sesu ユーティリティ - ユーザの置換
sesu ユーティリティを使用すると、一時的に他のユーザとして操作を行うことができます。このユーティリティは、UNIX の su コマンドの バージョンです。ただし、sesu ユーティリティではユーザ代替コマンドが用意されていて、このコマンドでは、代替ユーザのパスワードを入力する必要はありません。認証プロセスは、SURROGATE クラスに定義されている のアクセス ルールに基づいて実行されます。また、コマンドを実行するユーザのパスワードに基づいて実行される場合もあります。
capamsc141
sesu ユーティリティを使用すると、一時的に他のユーザとして操作を行うことができます。このユーティリティは、UNIX の su コマンドの
CA Privileged Access Manager
バージョンです。ただし、sesu ユーティリティではユーザ代替コマンドが用意されていて、このコマンドでは、代替ユーザのパスワードを入力する必要はありません。認証プロセスは、SURROGATE クラスに定義されている CA Privileged Access Manager
のアクセス ルールに基づいて実行されます。また、コマンドを実行するユーザのパスワードに基づいて実行される場合もあります。sesu ユーティリティでは、seos.ini ファイルの sesu セクションにあるトークンを使用します。また、以下の特殊ファイルも使用します。
- /etc/passwd
- /etc/group
- /etc/shells
このプログラムは、誤って使用されることを防ぐために、ファイル システム内でマークされており、誰もこれを実行できません。このため、セキュリティ管理者は、このプログラムを実行する前に、それが実行可能ファイルとしてマークし、ユーザ ID を root に設定する必要があります。
sesu ユーティリティを使用する前に、すべてのユーザを
CA Privileged Access Manager
データベースに定義し、前提条件を設定してください。これは、CA Privileged Access Manager
に定義されていないユーザに対してシステム全体が開放されることを防止するためです。sesu ユーティリティは必要に応じて強力な認証をサポートし、ユーザにワンタイム パスワードの入力を要求することができます。seos.ini ファイルの sesu セクションおよび strong_auth セクションで強力な認証をアクティブにします。
注:
強力な認証および sepromote ユーティリティの詳細については、「sepromote ユーティリティ - 強力な認証の適用」を参照してください。使用上の注意
- CA Privileged Access Managerの承認サーバが見つからない場合、ユーティリティはシステムの標準 su コマンドを実行します。
- sesu.old_sesu 構成トークンが no に設定されている場合、ユーティリティはシステムの標準 su コマンドを実行します。
- /etc/shells が存在していて、それが現在のシェルを指定していない場合、sesu はアカウントの代理使用を root に許可しません。
このユーティリティの構文は、以下のようになります。
sesu [-] [username] [-l] [-n] [-s shell] [-c command]
- -環境をターゲット ユーザの環境に設定します。Linux では、-lオプションの使用と同じです。
- -ccommand指定されたコマンドを実行して、終了します。空白を含むコマンドは、引用符で囲みます。
- -hこのユーティリティのヘルプ画面を表示します。
- -l(Linux のみ) 開いているシェルがログイン シェルであることを示します。
- -nユーザに対してパスワードを要求しないように指定します。このオプションを使用した場合、このユーティリティは root アカウントとして実行され、LOGIN イベントを実行します。セキュリティ許可サーバが見つからない場合、ユーティリティは /bin/su を使用します。
- -sshell(Linux のみ)ユーザのパスワード エントリのシェルの代わりに開くシェルを指定します。このシェルは、/etc/shells ファイルのリストにある必要があります。
- usernameセッションに関連付けられている ID を、指定されたターゲット ユーザusernameの ID に変更します。usernameを指定しない場合、sesu によってデフォルトで root が設定されます。
例
- UID を root に変更するには、以下のコマンドを入力します。環境は、このコマンドを実行したユーザの環境のままです。sesu
- UID を root に変更するには、以下のコマンドを入力します。環境は、root ユーザの環境に変更されます。sesu -
- ユーザ John の代理ユーザになるには、以下のコマンドを入力します。sesu John
- ユーザ Carol の代理になり、指定されたコマンド ls -la を /home/carol ディレクトリから実行するには、以下のコマンドを入力します。sesu - Carol -c "ls -la /home/carol"
- 以下のコマンドを使用して、ユーザ Angelo の代理ユーザになり、bash シェルを使用し、それをログイン シェルとして開きます。sesu Angelo -l -s /bin/bashこのコードは、Linux でのみ有効です。