CA PAM クライアントの展開

CA PAM クライアントは、Web ブラウザ UI の代替として完全に機能します。 にアクセスし、管理者とエンド ユーザのアクティビティを実行するには、このクライアントを使用します。 クライアントは、製品とブラウザの設定の互換性を保つ必要をなくします。 クライアントはブラウザ ベース UI のアクセスには影響しません – 同じワークステーションから両方の方法を使用することができます。
capam34
CA PAM クライアントは、Web ブラウザ UI の代替として完全に機能します。
CA Privileged Access Manager
にアクセスし、管理者とエンド ユーザのアクティビティを実行するには、このクライアントを使用します。 クライアントは、製品とブラウザの設定の互換性を保つ必要をなくします。 クライアントはブラウザ ベース UI のアクセスには影響しません – 同じワークステーションから両方の方法を使用することができます。
Symantec PAM
クライアントを実行できる場所については、「プラットフォーム サポート マトリックス」を参照してください。
以下の手順では、クライアントの展開について説明します。
2
クライアント ソフトウェアのダウンロード
ブラウザ ベース UI のログイン ページから、ご使用のワークステーションの OS タイプと互換性のあるクライアント バージョンをダウンロードします。 CA PAM クライアントをインストールするには、インストールする他のアプリケーションと同じユーザ権限またはアクセス許可が必要になります。
以下の手順に従います。
  1. クライアント ワークステーションで、ブラウザを開き、
    CA Privileged Access Manager
    UI の URL に移動します。
  2. ログイン画面のフィールドの下で、
    [CA PAM クライアント]
    の横の矢印を選択します。
  3. [プラットフォーム]
    フィールドで、ローカル ワークステーションの OS を選択し、
    [ダウンロード]
    を選択します。
  4. ワークステーションに、インストーラ ファイルをローカルで保存します。
クライアントのインストール
以下の適切な手順を参照してください。
macOS 固有の手順
インストーラ ファイルをダウンロードした後に、ファイルを展開し、クライアント インストーラを実行します (
Symantec PAM
アシスタントは以前のバージョンでは必要でしたが、バージョン 3.4 では不要です)。
以前のバージョンからアップグレードすることはできません。 macOS
Symantec PAM
クライアントの 3.4 バージョンでは、別のインストール場所が使用されます。 ただし、以前のインストールは、新しいバージョンと共存できます。 また、3.4 クライアントでは、
sudo
を使用して(
root
として)インストールされていない限り、以前のアプライアンスに接続できます。 以前のバージョンを右クリックして[ゴミ箱に入れる]を使用すると、以前のバージョンを削除できます。
sudo を使用したインストール
macOS では、オプションで
sudo
を使用してインストールを開始できます。 この場合、インストールされたファイルは
root
が所有し、標準ユーザはインストール済みアプリケーション ファイルを変更できません。これらのファイルの
root
所有権を持つ複数のユーザが、同じクライアントのインストールを同時に使用できます。 以下の
sudo
コマンドを使用して
root
所有権を取得します。
sudo ./CAPAMClientInstall.app/Contents/MacOS/CAPAMClientInstall
コマンド "
sudo open CAPAMClientInstall.app
" では、ファイルの所有権は
root
に付与されません。
sudo
を使用してインストールする場合、管理者パスワードはインストール時にのみ必要です。 ただし、
sudo
を使用してインストールしない場合、実行時に SSH プロキシまたは SFTP プロキシを使用する場合にのみ管理者パスワードが必要になります。SSH プロキシまたは SFTP プロキシを使用する場合以外は、すべて管理者パスワードなしで可能です。
sudo アクセスは、インストール時にのみ必要です。 ユーザの介在なしで PAM クライアントを配布するには、以下を参照してください。
Symantec PAM
クライアント 3.4 は、ドックに独自のアイコンで表示されるネイティブ macOS アプリケーションです。
macOS
Symantec PAM
クライアントから
Symantec PAM
アプライアンスにログインするには、ユーザ証明書をログイン キーチェーンおよびシステム キーチェーンに追加します。 証明書を追加すると、ユーザはログイン認証情報の入力を繰り返し要求されなくなります。
複数の macOS インスタンス
macOS
Symantec PAM
クライアントの複数のインスタンスを開くには、バイナリ
/Applications/CA PAM Client.app/Contents/MacOS/CAPAMClient
を直接呼び出すか、端末から
“open -n /Applications/CA\ PAM\ Client.app”
コマンドを使用します。 Finder で
Symantec PAM
クライアント アプリケーションのアイコンを複数回クリックしても、複数のインスタンスは開きません。
MacOS サブピクセル アンチエイリアス
サブピクセル アンチエイリアスを無効にして macOS Mojave を使用している場合、
CA Privileged Access Manager
ユーザ インターフェース内のコンテンツの表示が不鮮明になる場合があります。 この問題を修正するには、以下の手順でサブピクセル アンチエイリアスを再度有効にします。
  1. 端末を開きます。
  2. 以下のコマンドを実行します。
    defaults write - g CGFontRenderingFontSmoothingDisabled -bool NO
  3. ログアウトして再度ログインし、変更を有効にします。
一般的な手順
インストーラ ファイルをダウンロードした後に、クライアント インストーラを実行します。
UNIX 環境にクライアントをインストールする場合、UNIX システムには、PAM クライアント UI を表示するためのグラフィック ライブラリが必要です。 そうでない場合、クライアントを実行すると、エラー メッセージがログに表示されずにクライアントが終了します。
PAM クライアントを起動しても、[ダッシュボード]ページが空白の場合、JxBrowser で必要なライブラリがない可能性があります。 見つからないライブラリを特定するには、PAM クライアントのインストール フォルダに移動して、logs.log ファイルを確認します。 不足しているライブラリをインストールしてください。
インストール ウィザードの以下の手順に従います。
  • 使用許諾契約:
    使用許諾契約に同意するには、使用許諾文章をパネルの一番下までスクロールします。
  • インストール セットの選択:
    以下のいずれかのオプションを選択します。
    • 標準
      ]: ローカルのワークステーション上のインストール ディレクトリの入力を求め、クライアントをインストールします。
    • 実行
      ]: 一時的な場所に内容を展開し、クライアントを実行します。 セットアップが完了し、ログイン画面が表示されます。
  • インストール フォルダの選択:
    パスを入力するか、
    [選択]
    ボタンをクリックしてフォルダを検索します。 以下のオプションを考慮してください。
    • デフォルトを使用する場合、意図したユーザがこのフォルダの「フル コントロール」を持っていることを確認します。 たとえば、一般的なユーザはデフォルト フォルダでクライアントを実行するのに必要な権限を持っていない場合があります。
    • 複数ユーザ共有インストールの場合、すべてのユーザが書き込みアクセス権を持っているディレクトリを選択します。 また、各ユーザが個別にクライアントを
      c:\Users\<
      user
      >\
      などの独自のユーザ フォルダにインストールすることもできます。
    • サイレント インストールについては、「CA PAM クライアントのサイレント インストール」を参照してください。
    • CA PAM クライアントでは、日本語の文字が含まれているディレクトリへのインストールはサポートされていません。 日本語コンピュータに CA PAM クライアントをインストールする場合は、日本語の文字が含まれないフォルダを入力してください。
インストールが完了したら、クライアントからログインすることができます。
UNIX システム上でクライアントを起動しても UI ダッシュボードが空白の場合、JxBrowser で必要なライブラリがない可能性があります。 見つからないライブラリを特定するには、クライアントのインストール フォルダに移動して、logs.log ファイルを確認します。 このファイルに、見つからないライブラリのリストが表示されます。 これらのライブラリをインストールしてください。
クライアントからのログイン
クライアントがインストールされた後、サーバにログインできます。 クライアント初期画面では、
CA Privileged Access Manager
アプライアンスまたはアプライアンス クラスタ VIP のアドレスを指定できます。
以下の手順に従います。
  1. クライアント アプリケーションを開きます。
  2. サーバ アプライアンスについて、以下の接続パラメータを入力します。
    • アドレス:
      IP アドレスを「
      address:port
      」の形式で入力するか、
      Symantec PAM
      サーバの割り当て済み完全修飾ドメイン名を入力します。
      CA PAM クライアントでは、よく知られているポートを使用できません。 全リストについては、「クライアントに許可されていないポート」を参照してください。
    • 接続モード:
      以下のいずれかのオプションを選択します。
      • WEB:
        サーバへの接続を開始し、UI にブラウザ ウィンドウを開きます。 コンソールは閉じます。
      • 接続:
        サーバへの接続を開始し、ステータス接続コンソールを表示します。 ステータス接続コンソールには、接続情報と、
        [Web ブラウザの起動]
        および
        [ログオフ]
        ボタンが表示されます。
      サーバへの接続後に、WEB と CONNECT を切り替えることはできません。
      [キャンセル]
      を選択し、最初の接続画面に戻ってクライアントを再起動します。
  3. [接続]
    を選択します。
  4. クライアントの更新が必要な場合は通知されます。
    [更新]
    を選択すると、インストールされているクライアントが最新バージョンに自動的に更新されます。 必要な場合は、クライアントを再起動します。
  5. Symantec PAM
    サーバからアプレット jar をダウンロードする必要がある場合は通知されます。
    [更新]
    を選択すると、適切なアプレット jar が自動的にインストールされます。
  6. [ログイン]画面が表示される前に
    [証明書の確認]
    ウィンドウが表示されることがあります。
    1. 証明書の詳細を確認し適用性を評価するには、
      [View Certificate]
      を選択します。
    2. 証明書を承認する場合は、ダイアログ ボックスの下部にある
      [インポート]
      を選択します。 信頼された後は、証明書警告は表示されません。
  7. ログイン画面が表示されたら、ユーザ名とパスワードを入力します。
  8. [認証タイプ]
    を選択します。
  9. [ログイン]
    を選択します。
選択した[接続モード]に応じて、ブラウザ ウィンドウまたは接続ステータス ウィンドウが開きます。 ステータス接続ウィンドウが開いた場合は、
[Web ブラウザの起動]
を選択して UI を開きます。 コンソール ウィンドウは開いたままです。 ブラウザ ウィンドウを閉じた場合、その状態は保持されているため、後で[Web ブラウザの起動]を選択して、GUI の同じ場所に戻ることができます。
製品を使用できるようになりました。
CA PAM クライアント キャッシュ
クライアント キャッシュを使用して、
CA Privileged Access Manager
サーバへの CA PAM クライアントの接続速度を向上させることができます。 他の Web ブラウザと同様に、キャッシュは再利用ファイルを保存します。 クライアントのキャッシュをオンまたはオフにするためのスイッチはありません。 キャッシュは、
CA Privileged Access Manager
HTTPS 証明書が正しく設定されている場合にのみ動作します。 また、証明書は、グローバルで、またはローカルのネットワーク/組織で信頼されている必要があります。 クライアントのみが証明書を信頼するようにすることはできません。 システム全体(OS)で証明書を信頼する必要があります。 Chrome ブラウザで接続することによって、サーバへの接続が信頼されているかどうかをテストすることができます。 「接続はプライベートではありません」などの証明書の警告を受けた場合、キャッシュは使用されません。
CA PAM クライアントは独自にキャッシュを管理しますが、CA PAM クライアントのキャッシュを手動でクリアすることもできます。 CA PAM クライアントのキャッシュをクリアするには、すべてのクライアント プロセスが終了したときに次のディレクトリを削除します:
<
client_root
>\temp\web-cache
クライアント設定の変更(オプション)
クライアントの構成設定では、クライアントの操作時の動作を指定します。 通常、デフォルトのクライアントの構成設定は、ご使用の環境に対して動作します。 必要に応じて、構成設定を変更できます。
以下の手順に従います。
  1. クライアントのログイン ページで、左下隅にあるギア アイコンを選択して
    [構成設定]
    ウィンドウを開きます。
  2. 該当のタブを選択し、以下の設定を変更します。
    プロキシ
    CA PAM クライアントがプロキシ サーバ経由で
    Symantec PAM
    サーバに接続しているかどうかを示します。 展開環境に合わせて以下のいずれかのオプションを選択します。
    • プロキシなし(デフォルト): クライアントは
      Symantec PAM
      サーバに直接接続します。
    • このネットワークの自動検出プロキシ設定: ネットワーク管理対象のプロキシ用
    • システムのプロキシ設定を使用する: ワークステーションの OS が管理するプロキシの場合
    • 手動システム プロキシ設定: カスタム ターゲット デバイスをプロキシとして設定する場合
    • プロキシの自動設定 URL: Web サーバによって提供されるプロキシの場合
    • プロキシ証明書を無視します: この設定は、
      Symantec PAM
      がプロキシ証明書を信頼するかどうかを決定します。 証明書が信頼されていない場合、CA PAM クライアントはサーバに接続できません。 セキュリティ上の理由により、この設定はデフォルトで
      オフ
      になっています。 クライアントの切断が続く場合、証明書が一致していない可能性があります。 この問題を回避するには、このチェック ボックスをオンにします。ただし、このオプションはセキュリティを低下させます。
    全般
    クライアントのメモリを指定します。
    • 最大メモリ サイズ:
      デフォルトは、Windows および Linux x86 の場合は 1024 MB、Mac および Linux x64 の場合は 2048 MB。
      Windows の場合、最大値は 1200 です。 この値が 1201 MB 以上に設定されると、クライアントは再度起動しません。 再起動しない場合は、インストール ルートの
      settings.properties
      ファイルを編集します。
      memory.max
      パラメータを 1200 以下にリセットし、ファイルを保存します。
    • クライアントの言語
      デフォルトでは、クライアントはホスト コンピュータの OS の言語を自動的に検出し、利用可能であれば、その言語でユーザ インターフェースを表示します。 クライアントをデフォルトから別の言語に変更するには、[
      自動検出
      ]チェック ボックスをオフにし、[
      クライアントの言語
      ]ドロップダウン リストから言語を選択します。
    • セキュリティ プロンプトのリストア
      以前にセキュリティ警告を無視するチェック ボックスを選択していた場合にこの[
      リストア
      ]ボタンを選択すると、警告が再開します。
    • ホスト アドレス IP の使用
      Symantec PAM
      クライアントのログイン試行が「不明なエラー」メッセージで失敗した場合に、このオプションを設定します。
    キャッシュ
    以前のバージョンの CA PAM クライアントのキャッシュを指定します。
    • キャッシュの有効化:
      以前のバージョンの CA PAM クライアントを保存して、以前のバージョンに戻せるようにします。 デフォルト = オン。
    • 現在のキャッシュ サイズ:
      CA PAM クライアントのキャッシュされたバージョンの合計サイズを指定します。 デフォルト: キャッシュされた以前のバージョンの合計サイズ。
    • キャッシュのクリア:
      すべてのキャッシュされたバージョンを削除します。 (個別のバージョンは、[管理]ボタンを使用して削除できます。)
    • 最大キャッシュ サイズ(MB)(0 = 無制限):
      スライダまたはフィールドを使用して、キャッシュの最大サイズを指定します。
    • キャッシュされたバージョン:
      キャッシュされたバージョンの数を表示します。
    • 管理:
      CA PAM クライアントのキャッシュされたすべてのバージョンの詳細を表示します。 任意またはすべてのバージョンを削除することができます。
    証明書
    テーブル リストから、使用する認証機関証明書を指定します。 CA PAM クライアントには予めインストールされたいくつかの CA 証明書があります。 必要な場合は、さらに追加します。
  3. OK
    ]を選択して設定を保存します。
(オプション)
Symantec PAM
クライアント更新チェックの無効化
以下の手順を使用して、起動に関する問題が発生している
Symantec PAM
クライアントの自動更新チェックを無効にします。
環境内に
Symantec PAM
クライアントがインストールされている各システムで、以下の手順を実行します。
  1. 実行中の
    Symantec PAM
    クライアント インスタンスをシャットダウンします。
  2. Symantec PAM
    クライアントのインストール フォルダで、
    update
    という名前のファイルを拡張子なしで作成します。
  3. テキスト エディタで
    update
    ファイルを開き、「
    false
    」と入力します。 ファイルを保存して閉じます。
  4. update ファイルの権限を設定します。 管理者にはフル権限を設定します。 ユーザには読み取り専用権限を設定します。
  5. Symantec PAM
    クライアントを起動し、サーバに接続します。
  6. 「同期が必要です」というメッセージが表示されたら、以下の手順を実行します。
    1. [ログイン]ダイアログ ボックスの左隅の歯車アイコンを選択します。
    2. [キャッシュ]をクリックし、以下の設定を選択します。
      • キャッシュの有効化
      • インスタンスを再利用し続ける
    3. 再度
      Symantec PAM
      クライアントを起動し、サーバに接続します。
更新チェックを再度有効化するには、
update
ファイルを削除するか、そのファイルを編集して
false
を削除します。
クライアントのアンインストール
使用するワークステーション タイプの手順に従います。
Windows
クライアントを削除するには、以下のタスクのいずれかを実行します。
  • Windows の
    [コントロール パネル]
    -
    [プログラムと機能]
    からクライアントを削除します。
  • CA PAM クライアントのインストールをファイル ディレクトリ内の場所から削除します。
    1. インストールのルート レベルで、ディレクトリ
      _/CA PAM Client_installation
      を見つけます。
    2. このディレクトリを開き、「
      Change CA PAM Client Installation
      」という名前のアンインストール ウィザードを実行します。
Mac
Mac のインストールを削除するには、root 権限が必要です。 インストール ディレクトリとその内容をすべて削除します。
Linux
Linux のインストールを削除するには、インストール ディレクトリとその内容をすべて削除します。 提供されているアンインストール ウィザードは使用
しないで
ください。
詳細情報: