|
|
|
|
|
MOVEit Transfer 設定プログラムは MOVEit Transfer SSH サーバーの設定に使用されます。(ユーザー、グループ、フォルダー設定などは、通常、Web インターフェイスまたは MOVEit Transfer API を使用して管理されます。)[Start (スタート)] メニューショートカットの [MOVEit Transfer Config (MOVEit Transfer 設定)] を選択して設定プログラムを実行します。このプログラムでは、設定を機能別にグループ分けするためにタブ付きダイアログが使用されます。
MOVEit Transfer SSH は、新しい接続を次回受け取ったときに、設定の変更をただちに適用します。
例外:SSH ポートに変更が加えられた場合は、この変更を有効にするために、MOVEit Transfer SSH サービスを再起動する必要があります。
MOVEit Transfer SSH 公開キーをエクスポートするには、MOVEit Transfer Config ユーティリティの [SSH] タブで [View (表示)] ボタンをクリックします。ダイアログにキーが 2 つの異なる形式で表示されます。エクスポートする形式を表示しているウィンドウのすべてのテキストを選択して、CTRL+C キーを押してテキストをコピーし、目的のテキストファイルに保存します。
ヒント:MOVEit DMZ SSH サーバーキーは決して変更されないため、余分な時間をかけてでも、このダイアログを開いている間に同じ SSH サーバーキーの両方の形式をエクスポートしておくことをお勧めします。これらのキーを (内部サーバー上などに) 保存しておくと、[SSH] タブを再び使用する必要がなくなる可能性があります。
[Server Keys (サーバーキー)] ウィンドウには、内部で生成された RSA 2048 ビットサーバーキーの MD5 ハッシュが表示されます。このデフォルトのキーを編集または削除することはできません。
MOVEit Transfer に複数の組織が設定されている場合は、組織ごとに別々のサーバーキーを追加しておくことをお勧めします。こうすることにより、他の組織に影響を及ぼすことなく、単一の組織のサーバーキーを容易に変更できるようになります。
DSS キータイプは、デジタル署名を提供しますが、キーの交換または暗号化は提供しません。DSS では、署名の生成が署名の検証より高速になります。
RSA キータイプは、デジタル署名、キーの交換、暗号化を提供します。RSS では、署名の検証が署名の生成より高速になります。
キーのタイプとサイズの選択が完了すると、[Add SSH Server Key (SSH サーバーキーの追加)] ウィンドウが表示されます。
このウィンドウには、以下のようなキーの詳細が表示されます。
新しいキーが [Server Keys (サーバーキー)] ウィンドウに追加されます。
キーの名前を編集するには、キーを選択して [Edit (編集)] をクリックします。
キーを削除するには、キーを選択して [Remove (削除)] をクリックします。
キーをデフォルトの SSH サーバーキーにするには、キーを選択して [Default (デフォルト)] をクリックします。現在のデフォルトのキーの名前が「OldDefault-year-month-day_xxxxxx」に変更され、選択したキーの名前が「default」に変更されます。
お使いの MOVEit Transfer システムに複数の組織が設定されており、組織間でユーザー名の重複が許可されている場合は、代替バインディングを追加することにより、サインオン時にユーザーをそのユーザーに固有の組織の IP アドレスにダイレクトすることができます。 また、一意のサーバーキーを特定の組織に割り当てて、そのサーバーキーに対する変更がその組織にしか影響しないようにすることもできます。
代替バインディングを使用すると、サーバー IP、サーバーキー、組織を関連付けることができます。
[Add SSH Alternative Binding (SSH 代替バインディングの追加)] ダイアログが表示されます。
新しいバインディングが [Alternate Bindings (代替バインディング)] ウィンドウに追加されます。
バインディングのサーバー IP、サーバーキー、組織を編集するには、バインディングを選択して [Edit (編集)] をクリックします。
バインディングを削除するには、バインディングを選択して [Remove (削除)] をクリックします。
MOVEit Transfer SSH サーバー診断ログ設定は、Configuration ユーティリティの [Status (ステータス)] タブで変更できます。このタブの詳細については、Configuration ユーティリティに関するドキュメントを参照してください。
MOVEit Transfer SSH サーバーは、このタブで設定されているマシン URL を使用して MOVEit Transfer と通信します。このタブの詳細については、Configuration ユーティリティに関するドキュメントを参照してください。
MOVEit Transfer SSH サーバーによって使用される暗号化およびハッシュアルゴリズムは、[SSH Ciphers (SSH 暗号)] タブで設定できます。(MOVEit Transfer SSL サーバーによって使用される暗号化およびハッシュアルゴリズム、つまり、HTTPS と FTPS のいずれも設定可能です。)
このタブでは、SSH 接続のセキュリティ保護に使用される暗号とハッシュ関数を選択できます。
FIPS および PCI コンプライアンスのため、弱い暗号の使用を避ける必要が生じる場合があります。例えば、PCI 監査では、MD5 や MD5-96 などの暗号の使用がフラグ付けされる可能性があります。FIPS によって承認されている SSH 向け暗号方式には、(2015 年 9 月現在で) 3des-cbc、aes128-cbc、aes192-cbc、aes-256 の各暗号と、hmac-sha2-512、hmac-sha2-256、hmac-sha1、hmac-md5、hmac-sha1-96、hmac-md5-96 の各ハッシュ関数が含まれます。
注:ただし、特定のセッション用の実際の暗号とハッシュ関数を選択する際には、クライアントとサーバーのユーザー設定が考慮に入れられます。クライアント側とサーバー側の両方に共通の暗号とハッシュ関数がないと、エラーが発生します。
[SSH Ciphers (SSH 暗号)] セクションでは、許容可能な暗号とその優先順位を選択できます。 デフォルトで、すべての暗号が有効化されます。
選択されたエントリを無効化するか、選択されていないエントリを有効化するには、[Enabled (有効)] チェックボックスを選択します。
リストの上部に近いエントリほど、下位のエントリよりも優先順位が高くなります。リスト内でエントリを上下に移動するには、矢印ボタンを使用します。弱い暗号またはハッシュを許可する必要がある場合でも、強い暗号とハッシュは常にリストの上部に配置してください。
[SSH Hash Functions (SSH ハッシュ関数)] セクションでは、許容可能なハッシュ関数とその優先順位を選択できます。 デフォルトで、すべてのハッシュ関数が有効化されます。
選択されたエントリを無効化するか、選択されていないエントリを有効化するには、[Enabled (有効)] チェックボックスを選択します。
リストの上部に近いエントリほど、下位のエントリよりも優先順位が高くなります。リスト内でエントリを上下に移動するには、矢印ボタンを使用します。
MOVEit Transfer サーバーによってどのアルゴリズムがサポートされているかを知る必要のあるクライアントのために、このセクションには網羅的なリストを掲載してあります。
SSH プロトコルは、サーバーがサポートしているモードをリストするようサーバーに求めるため、多くの SSH クライアントは、接続するだけで MOVEit Transfer からこの情報を取得することもできます。セキュリティ上、この情報を非公開にすべき理由はありません。
MOVEit Transfer SSH サーバーは以下の暗号化アルゴリズムをサポートしています。
MOVEit Transfer SSH サーバーは以下の (キー付き)ハッシュアルゴリズムをサポートしています。
MOVEit Transfer SSH サーバーは以下の高速圧縮アルゴリズムをサポートしています。