PAM: SSH や RDP セッションでポート 8550 への要求が遅延する
search cancel

PAM: SSH や RDP セッションでポート 8550 への要求が遅延する

book

Article ID: 380357

calendar_today

Updated On:

Products

CA Privileged Access Manager (PAM)

Issue/Introduction

Privileged Access Manager ( 以下、PAM) で SSH/RDPのセッションを開始すると、接続が確立するまでに 10 秒程度の時間がかかる。
ネットワークのトレースで調査すると、PAM は最初に SSH/RDP の前に 8550 のポートにアクセスしている。

Environment

Privileged Access Manager: 全バージョン

Cause

ポート 8550 は PAM とターゲットデバイスに導入された Socket Filter Agent (SFA) の間で通信を行うために使用されます。

PAM が SSH/RDP と通信を開始する時、最初にSFA が導入されているかをチェックするために、 8550 ポートに接続を試みて応答を待ちます。
ターゲットデバイスに SFAが導入されていない場合は、すぐに応答が返ってきます。
ここでファイアウォールが設定されている場合、設定に依存しますが、応答の方法は「DROPPED( 破棄 )」と「REJECTED( 拒否 )」の2通りがあります。

「DROPPED( 破棄 )」の場合は、アクセスに対して応答を返しません。
このため、SFA が有効かどうかを判断できないため、タイムアウトの時間までおおよそ 10 秒程度応答を待ちます。
SFA がインストールされて、稼働していれば通常はすぐに応答を返します。

Resolution

ファイアウォールの設定を「DROPPED( 破棄 )」から「REJECTED( 拒否 )」に変更してください。
「REJECTED( 拒否 )」に設定することで応答を待たずにSSH/RDPの接続を試行します。

注: SFA が使用されている場合は拒否せずにポートを開けてください。

8550 は SFA で使用されるデフォルトのポートになります。
他のアプリケーションとポートの競合が発生する場合は、
ポリシー > ポリシー フィルタ 管理 ソケットフィルタ タブを選択後、 設定を開いてエージェント ポートで設定を変更できます。

Additional Information

こちらの文書は以下の KB から翻訳加筆修正を行いました。

Article ID: 10007: Port 8550 queries delaying SSH and RDP sessions