お世話になります。
アクセスリストでのアクセス制御についてです。
当方の環境では、SoftEtherサーバーはLinuxで立てており、それをWindowsの管理マネージャで設定、管理しています。
ユーザーが100人ほどおり、VPN経由での各種サーバーへのアクセス制御を、アクセスリストを使って行っています。
理想はLinuxにおけるグループ属性のように、ユーザーを複数グループに属させて、あるサーバーへのアクセスは特定のグループに入っている人だけ許可する、という方法でしたが、SoftEtherではユーザーが属するグループは一つに限定されているようで、この方法は取れませんでした。
どうにかならないか調べてみると、FAQ(VPNFAQ024)に、テキストファイルを使ったアクセスリストによる方法が記載されていました。
記載では、
> 仮想 HUB のアクセスリストエントリにおけるユーザー名フィールドに、ユーザー名の代わりに「include:C:\userlist.txt」のように記載します。
となっています。
当方のようにサーバーがLinuxで管理マネージャがWindowsのような場合、テキストファイルは管理マネージャ側(Windows)ではなくサーバー側(Linux)に保存し、管理マネージャからLinuxのパスでファイル指定(たとえば/usr/local/softether/userlist.txt )を行う必要があるでしょうか?
アクセスリストへのテキストファイル登録について
-
cedar
- Site Admin
- Posts: 2265
- Joined: Sat Mar 09, 2013 5:37 am
Re: アクセスリストへのテキストファイル登録について
はい。
このリストファイルは、サーバー側に置く必要があります。
ファイル名の先頭に「@」を追加することで、vpnserver 実行ファイルからの相対パスで指定することもできます。
このリストファイルは、サーバー側に置く必要があります。
ファイル名の先頭に「@」を追加することで、vpnserver 実行ファイルからの相対パスで指定することもできます。
-
smileclock
- Posts: 3
- Joined: Wed May 23, 2018 1:23 am
Re: アクセスリストへのテキストファイル登録について
ご回答ありがとうございます。
> このリストファイルは、サーバー側に置く必要があります。
やはりそうですか。
ということで試してみました。
/usr/local/vpnserver にvpnserver実行ファイルがある状態で、このディレクトリにaclist/maintainer.listファイルを作成し、名前を登録しました。
「送信元の名前」欄にinclude:/usr/local/vpnserver/aclist/maintainer.list を記載し保存すると、リストに従ってアクセス制御できていることが確認できました。
ただ、
> ファイル名の先頭に「@」を追加することで、vpnserver 実行ファイルからの相対パスで指定することもできます。
とのことでしたが、include:@/aclist/mainainer.list と include:@aclist/maintainer.list のいずれも有効にならないようです。
書き方が間違っているのでしょうか?
あと、このアクセスリストファイルにコメント(無効行)を入れることは可能でしょうか?
> このリストファイルは、サーバー側に置く必要があります。
やはりそうですか。
ということで試してみました。
/usr/local/vpnserver にvpnserver実行ファイルがある状態で、このディレクトリにaclist/maintainer.listファイルを作成し、名前を登録しました。
「送信元の名前」欄にinclude:/usr/local/vpnserver/aclist/maintainer.list を記載し保存すると、リストに従ってアクセス制御できていることが確認できました。
ただ、
> ファイル名の先頭に「@」を追加することで、vpnserver 実行ファイルからの相対パスで指定することもできます。
とのことでしたが、include:@/aclist/mainainer.list と include:@aclist/maintainer.list のいずれも有効にならないようです。
書き方が間違っているのでしょうか?
あと、このアクセスリストファイルにコメント(無効行)を入れることは可能でしょうか?
-
cedar
- Site Admin
- Posts: 2265
- Joined: Sat Mar 09, 2013 5:37 am
Re: アクセスリストへのテキストファイル登録について
すみません「@」を付けるというのは誤情報でした。正しくは先頭に「/」がない場合に実行ファイルからの相対パスになります。
行頭が「#」「//」「;」の行は読み込み時に無視されるようです。
行頭が「#」「//」「;」の行は読み込み時に無視されるようです。
-
smileclock
- Posts: 3
- Joined: Wed May 23, 2018 1:23 am
Re: アクセスリストへのテキストファイル登録について
確認しました。
* 先頭に「/」をつけないばあい、相対パスとして認識することを確認できました。
* 行頭を「#」にすると、その行は無視され、他の行は有効であることが確認できました。
おかげさまで、同一サービスに対するアクセスリストがグループごとに複数登録されている状態が改善され、1サービスにつき1行の登録だけで済むようになり、とても見通しが良くなりました。
まとめます。
・アクセスリストには、ユーザー名を複数登録したテキストファイルを指定することができる。
・テキストファイルの書式は、1行につき1ユーザーを記載する。
・テキストファイルは、管理マネージャ側ではなく、VPN Server内に配置する。
・アクセスリストエントリのユーザー名フィールドに、「include:c:\userlist.txt」のように指定することで、ユーザーリストに登録されているユーザーに対しアクセスリストを適用する。(リストに登録されていないユーザーに適用したい場合は「exclude:c:\userlist.txt」のように指定する)
・上記指定はフルパスもしくはvpnserver実行ファイルからの相対パスを指定できる。「include:」もしくは「exclude:」のあとに相対パスを直接記載する。
・テキストファイルの行頭を「#」「//」「;」で開始すると、その行はコメントとみなされる。
ありがとうございました。
* 先頭に「/」をつけないばあい、相対パスとして認識することを確認できました。
* 行頭を「#」にすると、その行は無視され、他の行は有効であることが確認できました。
おかげさまで、同一サービスに対するアクセスリストがグループごとに複数登録されている状態が改善され、1サービスにつき1行の登録だけで済むようになり、とても見通しが良くなりました。
まとめます。
・アクセスリストには、ユーザー名を複数登録したテキストファイルを指定することができる。
・テキストファイルの書式は、1行につき1ユーザーを記載する。
・テキストファイルは、管理マネージャ側ではなく、VPN Server内に配置する。
・アクセスリストエントリのユーザー名フィールドに、「include:c:\userlist.txt」のように指定することで、ユーザーリストに登録されているユーザーに対しアクセスリストを適用する。(リストに登録されていないユーザーに適用したい場合は「exclude:c:\userlist.txt」のように指定する)
・上記指定はフルパスもしくはvpnserver実行ファイルからの相対パスを指定できる。「include:」もしくは「exclude:」のあとに相対パスを直接記載する。
・テキストファイルの行頭を「#」「//」「;」で開始すると、その行はコメントとみなされる。
ありがとうございました。