CA |
2.0 注意事項
2.1 CA Access Control エンドポイントの OEL 4 および 5 のサポート
2.2 CA Access Control 32 ビット バイナリの Linux x86 64 ビットへの インストール
2.3 Linux コンピュータの要件 - libstdc++.so.5 ライブラリ
2.4 Windows Server 2008 の認証取得
2.5 Windows Server 2008 Server Core のインストール
2.6 ユーザ作成日レポートの日付が GMT 時間で表示される
2.7 CA Access Control Premium Edition の統合ライセンス コード
2.8 最新のレポート ファイル(.biar)およびインポート構成ファイル(.xml)
3.0 既知の問題
3.1 Windows エンドポイントの問題
3.1.1 レポート エージェント のレジストリ キーが SSL モードに更新されない
3.1.2 Windows Server 2008 で SURROGATE クラスがサポートされない
3.1.3 Trend Micro&Trade; PC-cillin Antivirus の再起動後に再起動が必要となる
3.2 UNIX エンドポイントの問題
3.2.1 ソフト リンクを使用すると、AIX のアップグレードが失敗する
3.3 サーバ コンポーネントの問題
3.3.1 ポリシー バージョン レポートに表示されないデータがある
3.3.2 空のディレクトリに CA Business Intelligence をインストールできない
3.3.3 CA Access Control レポート サーバ 日本語版のインストールでは、使用許諾契約が翻訳されていない
3.3.4 CA Access Control エンタープライズ管理 韓国語版にポリシー タブが重複して表示される
3.4 ドキュメントの問題
3.4.1 ISO イメージには、ローカライズされたマニュアルは含まれない
3.4.2 restorepmd コマンドの不正なパラメータ
3.4.3 リリース ノートのトピックの更新 - Windows エンドポイントでの SAN のサポート
3.4.4 setoptions コマンドの未記載のフラグ
3.4.5 未記載の secons -kt および secons -ktc 機能
3.4.5.1 secons -kt 機能-UNIX上でカーネル テーブルを表示します。
3.4.5.2 secons -ktc 機能?UNIX上のカーネル キャッシュ テーブルの消去、有効化、無効化
3.4.5.3 カーネル テーブル
3.4.5.4 カーネル テーブルの列名
3.4.5.5 キャッシュ テーブル
3.4.5.6 保護されているリソーステーブル
3.4.5.7 バイパス テーブル
CA Access Control r12.0 SP1 CR2 Readme へようこそ。 この Readme には、リリース後に発見された問題やその他の情報が含まれています。 このリリースの既知の問題と、機能や拡張機能の影響の詳細については、「リリース ノート」を参照してください。
このセクションでは、製品公開後に発見された、製品のインストールおよび使用に影響を与える注意事項について説明します。
OEL (Oracle Enterprise Linux) 4 または 5 が動作する Linux x64 および x86 ハードウェアに CA Access Control エンドポイントをインストールできるようになりました。
32 ビットの CA Access Control バイナリを 64 ビットの Linux x86 にインストールするには、120sp1_CR1_LINUX.tar.Z または 120sp1_CR1_LINUX_RPM.tar.Z インストール パッケージ、あるいはこれらインストール パッケージのそれ以降のバージョンを使用することをお勧めします。 これらのインストール パッケージは、32 ビットの CA Access Control バイナリを 64 ビットの Linux x86 システムにインストールします。 アップグレードの場合、これらのパッケージは以前の 32 ビット CA Access Control のインストールとの互換性を維持しています。 CA Access Control をインストールする前に、以下のオペレーティング システムの 32 ビット ライブラリがインストールされていることを確認する必要があります。
ld-linux.so.2、libICE.so.6、libSM.so.6、libX11.so.6、libXext.so.6、libXp.so.6、libXt.so.6、libc.so.6、libcrypt.so.1、libdl.so.2、libgcc_s.so.1、libm.so.6、libncurses.so.5、libnsl.so.1、libpam.so.0、libpthread.so.0、libresolv.so.2、libstdc++.so.5、libaudit.so.0 (RHEL5 および OEL 5 のみ)。以下に、必要な関連 RPM パッケージを示します。
32 ビットまたは 64 ビットの Linux コンピュータに CA Access Control 32 ビットバイナリをインストールする場合、事前に、libstdc++.so.5 32 ビット ライブラリがインストールされていることを確認する必要があります。 このライブラリをインストールしないと、CA Access Control のインストール後に ReportAgent デーモンが開始されません。
CA Access Control は、Windows Server 2008 (Windows ロゴ プログラム)の認定を受けています。 CA Access Control インストール プログラムによって実行されるカスタム インストール アクションについては、CA Support Online の以下のドキュメント(ドキュメント ID: TEC493733)を参照してください。
https://support.ca.com/irj/portal/anonymous/phpdocs?filePath=0/154/154_techdocindex.html
注: Windows ロゴ プログラムの詳細については、Windows Hardware Developer Central を参照してください。
CA Access Control を Windows Server 2008 Server Core にインストールするには、CA Access Control のサイレント(非対話モード)インストールを使用します。
CA Access Control ユーザ作成日レポートでは、作成日時が GMT(グリニッジ標準時)で表示されます。 これにより、異なるタイムゾーンにホストが存在する場合でも、レポートにある日付の一貫性を保つことができます。
CA Access Control ユーザ作成日レポートでは、ホストのタイムゾーンではなく GMT を使用するため、レポート内の作成日時がホストによって表示される作成日時とは異なる場合があります。
r12.0 SP1 CR1 以降、CA Access Control Premium Edition には統合ライセンス コードがあります。 Windows および UNIX 用の CA Access Control Premium Edition ライセンス コンポーネントの名前は 2E2U です。
実装ガイドでは、CA Access Control レポート ファイル(.biar)およびインポート構成ファイル(.xml)を検索する手順について説明しています。これは、お使いの RDBMS および環境に応じてファイルをカスタマイズする際に必要となります。 これらのファイルの最新版は、CA Support Online でテスト修正として提供されます。
このセクションでは、発行後に発見された CA Access Control の既知の問題、回避策、およびソリューションについて説明します。
このセクションでは、CA Access Control の Windows エンドポイントの既知の問題について説明します。
SSL 以外のモードでレポート エージェントをインストールした場合、インストール後にレポート エージェントの設定を SSL モードに変更しても、CA Access Control では以下のレジストリ キーにあるレジストリ エントリ 「report_server」および「use_ssl」を更新しません。
HKEY_LOCAL_MACHINE¥SOFTWARE¥ComputerAssociates¥AccessControl¥ReportAgent
この問題を修正するには、レポート エージェントの設定を SSL モードに変更した後、レジストリ エントリを以下のように変更してください。
インパーソネーション インターセプト(SURROGATE クラス機能)は Windows Server 2008 のエンドポイントではサポートされていません。
CA Access Control と Trend Micro™ PC-cillin Antivirus を同じコンピュータにインストールする場合
このセクションでは、CA Access Control の UNIX エンドポイントの既知の問題について説明します。
AIX で、ソフト リンク上の ネイティブ パッケージ インストールを使用して CA Access Control r12.0 SP1 から r12.0 SP1 CR1 または r12.0 SP1 CR2 へアップグレードすると、アップグレードが失敗し、CA Access Control r12.0 SP1 のインストールが削除されます。
この問題を回避するには、ソフト リンク上のネイティブ パッケージ インストールを使用して CA Access Control r12.0 SP1 CR1 または CR2 へのアップグレードを行わないでください。
このセクションでは、CA Access Control サーバ コンポーネント(CA Access Control エンドポイント管理、拡張ポリシー管理を含む CA Access Control エンタープライズ管理、およびエンタープライズ レポート)の既知の問題について説明します。
ポリシー偏差計算機能では、(ポリシーのデプロイの結果として)エンドポイント上にデプロイされるべきルールと、エンドポイント上に実際にデプロイされているルールとの差分を確認します。 しかし、2 つのポリシーの間に依存関係があり、FILE オブジェクトが依存関係のあるポリシーの 1 つに関連付けられている場合、ポリシー偏差計算機能では FILE オブジェクトが削除されたことを認識できません。 このため、ポリシー偏差計算機能では、削除された FILE オブジェクトの情報を偏差ログまたはエラー ファイル内に表示しません。
ポリシー バージョン レポートでは、ポリシーが policydeploy ユーティリティを使用してデプロイされた場合、ポリシーの[最終更新者]列にデータが表示されません。 この問題を回避するには、すべてのポリシー管理を CA Access Control エンタープライズ管理で行ってください。
CA Business Intelligence を空のディレクトリにインストールしようとすると、インストールは続行されず、以下のメッセージが表示されます。
必要なディスク領域を検証しています
CA Business Intelligence をインストールするには、製品をインストールする前に、空のディレクトリに 1 つのオブジェクト(たとえば、1 つのフォルダまたはテキスト ファイル)を作成してください。
ローカライズされた CA Access Control レポート サーバ日本語版を Solaris コンピュータへインストールすると、使用許諾契約が英語で表示されます。
韓国語版のブラウザを使用し、ローカライズされた CA Access Control エンタープライズ管理 韓国語版にアクセスすると、[ポリシー管理]タブに[ポリシー]サブタブが重複して表示されます。
英語以外のレポートを PDF にエクスポートすると、出力した PDF に読み取ることができない文字が表示されます。
CA Access Control ISO イメージからインストールした場合、ローカライズされた最新版のマニュアルは含まれていません。 CA Access Control のローカライズ バージョンをインストールすると、古いバージョンのマニュアルがインストールされます。
ローカライズされたマニュアルは、累積リリース(CR)がリリースされた後、CA Support Online で提供される予定です。
「selang リファレンス ガイド」で、restorepmd コマンドのパラメータが正しくありません。 parent_pmd パラメータは、正しくは parentpmd です。
restorepmd コマンドは以下のようになります。
restorepmd pmdName [source(path)] [admin(user)] [xadmin(user)] [parentpmd(name)]
「リリース ノート」の Windows エンドポイントに関する考慮事項に含まれている SAN サポートのトピックは、正しくは以下のとおりです。
CA Access Control を以下にインストールしたとき、CA Access Control は SAN(Storage Area Network)環境をサポートします。
注: SAN に複数のホストからアクセス可能な場合は、SAN にアクセス可能なホストごとに CA Access Control をインストールし、各インストールを使用して SAN 上のファイルを保護します。
注: SAN ディスク上に CA Access Control をインストールする場合のみ、上記の条件が適用されます。 ローカル ファイル システムに CA Access Control をインストールし、それを使用して SAN 上のファイルを保護する場合、コンピュータを再起動するたびに CA Access Control を手動で起動する必要はありません。
SAN が複数のホストからアクセス可能で CA Access Control が SAN 上にインストールされているときに、CA Access Control を別のホストから SAN 上の同じ場所にインストールしたい場合は、開始する前に以下を考慮してください。
「selang リファレンス ガイド」に、setoptions コマンドのフラグに関する記載がありません。 追加のフラグは以下のとおりです。
{setoptions | so} class (className) flags{+|-} I
このフラグでは、指定したクラスのオブジェクトの大文字と小文字を区別するかどうかを設定します。
注: このコマンドは AC 環境で有効です。
「リファレンス ガイド」に、secons -kt および secons -ktc 機能に関する記載がありません。 以下のトピックでは、これらの機能について説明します。
UNIX で有効
secons ユーティリティはカーネル テーブルを表示します。
このコマンドの形式は以下のようになります。
secons -kt number
指定されたカーネル テーブルを表示します。
表示するカーネル テーブルを指定します。 number には、以下の値のいずれかを指定する必要があります。
SpecPgm カーネル テーブルの表示を指定します。
TrustPg カーネル テーブルの表示を指定します。
LoginPg カーネル テーブルの表示を指定します。
DBfiles カーネル テーブルの表示を指定します。
FRegExp カーネル テーブルの表示を指定します。
DCMfile カーネル テーブルの表示を指定します。
AC pids カーネル テーブルの表示を指定します。
InoCach カーネル テーブルの表示を指定します。
注: Linux では有効ではありません。
F キャッシュ カーネル テーブルの表示を指定します。
NetwDCM カーネル テーブルの表示を指定します。
MntDirs カーネル テーブルの表示を指定します。
F inode カーネル テーブルの表示を指定します。
STOPbyp カーネル テーブルの表示を指定します。
注: STOP が有効にならない場合、このカーネル テーブルは表示できません。
STOPexp カーネル テーブルの表示を指定します。
注: STOP が有効にならない場合、このカーネル テーブルは表示できません。
Family カーネル テーブルの表示を指定します。
DbgProt カーネル テーブルの表示を指定します。
TCPport カーネル テーブルの表示を指定します。
TCPoutp カーネル テーブルの表示を指定します。
ProcSrv カーネル テーブルの表示を指定します。
例: DBfiles カーネル テーブルの表示
以下は、DBfiles カーネル テーブルを表示する場合の出力例です。
secons -kt 4 DBfiles file ID i-node device program name 1 29 280391 356515 /opt/CA/AccessControl/seosdb/seos_ids.dat 2 3 0 0 /opt/CA/AccessControl/etc/privpgms.init
UNIX で有効
secons ユーティリティはカーネル キャッシュ テーブルを消去、有効化、または無効化します。
このコマンドの形式は以下のようになります。
secons -ktc optionNumber
カーネル キャッシュ テーブルの消去、有効化、または無効化を指定します。
実行するアクションを指定します。 optionNumber は、必ず以下のいずれかにしてください。
F キャッシュ テーブルを消去します。
F キャッシュ テーブルを有効化します。
F キャッシュ テーブルを無効化します。
NetwDCM テーブルを消去します。
NetwDCM テーブルを有効化します。
NetwDCM テーブルを無効化します。
F inode テーブルを消去します。
注: Linux では有効ではありません。
F inode テーブルを有効化します。
注: Linux では有効ではありません。
F inode テーブルを無効化します。
注: Linux では有効ではありません。
例: F キャッシュ テーブルの消去
以下の例では F キャッシュ テーブルを消去します。
secons -ktc 1
カーネル テーブルは、CA Access Control のパフォーマンス改善を支援するために頻繁にアクセスされた情報を一覧表示します。 カーネル テーブルが一覧表示するイベントの許可、拒否、解決について、CA Access Controlがデータベースを確認する必要はないため、カーネル テーブルによってパフォーマンスが改善されます。
CA Access Control は以下のタイプのカーネル テーブルを含んでいます。
以下のテーブルに、各カーネル テーブルに関する情報を示します。
テーブル名 | タイプ | リスト | 列名 | 環境設定 |
---|---|---|---|---|
SpecPgm | 保護されているリソース | SPECIALPGM クラスのすべてのオブジェクト | flags; user; oid; i-node; device; program | SPECIALPGM クラス レコード |
TrustPg | 保護されているリソース | PROGRAM クラスのすべてのオブジェクト | flags; i-node; device; program | PROGRAM クラス レコード |
LoginPg | 保護されているリソース | LOGINAPPL クラスのすべてのオブジェクト | flags; i-node; device; program name | LOGINAPPL クラス レコード |
DBfiles | 保護されているリソース | FILE クラスのすべてのオブジェクト | file ID; i-node; device; program | FILE クラス レコード 注: このテーブル内のレコードの最大数は seos.ini ファイルの SEOS_syscall セクションにある max_regular_file_rules によって定義されます。 |
FRegExp | 保護されているリソース | FILE クラスの中で定義される包括的なファイル アクセス ルール | fid; expression | FILE クラスレコードでの包括的なルールによって定義されました。 注: このテーブル内のレコードの最大数は seos.ini ファイルの SEOS_syscall セクションにある max_general_file_rules によって定義されます。 |
DCMfile | Bypass | GAC を使用して定義する do-not-call-me ファイル | fid; user; type; access | GAC.init ファイル |
ACpids | Bypass | CA Access Control デーモン用のプロセス ID | pid; service; contractID | - |
InoCach | キャッシュ | キャッシュされたinode | i-node; device; priority; entry | seos.ini ファイルの SEOS_syscall セクションにある cache_enabled |
F キャッシュ | キャッシュ | キャッシュされたファイル アクセス認証結果 | file ID; access; acee; answer; phash; prio | - |
NetwDCM | キャッシュ | 承認済みの受信 TCP 接続をキャッシュしました。 | peer; port; local port; flag; prio | seos.iniファイルのSEOS_syscallセクションにあるUseNetworkCache |
MntDirs | 保護されているリソース | CA Access Control がマウントから保護するディレクトリ | dir ID; i-node; device; mount point | - |
F inode | 保護されているリソース | FILE クラス中のオブジェクトの Inode およびデバイス番号 | file ID; i-node; device; links | - |
STOPbyp | Bypass | CA Access Control が STOP 保護を提供しない PROGRAM クラスの中のオブジェクト | i-node; device; program | STOP が有効な場合、このテーブル内のオブジェクトにはプロパティ pgmtype (STOP)を持つ SPECIALPGM レコードがあります。 |
STOPexp | Bypass | CA Access Control が STOP 保護を提供しない PROGRAM クラスにオブジェクトを定義する正規表現 | priority; n-chars; expression | STOP が有効な場合、このテーブル内のオブジェクトは、プロパティ pgmtype (STOP)を持つ SPECIALPGM レコードでの包括的なルールによって定義されます。 |
Family | Bypass | CA Access Control デーモン | service; pid; contractID | - |
DbgProt | 保護されているリソース | CA Access Control がデバッグから保護する CA Access Control バイナリ | pid; access; name in proc | - |
TCPport | Bypass | seos_syscall が seosd へのイベントを渡さないポート | TCPポート | seos.iniファイルのSEOS_syscallセクションにあるbypass_TCPIP |
TCPoutp | Bypass | seos_syscall がseosd への外部接続イベントを渡さないポート | TCPポート | seos.iniファイルのseosdセクションにあるbypass_outgoing_TCPIP |
ProcServ | プロセス | システムにおいて実行中のすべてのプロセスに関する情報を一覧表示します。 | #n; pid; ppid; acee; flags; uid; euid; zone; arg0; ACuser 注: このテーブルには、secons ユーティリティによって表示されないさらに多くの内部列があります。 |
- |
以下のリストでカーネル テーブルの列名について説明します。
カーネル テーブル内のエントリ番号。
CA Access Control が許可するアクセスのタイプ、またはユーザの要求するアクセスのタイプを定義します。 値はアクセス タイプの合計です。
1 - read
2 - write
4 - chown
8 - chmod
16 - rename
32 - unlink
64 - utimes
128 - chattr
256 - link
512 - chdir
1024 - create
アクセス 要求を行うユーザの ACEE を定義します。
ユーザの CA Access Control ユーザ名を定義します。
アクセス要求に対する CA Access Control の応答(許可または拒否)を定義します。 有効な値は以下のとおりです。
0 - 拒否
1 - 許可
プログラムの実行時に、引数 0 として定義されるプログラム名を定義します。
(Solaris 10 のみ) 契約プロセス IDを定義します。
ファイルが存在する論理ディスクを定義します。
ディレクトリ IDを定義します。
inodeの文字列値を定義します。
有効なユーザ IDを定義します。
エントリが適用されるリソースを指定する式(文字列マッチングに使用されるテキスト パターン)を定義します。
ファイルを識別するために CA Access Control が使用するファイル ID を定義します。
エントリのビット マスク フラグを定義します。
inode番号を定義します。
ファイルのハード リンクの数を定義します。
TCP受信接続を受け入れるローカル ホスト上のポートを定義します。
ディレクトリ内でマウントから保護するべき場所を定義します。
式の中での文字数を定義します。
/proc ファイル システムにプロセス名前を定義します。
注: /proc ファイル システムでは、プロセスはそれぞれファイルとして表されます。また、ファイル名はプロセス番号です。
オブジェクト ID を定義します。
ピア ホスト アドレスを定義します。
パス文字列のハッシュ値を定義します。
プロセス ID を定義します。
着信 TCP 接続が発信されたポートを定義します。
親プロセス ID を定義します
カーネル テーブルにエントリの優先度を定義します。 カーネル テーブルが一杯の場合は、CA Access Control がカーネル テーブルに新しいエントリを書き込む場合に、優先度が最低のエントリが削除されます。
プログラムの名前を定義します。
CA Access Control サービス(デーモン)の名前を定義します。
エントリが適用する TCP ポートを定義します。
保護されたファイル タイプを定義します。
ユーザ ID を定義します。
(Solaris 10 のみ) ゾーン IDを定義します。
注: この列の値は、Solaris 10以外の コンピュータの場合は常に 0 です。
3 つのタイプのカーネル キャッシュ テーブルがあります。
同じ承認が要求されると、CA Access Control はその要求に対し、ファイル キャッシュ テーブルに格納された前回の応答を使用して回答します。
注: ファイル キャッシュ テーブルの消去は、30分毎と以下のクラスのレコードが変更された場合に必ず実行されます - CALENDAR、CONTAINER、FILE、GFILE、GROUP、HOLIDAY、PROGRAM、SECLABEL、SECLEVEL、SHIFT および USER。
CA Access Control がファイル名に対する i-node 数を解決する必要がある場合、InoCach テーブルを確認してから、ファイル システムを確認します。
CA Access Control がネットワーク キャッシュ中のリクエストと同一のTCP着信要求を受け取る場合、CA Access Control は自動的にリクエストを許可します。
secons ユーティリティを使用して、カーネル キャッシュ テーブルの表示、消去、有効化、無効化ができます。
CA Access Control が認証要求をインターセプトする場合、アクセスが要求されるリソースがカーネル中の保護されているリソーステーブルにリストされているかどうか確認します。
リソースが保護されているリソーステーブルにリストされていれば、CA Access Control は常に CA Access Control エンジンへ認証要求を送ります。 リソースが保護されているリソーステーブルにリストされていないと、CA Access Controlエンジンに認証要求を送信しない場合がありますが、代わりにカーネル中でアクセス要求を解決します。
CA Access Control が認証要求をインターセプトする場合、アクセスの要求されるリソースがカーネル中のバイパス テーブルにリストされているかどうか確認します。
リソースがバイパス テーブルにリストされていれば、CA Access Control はアクセス要求を許します。バイパス テーブル内にリソースがリストされていない場合、CA Access Control はCA Access Control 認証エンジンに対してさらにアクセス確認するよう要求を送ります。
テクニカル サポートの詳細については、弊社テクニカル サポートの Web サイト( http://www.ca.com/jp/support/ )をご覧ください。