拡張ポリシー管理では、(ポリシー デプロイの結果として)エンドポイントにデプロイする必要があるアクセス ルールと、同じエンドポイントに正常にデプロイされている実際のルールとの違いを確認できます。 また、ポリシー オブジェクトに対して行われたプロパティの追加や変更についても解決します。 これにより、ポリシーのデプロイに関する問題を解決できます。
エンドポイント上でポリシー偏差計算を実行すると、以下のアクションが実行されます。
これらは、デプロイされる各ポリシーに指定されたルールです。デプロイされる各ポリシーの POLICY オブジェクトに関連付けられたローカルの RULESET オブジェクトに指定されています。
重要: 偏差計算では、ネイティブ ルールが適用されるかどうかはチェックされません。 データベースからオブジェクト(ユーザまたはオブジェクト属性、ユーザまたはリソース権限、あるいは実際のユーザまたはリソース)を削除するルールも無視されます。 たとえば、偏差計算では、以下のルールが適用されるかどうかは確認できません。
rr FILE /etc/passwd
通常、偏差計算機能はローカル ホスト上でのみ偏差をチェックします。 -strict オプションを指定すると、偏差計算機能はローカルの HNODE オブジェクトに関連付けられたポリシーと DMS で HNODE オブジェクトに関連付けられたポリシーも比較します。 このツールでは以下の比較を実行します。
最後の偏差計算で収集されたログとエラー メッセージ。
ポリシーとその偏差のリスト。 このファイルの内容は、エンドポイントで selang コマンド get devcalc を使用することで取得できます。
注: CA ControlMinder は監査イベントも送信します。監査イベントは seaudit -a を使用して表示できます。 seaudit ユーティリティの詳細については、「リファレンス ガイド」を参照してください。
通知は、ローカル CA ControlMinder データベースに指定された DH 経由で DMS に送信されます。
|
Copyright © 2013 CA.
All rights reserved.
|
|