CA |
2.0 注意事项
2.1 针对 OEL 4 和 5 的 CA Access Control 端点支持
2.2 在 Linux x86 64 位中安装 CA Access Control 32 位二进制文件
2.3 Linux 计算机中要求 libstdc++.so.5 库
2.4 针对 Windows Server 2008 认证
2.5 Windows Server 2008 服务器核心安装
2.6 用户创建日期报告中的日期为 GMT 标准时间
2.7 CA Access Control Premium Edition 的统一许可代码
2.8 最新报告文件 (.biar) 和导入配置文件 (.xml)
3.0 已知问题
3.1 Windows 端点问题
3.1.1 不将报告代理注册表项更新为 SSL 模式
3.1.2 Windows Server 2008 不支持 SURROGATE 类
3.1.3 重新启动 Trend Micro™ PC-cillin Antivirus 后要求重新启动
3.2 UNIX 端点问题
3.2.1 使用软链接时 AIX 升级失败
3.3 服务器组件问题
3.3.1 策略偏差计算器不识别已删除的文件
3.3.2 策略版本报告中缺少数据
3.3.3 无法在空目录中安装 CA Business Intelligence
3.3.4 未翻译日语的 CA Access Control 报告服务器安装的许可协议
3.3.5 朝鲜语 CA Access Control Enterprise Management 中的重复策略选项卡
3.3.6 非英语报告输出中的不可读字符
3.4 文档问题
3.4.1 ISO 映像中不包括最新的本地化文档
3.4.2 restorepmd 命令中不正确的参数
3.4.3 对《版本说明》的更新主题 - SAN 支持用于 Windows 端点
3.4.4 setoptions 命令中未记录的标志
3.4.5 未记录的 secons -kt 和 secons -ktc 函数
3.4.5.1 secons -kt 函数 - 在 UNIX 上显示内核表
3.4.5.2 secons -ktc 函数 - 在 UNIX 上清理、启用或禁用内核缓存表
3.4.5.3 内核表
3.4.5.4 内核表列名称
3.4.5.5 缓存表
3.4.5.6 受保护资源表
3.4.5.7 跳过表
欢迎使用 CA Access Control r12.0 SP1 CR2 自述文件。 该自述文件包含发布后发现的问题和其他信息。 有关该版本已知问题的完整列表,以及有关该版本的功能和增强功能可能对您造成的影响的详细信息,请参阅《版本说明》。
本部分说明了影响产品安装和使用以及在发布以后发现的注意事项。
现在在运行 OEL (Oracle Enterprise Linux) 4 或 5 的 Linux x64 和 x86 硬件中可以安装 CA Access Control 端点。
要将 CA Access Control 32 位二进制文件安装到 Linux x86 64 位系统,建议您使用 120sp1_CR1_LINUX.tar.Z 或 120sp1_CR1_LINUX_RPM.tar.Z 安装程序包或这些安装程序包的更新版本。 这些安装程序包将 32 位 CA Access Control 二进制文件安装到 Linux x86 64 位系统中。 如果正在升级,那么这些程序包会保持与先前 32 位 CA Access Control 安装的兼容性。安装 CA Access Control 之前,必须确保已经安装以下操作系统 32 位库。
ld-linux.so.2、libICE.so.6、libSM.so.6、libX11.so.6、libXext.so.6、libXp.so.6、libXt.so.6、libc.so.6、libcrypt.so.1、libdl.so.2、libgcc_s.so.1、libm.so.6、libncurses.so.5、libnsl.so.1、libpam.so.0、libpthread.so.0、libresolv.so.2、libstdc++.so.5、libaudit.so.0(仅 RHEL 5 和 OEL 5)。以下列表为所需的相关 RPM 软件包:
在 32 位或 64 位 Linux 计算机中安装 CA Access Control 32 位二进制文件之前,必须确保已经安装 libstdc++.so.5 32 位库。 如果没有安装此库,ReportAgent 后台进程将在安装 CA Access Control 后不启动。
CA Access Control 已针对 Windows Server 2008(Windows 徽标计划)进行认证。您可以在以下 CA 在线支持网站(文档 ID:TEC493733)找到由 CA Access Control 安装程序执行的自定义安装操作:
https://support.ca.com/irj/portal/anonymous/phpdocs?filePath=0/154/154_techdocindex.html
注意:有关 Windows 徽标计划的详细信息,请参阅 Windows Hardware Developer Central。
要在 Windows Server 2008 服务器核心安装 CA Access Control,请使用默认值守(非交互)的 CA Access Control 安装。
在 CA Access Control 用户创建日期报告中,创建时间和日期显示为 GMT(格林威治标准时间)。 使用此方法确保不同时区中的各个主机的报告日期是一致的。
由于 CA Access Control 用户创建日期报告使用 GMT 标准时间且不是主机所在时区,因此报告中的创建时间和日期可能随主机显示的创建时间和日期而有所不同。
从 r12.0 SP1 CR1 以后的版本中,CA Access Control Premium Edition 使用统一的许可代码。CA Access Control Premium Edition 许可组件名称为 2E2U(针对 Windows 和 UNIX)。
《实施指南》提供查找 CA Access Control 报告文件 (.biar) 和导入配置文件 (.xml) 的说明,针对 RDBMS 和环境您需要自定义这些文件。您可以在 CA Support Online 中找到作为测试修正的最新版本文件。
本部分说明了发布以后发现的 CA Access Control 已知问题、应对方法和解决方案。
本部分介绍了 CA Access Control Windows 端点的已知问题。
如果以 非 SSL 模式安装报告代理,且在安装之后将报告代理配置更改为 SSL 模式,那么 CA Access Control 不在以下注册表项中更新 report_server 和 use_ssl registry 条目:
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\ReportAgent
要解决这个问题,请将报告代理配置更改为 SSL 模式后,如下更改注册表项的值:
Windows Server 2008 端点上不支持模仿拦截(SURROGATE 类功能)。
如果在同一计算机中安装 CA Access Control 和 Trend Micro™ PC-cillin Antivirus:
本部分介绍了 CA Access Control UNIX 端点的已知问题。
AIX 中,如果您使用软链接中的本地软件包安装将 CA Access Control r12.0 SP1 升级到 r12.0 SP1 CR1 或 r12.0 SP1 CR2,那么升级会失败且会删除 CA Access Control 的 r12.0 SP1 安装。
要避免这个问题,不要使用软链接中的本地软件包安装升级到 CA Access Control r12.0 SP1 CR1 或 CR2。
本部分介绍了 CA Access Control 服务器组件(CA Access Control Endpoint Management、包括高级策略管理和企业报告的 CA Access Control Enterprise Management)的已知问题。
策略偏差计算器检查在端点上应部署的规则(作为策略部署的结果)和在该端点上部署的实际规则之间的差别。 然而,如果在这两种策略之间存在依存关系,那么策略偏差计算器在已删除 FILE 对象时(如果 FILE 对象与依存策略之一相关联)并不识别。 由于这个原因,策略偏差计算器不会在偏差日志和错误文件中显示有关已删除 FILE 对象的信息。
在策略版本报告中,在由 policydeploy 实用程序部署的策略的“上次更新者”列中没有显示数据。 要避免这个问题,请通过 CA Access Control Enterprise Management 管理所有策略。
如果在空目录中尝试安装 CA Business Intelligence,那么此次安装不会继续且会出现以下消息:
正在验证磁盘空间要求
要安装 CA Business Intelligence,请在安装产品之前在空目录中创建对象(如,文件夹或文本文件)。
在 Solaris 计算机中安装本地化的日语版本 CA Access Control 报告服务器时,许可协议为英语。
如果使用朝鲜语浏览器访问本地化的朝鲜语版本 CA Access Control Enterprise Management,那么“策略管理”选项卡中的“策略”子选项卡会出现两次。
当您将非英语报告导出为 PDF 时,在 PDF 输出中会出现不可读的字符。
从 CA Access Control ISO 映像进行的安装不包括最新的本地化文档。 当您安装本地化版本的产品时,CA Access Control 将安装旧版本的文档。
发布累积版本 (CR) 后,CA Support Online 上将有本地化文档。
在《selang 参考指南》中,restorepmd 命令的参数不正确。parent_pmd 参数应读取为 parentpmd。
restorepmd 命令应如下读取:
restorepmd pmdName [source(path)] [admin(user)] [xadmin(user)] [parentpmd(name)]
《版本说明》中“Windows 端点注意事项”一节的“SAN 支持”主题应读取为:
当您将 CA Access Control 安装到以下系统时,CA Access Control 支持 SAN(存储区域网络)环境:
注意:如果 SAN 可从多个主机访问,则将 CA Access Control 安装到可以访问该 SAN 的每个主机并使用每个安装来保护 SAN 中的文件。
注意:在您将 CA Access Control 安装在 SAN 磁盘时先前的条件仅应用。如果您将 CA Access Control 安装在本地的文件系统并用其来保护 SAN 中的文件,那么在每次重新启动计算机时您不需手工启动 CA Access Control。
如果 SAN 可从多个主机访问且 CA Access Control 安装在 SAN 中,而且想要将 CA Access Control 从其他主机安装到 SAN 的相同位置,请在开始之前考虑以下方面:
在《selang 参考指南》中,针对 setoptions 命令未记录标志。其他标志是:
{setoptions | so} class (className) flags{+|-} I
该标志设置或清除指定类中对象的区分大小写。
注意:该命令在 AC 环境中有效。
《参考指南》中,未记录 secons -kt 和 secons -ktc 函数。以下主题对这些函数进行了解释。
在 UNIX 上有效
secons 实用程序显示内核表。
此命令有以下格式:
secons -kt number
显示指定的内核表。
指定要显示的内核表。number 必须为以下值之一:
指定显示 SpecPgm 内核表。
指定显示 TrustPg 内核表。
指定显示 LoginPg 内核表。
指定显示 DBfiles 内核表。
指定显示 FRegExp 内核表。
指定显示 DCMfile 内核表。
指定显示 AC pids 内核表。
指定显示 InoCach 内核表。
注意:在 Linux 上无效。
指定显示 F cache 内核表。
指定显示 NetwDCM 内核表。
指定显示 MntDirs 内核表。
指定显示 F inode 内核表。
指定显示 STOPbyp 内核表。
注意:如果未启用 STOP,那么您无法显示此内核表。
指定显示 STOPexp 内核表。
注意:如果未启用 STOP,那么您无法显示此内核表。
指定显示 Family 内核表。
指定显示 DbgProt 内核表。
指定显示 TCPport 内核表。
指定显示 TCPoutp 内核表。
指定显示 ProcSrv 内核表。
示例:显示 DBfiles 内核表
以下示例为您显示当您显示 DBfiles 内核表时的输出示例:
secons -kt 4 DBfiles file ID i-node device program name 1 29 280391 356515 /opt/CA/AccessControl/seosdb/seos_ids.dat 2 3 0 0 /opt/CA/AccessControl/etc/privpgms.init
在 UNIX 上有效
secons 实用程序清理、启用或禁用内核缓存表。
此命令有以下格式:
secons -ktc optionNumber
指定清理、启用或禁用内核缓存表。
指定要执行的操作。optionNumber 必须为以下数字之一:
清理 F cache 表。
启用 F cache 表。
禁用 F cache 表。
清理 NetwDCM 表。
启用 NetwDCM 表。
禁用 NetwDCM 表。
清理 F inode 表。
注意:在 Linux 上无效。
启用 F inode 表。
注意:在 Linux 上无效。
禁用 F inode 表。
注意:在 Linux 上无效。
示例:清理 F cache 表
以下示例清理 F cache 表:
secons -ktc 1
内核表列出经常访问的信息以帮助提高 CA Access Control 性能。内核表提高性能的原因是 CA Access Control 不需要检查数据库就可以允许、拒绝或解析列在内核表中的事件。
CA Access Control 包括以下类型的内核表:
下表提供有关各内核表的信息:
表名 | 类型 | 列表 | 列名 | 配置设置 |
---|---|---|---|---|
SpecPgm | 受保护资源 | SPECIALPGM 类中的所有对象 | flags; user; oid; i-node; device; program | SPECIALPGM 类记录 |
TrustPg | 受保护资源 | PROGRAM 类中的所有对象 | flags; i-node; device; program | PROGRAM 类记录 |
LoginPg | 受保护资源 | LOGINAPPL 类中的所有对象 | flags; i-node; device; program | LOGINAPPL 类记录 |
DBfiles | 受保护资源 | FILE 类中的所有对象 | file ID; i-node; device; program | FILE 类记录 注意:此表中的最大记录数由 seos.ini 文件的 SEOS_syscall 部分中的 max_regular_file_rules 定义。 |
FRegExp | 受保护资源 | 在 FILE 类中定义的一般文件访问规则 | fid; expression | 由 FILE 类记录中的一般规则定义 注意:此表中的最大记录数由 seos.ini 文件的 SEOS_syscall 部分中的 max_general_file_rules 定义。 |
DCMfile | 跳过 | 使用 GAC 定义的 Do-not-call-me 文件 | fid; user; type; access | GAC.init 文件 |
ACpids | 跳过 | CA Access Control 后台进程的进程 ID | pid; service; contractID | - |
InoCach | 缓存 | 缓存的 inode | i-node; device; priority; entry | seos.ini 文件的 SEOS_syscall 部分中的 cache_enabled |
F cache | 缓存 | 缓存的文件访问授权结果 | file ID; access; acee; answer; phash; prio | - |
NetwDCM | 缓存 | 缓存已接受的传入 TCP 连接 | peer; port; local port; flag; prio | seos.ini 文件的 seosd 部分中的 UseNetworkCache |
MntDirs | 受保护资源 | CA Access Control 防止装入的目录 | dir ID; i-node; device; mount point | - |
F inode | 受保护资源 | FILE 类中对象的 Inode 和设备号 | file ID; i-node; device; links | - |
STOPbyp | 跳过 | CA Access Control 不提供 STOP 保护的 PROGRAM 类中的对象 | i-node; device; program | 如果启用 STOP,此表中的对象有 SPECIALPGM 记录并带有属性 pgmtype(STOP) |
STOPexp | 跳过 | 定义 CA Access Control 不提供 STOP 保护的 PROGRAM 类中对象的正则表达式 | priority; n-chars; expression | 如果启用 STOP,此表中的对象由 SPECIALPGM 记录并带有属性 pgmtype(STOP) 中的一般规则定义 |
Family | 跳过 | CA Access Control 后台进程 | service; pid; contractID | - |
DbgProt | 受保护资源 | CA Access Control 防止调试的 CA Access Control 二进制文件 | pid; access; name in proc | - |
TCPport | 跳过 | seos_syscall 不将事件传递到 seosd 的端口 | TCP 端口 | seos.ini 文件的 seosd 部分中的 bypass_TCPIP |
TCPoutp | 跳过 | seos_syscall 不将传出连接事件传递到 seosd 的端口 | TCP 端口 | seos.ini 文件的 seosd 部分中的 bypass_outgoing_TCPIP |
ProcServ | 进程 | 列出有关在系统中运行的所有进程的信息 | #n; pid; ppid; acee; flags; uid; euid; zone; arg0; ACuser 注意:不由 secons 实用程序显示的此表中有许多内部列 |
- |
下表对内核表列名称进行说明:
内核表中的条目数。
定义 CA Access Control 允许的访问类型或用户请求的访问类型。 值为访问类型的总和:
1 - read
2 - write
4 - chown
8 - chmod
16 - rename
32 - unlink
64 - utimes
128 - chattr
256 - link
512 - chdir
1024 - create
定义发出访问请求用户的 ACEE。
定义 CA Access Control 用户的用户名。
定义 CA Access Control 对访问请求所做出的响应(允许或拒绝)。 有效值包括:
0 - 拒绝
1 - 允许
定义程序名,与程序执行时在参数号 0 中定义的相同。
(仅 Solaris 10)定义合同进程 ID。
定义文件所在的逻辑磁盘。
定义目录 ID。
定义 inode 的字符串值。
定义有效用户 ID。
定义指定条目应用的资源的表达式(用于字符串匹配的文本模式)。
定义 CA Access Control 用于识别文件的文件 ID。
定义条目的位掩码标志。
定义 inode 号。
定义文件硬链接数量。
定义接受传入 TCP 连接的本地主机上的端口。
定义防止装入的目录中的位置。
定义表达式中字符数。
定义 /proc 文件系统中的进程名称。
注意:在 /proc 文件系统中,每个进程表示为一个文件,文件名是进程号。
定义对象 ID。
定义对等主机地址。
定义路径字符串的哈希值。
定义进程 ID。
定义传入 TCP 连接源于的端口。
定义父进程 ID。
定义内核表中条目的优先级。 当内核表充满时,在 CA Access Control 将新条目写入到内核表时最低优先级的条目将被删除。
定义程序名称。
定义 CA Access Control 服务(后台进程)的名称。
定义条目应用的 TCP 端口。
定义受保护的文件类型。
定义用户 ID。
(仅 Solaris 10)定义区域 ID。
注意:此列的值针对非 Solaris 10 的计算机总是为 0。
有三种类型的内核缓存表:
当提出的授权请求相同时,CA Access Control 会针对存储在文件缓存表中最后响应的请求做出回答。
注意:文件缓存表每 30 分钟进行清理且在以下类中记录发生更改时进行清理:CALENDAR、CONTAINER、FILE、GFILE、GROUP、HOLIDAY、PROGRAM、SECLABEL、SECLEVEL、SHIFT 和 USER。
当 CA Access Control 需要将 inode 号解析为文件名称时,它会在检查文件系统之前检查 InoCach 表。
当 CA Access Control 接收与网络缓存中的请求相同的传入 TCP 请求时,CA Access Control 会自动允许该请求。
可以使用 secons 实用程序显示、清理、启用和禁用内核缓存表。
当 CA Access Control 拦截授权请求时,会检查所请求访问的资源是否列在内核中受保护资源表中。
如果资源列在受保护资源表中,那么 CA Access Control 总是将授权请求发送到 CA Access Control 引擎。如果资源未列在受保护资源表中,CA Access Control 不会将授权请求发送到引擎,反而会在内核中解析访问请求。
当 CA Access Control 拦截授权请求时,会检查所请求访问的资源是否列在内核中跳过表中。
如果资源列在跳过表中,CA Access Control 允许访问请求。 如果资源未列在跳过表中,CA Access Control 会将请求传递到 CA Access Control 授权引擎进行进一步访问检查。
要获取在线技术帮助以及办公地址、主要服务时间和电话号码的完整列表,请联系技术支持:http://www.ca.com/worldwide。