データベース アクセサ
ユーザをどのように管理するかに関係なく、以下のセクションで説明するように、製品のデータベースにアクセサを定義します。
capamsc141
ユーザをどのように管理するかに関係なく、以下のセクションで説明するように、製品のデータベースにアクセサを定義します。
事前定義済みユーザ
PAM Server Control
は、以下のユーザを事前定義します。これらのユーザを削除することはできません。- +devcalc(Windows)PAM Server Controlが偏差計算プロセス devcalc を実行するときのユーザ名。
- _dms拡張ポリシー管理サーバ コンポーネントのデータベース(DMS、DH リーダ、および DH ライタ)にインストールされている _dms ユーザは、policyfetcher および devcalc が DH および DMS と通信する場合に使用されます。
- nobodynobody ユーザは、実際のユーザに対応させることのできないユーザ レコードです。このレコードは、関連する許可をどのユーザにも付与しないルールを作成する場合に使用します。たとえば、nobodyをリソースの所有者として設定し、どのユーザも、そのレコードの所有に関連する権限を取得しないようにすることができます。
- +reportagentPAM Server Controlがレポート エージェントを実行するときのユーザ名。
- _seagent_seagent は、PAM Server Controlが以下のような内部プロセスを実行するときのユーザ名です。
- PMDB プロセス、sepmdd
- (UNIX)偏差計算プロセス、devcalc
- ユーザおよびグループ レコード更新 のexit プロセス
- _sebuildla(UNIX) _sebuildla ユーザは、 Control デーモン seosd に対して lookaside データベースを作成するためにPAM Server ControlPAM Server Controlが sebuildla ユーティリティを実行する際に使用するユーザ名です。
- _seoswd(UNIX) _seoswd は、データベースに trusted プログラムとして定義されているプログラムのファイル情報およびデジタル署名を監視する、seoswd Watchdog デーモンを実行するために使用されるユーザ名です。
- _undefined_undefined は、PAM Server Controlで定義されていないすべてのユーザを表します。_undefined を使用して、未定義のユーザを ACL に含めることができます。
事前定義済みグループ
PAM Server Control
には、事前定義済みグループが用意されています。_interactive グループと _network グループを除き、これらの事前定義済みグループには、他のグループと同じようにユーザを追加できます。- _abspathログイン時に _abspath グループに属しているユーザは、プログラムを起動する場合に絶対パス名を使用する必要があります。
- _interactiveユーザは、アクセスの目的でのみ、_interactive グループのメンバになります。ユーザは、アクセスしようとしているリソースと同じホストにログインしている場合、_interactive グループのメンバになります。PAM Server Controlは、_interactive グループのメンバシップを動的かつ自動的に管理します。このメンバシップを変更することはできません。
- interactive_restrictedinteractive_restricted グループ内のユーザは、ファイルの変更を実行する前に強い認証を必要とします。Interactive_restricted グループのユーザは、ファイルを読み取り、コマンドを実行することができます。これらのユーザは、変更する権限が与えられた、事前定義された非ファイルのリスト以外は変更することができません。その制約を削除する必要がある場合は認証に sepromote ユーティリティを実行する必要があることを示すメッセージが表示されます。
- _networkこれは、_interactive の補完グループです。ユーザは、アクセスの目的でのみ、_network グループのメンバになります。ユーザは、リソースが属するホストとは別のホストにアクセスしようとする場合、_network グループのメンバになります。PAM Server Controlは、_network グループのメンバシップを動的かつ自動的に管理します。このメンバシップを変更することはできません。
- _restricted_restricted グループのユーザに対しては、ファイルはすべて(Windows の場合はレジストリ キーも)PAM Server Controlによって保護されます。ファイルまたは Windows のレジストリ キーで、アクセス ルールが明示的に定義されていない場合、アクセス許可は、そのクラス(FILE または REGKEY)の _default レコードが適用されます。注:_restricted グループに属するユーザには、処理を実行するための十分な権限が付与されない可能性があります。そのため、_restricted グループにユーザを追加する場合は、最初に警告モードの使用を検討してください。
- _surrogateユーザが _surrogate グループのメンバを代理として使用する場合、PAM Server Controlは、その代理のアクションの監査証跡として元のユーザの名前が付けられた完全なトレースを書き込みます。
例: selang を使用して _restricted グループにユーザを追加する
以下の selang コマンドは、エンタープライズ ユーザ john_smith を _restricted グループに追加します。
joinx john_smith group(_restricted)
プロファイル グループ
プロファイル グループ
は製品のデータベースで定義されるグループで、ユーザ プロパティのデフォルト値が収められています。ユーザをプロファイル グループに割り当てた場合、そのユーザにすでに値が設定されていない限り、プロファイル グループはそのデフォルト値をユーザに提供します。ユーザのプロファイル グループは、ユーザの作成時に指定できます。または、後でプロファイル グループにユーザを割り当てることもできます。
プロファイル グループを使用すると、管理者は、グループに割り当てる新規ユーザに対して、特定の権限が指定された標準設定を効率よく作成できます。このセットアップでは、ユーザのホーム ディレクトリ、監査プロパティ、アクセス権限を定義する PMDB、およびプロファイル グループに関連付けられているユーザに影響を与えるさまざまなパスワード ルールなどを指定することができます。
製品でプロファイル グループを使用してユーザ プロパティが決定される方法
以下のプロセスでは、製品でプロファイル グループを使用してユーザ プロパティが決定される方法について説明します。
- USER クラスまたは XUSER クラスのユーザのレコードにそのプロパティの値があるかどうかがチェックされます。ユーザのレコードがそのプロパティの値を持っている場合はその値が使用されます。
- ユーザがプロファイル グループに割り当てられているかどうかが確認されます。ユーザがプロファイル グループに割り当てられている場合は、プロセスは続行します。ユーザがプロファイル グループに割り当てられてない場合は、ユーザにデフォルトのプロパティ値が割り当てられます。
- プロファイル グループがそのプロパティの値を持っているかどうかがチェックされます。プロファイル グループがプロパティの値を持っている場合は、その値がユーザに割り当てられます。プロファイル グループがプロパティの値を持っていない場合は、デフォルトのプロパティ値がユーザに割り当てられます。注:ユーザまたはプロファイル グループの監査プロパティが設定されていない場合、グループの監査プロパティはユーザの監査プロパティに影響を与える場合があります。
アクセサ管理
データベースまたはエンタープライズ ユーザまたはグループ レコードの作成、変更、削除には、
PAM Server Control
エンドポイント管理または selang を使用できます。ユーザまたはグループの管理
特定のアクセサのプロパティを表示または変更する場合や、アクセサを削除する場合は、まずそのアクセサを見つける必要があります。
ユーザまたはグループの管理方法
- PAM Server Controlエンドポイント管理で、以下のことを実行します。
- [ユーザ]をクリックします。
- [ユーザ]または[グループ]サブタブのいずれかをクリックします。
- [検索]セクションの以下のフィールドに入力します。
- ユーザ名/グループ名表示したいアクセサのマスクを定義します。対象とするアクセサのフル ネームを入力するか、マスクを使用することができます。たとえば、名前に「admin」を含むアクセサをリストするには、*admin* を使用します。すべてのアクセサのリストを表示するには「*」(アスタリスク) を使用し、単一の文字を置き換えるには「?」(疑問符) を使用します。
- ユーザ リポジトリ/グループ リポジトリアクセサ リストの取得元のソースを指定します。ソースとして、以下のいずれかを指定できます。
- 内部アカウント- データベースに定義されているアクセサ。
- エンタープライズ アカウント- 特定のエンタープライズ ユーザ ストアに定義されているアクセサ。
- AC アカウント/プロファイルのみを表示以下のように、PAM Server Controlデータベース内にレコードがあるアカウントのみをリストするかどうかを指定します。
- [内部アカウント]を選択した場合は、データベース内に存在するアカウントのみをリストします(ネイティブ アカウントは含まれません)。
- [エンタープライズ アカウント]を選択した場合は、PAM Server Controlエンタープライズ プロファイル(XUSER レコードまたは XGROUP レコード)を持つアカウントのみをリストします。
- [実行]をクリックします。選択したリポジトリに存在するアクセサのリストが表示されます。
- 以下のいずれかを実行します。
- [表示]列の[
]をクリックして、アクセサのプロパティを表示します。 - [削除]列の
をクリックして、アクセサを削除します。 - アクセサの名前をクリックして、アクセサのプロパティを変更します。
- 削除するアクセサを選択し、[削除]をクリックします。
- [ユーザの作成]または[グループの作成]をクリックし、製品のデータベースにユーザ レコードまたはグループ レコードを作成します。
例: リポジトリ内のエンタープライズ ユーザの検索
以下の図は、ABC-DM1 エンタープライズ ユーザ ストアでの全ユーザの検索結果を示しています。
selang を使用したユーザ管理
エンタープライズ ユーザのレコードには、以下の selang コマンドを使用します。
- newxusrおよびeditxusr- 新規のエンタープライズ ユーザ レコードを定義します。
- chxusrおよびeditxusr- エンタープライズ ユーザのプロパティを変更します。
- find xuser-PAM Server Controlのレコードを持つエンタープライズ ユーザの一覧を表示します。
- rmxusr- ユーザを削除します。
- show xuser- エンタープライズ ユーザのプロパティを表示します。
PAM Server Control
データベース ユーザ レコードには、以下の selang コマンドを使用します。- newusrおよびeditusr- 新しいユーザ レコードを定義します。
- chusrおよびeditusr- ユーザのプロパティを変更します。
- rmusr- ユーザを削除します。
- find user- データベース ユーザの一覧を表示します。
- show user- ユーザのプロパティを表示します。
例: selang を使用してデータベースにユーザを定義する
以下の selang コマンドは、
PAM Server Control
データベースに、セキュリティ レベルを 100 とする新規ユーザを定義します。newusr internalUser level(100)
例: selang を使用してエンタープライズ ユーザのプロパティを変更する
以下の selang コマンドは、エンタープライズ ユーザ Terry に AUDITOR 属性を割り当てます。
chxusr Terry auditor
selang を使用したグループ管理
エンタープライズ グループの名前およびメンバシップを除く、任意のグループのすべてのプロパティを変更できます(名前とメンバシップの変更は、
PAM Server Control
内からは行うことができません)。グループ プロパティの変更およびグループに関連付けられたアクセス権の割り当てには、
PAM Server Control
エンドポイント管理コンソールまたは以下の selang コマンドを使用できます。- join[-]およびjoinx[-]内部グループのメンバシップを変更します。内部アクセサをグループに追加するには、join を使用します。エンタープライズ グループおよびユーザを内部グループに追加するには、joinx を使用します。アクセサを内部グループから外すには、コマンドにマイナス(-)記号を付けます。
- editgrp、newgrp、chgrp内部グループのメンバシップ以外のプロパティを変更します。
- editxgrp、newxgrp、chxgrpエンタープライズ グループのメンバシップ以外のプロパティを変更します。
- rmgrp、rmxgrp内部グループ、 エンタープライズ グループを削除します。
例: selang を使用してデータベースにグループを定義する
以下の selang コマンドは、データベースに新規グループ「sales」を定義します。グループのフル ネームは「Sales Department」です。
newgrp sales name('Sales Department')
例: selang を使用して、データベースに定義されているグループのプロパティを変更する
以下の selang コマンドによって、
PAM Server Control
は、グループ AC_admins のメンバに対するすべてのイベントを監査します。chgrp AC_admins audit(all)
例: selang を使用して、ACL にエンタープライズ グループを追加する
以下の selang コマンドは、myfile という ACL にエンタープライズ グループ mygroup を追加します。
Authorize FILE (myfile) xgid(mygroup)
例: selang を使用して、データベースに定義されているグループにエンタープライズ ユーザを追加する
以下の selang コマンドは、データベースに定義されているグループ AC_admins に、エンタープライズ ユーザ mydomain\administrator を追加します。
joinx mydomain\administrator group(AC_admins)
例: selang を使用して、データベースに定義されているグループにエンタープライズ グループを追加する
以下の selang コマンドは、_restricted グループにエンタープライズ グループ Guests を追加します。
joinx Guests group(_restricted)