データ接続のセキュリティー・レベル (SECURE_DATACONN)
この設定は、データ接続に使用するセキュリティーのレベルを指示するために使用され、TLS と Kerberos の両方に適用されます。
用語
このページで使用している用語の定義。
- 保全性保護、データ保全性、またはデータ認証
- 転送されるデータに、受信プログラムが転送中データが変更されていないことを検査できるように、データが変更されるアルゴリズムが適用されることを示します。
- プライバシー保護
- 転送されるデータに、受信プログラムだけが特殊な鍵を使用してデータを元の形式に復号またはスクランブル解除できるように、
データを暗号化またはスクランブル化するアルゴリズムが適用されることを示します。
データの転送中は、元のデータを見たり変換することはできません。
- ロー
- データが、暗号化またはデータ保全性アルゴリズムによって変更されないで転送されることを示します。
- 暗号化または暗号アルゴリズム
- 転送されるデータに、暗号化、保全性保護、あるいはその両方が行われます。この用語は、どのアルゴリズムが使用されるかを意味するものではなく、データが暗号化されることを意味するものではありません。
TLS と Kerberos の間には相違があります。
TLS の場合には、FTP セッションにどの暗号アルゴリズムを使用するかをネゴシエーションするために、システム SSL サービスおよびプロトコルが使用されます。
システム SSL には複数の暗号アルゴリズムがあって、暗号化とデータ認証 (すなわち、データ保全性) の両方が提供されます。
暗号化は、データが秘密裏に転送されて、特殊な鍵がなければ変換できないように、データをスクランブル化します。データ認証アルゴリズムは、データが転送中に変更されないようにします。
提供される一部の暗号アルゴリズムではデータ認証だけが提供され、他のアルゴリズムでは暗号化と認証の両方が提供されます。FTP でどの暗号アルゴリズムを使用するかはカスタマイズできます。しかし、セッションに実際に使用される暗号アルゴリズムは、セッションとクライアントの間でのネゴシエーションの後で決定されることに注意してください。たとえば、「Triple DES 暗号化、SHA 認証」アルゴリズムを使用するように FTP サーバーを構成しても、 クライアントがそのアルゴリズムをサポートしていなければ、それは使用されません。
Kerberos の場合には、システム Kerberos (ネットワーク認証サービス) が暗号化と保全性アルゴリズムを提供します。データの暗号化は、保全性保護のために要求するか、あるいはプライバシーと保全性保護の両方のために要求できます。しかし、Kerberos が使用するアルゴリズムは、カスタマイズまたはネゴシエーションできません。
データ接続のセキュリティー・レベルは、クライアントの構成時とサーバーの構成時の両方で使用可能です。
FTP サーバー構成時の選択
- NEVER
- サーバーが、データに暗号アルゴリズムを適用しないでローで転送する必要があることを示します。
暗号を使用しようとするクライアントは拒否されます。
- CLEAR
- クライアントが、データをローで転送するか暗号化して転送するかを決定することを示します。
TLS の場合には、データを暗号化するかしないかをクライアントが決定します。暗号化すると指示した場合には、暗号アルゴリズムは TLS プロトコルを使用して選択されます。
Kerberos の場合には、データをローで転送するか、保全性保護のみするか、保全性保護とプライバシー保護の両方を適用するかをクライアントが指定できます。
- PRIVATE
- サーバーが、データを暗号化して転送する必要があることを示します。
ロー・データを送信しようとするクライアントは拒否されます。
TLS の場合には、暗号アルゴリズムは TLS プロトコルを使用して選択されます。
Kerberos の場合には、データは保全性保護とプライバシー保護の両方を使用して転送されなければなりません。保全性保護だけでデータを送信しようとするクライアントは拒否されます。
- SAFE
- TLS の場合には、このオプションの選択は PRIVATE の選択と同等です。
Kerberos の場合には、データは保全性保護だけを使用するか、保全性保護とプライバシー保護の両方を使用して転送しなければなりません。
ロー・データを送信しようとするクライアントは拒否されます。
FTP クライアント構成時の選択
開始する前に、データ接続のセキュリティー・レベルがこのページでの構成の設定と FTP セッション中に FTP ユーザーが出すコマンドの両方によって決定されることを理解する必要があります。 ユーザーは次のコマンドを出すことができます。
- clear
- データがローで転送されるようにセキュリティー・レベルをリセットします。
- private
- データが暗号化して転送されるようにセキュリティー・レベルをリセットします。クライアントが Kerberos セキュリティー・メカニズムを使用している場合には、データは保全性保護とプライバシー保護の両方を使用して転送されます。 クライアントが TLS セキュリティー・レベルを使用している場合には、暗号アルゴリズムは TLS プロトコル・ネゴシエーションを使用して選択されます。
- safe
- データが保全性保護のみで転送されるようにセキュリティー・レベルをリセットします。このコマンドは、Kerberos セキュリティー・メカニズムを使用しているセッションのみに適用されます。
- NEVER
- クライアントが、データに暗号アルゴリズムを適用しないでローで転送する必要があることを示します。
- CLEAR
- データをローまたは暗号化して転送できることを示します。
デフォルトでは、データはローで転送されます。しかし、ユーザーは FTP セッション中に private コマンドを出して、
データ接続のセキュリティー・レベルを、データを暗号化して転送するように変更できます。
また、clear コマンドを出して、 データが再びローで転送されるようにデータ接続のセキュリティー・レベルを元へリセットすることもできます。
TLS の場合には、private コマンドが出されると、暗号アルゴリズムは TLS プロトコルを使用して選択されます。
Kerberos の場合には、private コマンドが出されると、データは保全性保護とプライバシー保護の両方を使用して転送されます。
private および clear コマンドに加えて、ユーザーは safe コマンドを出して、データ接続のセキュリティー・レベルをデータが保全性保護のみで転送されるように変更できます。
- PRIVATE
- クライアントが、データを暗号化して転送する必要があることを示します。
TLS の場合には、暗号アルゴリズムは TLS プロトコルを使用して選択されます。
Kerberos の場合には、保全生保護とプライバシー保護の両方を使用して転送されます。
- SAFE
- TLS の場合には、このオプションの選択は PRIVATE の選択と同等です。
Kerberos の場合には、データを保全性保護のみで転送するか、保全性保護とプライバシー保護の両方で転送できることを示します。
デフォルトでは、データは保全性保護のみで転送されます。
しかし、ユーザーは FTP セッション中に private コマンドを出して、 データ接続のセキュリティー・レベルをデータが保全性保護とプライバシー保護の両方を使用して転送されるように変更できます。 また、safe コマンドを出して、データが保全性保護のみで転送されるようにデータ接続のセキュリティー・レベルを元へリセットすることもできます。