Reflection for Secure IT UNIX Client and Server 7 - Attachmate ...

Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 Service Pack
1 の 新 機 能 およびリリースノート
適 用 対 象
Reflection for Secure IT UNIX クライアントバージョン 7.2 SP1
Reflection for Secure IT UNIX サーババージョン 7.2 SP1
概 要
この 技 術 ノートでは、Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 Service Pack 1 (SP1)
の 新 機 能 と SP1 で 解 決 された 問 題 、および SP1 に 関 するサービスパックの 入 手 方 法 について 記 述 して
います。 説 明 では 特 に、 無 償 のバージョンアップ 権 利 を 有 する 保 守 契 約 ユーザ 様 を 意 識 した 内 容 となっ
ています。
サービスパック 適 用 前 の 考 慮 点
* 本 技 術 ノートでは、Reflection サービスパックについて 説 明 しています。サービスパックは、 適 正
なライセンスを 受 け、これらの 製 品 を 対 象 とした 保 守 契 約 をされている Attachmate ユーザ 様 が
利 用 可 能 です。
* Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 SP1 ではインストール 用 バイナリ
ファイル 単 独 でインストールが 完 結 します。 別 途 7.2 を 用 意 する 必 要 はありません。
* ログインおよびダウンロードライブラリへのアクセスに 関 する 情 報 は、 技 術 ノート 0200 ( 英 語 の
み) を 参 照 してください。
* Reflection for Secure IT UNIX クライアントおよびサーバ 7.2 のリリース 時 点 における 機 能 一 覧
については、 技 術 ノート 2519 ( 英 語 のみ) を 参 照 してください。
* Reflection PKI サービスマネージャ 1.2 については、 技 術 ノート 2564 ( 英 語 のみ) を 参 照 してくだ
さい。
7.2 SP1 の 新 機 能
7.2 SP1 の 以 下 の 機 能 は、UNIX クライアントおよびサーバの 両 方 で 利 用 できます。
* このサービスパック 以 降 の Linux インストーラでは、 将 来 のバージョンをインストールするための
rpm [-U|--upgrade] オプションを 使 用 できるようになります。 注 意 : この 変 更 は、 将 来 のアップグ
レードにのみ 影 響 します。rpm -U を 使 用 してこのサービスパックをインストールすることはでき
ません。
* サーバおよびクライアントが SFTP バージョン 4 に 対 応 するようになりました。この 変 更 により、
UTF-8 文 字 を 使 用 できるようになりました。
- クライアントの 新 しいキーワード SFTPVersion を 使 用 して、 使 用 するバージョンを 構 成 する
ことができます。 有 効 な 値 は 3 および 4 です。これを 4 ( 既 定 値 ) に 設 定 すると、サーバが
SFTP バージョン 4 に 対 応 している 場 合 には 接 続 でバージョン 4 が 使 用 され、 対 応 していな
い 場 合 にはその 下 のバージョン 3 が 使 用 されます。 設 定 が 3 の 場 合 、クライアントでは 常
に SFTP バージョン 3 が 使 用 されます。
- サーバでは SFTP バージョン 4 が 既 定 として 設 定 されますが、クライアントがバージョン 4
に 対 応 していない 場 合 はその 下 のバージョン 3 が 使 用 されます。

* ssh-certtool ユーティリティで、SubjectAltName 拡 張 の UPN 値 および IP 値 を 指 定 できるように
なりました。
* ssh-certtool ユーティリティで、 鍵 長 (2048) とアルゴリズム (RSA) の 両 方 の 値 がコマンドライン
で 指 定 されていない 場 合 、これらの 既 定 値 を 使 用 して PKCS10 証 明 書 署 名 要 求 が 作 成 される
ようになりました。
* ssh-certtool および ssh-keygen ユーティリティでは、FIPS モードオプション (-f) を 使 用 できるよ
うになりました。このオプションを 使 用 すると、 生 成 されたすべての 鍵 が 強 制 的 に FIPS 基 準 を
満 たすようになります。さらに、ssh-certtool でこのオプションを 使 用 すると、FIPS 基 準 を 満 たす
鍵 をすべての PKCS#10 要 求 に 含 めることができます。
Reflection for Secure IT UNIX サーバの 新 機 能
* sftp または scp を 使 用 してサーバにアップロードしたファイルの 権 限 を、サーバのキーワード
ForceSftpFilePermissions を 使 用 して 構 成 できるようになりました。このキーワードは、サーバに
アップロードされたすべてのファイルに 指 定 のファイル 権 限 を 設 定 します。この 権 限 設 定 は、そ
の 他 すべての 権 限 設 定 処 理 に 優 先 します。このキーワードには 3 桁 の 権 限 モード 値 を 使 用 しま
す。 例 えば ForceSftpFilePermissions を 600 に 設 定 した 場 合 は、アップロードされたすべてのフ
ァイルに 600 (-rw-------) が 設 定 されます。さらに、クライアントのユーザが 既 存 ファイルの 権
限 を 変 更 しようとした 場 合 、ユーザが 要 求 する 権 限 値 に 関 係 なく、そのファイルは 600 に 設 定 さ
れます。この 設 定 は、ディレクトリ 権 限 には 影 響 しません。
7.2 SP1 で 解 決 された 問 題
7.2 SP1 で 解 決 された 問 題 は、 以 下 のとおりです。
解 決 されたクライアントの 問 題
* ユーザはクリップボードのデータをセッションに 貼 り 付 けることができます。
* scp を 使 用 して 従 来 の Reflection for Secure IT UNIX サーバにファイルを 転 送 する 際 、「(2)
Protocol error: packet too long: 35044」 ((2) プロトコルエラー: パケットが 長 すぎます: 35044) と
いうエラーメッセージが 表 示 されて 転 送 に 失 敗 することがなくなりました。
* SFTP のルートディレクトリを 変 更 したユーザは、HP-UX 11.31 システムにログインできます。
* SSH 接 続 でローカルポート 転 送 コマンドを 使 用 した 場 合 、「ssh2: shutdown() failed」 (ssh2:
shutdown() が 失 敗 しました) というエラーは HP-UX 11.31 の syslog に 記 録 されません。
* Tivoli Storage Manager の「dsmc」リモートコマンドを 使 用 している 場 合 、 認 識 されない 出 力 は 記
録 されません。
* Reflection for Secure IT Windows サーバに 接 続 したときに sftp ロングリストコマンド (ls –l) を
使 用 すると、ファイルのタイムスタンプが 正 しく 表 示 されます。
* 認 証 処 理 時 にパスワードを 変 更 した 場 合 、「PAM failure」 (PAM の 失 敗 ) というメッセージは 表
示 されません。
* ハイパフォーマンスネットワーキング (HPN) のどのようなネットワーク 状 態 でパフォーマンスが
向 上 するかを 記 述 したマニュアルが 追 加 されました。
* ホスト 鍵 の 従 来 の 名 前 付 け 形 式 < 鍵 _ポート_ホスト 名 >.pub を 使 用 できるようになりました。
* StrictModes キーワードが「no」に 設 定 されている 場 合 、NFS ホームディレクトリの 制 限 が 少 ない
ユーザは 認 証 に 成 功 します。

* HP-UX のブートおよびシャットダウンのスクリプトが 修 正 されました。
* glob 構 文 式 が 含 まれる scp コマンドに 対 応 するようになりました。
解 決 されたサーバの 問 題
* HostSpecificConfig を 使 用 した 場 合 、サーバ 構 成 ファイル 内 のすべてのキーワードに 既 定 値 以
外 の 値 が 適 用 されます。
* 期 限 切 れパスワードを 変 更 する 際 に、「who: memory exhausted」 (ユーザ 名 : メモリがすべて 使
用 されています) というメッセージが 表 示 されなくなりました。
* ログファイル 内 の「wixbld」への 参 照 が 削 除 されました。
* HostSpecificConfig エラーに 対 する 一 般 的 なメッセージが、キーワード 固 有 の 参 照 に 変 更 されま
した。
* 公 開 鍵 の 認 証 に 失 敗 した 場 合 、 公 開 鍵 の 試 行 の 失 敗 ではなく 失 敗 したログインエントリだけが
/etc/security/failedlogin に 書 き 込 まれます。
* TCP Wrapper も 構 成 している 場 合 、サーバのキーワード SyslogFacility への 設 定 値 は 適 切 に 使
用 されます。
* Linux でサーバをアップグレードしても、sftp-server シンボリックリンクのエラーメッセージが 表
示 されなくなりました。
* Pluggable Authentication Module (PAM) LDAP が SSL 対 応 の LDAP サーバに 対 応 するように
なりました。
セキュリティ 更 新
* CVE-2009-2408 に 記 述 されているセキュリティの 脆 弱 性 に 対 する 対 策 ssh-certtool ユーティリ
ティを 使 用 して 証 明 書 署 名 要 求 (PKCS#10) を 生 成 した 場 合 、CN= および AltSubjName 文 字 列
への 入 力 の 不 要 部 分 が 削 除 されるため、カミンスキー 型 PKI レイヤケーキ 攻 撃 を 回 避 できます。
Reflection for Secure IT に 影 響 を 及 ぼす 可 能 性 のあるセキュリティの 警 告 およびアドバイザリの 最 新 情
報 については、 技 術 ノート 2288 ( 英 語 のみ) を 参 照 してください。
サービスパックの 入 手 方 法
登 録 されているお 客 様 は、Attachmate Download Library の 以 下 の Web サイトから、 最 新 の 製 品 リリー
スをダウンロードすることができます。
https://download.attachmate.jp/Login.aspx
ログインおよびダウンロードライブラリへのアクセスに 関 する 情 報 は、 技 術 ノート 0200 ( 英 語 のみ) を 参
照 してください。
注 意 : Internet Explorer を 使 用 して Sun Solaris、HP-UX、または IBM AIX パッケージをダウンロードす
ると、 大 文 字 の 拡 張 子 (.Z) が 小 文 字 (.z) に 変 更 されます。 大 文 字 の Z を 使 用 するには、ファイルを 解 凍
する 前 にそのファイル 名 を 変 更 する 必 要 があります。

サービスパックのインストール
プログラムを 入 手 しアップデートをする 前 に、/etc/ssh2 ディレクトリ ( 構 成 ファイルとホスト 鍵 が 格 納 され
ている) のバックアップをとります。その 後 、 現 行 バージョンをアンインストールしてから、7.2 SP1 をインス
トールします。インストールおよびアンインストールの 詳 細 手 順 については、ユーザガイド
(http://support.attachmate.com/manuals/rsit_unix.html) を 参 照 してください。
既 存 の Secure Shell プログラムを 置 き 換 える 方 法 (バックアップファイルを 使 って 既 定 以 外 の 設 定 を 新 し
い 構 成 ファイルに 結 合 する 操 作 を 含 む) の 詳 細 は、 技 術 ノート 2282 ( 英 語 のみ) またはユーザガイドのヘ
ルプトピック「 既 存 の Secure Shell プログラムの 置 き 換 え」
(http://support.attachmate.com/manuals/rsit_unix.html から 入 手 可 能 ) を 参 照 してください。
対 応 プラットフォーム
この 製 品 では、HP-UX 11i v1 (11.11) PARISC プラットフォームに 再 度 対 応 します。 対 応 プラットフォーム
についての 詳 細 は、 技 術 ノート 1944 ( 英 語 のみ) を 参 照 してください。
注 意 : 英 語 版 の 技 術 ノート (http://support.attachmate.com/techdocs/2565.html) では 情 報 が 更 新 され
ている 場 合 があります。