SPSのノントランスペアレント(非透過)モード
しかし、ターゲットサーバーが多い場合、サーバーごとに接続ポリシーを作成する必要があります。また、SPSに複数のエイリアスIPアドレスが必要となり、管理が複雑になります。
そこで、SPSの便利な機能の一つであるインバンド宛先選択(Inband destination selection)を使用すると、ユーザー名にターゲットサーバーの名前を含めることで、複数の接続ポリシーを作成することなく単一の接続ポリシーで、任意のサーバーにアクセスできるようにできます。
※ノントランスペアレントモードは、インバンド宛先選択と合わせて利用できます。
今回のブログでは、SSHプロトコルでのインバンド宛先選択について説明します。
インバンド宛先選択を有効にするには、インバンド宛先選択を有効にする接続ポリシー([SSH Control]>[Connections])に移動して、[Target]セクションの[Inband destination selection]を選択します。
以下の例では、宛先サーバーとして192.168.91.0/24の範囲のIPアドレスへのアクセスを許可しています。必要に応じて他のオプションを設定します。
ここでは、SPSへのアクセスポートを20220に設定していることに注意してください。
以下の宛先選択例では、ターゲットサーバーのユーザー名が"root"、ターゲットサーバーのIPアドレスが"192.168.91.101"、SPSのIPアドレスは"192.168.91.169"、SPSのアクセスポートが"20220"として説明しています。
PuTTYの接続例
PuTTYで宛先選択を使用するには、以下の形式を使用します。<username>@<server>[:<serverport>]@<sps>
ここで、各フィールドは以下になります。
- username: ターゲットサーバーのユーザー名。
- server: ターゲットサーバーのホスト名またはIPアドレス。
- serverport:ターゲットサーバーのポート番号。
- sps: SPSのホスト名またはIPアドレス。
例:
root@192.168.91.101@192.168.91.169
ターゲットサーバーのユーザー名に対応するパスワードを入力します。Using username "root@192.168.91.101"プロンプトが表示され、宛先選択でターゲットサーバーのユーザー名が"root"で、IPアドレスが"192.168.91.101"のターゲットサーバーにアクセスしていることがわかります。
あるいは、SPSのIPアドレス(またはホスト名)とポートのみ指定します。
login as:プロンプトで、<username>@<server>[:<serverport>]を指定(例、login as: root@192.168.91.101)します。
ゲートウェイ認証を使用している場合は、以下の形式を使用してゲートウェイユーザー名を指定します。
gu=<gatewayusername>@<username>@<server>[:<serverport>]@<sps>
ここで、各フィールドは以下になります。
- gatewayusername:ゲートウェイユーザー名。
- username: ターゲットサーバーのユーザー名。
- server: ターゲットサーバーのホスト名またはIPアドレス。
- serverport:ターゲットサーバーのポート番号。
- sps: SPSのホスト名またはIPアドレス。
例:
gu=yamada@root@192.168.91.101@192.168.91.169
ゲートウェイユーザー(Gateway password:)のパスワード入力後、ターゲットサーバーユーザーのパスワード(Password:)を入力します。
あるいは、<username>@<server>[:<serverport>]@<sps>を指定(例、root@192.168.91.101@192.168.91.169)します。
ゲートウェイユーザー名(Gateway username:)を入力しゲートウェイユーザーパスワード(Gateway password:)を入力後、ターゲットサーバーユーザーのパスワード(Password:)を入力します。
または、SPSのIPアドレス(またはホスト名)とポートのみ指定します。
Using user login as:プロンプトで、<username>@<server>[<serverport>]を指定(例、root@192.168.91.101)します。
OpenSSHの接続例
OpenSSHで宛先選択を使用するには、以下の形式を使用します。
ssh [-p <sps_port>] <username>@<server>[<serverport>]@<sps>
ここで、各フィールドは以下になります。
- sps_port: SPSのポート番号。
- username: ターゲットサーバーのユーザー名。
- server: ターゲットサーバーのホスト名またはIPアドレス。
- serverport:ターゲットサーバーのポート番号。
- sps: SPSのホスト名またはIPアドレス。
例:
ssh -p 20220 root@192.168.91.101@192.168.91.169
ゲートウェイ認証を使用している場合は、以下の形式を使用してゲートウェイユーザー名を指定します。
ssh [-p <sps_port>] gu=<gatewayusername>@<username>@<server>[<serverport>]@<sps>
ここで、各フィールドは以下になります。
- sps_port: SPSのポート番号。
- gatewayusername: ゲートウェイユーザー名。
- username: ターゲットサーバーのユーザー名。
- server: ターゲットサーバーのホスト名またはIPアドレス。
- serverport:ターゲットサーバーのポート番号。
- sps: SPSのホスト名またはIPアドレス。
例:
ssh -p 20220 gu=yamada@root@192.168.91.101@192.168.91.169
ゲートウェイユーザー(Gateway password:)のパスワード入力後、ターゲットサーバーユーザーのパスワード(Password:)を入力します。
あるいは、guオプションを付けずに指定(例、ssh -p 20220 root@192.168.91.101@192.168.91.169)します。
ゲートウェイユーザー名(Gateway username:)を入力しゲートウェイユーザーパスワード(Gateway password:)を入力後、ターゲットサーバーユーザーのパスワード(Password:)を入力します。
宛先選択を正しく指定しないと、以下のようなエラーが出力され接続が終了します。
Tera Termの接続例
[ホスト]フィールドにSPSのIPアドレス(またはホスト名)、TCPポートにSPSのポート番号を入力します。
[ユーザー名]フィールドに<username>@<targetserver>形式を
※TeraTermはゲートウェイ認証をサポートしていません。
【まとめ】
上述の通り、SPSのインバンド宛先を利用することで、単一の接続ポリシーで任意のサーバーにアクセスできるようになります。
SPSでは、評価用のソフトウェアを用意しておりますので、SSHリモートユーザーのインバンド宛先選択をご確認ください。
ダウンロード(評価版)
Safeguard for Privileged Sessions (SPS) には評価版ソフトウェア(30日間)を用意しています。ぜひお試しください。
お問合せ
購入前のSafeguard for Privileged Sessions (SPS)についてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。
ご不明な点やお気づきの点がございましたらお問い合せください。