拡張ポリシー ベース管理のしくみ
目次
cminder12902jp
目次
拡張ポリシー ベース管理では、ポリシー バージョンを格納、デプロイ、およびデプロイ解除することができると同時に、後でデプロイのステータス、デプロイの偏差、およびデプロイ配布をチェックすることができます。
以下の方法で、高度なポリシー ベースの管理作業を行います。
- ポリシーを作成します。各ポリシーには、1 組の selang コマンド スクリプトが含まれています。 最初のスクリプトは、「デプロイメント スクリプト」で、ポリシーを構成する selang コマンドのセットが含まれています。 2 つ目のスクリプトは、「デプロイ解除スクリプト」と呼び、エンドポイント データベースからポリシーをデプロイ解除(削除)するために必要なコマンドが含まれます。
- Privileged Identity Managerエンタープライズ コンソールまたは policydeploy ユーティリティのいずれかを使用して、DMS にポリシーの詳細を格納します。また、Privileged Identity Managerは次に自動バージョン管理を使用して、ポリシーを格納します。ポリシーの詳細には、ポリシーの説明、デプロイメント スクリプトおよびデプロイメント解除スクリプト、およびポリシーの依存関係含まれています。が
- ポリシーが DMS にすでに存在するかどうかによって、Privileged Identity Managerは以下のいずれかを実行します。
- ポリシー名が DMS に存在しない場合、Privileged Identity Managerはポリシー (policy_name#01)および論理ポリシー オブジェクト(GPOLICY class)の最初のバージョンを作成し、ポリシー バージョンを論理ポリシーのメンバとして追加します。
- ポリシー名が DMS にすでに存在する場合、Privileged Identity Managerにより検出された最新のポリシー バージョンに 1 を加えた新しいポリシー バージョンが作成され、このポリシー バージョンが論理ポリシー(GPOLICY オブジェクト)のメンバとして追加されます。
- その段階であると判断した場合は、Privileged Identity Managerエンタープライズ コンソールまたは policydeploy ユーティリティを使用して、格納されたポリシーをターゲット データベースにデプロイします。Privileged Identity Managerにより、DMS にデプロイメント タスク(DEPLOYMENT オブジェクト)が自動的に作成されます。注:Privileged Identity Managerは、格納されたポリシーの最新のファイナライズされたポリシー バージョンをデプロイします。 作成する新しいポリシー バージョンは、割り当てられたホストに自動的に送信されません。 手動で割り当てられたホストを最新のポリシー バージョンをアップグレードする必要があります。注:Privileged Identity Managerエンタープライズ コンソールは、UNIX 認証ブローカ ログインおよびプロシージャ ポリシーを作成後にデプロイします。 UNIX 認証ブローカ ログインおよび設定ポリシーは UNIX 認証ブローカーのホストに割り当てることのみできます。
- Privileged Identity Managerにより、DMS にデプロイメント パッケージ(GDEPLOYMENT オブジェクト)が自動的に作成されます。デプロイメント パッケージは、前の手順で作成されたすべてのデプロイ タスクをグループ分けします。
- DMS はデプロイ タスクを配布ホスト(DH)に送信します。
- エンドポイントは,(policyfetcher を使用して)新しいポリシー デプロイ タスクがないかどうかを定期的にチェックし、保留中のデプロイメント タスクを DH から取得し、ターゲット データベース上で各ルール(デプロイメント スクリプトで指定された selang コマンド)を実行します。
- エンドポイントは、デプロイメント タスク ステータス(失敗、成功)、失敗したコマンドに関する selang の結果メッセージ、および HNODE 上のポリシー ステータスで DH を更新します。注:ポリシーのデプロイがエラーになった場合、Privileged Identity Managerエンタープライズ コンソール の[デプロイメント監査]を使用して、失敗したコマンドに関する selang の出力を詳述します。 そうしない場合、ポリシーのデプロイがエラーになったコンピュータ上で、ログ ファイルを表示する必要があります。
- DH は、デプロイ タスクのステータスやポリシー ステータスが格納されている DMS でそれらの情報を更新します。
注:
UNIX 認証ブローカー ログイン ポリシーおよび UNIX 認証ブローカー設定ポリシーは、拡張ポリシー ベース管理と同様には機能しません。デプロイメント メソッドがデプロイメント タスクに影響を及ぼす仕組み
格納されたポリシーをターゲット データベースにデプロイすると、
Privileged Identity Manager
は DMS 上にデプロイメント タスクを自動的に作成します。 デプロイメント タスク(DEPLOYMENT オブジェクト)は作業指令であり、エンドポイントで実行するために DMS 別に生成されます。 各デプロイメント タスクは、それぞれ 1 つのエンドポイント用であり、エンドポイントにデプロイする必要があるポリシー バージョンに関する情報が含まれています。注:
Privileged Identity Manager
は、UNIX 認証ブローカー ログイン ポリシーおよび設定ポリシーをデプロイするために、異なるデプロイメント メソッドを使用しています。格納されたポリシーをデプロイするために使用するメソッドは、
Privileged Identity Manager
が作成するデプロイメント タスクに影響します。 以下は、異なるメソッドを使用した結果を示しています。- 1 つ以上のホストへのポリシー(GPOLICY オブジェクト)の割り当ては、各ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
- 1 つ以上のホスト グループへのポリシー(GPOLICY オブジェクト)の割り当ては、ホスト グループの 1 つのメンバである各ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
- 格納されたポリシー(GPOLICY オブジェクト)が割り当てられているホスト グループへのホストの追加は、新規ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
- ホストへのポリシーの再デプロイは、各ホストについて、ポリシーの最新のファイナライズされたバージョンのデプロイメント タスクを作成します。
- HNODE でのポリシーのリストア(ホストでデプロイが必要なポリシーを再デプロイ)は、ホスト上にデプロイする必要がある各ポリシーについて、ホストで有効になっているポリシー バージョンのデプロイメント タスクを作成します。
- 1 つ以上のホストでのデプロイ済みポリシーのアップグレードホストに格納されているポリシー バージョンがホストにデプロイされているポリシー バージョンより新しい場合、 は、各ホストについて、最新のファイナライズされたポリシー バージョンのデプロイメント タスクを作成します。
例: ポリシーのホストへの割り当て
ポリシー IIS をホスト「host1.comp.com」および「host2.comp.com」に割り当てると、
Privileged Identity Manager
は 2 つのデプロイメント タスクを作成します。1 つは最新の IIS ポリシー バージョンを host1.comp.com にデプロイするタスクで、もう 1 つは最新の IIS ポリシー バージョンを host2.comp.com にデプロイするタスクです。例: ポリシーのホスト グループへの割り当て
ホスト グループ「Servers」には、「hostA.comp.com」と「hostB.comp.com」の 2 つのメンバがあります。 ポリシー IIS をホスト グループ「Servers」に割り当てると、
Privileged Identity Manager
では 2 つのデプロイメント タスクが作成されます。1 つは最新の IIS ポリシー バージョンを「hostA.comp.com」にデプロイするタスクで、もう 1 つは最新の IIS ポリシー バージョンを「hostB.comp.com」にデプロイするタスクです。例: ホストの割り当て済みポリシーを持つホスト グループへの追加
ホスト グループ Servers は 2 つの割り当て済みポリシー(「IIS」と「ORACLE」)を持っています。 ホスト test.comp.com をホスト グループに追加すると、
Privileged Identity Manager
は 2 つのデプロイメント タスクを作成します。1 つは最新の IIS ポリシー バージョンを test.comp.com にデプロイするタスクで、もう 1 つは最新の ORACLE ポリシー バージョンを test.comp.com にデプロイするタスクです。例: ホストのリストア
ホストには、policy1 と policy2 の 2 つのポリシーが割り当てられています。 ホストをリストアすると、
Privileged Identity Manager
は 2 つのデプロイメント タスクを作成します。1 つは最新のファイナライズされた policy1 バージョンをホストにデプロイするタスクで、もう 1 つは最新のファイナライズされた policy2 バージョンをホストにデプロイするタスクです。例: デプロイ済みポリシーのアップグレード
ポリシー IIS は 2 つのホスト、host1.comp.com および host2.comp.com 上にデプロイされていますが、ポリシー IIS の最新バージョンは host1.comp.com にデプロイされていません。 両方のホスト上でポリシー IIS をアップグレードすると、
Privileged Identity Manager
は 1 つのデプロイメント タスクのみを作成して、最新の IIS ポリシー バージョンを host1.comp.com にデプロイします。DMS が保持するエンドポイント データ
環境に拡張ポリシー管理を設定すると、企業内のエンドポイントは設定された DH 経由で、以下の 3 種類のステータス変更を DMS に通知します。
- ポリシーのデプロイおよびデプロイ解除ポリシーのデプロイまたはデプロイ解除を実行している場合、エンドポイントは通知を送信します。 操作の結果に従って、以下の詳細が更新されます。
- ポリシーの詳細
- デプロイのステータス([成功]、[失敗]など)
- 実行に失敗したポリシー コマンドの selang コマンド出力
- HNODE ポリシー ステータス([デプロイされました]、[デプロイされましたがエラーがあります]など)
- ホスト ハートビート各エンドポイントは設定可能な一定の間隔でハートビートを送信し、ホストがオンラインであることを確認します。
- 偏差ステータス各ハートビート送信後、エンドポイントはポリシー偏差を計算し、結果(偏差の検出または未検出)を送信します。注:policyfetcher により、エンドポイントと DH 間でのデプロイメントと偏差のステータスの競合が検出された場合は、エンドポイントから受け取った情報に基づいて競合を解決します。
エンドポイントが DMS を更新する仕組み
各エンドポイントは、設定した DH を使用して、ハートビート(ホスト ステータス)、ポリシー ステータスおよび偏差ステータスに関する通知を DMS に送信します。 このような DMS 通知は以下のようにして処理されます。
- DH が通知メッセージを更新ファイルに格納します。これは、エンドポイントからのハートビートならびにポリシー デプロイおよびデプロイ解除通知です。
- DH がそのサブスクライバである DMS にアクセスします。
- DMS が使用可能でない場合、すべてのメッセージが正常に送信されるまで DH は定期的に DMS との通信を試行します。
- DMS が使用可能な場合、DH は格納した通知を送信します。
- DMS が各 DH から受け取った情報を、後で使用するために格納します。レポートを作成するたびに、Privileged Identity Managerでは DMS から情報が取得されます。
注:
UNIX 認証ブローカー エンドポイントは、DMS を更新するために異なるプロセスを使用します。