|
|
|
이 섹션은 UNIX 끝점에서 CA Access Control을 사용할 때 고려해야 할 사항을 설명합니다.
MultiLoginPgm 토큰 대신 LOGINAPPL EXECLOGIN 플래그를 사용하여 특수 로그인 응용 프로그램의 경로를 파악할 것을 권장합니다.
EXECLOGIN 플래그는 로그인 응용 프로그램의 첫 번째 "exec" 이벤트 전까지 LOGIN 작업을 연기합니다.
운영 체제의 PAM 구성 파일에서 CA Access Control "auth optional pam_module" 행 앞에 "auth requisite" 행이 나타나면 사용자 로그인 시도의 식별에 의존하는 CA Access Control PAM 기능(예: segrace, serevu, 감사 기록 로깅)이 작동하지 않습니다.
PAM이 사용자의 로그인 시도를 기록하도록 하려면 PAM 구성 파일에 "auth requisite pam_module"이 아닌 "auth required pam_module" 행이 있어야 합니다. 제어 플래그가 요구되도록 지정하면 모듈이 실패하는 경우 다음 모듈이 계속 진행됩니다. 필수적인 제어 플래그를 사용할 때 모듈이 실패하는 경우 모듈이 즉시 종료되고 해당 CA Access Control 행에 도달하지 못하므로 pam_module이 실행되지 않습니다.
참고: pam_module은 사용하는 플랫폼에 있는 PAM 모듈 파일의 이름입니다. 예를 들어, Linux에서 이 파일의 이름은 pam_unix2.so입니다.
PAM 구성 파일이 다음과 같은 경우 telnet 또는 rsh를 사용하여 컴퓨터에 로그인할 수 없습니다.
login account optional /usr/lib/security/libpam_unix.1
login account optional /usr/lib/security/pam_seos.sl
이 문제는 PAM이 "OTHER account..." 행을 대신 사용하도록 하려는 경우 CA Access Control 행을 주석 처리하고, 그렇지 않은 경우 운영 체제 행의 주석 처리를 삭제하는 방법으로 해결할 수 있습니다.
AIX에 해당
seos.ini 파일의 seos 섹션에서 auth_login=pam을 설정하면 CA Access Control은 PAM을 사용하여 사용자를 인증합니다. CA Access Control은 인증 중 PAM API 라이브러리를 사용하지만 AIX는 CA Access Control이 쉽게 연결할 수 있는 공유 라이브러리 형식으로 PAM 라이브러리를 제공하지 않습니다. CA Access Control이 PAM API를 사용하려고 시도하면 "/usr/lib/libpam.o를 찾을 수 없음" 오류가 발생합니다. 이 오류를 방지하려면 AIX PAM 모듈을 구성해야 합니다.
AIX에서 AIX PAM 모듈을 구성하려면
cd /usr/lib
이 아카이브에는 AIX PAM 공유 라이브러리(shr.o)가 포함되어 있습니다.
ar -xv libpam.a
mv shr.o libpam.o
이 구성 설정은 sepass가 PAM 인터페이스를 사용하여 암호를 변경하도록 지시합니다.
감사 레코드를 SNMP 수신기에 전달하도록 selogrd를 설정하면 기본 이름("public")과 다른 SNMP 커뮤니티 이름을 사용할 수 있습니다. 이렇게 하려면 selogrd.cfg 구성 파일에서 다음 형식을 사용하십시오.
snmp gateway@community
SNMP 게이트웨이 호스트 이름을 정의합니다.
대상 SNMP 환경과 일치하는 SNMP 커뮤니티 이름을 정의합니다.
CA Access Control은 감사 로그 레코드에 추가할 로그인 세션 ID를 CA Access Control이 시작할 때 생성합니다. 따라서 CA Access Control이 다시 시작할 때마다 로그온한 사용자가 동일한 터미널 세션 내에서 다른 세션 ID를 받게 됩니다. 세션 ID는 동일한 CA Access Control 세션 내에서만 동일하게 유지됩니다.
엔터프라이즈 사용자를 사용하는 경우(osuser_enabled가 1로 설정됨), CA Access Control은 어떤 사용자도 정의되지 않은 것으로 간주하지 않습니다.
_undefined 사용자에 대한 규칙은 이 경우 관련이 없습니다.
엔터프라이즈 사용자를 사용하지 않는 경우(osuser_enabled가 0으로 설정됨), CA Access Control 데이터베이스에 정의되지 않은 사용자는 모든 사용자에게 적용되는 규칙에 포함됩니다(* 마스크 사용).
정의되지 않은 사용자를 모든 사용자에게 적용되는 규칙에서 제외하려면, 데이터베이스에 정의되지 않은 사용자에 대해 필요한 액세스를 정의하는 좀 더 구체적인 규칙을 _undefined 사용자를 위해 만드십시오
기본적으로 타임스탬프가 지정된 백업을 유지하도록 설정을 구성하면 CA Access Control에서 감사 로그 백업 파일을 보호합니다. 이 기능은 크기로 트리거되는 감사 백업 파일에 적용되는 것과 동일한 기본 보호입니다. 이러한 파일을 제거하려면 데이터베이스에 허용 규칙을 설정하면 됩니다.
대칭 암호화 키는 libcryptscr.so.125.0 라이브러리에 포함되어 있습니다. 이 라이브러리를 패치하면 기본 CA Access Control 암호화 키로 복원될 수 있습니다. 통신 문제를 방지하려면 libcryptscr.so.125.0에 패치를 적용한 직후 항상 암호화 키를 변경해야 합니다.
이 키를 변경하려면 /opt/CA/AccessControl/lib/libcryptscr.so.125.0으로 이동하여 다음과 같이 sechkey를 실행하십시오. 여기서 previous_key는 패치 전에 사용한 암호화 키입니다.
sechkey –d previous_key
sechkey는 기본 암호화 키를 이전 키로 대체합니다.
Linux 시스템에서 커널을 다시 컴파일하는 경우 system.map 파일을 /boot 디렉터리에 복사하여 CA Access Control 데몬을 로드해야 합니다.
API 샘플을 컴파일할 때 make가 아닌 gmake(GNU make)를 사용해야 합니다.
교착 상태를 방지하려면 seosd exit 내부에서 어떠한 관리 API 함수도 사용하지 마십시오.
| Copyright © 2011 CA. All rights reserved. | 이 주제에 대해 CA Technologies에 전자 메일 보내기 |