SeOSD レジストリ
は、使用する汎用設定を以下のキーの下で保守します。
capamsc141
PAM Server Control
は、使用する汎用設定を以下のキーの下で保守します。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD
SeOSD レジストリ キーには、以下のレジストリ エントリが含まれています。
- AuditCollectorInterfaceNameパイプ名を定義します。パイプ名は、監査コレクタ コンポーネント(seosd 内)と監査コレクタの異なるクライアント(カーネル)との間の監査インターフェースとして機能します。デフォルト:AuditCollector
- AuditServerCacheSize監査キャッシュのサイズを、エントリ数で定義します。デフォルト:1024
- CreateNewClassesseclassadm ユーティリティを使用して作成した新しいクラスをPAM Server Controlデータベースに追加できるかどうかを指定します。デフォルト:yes
- CreateNewPropssepropadm ユーティリティを使用して作成した新しいプロパティをPAM Server Controlデータベースに追加できるかどうかを指定します。デフォルト:yes
- dbdirPAM Server Controlデータベースが格納されているディレクトリ。デフォルト:ACInstallDir\data\seosdb
- DefLookupThreadsSID をアカウント名に解決するために、PAM Server Controlが使用できるスレッド数を定義します。デフォルト:5
- DefLookupTimeoutPAM Server Controlが SID のアカウント名への解決を停止するまでの、タイムアウトをミリ秒単位で定義します。デフォルト:2000
- domain_names照合に使用される名前のサフィックスのリスト。長い完全修飾ホスト名を作成するために、PAM Server Controlがこれらのサフィックスを短いホスト名に追加します。関連する HOST クラス、CONNECT クラス、または TERMINAL クラスで、これらの名前を承認できます。完全名を識別するために、PAM Server Controlは短い名前に domain_names リストのドメイン名を追加して承認に使用します。HOSTNP クラスの場合、PAM Server Controlは、実際の IP アドレスに解決されるパターンと(このレジストリで列挙された)すべてのドメイン名を照合します。デフォルト値なし
- EnableCachedLogonInfo(オプション)CA ControlMinderSubAuth.dll 内のログオン キャッシュ情報を制御し、さらに製品が認証に関するデータをパフォーマンス調整用のランタイム テーブルに保存できるようにするかどうかを定義します。値は以下のとおりです。0- ログオン キャッシュは無効です。すべてのログオン イベントは、認証のために seosd に渡されます。1- ログオン キャッシュは有効です。デフォルト:0この値は、エンタープライズ管理サーバをドメイン コントローラにインストールするときには 1 に設定されます。アップグレード後には、アップグレード前と同じ値にリストアされます。
- EnableIPv6ResolvingIP アドレス解決のホスト名が IPv4 に加えて IPv6 プロトコルで適用されるかどうかを制御します。値は以下のとおりです。0- IPv6 プロトコルでのホスト名解決を無効にします。1- IPv6 プロトコルでのホスト名解決を有効にします。デフォルト:0
- EnablePolicyCacheこの値は、認証エンジンがキャッシュされたレコードを使用するか、またはデータベースのレコードを直接使用するかを制御します。有効な値は以下のとおりです。no- 認証エンジンはデータベースのレコードを使用します。yes- 認証エンジンはキャッシュされたレコードを使用します。デフォルト:no
- EnvVarResolvingMode埋め込み環境変数を解決する方法(FILE クラス、SECFILE クラス、PROGRAM クラス、PROCESS クラス、SPECIALPGM クラス、TERMINAL クラス、または USER クラスのオブジェクトの場合)。以下に例を示します。newfile %SystemRoot%\temp.txt. 選択された値に応じて、PAM Server Controlは以下のアクションを実行します。0- すべての環境変数の解決を試み、ユーザにエラー メッセージを発行して、オブジェクトを作成しません。1- すべての環境変数の解決を試み、ユーザに警告メッセージを発行して、オブジェクトを作成します。2- すべての環境変数の解決を試み、メッセージを表示せずにオブジェクトを作成します。3- 環境変数の解決を試みません。PMDB では、環境変数が存在しないことを前提とするため、解決が試みられることはありません。デフォルト: 2
- GeneralInterceptionModeFull Enforcement モード(0)と Audit Only モード(1)のいずれを使用するかを指定します。デフォルト:0
- GraceCountForMessage猶予ログインの残り回数を定義します。この回数に達すると、[パスワードを変更します]ダイアログ ボックスが表示されます。デフォルト:0
- HostResolutionModeホスト名を解決する際にPAM Server Controlが使用するメソッドを指定します。値は以下のとおりです。0- HOST 解決は同期です(現行の動作)1- HOST 解決は非同期です(「イベント ログ」レポート付き)この設定の効果は、以下のとおりです。
- 制御は直ちに selang に返されます。
- HOST レコードが解決できない場合、selang メッセージは表示されません(0 と同様)。
- 通知メッセージは、「イベント ログ」に書き込まれます。
2- HOST 解決は非同期です(「イベント ログ」レポートなし)通知メッセージがどこにも書き込まれないことを除いては、「1」と同様です。デフォルト:0
- HostResolutionRenewal内部キャッシュの更新時間。ネットワーク インターセプトの認証イベントはレジストリ値を使用します。デフォルト:30000
- HostResolutionTimeoutネットワーク インターセプトのイベント発生時に、認証エンジンが IP の逆引きルックアップ要求を待つ時間。デフォルト:2000
- LogonTimeOutPAM Server Controlがサブ認証 DLL (eACSubAuth.dll)によるトランザクションを待機する時間(ミリ秒単位)を定義します。この時間を過ぎると待機を止めます。この時間を過ぎると、PAM Server Controlは LogonTimeOutAnswer に設定された値を返信します。デフォルト:4000
- LogonTimeOutAnswerPAM Server Controlからの回答がないうちに LogonTimeOut 設定が経過した場合の、オペレーティング システムに対するログオン回答を定義します。デフォルト:1 (true)
- MaximumDiscreteFILELimitPAM Server Controlデータベースに作成できる個別 FILE レコードの数。最小値はデフォルトの値です。ユーザがこの値をデフォルトよりも小さい値に設定した場合、PAM Server Controlは最小値が設定されたかのように動作します。デフォルト:4096
- MaximumGenericFILELimitPAM Server Controlデータベースに作成できる包括 FILE レコード(名前パターン ベースのレコード)の数。最小値はデフォルトの値です。ユーザがこの値をデフォルトよりも小さい値に設定した場合、PAM Server Controlは最小値が設定されたかのように動作します。デフォルト:512
- ProcessCreationNotificationModeカーネルまたはインストルメンテーション モードを使用して、プロセス作成をインターセプトし、seosd に通知するかどうかを指定します。タイプ:REG_DWORD値は以下のとおりです。0- プロセス作成はカーネル モジュールを使用して実行されます。1- プロセス作成はインストルメンテーション モジュールを使用して実行されます。デフォルト:0キーを 1 に設定した場合、PAM Server Controlは Windows API よるプロセス作成のみをインターセプトします。
- RebuildSuspiciousDatabase前回のセッションでデータベースが正しく閉じられなかった場合のみ、この値が適用されます。この値が 0 に設定されている場合、起動時に、データベースの正当性がヒューリスティックな手順で検証されます。このチェックでデータベースに問題が検出された場合は、データベースが再構築されます。この値が 1 に設定されている場合は、ヒューリスティックな手順によるチェック機能は省略されます。データベースはデータベース完全性チェックに従って再構築されます。デフォルト:1
- RefreshIPInterval自動 IP 更新要求の間隔(分単位)。値が 0 に設定されている場合、IP 更新は自動的に実行されません。1 ~ 30 の値を使用した場合、PAM Server Controlは、設定可能な最小間隔である 30 分を値として使用します。更新要求には時間がかかる場合があります。詳細については、secons ユーティリティの -refIP オプションを参照してください。デフォルト:0
- ResponseFileeACOexist.exe ユーティリティで使用する response.ini が格納されている場所。デフォルト:ACInstallDir\data\response.ini
- Service_ACE_CountPAM Server Controlによって保護および監視されるサービス名のリストを指定します。各エントリは、サービス名およびそれぞれの DACL 数を表します。レジストリ エントリは、PAM Server Controlによって内部的に更新されます。
- sim_login_timeoutアクセサ エレメント エントリ テーブル(ACEE)から、未使用の仮想ログイン ユーザ エントリをPAM Server Controlが削除するまでのタイムアウト(分単位)を定義します。PAM Server Controlは、ACEE に格納されている情報にアクセスする必要があるときに、仮想ログインを実行して ACEE エントリを作成します。デフォルト:60
- SurrogateInterceptionModeSURROGATE クラスインターセプト モードを指定します。タイプ:REG_DWORD制限:0 - ユーザ モード インターセプト。PAM Server Controlは RunAs ユーティリティから発生した代理実行リクエストのみをインターセプトします。1 - カーネル モード インターセプト。PAM Server Controlはすべての代理実行リクエストをインターセプトします。デフォルト:0
- SusrauthReadParamsSecトレース パラメータの更新頻度を定義します。デフォルト:30
- SusrauthTraceDbgEnableDbgView または Kernel Debugger へのトレースが有効(1)になっているかどうかを指定します。デフォルト:0
- SusrauthTraceFileEnableトレース ファイル(SusrauthTraceFileName)へのトレースが有効(1)になっているかどうかを指定します。デフォルト:0
- SusrauthTraceFileNameトレース ファイルへの完全パス名を定義します。デフォルト値なし
- TerminalSearchOrder認証プロセス中にどの TERMINAL レコードを検証するかを認証エンジンが判定する方法を指定します。値は以下のとおりです。name- 認証エンジンは最初に、名前で TERMINAL レコードを探し、その名前のレコードが見つからなかった場合は、IP アドレスの一致を探します。nameonly- 認証エンジンは、名前で TERMINAL レコードを探し、その名前のレコードが見つからなかった場合は、検索を停止します。IP アドレス形式の TERMINAL レコードは無視されます。IP- 認証エンジンは最初に、IP アドレスで TERMINAL レコードを探し、そのアドレスのレコードが見つからなかった場合は、名前の一致を探します。TERMINAL クラスは、ワイルドカードで定義された包括的なルールをサポートしています(IP アドレスまたはホスト名のパターンの一致)。汎用ルールは、常に、特定(フルネーム)のルールの後に検証されます。たとえば、これを IP に設定した場合、IP アドレスの完全一致、ホスト名の完全一致、IP アドレスのパターン一致、ホスト名のパターン一致の順で seosd は TERMINAL リソースを探します。デフォルト:nameonly
- TermSrvTimeout端末サービス接続時に、認証エンジンが 2 回目の連続ログインを待機するタイムアウト(ミリ秒単位)を指定します。デフォルト:2000ユーザがローカル アカウントを使用してログインする場合、PAM Server Controlは 2 つのログイン試行通知を受信します。1 つ目はローカル端末から、2 つ目は端末サーバからです。ユーザに猶予ログイン回数が割り当てられている場合、2 回のログイン試行がログ記録され、猶予回数から引かれます。このため、ログイン試行が指定されたタイムアウト期間内に発生した場合、PAM Server Controlは、2 番目のログインで猶予回数を更新しません。
- trace_fileトレース メッセージが要求される場合の、トレース メッセージの送信先ファイルの名前。デフォルト:ACInstallDir\log\seosd.trace
- trace_file_typeトレース ファイルのタイプ。既存のトレース ファイルのこの値を変更すると、既存のトレース ファイルは名前に拡張子「.backup」を付けて保存され、新しいトレース ファイルが指定したフォーマットで開始されます。デフォルト:text
- trace_filterトレース メッセージのフィルタ処理に使用される、フィルタ データを保存するファイルの名前。ファイルの完全パスを指定する必要があります。デフォルト:ACInstallDir\log\trcfilter.ini
- trace_space_saverファイル システムに確保する空き容量(KB 単位)。空き容量がこの数値を下回ると、PAM Server Controlではトレースは無効になります。使用可能な容量が後で増えた場合でも、トレースは自動的には有効になりません。デフォルト:5120
- trace_toトレース メッセージの送信先。選択された値に応じて、PAM Server Controlは以下を実行します。none - トレース メッセージを生成しません。file - トレース メッセージを生成し、PAM Server Controlがアクティブになると、ただちに trace_file レジストリで指定されたファイルにそのトレース メッセージを送信します。stop - サービスの初期化時にトレース メッセージを生成します。サービスが初期化された後は、トレース メッセージは生成されません。デフォルト:file,stop