Windows版 eACSyncLockoutユーティリティの前提条件について

Document created by Tomo_Fujita Employee on Feb 25, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000092

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:Windows

 

◆ 内容

CA Access Control(旧eTrust AccessControl,以下CA ACと略記) のeACSyncLockoutユーティリティを使用して、

アカウントロック情報をCA ACのseosdbと同期を行う方法について

 

◆ 詳細

CA AC for Windows リファレンスガイドでは、以下のように記述があります。
『アカウントのロックアウトを eTrust Access Control データベースと同期させます(つまり、アカウント ロックアウトが発生すると、

このアカウントに対応する CA ACデータベース内のユーザ レコードが一時停止になります)。
このユーティリティは、パスワードの同期が有効、かつユーティリティを実行しているユーザが ADMIN プロパティを保持している場合にのみ有効です。』
実際にeACSyncLockout.exeを使用して、アカウントロック情報をCA ACのseosdbまたは、PMDBに同期させるには、以下の条件設定が必要です。

  • eACSyncLockoutサービスをACの管理者権限のあるユーザで起動する。
    サービス→Synchronize Lockout →プロパティ→ログオンタブでAC管理者
    ユーザアカウントおよびパスワードを設定する。
  • ローカルセキュリティの設定 → ローカルポリシ → 監査ポリシー 
    → ログオンイベント監査の対象が「成功、失敗」となっていること。
  • 当該ユーザがACのルールに登録されていること。
  • PMDB環境のときはレジストリ"passwd_pmd"に適切な値を設定する。
  • PMDB環境のときはpassword_pmdとのパスワードの同期が行われていること。
eACSyncLockoutはネイティブユーザがロックアウトされたイベントをきっかけとしてACユーザを無効にする機能を提供します。ロックアウトの解除を同期する機能はございません。

 

Attachments

    Outcomes