アクセスリストへのテキストファイル登録について

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
smileclock
Posts: 3
Joined: Wed May 23, 2018 1:23 am

アクセスリストへのテキストファイル登録について

Post by smileclock » Wed May 23, 2018 1:45 am

お世話になります。

アクセスリストでのアクセス制御についてです。

当方の環境では、SoftEtherサーバーはLinuxで立てており、それをWindowsの管理マネージャで設定、管理しています。
ユーザーが100人ほどおり、VPN経由での各種サーバーへのアクセス制御を、アクセスリストを使って行っています。
理想はLinuxにおけるグループ属性のように、ユーザーを複数グループに属させて、あるサーバーへのアクセスは特定のグループに入っている人だけ許可する、という方法でしたが、SoftEtherではユーザーが属するグループは一つに限定されているようで、この方法は取れませんでした。

どうにかならないか調べてみると、FAQ(VPNFAQ024)に、テキストファイルを使ったアクセスリストによる方法が記載されていました。
記載では、
> 仮想 HUB のアクセスリストエントリにおけるユーザー名フィールドに、ユーザー名の代わりに「include:C:\userlist.txt」のように記載します。
となっています。
当方のようにサーバーがLinuxで管理マネージャがWindowsのような場合、テキストファイルは管理マネージャ側(Windows)ではなくサーバー側(Linux)に保存し、管理マネージャからLinuxのパスでファイル指定(たとえば/usr/local/softether/userlist.txt )を行う必要があるでしょうか?

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: アクセスリストへのテキストファイル登録について

Post by cedar » Wed May 23, 2018 8:46 am

はい。
このリストファイルは、サーバー側に置く必要があります。
ファイル名の先頭に「@」を追加することで、vpnserver 実行ファイルからの相対パスで指定することもできます。

smileclock
Posts: 3
Joined: Wed May 23, 2018 1:23 am

Re: アクセスリストへのテキストファイル登録について

Post by smileclock » Thu May 24, 2018 7:58 am

ご回答ありがとうございます。

> このリストファイルは、サーバー側に置く必要があります。

やはりそうですか。
ということで試してみました。
/usr/local/vpnserver にvpnserver実行ファイルがある状態で、このディレクトリにaclist/maintainer.listファイルを作成し、名前を登録しました。
「送信元の名前」欄にinclude:/usr/local/vpnserver/aclist/maintainer.list を記載し保存すると、リストに従ってアクセス制御できていることが確認できました。

ただ、
> ファイル名の先頭に「@」を追加することで、vpnserver 実行ファイルからの相対パスで指定することもできます。
とのことでしたが、include:@/aclist/mainainer.list と include:@aclist/maintainer.list のいずれも有効にならないようです。
書き方が間違っているのでしょうか?
あと、このアクセスリストファイルにコメント(無効行)を入れることは可能でしょうか?

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: アクセスリストへのテキストファイル登録について

Post by cedar » Thu May 24, 2018 9:11 am

すみません「@」を付けるというのは誤情報でした。正しくは先頭に「/」がない場合に実行ファイルからの相対パスになります。

行頭が「#」「//」「;」の行は読み込み時に無視されるようです。

smileclock
Posts: 3
Joined: Wed May 23, 2018 1:23 am

Re: アクセスリストへのテキストファイル登録について

Post by smileclock » Fri May 25, 2018 1:45 am

確認しました。
* 先頭に「/」をつけないばあい、相対パスとして認識することを確認できました。
* 行頭を「#」にすると、その行は無視され、他の行は有効であることが確認できました。

おかげさまで、同一サービスに対するアクセスリストがグループごとに複数登録されている状態が改善され、1サービスにつき1行の登録だけで済むようになり、とても見通しが良くなりました。


まとめます。
・アクセスリストには、ユーザー名を複数登録したテキストファイルを指定することができる。
・テキストファイルの書式は、1行につき1ユーザーを記載する。
・テキストファイルは、管理マネージャ側ではなく、VPN Server内に配置する。
・アクセスリストエントリのユーザー名フィールドに、「include:c:\userlist.txt」のように指定することで、ユーザーリストに登録されているユーザーに対しアクセスリストを適用する。(リストに登録されていないユーザーに適用したい場合は「exclude:c:\userlist.txt」のように指定する)
・上記指定はフルパスもしくはvpnserver実行ファイルからの相対パスを指定できる。「include:」もしくは「exclude:」のあとに相対パスを直接記載する。
・テキストファイルの行頭を「#」「//」「;」で開始すると、その行はコメントとみなされる。

ありがとうございました。

Post Reply