|
|
|
このセクションでは、UNIX エンドポイント上で CA Access Control を使用する際に考慮すべき事項について、説明します。
特定のログイン アプリケーションの完全パスを判断するため、MultiLoginPgm トークンの代わりに LOGINAPPL EXECLOGIN フラグを使用することをお勧めします。
EXECLOGIN フラグは、ログイン アプリケーションの最初の "exec" イベントまで LOGIN アクションを遅らせます。
オペレーティング システムの PAM 構成ファイルで、「auth optional pam_module」という CA Access Control 行より前に「auth requisite」という行がある場合、ユーザ ログイン試行の識別に依存する CA Access Control の PAM 機能(segrace、serevu、ログ監査レコードなど)が動作しません。
PAM でユーザのログイン試行を書き込むには、PAM 構成ファイルに「auth requisite pam_module」ではなく、「auth required pam_module」という行を含める必要があります。 制御フラグ「required」を指定して、モジュールにエラーが発生した場合、次のモジュールで続行します。 制御フラグ「requisite」を指定して、モジュールにエラーが発生した場合、モジュールは速やかに終了し、CA Access Control 行まで到達しないため、「pam_module」は実行されません。
注: 「pam_module」は、ご使用のプラットフォーム上の、PAM モジュール ファイルの名前です。 たとえば、Linux の場合は「pam_unix2.so」になります。
PAM 構成ファイルが以下の場合、telnet または rsh でコンピュータにログインできません。
login account optional /usr/lib/security/libpam_unix.1
login account optional /usr/lib/security/pam_seos.sl
これを修正するには、PAM で代わりに「OTHER account...」行を使用する場合は CA Access Control 行をコメント化します。または、オペレーティング システムに関する行をコメントではなくします。
AIX に該当
seos.ini ファイルの seos セクションで auth_login=pam を設定した場合、CA Access Control では PAM を使用してユーザを認証します。 CA Access Control では、認証中に PAM API ライブラリを使用しますが、AIX は、CA Access Control が簡単にリンクできる共有ライブラリ形式で PAM ライブラリを提供しません。 CA Access Control が PAM API を使用しようとすると、「/usr/lib/libpam.o が見つかりません」というエラーが表示されて、失敗します。 このエラーを回避するには、AIX PAM モジュールを設定する必要があります。
AIX での AIX PAM モジュールの設定方法
cd /usr/lib
このアーカイブには、AIX PAM 共有ライブラリ(shr.o)が収録されています。
ar -xv libpam.a
mv shr.o libpam.o
この設定は、sepass でパスワードの変更に PAM インターフェースを使用するよう指定します。
selogrd を設定して監査レコードを SNMP リスナにルーティングする場合、デフォルト名(「public」)とは異なる SNMP コミュニティ名を使用できます。 これを行うには、selogrd.cfg 構成ファイルで以下の形式を使用します。
snmp gateway@community
SNMP ゲートウェイ ホスト名を定義します。
ターゲット SNMP 環境に適合する SNMP コミュニティ名を定義します。
CA Access Control は、起動時に、ログイン セッション ID を生成し、生成した ID を監査ログ レコードに追加します。 これは、CA Access Control が再起動するたびに、同じ端末セッション内で、ログオン ユーザが異なるセッション ID を取得することを意味します。 セッション ID が変わらないのは、同じ CA Access Control セッション内のみです。
エンタープライズ ユーザ(osuser_enabled を 1 に設定)を使用した場合、CA Access Control がユーザを未定義として認識することはなくなります。
この場合、_undefined ユーザに対するルールは考慮されません。
エンタープライズ ユーザ(osuser_enabled を 0 に設定)を使用しなかった場合、CA Access Control データベースで未定義のユーザは、全ユーザに対して適用されるルールの対象に含まれることになります(マスク * の使用と同義)。
全ユーザに対して適用されるルールの対象から未定義のユーザを除外する必要がある場合は、該当する _undefined ユーザに必要なアクセス権を定義した詳細なルールを作成してください。
タイムスタンプの付けられたバックアップを保存する設定になっている場合、デフォルトで CA Access Control は監査ログのバックアップ ファイルを保護します。 これはサイズによる監査バックアップ ファイルの受信と同じデフォルトの保護です。 これらのファイルを削除するには、データベースに許可ルールを設定することが必要です。
対称暗号化鍵は libcryptscr.so.125.0 ライブラリに埋め込まれています。 このライブラリにパッチを適用すると、パッチによってデフォルトの CA Access Control 暗号化鍵がリストアされる場合があります。 通信の問題を回避するため、libcryptscr.so.125.0 にパッチを適用した後は、必ず暗号化鍵を変更する必要があります。
鍵を変更するには、/opt/CA/AccessControl/lib/libcryptscr.so.125.0 にアクセスし、sechkey を以下のとおり実行します。previous_key は、パッチの適用前に使用していた暗号化鍵です。
sechkey -d previous_key
sechkey は、デフォルト暗号化鍵を以前使用していた鍵で置き換えます。
Linux システムでカーネルを再コンパイルする場合は、system.map ファイルを /boot ディレクトリにコピーして、CA Access Control デーモンをロードする必要があります。
API サンプルのコンパイルには、make ではなく gmake(GNU make) を使用してください。
デッドロックを回避するために、seosd exit 内で管理 API 関数を使用しないでください。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |