UNIX版 SURROGATEクラス設定時の注意事項について

Document created by Tomo_Fujita Employee on Feb 25, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000088

 

製品名:Privileged Identity Manager

 

バージョン:All


OS:Unix/Linux

 

◆ 内容

CA Access Control(旧:eTrust AccessControl、以下 CA ACと略記)では、suコマンド等によるユーザの成り代わりの制御を行うことが出来ます。

 

アプリケーションの内部動作により、setuidが設定されたプログラムでは、他ユーザへの成り代わりが発生し、予期せぬ動作を行うことがあります。

 

◆ 詳細

CA ACでは、SURROGATEクラスを使用して、他のユーザへの成り代わりを制御することができます。
このクラスを有効にしている場合、suコマンド等での明示的な成り代わりの他にアプリケーションの内部動作としての

成り代わりもルールに基づき監査されます。

このため、telnetやftpコマンドのように内部的にrootへのsetuidが呼び出されたプログラムで代理要求を許可されて

いないーザがプログラムを実行できなくなる可能性があります。

この場合以下の回避策のいずれかを行ってください。

  1. SURROGATEクラスでrootへの成り代わりを許可し、ACLにてユーザの成り代わりを制御します。
  2. SURROGATEクラスでrootへの成り代わりを禁止し、PACLにて特定のプログラムによるアクセスを許可します。
  3. SPECIALPGMクラスにプログラムを登録し、SURROGATEイベントをバイパスすることで、アクセスを許可します。

 

Attachments

    Outcomes