Policy Model データベース(Windows)

内容
capamsc141
内容
何百、何千ものデータベースを個別に管理することは、現実的ではありません。
PAM Server Control
には、1 台の中央データベースから多数のデータベースを管理できるコンポーネントである Policy Model サービスが用意されています。Policy Model (PMD)サービスの使用は任意ですが、このサービスを使用すると、大規模なサイトでの管理を大幅に簡略化できます。
Windows のタスク マネージャでは、Policy Model サービスは sepmdd.exe と表示されます。
Policy Model サービスは、Policy Model データベース(PMDB)を使用します。PMDB には、他の
PAM Server Control
データベースと同様に、ユーザ、グループ、保護されているリソース、およびリソースへのアクセスを管理するルールが保存されています。PMDB にはこのほかに、
サブスクライバ
データベースのリストが含まれます。各サブスクライバは、別々のコンピュータに存在する
PAM Server Control
データベース、または同じコンピュータまたは別のコンピュータに存在する別の PMDB です。サブスクライバを更新する PMDB をサブスクライバの
といいます。
PMDB は、同様の許可制約およびアクセス ルールが適用される多数のデータベースを管理するための便利なツールです。
UNIX との互換性を維持するために、Windows では Policy Model 名の大文字と小文字が区別されます。コマンドで PMDB 名を指定する場合、大文字と小文字を間違えないようにしてください。PMDB 名の最初の文字は、英数字の「-」または「_」で構成されます。
PMDB およびホスト名に英文字以外の文字は使用できません。
PMDB 名では大文字小文字が区別されますが、同じコンピュータ上で、大文字小文字のみが異なる PMDB を 2 つ持つことはできません。これは、
PAM Server Control
では PMDB 名がファイル パスの一部として使用されますが、Windows では大文字と小文字が区別されず、これが許可されないためです。たとえば、myPMDB と MYpmdb は 2 つの異なる Policy Model データベースですが、同じシステム上で共存できません。
PMDB の管理方法(sepmd ユーティリティ)の詳細については、「
リファレンス ガイド
」を参照してください。selang の使用によるリモートでの PMDB の管理方法の詳細については、「
selang リファレンス ガイド
」を参照してください。
ディスク上の PMDB の場所
1 台のコンピュータ上にある PMDB はすべて、共通ディレクトリに保存されます。ディレクトリ名は、以下の Windows レジストリ サブキーの _pmd_directory_ 値で指定します。
HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd
NTFS ルート ディレクトリでの _pmd_directory _ のデフォルト値は
ACInstallDir
\data です。、ここで、
ACInstallDir
は、
PAM Server Control
をインストールしたディレクトリです(デフォルトでは C:\Program Files\CA\AccessControl)。
各 PMDB は、共通ディレクトリ内のサブディレクトリに格納されます。サブディレクトリ内のファイルには、Policy Model を定義するために必要なすべてのデータが含まれています。Policy Model の設定は、
PAM Server Control
のレジストリ設定の Pmd サブキーに格納されます。Policy Model の名前がそのままサブキーの名前になります。
ローカル PMDB の管理
PAM Server Control
には、PMDB を管理するためのユーティリティが用意されています。
  • sepmd
    以下を実行できる PMDB 管理ユーティリティ。
    • サブスクライバの管理
    • 更新ファイルの切り捨て
    • デュアル コントロールの管理
    • Policy Model のログ ファイルの管理
    • その他の管理タスクの実行
sepmd の詳細については、「
リファレンス ガイド
」を参照してください。
リモート PMDB の管理
PAM Server Control
には、pmd 環境で使用できるさまざまな selang コマンドも用意されています。これらのコマンドを使用して、PMDB をリモートで管理できます。
  • backuppmd
    PMDB をバックアップします。
  • createpmd
    PMDB を作成します。
  • deletepmd
    PMDB を削除します。
  • findpmd
    コンピュータ上のすべての PMDB の名前を表示します。
  • listpmd
    PMDB に関する以下の情報を表示します。
    • サブスクライバおよびそのステータス
    • PMDB の説明およびそのステータス
    • 更新ファイル内のコマンドおよび各コマンドのオフセット
    • エラー ログの内容
  • pmd
    以下の操作を実行できる PMDB 管理コマンドです。
    • 使用不可のサブスクライバのリストからのサブスクライバの削除
    • Policy Model のエラー ログの消去
    • Policy Model サービスの開始と停止
    • Policy Model のロックおよびロック解除
    • 更新ファイルの切り捨て
  • restorepmd
    バックアップ ファイルから PMDB をリストアします。
  • subs
    以下の操作を実行できる PMDB サブスクリプション コマンドです。
    • 親 PMDB への既存サブスクライバの追加
    • 親 PMDB への新規サブスクライバの追加
    • データベース(
      PAM Server Control
      または別の PMDB)への親 PMDB の割り当て
  • subspmd
    ローカル データベースに親 PMDB を割り当てます。
  • unsubs
    PMDB からサブスクライバを削除します。
注:
pmd 環境で使用できる selang コマンドの詳細については、「selang リファレンス ガイド」を参照してください。
アーキテクチャの依存関係
PAM Server Control
をデプロイする際には、環境の階層を考慮する必要があります。多くのサイトで、ネットワークにはさまざまなアーキテクチャが採用されています。trusted プログラムのリストなど、一部のポリシー ルールはアーキテクチャに依存します。その一方で、ほとんどのルールは、システムのアーキテクチャに依存しません。
階層を使用すると、両方の種類のルールを適用できます。アーキテクチャに依存しないルールをグローバル データベースで定義し、そのグローバル データベースのサブスクライバ PMDB で、アーキテクチャに依存するルールを定義できます。
ルート PMDB とそのすべてのサブスクライバは、環境の物理的ニーズに応じて、同じコンピュータ上に存在することも、別々のコンピュータ上に存在することも可能です。
例: 2 層のデプロイ階層
以下の UNIX の例は、少し変更して Windows アーキテクチャにも適用できます。
この例では、サイトは IBM AIX システムと Sun Solaris システムで構成されています。IBM AIX の trusted プログラムのリストは Sun Solaris でのリストとは異なるため、アーキテクチャの依存関係を考慮した PMDB が必要です。
複数アーキテクチャに対応した PMDB をセットアップするには、PMDB を以下のようにセットアップします。
  1. whole_world という PMDB を定義し、ユーザ、グループ、およびアーキテクチャに依存しないその他のすべてのポリシーを格納します。
  2. pm_aix という PMDB を定義し、IBM AIX 固有のすべてのルールを格納します。
  3. pm_sol という PMDB を定義し、Sun Solaris 固有のすべてのルールを格納します。
    pm_aix および pm_solaris という PMDB は、whole_world という PMDB のサブスクライバです。サイト内のすべての IBM AIX コンピュータは pm_aix のサブスクライバです。サイト内のすべての Sun Solaris コンピュータは pm_sol のサブスクライバです。この概念を以下の図に示しています。
    Architecture_Dependency
    Architecture_Dependency
  4. ユーザの追加や SURROGATE ルールの設定など、プラットフォームに依存しないコマンドを whole_world に入力すると、サイト内のすべてのデータベースが自動的に更新されます。
  5. trusted プログラムを pm_aix に追加した場合、IBM AIX コンピュータのみが更新され、Sun Solaris システムは影響を受けません。
ポリシーの一元管理の方法
capamsc141
を使用すると、以下の方法で 1 台のコンピュータから複数のデータベースを管理できます。
  • 自動的なルール ベースのポリシー更新
    : 中央のデータベース(PMDB)で定義した通常のルールは、設定された階層内のデータベースに自動的に伝達されます。
    デュアル コントロールは、この方法でのみ使用できます。また、UNIX でのみ使用可能です。自動的なルール ベース ポリシー更新のデュアル コントロールの詳細については、「
    UNIX エンドポイント管理ガイド
    」をご覧ください。また、自動的なルール ベース ポリシー更新の詳細については、「
    Windows エンドポイント管理ガイド
    」をご覧ください。
  • 拡張ポリシー管理:
    デプロイしたポリシー(ルールの集まり)は、ホストまたはホスト グループの割り当てに基づいてすべてのデータベースに伝達されます。また、ポリシーのデプロイ解除(削除)、およびデプロイメント ステータスやデプロイメント偏差の表示を行うこともできます。この機能を使用するには、追加のコンポーネントをインストールおよび設定します。
    拡張ポリシー管理の詳細については、「
    エンタープライズ管理者ガイド
    」を参照してください。