|
|
|
端末統合では、特権アカウントをチェックアウトするユーザのアクティビティを追跡するために、ユーザの CA Access Control エンドポイントを PUPM に統合することができます。 端末統合は、特権アカウントを持つ CA Access Control エンドポイントへのログインには、自動ログインを使用する必要があることを指定することもできます。
端末統合を設定する前に、以下の点を確認します。
注: PUPM 統合機能が有効な CA Access Control をインストールする場合、端末統合はデフォルトで有効です。 端末統合を有効にしていながら設定していない場合、CA Access Control はどのアカウントに対しても端末統合を強制しません。
たとえば、ユーザが SSH を使用してエンドポイントに接続する場合、CA Access Control が PAM ログイン インターセプトを使用して SSH ログインにインターセプトすることを確認します。
注: PAM ログイン インターセプトおよび LOGINAPPL クラスの詳細については、「selang リファレンス ガイド」を参照してください。
次の手順では、単一の特権アカウント用の端末統合を設定する方法について説明します。 複数のエンドポイント上の同じ名前の特権アカウントには、端末統合を設定するポリシーを使用できます。
端末統合を設定する方法
注: CA Access Control エンドポイント管理 におけるユーザの管理方法の詳細については、オンライン ヘルプを参照してください。
[ユーザの変更]タスク ページに[全般]タブが表示されます。
監査レコードの書き込みおよび許可に関する決定を行う際に、CA Access Control が特権アカウント ユーザ名ではなく、特権アカウントをチェックアウトしたユーザの名前を使用するように指定します。
この特権アカウントでエンドポイントにログインするために、ユーザが自動ログインを使用する必要があることを指定します。 自動ログインによって、ユーザはパスワードをチェックアウトし、CA Access Control エンタープライズ管理 からエンドポイントに自動的にログインできます。
特権アカウント用の端末統合を有効にして設定しました。
例: 端末統合を設定するポリシー
以下のポリシーは、administrator という名前のアカウント用の端末統合を設定します。 ポリシーは CA Access Control が監査レコードを書き込み、許可の判断を下す際に、元のユーザ名を使用することを指定します。また、管理者としてエンドポイントにログインするには自動ログインを使用する必要があることも指定します。
editusr administrator pupm_flags(use_original_identity) editusr administrator pupm_flags(required_checkout)
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |