CA ControlMinder では、プロセスのユーザ ID を変更しようとするすべての試みがログイン イベントとして認識されるわけではありません。 通常、プログラムでは、setuid システム コールを使用してユーザ ID を変更します。 SURROGATE クラスがこれらのイベントを制御します。これらのイベントは、必ずしもログイン イベントとはみなされず、CA ControlMinder から見ると、必ずしもユーザ ID を変更するイベントとは認識されません。
CA ControlMinder では、ユーザが最初のログイン時に使用した、元のユーザ ID が常に保持されます。 通常の setuid システム コールを実行しても、CA ControlMinder ではユーザ ID の変更は登録されません。
CA ControlMinder が ID の変更を認識するには、このイベントをログイン イベントとして認識する必要があります。 CA ControlMinder は、以下のルールを使用してログイン イベントを認識します。
管理セッションを(selang または CA ControlMinder エンドポイント管理で)開始すると、CA ControlMinder によってダミー ログイン イベントが実行されます。 これは実際のログインではなく、CA ControlMinder のログイン チェックと同様の一定の内部チェックが実行されます。
注: 詳細については、「selang リファレンス ガイド」で LOGINAPPL クラスの SEQUENCE プロパティの説明を参照してください。
管理セッションの開始時には、管理対象のマシンでユーザ名がチェックされます。 管理対象マシンにアクセスするには、セッションを実行する端末の WRITE アクセス権が必要です。
たとえば、ホスト Minerva にログインした状態でホスト Artemis の CA ControlMinder を管理するには、以下の 2 つの条件が満たされている必要があります。
これらの条件は、他のユーザ権限チェックよりも前にチェックされます。 データベースでは、管理者権限も必要です。
|
Copyright © 2013 CA.
All rights reserved.
|
|