UNIX エンドポイント管理ガイド › ファイルおよびプログラムの保護 › ネイティブ UNIX セキュリティとの同期
ネイティブ UNIX セキュリティとの同期
CA ControlMinder のアクセス許可はネイティブ UNIX のアクセス許可よりも複雑ですが、ネイティブ UNIX のアクセス許可を CA ControlMinder のアクセス許可に同期させることができます。 つまり、アクセス許可を一致させることができます。 ただし、この同期にはいくつかの制限事項があります。
- 同期は遡及して適用できません。 同期がいったん有効になると、新しく発行される CA ControlMinder の承認コマンドをすべて制御できます。ただし、既存のアクセス ルールは制御されません。
- CA ControlMinder で与えられたアクセス許可は UNIX に渡されますが、UNIX で与えられたアクセス許可は CA ControlMinder に渡されません。
- UNIX 自体のアクセス許可システムの制約により、UNIX では、CA ControlMinder の簡略化されたアクセス許可より複雑な許可は、適用できない場合があります。 アクセス制御リスト(ACL)を備えたバージョンの UNIX でも、CA ControlMinder の ACL の複雑な機能をすべて反映することができない場合があります。
CA ControlMinder に同期させることができる ACL を備えた UNIX のプラットフォームは、Sun Solaris、HP-UX、および Tru64 です。
このような ACL がない場合でも、従来からある UNIX の rwx 権限を CA ControlMinder の権限に、ある程度まで同期させることができます。
同期は、authorize コマンドの UNIX オプションと seos.ini ファイルの SyncUnixFilePerms トークンの組み合わせによって制御されます。
- UNIX オプションを指定することによって、authorize コマンドは、CA ControlMinder のみでなく UNIX でも実装を行います。 このコマンドでは、それまでアクセス許可がなかった場合でも UNIX のアクセス許可を設定できます。
(UNIX オプションを使用しない場合、selang のコマンドは UNIX セキュリティに影響を与えません。 また、CA ControlMinder 権限は、UNIX によって制御されている箇所では無効になります。 したがって、selang で UNIX によるアクセス制御を解除する唯一の方法は、authorize コマンドの UNIX オプションを使用することです)。
- authorize コマンドの UNIX オプションは、SyncUnixFilePerms トークンが seos.ini ファイルの[seos]セクションで適切に設定されている場合にのみ動作します。 このトークンでは、以下の値が使用できます。
- no は、ACL 権限を同期させないことを指定します。 デフォルト値です。
- warn は、ACL 権限を同期させないが、権限とネイティブ UNIX 権限が競合した場合に警告を発行することを指定します。
- traditional は、グループの rwx 権限を CA ControlMinder の ACL に従って調整することを指定します(個々のユーザの権限は UNIX にコピーされません)。
- acl は、UNIX の ACL を CA ControlMinder の ACL に従って調整することを指定します。
- force は、UNIX 環境のアクセス属性を CA ControlMinder の defaccess 権限に従って調整することを指定します。
SyncUnixFilePerms トークンの値の変更を有効にするには、seosd デーモンを再起動する必要があります。
詳細情報:
HP-UX の制限
Sun Solaris の制限
Copyright © 2013 CA.
All rights reserved.
|
|