サブ管理者の管理

内容
capamsc141
capamsc141
セキュリティ管理者(ADMIN 属性が割り当てられたユーザ)は、一般ユーザに特定の管理者権限を与えることができます。このような一般ユーザをサブ管理者といいます。サブ管理者には、指定した
CA Privileged Access Manager
のクラスまたはオブジェクトのみを管理する権限が与えられます。たとえば、サブ管理者に、ユーザ オブジェクトとグループ オブジェクトのみを管理する権限を与えることができます。また、クラスの特定のオブジェクトの管理者権限をサブ管理者ユーザに与えることによって、より高いレベルのサブ管理者を設定できます。
ユーザ、グループ、およびリソースのサブ管理者は、selang を使用して、これらのリソースに関連する管理タスクを実行できます。

特定の管理権限を一般ユーザに付与する方法

capamsc141
管理者、つまり ADMIN 属性が割り当てられたユーザは、
CA Privileged Access Manager
のほぼすべてのアクションを実行できるため、特定の管理タスクをサブ管理者に委任したい場合があります。この場合は、以下のように、
CA Privileged Access Manager
データベースで、ユーザが実行する必要がある特定の管理タスクを制御するクラスに対する権限をそのユーザに付与します。
  1. 委任するタスクを制御する 1 つ以上のクラスを識別します。
    たとえば、
    CA Privileged Access Manager
    は、USER クラスと GROUP クラスを使用して、アクセサ リソースを作成します。アクセサ管理を委任する場合は、ADMIN クラスの USER レコードと GROUP レコードを使用する必要があります。
  2. 1 人以上のサブ管理者に、ADMIN クラスの該当リソースに対する権限を付与します。
    たとえば、サブ管理者にユーザ レコードを表示および変更できる権限を与えるには、そのユーザに、ADMIN クラスの USER レコードに対する
    読み取り
    アクセス権と
    変更
    アクセス権を付与します。

ADMIN クラス

ADMIN クラスのレコードのアクセス制御リスト(ACL)に指定されているサブ管理者ユーザには、ADMIN 属性を持つユーザと同様の権限があります。ただし、ADMIN クラスのレコードの ACL に指定されているユーザの権限は、そのレコードが示す特定のクラスに制限されます。たとえば、ADMIN クラスの SURROGATE レコードでは、SURROGATE クラスのレコードを管理できるユーザが決定されます。
CA Privileged Access Manager
クラスの詳細については、「
リファレンス ガイド
」を参照してください。
ADMIN クラスにある特定レコードの ACL に指定されているユーザは、以下のコマンドを実行できます。
アクセス
説明
コマンド
読み取り
クラスのレコードのプロパティを表示します。
showusr、showgrp、showres、showfile、find
作成
クラスで新しいデータベース レコードを作成します。
newusr、newgrp、newres、newfile
Modify
クラスのプロパティを変更します。
chusr、chgrp、chres、chfile
削除
データベースから既存のクラス レコードを削除します。
rmusr、rmgrp、rmres、rmfile
接続
ユーザをグループに追加したり、グループから除外したりします。このアクセス権限は GROUP レコードの ACL でのみ有効です。
join、join-
パスワード
データベース内の全ユーザのパスワードとその属性を管理します。PWMANAGER 属性が割り当てられたユーザに許可されているアクセス権限と同じ権限が与えられます。このアクセス権限は、USER レコードの ACL でのみ有効です。
chusr
ADMIN クラス権限を持つユーザには、以下の制限事項があります。
  • ADMIN クラスにある USER レコードの ACL に定義されているユーザは、データベース内の最後の ADMIN ユーザを削除できません。
  • ADMIN クラス ユーザは、自分が所有するユーザに対して、グローバル権限属性(ADMIN、AUDITOR、OPERATOR、および PWMANAGER)を設定できません。
  • すべての ADMIN クラス ユーザが、監査モードを更新できるわけではありません。監査モードを更新できるのは、AUDITOR 属性が割り当てられた ADMIN クラス ユーザのみです。
  • ADMIN クラスのユーザは、スーパーユーザ(UNIX の root アカウントまたは Windows の Administrator アカウント)を削除できません。ただし、スーパーユーザ を NOADMIN に設定することはできます。
  • ADMIN クラス ユーザは、自分に対してリソースをアクセス不可に設定できません。したがって、以下の制限を受けます。
    • ADMIN クラス ユーザは、自分のセキュリティ レベルより高いセキュリティ レベルをリソースに割り当てることはできません。
    • ADMIN クラス ユーザは、自分が所有していないセキュリティ カテゴリまたはセキュリティ ラベルを割り当てることはできません。
これらの制限は、B1 セキュリティ レベル認証の一部です。