配置终端集成

通过终端集成，您可以将您的 CA Access Control 端点与 PUPM 相集成，以便跟踪签出特权帐户的用户的活动。终端集成还让您指定，用户必须使用自动登录来登录到具有特权帐户的 CA Access Control 端点。

在配置终端集成之前，请验证以下各项：

CA Access Control 企业管理中存在您想为其配置终端集成的特权帐户。
该端点上已启用终端集成，也就是说，PUPMAgent 部分中的 EnableLogonIntegration 配置设置的值为 1。
注意：默认情况下，当您安装启用了“PUPM 集成”功能的 CA Access Control 时，会启用终端集成。如果您启用了终端集成，但是没有对其进行配置，CA Access Control 则不会对任何帐户实施终端集成。
(UNIX) CA Access Control 将 PAM 登录拦截用于用来连接端点的登录程序。
例如，如果用户使用 SSH 连接端点，请验证 CA Access Control 是否使用 PAM 登录拦截来拦截 SSH 登录。

注意：有关 PAM 登录拦截和 LOGINAPPL 类的详细信息，请参阅《selang 参考指南》。

下列步骤说明了如何为单个的特权帐户配置终端集成。您可以使用策略为在多个端点上具有相同名称的特权帐户配置终端集成。

配置终端集成

在 CA Access Control 端点管理中，依次单击“用户”选项卡、“用户”子选项卡，然后搜索您想为其配置终端集成的特权帐户。
注意：有关如何在 CA Access Control 端点管理中管理用户的详细信息，请参阅联机帮助。
选择特权帐户。
此时出现“修改用户”任务页面的“常规”选项卡。
在“帐户”部分中，选择下列选项中的一项或两项：

使用原来的身份

指定当 CA Access Control 写入审核记录并作出授权决策时，使用签出特权帐户的用户的名称，而不是特权帐户用户名。

在登录前需要签出帐户

指定用户必须使用自动登录来登录到具有该特权帐户的端点。通过自动登录，用户可以签出密码并从 CA Access Control 企业管理自动登录到端点。
单击“保存”。
您已为该特权帐户启用和配置终端集成。

示例：配置终端集成的策略

下列策略为名为 administrator 的帐户配置终端集成。策略指定当 CA Access Control 写入审核记录并作出授权决策时使用最初用户名，还指定用户必须使用自动登录以 administrator 身份登录到端点：

editusr administrator pupm_flags(use_original_identity)
editusr administrator pupm_flags(required_checkout)

更多信息：