拡張ポリシー ベース管理のしくみ

目次
cminder140jp
目次
拡張ポリシー ベース管理では、ポリシー バージョンを格納、デプロイ、およびデプロイ解除することができると同時に、後でデプロイのステータス、デプロイの偏差、およびデプロイ配布をチェックすることができます。
以下の方法で、高度なポリシー ベースの管理作業を行います。
  1. ポリシーを作成します。
    各ポリシーには、1 組の selang コマンド スクリプトが含まれています。最初のスクリプトは、「
    デプロイメント スクリプト
    」で、ポリシーを構成する selang コマンドのセットが含まれています。2 つ目のスクリプトは、「
    デプロイ解除スクリプト
    」と呼び、エンドポイント データベースからポリシーをデプロイ解除(削除)するために必要なコマンドが含まれます。
  2. ポリシーの詳細を DMS に格納するには、
    Privileged Access Manager Server Control
    エンタープライズ管理または policydeploy ユーティリティを使用します。製品は、自動バージョン管理を使用してポリシーを格納します。
    ポリシーの詳細には、ポリシーの説明、デプロイメント スクリプトおよびデプロイメント解除スクリプト、およびポリシーの依存関係含まれています。が
    ポリシーが DMS にすでに存在するかどうかによって、
    Privileged Access Manager Server Control
    により以下の手順のいずれかが実行されます。
    • ポリシー名が DMS に存在しない場合、
      Privileged Access Manager Server Control
      によりポリシー(
      policy_name
      #01)および論理ポリシー オブジェクト(GPOLICY クラス)の最初のバージョンが作成されます。次に製品は、そのポリシー バージョンを論理ポリシーのメンバとして追加します。
    • ポリシー名が DMS にすでに存在する場合、
      Privileged Access Manager Server Control
      により検出された最新のポリシー バージョンに 1 を加えたポリシー バージョンが作成され、このポリシー バージョンが論理ポリシー(GPOLICY オブジェクト)のメンバとして追加されます。
  3. 格納されたポリシーをターゲット データベースにデプロイするときには、
    Privileged Access Manager Server Control
    エンタープライズ管理または policydeploy ユーティリティを使用します。
    Privileged Access Manager Server Control
    により、DMS にデプロイメント タスク(DEPLOYMENT オブジェクト)が自動的に作成されます。
    注:
    Privileged Access Manager Server Control
    により、格納されたポリシーの最新のファイナライズされたポリシー バージョンがデプロイされます。作成する新しいポリシー バージョンは、割り当てられたホストに自動的に送信されません。割り当てられたホストを、手動で最新のポリシー バージョンにアップグレードします。
    注:
    UNIX 認証ブローカのログインおよびプロシージャのポリシーを作成すると、
    Privileged Access Manager Server Control
    エンタープライズ管理がそれらのポリシーを自動的にデプロイします。UNIX 認証ブローカ ログインおよび設定ポリシーは UNIX 認証ブローカーのホストに割り当てることのみできます。
  4. Privileged Access Manager Server Control
    により、DMS にデプロイメント パッケージ(GDEPLOYMENT オブジェクト)が自動的に作成されます。
    デプロイメント パッケージは、前の手順で作成されたすべてのデプロイ タスクをグループ分けします。
  5. DMS はデプロイ タスクを配布ホスト(DH)に送信します。
  6. エンドポイントは,(policyfetcher を使用して)新しいポリシー デプロイ タスクがないかどうかを定期的にチェックし、保留中のデプロイメント タスクを DH から取得し、ターゲット データベース上で各ルール(デプロイメント スクリプトで指定された selang コマンド)を実行します。
  7. エンドポイントは、デプロイメント タスク ステータス(失敗、成功)、失敗したコマンドに関する selang の結果メッセージ、および HNODE 上のポリシー ステータスで DH を更新します。
    注:
    ポリシーのデプロイでエラーが発生した場合には、
    Privileged Access Manager Server Control
    エンタープライズ管理のデプロイメント監査を使用して、失敗したコマンドに関する selang の出力を詳述できます。それ以外の場合は、ポリシーのデプロイがエラーになったコンピュータ上で、ログ ファイルを表示します。
  8. DH は、デプロイ タスクのステータスやポリシー ステータスが格納されている DMS でそれらの情報を更新します。
注:
UNIX 認証ブローカー ログイン ポリシーおよび UNIX 認証ブローカー設定ポリシーは、拡張ポリシー ベース管理と同様には機能しません。
デプロイメント メソッドがデプロイメント タスクに影響を及ぼす仕組み
格納されたポリシーをターゲット データベースにデプロイすると、
Privileged Access Manager Server Control
により、DMS 上にデプロイメント タスクが自動的に作成されます。デプロイメント タスク(DEPLOYMENT オブジェクト)は作業指令であり、エンドポイントで実行するために DMS 別に生成されます。各デプロイメント タスクは、それぞれ 1 つのエンドポイント用であり、エンドポイントにデプロイする必要があるポリシー バージョンに関する情報が含まれています。
注:
Privileged Access Manager Server Control
は、別のデプロイメント メソッドを使用して、UNIX 認証ブローカーのログインおよび設定のポリシーをデプロイします。
格納されたポリシーをデプロイするために使用するメソッドは、CA
Privileged Access Manager Server Control
が作成するデプロイメント タスクに影響します。以下は、異なるメソッドを使用した結果を示しています。
  • 1 つ以上のホストへのポリシー(GPOLICY オブジェクト)の割り当て
    Privileged Access Manager Server Control
    は、各ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
  • 1 つ以上のホスト グループへのポリシー(GPOLICY オブジェクト)の割り当て
    Privileged Access Manager Server Control
    は、いずれかのホスト グループのメンバとなっている各ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
  • 格納されたポリシー(GPOLICY オブジェクト)が割り当てられているホスト グループへのホストの追加
    Privileged Access Manager Server Control
    は、新規ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
  • ホストへのポリシーの再デプロイ
    Privileged Access Manager Server Control
    は、ホストに対して、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
  • HNODE でのポリシーのリストア(ホストでデプロイが必要なポリシーを再デプロイ)
    Privileged Access Manager Server Control
    は、ホストにデプロイする必要がある各ポリシーについて、ホストで有効なポリシー バージョンのデプロイメント タスクを作成します。
  • 1 つ以上のホストでのデプロイ済みポリシーのアップグレード
    ホストに格納されているポリシー バージョンがホストにデプロイされているポリシー バージョンより新しい場合には、
    Privileged Access Manager Server Control
    は、各ホストに対して、最新のファイナライズされたポリシー バージョンのデプロイメント タスクを作成します。
例: ポリシーのホストへの割り当て
ポリシー IIS をホスト host1.comp.com と host2.comp.com に割り当てると、
Privileged Access Manager Server Control
は 2 つのデプロイメント タスクを作成します。1 つは最新の IIS ポリシー バージョンを host1.comp.com にデプロイするタスクであり、もう 1 つは最新の IIS ポリシー バージョンを host2.comp.com にデプロイするタスクです。
例: ポリシーのホスト グループへの割り当て
ホスト グループ「Servers」には、「hostA.comp.com」と「hostB.comp.com」の 2 つのメンバがあります。ポリシー IIS をホスト グループ「Servers」に割り当てると、
Privileged Access Manager Server Control
により 2 つのデプロイメント タスクが作成されます。1 つは最新の IIS ポリシー バージョンを「hostA.comp.com」にデプロイするタスクで、もう 1 つは最新の IIS ポリシー バージョンを「hostB.comp.com」にデプロイするタスクです。
例: ホストの割り当て済みポリシーを持つホスト グループへの追加
ホスト グループ Servers は 2 つの割り当て済みポリシー(「IIS」と「ORACLE」)を持っています。ホスト test.comp.com をホスト グループに追加すると、
Privileged Access Manager Server Control
により 2 つのデプロイメント タスクが作成されます。1 つは最新の IIS ポリシー バージョンを test.comp.com にデプロイするタスクで、もう 1 つは最新の ORACLE ポリシー バージョンを test.comp.com にデプロイするタスクです。
例: ホストのリストア
ホストには、policy1 と policy2 の 2 つのポリシーが割り当てられています。ホストをリストアすると、
Privileged Access Manager Server Control
により 2 つのデプロイメント タスクが作成されます。1 つは最新のファイナライズされた policy1 バージョンをホストにデプロイするタスクで、もう 1 つは最新のファイナライズされた policy2 バージョンをホストにデプロイするタスクです。
例: デプロイ済みポリシーのアップグレード
ポリシー IIS は 2 つのホスト、host1.comp.com および host2.comp.com 上にデプロイされていますが、ポリシー IIS の最新バージョンは host1.comp.com にデプロイされていません。両方のホスト上でポリシー IIS をアップグレードすると、
Privileged Access Manager Server Control
により 1 つのデプロイメント タスクのみが作成され、最新の IIS ポリシー バージョンが host1.comp.com にデプロイされます。
DMS が保持するエンドポイント データ
環境に拡張ポリシー管理を設定すると、企業内のエンドポイントは設定された DH 経由で、以下の 3 種類のステータス変更を DMS に通知します。
  • ポリシーのデプロイおよびデプロイ解除
    ポリシーのデプロイまたはデプロイ解除を実行している場合、エンドポイントは通知を送信します。操作の結果に従って、以下の詳細が更新されます。
    • ポリシーの詳細
    • デプロイのステータス([成功]、[失敗]など)
    • 実行に失敗したポリシー コマンドの selang コマンド出力
    • HNODE ポリシー ステータス([デプロイされました]、[デプロイされましたがエラーがあります]など)
  • ホスト ハートビート
    各エンドポイントは設定可能な一定の間隔でハートビートを送信し、ホストがオンラインであることを確認します。
  • 偏差ステータス
    各ハートビート送信後、エンドポイントはポリシー偏差を計算し、結果(偏差の検出または未検出)を送信します。
    注:
    policyfetcher により、エンドポイントと DH 間でのデプロイメントと偏差のステータスの競合が検出された場合は、エンドポイントから受け取った情報に基づいて競合を解決します。
エンドポイントが DMS を更新する仕組み
各エンドポイントは、設定した DH を使用して、ハートビート(ホスト ステータス)、ポリシー ステータスおよび偏差ステータスに関する通知を DMS に送信します。このような DMS 通知は以下のようにして処理されます。
  1. DH が通知メッセージを更新ファイルに格納します。
    これは、エンドポイントからのハートビートならびにポリシー デプロイおよびデプロイ解除通知です。
  2. DH がそのサブスクライバである DMS にアクセスします。
    • DMS が使用可能でない場合、すべてのメッセージが正常に送信されるまで DH は定期的に DMS との通信を試行します。
    • DMS が使用可能な場合、DH は格納した通知を送信します。
  3. DMS が各 DH から受け取った情報を、後で使用するために格納します。
    レポートを作成するたびに、
    Privileged Access Manager Server Control
    により DMS から情報が取得されます。
注:
UNIX 認証ブローカー エンドポイントは、DMS を更新するために異なるプロセスを使用します。