エンタープライズ ストアでアクセサを管理するためのガイドライン
capamsc141
エンタープライズ ユーザ ストアでアクセサを管理する場合、以下のセクションに記載されているガイドラインを考慮してください。
データベースに定義する必要があるユーザおよびグループ
Privileged Access Manager
では、一部のユーザおよびグループを、エンタープライズ ユーザ ストアではなく、自身のデータベースに定義する必要があります。これには以下が含まれます。- 事前定義済みユーザ
- 事前定義済みグループ
- Privileged Access Manager管理者
- プロファイル グループ
- 論理ユーザ
エンタープライズ ユーザの使用制限
Privileged Access Manager
は、エンタープライズ ユーザの使用に以下の制限を適用します。- エンタープライズ ユーザの名前が、データベースに定義されるユーザと同じ場合、Privileged Access Managerでそのエンタープライズ ユーザを作成、または参照することはできません。
- selang AC 環境を使用して、エンタープライズ ユーザを作成、削除、または変更することはできません。
- エンタープライズ ユーザを論理ユーザとして使用することはできません。
- デフォルトでは、ユーザがエンタープライズ ユーザ ストアに事前に定義されていない限り、Privileged Access Managerでエンタープライズ ユーザを作成することはできません。ただし、UNIX システム上でこの動作を有効または無効にすることができます。
エンタープライズ グループの使用制限
Privileged Access Manager
は、エンタープライズ グループの使用に以下の制限を適用します。- selang AC 環境内で、エンタープライズ グループを作成または削除することはできません。
- selang AC 環境内で、エンタープライズ グループのメンバシップを変更することはできません。
- エンタープライズ グループをプロファイル グループとして使用することはできません。
エンタープライズ ユーザおよびグループの有効化/無効化
Privileged Access Manager
は、デフォルトでは、エンタープライズ ユーザ ストアで定義されているユーザおよびグループを使用しません。この機能を有効にすることをお勧めします。Privileged Access Manager
の以前のバージョンとの互換性が必要な場合にのみ、osuser_enabled を「no」に設定してこの機能を無効にします。例: Windows 上でエンタープライズ ユーザとグループの使用を有効にする
Windows 上でエンタープライズ ユーザとグループの使用を有効にするには、以下のレジストリ設定を指定します。
キー: HKLM\SOFTWARE\ComputerAssociates\AccessControl\OS_user
名前: osuser_enabled
タイプ: REG_DWORD
値: yes
例: UNIX 上でエンタープライズ ユーザとグループの使用を有効にする
以下のコマンドを実行して、
Privileged Access Manager
を停止してから、UNIX 上でエンタープライズ ユーザとグループの使用を有効にし、Privileged Access Manager
を再起動します。secons -sseini -s OS_User.osuser_enabled yesseload
エンタープライズ ユーザのログイン時の XUSER レコードの作成の有効化/無効化
Privileged Access Manager
で、エンタープライズ ユーザの使用が有効になっている場合、デフォルトでは、ユーザがログインしたときにそのユーザのレコードが(XUSER クラスに)作成されます。ただし、毎日同じ時刻に数千人のユーザがログインする場合など、このレコードを作成したくないこともあります。ユーザがログインしたときに
Privileged Access Manager
が XUSER レコードを作成しないようにするには、設定 create_user_in_db の値を 0 (ゼロ)に変更します。この動作を再び有効にするには、この値を 1 に設定します。例: エンタープライズ ユーザの Windows へのログイン時の XUSER レコードの自動作成を無効にする
Windows 上で
Privileged Access Manager
でのエンタープライズ ユーザ レコードの自動作成を無効にするには、以下のレジストリ設定を指定します。- キー: HKLM\Software\ComputerAssociates\AccessControl\OS_user
- 名前: create_user_in_db
- タイプ: REG_DWORD
- 値: 0
例: エンタープライズ ユーザが UNIX にログインしたときの XUSER レコードの自動作成を無効にする
以下のコマンドを実行すると、
Privileged Access Manager
を停止し、UNIX 上での XUSER レコードの自動作成を無効にし、Privileged Access Manager
を再起動します。secons -sseini -s OS_User.create_user_in_db 0seload
UNIX 上で XUSER レコードを作成する前のエンタープライズ ストア チェックの有効化/無効化
ユーザがエンタープライズ ユーザ ストアに定義されていない場合は、
Privileged Access Manager
でエンタープライズ ユーザを作成することができます。Windows では、ユーザが Windows のユーザ ストアに存在しない限り、Privileged Access Manager
でエンタープライズ ユーザを作成することはできません。UNIX のデフォルト動作は Windows とは逆です。ただし、UNIX では、このデフォルト動作を有効または無効にすることができます。チェックを無効にする(したがって、同等のエンタープライズ ユーザが存在しない場合に
Privileged Access Manager
が XUSER レコードを作成できるようにする)には、verify_osuser の設定値を 0 に変更します。チェックを適用するには、この値を 1 に設定します。例: エンタープライズ ユーザ ストアをチェックせずに XUSER レコードの作成を有効にする
以下のコマンド セットを実行すると、
Privileged Access Manager
は停止し、エンタープライズ ストアに同等のレコードがない XUSER レコードの作成が有効になり、Privileged Access Manager
の再起動が実行されます。secons -sseini -s OS_User.verify_osuser 0seload
Windows での再利用エンタープライズ ストア アカウント
「
再利用アカウント
」とは、削除された後で再作成されたエンタープライズ ストアのユーザまたはグループです。たとえば、あるユーザが退職して、そのユーザをユーザ ストアを削除した後で、同じ名前の別のアカウントを作成する場合などが該当します。再利用アカウントは、セキュリティ ホールになります。名前が同一の以前のアカウントに付与されていたアクセス権限と同じアクセス権限が新規のアクセサに必ずしも必要とは限らないためです。この問題を解決するため、
Privileged Access Manager
の許可は SID に基づいています。アクセサの作成時に、削除された同じ名前のアクセサの権限が自動的に受け継がれることはありません。 再利用アカウント アクセサは、古いアクセス権限を継承
しません
。ただし、(SID ではなく)アクセサ名を指定するデータベース アクセス ルールでは、これらのルールが適用されると思われることがあります。この問題は、secons -checkSID コマンドを使用して解決します。Windows での再利用エンタープライズ アカウントの解決
データベース ルールが関連付けられたエンタープライズ アカウント(ユーザまたはグループ)が再利用(つまり、削除されてから、同じ名前で作成)されると、古いデータベース ルールが新規アカウントにも適用されると思われるかもしれません。しかし、
Privileged Access Manager
の許可は SID に基づいているので、これらのルールは適用されません。新規ユーザ/グループ用のルールを作成する必要があります。ルールを作成するには、事前に再利用アカウントを解決しておく必要があります。以下の手順に従います。
- コマンド プロンプトを開き、以下のコマンドを実行します。secons -checkSID -userssecons -checkSID -groupsPrivileged Access Managerは、所有しているすべてのエンタープライズ ユーザ アカウント(XUSER レコード)を確認してから、すべてのグループ アカウント(XGROUP レコード)を確認し、エンタープライズ アカウントの SID とは異なる SID を持つアカウントを識別します。Privileged Access Managerで、命名規則SID(accountName)に従って、これらのアカウントの名前を変更します。
- これで、再利用アカウントのルールを作成できます。
注:
再利用ユーザ アカウントは、ユーザのログイン時、またはリソースへのアクセス時に、このように解決されます。エンタープライズ アカウントを作成する場合は、secons -checkSID コマンドをスケジュール タスクとして実行することをお勧めします。例: 再利用グループ アカウント
ABCD 社のエンタープライズ ストアに、
interns
というグループがあります。このグループには、9 人のメンバが所属し、productA に取り組んでいます。管理者は、以下のように、このグループを Privileged Access Manager
に認識させ、グループのメンバがアクセスする必要があるファイルへのアクセス許可をこのグループに割り当てます。nxg interns owner(msmith)auth file c:\products\productA\materials\* xgid(interns) access(all)auth file c:\HR\interns\* xgid(interns) access(read)
interns が ABCD 社での就労期間を完了すると、エンタープライズ ストア管理者はこのグループを削除します。3 か月後、6 人のメンバから成る新しい interns グループがエンタープライズ ストアに同じ名前で作成されます。
Privileged Access Manager
データベース内の古いルールはまだ存在するので、新しい interns
グループはこの古いルールの許可を継承するように思われます。しかし、これらのルールは古い interns グループに適用されるものなので、Privileged Access Manager
管理者は新規グループ用のルールを作成する必要があります。このためには、管理者は、以下のように interns 再利用アカウントを識別して解決する必要があります。
secons -checkSID -groups interns
これにより、XGROUP リソースの名前と、このリソースへのアクセス ルール参照の名前が、「
SID
(domain
\interns)」に変更されます。これで、管理者は、productB に取り組む interns グループ用の新規ルールを作成できます。nxg interns owner(msmith)auth file c:\products\productB\materials\* xgid(interns) access(all)auth file c:\HR\interns\* xgid(interns) access(read)