pam_seos は、CA ControlMinder の高度なアカウント管理機能で使用される PAM(Pluggable Authentication Module)です。 CA ControlMinder では、すべてのログイン プログラムのログイン時に pam_seos が呼び出されます。 このモジュールは、要求に応じて必要な機能を提供するために動的にロードできる共有オブジェクトです。
pam_seos は、次の 3 つのアクションを実行するように設定できます。
アカウント管理コンポーネントは、失敗したすべてのログインの試みを検出し、監査ファイル、および失敗したログインを記録する特別なファイルの両方に検出結果を記録します。 このモジュールは、CA ControlMinder がアクセスを拒否したケースを検出するのではなく、UNIX のエラーを検出します。
CA ControlMinder では、失敗したログインの試みが特別なファイルに書き込まれます。 serevu ユーティリティは、このファイルを読み込み、その情報を使用して、ユーザのアクセス権を無効にするかどうか、また無効にする場合はいつ無効にするかを決定します。
CA ControlMinder がログインを拒否する場合、通常は、ログイン セッション中に拒否理由が表示されることはありません。 pam_seos モジュールのデバッグ モードが設定されている場合、CA ControlMinder には、ログインの拒否理由に関する短い説明が表示されます。 たとえば、「猶予ログイン」は、ユーザのログイン回数が残っていないことを意味します。
パスワード管理コンポーネントは、segrace ユーティリティを起動し、ユーザのパスワードの有効期限および猶予ログインの回数をチェックします。 ユーザのパスワードが有効期限切れになり、猶予ログインの回数が残っていない場合、segrace は sepass ユーティリティを起動し、ユーザによるパスワードの変更を許可します。
注: CA ControlMinder が segrace を起動するのは、パスワードの変更が必要な場合のみです。
注: SSH から失敗したログイン イベントを取得するには、使用している SSH のバージョンが PAM をサポートするようにコンパイルおよび設定されている必要があります。 ご使用のバージョンの SSH が PAM を使用していない場合、CA ControlMinder はユーザが失敗ログイン ルールに違反したかどうかを検出できません。
インストール プログラムは、関連する行を pam.conf 環境設定ファイルに追加し、古い環境設定ファイルを /etc/pam.conf.bak として保存します。
pam_seos モジュールの環境設定は、seos.ini ファイルを使用して行います。 必要な機能に応じて、[pam_seos]セクションにある以下のトークンを設定します。
パスワードの有効期限および猶予ログインのチェックを使用するには、seos.ini ファイルに以下のトークンを設定します。
call_segrace = Yes
ログイン デバッグ モードを使用するには、seos.ini ファイルに以下のトークンを設定します。
debug_mode_for_user = Yes
serevu で pam_seos のログイン エラー検出機能を使用するには、seos.ini ファイルに以下のトークンを設定します。
serevu_use_pam_seos = Yes
|
Copyright © 2013 CA.
All rights reserved.
|
|