|
|
|
CA Access Control は、使用する汎用設定を以下のキーの下で保守します。
HKEY_LOCAL_MACHINE¥SOFTWARE¥ComputerAssociates¥AccessControl¥SeOSD
SeOSD レジストリ キーには、以下のレジストリ エントリが含まれています。
パイプ名を定義します。パイプ名は、監査コレクタ コンポーネント(seosd 内)と監査コレクタの異なるクライアント(カーネル)との間の監査インターフェースとして機能します。
デフォルト: AuditCollector
監査キャッシュのサイズを、エントリ数で定義します。
デフォルト: 1024
seclassadm ユーティリティを使用して作成した新しいクラスを CA Access Control データベースに追加できるかどうかを指定します。
デフォルト: yes
sepropadm ユーティリティを使用して作成した新しいプロパティを CA Access Control データベースに追加できるかどうかを指定します。
デフォルト: yes
CA Access Control データベースが格納されているディレクトリ。
デフォルト: ACInstallDir¥data¥seosdb
SID をアカウント名に解決するために、CA Access Control が使用できるスレッド数を定義します。
デフォルト: 5
CA Access Control が SID のアカウント名への解決を停止するまでの、タイムアウトをミリ秒単位で定義します。
デフォルト: 2000
照合に使用される名前のサフィックスのリスト。
長い完全修飾ホスト名を作成するために、CA Access Control がこれらのサフィックスを短いホスト名に追加します。 関連する HOST クラス、CONNECT クラス、または TERMINAL クラスで、これらの名前を承認できます。 完全名を識別するために、CA Access Control は短い名前に domain_names リストのドメイン名を追加して承認に使用します。 HOSTNP クラスの場合、CA Access Control は、実際の IP アドレスに解決されるパターンと(このレジストリで列挙された)すべてのドメイン名を照合します。
デフォルト値なし
この値は、認証エンジンがキャッシュされたレコードを使用するか、またはデータベースのレコードを直接使用するかを制御します。
有効な値は以下のとおりです。
no - 認証エンジンはデータベースのレコードを使用します。
yes - 認証エンジンはキャッシュされたレコードを使用します。
デフォルト: no
埋め込み環境変数を解決する方法(FILE クラス、SECFILE クラス、PROGRAM クラス、PROCESS クラス、SPECIALPGM クラス、TERMINAL クラス、または USER クラスのオブジェクトの場合)。 以下に例を示します。
newfile %SystemRoot%¥temp.txt.
0 が選択されている場合、CA Access Control はすべての環境変数の解決を試み、エラー メッセージがユーザに発行され、オブジェクトは作成されません。
1 が選択されている場合、CA Access Control はすべての環境変数の解決を試み、警告メッセージがユーザに発行され、オブジェクトが作成されます。
2 が選択されている場合、CA Access Control はすべての環境変数の解決を試み、メッセージが表示されずに、オブジェクトが作成されます。
3 が選択されている場合、CA Access Control は環境変数の解決を試みません。
注: PMDB では、環境変数が存在しないことを前提とするため、解決が試みられることはありません。
デフォルト: 2
Full Enforcement モード(0)と Audit Only モード(1)のいずれを使用するかを指定します。
デフォルト: 0
猶予ログインの残り回数を定義します。この回数に達すると、[パスワードを変更します]ダイアログ ボックスが表示されます。
デフォルト: 0
ホスト名を解決する際に CA Access Control が使用するメソッドを指定します。
値は以下のとおりです。
0 - HOST 解決は同期です(現行の動作)
1 - HOST 解決は非同期です(「イベント ログ」レポート付き)
この設定の効果は、以下のとおりです。
2 - HOST 解決は非同期です(「イベント ログ」レポートなし)
通知メッセージがどこにも書き込まれないことを除いては、「1」と同様です。
デフォルト: 0
内部キャッシュの更新時間。 ネットワーク インターセプトの認証イベントはレジストリ値を使用します。
デフォルト: 30000
ネットワーク インターセプトのイベント発生時に、認証エンジンが IP の逆引きルックアップ要求を待つ時間。
デフォルト: 2000
CA Access Control がサブ認証 DLL (eACSubAuth.dll)によるトランザクションを待機する時間(ミリ秒単位)を定義します。この時間を過ぎると待機を止めます。 この時間を過ぎると、CA Access Control は LogonTimeOutAnswer に設定された値を返信します。
デフォルト: 4000
CA Access Control からの回答がないうちに LogonTimeOut 設定が経過した場合の、オペレーティング システムに対するログオン回答を定義します。
デフォルト: 1(true)
CA Access Control データベースに作成できる個別 FILE レコードの数。
最小値はデフォルトの値です。ユーザがこの値をデフォルトよりも小さい値に設定した場合、CA Access Control は最小値が設定されたかのように動作します。
デフォルト: 4096
CA Access Control データベースに作成できる包括 FILE レコード(名前パターン ベースのレコード)の数。
最小値はデフォルトの値です。ユーザがこの値をデフォルトよりも小さい値に設定した場合、CA Access Control は最小値が設定されたかのように動作します。
デフォルト: 512
カーネルまたはインストルメンテーション モードを使用して、プロセス作成をインターセプトし、seosd に通知するかどうかを指定します。
タイプ: REG_DWORD
値:
0 -- プロセス作成はカーネル モジュールを使用して実行されます。
1 -- プロセス作成はインストルメンテーション モジュールを使用して実行されます。
デフォルト: 0
注: キーを 1 に設定した場合、CA Access Control は Windows API のみを通じてプロセス作成をインターセプトします。
前回のセッションでデータベースが正しく閉じられなかった場合のみ、この値が適用されます。
この値が 0 に設定されている場合、起動時に、データベースの正当性がヒューリスティックな手順で検証されます。 このチェックでデータベースに問題が検出された場合は、データベースが再構築されます。
この値が 1 に設定されている場合は、ヒューリスティックな手順によるチェック機能は省略されます。 データベースはデータベース完全性チェックに従って再構築されます。
デフォルト: 1
自動 IP 更新要求の間隔(分単位)。
値が 0 に設定されている場合、IP 更新は自動的に実行されません。 1 ~ 30 の値を使用した場合、CA Access Control は、設定可能な最小間隔である 30 分を値として使用します。
注: 更新要求には時間がかかる場合があります。 詳細については、secons ユーティリティの -refIP オプションを参照してください。
デフォルト: 0
eACOexist.exe ユーティリティで使用する response.ini が格納されている場所。
デフォルト: ACInstallDir¥data¥response.ini
アクセサ エレメント エントリ テーブル(ACEE)から、未使用の仮想ログイン ユーザ エントリを CA Access Control が削除するまでのタイムアウト(分単位)を定義します。
CA Access Control は、ACEE に格納されている情報にアクセスする必要があるときに、仮想ログインを実行して ACEE エントリを作成します。
デフォルト: 60
SURROGATE クラスインターセプト モードを指定します。
タイプ: REG_DWORD
制限: 0 - ユーザ モード インターセプト。CA Access Control は RunAs ユーティリティから発生した偽装リクエストだけをインターセプトします。1 - カーネル モード インターセプト。CA Access Control はすべての偽装リクエストをインターセプトします。
デフォルト: 0
トレース パラメータの更新頻度を定義します。
デフォルト: 30
DbgView または Kernel Debugger へのトレースが有効(1)になっているかどうかを指定します。
デフォルト: 0
トレース ファイル(SusrauthTraceFileName)へのトレースが有効(1)になっているかどうかを指定します。
デフォルト: 0
トレース ファイルへの完全パス名を定義します。
デフォルト値なし
認証プロセス中にどの TERMINAL レコードを検証するかを認証エンジンが判定する方法を指定します。
値は以下のとおりです。
name - 認証エンジンは最初に、名前で TERMINAL レコードを探し、その名前のレコードが見つからなかった場合は、IP アドレスの一致を探します。
nameonly - 認証エンジンは、名前で TERMINAL レコードを探し、その名前のレコードが見つからなかった場合は、検索を停止します。 IP アドレス形式の TERMINAL レコードは無視されます。
IP - 認証エンジンは最初に、IP アドレスで TERMINAL レコードを探し、そのアドレスのレコードが見つからなかった場合は、名前の一致を探します。
注: TERMINAL クラスは、ワイルドカードで定義された包括的なルールをサポートしています(IP アドレスまたはホスト名のパターンの一致)。 汎用ルールは、常に、特定(フルネーム)のルールの後に検証されます。 たとえば、これを IP に設定した場合、IP アドレスの完全一致、ホスト名の完全一致、IP アドレスのパターン一致、ホスト名のパターン一致の順で seosd は TERMINAL リソースを探します。
デフォルト: nameonly
端末サービス接続時に、認証エンジンが 2 回目の連続ログインを待機するタイムアウト(ミリ秒単位)を指定します。
デフォルト: 2000
注: ユーザがローカル アカウントを使用してログインする場合、CA Access Control は 2 つのログイン試行通知を受信します。1 つ目はローカル端末から、2 つ目は端末サーバからです。 ユーザが猶予ログイン回数を割り当てられている場合、2 つのログイン試行がログ記録され、また猶予回数から引かれます。 このため、ログイン試行が指定されたタイムアウト期間内に発生した場合、CA Access Control は、2 番目のログインで猶予回数を更新しません。
トレース メッセージが要求される場合の、トレース メッセージの送信先ファイルの名前。
デフォルト: ACInstallDir¥log¥seosd.trace
トレース ファイルのタイプ。
既存のトレース ファイルのこの値を変更すると、既存のトレース ファイルは名前に拡張子「.backup」を付けて保存され、新しいトレース ファイルが指定したフォーマットで開始されます。
デフォルト: text
トレース メッセージのフィルタ処理に使用される、フィルタ データを保存するファイルの名前。 ファイルの完全パスを指定する必要があります。
デフォルト: ACInstallDir¥log¥trcfilter.ini
ファイル システムに確保する空き容量(KB 単位)。 空き容量がこの数値を下回ると、CA Access Control ではトレースは無効になります。
注: 使用可能な容量が後で増えた場合でも、トレースは自動的には有効になりません。
デフォルト: 5120
トレース メッセージの送信先。 none、file、または file,stop を設定します。
none を選択すると、CA Access Control はトレース メッセージを生成しません。
file を選択すると、CA Access Control はトレース メッセージを生成し、CA Access Control がアクティブになると、ただちに trace_file レジストリで指定されたファイルにそのトレース メッセージを送信します。
file,stop を選択すると、CA Access Control はサービスの初期化時にトレース メッセージを生成します。 サービスが初期化された後は、トレース メッセージは生成されません。
デフォルト: file,stop
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |