自動的なルール ベース ポリシー更新
内容
capamsc141
中央データベースで単一ルール ポリシー更新(標準の selang ルール)を行うと、サブスクライバ データベースに自動的に伝達されます。複数のコンピュータを同じデータベースのサブスクライバとし、そのデータベースを別のデータベースのサブスクライバとすることによって、階層を作成できます。インストール後に、自動的なルール ベース ポリシー更新を環境に設定します。
このポリシー管理方法は、単一ルール ポリシー更新を階層全体に伝達することだけに制限されます。その他の機能を使用するには、拡張ポリシー管理およびレポートを実装する必要があります。
自動的なルール ベース ポリシー更新のしくみ
環境に自動的なルール ベース ポリシー更新を設定すると、中央データベースで定義した各ルールは、以下の方法ですべてのサブスクライバに自動的に伝達されます。
- 少なくとも 1 つのサブスクライバを持つ任意の PMDB にルールを定義します。
- PMDB がすべてのサブスクライバ データベースにコマンドを送信します。
- 伝達されたコマンドをサブスクライバ データベースが適用します。
- サブスクライバ データベースから応答がない場合、PMDB はサブスクライバ データベースが更新されるまで、定期的に(デフォルトでは 30 分間隔)コマンドを送信し続けます。
- サブスクライバ データベースから応答があっても、コマンドの適用が拒否された場合、PMDB はこのコマンドを Policy Model のエラー ログに記録します。
- サブスクライバ データベースが別のサブスクライバの親である場合は、サブスクライバ データベースはそのサブスクライバにコマンドを送信します。
例: 階層内のすべてのコンピュータからユーザを削除する
rmusr コマンドを使用して PMDB からユーザが削除されると、同じ rmusr コマンドがすべてのサブスクライバ データベースに送信されます。このように、rmusr コマンドを 1 回実行すれば、さまざまな種類のコンピュータ上にある多数のデータベースからユーザを削除できます。
PMDB を使用した設定の伝達方法
capamsc141
Policy Model の設定を編集すると、新しい設定値が Policy Model のサブスクライバに伝達されます。
以下プロセスでは、設定の更新を Policy Model のサブスクライバに伝達する方法について説明します。
- Policy Model の 1 つ以上の設定値を編集します。
- Policy Model は、新しい設定値を仮想環境設定ファイルに書き込みます。仮想環境設定ファイルには、audit.cfg ファイルの値は含まれません。Policy Model は、このファイルに加えた変更を仮想環境設定ファイルに書き込みません。
- Policy Model は、そのサブスクライバに新しい設定値を送信します。
- selang コマンドは、新しい設定値で各サブスクライバを更新します。
仮想環境設定ファイル
capamsc141
各 Policy Model には、そのサブスクライバ用の設定値が含まれている仮想環境設定ファイルが存在します。仮想環境設定ファイルは、cfg_
configname
という名前で PMD ディレクトリに置かれます(configname
は Policy Model 設定の名前)。仮想環境設定ファイルには、audit.cfg ファイルに保持されている設定値は含まれていません。
新しいサブスクライバの設定方法
capamsc141
Policy Model は、既存の設定値で個々の新しいサブスクライバを設定します。既存の設定値は、仮想環境設定ファイルに格納されています。
仮想環境設定ファイルには、audit.cfg ファイルの設定値は格納されません。新しいサブスクライバを作成する前に audit.cfg ファイルに加えた変更は、新しいサブスクライバに伝達されません。
以下のプロセスでは、Policy Model が新しいサブスクライバを設定する方法について説明します。
- Policy Model の新しいサブスクライバを作成します。
- Policy Model は、その仮想環境設定ファイルの値を読み取ります。
- Policy Model は、その仮想環境設定ファイルの設定値を updates.dat ファイルに追加します。updates.dat ファイルには、ポリシーに対するアクセス ルールも含まれています。
- Policy Model は、新しいサブスクライバに updates.dat ファイルを送ります。
- selang コマンドは、updates.dat ファイルの値を使用して新しいサブスクライバを設定します。
階層のセットアップ方法
CA Privileged Access Manager
は、Policy Model サービスを使用して、設定された階層全体にルール ベース ポリシー更新を伝達します。複数の CA Privileged Access Manager
コンピュータを同じ PMDB にサブスクライブし、ある PMDB を別の PMDB にサブスクライブすることによって、階層を作成します。PMDB の階層構造は、
CA Privileged Access Manager
のインストール時にセットアップするのが最も簡単です。したがって、インストール作業を始める前に、どのように階層を構成するか考えておくことをお勧めします。PMDB 階層構造内のすべてのホストが同じネットワークに属していることを確認します。親 PMDB とそのサブスクライバは互いに通信可能である必要があります。親 PMDB とそのサブスクライバは、名前を指定して互いに接続できることが必要です。注:
CA Privileged Access Manager
のインストールの詳細については、「実装ガイド」を参照してください。インストール時に行った設定を変更する場合、またはインストール時に PMDB 構造を作成しなかった場合は、いつでも PMDB の設定を変更または作成することができます。これは、以下のいずれかの方法で行います。
- CA Privileged Access Managerエンドポイント管理を使用する
- sepmd ユーティリティを使用する
インストール後に、PMDB 階層を作成し、自動的なルール ベース ポリシー更新を有効にするには、以下の手順に従います。
- マスタ PMDB を作成し、設定します。
- (オプション)サブスクライバ PMDB を作成し、設定します。
- サブスクライバの親 PMDB を定義します。このサブスクライバは「エンドポイント」と呼ばれます。