拡張ポリシー ベース管理のしくみ

目次
cminder12901jp
目次
拡張ポリシー ベース管理では、ポリシー バージョンを格納、デプロイ、およびデプロイ解除することができると同時に、後でデプロイのステータス、デプロイの偏差、およびデプロイ配布をチェックすることができます。
以下の方法で、高度なポリシー ベースの管理作業を行います。
  1. ポリシーを作成します。
    各ポリシーには、1 組の selang コマンド スクリプトが含まれています。 最初のスクリプトは、「
    デプロイメント スクリプト
    」で、ポリシーを構成する selang コマンドのセットが含まれています。 2 つ目のスクリプトは、「
    デプロイ解除スクリプト
    」と呼び、エンドポイント データベースからポリシーをデプロイ解除(削除)するために必要なコマンドが含まれます。
  2. Privileged Identity Manager
    エンタープライズ コンソールまたは policydeploy ユーティリティのいずれかを使用して、DMS にポリシーの詳細を格納します。次に
    Privileged Identity Manager
    により、自動バージョン管理を使用してポリシーが格納されます。
    ポリシーの詳細には、ポリシーの説明、デプロイメント スクリプトおよびデプロイメント解除スクリプト、およびポリシーの依存関係含まれています。が
  3. ポリシーが DMS にすでに存在するかどうかによって、
    Privileged Identity Manager
    により以下の
    いずれか
    が実行されます。
    • ポリシー名が DMS に存在しない場合、
      Privileged Identity Manager
      によりポリシー(
      policy_name
      #01)および論理ポリシー オブジェクト(GPOLICY クラス)の最初のバージョンが作成され、ポリシー バージョンが論理ポリシーのメンバとして追加されます。
    • ポリシー名が DMS にすでに存在する場合、
      Privileged Identity Manager
      により検出された最新のポリシー バージョンに 1 を加えた新しいポリシー バージョンが作成され、このポリシー バージョンが論理ポリシー(GPOLICY オブジェクト)のメンバとして追加されます。
  4. 必要に応じて、
    Privileged Identity Manager
    エンタープライズ コンソールまたは policydeploy ユーティリティを使用して、格納されたポリシーをターゲット データベースにデプロイします。
    Privileged Identity Manager
    により、DMS にデプロイメント タスク(DEPLOYMENT オブジェクト)が自動的に作成されます。
    Privileged Identity Manager
    により、格納されたポリシーの最新のファイナライズされたポリシー バージョンがデプロイされます。 作成する新しいポリシー バージョンは、割り当てられたホストに自動的に送信されません。 割り当てられたホストを最新のポリシー バージョンに手動でアップグレードする必要があります。注:
    Privileged Identity Manager
    エンタープライズ コンソールにより、UNIX 認証ブローカ ログインおよびプロシージャ ポリシーの作成後、自動的にデプロイされます。 UNIX 認証ブローカ ログインおよび設定ポリシーは UNIX 認証ブローカーのホストに割り当てることのみできます。
  5. Privileged Identity Manager
    により、DMS にデプロイメント パッケージ(GDEPLOYMENT オブジェクト)が自動的に作成されます。
    デプロイメント パッケージは、前の手順で作成されたすべてのデプロイ タスクをグループ分けします。
  6. DMS はデプロイ タスクを配布ホスト(DH)に送信します。
  7. エンドポイントは,(policyfetcher を使用して)新しいポリシー デプロイ タスクがないかどうかを定期的にチェックし、保留中のデプロイメント タスクを DH から取得し、ターゲット データベース上で各ルール(デプロイメント スクリプトで指定された selang コマンド)を実行します。
  8. エンドポイントは、デプロイメント タスク ステータス(失敗、成功)、失敗したコマンドに関する selang の結果メッセージ、および HNODE 上のポリシー ステータスで DH を更新します。
    : ポリシーのデプロイがエラーになった場合、
    Privileged Identity Manager
    エンタープライズ コンソールの[デプロイメント監査]を使用して、失敗したコマンドに関する selang の出力の詳細を確認します。 そうしない場合、ポリシーのデプロイがエラーになったコンピュータ上で、ログ ファイルを表示する必要があります。
  9. DH は、デプロイ タスクのステータスやポリシー ステータスが格納されている DMS でそれらの情報を更新します。
注:
UNIX 認証ブローカー ログイン ポリシーおよび UNIX 認証ブローカー設定ポリシーは、拡張ポリシー ベース管理と同様には機能しません。
デプロイメント メソッドがデプロイメント タスクに影響を及ぼす仕組み
格納されたポリシーをターゲット データベースにデプロイすると、
Privileged Identity Manager
により、DMS 上にデプロイメント タスクが自動的に作成されます。 デプロイメント タスク(DEPLOYMENT オブジェクト)は作業指令であり、エンドポイントで実行するために DMS 別に生成されます。 各デプロイメント タスクは、それぞれ 1 つのエンドポイント用であり、エンドポイントにデプロイする必要があるポリシー バージョンに関する情報が含まれています。
Privileged Identity Manager
により、異なるデプロイメント メソッドを使用して、UNIX 認証ブローカ ログイン ポリシーおよび設定ポリシーがデプロイされます。
格納されたポリシーをデプロイするために使用するメソッドは、
Privileged Identity Manager
により作成されるデプロイメント タスクに影響します。 以下は、異なるメソッドを使用した結果を示しています。
  • 1 つ以上のホストへのポリシー(GPOLICY オブジェクト)の割り当て
    は、各ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
  • 1 つ以上のホスト グループへのポリシー(GPOLICY オブジェクト)の割り当て
    は、ホスト グループの 1 つのメンバである各ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
  • 格納されたポリシー(GPOLICY オブジェクト)が割り当てられているホスト グループへのホストの追加
    は、新規ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
  • ホストへのポリシーの再デプロイ
    は、各ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
  • HNODE でのポリシーのリストア(ホストでデプロイが必要なポリシーを再デプロイ)
    は、ホスト上にデプロイする必要がある各ポリシーについて、ホストで有効になっているポリシー バージョンのデプロイメント タスクを作成します。
  • 1 つ以上のホストでのデプロイ済みポリシーのアップグレード
    ホストに格納されているポリシー バージョンがホストにデプロイされているポリシー バージョンより新しい場合、 は、各ホストについて、最新のファイナライズされたポリシー バージョンのデプロイメント タスクを作成します。
例: ポリシーのホストへの割り当て
ポリシー IIS をホスト「host1.comp.com」および「host2.comp.com」に割り当てると、
Privileged Identity Manager
により 2 つのデプロイメント タスクが作成されます。1 つは最新の IIS ポリシー バージョンを host1.comp.com にデプロイするタスクで、もう 1 つは最新の IIS ポリシー バージョンを host2.comp.com にデプロイするタスクです。
例: ポリシーのホスト グループへの割り当て
ホスト グループ「Servers」には、「hostA.comp.com」と「hostB.comp.com」の 2 つのメンバがあります。 ポリシー IIS をホスト グループ「Servers」に割り当てると、
Privileged Identity Manager
により 2 つのデプロイメント タスクが作成されます。1 つは最新の IIS ポリシー バージョンを「hostA.comp.com」にデプロイするタスクで、もう 1 つは最新の IIS ポリシー バージョンを「hostB.comp.com」にデプロイするタスクです。
例: ホストの割り当て済みポリシーを持つホスト グループへの追加
ホスト グループ Servers は 2 つの割り当て済みポリシー(「IIS」と「ORACLE」)を持っています。 ホスト test.comp.com をホスト グループに追加すると、
Privileged Identity Manager
により 2 つのデプロイメント タスクが作成されます。1 つは最新の IIS ポリシー バージョンを test.comp.com にデプロイするタスクで、もう 1 つは最新の ORACLE ポリシー バージョンを test.comp.com にデプロイするタスクです。
例: ホストのリストア
ホストには、policy1 と policy2 の 2 つのポリシーが割り当てられています。 ホストをリストアすると、
Privileged Identity Manager
により 2 つのデプロイメント タスクが作成されます。1 つは最新のファイナライズされた policy1 バージョンをホストにデプロイするタスクで、もう 1 つは最新のファイナライズされた policy2 バージョンをホストにデプロイするタスクです。
例: デプロイ済みポリシーのアップグレード
ポリシー IIS は 2 つのホスト、host1.comp.com および host2.comp.com 上にデプロイされていますが、ポリシー IIS の最新バージョンは host1.comp.com にデプロイされていません。 両方のホスト上でポリシー IIS をアップグレードすると、
Privileged Identity Manager
により 1 つのデプロイメント タスクのみが作成され、最新の IIS ポリシー バージョンが host1.comp.com にデプロイされます。
DMS が保持するエンドポイント データ
環境に拡張ポリシー管理を設定すると、企業内のエンドポイントは設定された DH 経由で、以下の 3 種類のステータス変更を DMS に通知します。
  • ポリシーのデプロイおよびデプロイ解除
    ポリシーのデプロイまたはデプロイ解除を実行している場合、エンドポイントは通知を送信します。 操作の結果に従って、以下の詳細が更新されます。
    • ポリシーの詳細
    • デプロイのステータス([成功]、[失敗]など)
    • 実行に失敗したポリシー コマンドの selang コマンド出力
    • HNODE ポリシー ステータス([デプロイされました]、[デプロイされましたがエラーがあります]など)
  • ホスト ハートビート
    各エンドポイントは設定可能な一定の間隔でハートビートを送信し、ホストがオンラインであることを確認します。
  • 偏差ステータス
    各ハートビート送信後、エンドポイントはポリシー偏差を計算し、結果(偏差の検出または未検出)を送信します。
    注:
    policyfetcher により、エンドポイントと DH 間でのデプロイメントと偏差のステータスの競合が検出された場合は、エンドポイントから受け取った情報に基づいて競合を解決します。
エンドポイントが DMS を更新する仕組み
各エンドポイントは、設定した DH を使用して、ハートビート(ホスト ステータス)、ポリシー ステータスおよび偏差ステータスに関する通知を DMS に送信します。 このような DMS 通知は以下のようにして処理されます。
  1. DH が通知メッセージを更新ファイルに格納します。
    これは、エンドポイントからのハートビートならびにポリシー デプロイおよびデプロイ解除通知です。
  2. DH がそのサブスクライバである DMS にアクセスします。
    • DMS が使用可能でない場合、すべてのメッセージが正常に送信されるまで DH は定期的に DMS との通信を試行します。
    • DMS が使用可能な場合、DH は格納した通知を送信します。
  3. DMS が各 DH から受け取った情報を、後で使用するために格納します。
    レポートを作成するたびに、
    Privileged Identity Manager
    により DMS から情報が取得されます。
注:
UNIX 認証ブローカー エンドポイントは、DMS を更新するために異なるプロセスを使用します。