端末統合の設定
端末統合を設定する前に、以下の点を確認します。
cminder12901jp
端末統合を設定する前に、以下の点を確認します。
- 端末統合を設定する特権アカウントがPrivileged Identity Managerエンタープライズ コンソール内に存在することを確認します。
- 端末統合がエンドポイント上で有効であること。つまり、PUPMAgent セクション内の EnableLogonIntegration 環境設定の値が 1 であること。注:SAM 統合機能が有効なPrivileged Identity Managerをインストールする場合、端末統合はデフォルトで有効です。 端末統合を有効にしていながら設定していない場合、Privileged Identity Managerはどのアカウントに対しても端末統合を強制しません。
- policyfetcher が設定され、エンドポイント上で実行されていることを確認します。
- (UNIX)Privileged Identity Managerは、エンドポイントに接続するために使用されるログイン プログラムに対して、PAM ログイン インターセプトを使用します。たとえば、ユーザが SSH を使用してエンドポイントに接続する場合、Privileged Identity Managerが PAM ログイン インターセプトを使用して SSH ログインにインターセプトすることを確認します。注:PAM ログイン インターセプトおよび LOGINAPPL クラスの詳細については、「selang リファレンス ガイド」を参照してください。
次の手順では、単一の特権アカウント用の端末統合を設定する方法について説明します。 複数のエンドポイント上の同じ名前の特権アカウントには、端末統合を設定するポリシーを使用できます。
以下の手順に従います。
- Privileged Identity Managerエンタープライズ コンソールで、[ユーザ]タブ、[ユーザ]サブタブの順にクリックし、端末統合を設定する特権アカウントを検索します。注:Privileged Identity Managerエンタープライズ コンソールにおけるユーザの管理方法の詳細については、オンライン ヘルプを参照してください。
- 特権アカウントを選択します。[ユーザの変更]タスク ページに[全般]タブが表示されます。
- [アカウント]セクションで以下のオプションのいずれか、または両方を選択します。
- 元の ID の使用監査レコードの書き込みおよび許可に関する決定を行う際に、Privileged Identity Managerが特権アカウント ユーザ名ではなく、特権アカウントをチェックアウトしたユーザの名前を使用するように指定します。
- ログイン前にアカウントのチェックアウトが必要です。この特権アカウントでエンドポイントにログインするために、ユーザが自動ログインを使用する必要があることを指定します。 自動ログインによって、ユーザはパスワードをチェックアウトし、Privileged Identity Managerエンタープライズ コンソールからエンドポイントに自動的にログインできます。
- [保存]をクリックします。特権アカウント用の端末統合を有効にして設定しました。
例: 端末統合を設定するポリシー
以下のポリシーは、administrator という名前のアカウント用の端末統合を設定します。 ポリシーは
Privileged Identity Manager
が監査レコードを書き込み、許可の判断を下す際に、元のユーザ名を使用することを指定します。また、管理者としてエンドポイントにログインするには自動ログインを使用する必要があることも指定します。editusr administrator pupm_flags(use_original_identity) editusr administrator pupm_flags(required_checkout)
sesu 用パスワード コンシューマの作成
端末統合を有効にして設定した特権アカウントで sesu ユーティリティを実行するには、sesu 用パスワード コンシューマを作成します。
以下の手順に従います。
- で、[Privileged Identity Managerエンタープライズ コンソール特権アカウント]-[パスワード コンシューマ]-[パスワード コンシューマの作成]をクリックします。[パスワード コンシューマの作成: パスワード コンシューマ検索]画面ページが表示されます。
- 新規作成するか、または既存のパスワード コンシューマを選択して、そのコピーを作成できます。 [OK]をクリックします。
- [全般]タブで以下のフィールドに入力します。名前パスワード コンシューマの以下の名前を指定します。/opt/CA/AccessControl/bin/sesu説明(オプション)パスワード コンシューマを説明する情報を指定します(自由書式)。コンシューマ タイプパスワード コンシューマの以下のタイプを指定します。Software Development Kit (SDK/CLI)アプリケーション パスエンドポイントでのパスワード コンシューマの完全パス名を指定します。 Software Development Kit パスワード コンシューマの場合には、パスワードの要求を実行するアプリケーションの以下のパス名を指定します。値:/opt/CA/AccessControl/bin/sesu有効パスワード コンシューマの有効化を指定します。
- [特権アカウント]タブをクリックして、パスワード コンシューマに関連付けられている特権アカウントを指定します。
- [ホスト]タブをクリックします。 次に、パスワード コンシューマが特権アカウント パスワードを取得するホストまたはホスト グループを指定します。 または [すべてのホスト]を選択して、特権アカウント パスワードに対して、すべてのホストまたはホスト グループへのアクセス権を付与します。
- [ユーザ]タブをクリックして、特権アカウントのパスワードを要求できるユーザまたはグループを指定します。 または、[すべてのユーザ]を選択して、すべてのユーザが特権アカウントのパスワードを要求できるようにします。
- [サブミット]をクリックします。