特権IDセッション管理アプライアンス”Safeguard for Privileged Sessions(SPS)”は踏み台サーバーとして動作させ、ユーザーに直接ターゲットサーバーにはアクセスさせないことで、セキュリティレベルを向上させることが可能です。さらに、インバンド宛先選択を用いると、複数の接続ポリシーを作成することなく単一の接続ポリシーで、任意のサーバーにアクセスできます。
前回のブログでは、SSHプロトコルでの宛先選択について紹介しましたが、今回はRDPプロトコルでのインバンド宛先選択について説明します。
SPSでインバンド宛先選択を有効にするには、インバンド宛先選択を有効にする接続ポリシー([RDP Control]>[Connections])に移動して、[Target]セクションの[Inband destination selection]を選択します。
※接続ポリシーは、クライアントとサーバー間の接続をどのような方法で制限するか定義します。
以下の例では、宛先サーバーとして192.168.91.0/24の範囲のIPアドレスへのアクセスを許可しています。必要に応じて他のオプションを設定します。
リモートデスクトップクライアントのユーザー名フィールドに以下を入力します。
<username>%<targetserver>
ここで、各フィールドは以下になります。
- username: ターゲットサーバーのユーザー名
- targetserver: ターゲットサーバーのホスト名またはIPアドレス
IPアドレスが192.168.91.46のサーバーに、Administratorでリモートデスクトップ接続するには以下のように入力します。
※192.168.91.169は、SPSのIPアドレスになります。
例:
Administrator%192.168.91.46
[接続]をクリックすると、以下のような証明書の確認ウィンドウが表示されるので、[はい]をクリックします。
SPSのRDPログイン画面が表示されるので、ユーザー名およびパスワードを入力して、[OK]をクリックします。
再度、証明書の確認ウィンドウが表示されるので、[はい]をクリックします。
以下のようにターゲットサーバーを指定しないで接続した場合は、証明書の確認ウィンドウの表示後、SPSはターゲットサーバーを指定させるためのウィンドウを表示します。
※192.168.91.169は、SPSのIPアドレスになります。
ターゲットサーバーのIPアドレス(またはホスト名)を入力してターゲットサーバーを指定します。[OK]をクリックします。
SPSのRDPログイン画面が表示されるので、ユーザー名およびパスワードを入力して、[OK]をクリックします。上述と同様に証明書の確認ウィンドウが表示されるので、[はい]をクリックします。
ログイン時に、以下のエラーが出力された場合は、SPSでネットワークレベル認証(NLA)を有効にする必要があります。
[RDP Control]>[Settings]で、[Enable Network Level Authentication]を有効にした、RDP設定を接続ポリシーの[RDP settings]に適用します。SPSがドメインに属していない場合は、[Require domain membership]を無効にします。
【まとめ】
多くのターゲットサーバーをリモートでメンテナンス作業を行う場合などは、SPSの接続ポリシーをターゲットサーバーごとに設定する必要があります。インバンド宛先選択を利用することで、SPSのポリシーなどの設定や運用負荷を軽減させることが可能になります。
SPSでは評価用のソフトウェアを用意しておりますので、リモートデスクトップ接続でのインバンド宛先選択をご確認ください。
ダウンロード(評価版)
お問合せ
ご不明な点やお気づきの点がございましたらお問い合せください。