ユーザのどの端末のＩＰからログイン？許可されたIPアドレスでログイン制限 : isLandcenter 非番中

2020年 02月 15日

ユーザのどの端末のＩＰからログイン？許可されたIPアドレスでログイン制限

Microfocus Open Enterprise Server (OES Linux)はファイルサーバーに特化したシステムです。セキュリティ面での柔軟性、高機能性には特筆するものがあります。

その一つが、ユーザがどの端末からログインしているかを確認。指定した端末以外からログインをブロックする機能、ケツを拭かないでトイレを使うユーザの多重ログインを防止する機能です。

１．OES Linux のファイルサーバーでゴォーンさんのログオンアドレスを調べたい。

２．OES Linux のファイルサーバーでゴォーンさんがログインできるIPアドレスを制限したい。

３．OES Linux のファイルサーバーでゴォーンさんが同時ログインできる台数を制限したい。

- ユーザはどのIPアドレスからログインしているかを調べる -

OES Linux の iManager > "ユーザー名" modify Object の General タブから、ユーザが現在ログインしているIPアドレスを調べる事ができます。

ユーザのどの端末のＩＰからログイン？許可されたIPアドレスでログイン制限_a0056607_11352495.png

ｰユーザがログインできるIPアドレスを制限したいｰ

例えば、ゴーンさんのような、特殊な経営者や特許に関わるエンジニア、システム管理者やヘルプデスク、パートさん、総務、経理などのユーザには、特定のPC（IP アドレス）からのみ、アクセスさせたい場合があります。この人たちが許可なく、他所のフロアの他人のPCからデータの持ち出しをさせたくない場合などですね。固定したＩＰからはログインできるけど、ＤＨＣＰのネットワークからはログインさせたくない。

その場合、固定IPをもった、特定のIPからしかログインできないようにする機能が Novell OES Linux にあります。

iManager >Modify Object > "ユーザ" > Restrictions タブ > Address Restriction に、ユーザが「ログイン許可」できるIPアドレスを記述します。

ユーザのどの端末のＩＰからログイン？許可されたIPアドレスでログイン制限_a0056607_11355688.png

IPアドレス制限をかけると、許可されていないアドレックスからアクセスすることはできなくなります。

ユーザのどの端末のＩＰからログイン？許可されたIPアドレスでログイン制限_a0056607_11365559.png

- 同時接続数を制限する -

よくある、「ケツも拭かずに片っ端からPCにログインしまくる」ヒトを取り締まり、セキュリティを確保するための方法として、同時ログインするユーザを制限する方法が、OES Linux には普通にあります。

iManager >Modify Object > "ユーザ" > Restrictions タブ > Login Restriction の Limit Concurrent connections をチェックして、同時接続数に”２”以上の数値を設定します。

※ ”１”だと eDirectory の仕様により、うまくログインできない場合がありました。今はよく分かりません。

ユーザのどの端末のＩＰからログイン？許可されたIPアドレスでログイン制限_a0056607_11375480.png

なお、このログイン制限は NCP (524ポート)プロトコルを使った場合にのみ有効で、SMB/CIFS,FTP,NFS など、違うプロトコルを使った場合は制御できません。

セキュリティ上、重要なサーバーには CIFS などをインストールせず、Microforcus Client for OES を使ってNCP のみの接続制限をすることをお勧めします。

User Restrictions: Some OES Limitations#
https://www.novell.com/documentation/open-enterprise-server-2018/oes_implement_lx/data/secur-planning.html#bx7et49

This is generally true, with two important exceptions:
* Maximum number of concurrent connections in login restrictions
* Address restrictions
These two specific restrictions are enforced only for users who are accessing the server through NCP. Connections through other access protocols (for example, HTTP or CIFS) have no concurrent connection or address restrictions imposed.
For this reason, you probably want to consider not enabling services such as SSH and FTP for LUM when setting up Linux User Management. For more information on SSH and LUM, see Section 9.4, SSH Services on OES.