변수 사용 지침
목차
cminder12902kr
목차
변수를 사용할 때 다음과 같은 지침을 따라야 합니다.
- 다른 변수나 정책이 사용하는 변수는 삭제할 수 없습니다.
- 변수는 여러 값을 가질 수 있습니다. 변수 값을 추가 또는 제거할 수 있습니다.
- 변수는 중첩될 수 있습니다. 예를 들어, 다음 규칙은 기본 제공되는 <!AC_ROOT_PATH> 변수를 포함하는 ac_data란 이름의 변수를 정의합니다.editres ACVAR ac_data value("<!AC_ROOT_PATH>\data")기본 설치된Privileged Identity Manager가 있는 Windows 끝점이 이 규칙을 준수하면 다음 규칙이 만들어집니다.editres ACVAR ac_data value("C:\Program Files\CA\AccessControl\data")
- 각 변수는 하나의 유형만 가질 수 있으므로, 예를 들어 변수를 정적 변수인 동시에 레지스트리 값 변수로 정의할 수 없습니다.
- 정의되지 않은 변수를 포함하는 정책을 배포할 수 없습니다. 정의되지 않은 변수를 포함하는 정책을 배포하면 이 이 정책의 배포 상태가 "배포 보류"로 변경됩니다. 정책을 배포하려면 우선 정의되지 않은 변수를 정의한 다음 정책을 다시 배포해야 합니다.참고:정책에서 정의되지 않은 변수를 찾으려면 정책의 DEPLOYMENT 개체를 검토하십시오.Privileged Identity Manager은 정책 검사의 활성화 여부에 관계없이 정의되지 않은 변수를 검사합니다.
- Privileged Identity Manager가Privileged Identity Manager변수와 Windows 시스템 변수를 결합하는 규칙을 해석할 수 없습니다. 예를 들어Privileged Identity Manager는 이름이 var1인 변수를 정의하는 다음 규칙을 해석할 수 없습니다.editres ACVAR var1 value("%SYSTEMROOT%\temp")%SYSTEMROOT%를Privileged Identity Manager변수로 정의하고 %SYSTEMROOT%\temp를 보호하는 정책을 만들려면 다음 규칙을 사용합니다.editres ACVAR var1 value("SYSTEMROOT") type(osvar) editres ACVAR var2 value("<!var1>\temp")
- Privileged Identity Manager는 서로 종속된 변수를 확인할 수 없습니다. 예를 들어Privileged Identity Manager는 다음 예에서 변수 var1과 var2를 해석할 수 없습니다.editres ACVAR var1 value("<!var2>") editres ACVAR var2 value("<!var1>")
- 슬래시를 사용하여 변수에서 디렉터리를 정의할 때Privileged Identity Manager는 Windows 및 UNIX 끝점에 대해 슬래시를 올바른 방향으로 해석합니다.
- selang 규칙을 사용하여 변수를 정의하는 경우 정책을 사용하여 규칙을 끝점에 배포해야 합니다. selang 규칙을 사용하여 끝점에 있는Privileged Identity Manager데이터베이스를 직접 업데이트하면Privileged Identity Manager는 이 규칙을 컴파일할 수 없습니다. 예를 들어, 끝점에서 jboss_home이란 이름의 변수를 정의하고 다음 selang 규칙으로 데이터베이스를 직접 업데이트했다고 가정합니다.editres FILE <!jboss_home> audit(all)Privileged Identity Manager는 이 규칙을 컴파일할 수 없지만 대신 데이터베이스에 <!jboss_home>이라는 FILE 개체를 만듭니다.
UNIX 끝점에서 운영 체제 변수를 사용하기 위한 지침
UNIX에 해당
Privileged Identity Manager
운영 체제 변수(osvar 유형의 ACVAR 개체)는 UNIX 환경 변수의 값을 사용합니다. 각 UNIX 프로세스는 자체 환경 변수 세트가 있으므로 UNIX 끝점에서 운영 체제 변수를 사용하지 않는 것이 좋습니다.UNIX 끝점에서 운영 체제 변수를 사용하는 경우에는
Privileged Identity Manager
를 시작하기 전에 반드시 필요한 환경 변수를 설정하고 내보내야 합니다. UNIX 끝점에서 운영 체제 변수를 사용할 때는 다음 지침을 준수해야 합니다.- 컴퓨터가 부팅할 때Privileged Identity Manager를 시작하기 위해 rc startup 스크립트를 사용하는 경우Privileged Identity Manager를 시작하기 전에 이 스크립트가 환경 변수를 설정하고 내보내는지 확인합니다.
- 사용자가Privileged Identity Manager을 중지하고 다시 시작하는 경우 사용자는Privileged Identity Manager을 다시 시작하기 전에 자신의 세션에서 환경 변수를 설정하고 내보내야 합니다.
Windows 끝점에서 운영 체제 변수를 사용하기 위한 지침
Windows에 해당
Privileged Identity Manager
운영 체제 변수(osvar 유형의 ACVAR 개체)는 Windows 환경 변수의 값을 사용합니다.Windows 끝점에서 운영 체제 변수를 사용할 때는 다음 지침을 준수해야 합니다.
- 환경 변수는 시스템 변수여야 합니다.
- Windows 환경 변수의 값을 변경하면Privileged Identity Manager는 다시 시작할 때까지 변경 사항을 인식하지 않습니다. 또한 Windows의 일부 릴리스에서는 Windows 서비스와Privileged Identity Manager가 변경 사항을 인식하도록 하려면 컴퓨터를 다시 시작해야 합니다.
끝점이 변수를 해석하는 방법
변수는 다른 구성 및 운영 체제를 사용하는 끝점에 동일한 정책을 배포할 수 있게 해 줍니다. 다음 프로세스는 정책을 만들어 배포한 이후에
Privileged Identity Manager
끝점이 정책에 있는 변수를 해석하는 방법을 설명합니다.- policyfetcher가 정책을 가져오면Privileged Identity Manager는 이 정책에 있는 변수가 정책 또는Privileged Identity Manager데이터베이스에 정의되어 있는지 확인합니다. 다음 중하나가발생합니다.
- 변수가 정책 또는 데이터베이스에 정의되어 있지 않으면 이 정책 상태는 "배포 보류"로 변경됩니다.참고:정책을 배포하려면 우선 정의되지 않은 변수를 정의한 다음 정책을 다시 배포해야 합니다.
- 변수가 정책 또는 데이터베이스에 정의되어 있으면Privileged Identity Manager는 이 정책을 컴파일하고 포함된 규칙을 시행합니다.
- 하트비트 때마다 policyfetcher는Privileged Identity Manager데이터베이스에서 변수 값이 변경되었는지 확인합니다.다음 중 하나가 발생합니다.
- 변수 값이 변경되지 않았으면 policyfetcher는 2 단계를 반복합니다.
- 변수 값이 변경되었으면 변경된 변수를 사용하는 끝점에 있는 모든 정책에 대해 정책 상태가 "동기화되지 않음"으로 변경됩니다.참고:정책에 대한 "동기화되지 않음" 상태를 지우려면 정책을 다시 배포해야 합니다.