UNIX の su コマンドを使用すると、ターゲット ユーザのパスワードを使用して、そのユーザに切り替えることができます。 ユーザ ID の切り替えを行うユーザは、ターゲット ユーザのパスワードを記憶するか、書き留めるか、または簡単なパスワードを使用するようにターゲット ユーザに依頼する必要があります。 このような行為は、いくつかのパスワード ポリシーに反します。 また、su コマンドは、どのユーザがこのコマンドを呼び出したのかを記録しないため、アカウントの所有者を偽装するユーザを実際のユーザと区別することはできません。
CA ControlMinder に含まれている sesu ユーティリティは、この UNIX の su コマンドの機能強化版です。 sesu では、認証の手段として、ターゲット ユーザのパスワードではなく、ユーザ自身のパスワードを要求するように設定できます。 認証プロセスは、SURROGATE クラスに定義されているアクセス ルールに基づいて実行されます。また、コマンドを実行するユーザのパスワードに基づいて実行されるようにすることもできます。
su の実行とは異なり、sesu の実行では、ターゲット ユーザのパスワードを知っているかどうかは関係ありません。 その代わり、sesu の実行は、データベースに指定されている権限に依存します。各ユーザのログイン ID が記憶されるため、アクションを実行したユーザの記録が残ります。
ユーザが _surrogate グループのユーザの代理ユーザになる場合、CA ControlMinder はユーザのアクションの完全なトレースを新規ユーザとして監査証跡に送信します。
このプログラムは、誤って使用されることを防ぐために、ファイル システム内でマークされており、誰もこれを実行できません。 このため、セキュリティ管理者は、このプログラムを実行する前に、それが実行可能ファイルであることをマークし、ユーザ ID を root に設定する必要があります。
重要: sesu ユーティリティを使用する前に、すべてのユーザを CA ControlMinder データベースに定義し、前提条件を設定してください。 これは、CA ControlMinder に定義されていないユーザに対してシステム全体が開放されることを防止するためです。
|
Copyright © 2013 CA.
All rights reserved.
|
|