階層のセットアップ方法

CA ControlMinder は、Policy Model サービスを使用して、設定された階層全体にルール ベース ポリシー更新を伝達します。複数の CA ControlMinder コンピュータを同じ PMDB にサブスクライブし、ある PMDB を別の PMDB にサブスクライブすることによって、階層を作成します。
cminderpim14jp
CA ControlMinder は、Policy Model サービスを使用して、設定された階層全体にルール ベース ポリシー更新を伝達します。複数の CA ControlMinder コンピュータを同じ PMDB にサブスクライブし、ある PMDB を別の PMDB にサブスクライブすることによって、階層を作成します。
自動的なルール ベース ポリシー更新を有効にするには、以下の手順に従います。
  1. マスタ PMDB を作成し、設定します。
  2. (オプション)サブスクライバ PMDB を作成し、設定します。
  3. サブスクライバの親 PMDB を定義します。このサブスクライバは「
    エンドポイント
    」と呼ばれます。
注:
以下のセクションでは、PMDB 階層のセットアップ方法について説明します。ほかにも、PMDB を作成して階層を設定する方法がいくつかあります。Policy Model ユーティリティの詳細については、「リファレンス ガイド」を参照してください。 
マスタ PMDB の作成と設定
ポリシーを中央から一元管理するには、まずマスタ PMDB を作成して設定します。ローカル ホスト上で sepmdadm コマンドを使用します。
注:
以下の手順では、sepmdadm コマンドを対話形式で入力する方法を説明します。すべての入力に対するコマンド ライン パラメータの使い方については、「リファレンス ガイド」を参照してください。 
以下の手順に従います。
  1. コマンド ラインで以下のコマンドを入力します。
          sepmdadm -i
          CA ControlMinder によって Policy Model データベース管理スクリプト(sepmdadm)が起動され、メニューが表示されます。ここでオプションを選択します。
    2. 「1」を入力して、最初のオプション(マスタ PMDB を作成してサブスクライバを定義する)を選択します。
        スクリプトは、関連する質問をするように設定されています。 
    3. Enter キーを押して続行します。
        続いて、1 つ目の質問が表示されます。
注:
CA ControlMinder が実行中でない場合、CA ControlMinder を起動してからスクリプトを再実行するように警告が発行されます。 
    4. 作成する Policy Model の名前を入力します。
        Policy Model 名が登録され、次に進みます。
注:
PMDB 名の最初の文字は英数字、「-」および「_」にする必要があります。
     5. 指定する最初のサブスクライバ コンピュータの名前を入力します。
          最初のサブスクライバの名前が登録され、次のサブスクライバの名前を入力するように求められます。 
    6. 必要に応じてサブスクライバ名を入力したら、Enter キーを押します。
        すべてのサブスクライバ名が登録され、次に進みます。
注:
各サブスクライバ コンピュータが親 PMDB を参照している必要があります。 
     7. NIS、NIS+、または DNS を実行している場合は、PMDB の変更で NIS/DNS テーブルを更新するかどうかを選択します。
         更新は PMDB 内のユーザおよびグループに対して行われます。テーブルには、ユーザとユーザの特性に関する情報が保存されています。yes を選択すると、Policy Model で更新された UNIX ユーザまたは UNIX グループは、NIS の passwd ファイルと group ファイルでも更新されます。
     8. NIS/DNS テーブルを更新する場合は、「
y
」と入力します。
         ここで、NIS の passwd ファイルと group ファイルの場所を尋ねられます。
     9. NIS パスワード ファイルの完全パスを入力します。
         完全パスが登録され、次に進みます。
     10. NIS グループ ファイルの完全パスを入力します。
           完全パスが登録され、次に進みます。
      11. 「
n
」と入力するか、NIS/DNS テーブルを更新する場合は Enter キーを押します。
            回答が登録され、次に進みます。
     12. PMDB の特別な属性を付与するユーザを入力します。
     13. 必要に応じて CA ControlMinder 管理者名を入力して、Enter キーを押します。
管理者には、PMDB のプロパティを変更する権限があります。
注:
PMDB には、管理者を最低 1 人は定義する必要があります(デフォルトは
root
)。
    14. 必要に応じてエンタープライズ ユーザ管理者名を入力して、Enter キーを押します。
    15. 必要に応じて CA ControlMinder 監査担当者名を入力して、Enter キーを押します。
          監査担当者には、PMDB の監査ログ ファイルを参照する権限があります。 
    16. 必要に応じてエンタープライズ ユーザ監査担当者名を入力して、Enter キーを押します。
    17. 必要に応じて CA ControlMinder パスワード管理者名を入力して、Enter キーを押します。
    18. 必要に応じてエンタープライズ ユーザ パスワード管理者名を入力して、Enter キーを押します。
        パスワード管理者には、PMDB のパスワードを変更する権限があります。
        回答が登録され、次に進みます。
     19. 必要に応じて管理端末を入力したら、Enter キーを押します。
         すべての管理端末が登録され、選択内容が表示されて確認を求められます。
     20. Enter キーを押して選択内容を確定するか、「
n
」と入力してスクリプトを再実行し、新しい入力を指定します。
          選択内容を確定すると、その情報をもとに新しい PMDB が作成されます。
サブスクライバ PMDB の作成と設定
マスタ PMDB を設定した後、階層を拡張する場合は、サブスクライバ PMDB を作成および設定します。ローカル ホスト上で sepmdadm コマンドを使用します。
 
注:
以下の手順では、sepmdadm コマンドを対話形式で入力する方法を説明します。すべての入力に対するコマンド ライン パラメータの使い方については、「リファレンス ガイド」を参照してください。 
以下の手順に従います。
  1. コマンド ラインで以下のコマンドを入力します。
          sepmdadm -i
          CA ControlMinder によって Policy Model データベース管理スクリプト(sepmdadm)が起動され、メニューが表示されます。ここでオプションを選択します。
     2. 「2」を入力して、2 つ目のオプション(サブスクライバPMDB を作成し、そのサブスクライバと親を定義する)を選択します。
         スクリプトは、関連する質問をするように設定されています。
     3. Enter キーを押して続行します。
         続いて、1 つ目の質問が表示されます。
     4. 作成する Policy Model の名前を入力します。
         Policy Model 名が登録され、次に進みます。
     5. 指定する最初のサブスクライバ コンピュータの名前を入力します。
          最初のサブスクライバの名前が登録され、次のサブスクライバの名前を入力するように求められます。
     6. 必要に応じてサブスクライバ名を入力したら、Enter キーを押します。
すべてのサブスクライバ名が登録され、次に進みます。
       7. 親 PMDB の名前を入力します。
         親 PMDB 名が登録され、次に進みます。
 
注:
sepmdadm では、各サブスクライバ データベースに親を 1 つだけ入力できます。ただし、本来はデータベースに複数の親を定義する事ができます。そのためには、pmd.ini 環境設定ファイルの parent_pmd トークンを変更します。このトークンの使用の詳細については、「リファレンス ガイド」を参照してください。
      8. NIS、NIS+、または DNS を実行している場合は、PMDB の変更で NIS/DNS テーブルを更新するかどうかを選択します。
         更新は PMDB 内のユーザおよびグループに対して行われます。テーブルには、ユーザとユーザの特性に関する情報が保存されています。yes を選択すると、Policy Model で更新された UNIX ユーザまたは UNIX グループは、NIS の passwd ファイルと group ファイルでも更新されます。
      9. NIS/DNS テーブルを更新する場合は、「
y
」と入力します。
          ここで、NIS の passwd ファイルと group ファイルの場所を尋ねられます。
      10. NIS パスワード ファイルの完全パスを入力します。
             完全パスが登録され、次に進みます。
       11. NIS グループ ファイルの完全パスを入力します。
             完全パスが登録され、次に進みます。
       12. 「
n
」と入力するか、NIS/DNS テーブルを更新する場合は Enter キーを押します。
            回答が登録され、次に進みます。
      13. PMDB の特別な属性を付与するユーザを入力します。
       14. 必要に応じて CA ControlMinder 管理者名を入力して、Enter キーを押します。
            管理者には、PMDB のプロパティを変更する権限があります。
注:
PMDB には、管理者を最低 1 人は定義する必要があります(デフォルトは
root
)。
      15. 必要に応じてエンタープライズ 管理者名を入力して、Enter キーを押します。
       16. 必要に応じて CA ControlMinder 監査担当者名を入力して、Enter キーを押します。
           監査担当者には、PMDB の監査ログ ファイルを参照する権限があります。
      17. 必要に応じてエンタープライズ ユーザ監査担当者名を入力して、Enter キーを押します。
       18. 必要に応じて CA ControlMinder パスワード管理者名を入力して、Enter キーを押します。
            パスワード管理者には、PMDB のパスワードを変更する権限があります。
      19. 必要に応じてエンタープライズ ユーザ パスワード管理者名を入力して、Enter キーを押します。
             回答が登録され、次に進みます。
       20. 必要に応じて管理端末を入力したら、Enter キーを押します。
            すべての管理端末が登録され、選択内容が表示されて確認を求められます。
      21. Enter キーを押して選択内容を確定するか、「
n
」と入力してスクリプトを再実行し、新しい入力を指定します。
            選択内容を確定すると、その情報をもとに新しい PMDB が作成されます。
サブスクライバ コンピュータの親 PMDB の定義
エンドポイント コンピュータを PMDB のサブスクライバとして設定するには、サブスクライバの名前を PMDB に登録する以外にも操作が必要です。サブスクライバ コンピュータでも操作を実行する必要があります。
サブスクライバ コンピュータに親 PMDB を定義するには、以下の手順に従います。
  1. サブスクライバ コンピュータのコマンド ラインで、sepmdadm を対話モードで起動します。
          sepmdadm -i
          CA ControlMinder によって Policy Model データベース管理スクリプト(sepmdadm)が起動され、メニューが表示されます。ここでオプションを選択します。
     2. 「3」を入力して、3 つ目のオプション(ローカル データベースの親 PMDB とパスワード PMDB を定義する)を選択します。
         スクリプトは、関連する質問をするように設定されています。
     3. Enter キーを押して続行します。
         続いて、1 つ目の質問が表示されます。
注:
CA ControlMinder が実行中の場合、CA ControlMinder を停止してからスクリプトを再実行するように警告が発行されます。
     4. 親 PMDB の名前を入力します。
         親 PMDB の名前が登録され、次に進みます。
     5. 親パスワード PMDB の名前を入力します。
         親パスワード PMDB の名前が登録され、選択内容が表示されて確認を求められます。
      6. Enter キーを押して選択内容を確定するか、「
n
」と入力してスクリプトを再実行し、新しい入力を指定します。
選択内容を確定すると、サブスクライバ コンピュータはこれらの入力内容でセットアップされます。
注:
sepmdadm では、各サブスクライバ データベースに親を 1 つだけ入力できます。ただし、本来はデータベースに複数の親を定義する事ができます。そのためには、seos.ini 環境設定ファイルの parent_pmd トークンを変更します。このトークンの使用の詳細については、「リファレンス ガイド」を参照してください。