root 以外のユーザが 「serevu」 を開始できるようにする方法

Document created by Tomo_Fujita Employee on Feb 26, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000097

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:Unix/Linux

 

◆ 内容

CA AC root 以外のユーザが 「serevu」 を開始できるようにする方法

 

◆ 詳細内容

説明
serevu は、ログインに失敗したユーザを処理します。
root 以外のユーザが「 serevu 」デーモンを開始するには、Access Control ( AC) 管理者に対して

開始権限を与えるルールのセットが Access Control データベース内に存在する必要があります。

 

前提条件
以下の手順は、ここで紹介する例が正常に動作するために、全てのクラスが初期設定として有効に

なっている標準インストールされた環境を前提としています。

 

ソリューション
注:
「serevu」 デーモンを開始できるユーザがオペレーティングシステムレベルにすでに存在することが、前提となっています。
この例では、「actest」 というユーザが使用されます。システムの名前は 「myServer.acme.com」 です。

serevu を開始するように指定されているユーザ(ここでは actest) は、Access Control 管理者である必要があります。

selang コマンドプロンプトから、以下のコマンドを実行します。

  1. nu actest admin
  2. auth TERMINAL myServer.acme.com uid(actest) access(a)
  3. auth PROGRAM /opt/CA/AccessControl/bin/sesudo uid(actest) access(exec)
  4. auth SURROGATE USER.root uid(actest) acc(read) via(pgm(/opt/CA/AccessControl/bin/sesudo))
  5. nr SUDO serevu data('serevu')
  6. auth SUDO serevu uid(actest)
  7. 「selang」 環境を終了します。
  8. UNIX コマンドプロンプトから、 root ユーザで以下のコマンドを実行します。
    #sebuildla -a
  9. 次に actest ユーザで telnet でアクセスし、以下のコマンドを実行します。

    #sesudo -list
    上記の sesudo コマンドによって、以下のような出力が返されます。
    serevu : serevu

  10. 最後に、以下のコマンドを使って、 sesudo を使用して serevu を実行します。

$sesudo serevu

Access Control の 「issec」 コマンドによって、対応する PID と共に実行される 「serevu」 デーモンが表示されるようになります。

 

以上


このドキュメントは米国サポートサイトに掲載されているナレッジベース: TEC433372 を翻訳し、加筆したものです。

TITLE : How to enable a non-root user to start 'serevu'

 

 

Attachments

    Outcomes