CA |
6.0 알려진 문제점
6.1 타사 사용권 계약
6.1.1 CRC32
6.1.2 PerlEdit 1.08
6.1.3 MD5 Message Digest Algorithm
6.1.4 Triple DES Algorithm
6.1.5 XERCES
Windows용 eTrust® Access Control r8 SP1(eTrust AC)을 사용해 주셔서 감사합니다. 이 추가 정보 파일은 eTrust AC r8 SP1의 인쇄된 설명서를 보완하는 문서로서 최신 정보 및 기타 필요한 정보를 제공합니다. 본 버전에는 이전 버전에서 제공되었던 향상된 기능 및 픽스가 모두 포함되어 있습니다.
이 CR에 포함된 픽스는 http://www.ca.com/worldwide에 있는 기술 지원 페이지 및 CR_FIXLIST 파일에 설명되어 있습니다. 기술 지원 웹 사이트는 eTrust AC의 모든 픽스에 대한 설명을 수록하고 있습니다. CR_FIXLIST 파일은 올해 동안 CR 릴리스에 포함된 픽스에 대한 설명만 수록하고 있습니다.
이 제품을 지원하는 운영 체제의 전체 목록은 기술 지원 페이지의 CA Access Control Compatibility Matrix에서 볼 수 있습니다.
Windows에 필요한 최소 프로세서 속도, 메모리 및 디스크 공간:
또한 사용자 및 사용자 그룹, 보호된 파일과 기타 리소스, 리소스에 대한 제어된 액세스를 허용하는 권한을 기술하는 레코드의 리포지토리인 eTrust AC 데이터베이스를 위한 디스크 공간도 필요합니다. 예를 들어 천 명의 사용자, 천 개의 파일, 5백 개의 액세스 규칙을 위한 데이터베이스는 2 MB 정도의 디스크 메모리를 차지합니다.
모든 CA 엔터프라이즈 제품 및 옵션은 네트워크에서 CA 소프트웨어를 실행하는 모든 컴퓨터에 대해 라이선스 파일 CA.OLF를 요구합니다. eTrust AC을 구입하면 제품을 설치하고 라이선스를 등록하는 데 필요한 정보가 들어 있는 라이선스 인증서를 받습니다.
엔터프라이즈 라이선스 파일을 설치하려면 eTrust AC 행을 추가한 CA.OLF 파일을 CA_license 디렉터리(예: C:\CA_LIC)에 복사하십시오.
동일한 컴퓨터에 eTrust AC와 Panda Antivirus를 함께 설치하는 경우 eTrust AC의 레지스트리 키 보호 기능을 사용할 수 없습니다.
eTrust AC STOP 기능이나 McAfee Entercept 버퍼 오버플로 보호 기능을 끄십시오.
현재 컴퓨터를 DMS로 정의할지 여부를 지정합니다.
이 옵션을 지정하는 경우 아래 옵션도 지정해야 합니다.
고급 정책 관리 및 보고를 구성할지 여부를 지정합니다.
이 옵션을 지정하는 경우 아래 옵션도 지정할 수 있습니다.
현재 컴퓨터에 DMA를 만들지 여부를 지정합니다.
이 옵션을 지정하는 경우 아래 옵션도 지정해야 합니다.
참고: dmsmgr 유틸리티를 사용하여 고급 정책 기반 관리를 설치 및 구성할 수도 있습니다. 자세한 내용은 Reference Guide(참조 안내서)를 참조하십시오.
중요! 데이터베이스에서 사용하는 규칙에 따라 차이가 있지만 이 기능으로 인해 eTrust AC가 로그 파일에 기록하는 감사 이벤트의 숫자가 크게 증가할 수 있습니다. 따라서 감사 로그 파일의 크기 및 백업 설정을 검토하는 것이 좋습니다.
참고: 전체 감사에 대한 정보 및 감사 로그 백업을 위해 레지스트리 설정을 구성하고 사용하는 방법에 대한 자세한 내용은 설명서 추록을 참조하십시오.
참조 안내서에 다음 설명이 누락되어 있습니다.
nameonly--인증 엔진이 이름으로 TERMINAL 레코드를 참조하며 해당 이름을 찾지 못하면 검색을 중단합니다. IP 주소 형식으로 된 TERMINAL 레코드는 무시합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\FsiDrv\BatchOplockStatus
예를 들어, TCP 클래스에서 이름이 "_default"인 내장 개체의 "audit mode" 속성이 기본값 "Failure"을 갖고 있습니다. 이 속성 값이 "All"로 변경되면 업그레이드 프로세스 중에 TCP 클래스가 비활성화되지 않습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\FsiDrv\BatchOplockStatus
누적 릴리스(CR) 프로세스를 개선하기 위해 CA는 eTrust AC CR 명명 규칙을 YYMM(예: 0710) 표기에서 각 CR에 따라 증가하는 표준 숫자 표기(예: CR 12, CR 13 등)로 변경하고 있습니다.
이러한 변화에 따라 지원을 개선하고 eTrust AC CR 이름을 다른 CA 제품과 동일하게 조화시킬 수 있습니다. 이 경우 나중에 최신 CR 또는 주요 릴리스로 업그레이드할 때 사용자의 별도 조치 없이 수월하게 업그레이드될 수 있도록 업그레이드 프로세스가 개선되었습니다.
이러한 변화는 특히 CR 이름, CR 설명서, seversion 출력, 네이티브 패키지 버전 관리 출력 및 Windows 버전 관리 정보에 영향을 줍니다.
eTrust AC가 32 비트와 64 비트 응용 프로그램을 모두 관리 및 보호할 수 있는 기능
이 CR에 포함된 향상된 기능은 SupportConnect에서 찾을 수 있는 설명서 추록에 설명되어 있습니다. 이 안내서는 이 CR이 속하는 eTrust AC의 GA 릴리스와 함께 제공된 설명서를 보완하는 추가 정보를 수록하고 있습니다.
참고: 언급된 기능들이 eTrust AC의 이후 릴리스에 포함되면 이 설명서의 내용은 이러한 릴리스의 정식 설명서에 통합될 것입니다.
HKLM\SOFTWARE\ComputerAssociates\AccessControl\SeOSD
이름: HostResolutionMode
유형: REG_DWORD
값:
0 -- HOST 확인이 동시적(현재 속성)
1 -- HOST 확인이 비동시적('이벤트 로그' 보고 사용)
이 설정의 효과는 다음과 같습니다.
2 -- HOST 확인이 비동시적('이벤트 로그' 보고 사용 안 함)
'1'과 동일하지만 알림 메시지가 기록되지 않습니다.
기본값: 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drveng\Parameters\DisableLogonInterception
이 레지스트리 값은 DWORD 유형입니다.
로그인 보안을 강화하기 위해 eTrust AC는 도메인 이름을 지정해야만 사용자가 로그인할 수 있도록 허용합니다. 하지만 이 기능으로 인해 다른 응용 프로그램에 문제가 발생하는 경우 레지스트리 키 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\eTrustAccessControl\FsiDrv에서 REG_DWORD 데이터 유형의 AcceptEmptyDomainLogin 레지스트리 값을 1로 설정하여 이 기능을 비활성화할 수 있습니다.
예를 들어, eTrust Firewall이 제대로 동작하려면 이 레지스트리 설정을 수정해야 합니다.
"도메인 이름 없이 로그온 허용"이라고 하는 이 설정은 eTrust AC를 설치하는 동안 선택할 수도 있습니다.
하위 인증은 DC 중 임의의 하나에서 트리거될 수 있으므로 일관되게 동작하도록 하려면 Windows 도메인에 있는 모든 DC에서 동일한 eTrust AC 로그온 정책을 적용해야 합니다.
참고: DC 중 하나에서만 로그온이 인증되므로 사용자의 'grace' 로그온 속성은 동기화되지 않습니다. 비슷하게, '마지막 액세스 시간'은 사용자가 인증된 동일한 DC에 사용자가 마지막으로 액세스한 시간을 나타냅니다.
eTrust AC는 암호 품질 검사를 위한 사전(딕셔너리) 파일을 설치합니다. 설치된 표준 UNIX 운영 체제에서 가져오는 이 파일은 쉽게 구할 수 있으며 잘 알려져 있습니다.
따라서 이 파일을 확장하거나 보다 정교한 사전 파일로 바꾸는 것이 좋습니다.
테스트 과정에서 실수로 규칙을 잘못 정의할 수 있습니다. 예를 들어, 시스템 디렉터리나 Windows 레지스트리의 중요한 부분에 대한 액세스를 거부하는 규칙을 잘못 만들 수 있습니다. 이러한 규칙은 사용자가 로그온하거나 명령을 실행하지 못하도록 만들 수 있습니다. 이런 경우 eTrust AC를 중지한 후 잘못된 규칙을 수정하는 것이 매우 어렵습니다. 따라서 이러한 유형의 문제를 해결하는 데 도움을 주기 위해 긴급 종료 기능이 제공됩니다.
일반적으로 eTrust AC 서비스는 컴퓨터가 정상적으로 재부팅된 후 즉시 자동으로 시작됩니다. 그러나 부팅 메뉴에서 "안전 모드(네트워킹 사용)"를 선택하면 시스템이 시작될 때 eTrust AC 서비스가 자동으로 시작되지 않습니다.
이 기능은 제품을 처음 구현할 때 테스트 단계에서만 필요하며, 백 도어로 악용될 수 있으므로 이후에는 비활성화해야 합니다.
백 도어를 비활성화하려면 레지스트리 키 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\ eTrustAccessControl\eTrustAccessControl\에서 reg_dword 데이터 유형의 레지스트리 'LockEE'를 정의하고 그 값을 1로 설정하십시오.
레지스트리 키 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\ eTrustAccessControl\eTrustAccessControl\에 있는 'UseFsiDrv' 레지스트리 값에 다른 값을 할당하여 eTrust AC 필터 드라이버의 차단을 활성화하거나 비활성화할 수 있습니다.
차단을 활성화하려면 'UseFsiDrv'를 1로 설정하고 호출을 비활성화하려면 'UseFsiDrv'를 0으로 설정하십시오.
이 레지스트리 값을 변경한 후에는 eTrust AC 서비스를 다시 시작해야 합니다.
참고: 차단이 비활성화되면 eTrust AC 규칙이 적용되지 않습니다.
Windows용 eTrust AC와 eTrust Audit r1.5를 같은 시스템에 설치하려는 경우 레지스트리 키 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\ eTrustAccessControl\logmgr에서 BackUp_Date 레지스트리 값을 기본값인 'none'으로 설정하여 eTrust AC 보관 기능을 비활성화해야 합니다.
이렇게 하면 eTrust AC 보관 기능이 eTrust Audit에서 제공하는 보다 유연하고 강력한 보관 기능으로 바뀝니다.
새 데이터베이스를 작성한 다음에는 CA 소프트웨어 공존 유틸리티 eACoexist.exe를 실행하십시오. 이 유틸리티는 새로 작성된 데이터베이스를 올바로 업데이트하고 CA 제품과 eTrust AC 간 발생 가능한 충돌을 방지하기 위해 필요합니다. 이 유틸리티를 실행하려면 eTrust AC 루트 디렉터리에서 다음 명령을 실행하십시오.
eACoexist.exe Coexistence
Windows XP SP2에 eTrust AC를 설치하면 eTrust AC는 TCP 연결을 위해 8891 포트를 엽니다. 이 포트는 eTrust AC 에이전트-클라이언트 연결을 위한 기본 포트로 사용됩니다.
auth SURROGATE USER.Administrator uid("NT AUTHORITY\SYSTEM") acc(R)
so dms+(new_dms_name)
참고: 설치 중 DMS 노드를 지정하지 않았거나 끝점에서 등록된 DMS를 바꾸거나 추가하려면 동일한 명령을 실행해야 합니다. 하지만 설치 중 DMS 노드를 만들도록 지정하면 DMS가 데이터베이스에 추가되므로 위 명령을 직접 실행할 필요가 없습니다.
하지만 x86 시스템에서 IA64 끝점을 관리할 수 있습니다.
하지만 x86 시스템에서 이 유틸리티를 실행하여 보고서를 원격으로 작성할 수 있습니다.
하지만 x86 시스템에서 IA64 끝점을 관리할 수 있습니다.
하지만 x86 시스템에서 이 유틸리티를 실행하여 보고서를 원격으로 작성할 수 있습니다.
커널 수준에서 다음과 같은 eTrust AC 차단을 비활성화할 수 있습니다.
네트워크, 프로세스, 레지스트리, 파일 클래스가 비활성화되었고 이러한 클래스를 사용하여 커널 활동을 차단하지 않는 경우에도 네트워크, 프로세스, 레지스트리, 파일 차단 프로세싱 코드가 부팅 시 시작되어 런타임에서 실행되므로 성능에 영향을 주게 됩니다. 성능을 높이기 위해 하나 이상의 차단 기능이 부팅 시 시작되지 않도록 비활성화할 수 있습니다.
eTrust AC 차단을 커널 수준에서 비활성화려면
이러한 항목은 다음 레지스트리 키에 작성되어야 합니다.
HKLM\SYSTEM\CurrentControlSet\Services\drveng\Parameters
이렇게 하면 eTrust AC가 비활성화된 차단 유형을 시작하지 않고 다시 로드됩니다.
1607: Unable to install InstallShield Scripting Runtime
이 문제를 해결하려면 전체 UNC(Universal Naming Convention) 경로(예: \\MyMachine\DriveE\InstallDir\PolicyManager)를 사용하십시오.
예를 들어, 정책 모델을 만든 후 상위 정책 모델을 정의하려면 다음 명령을 사용하십시오.
createpmd subs2 admins(abc123 root) auditors(abc123 root) desktop(pcp369499) \ parentpmd("aa@pcp369499,bb@pcp369499")
상황: 어제 17:00와 오늘 08:00 사이에 기록된 모든 감사 레코드를 나열합니다.
명령: seaudit -a -st 17:00 -et 08:00
이 예제는 다음과 같이 수정되어야 합니다.
상황: 모든 날짜에 대해 17:00(첫째 날)와 08:00(다음 날) 사이에 기록된 모든 감사 레코드를 나열합니다.
명령: seaudit -a -st 17:00 -et 08:00
다음과 같은 타사 사용권 계약이 릴리스 요약에 누락되어 있습니다.
Portions of this product include software developed by Markus Friedl and are distributed in accordance with the following copyright and permission notices.
/* $OpenBSD: crc32.c,v 1.9 2003/02/12 21:39:50 markus Exp $ */
/*
* Copyright (c) 2003 Markus Friedl. All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the above copyright
* notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
* notice, this list of conditions and the following disclaimer in the
* documentation and/or other materials provided with the distribution.
*
* THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS|&"&| AND ANY EXPRESS OR
* IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
* OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
* IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
* INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
* NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
* DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
* THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
* (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
* THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
*/
You can use the Software by one user on one computer at a time. You will obtain a separate license for each additional user of the Software on your site. The total number of concurrent users of the Software at one site may not exceed the number of licenses granted to you for that site. Licensed users of the Software may install one additional copy on a machine at home.
The software is in use on a computer when it is loaded into the RAM or installed into the permanent memory (e.g., hard disk or other storage device) of that computer.
You may not sell, license, sub-license, lend, lease, rent, share, assign, transmit, telecommunicate, export, distribute or otherwise transfer the Software to others. You may not modify, reverse engineer, decompile, decrypt, extract or otherwise disassemble the Software. You may make only one copy of the Software for archival or backup purposes.
You agree not to remove any of IndigoSTAR's copyright, trade-mark and other proprietary notices from the Software.
Portions of this product include the RSA Data Security, Inc. MD5 Message-Digest Algorithm. The RSA Data Security software is distributed in accordance with the following license agreement.
/* MD5C.C - RSA Data Security, Inc., MD5 message-digest algorithm */
/* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the "RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this software or this function.
License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing the derived work.
RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is"
without express or implied warranty of any kind.
These notices must be retained in any copies of any part of this documentation and/or software.
*/
This product includes software developed by Eric Young and is distributed in accordance with the following license terms.
Copyright (C) 1995-1997 Eric Young (eay@cryptsoft.com)
All rights reserved.
This package is an DES implementation written by Eric Young (eay@cryptsoft.com).
The implementation was written so as to conform with MIT's libdes.
This library is free for commercial and non-commercial use as long as
the following conditions are aheared to. The following conditions
apply to all code found in this distribution.
Copyright remains Eric Young's, and as such any Copyright notices in
the code are not to be removed.
If this package is used in a product, Eric Young should be given attribution
as the author of that the SSL library. This can be in the form of a textual
message at program startup or in documentation (online or textual) provided
with the package.
Redistribution and use in source and binary forms, with or without
modification, are permitted provided that the following conditions
are met:
1. Redistributions of source code must retain the copyright
notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in the
documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software
must display the following acknowledgement:
This product includes software developed by Eric Young (eay@cryptsoft.com)
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS|&"&| AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
SUCH DAMAGE.
The license and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied and put under another distrubution license
[including the GNU Public License.]
The reason behind this being stated in this direct manner is past
experience in code simply being copied and the attribution removed
from it and then being distributed as part of other packages. This
implementation was a non-trivial and unpaid effort.
/*
* Copyright 1999-2004 The Apache Software Foundation.
*
* Licensed under the Apache License, Version 2.0 (the "License");
* you may not use this file except in compliance with the License.
* You may obtain a copy of the License at
*
* http://www.apache.org/licenses/LICENSE-2.0
*
* Unless required by applicable law or agreed to in writing, software
* distributed under the License is distributed on an "AS IS" BASIS,
* WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
* See the License for the specific language governing permissions and
* limitations under the License.
*/
이 제품에 대해 게시된 전체 버그 픽스 목록은 Support Online에서 찾을 수 있습니다.
국제화된 제품은 요구되는 운영 체제 및 타사 제품의 현지 언어 버전에서 올바로 실행되는 영어 제품으로서 현지 언어로 데이터를 입력 및 출력할 수 있습니다. 또한 국제화된 제품에서는 날짜, 시간, 통화 및 숫자 형식에 대해 현지 언어 방식을 사용할 수 있습니다.
번역된 제품(또는 현지화된 제품)은 제품의 번역된 사용자 인터페이스, 온라인 도움말 및 기타 설명서를 제공하고 날짜, 시간, 통화 및 숫자 형식에 현지 언어 기본 설정을 사용하는 국제화된 제품을 의미합니다.
이 제품의 영어 릴리스 이외에 CA는 아래 표에 나열된 언어만 지원합니다.
언어 | 국제화됨 | 번역됨 |
---|---|---|
포르투갈어(브라질) | 예 | 아니요 |
중국어(간체) | 예 | 예 |
중국어(번체) | 아니요 | 아니요 |
체코어 | 예 | 아니요 |
덴마크어 | 예 | 아니요 |
네덜란드어 | 예 | 아니요 |
핀란드어 | 예 | 아니요 |
프랑스어 | 예 | 아니요 |
독일어 | 예 | 아니요 |
그리스어 | 예 | 아니요 |
헝가리어 | 예 | 아니요 |
이탈리아어 | 예 | 아니요 |
일본어 | 예 | 예 |
한국어 | 예 | 예 |
노르웨이어 | 예 | 아니요 |
폴란드어 | 예 | 아니요 |
러시아어 | 예 | 아니요 |
스페인어 | 예 | 아니요 |
스웨덴어 | 예 | 아니요 |
터키어 | 예 | 아니요 |
참고: 목록에 없는 언어 환경에서 이 제품을 실행하면 문제가 발생할 수 있습니다.
중요! eTrust AC 구성 요소 중 메인프레임 암호 동기화, Unicenter 마이그레이션, 고급 정책 기반 관리 및 보고, API 샘플은 현지화되지 않았습니다.
이 제품의 업데이트된 안내서는 http://www.ca.com/worldwide에서 구할 수 있습니다.
이 제품에는 다음과 같은 PDF 안내서가 있습니다.
Adobe Reader가 아직 컴퓨터에 설치되지 않은 경우 PDF 파일을 보려면 Adobe 웹 사이트에서 Adobe Reader를 다운로드받아 설치해야 합니다.