PAM SC でのネイティブ UNIX セキュリティとの同期
UNIX のネイティブ権限を PAM SC の権限に同期させる方法。
capamsc141
CA Privileged Access Manager
のアクセス許可はネイティブ UNIX のアクセス許可よりも複雑ですが、ネイティブ UNIX のアクセス許可を製品のアクセス許可に同期させることができます。つまり、アクセス許可を一致させることができます。ただし、この同期にはいくつかの制限事項があります。- 同期は遡及して適用できません。同期がいったん有効になると、新しく発行されるCA Privileged Access Managerの承認コマンドをすべて制御できますが、既存のアクセス ルールは制御されません。
- CA Privileged Access Managerで付与した権限は UNIX に渡すことができます。ただし、UNIX で付与した権限は、CA Privileged Access Managerには渡されません。
- UNIX 自体のアクセス許可システムの制約により、UNIX では、CA Privileged Access Managerの簡略化されたアクセス許可より複雑な許可は、適用できない場合があります。アクセス制御リスト(ACL)を備えたバージョンの UNIX でも、CA Privileged Access Managerの ACL の複雑な機能をすべて反映することができない場合があります。
CA Privileged Access Manager
に同期させることができる ACL を備えた UNIX のプラットフォームは、Sun Solaris、および Tru64 です。このような ACL がない場合でも、従来からある UNIX の rwx 権限を
CA Privileged Access Manager
の権限に、ある程度まで同期させることができます。Authorize コマンドの UNIX オプションと seos.ini ファイルの SyncUnixFilePerms トークンの組み合わせによって同期を制御します。
- authorize コマンドは、UNIX オプションを指定することによって、UNIX およびCA Privileged Access Managerで実装を行います。このコマンドでは、それまでアクセス許可がなかった場合でも UNIX のアクセス許可を設定できます。UNIX オプションを使用しない場合、selang のコマンドは UNIX セキュリティに影響を与えません。また、UNIX によってアクセス制御されている場所ではCA Privileged Access Manager権限は無効になります。したがって、selang で UNIX によるアクセス制御を解除する唯一の方法は、authorize コマンドの UNIX オプションを使用することです。
- authorize コマンドの UNIX オプションは、SyncUnixFilePerms トークンが seos.ini ファイルの[seos]セクションで適切に設定されている場合にのみ動作します。このトークンでは、以下の値が使用できます。
- noは、ACL 権限を同期させないことを指定します。この値は、デフォルトです。
- warnは、ACL 権限を同期させないが、製品の権限とネイティブ UNIX の権限が競合した場合に警告を発行することを指定します。
- traditionalは、CA Privileged Access Managerの ACL に従ってグループの rwx 権限を調整することを指定します(個々のユーザの権限は UNIX にコピーされません)。
- aclは、CA Privileged Access Managerの ACL に従って UNIX の ACL を調整することを指定します。
- forceは、CA Privileged Access Managerの defaccess 権限に従って UNIX 環境のアクセス属性を調整することを指定します。
目次を使用して、このセクションのトピックにアクセスしてください。