SURROGATE クラス
SURROGATE クラスの各レコードは、あるユーザの ID を他のユーザが変更しようとしたときに保護する制約を定義します。 では、ID 変更要求を、権限を持つユーザのみがアクセスできる抽象オブジェクトとして処理します。
cminder12902jp
SURROGATE クラスの各レコードは、あるユーザの ID を他のユーザが変更しようとしたときに保護する制約を定義します。
Privileged Identity Manager
では、ID 変更要求を、権限を持つユーザのみがアクセスできる抽象オブジェクトとして処理します。SURROGATE クラスのレコードは、代理保護が適用される各ユーザまたはグループを表します。 特別な 2 つのレコード、USER._default および GROUP._default は、個別の SURROGATE レコードを持たないユーザおよびグループを表します。 ユーザのデフォルトとグループのデフォルトを区別する必要がない場合は、代わりに SURROGATE クラスに _default レコードを使用できます。
注:
Windows の多くのユーティリティおよびサービス([名前を指定して実行] など)では、それを実行している元のユーザとしてではなく、ユーザ 「NT AUTHORITY\SYSTEM
」として識別されます。 これらのユーティリティおよびサービスを使用するユーザが別のユーザとして実行できるようにするには、Privileged Identity Manager
データベースにこの SYSTEM ユーザを作成し、ターゲット ユーザとして実行する権限を与える必要があります。SURROGATE クラス レコードのキーは、SURROGATE レコードの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「
情報のみ
」と記載されます。- ACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- アクセサアクセサを定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。
- CALACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
- アクセサアクセサを定義します。
- カレンダUnicenter TNG のカレンダへの参照を定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。
カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。 - CALENDARPrivileged Identity Managerのユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。Privileged Identity Managerにより、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
- CATEGORYユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
- COMMENTレコードに含める追加情報を定義します。Privileged Identity Managerは、この情報を許可に使用しません。制限:255 文字。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- GROUPSリソース レコードが属する CONTAINER クラスのレコードのリストを定義します。クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの mem+ または mem- パラメータを使用します。
- NACLリソースのNACLプロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。
- アクセサアクセサを定義します。
- Accessアクセサに対して拒否されるアクセス タイプを定義します。
- NOTIFYリソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。Privileged Identity Managerでは、指定したユーザ宛に監査レコードを電子メールで送信できます。制限:30 文字。
- OWNERレコードを所有するユーザまたはグループを定義します。
- PACLアクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
- アクセサアクセサを定義します。
- プログラム指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。注:PACL のリソースの指定にはワイルドカード文字を使用できます。プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(pgm) パラメータを使用します。 アクセサを PACL から削除するには、authorize- コマンドを使用します。
- RAUDITPrivileged Identity Managerが監査ログに記録するアクセス イベントのタイプを定義します。 RAUDIT という名前はResourceAUDITの短縮形です。 有効な値は以下のとおりです。
- allすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
- Privileged Identity Managerでは、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたか、については記録されません。
- SECLABELユーザまたはリソースのセキュリティ ラベルを定義します。注:SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。
- SECLEVELアクセサまたはリソースのセキュリティ レベルを定義します。注:このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。
- UACCリソースに対するデフォルトのアクセス権限を定義します。これは、Privileged Identity Managerに定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
- UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。
- WARNING警告モードを有効にするかどうかを指定します。 リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。
例 1:
この例では、SURROGATE ルールが、ユーザ「john」が「root」ユーザに切り替えて特権操作を実施するのを拒否する方法を示します。手順 1:
ユーザ「john」を作成します。AC> nu john pass(john)
手順 2:
ユーザ「John」から「root」を保護する SURROGATE ルールを記述します。AC> er SURROGATE USER.root owner(root) defacc(r)AC> auth SURROGATE USER.root uid(john) access(n)
手順 3:
「john」が「su」を使用して root に切り替えることができるかどうかを確認します。SURROGATE ルールは、「john」が「root」アカウントに切り替えるのを制限します。
例 2
: この例では、SURROGATE ルールが、ユーザ「smith」が別のユーザ「john」に切り替わるのを拒否する方法を示します。手順 1:
ユーザ「smith」を作成します。AC> nu smith pass(smith)
手順 2:
ユーザ「john」を作成します。 AC> nu john pass(john)
手順 3:
「smith」から「john」を保護する SURROGATE ルールを記述します。AC> er SURROGATE USER.john owner(john) defacc(r)AC> auth SURROGATE USER.john uid(smith) access(n)
手順 4:
「smith」が「su」を使用して「john」に切り替えることができるかどうかを確認します。SURROGATE ルールは、「smith」が「john」アカウントに切り替えるのを制限します。
例 3:
SURROGATE ルールを使用してユーザ グループを保護する例です。手順 1:
グループ「finance」を作成します。AC> ng finance unix
手順 2:
グループ「engineering」を作成します。AC> ng engineering unix
手順 3:
ユーザ「john」を作成し、このユーザを「finance」グループに加入させます。AC> nu john pass(john)AC> eu john unix pgroup(finance)
手順 4:
ユーザ「smith」を作成し、この「engineering」グループに加入させます。AC> nu smith pass(smith)AC> eu smith unix pgroup(engineering)
手順 5:
「engineering」のユーザが「finance」グループのユーザに切り替えるのを防ぎます。AC> er SURROGATE GROUP.finance defacc(r)AC> auth SURROGATE GROUP.finance gid(engineering) access(n)
手順 6:
「engineering」の「smith」としてログインし、「finance」グループのユーザ「john」に切り替えようとします。 SURROGATE ルールによってアクセスが拒否されることが分かります。企業で SURROGATE ポリシーを実装する理想的な方法は、プログラム /opt/CA/AccessControl/bin/sesu を介してアクセスする SURROGATE ルールを作成することです。
元の「su」プログラムは別の場所にバックアップされ、/opt/CA/AccessControl/bin/sesu へのリンクとして作成されます。 この方法では、ユーザが「sesu」プログラムを使用してのみ、別のアカウントに切り替えるようにします。 この実装の場合、例 1 は、すべてのユーザが「sesu」プログラムを使用して「root」に切り替わることを許可され、ユーザ「john」が root へ切り替えるアクセスを特別に拒否するように変更されます。
AC> SURROGATE USER.root owner(root) defacc(n)AC> auth SURROGATE USER.root uid(*) via(pgm(/opt/CA/AccessControl/bin/sesu))AC> auth SURROGATE USER.root uid(john) access(n)