データベース アクセサ

ユーザをどのように管理するかに関係なく、以下のセクションで説明するように、製品のデータベースにアクセサを定義します。
capamsc141
ユーザをどのように管理するかに関係なく、以下のセクションで説明するように、製品のデータベースにアクセサを定義します。

事前定義済みユーザ

CA Privileged Access Manager
は、以下のユーザを事前定義します。これらのユーザを削除することはできません。
  • +devcalc
    (Windows)
    CA Privileged Access Manager
    が偏差計算プロセス devcalc を実行するときのユーザ名。
  • _dms
    拡張ポリシー管理サーバ コンポーネントのデータベース(DMS、DH リーダ、および DH ライタ)にインストールされている _dms ユーザは、policyfetcher および devcalc が DH および DMS と通信する場合に使用されます。
  • nobody
    nobody ユーザは、実際のユーザに対応させることのできないユーザ レコードです。このレコードは、関連する許可をどのユーザにも付与しないルールを作成する場合に使用します。たとえば、
    nobody
    をリソースの所有者として設定し、どのユーザも、そのレコードの所有に関連する権限を取得しないようにすることができます。
  • +reportagent
    CA Privileged Access Manager
    がレポート エージェントを実行するときのユーザ名。
  • _seagent
    _seagent は、
    CA Privileged Access Manager
    が以下のような内部プロセスを実行するときのユーザ名です。
    • PMDB プロセス、sepmdd
    • (UNIX)偏差計算プロセス、devcalc
    • ユーザおよびグループ レコード更新 のexit プロセス
    _seagent ユーザには SERVER 属性が割り当てられています。
  • _sebuildla
    (UNIX) _sebuildla ユーザは、 Control デーモン seosd に対して lookaside データベースを作成するために
    CA Privileged Access Manager
    CA Privileged Access Manager
    が sebuildla ユーティリティを実行する際に使用するユーザ名です。
  • _seoswd
    (UNIX) _seoswd は、データベースに trusted プログラムとして定義されているプログラムのファイル情報およびデジタル署名を監視する、seoswd Watchdog デーモンを実行するために使用されるユーザ名です。
  • _undefined
    _undefined は、
    CA Privileged Access Manager
    で定義されていないすべてのユーザを表します。_undefined を使用して、未定義のユーザを ACL に含めることができます。

事前定義済みグループ

CA Privileged Access Manager
には、事前定義済みグループが用意されています。_interactive グループと _network グループを除き、これらの事前定義済みグループには、他のグループと同じようにユーザを追加できます。
  • _abspath
    ログイン時に _abspath グループに属しているユーザは、プログラムを起動する場合に絶対パス名を使用する必要があります。
  • _interactive
    ユーザは、アクセスの目的でのみ、_interactive グループのメンバになります。ユーザは、アクセスしようとしているリソースと同じホストにログインしている場合、_interactive グループのメンバになります。
    CA Privileged Access Manager
    は、_interactive グループのメンバシップを動的かつ自動的に管理します。このメンバシップを変更することはできません。
  • interactive_restricted
    interactive_restricted グループ内のユーザは、ファイルの変更を実行する前に強い認証を必要とします。Interactive_restricted グループのユーザは、ファイルを読み取り、コマンドを実行することができます。これらのユーザは、変更する権限が与えられた、事前定義された非ファイルのリスト以外は変更することができません。その制約を削除する必要がある場合は認証に sepromote ユーティリティを実行する必要があることを示すメッセージが表示されます。
  • _network
    これは、_interactive の補完グループです。ユーザは、アクセスの目的でのみ、_network グループのメンバになります。ユーザは、リソースが属するホストとは別のホストにアクセスしようとする場合、_network グループのメンバになります。
    CA Privileged Access Manager
    は、_network グループのメンバシップを動的かつ自動的に管理します。このメンバシップを変更することはできません。
  • _restricted
    _restricted グループのユーザに対しては、ファイルはすべて(Windows の場合はレジストリ キーも)
    CA Privileged Access Manager
    によって保護されます。ファイルまたは Windows のレジストリ キーで、アクセス ルールが明示的に定義されていない場合、アクセス許可は、そのクラス(FILE または REGKEY)の _default レコードが適用されます。
    注:
    _restricted グループに属するユーザには、処理を実行するための十分な権限が付与されない可能性があります。そのため、_restricted グループにユーザを追加する場合は、最初に警告モードの使用を検討してください。
  • _surrogate
    ユーザが _surrogate グループのメンバを代理として使用する場合、
    CA Privileged Access Manager
    は、その代理のアクションの監査証跡として元のユーザの名前が付けられた完全なトレースを書き込みます。
例: selang を使用して _restricted グループにユーザを追加する
以下の selang コマンドは、エンタープライズ ユーザ john_smith を _restricted グループに追加します。
joinx john_smith group(_restricted)

プロファイル グループ

プロファイル グループ
は製品のデータベースで定義されるグループで、ユーザ プロパティのデフォルト値が収められています。ユーザをプロファイル グループに割り当てた場合、そのユーザにすでに値が設定されていない限り、プロファイル グループはそのデフォルト値をユーザに提供します。
ユーザのプロファイル グループは、ユーザの作成時に指定できます。または、後でプロファイル グループにユーザを割り当てることもできます。
プロファイル グループを使用すると、管理者は、グループに割り当てる新規ユーザに対して、特定の権限が指定された標準設定を効率よく作成できます。このセットアップでは、ユーザのホーム ディレクトリ、監査プロパティ、アクセス権限を定義する PMDB、およびプロファイル グループに関連付けられているユーザに影響を与えるさまざまなパスワード ルールなどを指定することができます。

製品でプロファイル グループを使用してユーザ プロパティが決定される方法

以下のプロセスでは、製品でプロファイル グループを使用してユーザ プロパティが決定される方法について説明します。
  1. USER クラスまたは XUSER クラスのユーザのレコードにそのプロパティの値があるかどうかがチェックされます。ユーザのレコードがそのプロパティの値を持っている場合はその値が使用されます。
  2. ユーザがプロファイル グループに割り当てられているかどうかが確認されます。ユーザがプロファイル グループに割り当てられている場合は、プロセスは続行します。ユーザがプロファイル グループに割り当てられてない場合は、ユーザにデフォルトのプロパティ値が割り当てられます。
  3. プロファイル グループがそのプロパティの値を持っているかどうかがチェックされます。プロファイル グループがプロパティの値を持っている場合は、その値がユーザに割り当てられます。プロファイル グループがプロパティの値を持っていない場合は、デフォルトのプロパティ値がユーザに割り当てられます。
    注:
    ユーザまたはプロファイル グループの監査プロパティが設定されていない場合、グループの監査プロパティはユーザの監査プロパティに影響を与える場合があります。

アクセサ管理

データベースまたはエンタープライズ ユーザまたはグループ レコードの作成、変更、削除には、
CA Privileged Access Manager
エンドポイント管理または selang を使用できます。
ユーザまたはグループの管理
特定のアクセサのプロパティを表示または変更する場合や、アクセサを削除する場合は、まずそのアクセサを見つける必要があります。
ユーザまたはグループの管理方法
  1. CA Privileged Access Manager
     エンドポイント管理で、以下のことを実行します。
    1. [ユーザ]をクリックします。
    2. [ユーザ]または[グループ]サブタブの
      いずれか
      をクリックします。
    選択したサブタブに応じて、[ユーザ]ページまたは[グループ]ページが表示されます。
  2. [検索]セクションの以下のフィールドに入力します。
    • ユーザ名/グループ名
      表示したいアクセサのマスクを定義します。対象とするアクセサのフル ネームを入力するか、マスクを使用することができます。たとえば、名前に「admin」を含むアクセサをリストするには、*admin* を使用します。
      すべてのアクセサのリストを表示するには「*」(アスタリスク) を使用し、単一の文字を置き換えるには「?」(疑問符) を使用します。
    • ユーザ リポジトリ/グループ リポジトリ
      アクセサ リストの取得元のソースを指定します。ソースとして、以下のいずれかを指定できます。
      1. 内部アカウント
        - データベースに定義されているアクセサ。
      2. エンタープライズ アカウント
        - 特定のエンタープライズ ユーザ ストアに定義されているアクセサ。
    • AC アカウント/プロファイルのみを表示
      以下のように、
      CA Privileged Access Manager
      データベース内にレコードがあるアカウントのみをリストするかどうかを指定します。
      1. [内部アカウント]を選択した場合は、データベース内に存在するアカウントのみをリストします(ネイティブ アカウントは含まれません)。
      2. [エンタープライズ アカウント]を選択した場合は、
        CA Privileged Access Manager
         エンタープライズ プロファイル(XUSER レコードまたは XGROUP レコード)を持つアカウントのみをリストします。
  3. [実行]をクリックします。
    選択したリポジトリに存在するアクセサのリストが表示されます。
  4. 以下の
    いずれか
    を実行します。
    • [表示]列の[Image3.png]をクリックして、アクセサのプロパティを表示します。
    • [削除]列の Image2.png をクリックして、アクセサを削除します。
    • アクセサの名前をクリックして、アクセサのプロパティを変更します。
    • 削除するアクセサを選択し、[削除]をクリックします。
    • [ユーザの作成]または[グループの作成]をクリックし、製品のデータベースにユーザ レコードまたはグループ レコードを作成します。
例: リポジトリ内のエンタープライズ ユーザの検索
以下の図は、ABC-DM1 エンタープライズ ユーザ ストアでの全ユーザの検索結果を示しています。
Image1.png
selang を使用したユーザ管理
エンタープライズ ユーザのレコードには、以下の selang コマンドを使用します。
  • newxusr
    および
    editxusr
    - 新規のエンタープライズ ユーザ レコードを定義します。
  • chxusr
    および
    editxusr
    - エンタープライズ ユーザのプロパティを変更します。
  • find xuser
    -
    CA Privileged Access Manager
    のレコードを持つエンタープライズ ユーザの一覧を表示します。
  • rmxusr
    - ユーザを削除します。
  • show xuser
    - エンタープライズ ユーザのプロパティを表示します。
CA Privileged Access Manager
データベース ユーザ レコードには、以下の selang コマンドを使用します。
  • newusr
    および
    editusr
    - 新規のユーザ レコードを定義します。
  • chusr
    および
    editusr
    - ユーザのプロパティを変更します。
  • rmusr
    - ユーザを削除します。
  • find user
    - データベース ユーザをリストします。
  • show user
    - ユーザのプロパティを表示します。
例: selang を使用してデータベースにユーザを定義する
以下の selang コマンドは、
CA Privileged Access Manager
データベースに、セキュリティ レベルを 100 とする新規ユーザを定義します。
newusr internalUser level(100)
例: selang を使用してエンタープライズ ユーザのプロパティを変更する
以下の selang コマンドは、エンタープライズ ユーザ Terry に AUDITOR 属性を割り当てます。
chxusr Terry auditor
selang を使用したグループ管理
エンタープライズ グループの名前およびメンバシップを除く、任意のグループのすべてのプロパティを変更できます(名前とメンバシップの変更は、
CA Privileged Access Manager
内からは行うことができません)。
グループ プロパティの変更およびグループに関連付けられたアクセス権の割り当てには、
CA Privileged Access Manager
エンドポイント管理コンソールまたは以下の selang コマンドを使用できます。
  • join[-]
    および
    joinx[-]
    内部グループのメンバシップを変更します。
    内部アクセサをグループに追加するには、join を使用します。エンタープライズ グループおよびユーザを内部グループに追加するには、joinx を使用します。アクセサを内部グループから外すには、コマンドにマイナス(-)記号を付けます。
  • editgrp
    newgrp
    chgrp
    内部グループのメンバシップ以外のプロパティを変更します。
  • editxgrp
    newxgrp
    chxgrp
    エンタープライズ グループのメンバシップ以外のプロパティを変更します。
  • rmgrp、rmxgrp
    内部グループ、 エンタープライズ グループを削除します。
例: selang を使用してデータベースにグループを定義する
以下の selang コマンドは、データベースに新規グループ「sales」を定義します。グループのフル ネームは「Sales Department」です。
newgrp sales name('Sales Department')
例: selang を使用して、データベースに定義されているグループのプロパティを変更する
以下の selang コマンドによって、
CA Privileged Access Manager
は、グループ AC_admins のメンバに対するすべてのイベントを監査します。
chgrp AC_admins audit(all)
例: selang を使用して、ACL にエンタープライズ グループを追加する
以下の selang コマンドは、myfile という ACL にエンタープライズ グループ mygroup を追加します。
Authorize FILE (myfile) xgid(mygroup)
例: selang を使用して、データベースに定義されているグループにエンタープライズ ユーザを追加する
以下の selang コマンドは、データベースに定義されているグループ AC_admins に、エンタープライズ ユーザ mydomain\administrator を追加します。
joinx mydomain\administrator group(AC_admins)
例: selang を使用して、データベースに定義されているグループにエンタープライズ グループを追加する
以下の selang コマンドは、_restricted グループにエンタープライズ グループ Guests を追加します。
joinx Guests group(_restricted)