FTP クライアントを Kerberos 用にカスタマイズするステップ

FTP クライアントは、TLS と Kerberos のどちらかを使用できるように設定できますが、両方を同時に使用できるように設定することはできません。

手順

FTP クライアントを Kerberos 用にカスタマイズするには、以下のステップを実行します。

クライアントの FTP.DATA 構成ファイルの中に次のステートメントをコーディングし、クライアントを Kerberos 用に使用可能にします。
```
SECURE_MECHANISM GSSAPI
```
そのクライアントに Kerberos プロトコルの使用を義務付けるかどうかを決めます。 FTP サーバーが Kerberos をサポートしていない場合は、クライアントが Kerberos セキュリティーを使用せずにログインできるようにするか、クライアントにセキュア・セッションの使用を義務付けてログインを失敗させることができます。デフォルトは、クライアントに Kerberos の使用を義務付けないことです。この設定は、SECURE_FTP 構成ステートメントを使用してカスタマイズされます。
クライアントが Kerberos プロトコルを使用してログインするようにし、サーバーが Kerberos をサポートしていなければ Kerberos を使用せずにクライアントがログインできるようにするには、クライアントの FTP.DATA 構成ファイルの中に次のステートメントをコーディングします。
```
SECURE_FTP ALLOWED
```
これはデフォルトです。
クライアントが Kerberos プロトコルを使用してログインするようにし、サーバーが Kerberos をサポートしていなければログインを失敗させ、クライアントがログインできないようにするには、クライアントの FTP.DATA 構成ファイルの中に次のステートメントをコーディングします。
```
SECURE_FTP REQUIRED
```
データ接続のためのセキュリティー・レベルを決めます。暗号化データ転送を義務付けることを選択するか、データ転送のセキュリティー・レベルを FTP ユーザーが決定できるようにすることを選択できます。デフォルトは、データを暗号化せず、FTP セッションの中でサーバーが要求するか FTP ユーザーが要求したときにのみデータが暗号化されるようにすることです。
データ接続のセキュリティー・レベルは、FTP.DATA 内の SECURE_DATACONN ステートメントと、FTP セッション内で FTP ユーザーが発行するサブコマンドの両方によって決定されることに注意してください。

以下のサブコマンドがユーザーによって発行される場合があります。

clear

セキュリティー・レベルをリセットし、データが未加工で転送されるようにします。

private

セキュリティー・レベルをリセットし、データが暗号化されて転送されるようにします。クライアントが Kerberos のセキュリティー・メカニズムを使用している場合、データは保全性とプライバシーの両方を保護して転送されます。クライアントが TLS セキュリティー・メカニズムを使用している場合は、サーバーとクライアントの間で TLS プロトコル・ネゴシエーションを使用して暗号アルゴリズムがネゴシエーションされます。

safe

セキュリティー・レベルをリセットし、データが保全性のみを保護して転送されるようにします。

データに暗号アルゴリズムを適用せず、クライアントがデータを未加工で転送するようにしたい場合は、クライアントの FTP.DATA 構成ファイルの中に次のステートメントをコーディングします。
```
SECURE_DATACONN NEVER
```
データを未加工で、または暗号化して転送できることを示すには、クライアントの FTP.DATA 構成ファイルの中に次のステートメントをコーディングします。
```
SECURE_DATACONN CLEAR
```
これはデフォルトです。
デフォルトでは、データは未加工で転送されます。しかし、ユーザーは FTP セッションの中で private サブコマンドを発行することにより、データが保全性とプライバシーの両方を保護して転送されるようにデータ接続のセキュリティー・レベルを変更できます。また、ユーザーは safe サブコマンドを発行することにより、データが保全性だけを保護して転送されるようにデータ接続のセキュリティー・レベルを変更できます。あるいは、clear サブコマンドを発行することにより、データが再び未加工で転送されるようにデータ接続のセキュリティー・レベルを元に戻すことができます。

データが必ず保全性とプライバシーの両方を保護して転送されるようにしたい場合は、クライアントの FTP.DATA 構成ファイルの中に次のステートメントをコーディングします。
```
SECURE_DATACONN PRIVATE
```
データが必ず保全性のみを保護して転送されるか、必ず保全性とプライバシーの両方を保護して転送されるようにしたい場合は、クライアントの FTP.DATA 構成ファイルの中に次のステートメントをコーディングします。
```
SECURE_DATACONN SAFE
```
デフォルトでは、データは保全性のみを保護して転送されます。しかし、ユーザーは FTP セッションの中で private サブコマンドを発行することにより、データが保全性とプライバシーの両方を保護して転送されるようにデータ接続のセキュリティー・レベルを変更できます。また、ユーザーは safe サブコマンドを発行することにより、データが保全性のみを保護して転送されるようにデータ接続のセキュリティー・レベルを元に戻すことができます。
制御接続のための (つまり、FTP コマンドと返信のための) セキュリティー・レベルを決めます。データの暗号化を義務付けることを選択するか、セキュリティー・レベルを FTP ユーザーが決定できるようにすることを選択できます。デフォルトは、データを暗号化せず、FTP セッションの中でサーバーが要求するか FTP ユーザーが要求したときにのみデータが暗号化されるようにすることです。
データ接続のセキュリティー・レベルは、FTP.DATA 内の SECURE_CTRLCONN ステートメントと、FTP セッション内で FTP ユーザーが発行するサブコマンドの両方によって決定されることに注意してください。

以下のサブコマンドがユーザーによって発行される場合があります。

cprotect clear

セキュリティー・レベルをリセットし、データが未加工で転送されるようにします。

cprotect private

セキュリティー・レベルをリセットし、データが保全性とプライバシーの両方を保護して転送されるようにします。

cprotect safe

セキュリティー・レベルをリセットし、データが保全性のみを保護して転送されるようにします。

データを未加工で、または暗号化して転送できることを示すために、サーバーの FTP.DATA 構成ファイルの中に次のステートメントをコーディングできます。
```
SECURE_CTRLCONN CLEAR
```
これはデフォルトです。
デフォルトでは、データは未加工で転送されます。しかし、ユーザーは FTP セッションの中で cprotect private サブコマンドを発行することにより、データが保全性とプライバシーの両方を保護して転送されるようにセキュリティー・レベルを変更できます。また、ユーザーは cprotect safe サブコマンドを発行することにより、データが保全性だけを保護して転送されるようにセキュリティー・レベルを変更できます。また、cprotect clear サブコマンドを発行することにより、データが再び未加工で転送されるようにセキュリティー・レベルを元に戻すことができます。

データが必ず保全性とプライバシーの両方を保護して転送されるようにしたい場合は、クライアントの FTP.DATA 構成ファイルの中に次のステートメントをコーディングします。
```
SECURE_CTRLCONN PRIVATE
```
データが必ず保全性のみを保護して転送されるか、必ず保全性とプライバシーの両方を保護して転送されるようにしたい場合は、クライアントの FTP.DATA 構成ファイルの中に次のステートメントをコーディングします。
```
SECURE_CTRLCONN SAFE
```
デフォルトでは、データは保全性のみを保護して転送されます。しかし、ユーザーは FTP セッションの中で cprotect private サブコマンドを発行することにより、データが保全性とプライバシーの両方を保護して転送されるようにデータ接続のセキュリティー・レベルを変更できます。また、ユーザーは cprotect safe サブコマンドを発行することにより、データが保全性のみを保護して転送されるようにデータ接続のセキュリティー・レベルをリセットできます。