| CA |
6.0 既知の問題
6.1 サードパーティのライセンス契約書
6.1.1 CRC32
6.1.2 PerlEdit 1.08
6.1.3 MD5 Message Digest Algorithm
6.1.4 Triple DES Algorithm
6.1.5 XERCES
eTrustR Access Control r8 SP1 (eTrust AC) for Windows をご利用いただき、誠にありがとうございます。 この Readme ファイルでは、eTrust AC r8 SP1 のマニュアルを補足する最新情報およびその他の情報について説明します。 このバージョンには、前バージョンからの機能強化項目および修正項目が含まれています。
この CR に含まれている修正の詳細は、テクニカル サポートのサイト((http://ca.com/support/)にある CR_FIXLIST ファイルに記載されています。 テクニカル サポートの Web サイトには、eTrust AC のすべての修正項目が記載されています。 この CR_FIXLIST ファイルには、今年発行された CR リリースに含まれている修正項目のみが記載されています。
この製品のサポート対象オペレーティング システムの一覧は、前述のテクニカル サポートのサイトにある「CA Access Control Compatibility Matrix」に記載されています。
Windows におけるプロセッサ速度、メモリ、およびディスク領域の最小要件は以下のとおりです。
上記のほかに、eTrust AC データベース用の空きディスク領域が必要です。このデータベースは、ユーザとユーザ グループ、保護ファイルとその他のリソース、およびリソースに対する制限付きアクセスを許可する権限が記述されたレコードのリポジトリです。 たとえば、データベースに1,000 人のユーザ、1,000 個のファイル、500 種類のアクセス ルールを格納する場合は、約 2MB のディスク領域が必要です。
CA のすべての製品およびオプションを使用するには、CA ソフトウェアが稼動するネットワーク内の各コンピュータでライセンス ファイルの CA.OLF が必要となります。 eTrust AC の購入時に、この製品を正常にインストールおよび使用するために必要な情報が含まれるライセンス証明書を受け取ります。
エンタープライズ ライセンス ファイルをインストールするには、CA.OLF ファイルを(eTrust AC という行を追加して)CA_license ディレクトリ(C:¥CA_LIC など)にコピーします。
eTrust AC と Panda Antivirus を同じコンピュータにインストールした場合、eTrust AC のレジストリ キー保護機能は使用できません。
eTrust AC の STOP 機能または McAfee Entercept バッファ オーバーフロー保護機能のどちらかを無効にしてください。
現在のコンピュータを DMS として定義するかどうかを指定します。
このオプションを指定した場合、以下のオプションも指定する必要があります。
詳細なポリシー管理およびレポート作成を構成するかどうかを指定します。
このオプションを指定した場合、以下のオプションも指定できます。
現在のコンピュータ上で DMA を作成するかどうかを指定します。
このオプションを指定した場合、以下のオプションも指定する必要があります。
注: また、dmsmgr ユーティリティを使用して、詳細なポリシー ベースの管理をインストールおよび構成することができます。 詳細については、「リファレンス ガイド」を参照してください。
重要: データベースに保存されているルールによりますが、この機能の結果として、eTrust AC がログ ファイルに記録する監査イベントの数が大幅に増える可能性があります。 そのような場合、監査ログ ファイルのサイズとバックアップ設定を見直すことをお勧めします。
注: 完全監査および監査ログ バックアップ用のレジストリ設定の使用および構成の詳細については、「付録ドキュメント」を参照してください。
「リファレンス ガイド」に以下の説明が不足しています。
nameonly - 認証エンジンは、名前で TERMINAL レコードを探し、その名前のレコードが見つからなかった場合は、検索を停止します。 IP アドレス形式の TERMINAL レコードは無視されます。
HKEY_LOCAL_MACHINE¥SOFTWARE¥ComputerAssociates¥AccessControl¥FsiDrv¥BatchOplockStatus
たとえば、TCP クラスの「_default」という名前の組み込みオブジェクトのプロパティ「audit mode」のデフォルト値は「Failure」です。 このプロパティ値が「All」に変更された場合、アップグレード プロセスで TCP クラスは無効になりません。
HKEY_LOCAL_MACHINE¥SOFTWARE¥ComputerAssociates¥AccessControl¥FsiDrv¥BatchOplockStatus
CR(累積リリース)プロセスの改善を目的とした継続的な努力の一環として、CA は eTrust AC CR の命名規則を変更します。YYMM 表記(0710 など)を廃止し、各 CR で数値を増分する、標準的な表記法(CR 12、CR 13 など)に変更します。
この変更によって、サポートが容易になり、eTrust AC CR の命名規則をほかの CA 製品と同じにすることができます。 新しい CR または主要なリリースへの移行時に、ユーザの手をわずらわせずに、円滑な移行ができるように、アップグレード プロセスに注意が払われています。
この変更によって影響を受けるのは、主に、CR 名、CR ドキュメント、seversion 出力、ネイティブ パッケージ バージョン出力、および Windows バージョン情報です。
eTrust AC は、32 ビットおよび 63 ビットの両方のアプリケーションを、管理および保護できます。
この CR で追加された強化機能は、SupportConnect 上にある「付録ドキュメント」に記載されています。 本書で提供する追加情報は、この CR が属する eTrust AC の GA リリースで利用可能なドキュメント セットを補完するものです。
注: eTrust AC の機能が次のリリースに引き継がれるのと同様、本書の内容は次リリースの標準マニュアルに統合されます。
HKLM¥SOFTWARE¥ComputerAssociates¥AccessControl¥SeOSD
名前: HostResolutionMode
タイプ: REG_DWORD
値は以下のとおりです。
0 -- HOST 解決は同期です(現行の動作)
1 -- HOST 解決は非同期です(「イベント ログ」レポート付き)
この設定の効果は、以下のとおりです。
2 -- HOST 解決は非同期です(「イベント ログ」レポート付き)
通知メッセージがどこにも書き込まれないことを除いては、「1」と同様です。
デフォルト: 0
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥drveng¥Parameters¥DisableLogonInterception
このレジストリ値は DWORD タイプです。
ログイン セキュリティを強化するために、eTrust AC では、ユーザはドメイン名を指定せずにログインすることはできません。 この制限によって他のアプリケーションで問題が発生する場合は、レジストリ キー HKEY_LOCAL_MACHINE¥Software¥ComputerAssociates¥eTrustAccessControl¥FsiDrv の下のデータ型 REG_DWORD のレジストリ値「AcceptEmptyDomainLogin」を 1 に設定することで問題を回避できます。
たとえば、eTrust Firewall が正常に機能するためには、このレジストリ設定を変更する必要があります。
ドメイン名を指定しないログオンを許可するこの設定は、eTrust AC のインストール時にも指定できます。
サブ認証はいずれの DC 上でも起動できるため、一貫性を保持するために、Windows ドメイン内のすべての DC に対して同じ eTrust AC ログオン ポリシーを適用する必要があります。
注: ログオンは 1 つの DC でのみ許可されるので、ユーザの[猶予]プロパティは同期化されない場合があります。 同様に、[前回のアクセス時間]は、ユーザがログオンを許可されたのと同じ DC にユーザが前回アクセスした時間を示します。
eTrust AC では、パスワード品質チェック用の辞書ファイルがインストールされます。 UNIX では、このファイルが標準で導入されており、一般的にも使用され、広く知られています。
このファイルは拡張するか、またはより高度な辞書ファイルと置換することを強くお勧めします。
評価期間中に、一部のルール(システム ディレクトリや Windows レジストリの重要な部分へのアクセスを拒否するルールなど)を誤って定義してしまう場合があります。 このようなルールを定義すると、ユーザがログオンできなくなったり、コマンドを実行できなくなる場合があります。 その場合、eTrust AC を停止してその間違いを修正することは非常に困難です。 こうした種類の問題の解決策として、緊急 exit が用意されています。
通常、eTrust AC サービスは通常の再起動の直後に自動的に開始されます。 ただし、起動メニューで [セーフ モードとネットワーク]を選択した場合は、システム起動時に eTrust AC サービスは自動的に開始されません。
この機能が必要なのは、実装の初期段階のみです。悪意のある第三者によってバックドアとして使用される可能性があるため、後で無効にする必要があります。
このバックドアを無効にするには、レジストリ キー HKEY_LOCAL_MACHINE¥Software¥ComputerAssociates¥ eTrustAccessControl¥eTrustAccessControl¥ の下にデータ型 reg_dword のレジストリ値「LockEE」を定義し、1 に設定します。
レジストリ キー HKEY_LOCAL_MACHINE¥Software¥ComputerAssociates¥ eTrustAccessControl¥eTrustAccessControl¥ の下にあるレジストリ値「UseFsiDrv」の値を変更することで、eTrust AC フィルタ ドライバのインターセプトをアクティブまたは非アクティブにできます。
インターセプトをアクティブにするには、「UseFsiDrv」を 1 に設定します。呼び出しを非アクティブにするには、「UseFsiDrv」を 0 に設定します。
このレジストリ値を変更した後、eTrust AC サービスを再起動する必要があります。
注: インターセプトがアクティブでない場合、eTrust AC ルールは適用されません。
eTrust AC for Windows と eTrust Audit r1.5 の両方を同じコンピュータにインストールする場合、eTrust AC アーカイブが無効になっていることを確認してください。無効にするには、レジストリ キー HKEY_LOCAL_MACHINE¥Software¥ComputerAssociates¥ eTrustAccessControl¥logmgr の下にあるレジストリ値「BackUp_Date」をデフォルト値の none に設定します。
これで、eTrust AC アーカイブの代わりに、eTrust Audit が提供するより柔軟で強力なアーカイブ機能を使用できます。
新しいデータベースを作成した後、CA ソフトウェア共存ユーティリティの eACoexist.exe を実行します。 このユーティリティは、新たに作成したデータベースを正常に更新し、後で CA 製品と eTrust AC の競合が発生するのを防ぐために不可欠です。 このユーティリティを実行するには、eTrust AC のルート ディレクトリから以下のコマンドを発行します。
eACoexist.exe Coexistence
eTrust AC を Windows XP SP2 にインストールした場合、eTrust AC は TCP 接続用にポート 8891 を開きます。 このポートが、eTrust AC のエージェントとクライアント間の接続のデフォルトのポートとなります。
auth SURROGATE USER.Administrator uid("NT AUTHORITY¥SYSTEM") acc(R)
so dms+(new_dms_name)
注: インストール時に DMS ノードを指定しなかった場合、またはエンドポイント上の登録済み DMS を置換するか、エンドポイントに登録済み DMS を追加する場合は、同じコマンドを発行する必要があります。 ただし、インストール時に作成する DMS ノードを指定した場合、その DMS はデータベースに追加され、上記のコマンドを手動で実行する必要はありません。
ただし、x86 システムから IA64 のエンドポイントを管理することは可能です。
ただし、x86 システム上からこのユーティリティを実行して、レポートをリモート作成することは可能です。
ただし、x86 システムから IA64 のエンドポイントを管理することは可能です。
ただし、x86 システム上からこのユーティリティを実行して、レポートをリモート作成することは可能です。
カーネル レベルで、以下の eTrust AC インターセプトを無効にできます。
ネットワーク、プロセス、レジストリ、およびファイルの各クラスが無効になっていて、カーネル アクティビティのインターセプトにこれらのクラスを使用していない場合でも、ネットワーク、プロセス、レジストリ、およびファイルのインターセプト処理コードは起動時に初期化され、実行時に稼働して、パフォーマンスに影響します。 パフォーマンスを向上させるために、起動時の 1 つ以上のインターセプトの初期化を無効にできます。
カーネル レベルで eTrust AC インターセプトを無効にする方法
エントリは、以下のレジストリ キーで作成する必要があります。
HKLM¥SYSTEM¥CurrentControlSet¥Services¥drveng¥Parameters
eTrust AC は、無効化されたインターセプト タイプを初期化せずに、再ロードされます。
1607: InstallShield のスクリプト ランタイムをインストールできません。
この問題を回避するには、Universal Naming Convention(UNC)の完全パス(¥¥MyMachine¥DriveE¥InstallDir¥PolicyManager など)を使用してください。
たとえば、Policy Model を作成し、その親を定義する場合、以下のコマンドを使用します。
createpmd subs2 admins(abc123 root) auditors(abc123 root) desktop(pcp369499) ¥
parentpmd("aa@pcp369499,bb@pcp369499")
昨日の 17:00 から今日の 08:00 までに記録されたすべての監査レコードを一覧表示します。
コマンド: seaudit -a -st 17:00 -et 08:00
正しくは、以下のようになります。
すべての日付の 17:00 (最初の日)から 08:00 (次の日)の間に記録されたすべての監査レコードを一覧表示するには、以下のコマンドを使用します。
コマンド: seaudit -a -st 17:00 -et 08:00
以下のサードパーティのライセンス契約書が「リリース サマリ」にありませんでした。
この製品の一部には、Markus Friedl によって開発されたソフトウェアが含まれており、以下の著作権および使用許可に関する通知に従って配布されます。
/* $OpenBSD: crc32.c,v 1.9 2003/02/12 21:39:50 markus Exp $ */
/*
* Copyright (c) 2003 Markus Friedl. All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the above copyright
* notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
* notice, this list of conditions and the following disclaimer in the
* documentation and/or other materials provided with the distribution.
*
* THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS|&"&| AND ANY EXPRESS OR
* IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
* OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
* IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
* INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
* NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
* DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
* THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
* (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
* THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
*/
You can use the Software by one user on one computer at a time. You will obtain a separate license for each additional user of the Software on your site. The total number of concurrent users of the Software at one site may not exceed the number of licenses granted to you for that site. Licensed users of the Software may install one additional copy on a machine at home.
The software is in use on a computer when it is loaded into the RAM or installed into the permanent memory (e.g., hard disk or other storage device) of that computer.
You may not sell, license, sub-license, lend, lease, rent, share, assign, transmit, telecommunicate, export, distribute or otherwise transfer the Software to others. You may not modify, reverse engineer, decompile, decrypt, extract or otherwise disassemble the Software. You may make only one copy of the Software for archival or backup purposes.
You agree not to remove any of IndigoSTAR's copyright, trade-mark and other proprietary notices from the Software.
Portions of this product include the RSA Data Security, Inc. MD5 Message-Digest Algorithm. The RSA Data Security software is distributed in accordance with the following license agreement.
/* MD5C.C - RSA Data Security, Inc., MD5 message-digest algorithm */
/* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the "RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this software or this function.
License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing the derived work.
RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is"
without express or implied warranty of any kind.
These notices must be retained in any copies of any part of this documentation and/or software.
*/
This product includes software developed by Eric Young and is distributed in accordance with the following license terms.
Copyright (C) 1995-1997 Eric Young (eay@cryptsoft.com)
All rights reserved.
This package is an DES implementation written by Eric Young (eay@cryptsoft.com).
The implementation was written so as to conform with MIT's libdes.
This library is free for commercial and non-commercial use as long as
the following conditions are aheared to. The following conditions
apply to all code found in this distribution.
Copyright remains Eric Young's, and as such any Copyright notices in
the code are not to be removed.
If this package is used in a product, Eric Young should be given attribution
as the author of that the SSL library. This can be in the form of a textual
message at program startup or in documentation (online or textual) provided
with the package.
Redistribution and use in source and binary forms, with or without
modification, are permitted provided that the following conditions
are met:
1. Redistributions of source code must retain the copyright
notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in the
documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software
must display the following acknowledgement:
This product includes software developed by Eric Young (eay@cryptsoft.com)
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS|&"&| AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
SUCH DAMAGE.
The license and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied and put under another distrubution license
[including the GNU Public License.]
The reason behind this being stated in this direct manner is past
experience in code simply being copied and the attribution removed
from it and then being distributed as part of other packages. This
implementation was a non-trivial and unpaid effort.
/*
* Copyright 1999-2004 The Apache Software Foundation.
*
* Licensed under the Apache License, Version 2.0 (the "License");
* you may not use this file except in compliance with the License.
* You may obtain a copy of the License at
*
* http://www.apache.org/licenses/LICENSE-2.0
*
* Unless required by applicable law or agreed to in writing, software
* distributed under the License is distributed on an "AS IS" BASIS,
* WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
* See the License for the specific language governing permissions and
* limitations under the License.
*/
この製品に対する公開済みのバグ修正プログラムの完全なリストは、CA Support Online の Published Solutions にあります。
国際化製品とは、所定のローカル言語版オペレーティング システムおよびサード パーティ製品上で正常に動作し、データの入出力においてローカル言語をサポートする英語版製品です。 また、国際化製品は、日付、時刻、通貨、数値に関してローカル言語の書式をサポートします。
翻訳済み製品(ローカライズ済み製品とも言います)とは、製品のユーザ インターフェース、オンライン ヘルプ、その他のドキュメントのローカル言語サポートに加えて、日付、時刻、通貨、数値に関してローカル言語でのデフォルトの書式設定をサポートする国際化製品です。
本製品の英語リリースに加えて、CA では、以下の表に掲載されている言語のみをサポートします。
| 言語 | 国際化 | 翻訳済み |
|---|---|---|
| ポルトガル語(ブラジル) | はい | いいえ |
| 中国語(簡体字) | はい | はい |
| 中国語(繁体字) | いいえ | いいえ |
| チェコ語 | はい | いいえ |
| デンマーク語 | はい | いいえ |
| オランダ語 | はい | いいえ |
| フィンランド語 | はい | いいえ |
| フランス語 | はい | いいえ |
| ドイツ語 | はい | いいえ |
| ギリシャ語 | はい | いいえ |
| ハンガリー語 | はい | いいえ |
| イタリア語 | はい | いいえ |
| 日本語 | はい | はい |
| 韓国語 | はい | はい |
| ノルウェー語 | はい | いいえ |
| ポーランド語 | はい | いいえ |
| ロシア語 | はい | いいえ |
| スペイン語 | はい | いいえ |
| スウェーデン語 | はい | いいえ |
| トルコ語 | はい | いいえ |
注: 上記の表に記載されていない言語環境で本製品を実行すると、問題が発生する場合があります。
重要: 以下の eTrust AC コンポーネントはローカライズされていません。メインフレーム パスワード同期、Unicenter 移行、詳細なポリシー ベースの管理およびレポート作成、および API サンプル。
この製品の最新のマニュアルは、http://ca.com/jp/support からダウンロードできます。
この製品の PDF 版のマニュアルは以下のとおりです。
PDF ファイルを表示するには、Adobe Reader を使用します。まだコンピュータにインストールされていなければ、Adobe の Web サイトからダウンロードし、インストールする必要があります。
テクニカル サポートへのお問い合わせ
当社製品を便利にお使いいただくために、CA では個人、SOHO、および企業向け各製品で必要な情報にアクセスするためのサイト(http://www.ca.com/jp/support/)を提供しています。