Global Access Check のしくみ
指定したファイルへのアクセスは、 によって監視され、許可されたアクセスのテーブルが実行時に作成されます。これらのファイルは、グローバル アクセス チェック(GAC)ルールを設定するためにあらかじめ指定するファイルです。
capamsc141jp
指定したファイルへのアクセスは、
Privileged Access Manager Server Control
によって監視され、許可されたアクセスのテーブルが実行時に作成されます。これらのファイルは、グローバル アクセス チェック(GAC)ルールを設定するためにあらかじめ指定するファイルです。Privileged Access Manager Server Control
では、特定のファイルに対する特定レベルのアクセスをユーザに許可することが決定すると、さらに次の 2 つの条件が満たされているかどうかがチェックされます。- 許可されたアクセスが無条件であること。 つまり、日時、実行するプログラム、その他同様の条件に依存しないこと。
- あらかじめ選択されたファイル マスクの 1 つとファイルが一致すること。
注:
ファイル ルールは、ファイルへのアクセスの許可を定義します。これらの条件が満たされると、
Privileged Access Manager Server Control
によって UID、ファイル ルール、およびアクセス権の 3 つの情報が 1 組にまとめられ、これらの情報項目で構成されるテーブルに保存されます。このテーブルは、他のデータベース アクセス ルールが解釈される前にチェックされます。ユーザがファイルへのアクセスを試みるたびに、フィルタ処理メカニズムとしてこのテーブルがクエリされます。このテーブルには、一度認識された後はアクセス許可チェックが不要なファイル マスクのリストが格納されています。そのため、このテーブルは、do-not-call-me テーブルといいます。また、アクセスがファイル マスク リスト内で指定されたファイルに常に付与されるので、always-grant テーブルともいいます。
ユーザがファイルへのアクセスを試みるたびに、このテーブルがクエリされます。ファイルがテーブル内の 3 つの情報項目の 1 つと一致した場合は、seosd に制御を渡すことなく、適切なアクセスが許可されます。これにより、アクセス ルールの分析は省略されます。その後は、テーブルに格納されている 3 つの情報項目に基づいて、このパターンに一致するファイルへのアクセスはすべて許可されます。アクセス ルール データベースはクエリされません。
データベースに新しいアクセス ルールが追加されるたびに、テーブル全体がフラッシュされ、新しいルールに関する学習プロセスが最初から開始されます。