Policy Model データベース(Windows)
内容
capamsc141
内容
何百、何千ものデータベースを個別に管理することは、現実的ではありません。
PAM Server Control
には、1 台の中央データベースから多数のデータベースを管理できるコンポーネントである Policy Model サービスが用意されています。Policy Model (PMD)サービスの使用は任意ですが、このサービスを使用すると、大規模なサイトでの管理を大幅に簡略化できます。Windows のタスク マネージャでは、Policy Model サービスは sepmdd.exe と表示されます。
Policy Model サービスは、Policy Model データベース(PMDB)を使用します。PMDB には、他の
PAM Server Control
データベースと同様に、ユーザ、グループ、保護されているリソース、およびリソースへのアクセスを管理するルールが保存されています。PMDB にはこのほかに、サブスクライバ
データベースのリストが含まれます。各サブスクライバは、別々のコンピュータに存在する PAM Server Control
データベース、または同じコンピュータまたは別のコンピュータに存在する別の PMDB です。サブスクライバを更新する PMDB をサブスクライバの親
といいます。PMDB は、同様の許可制約およびアクセス ルールが適用される多数のデータベースを管理するための便利なツールです。
UNIX との互換性を維持するために、Windows では Policy Model 名の大文字と小文字が区別されます。コマンドで PMDB 名を指定する場合、大文字と小文字を間違えないようにしてください。PMDB 名の最初の文字は、英数字の「-」または「_」で構成されます。
PMDB およびホスト名に英文字以外の文字は使用できません。
PMDB 名では大文字小文字が区別されますが、同じコンピュータ上で、大文字小文字のみが異なる PMDB を 2 つ持つことはできません。これは、
PAM Server Control
では PMDB 名がファイル パスの一部として使用されますが、Windows では大文字と小文字が区別されず、これが許可されないためです。たとえば、myPMDB と MYpmdb は 2 つの異なる Policy Model データベースですが、同じシステム上で共存できません。PMDB の管理方法(sepmd ユーティリティ)の詳細については、「
リファレンス ガイド
」を参照してください。selang の使用によるリモートでの PMDB の管理方法の詳細については、「selang リファレンス ガイド
」を参照してください。ディスク上の PMDB の場所
1 台のコンピュータ上にある PMDB はすべて、共通ディレクトリに保存されます。ディレクトリ名は、以下の Windows レジストリ サブキーの _pmd_directory_ 値で指定します。
HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd
NTFS ルート ディレクトリでの _pmd_directory _ のデフォルト値は
ACInstallDir
\data です。、ここで、ACInstallDir
は、PAM Server Control
をインストールしたディレクトリです(デフォルトでは C:\Program Files\CA\AccessControl)。各 PMDB は、共通ディレクトリ内のサブディレクトリに格納されます。サブディレクトリ内のファイルには、Policy Model を定義するために必要なすべてのデータが含まれています。Policy Model の設定は、
PAM Server Control
のレジストリ設定の Pmd サブキーに格納されます。Policy Model の名前がそのままサブキーの名前になります。ローカル PMDB の管理
PAM Server Control
には、PMDB を管理するためのユーティリティが用意されています。- sepmd以下を実行できる PMDB 管理ユーティリティ。
- サブスクライバの管理
- 更新ファイルの切り捨て
- デュアル コントロールの管理
- Policy Model のログ ファイルの管理
- その他の管理タスクの実行
sepmd の詳細については、「
リファレンス ガイド
」を参照してください。リモート PMDB の管理
PAM Server Control
には、pmd 環境で使用できるさまざまな selang コマンドも用意されています。これらのコマンドを使用して、PMDB をリモートで管理できます。- backuppmdPMDB をバックアップします。
- createpmdPMDB を作成します。
- deletepmdPMDB を削除します。
- findpmdコンピュータ上のすべての PMDB の名前を表示します。
- listpmdPMDB に関する以下の情報を表示します。
- サブスクライバおよびそのステータス
- PMDB の説明およびそのステータス
- 更新ファイル内のコマンドおよび各コマンドのオフセット
- エラー ログの内容
- pmd以下の操作を実行できる PMDB 管理コマンドです。
- 使用不可のサブスクライバのリストからのサブスクライバの削除
- Policy Model のエラー ログの消去
- Policy Model サービスの開始と停止
- Policy Model のロックおよびロック解除
- 更新ファイルの切り捨て
- restorepmdバックアップ ファイルから PMDB をリストアします。
- subs以下の操作を実行できる PMDB サブスクリプション コマンドです。
- 親 PMDB への既存サブスクライバの追加
- 親 PMDB への新規サブスクライバの追加
- データベース(PAM Server Controlまたは別の PMDB)への親 PMDB の割り当て
- subspmdローカル データベースに親 PMDB を割り当てます。
- unsubsPMDB からサブスクライバを削除します。
注:
pmd 環境で使用できる selang コマンドの詳細については、「selang リファレンス ガイド」を参照してください。アーキテクチャの依存関係
PAM Server Control
をデプロイする際には、環境の階層を考慮する必要があります。多くのサイトで、ネットワークにはさまざまなアーキテクチャが採用されています。trusted プログラムのリストなど、一部のポリシー ルールはアーキテクチャに依存します。その一方で、ほとんどのルールは、システムのアーキテクチャに依存しません。階層を使用すると、両方の種類のルールを適用できます。アーキテクチャに依存しないルールをグローバル データベースで定義し、そのグローバル データベースのサブスクライバ PMDB で、アーキテクチャに依存するルールを定義できます。
ルート PMDB とそのすべてのサブスクライバは、環境の物理的ニーズに応じて、同じコンピュータ上に存在することも、別々のコンピュータ上に存在することも可能です。
例: 2 層のデプロイ階層
以下の UNIX の例は、少し変更して Windows アーキテクチャにも適用できます。
この例では、サイトは IBM AIX システムと Sun Solaris システムで構成されています。IBM AIX の trusted プログラムのリストは Sun Solaris でのリストとは異なるため、アーキテクチャの依存関係を考慮した PMDB が必要です。
複数アーキテクチャに対応した PMDB をセットアップするには、PMDB を以下のようにセットアップします。
- whole_world という PMDB を定義し、ユーザ、グループ、およびアーキテクチャに依存しないその他のすべてのポリシーを格納します。
- pm_aix という PMDB を定義し、IBM AIX 固有のすべてのルールを格納します。
- pm_sol という PMDB を定義し、Sun Solaris 固有のすべてのルールを格納します。pm_aix および pm_solaris という PMDB は、whole_world という PMDB のサブスクライバです。サイト内のすべての IBM AIX コンピュータは pm_aix のサブスクライバです。サイト内のすべての Sun Solaris コンピュータは pm_sol のサブスクライバです。この概念を以下の図に示しています。Architecture_Dependency

- ユーザの追加や SURROGATE ルールの設定など、プラットフォームに依存しないコマンドを whole_world に入力すると、サイト内のすべてのデータベースが自動的に更新されます。
- trusted プログラムを pm_aix に追加した場合、IBM AIX コンピュータのみが更新され、Sun Solaris システムは影響を受けません。
ポリシーの一元管理の方法
capamsc141
を使用すると、以下の方法で 1 台のコンピュータから複数のデータベースを管理できます。
- 自動的なルール ベースのポリシー更新: 中央のデータベース(PMDB)で定義した通常のルールは、設定された階層内のデータベースに自動的に伝達されます。デュアル コントロールは、この方法でのみ使用できます。また、UNIX でのみ使用可能です。自動的なルール ベース ポリシー更新のデュアル コントロールの詳細については、「UNIX エンドポイント管理ガイド」をご覧ください。また、自動的なルール ベース ポリシー更新の詳細については、「Windows エンドポイント管理ガイド」をご覧ください。
- 拡張ポリシー管理:デプロイしたポリシー(ルールの集まり)は、ホストまたはホスト グループの割り当てに基づいてすべてのデータベースに伝達されます。また、ポリシーのデプロイ解除(削除)、およびデプロイメント ステータスやデプロイメント偏差の表示を行うこともできます。この機能を使用するには、追加のコンポーネントをインストールおよび設定します。拡張ポリシー管理の詳細については、「エンタープライズ管理者ガイド」を参照してください。