ホスト アクセス制御および UNAB 設定の仕組み

目次
cminder12902jp
目次
Privileged Identity Manager
エンタープライズ コンソールから、UNIX ホストへのユーザおよびグループのアクセスを制御し、UNAB ホストを設定できます。 UNIX ホストへのユーザおよびグループのアクセス制御は、ホストへのログインが許可されたユーザおよびグループにのみアクセス権を付与することで行います。
UNAB ホストの設定方法は、ホストへのアクセスを制御する場合と同じです。
Privileged Identity Manager
エンタープライズ コンソールを使用して、企業内の UNAB ホストの機能を制御し、それをすべてのホストに適用します。
ユーザおよびグループのログイン権限の付与、またはトークン値の定義を行った後、
Privileged Identity Manager
エンタープライズ コンソールは情報をポリシーに変換し、以下の操作を行います。
  1. ユーザおよびグループのリストまたは設定パラメータが含まれたデプロイメント パッケージを作成し、そのパッケージを、ポリシーが適用されるホストまたはホスト グループへ割り当てます。
  2. ホストに配布するため、パッケージを配布サーバに転送します。
UNAB は配布サーバからパッケージを取得し、ポリシーをインストールし、
Privileged Identity Manager
エンタープライズ コンソールに確認メッセージを送信します。
注:
エンタープライズ ログイン ポリシーおよび UNAB ログイン ポリシーの両方をホストにデプロイした場合、エンタープライズ ログイン ポリシーは UNAB ログイン ポリシーよりも優先されます。
UNAB ログイン認証の管理
UNAB ホストまたはホスト グループへのユーザ ログインを制御するために、アクセスが許可されたユーザまたはグループのリストを作成します。 次に、このリストは、
Privileged Identity Manager
エンタープライズ コンソールが選択したホストまたはホスト グループに割り当てデプロイするポリシーへ変換されます。 ログイン ポリシー名は「ログイン@
ホスト名
」形式で指定されます。
注:
ポリシーのデプロイメント ステータスを表示するには、[デプロイメント監査]タスクを使用できます。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ コンソールで、[ポ
    リシー管理]
    -[U
    NIX 認証ブローカ]
    -[ホ
    スト]
    または[ホ
    スト グループ]
    をクリックします。
  2. 必要に応じて、以下の
    いずれか
    を実行します。
    • ホスト ログイン認証の管理
      ]をクリックします。
      [ホスト ログイン権限の管理: ホスト検索]画面が表示されます。
    • ホスト グループ ログイン権限の管理
      ]をクリックします。
      [ホスト グループ ログイン権限の管理: ホスト グループ検索]画面が表示されます。
  3. 変更するホストまたはホスト グループの名前を入力し、[
    検索
    ]をクリックします。
    フィルタ条件に一致するホストまたはホスト グループのリストが表示されます。
  4. 変更するホストまたはホスト グループを選択し、[
    選択
    ]をクリックします。
    [ホスト ログイン権限の管理:
    ホスト名
    ]または[ホスト グループ ログイン権限の管理:
    ホスト グループ名
    ]ページが表示されます。
  5. (オプション)以下のようにして、ユーザを追加します。
    1. ドロップダウン メニューから[
      ユーザ
      ]を選択します。
    2. ユーザの名前を「
      ドメイン/ユーザ
      」の形式で入力します。
    3. 追加
      ]をクリックします。
      追加したユーザは、[許可されたユーザおよびグループ]リストに表示されます。
  6. (オプション)以下のようにして、グループを追加します。
    1. ドロップダウン メニューから[
      グループ
      ]を選択します。
    2. 追加するグループの名前を入力します。
    3. 追加
      ]をクリックします。
      追加したグループは、[許可されたユーザおよびグループ]リストに表示されます。
  7. (オプション)以下のようにして、ユーザおよびグループを削除します。
    1. 認証済みユーザおよびグループ リストから、削除するユーザおよびグループを選択します。
    2. 削除
      ]をクリックします。
      選択したユーザおよびグループは、認証済みユーザおよびグループ リストから削除されます。
  8. [サブミット]
    をクリックします。
    ユーザおよびグループのリストが、指定されたホストまたはホスト グループに割り当てられます。
UNAB ホストまたはホスト グループの設定
UNAB ホストおよびホスト グループを管理する構成設定を定義できます。
Privileged Identity Manager
エンタープライズ コンソールは、UNAB 環境設定ファイル(uxauth.ini)または
Privileged Identity Manager
環境設定ファイル(accommon.ini)内の設定値の設定に役立ちます。 構成設定の値の設定終了後、
Privileged Identity Manager
エンタープライズ コンソールは、更新済み設定値を含む構成ポリシーを作成し、それをホストまたはホスト グループに割り当てます。 ポリシーは、「config@
ホスト名
」形式で命名されます。
注:
ポリシーのデプロイメント ステータスを表示するには、[デプロイメント監査]タスクを使用できます。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ コンソールで、[ポ
    リシー管理]
    -[U
    NIX 認証ブローカ]
    -[ホ
    スト]
    または[ホ
    スト グループ]
    をクリックします。
  2. 必要に応じて、以下の
    いずれか
    を実行します。
    • UNAB ホストの設定
      ]をクリックします。
      [UNAB ホストの設定: ホスト検索]画面が表示されます。
    • UNAB ホスト グループの設定
      ]をクリックします。
      [UNAB ホスト グループの設定: ホスト グループ検索]画面が表示されます。
  3. 変更するホストまたはホスト グループの名前を入力し、[
    検索
    ]をクリックします。
    フィルタ条件に一致するホストまたはホスト グループのリストが表示されます。
  4. 変更するホストまたはホスト グループを選択し、[
    選択
    ]をクリックします。
    [UNAB 設定:
    ホスト名
    ]または[UNAB 設定:
    ホスト グループ名
    ]画面が表示されます。
  5. 変更するセクションとトークンを選択し、[
    トークンの追加
    ]をクリックします。
    選択した設定トークンが表示されます。
  6. 設定トークンの値を変更します。
    注:
    設定トークンの詳細については、「
    リファレンス ガイド
    」を参照してください。
  7. (オプション)変更する別のセクションおよびトークンを選択して[
    トークンの追加
    ]をクリックし、必要に応じて設定トークンの値を変更します。
  8. [サブミット]
    をクリックします。
    Privileged Identity Manager
    エンタープライズ コンソールにより、選択された UNAB ホストまたはホスト グループ上の環境設定トークンの値が設定されます。
Privileged Identity Manager
エンタープライズ コンソールのホストへのポリシーのコミットの確認
権限リストと設定リストの作成後、[デプロイメント監査]オプションで、
Privileged Identity Manager
エンタープライズ コンソールが変更を UNAB ホストにコミットしたことを確認できます。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ コンソールで、[ポ
    リシー管理]
    -[ポ
    リシー]
    -[デ
    プロイメント]
    -[デ
    プロイメント監査]
    をクリックします。
    [デプロイメント監査]検索画面が開きます。
  2. ホストおよび表示するポリシーを選択して、[
    実行
    ]をクリックします。
    クエリの検索結果が表示されます。
    注:
    ログイン ポリシーには、プレフィックス「
    login@
    」が含まれています。
  3. 結果行をクリックして、デプロイメント タスクのステータスおよび出力を表示します。
ユーザおよびグループを Active Directory に移行する方法
ユーザを UNIX ホストから Active Directory に移行すると、管理タスクを単一の管理アプリケーションに統合できるため、UNIX ホスト上でのユーザおよびグループの管理が容易になります。
ユーザおよびグループを Active Directory に移行するには、以下の手順に従います。
  1. 移行プロセスをエミュレーション モードで実行します。
    エミュレーション モードでは、UNAB はユーザおよびグループを Active Directory に移行しません。 見つかった場合、UNAB は競合をログ ファイルに記録します。ログ ファイルは、ユーザおよびグループ属性の競合の可能性について報告します。 デフォルトでは、UNAB 競合ファイル(migrate.conflicts)は以下のディレクトリに存在します。
    /opt/CA/uxauth/log
  2. 競合ファイルをダウンロードします。
    競合ファイルは、
    Privileged Identity Manager
    エンタープライズ コンソールから CVS 形式でホストからダウンロードします。
    注:
    CSV をダウンロードするには、スケジュールされた次のレポート スナップショットが完了するまで待機する必要があります。
  3. Active Directory に移行する各ローカル アカウントに対応する Active Directory アカウントを作成します。
    UNAB は、既存の Active Directory ユーザ アカウントを持っているユーザのみを移行します。
    注:
    ユーザ アカウントを作成するときに UNIX 属性を指定する必要はありません。 Active Directory 内にグループを作成する必要はありません。グループは移行処理中に移行ツールによって作成されます。
  4. 競合を解決する CSV ファイルをホストにアップロードします。
    UNAB は移行プロセスを再開し、解決されたアカウントおよびグループを移行します。
  5. 移行終了後に移行ファイルを再度確認して、ファイルで前回報告されていたアカウントおよびグループが正常に移行されたことを確認します。
注:
UNIX エンドポイントがネットワーク情報サービス(NIS)クライアントである場合、UNAB は、NIS ユーザを Active Directory に移行しません。
移行競合の解決
UNAB は、移行処理中に検出された競合を競合ファイルに記録します。 このファイルには、ローカル ホストから Active Directory へのユーザとグループの移行を妨害した競合の原因の詳細が記録されます。
競合ファイルを CSV ファイルへエクスポートし、スプレッドシートをコンピュータにダウンロードし、競合を調査して解決します。 変更したスプレッドシートは、後で再び
Privileged Identity Manager
エンタープライズ コンソールにアップロードできます。エンタープライズ コンソールは、アップロードされたスプレッドシートをメッセージ キューに送信します。 UNAB は、このファイルを取得し、移行プロセスを再実行して、移行されなかったユーザおよびグループを移行します。
注:
ホスト グループを移行すると、競合ファイルをダウンロードできません。 しかし、修正された競合ファイルをアップロードして、移行プロセスにおける競合を解決することができます。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ コンソールで、[ポ
    リシー管理]
    -[U
    NIX 認証ブローカ]
    -[ホ
    スト]
    または[ホ
    スト グループ]
    をクリックします。
  2. 必要に応じて、以下の
    いずれか
    を実行します。
    • ホスト移行競合の解決
      ]をクリックします。
      [ホスト移行競合の解決: ホスト検索]画面が表示されます。
    • ホスト グループ移行競合の解決
      ]をクリックします。
      [ホスト グループ移行競合の解決: ホスト グループ検索]画面が表示されます。
  3. 競合を解決するホストまたはホスト グループの名前を入力し、[
    検索
    ]をクリックします。
    フィルタ条件に一致するホストまたはホスト グループのリストが表示されます。
  4. 競合を解決するホストまたはホスト グループを選択し、[
    選択
    ]をクリックします。
    [UNAB 移行:
    ホスト名
    ]または[UNAB 移行:
    ホスト グループ名
    ]ページが表示されます。
  5. (オプション) ホスト移行用の競合ファイルをダウンロードし、以下の手順で、競合を解決します。
    1. [UNAB 移行競合詳細のダウンロード]セクションで、[エクスポートとダウンロード]リンクを選択します。
      ダイアログ ウィンドウが開きます。
    2. ファイルの保存場所に移動し、[
      保存
      ]を選択します。
      CSV ファイルが指定された場所へダウンロードされます。
    3. CSV ファイルを開き、ファイル内で報告されている競合を解決し、ファイルを保存して閉じます。
  6. (オプション) ホスト グループ移行に関して、競合を解決する CSV ファイルを作成し、保存します。
  7. ホストまたはホスト グループの移行の競合を解決する CSV ファイルを、以下のようにしてアップロードします。
    1. [UNAB 移行ソリューションのアップロード]セクションで、[
      参照
      ]を選択します。
      ダイアログ ウィンドウが開きます。
    2. ファイルを参照して[
      開く
      ]をクリックします。
    3. アップロード
      ]をクリックします。
      ファイルがアップロードされます。
  8. [サブミット]
    をクリックします。
    Privileged Identity Manager
    エンタープライズ コンソールによりファイルがメッセージ キューに送信されます。 UNAB はキューからファイルを取得し、移行プロセスを再開して、解決されたアカウントおよびグループの移行を試行します。
  9. 移行終了後に移行ファイルを再度確認して、ファイルで前回報告されていたアカウントおよびグループが正常に移行されたことを確認します。
注:
Active Directory に同じ名前のユーザまたはグループが存在する場合、そのユーザまたはグループを移行することはできません。 たとえば、g1 という名前のグループを移行しようとしている場合、Active Directory に g1 という名前のユーザが存在すると、UNAB はそのグループを移行できません。
例: UNAB 競合ファイルの出力
以下の例は、移行処理中に作成された UNAB 競合ファイル出力の一部です。
*** Conflict Details as found by the CA Access Control UNAB Migration tool at 12/29/10 10:49 *** *** CRITICAL Conflicts:*** *** The next found conflicts prevent the user/group migration and need the intervention *** *** of the system administrator as they cannot be solved by the migration tool.*** User 'John' conflicts: User 'John' from domain 'development.computer.com' is assigned id '47670' and Unix id is '300821' User 'John' from domain 'development.computer.com' is assigned primary group '47670' and Unix primary group is '1011' User 'John' from domain 'development.computer.com' is assigned home directory '/home/aletestu' and Unix home directory is '/home/john1' User 'John' from domain 'development.computer.com' is assigned shell '/sbin/nologin' and Unix shell is '/bin/bash' *** AUTOMATIC Conflicts:*** *** Migration tool will try to solve the next found conflicts when run in "administrative mode", *** ***if not solved this conflicts will prevent the user/group migration Group 'alegcheck' conflicts: Cannot add members to Active Directory group 'dev_users' because UNIX group 'dev_users' contains member[s] that do not exist in domain 'development.computer.com'. UNIX group 'alegcheck' members: aleucheck1;aleucheck2 User 'John1' conflicts: User 'John1' from domain 'development.computer.com' has no UNIX attributes. *** IGNORED Conflicts:*** *** The next found Conflicts are shown for informational purpose, they will be ignored for ***while migration the user/group*** User 'John' conflicts: User 'John' from domain 'development.computer.com' is assigned gecos '' and Unix gecos is 'gecos of John' User 'John' primary group '1011' was not migrated
この例では、UNAB によって以下の重大な競合が報告されました。
  • ユーザ 'john' には以下の属性が存在しない
    • ユーザ ID (47670)が UNIX ユーザ ID (300821)と競合する
    • ユーザ プライマリ グループ(47670)が Active Directory グループ(1011)と競合する
    • ユーザ ホーム UNIX ディレクトリ(home/john1)が Active Directory ホーム ディレクトリ設定(/home/john)と競合する
    • ユーザ UNIX シェル(/bin/bash)が Active Directory シェル属性(/sbin/nologin)と競合する
UNAB によって以下の競合が報告されました。UNAB は、次回移行プロセス実行時にこれらの競合を解決します。
UNIX グループ(dev_users)が Active Directory に存在しない
  • ユーザ 'john1' に対して UNIX 属性が設定されていない
<una> によって以下のマイナー競合が報告されました。移行プロセス中、これらの競合は無視されます。
  • ユーザ gecos ("") が UNIX 割り当て gecos (john の gecos)と競合する
  • ユーザ プライマリ グループ(1011)が移行されていない
例: UNAB 競合解決ファイル
以下の例は、UNAB が競合ファイルで報告した競合を解決するために作成する UNAB 競合解決 CSV ファイルの一部です。 CSV ファイルを UNAB ホストにサブミットするには、
Privileged Identity Manager
エンタープライズ コンソールを使用します。
Solution Entity Type
Solution Entity Name
Solution Operation
ソリューション AD マッピング名
Conflicts
UID
Home Directory
GID
所属先
Members
GECOS
USER
superuser
 
root
Group Migration,NO AD
1
/home/superuser/
1
 
 
 
この例では、競合解決 CSV ファイルには以下が含まれます。
  • ソリューション エンティティ タイプ -- USER
  • ソリューション エンティティ名 -- superuser
  • ソリューション AD マッピング名 -- root
  • 競合 -- Active Directory に見つからないユーザ グループ
  • UID -- 1
  • ホーム ディレクトリ -- /home/superuser/
  • GID -- 1
注:
ユーザの移行の詳細については、「
実装ガイド
」を参照してください。