制御接続のセキュリティー・レベル (SECURE_CTRLCONN)
この設定は、制御接続に使用するセキュリティーのレベルを指示するために使用され、Kerberos のみに適用されます。TLS を使用する場合には、制御接続を暗号化する必要があるので、この設定は TLS の動作には影響を与えません。
用語
このページで使用している用語の定義。
- 保全性保護、データ保全性、またはデータ認証
- 転送されるデータに、受信プログラムが転送中データが変更されていないことを検査できるように、データが変更されるアルゴリズムが適用されることを示します。
- プライバシー保護
- 転送されるデータに、受信プログラムだけが特殊な鍵を使用してデータを元の形式に復号またはスクランブル解除できるように、
データを暗号化またはスクランブル化するアルゴリズムが適用されることを示します。
データの転送中は、元のデータを見たり変換することはできません。
- ロー
- データが、暗号化またはデータ保全性アルゴリズムによって変更されないで転送されることを示します。
- 暗号化または暗号アルゴリズム
- 転送されるデータに、暗号化、保全性保護、あるいはその両方が行われます。この用語は、どのアルゴリズムが使用されるかを意味するものではなく、データが暗号化されることを意味するものではありません。
システム Kerberos (ネットワーク認証サービス) は、暗号化と保全性アルゴリズムを提供します。制御接続データ
(FTP コマンドおよび応答) は、保全性保護またはプライバシーと保全性保護の両方で、暗号化するように要求できます。しかし、Kerberos が使用するアルゴリズムは、カスタマイズまたはネゴシエーションできません。
制御接続で転送されるデータは、常に FTP コマンドおよび応答プロトコルです。
制御接続のセキュリティー・レベルの設定は、クライアントの構成時とサーバーの構成時の両方で使用可能です。
FTP サーバー構成時の選択
- CLEAR
- クライアントが、データをローで転送するか、保全性保護のみで転送するか、あるいは保全性とプライバシー保護の両方で転送するかを決定することを示します。
- PRIVATE
- サーバーが、保全性とプライバシー保護の両方を使用してデータを転送する必要があることを示します。
ローまたは保全性保護のみでデータを送信しようとするクライアントは拒否されます。
- SAFE
- サーバーが、保全性保護のみを使用するか、または保全性とプライバシー保護の両方を使用してデータを転送する必要があることを示します。
ロー・データを送信しようとするクライアントは拒否されます。
FTP クライアント構成時の選択
開始する前に、制御接続のセキュリティー・レベルがこのページでの構成の設定と FTP セッション中に FTP ユーザーが出すコマンドの両方によって決定されることを理解する必要があります。 ユーザーは次のコマンドを出すことができます。
- cprotect clear
- データがローで転送されるようにセキュリティー・レベルをリセットします。
- cprotect private
- データが保全性保護とプライバシー保護の両方を使用して転送されるようにセキュリティー・レベルをリセットします。
- cprotect safe
- データが保全性保護のみで転送されるようにセキュリティー・レベルをリセットします。
- CLEAR
- データをローで転送するか、保全性保護、または保全性とプライバシー保護の両方を使用して転送できることを示します。
デフォルトでは、データはローで転送されます。しかし、ユーザーは FTP セッション中に cprotect private および
cprotect safe コマンドを出して、制御接続のセキュリティー・レベルを変更できます。
cprotect private コマンドを出すと、制御接続のセキュリティー・レベルはデータが保全性とプライバシー保護の両方で転送されるように変更されます。
cprotect safe コマンドを出すと、制御接続のセキュリティー・レベルはデータが保全性保護のみで転送されるように変更されます。
また、ユーザーは cprotect clear コマンドを出して、制御接続のセキュリティー・レベルをデータが再びローで転送されるように元へリセットすることもできます。
- PRIVATE
- クライアントが、データを保全性とプライバシー保護の両方を使用して転送する必要があることを示します。
- SAFE
- データを、保全性保護のみか、保全性とプライバシー保護の両方を使用して転送できることを示します。
デフォルトでは、データは保全性保護のみで転送されます。
しかし、クライアントは FTP セッション中に cprotect private コマンドを出して、 制御接続のセキュリティー・レベルをデータが保全性とプライバシー保護の両方で転送されるように変更できます。また、ユーザーは cprotect safe コマンドを出して、 制御接続のセキュリティー・レベルをデータが保全性保護のみで転送されるように元へリセットすることもできます。