ログイン イベントの認識

CA ControlMinder では、プロセスのユーザ ID を変更しようとするすべての試みがログイン イベントとして認識されるわけではありません。 通常、プログラムでは、setuid システム コールを使用してユーザ ID を変更します。 SURROGATE クラスがこれらのイベントを制御します。これらのイベントは、必ずしもログイン イベントとはみなされず、CA ControlMinder から見ると、必ずしもユーザ ID を変更するイベントとは認識されません。
cminder12902jp
CA ControlMinder では、プロセスのユーザ ID を変更しようとするすべての試みがログイン イベントとして認識されるわけではありません。 通常、プログラムでは、setuid システム コールを使用してユーザ ID を変更します。 SURROGATE クラスがこれらのイベントを制御します。これらのイベントは、必ずしもログイン イベントとはみなされず、CA ControlMinder から見ると、必ずしもユーザ ID を変更するイベントとは認識されません。
CA ControlMinder では、ユーザが最初のログイン時に使用した、元のユーザ ID が常に保持されます。 通常の setuid システム コールを実行しても、CA ControlMinder ではユーザ ID の変更は登録されません。
CA ControlMinder が ID の変更を認識するには、このイベントをログイン イベントとして認識する必要があります。 ログイン イベントは、以下のルールを使用して認識されます。
  • ID の変更を試みるプログラムは、ログイン プログラムとして定義されます。 LOGINAPPL クラスのすべてのプログラムがログイン プログラムです。
  • このプログラムは、LOGINAPPL クラスの定義に対応する一連のシステム コールを実行します。
ユーザが(selang または CA ControlMinder エンドポイント管理で)管理セッションを開始すると、CA ControlMinder はダミーのログイン イベントを実行します。 これは実際のログインではなく、ログイン チェックと同様の一定の内部チェックが実行されます。
注:
詳細については、「selang リファレンス ガイド」で LOGINAPPL クラスの SEQUENCE プロパティの説明を参照してください。
管理セッションの開始時には、管理対象のマシンでユーザ名がチェックされます。 管理対象マシンにアクセスするには、セッションを実行する端末の WRITE アクセス権が必要です。
たとえば、ホスト Minerva にログインした状態でホスト Artemis の CA ControlMinder を管理するには、以下の 2 つの条件が満たされている必要があります。
  • Minerva という名前(または適切な完全修飾名)の TERMINAL オブジェクトが Artemis のデータベース レコード内にあること
  • 管理者がこのオブジェクトの ACL に WRITE アクセス権付きで登録されていること
これらの条件は、他のユーザ権限チェックよりも前にチェックされます。 データベースでは、管理者権限も必要です。