ホスト アクセスの制御と UNAB の設定

目次
cminder140jp
目次
Privileged Access Manager Server Control
エンタープライズ管理から、UNIX ホストへのユーザおよびグループのアクセスを制御し、UNAB ホストを設定できます。UNIX ホストへのユーザおよびグループのアクセス制御は、ホストへのログインが許可されたユーザおよびグループにのみアクセス権を付与することで行います。
UNAB ホストの設定方法は、ホストへのアクセスを制御する場合と同じです。
Privileged Access Manager Server Control
エンタープライズ管理を使用して、企業内の UNAB ホストの機能を制御し、その機能をすべてのホストに適用します。
ユーザおよびグループのログイン権限を付与した後、または設定トークンの値を定義した後に、
Privileged Access Manager Server Control
エンタープライズ管理によって情報がポリシーに変換され、以下の操作が行われます。
  1. ユーザおよびグループのリストまたは設定パラメータが含まれたデプロイメント パッケージを作成し、そのパッケージを、ポリシーが適用されるホストまたはホスト グループへ割り当てます。
  2. ホストに配布するため、パッケージを配布サーバに転送します。
    UNAB は配布サーバからパッケージを取得し、ポリシーをインストールし、
    Privileged Access Manager Server Control
    エンタープライズ管理に確認メッセージを送り返します。
注:
エンタープライズ ログイン ポリシーおよび UNAB ログイン ポリシーの両方をホストにデプロイした場合、エンタープライズ ログイン ポリシーは UNAB ログイン ポリシーよりも優先されます。
UNAB ログイン認証の管理
UNAB ホストまたはホスト グループへのユーザ ログインを制御するために、アクセスが許可されたユーザまたはグループのリストを作成します。次に、このリストはポリシーに変換されます。
Privileged Access Manager Server Control
エンタープライズ管理は、選択されたホストまたはホスト グループにこのポリシーを割り当ててデプロイします。ログイン ポリシー名は「ログイン@
ホスト名
」形式で指定されます。
注:
ポリシーのデプロイメント ステータスを表示するには、[デプロイメント監査]タスクを使用できます。
以下の手順に従います。
  1. Privileged Access Manager Server Control
    エンタープライズ管理で、
    [ポリシー管理]
    -
    [UNIX 認証ブローカ]
    -
    [ホスト]
    または
    [ホスト グループ]
    をクリックします。
  2. 必要に応じて、以下の
    いずれか
    を実行します。
    • [ホスト ログイン認証の管理]
      をクリックします。
      [ホスト ログイン権限の管理: ホスト検索]画面が表示されます。
    • [ホスト グループ ログイン権限の管理]
      をクリックします。
      [ホスト グループ ログイン権限の管理: ホスト グループ検索]画面が表示されます。
  3. 変更するホストまたはホスト グループの名前を入力し、[
    検索
    ]をクリックします。
    フィルタ条件に一致するホストまたはホスト グループのリストが表示されます。
  4. 変更するホストまたはホスト グループを選択し、[
    選択
    ]をクリックします。
    [ホスト ログイン権限の管理:
    ホスト名
    ]または[ホスト グループ ログイン権限の管理:
    ホスト グループ名
    ]ページが表示されます。
  5. (オプション)以下のようにして、ユーザを追加します。
    1. ドロップダウン メニューから
      [ユーザ]
      を選択します。
    2. ユーザの名前を「
      ドメイン/ユーザ
      」の形式で入力します。
    3. [追加]
      をクリックします。
      追加したユーザは、[許可されたユーザおよびグループ]リストに表示されます。
  6. (オプション)以下のようにして、グループを追加します。
    1. ドロップダウン メニューから
      [グループ]
      を選択します。
    2. 追加するグループの名前を入力します。
    3. [追加]
      をクリックします。
      追加したグループは、[許可されたユーザおよびグループ]リストに表示されます。
  7. (オプション)以下のようにして、ユーザおよびグループを削除します。
    1. 認証済みユーザおよびグループ リストから、削除するユーザおよびグループを選択します。
    2. [削除]
      をクリックします。
      選択したユーザおよびグループは、認証済みユーザおよびグループ リストから削除されます。
  8. [サブミット]
    をクリックします。
     
    Privileged Access Manager Server Control
    エンタープライズ管理は、指定されたホストまたはホスト グループに、ユーザおよびグループの更新済みリストを割り当てます。
UNAB ホストまたはホスト グループの設定
UNAB ホストおよびホスト グループを管理する構成設定を定義できます。
Privileged Access Manager Server Control
エンタープライズ管理は、UNAB 環境設定ファイル(uxauth.ini)または
Privileged Access Manager Server Control
環境設定ファイル(accommon.ini)内の設定値の設定に役立ちます。構成設定の値の割り当てが終了すると、
Privileged Access Manager Server Control
エンタープライズ管理により更新済みの設定値を含む構成ポリシーが作成され、ホストまたはホスト グループに割り当てられます。ポリシーは、「config@
ホスト名
」形式で命名されます。
注:
ポリシーのデプロイメント ステータスを表示するには、[デプロイメント監査]タスクを使用できます。
以下の手順に従います。
  1. Privileged Access Manager Server Control
    エンタープライズ管理で、
    [ポリシー管理]
    -
    [UNIX 認証ブローカ]
    -
    [ホスト]
    または
    [ホスト グループ]
    をクリックします。
  2. 必要に応じて、以下の
    いずれか
    を実行します。
    • UNAB ホストの設定
      ]をクリックします。
      [UNAB ホストの設定: ホスト検索]画面が表示されます。
    • UNAB ホスト グループの設定
      ]をクリックします。
      [UNAB ホスト グループの設定: ホスト グループ検索]画面が表示されます。
  3. 変更するホストまたはホスト グループの名前を入力し、
    [検索]
    をクリックします。
    フィルタ条件に一致するホストまたはホスト グループのリストが表示されます。
  4. 変更するホストまたはホスト グループを選択し、[
    選択
    ]をクリックします。
    [UNAB 設定:
    ホスト名
    ]または[UNAB 設定:
    ホスト グループ名
    ]画面が表示されます。
  5. 変更するセクションとトークンを選択し、[
    トークンの追加
    ]をクリックします。
    選択した設定トークンが表示されます。
  6. 設定トークンの値を変更します。
    注:
    設定トークンの詳細については、「
    リファレンス ガイド
    」を参照してください。
  7. (オプション)変更する別のセクションおよびトークンを選択して[
    トークンの追加
    ]をクリックし、必要に応じて設定トークンの値を変更します。
  8. [サブミット]
    をクリックします。
     
    Privileged Access Manager Server Control
    エンタープライズ管理により、選択された UNAB ホストまたはホスト グループ上の環境設定トークンの値が設定されます。
Privileged Access Manager Server Control
エンタープライズ管理がポリシーをホストにコミットしたことの確認
許可リストと設定リストの作成後に、デプロイメント監査オプションで、
Privileged Access Manager Server Control
エンタープライズ管理が変更を UNAB ホストにコミットしたことを確認できます。
以下の手順に従います。
  1. Privileged Access Manager Server Control
    エンタープライズ管理で、
    [ポリシー管理]
    -
    [ポリシー]
    -
    [デプロイメント]
    -
    [デプロイメント監査]
    をクリックします。
    [デプロイメント監査]検索画面が開きます。
  2. ホストおよび表示するポリシーを選択して、[
    実行
    ]をクリックします。
    クエリの検索結果が表示されます。
    注:
    ログイン ポリシーには、プレフィックス「
    login@
    」が含まれています。
  3. 結果行をクリックして、デプロイメント ステータスを表示します。
     
    Privileged Access Manager Server Control
    エンタープライズ管理には、デプロイメント タスクのステータスと出力が表示されます。
ユーザおよびグループを Active Directory に移行する方法
ユーザを UNIX ホストから Active Directory に移行すると、管理タスクを単一の管理アプリケーションに統合できるため、UNIX ホスト上でのユーザおよびグループの管理が容易になります。
ユーザおよびグループを Active Directory に移行するには、これらの手順に従います。
  1. 移行プロセスをエミュレーション モードで実行します。
    エミュレーション モードでは、UNAB はユーザおよびグループを Active Directory に移行しません。見つかった場合、UNAB は競合をログ ファイルに記録します。ログ ファイルは、ユーザおよびグループ属性の競合の可能性について報告します。デフォルトでは、UNAB 競合ファイル(migrate.conflicts)は以下のディレクトリに存在します。
    /opt/CA/uxauth/log
  2. 競合ファイルをダウンロードします。
    競合ファイルは、
    Privileged Access Manager Server Control
    エンタープライズ管理を使用して CVS 形式でホストからダウンロードします。
    注:
    CSV をダウンロードするには、スケジュールされた次のレポート スナップショットが完了するまで待機する必要があります。
  3. Active Directory に移行する各ローカル アカウントに対応する Active Directory アカウントを作成します。
    UNAB は、既存の Active Directory ユーザ アカウントを持っているユーザのみを移行します。
    注:
    ユーザ アカウントを作成するときに UNIX 属性を指定する必要はありません。Active Directory 内にグループを作成する必要はありません。グループは移行処理中に移行ツールによって作成されます。
  4. 競合を解決する CSV ファイルをホストにアップロードします。
    UNAB は移行プロセスを再開し、解決されたアカウントおよびグループを移行します。
  5. 移行終了後に移行ファイルを再度確認して、ファイルで前回報告されていたアカウントおよびグループが正常に移行されたことを確認します。
    注:
    UNIX エンドポイントがネットワーク情報サービス(NIS)クライアントである場合、UNAB は、NIS ユーザを Active Directory に移行しません。
移行競合の解決
UNAB は、移行処理中に検出された競合を競合ファイルに記録します。このファイルには、ローカル ホストから Active Directory へのユーザとグループの移行を妨害した競合の原因の詳細が記録されます。
競合ファイルを CSV ファイルへエクスポートし、スプレッドシートをコンピュータにダウンロードし、競合を調査して解決します。変更したスプレッドシートは、後で再び
Privileged Access Manager Server Control
エンタープライズ管理にアップロードできます。その後、アップロードされたスプレッドシートがメッセージ キューに送信されます。UNAB は、このファイルを取得し、移行プロセスを再実行して、移行されなかったユーザおよびグループを移行します。
注:
ホスト グループを移行すると、競合ファイルをダウンロードできません。しかし、修正された競合ファイルをアップロードして、移行プロセスにおける競合を解決することができます。
以下の手順に従います。
  1. Privileged Access Manager Server Control
    エンタープライズ管理で、
    [ポリシー管理]
    -
    [UNIX 認証ブローカ]
    -
    [ホスト]
    または
    [ホスト グループ]
    をクリックします。
  2. 必要に応じて、以下の
    いずれか
    を実行します。
    • ホスト移行競合の解決
      ]をクリックします。
      [ホスト移行競合の解決: ホスト検索]画面が表示されます。
    • [ホスト グループ移行競合の解決]
      をクリックします。
      [ホスト グループ移行競合の解決: ホスト グループ検索]画面が表示されます。
  3. 競合を解決するホストまたはホスト グループの名前を入力し、
    [検索]
    をクリックします。
    フィルタ条件に一致するホストまたはホスト グループのリストが表示されます。
  4. 競合を解決するホストまたはホスト グループを選択し、[
    選択
    ]をクリックします。
    [UNAB 移行:
    ホスト名
    ]または[UNAB 移行:
    ホスト グループ名
    ]ページが表示されます。
  5. (オプション) ホスト移行用の競合ファイルをダウンロードし、以下の手順で、競合を解決します。
    1. [UNAB 移行競合詳細のダウンロード]セクションで、[エクスポートとダウンロード]リンクを選択します。
      ダイアログ ウィンドウが開きます。
    2. ファイルの保存場所に移動し、
      [保存]
      を選択します。
      CSV ファイルが指定された場所へダウンロードされます。
    3. CSV ファイルを開き、ファイル内で報告されている競合を解決し、ファイルを保存して閉じます。
  6. (オプション) ホスト グループ移行に関して、競合を解決する CSV ファイルを作成し、保存します。
  7. ホストまたはホスト グループの移行の競合を解決する CSV ファイルを、以下のようにしてアップロードします。
    1. [UNAB 移行ソリューションのアップロード]セクションで、[
      参照
      ]を選択します。
      ダイアログ ウィンドウが開きます。
    2. ファイルを参照して
      [開く]
      をクリックします。
    3. アップロード
      ]をクリックします。
      ファイルがアップロードされます。
  8. [サブミット]
    をクリックします。
     
    Privileged Access Manager Server Control
    エンタープライズ管理によりファイルがメッセージ キューに送信されます。UNAB はキューからファイルを取得し、移行プロセスを再開して、解決されたアカウントおよびグループの移行を試行します。
  9. 移行終了後に移行ファイルを再度確認して、ファイルで前回報告されていたアカウントおよびグループが正常に移行されたことを確認します。
注:
Active Directory に同じ名前のユーザまたはグループが存在する場合、そのユーザまたはグループを移行することはできません。たとえば、g1 という名前のグループを移行しようとしている場合、Active Directory に g1 という名前のユーザが存在すると、UNAB はそのグループを移行できません。
例: UNAB 競合ファイルの出力
以下の例は、移行処理中に作成された UNAB 競合ファイル出力の一部です。
*** Conflict Details as found by the CA Access Control UNAB Migration tool at 12/29/10 10:49 *** *** CRITICAL Conflicts:*** *** The next found conflicts prevent the user/group migration and need the intervention *** *** of the system administrator as they cannot be solved by the migration tool.*** User 'John' conflicts: User 'John' from domain 'development.computer.com' is assigned id '47670' and Unix id is '300821' User 'John' from domain 'development.computer.com' is assigned primary group '47670' and Unix primary group is '1011' User 'John' from domain 'development.computer.com' is assigned home directory '/home/aletestu' and Unix home directory is '/home/john1' User 'John' from domain 'development.computer.com' is assigned shell '/sbin/nologin' and Unix shell is '/bin/bash' *** AUTOMATIC Conflicts:*** *** Migration tool will try to solve the next found conflicts when run in "administrative mode", *** ***if not solved this conflicts will prevent the user/group migration Group 'alegcheck' conflicts: Cannot add members to Active Directory group 'dev_users' because UNIX group 'dev_users' contains member[s] that do not exist in domain 'development.computer.com'. UNIX group 'alegcheck' members: aleucheck1;aleucheck2 User 'John1' conflicts: User 'John1' from domain 'development.computer.com' has no UNIX attributes. *** IGNORED Conflicts:*** *** The next found Conflicts are shown for informational purpose, they will be ignored for ***while migration the user/group*** User 'John' conflicts: User 'John' from domain 'development.computer.com' is assigned gecos '' and Unix gecos is 'gecos of John' User 'John' primary group '1011' was not migrated
この例では、UNAB によって以下の重大な競合が報告されました。
  • ユーザ 'john' には以下の属性が存在しない
    • ユーザ ID (47670)が UNIX ユーザ ID (300821)と競合する
    • ユーザ プライマリ グループ(47670)が Active Directory グループ(1011)と競合する
    • ユーザ ホーム UNIX ディレクトリ(home/john1)が Active Directory ホーム ディレクトリ設定(/home/john)と競合する
    • ユーザ UNIX シェル(/bin/bash)が Active Directory シェル属性(/sbin/nologin)と競合する
UNAB によって以下の競合が報告されました。UNAB は、次回移行プロセス実行時にこれらの競合を解決します。
UNIX グループ(dev_users)が Active Directory に存在しない
  • ユーザ 'john1' に対して UNIX 属性が設定されていない
UNAB は以下のマイナー競合を報告しました。移行プロセス中にはこれらの競合は無視されます。
  • ユーザ gecos ("") が UNIX 割り当て gecos (john の gecos)と競合する
  • ユーザ プライマリ グループ(1011)が移行されていない
例: UNAB 競合解決ファイル
以下の例は、UNAB が競合ファイルで報告した競合を解決するために作成する UNAB 競合解決 CSV ファイルの一部です。CSV ファイルを UNAB ホストにサブミットするには、
Privileged Access Manager Server Control
エンタープライズ管理を使用します。
ソリューション エンティティ タイプ
Solution Entity Name
Solution Operation
ソリューション AD マッピング名
Conflicts
UID
Home Directory
GID
所属先
Members
GECOS
USER
superuser
 
root
Group Migration,NO AD
1
/home/superuser/
1
 
 
 
この例では、競合解決 CSV ファイルには以下が含まれます。
  • ソリューション エンティティ タイプ -- USER
  • ソリューション エンティティ名 -- superuser
  • ソリューション AD マッピング名 -- root
  • 競合 -- Active Directory に見つからないユーザ グループ
  • UID -- 1
  • ホーム ディレクトリ -- /home/superuser/
  • GID -- 1
注:
ユーザの移行の詳細については、「実装ガイド」を参照してください。