변수 사용 지침

목차
cminder12901kr
목차
변수를 사용할 때 다음과 같은 지침을 따라야 합니다.
  • 다른 변수나 정책이 사용하는 변수는 삭제할 수 없습니다.
  • 변수는 여러 값을 가질 수 있습니다. 변수 값을 추가 또는 제거할 수 있습니다.
  • 변수는 중첩될 수 있습니다. 예를 들어, 다음 규칙은 기본 제공되는 <!AC_ROOT_PATH> 변수를 포함하는 ac_data란 이름의 변수를 정의합니다.
    editres ACVAR ac_data value("<!AC_ROOT_PATH>\data")
    기본 설치된
    Privileged Identity Manager
    가 있는 Windows 끝점이 이 규칙을 준수하면 다음 규칙이 만들어집니다.
    editres ACVAR ac_data value("C:\Program Files\CA\AccessControl\data")
  • 각 변수는 하나의 유형만 가질 수 있으므로, 예를 들어 변수를 정적 변수인 동시에 레지스트리 값 변수로 정의할 수 없습니다.
  • 정의되지 않은 변수를 포함하는 정책을 배포할 수 없습니다. 정의되지 않은 변수를 포함하는 정책을 배포하면 이 이 정책의 배포 상태가 "배포 보류"로 변경됩니다. 정책을 배포하려면 우선 정의되지 않은 변수를 정의한 다음 정책을 다시 배포해야 합니다.
    참고:
    정책에서 정의되지 않은 변수를 찾으려면 정책의 DEPLOYMENT 개체를 검토하십시오.
    Privileged Identity Manager
    는 정책 검사의 활성화 여부에 관계없이 정의되지 않은 변수를 검사합니다.
  • Privileged Identity Manager
    Privileged Identity Manager
    변수와 Windows 시스템 변수를 결합하는 규칙을 해석할 수 없습니다. 예를 들어,
    Privileged Identity Manager
    는 이름이 var1인 변수를 정의하는 다음 규칙을 해석할 수 없습니다.
    editres ACVAR var1 value("%SYSTEMROOT%\temp")
    %SYSTEMROOT%를
    Privileged Identity Manager
    변수로 정의하고 %SYSTEMROOT%\temp를 보호하는 정책을 만들려면 다음 규칙을 사용합니다.
    editres ACVAR var1 value("SYSTEMROOT") type(osvar) editres ACVAR var2 value("<!var1>\temp")
  • Privileged Identity Manager
    는 서로 종속된 변수를 확인할 수 없습니다. 예를 들어,
    Privileged Identity Manager
    는 다음 예에서 변수 var1과 var2를 해석할 수 없습니다.
    editres ACVAR var1 value("<!var2>") editres ACVAR var2 value("<!var1>")
  • 슬래시를 사용하여 변수에서 디렉터리를 정의할 때
    Privileged Identity Manager
    는 Windows 및 UNIX 끝점에 대해 슬래시를 올바른 방향으로 해석합니다.
  • selang 규칙을 사용하여 변수를 정의하는 경우 정책을 사용하여 규칙을 끝점에 배포해야 합니다. selang 규칙을 사용하여 끝점에 있는
    Privileged Identity Manager
    데이터베이스를 직접 업데이트하면
    Privileged Identity Manager
    는 이 규칙을 컴파일할 수 없습니다. 예를 들어, 끝점에서 jboss_home이란 이름의 변수를 정의하고 다음 selang 규칙으로 데이터베이스를 직접 업데이트했다고 가정합니다.
    editres FILE <!jboss_home> audit(all)
    Privileged Identity Manager
    는 이 규칙을 컴파일할 수 없지만 대신 데이터베이스에 <!jboss_home>이라는 FILE 개체를 만듭니다.
UNIX 끝점에서 운영 체제 변수를 사용하기 위한 지침
UNIX에 해당
Privileged Identity Manager
운영 체제 변수(osvar 유형의 ACVAR 개체)는 UNIX 환경 변수의 값을 사용합니다. 각 UNIX 프로세스는 자체 환경 변수 세트가 있으므로 UNIX 끝점에서 운영 체제 변수를 사용하지 않는 것이 좋습니다.
UNIX 끝점에서 운영 체제 변수를 사용하는 경우에는
Privileged Identity Manager
를 시작하기 전에 반드시 필요한 환경 변수를 설정하고 내보내야 합니다. UNIX 끝점에서 운영 체제 변수를 사용할 때는 다음 지침을 준수해야 합니다.
  • 컴퓨터가 부팅할 때
    Privileged Identity Manager
    를 시작하기 위해 rc startup 스크립트를 사용하는 경우
    Privileged Identity Manager
    를 시작하기 전에 이 스크립트가 환경 변수를 설정하고 내보내는지 확인합니다.
  • 사용자가
    Privileged Identity Manager
    를 중지하고 다시 시작하는 경우 사용자는
    Privileged Identity Manager
    를 다시 시작하기 전에 자신의 세션에서 환경 변수를 설정하고 내보내야 합니다.
Windows 끝점에서 운영 체제 변수를 사용하기 위한 지침
Windows에 해당
Privileged Identity Manager
운영 체제 변수(osvar 유형의 ACVAR 개체)는 Windows 환경 변수의 값을 사용합니다.
Windows 끝점에서 운영 체제 변수를 사용할 때는 다음 지침을 준수해야 합니다.
  • 환경 변수는 시스템 변수여야 합니다.
  • Windows 환경 변수의 값을 변경하면
    Privileged Identity Manager
    는 다시 시작할 때까지 변경 사항을 인식하지 않습니다. 또한 Windows의 일부 릴리스에서는 Windows 서비스와
    Privileged Identity Manager
    가 변경 사항을 인식하도록 하려면 컴퓨터를 다시 시작해야 합니다.
끝점이 변수를 해석하는 방법
변수는 다른 구성 및 운영 체제를 사용하는 끝점에 동일한 정책을 배포할 수 있게 해 줍니다. 다음 프로세스는 정책을 만들어 배포한 이후에
Privileged Identity Manager
끝점이 정책에 있는 변수를 해석하는 방법을 설명합니다.
  1. policyfetcher가 정책을 가져오면
    Privileged Identity Manager
    는 이 정책에 있는 변수가 정책 또는
    Privileged Identity Manager
    데이터베이스에 정의되어 있는지 확인합니다. 다음 중
    하나가
    발생합니다.
    • 변수가 정책 또는 데이터베이스에 정의되어 있지 않으면 이 정책 상태는 "배포 보류"로 변경됩니다.
      참고:
      정책을 배포하려면 우선 정의되지 않은 변수를 정의한 다음 정책을 다시 배포해야 합니다.
    • 변수가 정책 또는 데이터베이스에 정의되어 있으면
      Privileged Identity Manager
      는 이 정책을 컴파일하고 포함된 규칙을 시행합니다.
  2. 하트비트 때마다 policyfetcher는
    Privileged Identity Manager
    데이터베이스에서 변수 값이 변경되었는지 확인합니다.
    다음 중 하나
    가 발생합니다.
    • 변수 값이 변경되지 않았으면 policyfetcher는 2 단계를 반복합니다.
    • 변수 값이 변경되었으면 변경된 변수를 사용하는 끝점에 있는 모든 정책에 대해 정책 상태가 "동기화되지 않음"으로 변경됩니다.
      참고:
      정책에 대한 "동기화되지 않음" 상태를 지우려면 정책을 다시 배포해야 합니다.