PAM SC でのネイティブ UNIX セキュリティとの同期

UNIX のネイティブ権限を PAM SC の権限に同期させる方法。
capamsc141
Privileged Access Manager
のアクセス許可はネイティブ UNIX のアクセス許可よりも複雑ですが、ネイティブ UNIX のアクセス許可を製品のアクセス許可に同期させることができます。つまり、アクセス許可を一致させることができます。ただし、この同期にはいくつかの制限事項があります。
  • 同期は遡及して適用できません。同期がいったん有効になると、新しく発行される
    Privileged Access Manager
    の承認コマンドをすべて制御できますが、既存のアクセス ルールは制御されません。
  • Privileged Access Manager
    で付与した権限は UNIX に渡すことができます。ただし、UNIX で付与した権限は、
    Privileged Access Manager
    には渡されません。
  • UNIX 自体のアクセス許可システムの制約により、UNIX では、
    Privileged Access Manager
    の簡略化されたアクセス許可より複雑な許可は、適用できない場合があります。アクセス制御リスト(ACL)を備えたバージョンの UNIX でも、
    Privileged Access Manager
    の ACL の複雑な機能をすべて反映することができない場合があります。
Privileged Access Manager
に同期させることができる ACL を備えた UNIX のプラットフォームは、Sun Solaris、および Tru64 です。
このような ACL がない場合でも、従来からある UNIX の rwx 権限を
Privileged Access Manager
の権限に、ある程度まで同期させることができます。
Authorize コマンドの UNIX オプションと seos.ini ファイルの SyncUnixFilePerms トークンの組み合わせによって同期を制御します。
  • authorize コマンドは、UNIX オプションを指定することによって、UNIX および
    Privileged Access Manager
    で実装を行います。このコマンドでは、それまでアクセス許可がなかった場合でも UNIX のアクセス許可を設定できます。
    UNIX オプションを使用
    しない
    場合、selang のコマンドは UNIX セキュリティに影響を与えません。また、UNIX によってアクセス制御されている場所では
    Privileged Access Manager
    権限は無効になります。したがって、selang で UNIX によるアクセス制御を解除する唯一の方法は、authorize コマンドの UNIX オプションを使用することです。
  • authorize コマンドの UNIX オプションは、SyncUnixFilePerms トークンが seos.ini ファイルの[seos]セクションで適切に設定されている場合にのみ動作します。このトークンでは、以下の値が使用できます。
    • no
      は、ACL 権限を同期させないことを指定します。この値は、デフォルトです。
    • warn
      は、ACL 権限を同期させないが、製品の権限とネイティブ UNIX の権限が競合した場合に警告を発行することを指定します。
    • traditional
      は、
      Privileged Access Manager
      の ACL に従ってグループの rwx 権限を調整することを指定します(個々のユーザの権限は UNIX にコピーされません)。
    • acl
      は、
      Privileged Access Manager
      の ACL に従って UNIX の ACL を調整することを指定します。
    • force
      は、
      Privileged Access Manager
      の defaccess 権限に従って UNIX 環境のアクセス属性を調整することを指定します。
    SyncUnixFilePerms トークンの値の変更を有効にするには、seosd デーモンを再起動する必要があります。
目次を使用して、このセクションのトピックにアクセスしてください。