPアドレス。

例:
ssh -p 20220 gu=yamada@root@192.168.91.101@192.168.91.169

ゲートウェイユーザー(Gateway password:)のパスワード入力後、ターゲットサーバーユーザーのパスワード(Password:)を入力します。


あるいは、guオプションを付けずに指定(例、ssh -p 20220 root@192.168.91.101@192.168.91.169)します。
ゲートウェイユーザー名(Gateway username:)を入力しゲートウェイユーザーパスワード(Gateway password:)を入力後、ターゲットサーバーユーザーのパスワード(Password:)を入力します。


宛先選択を正しく指定しないと、以下のようなエラーが出力され接続が終了します。


Tera Termの接続例


[ホスト]フィールドにSPSのIPアドレス(またはホスト名)、TCPポートにSPSのポート番号を入力します。


[ユーザー名]フィールドに<username>@<targetserver>形式を

※TeraTermはゲートウェイ認証をサポートしていません。

【まとめ】
上述の通り、SPSのインバンド宛先を利用することで、単一の接続ポリシーで任意のサーバーにアクセスできるようになります。
SPSでは、評価用のソフトウェアを用意しておりますので、SSHリモートユーザーのインバンド宛先選択をご確認ください。

ダウンロード(評価版)
Safeguard for Privileged Sessions (SPS) には評価版ソフトウェア(30日間)を用意しています。ぜひお試しください。

詳しくは製品紹介ページ・製品ガイドをご参照ください。



お問合せ
購入前のSafeguard for Privileged Sessions (SPS)についてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。