変数使用のガイドライン
目次
cminder140jp
目次
変数を使用する場合は、以下のガイドラインに準拠します。
- 別の変数またはポリシーが使用している変数は削除しないでください。
- 変数は複数の値を持つことができます。変数値は追加または削除できます。
- 変数をネストすることができます。たとえば、以下のルールは、名前が「ac_data」で、組み込み変数 <!AC_ROOT_PATH> を含む変数を定義します。editres ACVAR ac_data value("<!AC_ROOT_PATH>\data")デフォルトのPrivileged Access Manager Server Controlインストール環境の場合、Windows エンドポイントでこのルールをコンパイルすると、以下のルールが作成されます。editres ACVAR ac_data value("C:\Program Files\CA\AccessControl\data")
- 各変数は、タイプを 1 つのみ持つことができます。たとえば、同時に静的変数でありレジストリ値変数である変数を定義することはできません。
- 未定義の変数が含まれているポリシーはデプロイできません。未定義の変数が含まれているポリシーをデプロイすると、Privileged Access Manager Server Controlによってポリシーのデプロイメント ステータスが[デプロイの一時停止中]に変更されます。ポリシーデプロイするには、未定義の変数を定義し、ポリシーを再デプロイします。注:ポリシーのどの変数が未定義か検出するには、ポリシーの DEPLOYMENT オブジェクトを確認します。Privileged Access Manager Server Controlは未定義の変数がないかどうかをユーザがポリシー検証を有効にしているか無効にしているかにかかわらず確認します。
- Privileged Access Manager Server Controlは、Privileged Access Manager Server Controlの変数と Windows のシステム変数が組み合わされたルールを解決できません。たとえば、Privileged Access Manager Server Controlは、「var1」という名前の変数を定義する以下のルールを解決できません。editres ACVAR var1 value("%SYSTEMROOT%\temp")%SYSTEMROOT% をPrivileged Access Manager Server Control変数として定義し、%SYSTEMROOT%\temp を保護するポリシーを作成するには、以下のルールを使用します。editres ACVAR var1 value("SYSTEMROOT") type(osvar) editres ACVAR var2 value("<!var1>\temp")
- Privileged Access Manager Server Controlは、相互に依存する変数を解決できません。たとえば、Privileged Access Manager Server Controlは以下の例の変数「var1」および「var2」を解決できません。editres ACVAR var1 value("<!var2>") editres ACVAR var2 value("<!var1>")
- 変数内でディレクトリを定義するためにスラッシュが使用されている場合、Privileged Access Manager Server Controlは Windows および UNIX のエンドポイントで正しい方向になるようにスラッシュを解決します。
- selang ルールを使用して変数を定義する場合、エンドポイントにルールをデプロイするポリシーを使用します。selang ルールを使用してエンドポイント上のPrivileged Access Manager Server Controlデータベースを更新すると、ルールがコンパイルされません。たとえば、エンドポイント上で「jboss_home」という名の変数を定義していて、以下の selang ルールでデータベースを直接更新する場合:editres FILE <!jboss_home> audit(all)Privileged Access Manager Server Controlはルールをコンパイルできませんが、代わりに、<!jboss_home> という名前の FILE オブジェクトをデータベース内に作成します。
UNIX エンドポイント上でオペレーティング システム変数を使用するためのガイドライン
UNIX で該当
Privileged Access Manager Server Control
オペレーティング システム変数(タイプ osvar の ACVAR オブジェクト)は、UNIX 環境変数の値を使用します。UNIX プロセスはそれぞれ独自の環境変数セットを持っているので、UNIX エンドポイント上ではオペレーティング システム変数を使用することはお勧めできません。UNIX エンドポイント上でオペレーティング システム変数を使用する場合は、
Privileged Access Manager Server Control
を開始する前に、必要な環境変数を設定してエクスポートします。UNIX エンドポイント上でオペレーティング システム変数を使用する場合は、以下のガイドラインを順守してください。- コンピュータの起動時に rc 起動スクリプトを使用してPrivileged Access Manager Server Controlを開始する場合、このスクリプトが環境変数を設定しエクスポートしてから を開始することを確認します。
- ユーザがPrivileged Access Manager Server Controlを停止し再起動する場合、ユーザ自身が自分のセッション内で環境変数を設定しエクスポートしてから製品を再起動する必要があります。
Windows エンドポイント上でオペレーティング システム変数を使用するためのガイドライン
Windows で該当
Privileged Access Manager Server Control
オペレーティング システム変数(タイプ osvar の ACVAR オブジェクト)は、Windows 環境変数の値を使用します。Windows エンドポイント上でオペレーティング システム変数を使用する場合は、以下のガイドラインを順守してください。
- 環境変数はシステム変数である必要があります。
- Windows 環境変数の値を変更した場合、Privileged Access Manager Server Controlを再起動するまで、変更が認識されません。さらに、Windows の一部のリリースでは、任意の Windows サービスおよびPrivileged Access Manager Server Controlで変更が認識されるためにコンピュータを再起動する必要があります。
エンドポイントで変数を解決する仕組み
変数によって、構成およびオペレーティング システムが異なるエンドポイントに同じポリシーをデプロイできます。以下のプロセスでは、ポリシーの作成およびデプロイ後に、
Privileged Access Manager Server Control
エンドポイントがポリシー内の変数を解決する仕組みについて説明します。- policyfetcher がポリシーを取得すると、Privileged Access Manager Server Controlはポリシー内の変数がポリシーまたはPrivileged Access Manager Server Controlデータベースで定義されているかどうか確認します。以下のいずれかのイベントが発生します。
- 変数がポリシーまたはデータベースで定義されていない場合、Privileged Access Manager Server Controlはポリシーのステータスを[デプロイの一時停止中]に変更します。注:ポリシーをデプロイするには、未定義の変数を定義し、ポリシーを再デプロイします。
- 変数がポリシーまたはデータベースで定義されている場合、Privileged Access Manager Server Controlはポリシーをコンパイルし、そのポリシーが含まれているルールを実行します。
- すべてのハートビートで、policyfetcher は、製品データベース内で変数値が変更されているかどうか確認します。以下のいずれかのイベントが発生します。
- 変数値が変わっていない場合、policyfetcher は手順 2 を繰り返します。
- 変数値が変わっている場合、Privileged Access Manager Server Controlは、変更された変数を使用している、エンドポイント上の任意のポリシーのポリシー ステータスを[非同期]に変更します。注:ポリシーの[非同期]ステータスをクリアするには、ポリシーを再デプロイします。