|
|
|
このセクションでは、CA Access Control サーバ コンポーネント(CA Access Control エンドポイント管理、CA Access Control エンタープライズ管理、およびエンタープライズ レポート)の既知の問題について説明します。
症状:
アカウント検出ウィザードを実行しましが、特権アカウントのリストが未完了です。
解決方法:
エンタープライズ管理サーバ、配布サーバまたは CA Access Control エンドポイントの間に時差がある場合、この問題が発生する可能性があります。 この問題を解決するには、サポートの Web サイトから発行修正番号 RO47404 をダウンロードします。
症状:
エンタープライズ管理サーバを r12.6.01 にアップグレードした後、以下のレポートに承認済みリクエスト履歴が表示されません。「承認者別特権アカウント要求」、「エンドポイント別特権アカウント要求」および「要求者別特権アカウント要求」。
解決方法:
この問題を解決するには、発行済み修正 RO47416 をダウンロードします。 発行済み修正をデプロイするには、ホット フィックスにある Readme ファイルに記載されている手順に従います。
Linux に該当
症状:
エンタープライズ管理サーバを Linux にインストールし、CA Access Control for PUPM エンドポイントタイプを使用して CA Access Control エンドポイント上の特権アカウントを検出しようとしました。 検出プロセスは、管理者アカウントの検出に失敗しました。
解決方法:
この問題を解決するには、エンタープライズ管理サーバに発行済み修正 RO47411 をインストールします。 ホット フィックスをデプロイするには、ホット フィックスにある Readme ファイルに記載されている手順に従います。
Windows で有効
オープン セッションは telnet セッションをログインとして検出および認識しません。 telnet セッションは、Windows ではオープン セッションでサポートされていません。
Windows エージェントレス エンドポイントに該当
PUPM との CA Access Control ログイン統合は、Windows Agentless エンドポイントのみで、ターゲット エンドポイント上でクラス Regval が無効になっている場合にサポートされます。
症状:
リクエストを承認する前に、特権アカウント リクエストを実行し、 CA Access Control をアップグレードすると、アップグレード後に NULL ポインタ例外を受信します。
解決方法:
特権アカウント リクエストを承認した後に、アップグレードを実行します。
UNIX で該当
システムまたはガベージ コレクションの設定が適切に行われていない場合、JBoss サーバ ログに以下のエラー メッセージが表示されます。
"java.lang.OutOfMemoryError: GC overhead limit exceeded"
この問題を解決するには、以下の手順に従います。
JBOSS_HOME¥bin
" -XX:+UseParNewGC -XX:+CMSParallelRemarkEnabled -XX:+UseConcMarkSweepGC %JAVA_OPTS%"
例: JAVA_OPTS 変数
以下の例は、新しい引数を追加した後の JAVA_OPTS 変数を示しています。
set JAVA_OPTS=-Djava.security.policy=.¥workpoint_client.policy -Xms512m -Xmx1024m -XX:MaxPermSize=256m -XX:+UseParNewGC -XX:+CMSParallelRemarkEnabled -XX:+UseConcMarkSweepGC %JAVA_OPTS%
SunOne に該当
SunOne ユーザ ディレクトリを使用する場合、デフォルトのリクエスト承認者を設定する必要があります。 すべての特権アカウント パスワード リクエストのサブミット先となる、デフォルトのリクエスト承認者を定義します。
デフォルトのリクエスト承認者を設定するには、以下の手順に従います。
[管理タスクの変更: 管理タスクの選択]ウィンドウが表示されます。
CA Access Control エンタープライズ管理 は、検索条件に一致する結果を表示します。
[管理タスクの変更: 特権アカウント要求]ウィンドウが表示されます。
[ワークフロー プロセス]画面が表示されます。
[ユーザの選択]画面が表示されます。
CA Access Control エンタープライズ管理 は、検索条件に一致する結果を表示します。
選択したユーザはデフォルト リクエスト承認者として追加されます。
注: 定義したデフォルト リクエスト承認者は、エンタープライズ管理サーバをインストールする前に作成したユーザには適用されません。 以前ユーザ ディレクトリに存在していたユーザのデフォルト リクエスト承認者は、superamdin です。
バッチ タスクの実行時に、「No Managed Connections Available Within Configured Blocking Timeout」というエラー メッセージを受信します。 たとえば、大きなグループまたはアカウントに対して、パスワードの自動リセット タスクの実行を試みるとします。 このエラー メッセージは、JBoss アプリケーション サーバで利用可能な接続がすべて使用されたため、タスクを完了できないことを示しています。
この問題を回避するには、プール内で利用可能な接続数を増やす必要があります。
JBoss_HOME/server/default/deploy/
<!--blocking-timeout-millis>5000</blocking-timeout-millis-->
プール内の利用可能な接続数が増加しました。 これで、タスクを実行できるようになりました。
Windows サンプル ポリシー用の JBoss のエンドポイントへの展開が失敗します。 このポリシー展開プロセスは、PROGRAM リソースがすでに存在することを示す内部エラー メッセージで終了します。
この問題を回避するには、JBoss サンプル ポリシーを使用し、それを変更してから、展開して、PROGRAM リソースを明示的に作成します。
ポリシー管理レポートの表示を試行すると、CA Access Control エンタープライズ管理 はそのタスクが失敗したという旨のメッセージを表示します。
この問題を回避するには、JBoss アプリケーション サーバおよび CA Business Intelligence サーバ(レポート ポータル)を再起動します。
パスワードを持たない CA Access Control ユーザ アカウントは CA Access Control エンタープライズ管理 サーバにログインできません。
管理ロール ルールを定義するとき、管理ロールのメンバであるユーザを選択します。 CA Access Control エンタープライズ管理 はアクセス ロールをサポートしません。 アクセス ロール オプションはインターフェースに表示されません。
UNAB ホストまたはホスト グループの設定を変更し、変更をサブミットする際に、CA Access Control エンタープライズ管理 に "操作の必要なし" というメッセージが表示されます。 このメッセージは、何のアクションも実行されなかったことを示していますが、UNAB ホストまたはホスト グループに対して行った変更は適用されています。
CA Access Control データベースで制御文字を使用すると、CA Access Control エンドポイント管理 および CA Access Control エンタープライズ管理 でアプリケーション例外や誤表示が発生する可能性があります。
症状:
CA Access Control エンタープライズ管理 ユーザ インターフェースにログインすると、判読できない文字が表示されます。
解決方法:
問題の原因は、使用しているデータベース インスタンスが国際化キャラクタ セット UTF8 を完全にはサポートしない点にあります。 この問題を修正するには、完全に国際化されたデータベース インスタンス上に CA Access Control エンタープライズ管理 を再インストールする必要があります。
CA Access Control エンドポイント管理 で、監視対象ファイル(SECFILE)のリソースの[監査]タブで[ Trust]チェック ボックスをオフにして変更を保存しようとすると失敗します。
この問題を回避してこのリソース属性を変更するには、selang を使用します。
6000 を超えるコマンドが含まれているポリシーを作成する場合、CA Access Control エンタープライズ管理 ユーザ インターフェースがタイムアウトになります。 CA Access Control エンタープライズ管理 がポリシーを作成するまで、ユーザ インターフェースを使用した作業を続行することができません。 この問題を回避するには、ブラウザを新規に起動して CA Access Control エンタープライズ管理 にログインし、セッションを新たに開始します。
selang の表記法では、行の最後の文字に円記号文字(¥)を使用して、コマンドが次の行に続くことを示すことができます。 これは拡張ポリシー管理ではサポートされません。 ポリシー コマンドが複数の行にまたがらないようにしてください。
注: CA Access Control に用意されている以下のサンプル ポリシーには末尾に円記号が含まれます。_AC_WEBSERVICE、_APACHE、_JBOSS、_MS_SQL_SERVER、_ORACLE
CA Access Control エンタープライズ管理 で有効
ポリシーがデプロイされたがエラーがある場合、CA Access Control エンタープライズ管理 で表示される selang 結果メッセージはエンタープライズ管理サーバ上の CA Access Control エンドポイントのインストール言語で表示され、CA Access Control エンタープライズ管理 のインストール言語ではありません。
これらのメッセージをローカライズされた言語で表示するには、CA Access Control エンタープライズ管理 をインストールする前に、ローカライズされた言語でエンタープライズ管理コンピュータ上に CA Access Control エンドポイントをインストールする必要があります。
端末名が 30 文字を超える場合、監査レコードを表示できません。 この現象は、Windows コンピュータ上で動作している CA Access Control エンドポイント管理 で UNIX エンドポイントを管理する場合に発生します。
CA Access Control エンドポイント管理 を使用して PMDB を管理すると、PMDB の監査レコードは参照できません。
この問題を回避して PMDB の監査レコードを表示するには、PMDB が存在するホストに接続します。
特権アカウント名が 10 文字を超えている場合、ネットワーク デバイス用のオープン セッションが失敗します。
Linux に該当
Linux コンピュータにエンタープライズ管理サーバをインストールする際に、PUPM エンドポイント用の Access Control を定義すると、「そのようなメソッドは存在しません。」というエラー メッセージが表示されます。
チェックイン時に CA Access Control エンタープライズ管理 が特権アカウント パスワードをリセットするように指定している場合、ユーザが PUPM エンドポイント用の Access Control で特権アカウントにチェックインすると、「パスワードをリセットできませんでした。」というエラー メッセージが表示されます。
次の手順に従ってください:
ACServerInstallDir/Connector_Server/bin
./im_jcs stop
Java コネクタ サーバが停止します。
PREJAR="$FULLBASEPATH/bin/jcs-bootstrap.jar:$FULLBASEPATH/ conf:$FULLBASEPATH/lib/jcs.jar:"`echo $FULLBASEPATH/ lib/apacheds-server-main-*-app.jar`
PREJAR="$FULLBASEPATH/bin/jcs-bootstrap.jar:$FULLBASEPATH/ conf:$FULLBASEPATH/lib/jcs.jar:$FULLBASEPATH/ lib/nlog4j__V1.2.25.jar:"`echo $FULLBASEPATH/lib/apacheds-server-main-*-app.jar`
重要: スクリプトに張り付けた後、行のキャリッジ リターンを削除します。
./im_jcs start
Java コネクタ サーバが起動します。 これで、PUPM エンドポイント タイプの Access Control を設定できます。
Solaris に該当
現在、Telnet 自動ログインは、CA Access Control r12.6 へのアップグレード後に Solaris 上でサポートされません。
CA Access Control r12.6 にアップグレードした後、設定したカスタム参加者リゾルバが削除されます。
CA Access Control r12.6 にアップグレードする前に、カスタム参加者リゾルバを記録しておき、アップグレードが完了したら再作成することをお勧めします。
Windows Server 2003 に該当
症状:
ユーザが Windows サービスまたは Windows スケジュール タスクを変更する際に、それらの変更は検出できません。
解決方法:
これは Microsoft の既知の問題です。 エンドポイント上でサービスまたはタスクを変更した後、既存のパスワード コンシューマを削除します。 サービス アカウント検出ウィザードを使用して、パスワード コンシューマを作成します。
サービス アカウント パスワード要求をサブミットしても、要求がリクエスト承認者に送信されず、サービス アカウント パスワードをチェックアウトできません。
JDBC パスワード コンシューマが CA Access Control エンタープライズ管理 からパスワードを取得する際、エンタープライズ管理サーバは監査レコードを書き込みません。
Oracle に該当
管理者アカウント パスワードのチェックアウト後に、自動ログインオプションを使用して Oracle Enterprise Manager にログインしようとすると、エラー メッセージが表示されます。 このエラー メッセージは、前回のセッションをログ オフせずに、ブラウザ ウィンドウを閉じて終了した場合に表示されます。
Windows で有効
エンドポイントの端末サービス設定が、ログイン時に常にパスワードを要求するよう設定されている場合、Windows リモート デスクトップの自動ログイン スクリプトはエンドポイントへのログインに失敗します。
CA Service Desk Manager との統合に有効
特権アカウントへのアクセス要求時にクローズされた CA Service Desk Manager の発行またはリクエスト チケット(チケットの種類 = iss または cr)の番号を指定すると、CA Access Control エンタープライズ管理 は承認者に要求を転送します。
CA Service Desk Manager との統合に有効
特権アカウントへのアクセス要求時に CA Service Desk Manager 変更指示チケット(チケットの種類 = ch)の数を指定すると、CA Access Control エンタープライズ管理 は承認者に要求を転送しません。
| Copyright © 2012 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |