エンタープライズ管理ガイド › サンプル ポリシーとベスト プラクティス ポリシーのデプロイ › 準拠ポリシーとベスト プラクティス ポリシーのスクリプト

準拠ポリシーとベスト プラクティス ポリシーのスクリプト

各ポリシーは 1 つの selang スクリプトであり、ポリシーの目的を説明するコメント、および含まれるルールが含まれています。

• コメント

  サンプル ポリシーには注釈が追加されているため、サンプル ポリシーの各セクションで何が実行されるのかを理解するのに役立ちます。

• 変数

  準拠ポリシーとベスト プラクティス ポリシーはオペレーティング システムには依存しません。 ただし、リソース グループはシステムによって異なります。 この問題を解決するため、リソース リストは変数が使用され、ACL ではポリシーの変数が使用されます。 エンタープライズ管理サーバにエンドポイントが接続されると、そのエンドポイントはオペレーティング システムに応じて一致するホスト グループへ自動的に追加され、ポリシーがエンドポイントへデプロイされます。

• ロール

  ユーザの管理を簡略化するために、サンプル ポリシーではロールに ACL を適用します。 各ロールでは CA ControlMinder のユーザ グループが使用され、このグループに、実際のユーザを追加できます。

  ポリシー ロールでは、命名規則 ROL_role_name を使用します。 たとえば、サンプル ポリシーは、adm および lp のような組み込みのシステム ユーザに対して ROL_SYSTEM グループを使用します。 多くのポリシーでは、ユーザに（適切なシステム操作に必要な）幅広い権限を割り当てていますが、ユーザがログインに使用できないように権限を無効にすることができます。

例： 準拠ポリシーとベスト プラクティス ポリシーのコメント

PCI_DSS_7.1.1 準拠ポリシーからの以下の断片には、準拠ポリシーとベスト プラクティス ポリシーにどのような注釈が付けられているのかが説明されています。 selang 構文ルールを使用しているため、ハッシュ記号 (#) から始まる行がコメントです。

#
# * 2. Protect <!USER_OS_ADMIN> Logon and Access Control Administration *
# ***********************************************************************
#
# This section uses the TERMINAL class to restrict administrator users from
# logging in directly (read access). Access Control administration is blocked as
# well (write access).
#
# To separate security administration from system administration, the policy
# sets READ access only to these special terminals.
#
editres   TERMINAL ("<!HOSTNAME>") audit(ALL) warning
authorize TERMINAL ("<!HOSTNAME>") uid("<!USER_OS_ADMIN>") deniedaccess(READ)
# The following line is commented because the warning mode in UNIX is not
# applicable for write access to class TERMINAL.
#authorize TERMINAL ("<!HOSTNAME>") uid("<!USER_OS_ADMIN>") deniedaccess(WRITE)

例： 準拠ポリシーとベスト プラクティス ポリシーのロール

PCI_DSS_7.1.1 準拠ポリシーからの以下の断片には、ポリシーによりロールに対してどのように ACL が適用されているのかが説明されています。

#
# * 1. Role Definitions *
# ***********************
#
# The rules in this section define the roles that the policy uses.
# 
#  * Define built-in OS users with the logical property. This prevents users
#    from logging in to the system.
#  * Create the user +nobody in CA Access Control only. CA Access Control
#    sets this user as the owner of many resources (to disable ownership
#    bypass). You cannot create this user in the native OS.
#  * Create at least one user in ROL_AC_ADMIN. Without this user you cannot
#    login into CA Access Control.
#    Note: By default, the rules add the superuser account to ROL_AC_ADMIN.
#          We recommend that you remove this user and add security
#          administrators to this group. 
# Roles:
#     ROL_SYSTEM        : built-in OS users
#     ROL_SYSADMIN      : system administrators
#     ROL_RESTRICTED    : restricted users with permissions for specific tasks
#     ROL_AC_ADMIN      : CA Access Control administrators
#     ROL_AC_AUDITOR    : CA Access Control auditors
#     ROL_AC_OPERATOR   : CA Access Control operators
#     ROL_AC_SERVICE    : CA Access Control service managers
#     ROL_AC_PWMANAGER  : CA Access Control password managers
#

editgrp (ROL_SYSTEM ROL_SYSADMIN ROL_RESTRICTED ROL_AC_ADMIN ROL_AC_AUDITOR ROL_AC_OPERATOR ROL_AC_SERVICE ROL_AC_PWMANAGER)
chgrp (ROL_SYSADMIN ROL_AC_ADMIN) audit(LOGINSUCCESS LOGINFAILURE FAILURE)
editusr (+nobody) comment("AC OOTB - Resource owner used for disabling ownership bypass")
chusr (+nobody) owner(+nobody)
join ("<!USER_OS_ADMIN>") group(ROL_SYSTEM)
join ("<!USER_OS_ADMIN>") group(ROL_AC_ADMIN)