基本的な問題のトラブルシューティングガイド

Document created by Tomo_Fujita Employee on Feb 26, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000100

 

製品名:Privileged Identity Manager

 

 

バージョン:All

 

OS:All

 

◆ 内容

Access Control の問題解決方法およびサポートにあたって必要な情報の収集について

 

◆ 詳細内容

重要: 本書では、レジストリの変更方法について説明しています。
レジストリを変更する前に、必ずレジストリのバックアップを作成してください。また、問題が発生した際にレジストリを復元する方法について、あらかじめ理解しておく必要があります。
レジストリのバックアップ、復元、および編集を行う方法の詳細については、 Microsoft のサポート技術情報 (support.microsoft.com) の関連記事を確認してください。

本書は、 CA テクニカルサポートに対して問題の内容を提示し、必要な情報を提供する方法を段階的に説明することによって、お客様の問題解決の時間を短縮する手がかりとしてご利用いただくことを目的としています。問題を早急に解決するために、以下の情報を CA テクニカルサポートに提供してください。

一般的な情報

基本的な質問

1.  OS のバージョンおよびサービスパック / パッチのレベル。「付録」を参照してください。

2.  CA Access Control( 以下、CA AC) のバージョンおよびサービスパック / パッチのレベル。

a.  UNIX で次のコマンドを実行します。

/opt/CA/eTrustAccessControl/issec

b.  Windows で、 CA AC Policy Manager を実行し、[ヘルプ] - [製品情報](または [バージョン情報] を選択します

c.  Windows で、 CA AC バイナリのプロパティ (seosagent.exe など)を実行し、[バージョン]タブをクリックします

3.  問題の説明が必要となります。「問題を再現する方法」を段階的に説明したものをお送りください。

例.サーバ間の端末アクセスの問題

a.  telnet で端末 A にログインします。ユーザ名はユーザ A です。

b.  SSH を使用して、次のコマンドで端末 B にログインします。

ssh -l userB terminalA

c.  他のサーバにログインできず、手順 b を行うと「接続が終了しました」というメッセージが表示されます。

4.  問題が発生したのは、インストール直後ですか ? それとも、しばらくしてからですか ? しばらくしてからの場合、 AC をインストールしてからどのくらい時間がたっていますか ?

5.  この問題が発生した時期の前後または同じ時期に、システム上で何らかの変更を行いましたか ?

 

ファイルアクセスの問題

ファイルアクセスの問題の例

/abc/* 内のファイルを不正アクセスから保護するために、 次のようにルールを記述しました。

nr FILE /abc/* defacc(n) audit(all)

こうしたにもかかわらず、root ユーザが引き続きファイルにアクセスできてしまいます。デフォルトのアクセス権が「なし」であるのに、なぜこのようなことが起きるのでしょうか。

質問

1.  ユーザに関して、[監査モード ALL] にして問題をテストします。

参考文書: selang リファレンスガイド: chusr/editusr の項
例) chusr userA audit(all)

2.  ルールに関して、[監査モード ALL] にしてリソースにアクセスします。

参考文書: selang リファレンスガイド: chres/editres の項
例) chres FILE /tmp/abc audit(all)

3.  トレースを開始し、問題を再現します。

a.  トレースを開始します。

secons -tc -t+

b.  問題を再現します。

c.  トレースを停止します。

secons -t-

d.  トレースファイル $SEOSDIR/log/seosd.trace をお送りください

項目の説明: $SEOSDIR は、システム上の Access Control ディレクトリです。

4.  $SEOSDIR\log ディレクトリ内のすべてのファイルをお送りください。

5.  監査ファイルとトレースファイルをすぐに確認できるよう、監査レコードをテキストファイルにエクスポートしてからお送りください。監査レコードをテキストファイルにエクスポートするには、以下のコマンドを実行します

seaudit -a > audit.txt

6.  「so list」の出力ファイルをお送りください。

selang -c "so list" > c:\so_list.txt

7.  「regedit.exe」 を使用して、 HKLM\software\ComputerAssociates レジストリキーをファイルにエクスポートします。

8.  データベースルールをテキストファイル形式 (rules.txt) でお送りください。次のコマンドを実行します

dbmgr -e -r -f c:\rules.txt

FILE ルールの問題が発生したときには、以下のトレースファイルと監査ファイルを確認してください。

1.  拒否されたレコードおよび Untrusted レコード。これらは audit.txt ファイル内に表示され、 D または U のコードで記録されます。通常、同じ行の数値コードで理由が示されます。数値コードの意味を確認するには、次のコマンドを実行してください。

seaudit -t | grep number

2.  単一のファイルで繰り返し出力されているレコード。これはパフォーマンスが低下する理由、または監査レベルが高すぎる(つまり audit(failure) ではなく audit(all) になっている)ことを示している可能性があります。

 

パフォーマンスの問題

パフォーマンスの問題の例

サーバがスタンドアロン構成で Oracle 10.0.2.3 データベースを実行しています。
CA AC をインストールする前は、 sqlplus が 3 秒で起動しました。
使用したコマンドラインは sqlplus -a です。 CA AC のインストール後、 sqlplus は起動に 18 秒かかるようになりました。 CA AC を停止すると、 sqlplus は再び 3 秒で起動します。

質問

パフォーマンスの問題を分析するには、 AC をインストールまたは起動する前のシステムパフォーマンスについての情報が必要です。さらに、 AC の起動時および実行中のパフォーマンスの低下に関する情報も必要になります。「基本的な質問」に加えて、以下の質問にもお答えください。

1.  問題が発生したのはインストール直後ですか ?

2.  パフォーマンスが低下するのは、オペレーティングシステムまたは Access Control の起動時ですか ? それとも、起動後しばらくしてからですか ?

3.  特定の時刻に実行するプロセスはありますか ? (スケジュール)

4.  パフォーマンスが低下するのは、ほぼ同じ時刻ですか ?

5.  CA AC カーネル拡張がロードされた状態でのみ、問題が発生していませんか ?

a.  次のコマンドでカーネル拡張をアンロードして、確認します。 SEOS_load -u

b.  AC デーモンもロードされている場合は、次のコマンドで AC デーモンを停止します。 secons -sk

c.  AC カーネル拡張がロードされているかどうかを確認するには、「issec」 コマンドを実行し、出力内に次の行があるか調べます。

出力 : eTrustAC のカーネル拡張機能はロードされています。

6.  CA AC デーモンがロードされたときに、問題が発生していませんか ?

7.  サードパーティのフィルタドライバはシステムにインストールされていますか ? (Netware Associates Anti Virus (Mcafee)、 Sophos など)

8.  システム監視アプリケーションはインストールされていますか ? (TNG 、Tivoli 、BMC 、Insight Manager など)

9.  「dbmgr -u -all」 でデータベースをチェックします(必ず、すべてのサービスを停止した後に実行してください)。

(オプション)以下の方法でデータベースを再構築することができます。

i. cd /opt/CA/eTrustAccessControl/seosdb

ii. /opt/CA/eTrustAccessControl/bin/dbmgr -u ?build seos_cdf.dat

iii. /opt/CA/eTrustAccessControl/bin/dbmgr -u ?build seos_odf.dat

iv. /opt/CA/eTrustAccessControl/bin/dbmgr -u -build seos_pdf.dat

v. /opt/CA/eTrustAccessControl/bin/dbmgr -u -build seos_pvf.dat

10.  パフォーマンスの低下時に、最もリソースを使用しているプロセスは何ですか ?
それは、seosd 、seagent 、seoswd などの AC プロセスですか ?

a. Windows OS の場合:「タスクマネージャ」を使用します。[プロセス]タブで [CPU] をクリックして、一覧表示されているプロセスを CPU リソースの使用量が多い順に並び替えます。[メモリ使用量]についても同様のことを行います。スクリーン ショットをとります (Alt + PrintScreen)

b. UNIX の場合: OS に応じて、top 、prstat 、vmstat などを使用します。

11.  CAAC プロセスが同じ PID を保持していますか (サービスが開始されてから停止されるまで) ?

収集データ:

  ・オペレーティングシステムのログまたはイベントファイルを収集してください。

a. Windows の場合
アプリケーションとシステムのイベントログを、 .evt 形式のファイルにエクスポートしてお送りください ( CAAC を起動した日時、問題が発生した日時、および CAAC を停止した日時を記載してください)。

b. UNIX の場合: /var/adm/syslog や /var/adm/messages
これらのファイルは、使用している UNIX の種類によって場所が異なります。通常は、システムログのカテゴリに分類されます。

  ・ Access Control デーモンの起動時からトレースを実行します。以下の手順に従ってください。

a. seos.ini ファイルを編集し、次のように値を設定します。

trace_to=file

b. Access Control を再起動します

c. 問題を再現します

d. トレースファイルを停止します。

secons -t-

・トレース内で次の項目を確認します。

a. 短期間に繰り返されるイベント(多数のファイルアクセスや接続など)

b. 強制終了されるプロセス

c. トレースファイル内: ACEEH=-1 または U= 負の数値 これは、 AC がユーザ名を解決できないか、値をリソースに割り当てることができないことを示します。また、 AC のキャッシュを更新する必要があるか、ログインのルールが正しくないことを示している可能性もあります。

 

トラブルシューティング

Windows

以下の方法で、 CAAC のフィルタドライバを無効にします。

1.  CAAC サービスを停止します

2.  REGEDT32.exe を使用して、以下のレジストリキーを 0 に変更します。

\\HKLM\software\memco\seos\seos\UseFsiDrv=0

3.  問題は引き続き発生しますか ?

 

リモートマシンへの接続の問題

接続の問題の例

cron による自動 FTP 転送を毎晩行っています。 CA AC のインストール後、 FTP 転送がタイムアウトするようになりました。 FTP コマンドを手動で実行すると、接続が自動的に切断されました。次に CA AC を停止し、手動で FTP コマンドを実行しました。今度は接続が強制的に切断されました。

質問

「基本的な質問」に加えて、以下の質問にもお答えください。

1.  いずれかの CAAC マシンで暗号化鍵を変更しましたか (「sechkey」 ユーティリティを使用) ?

2.  いずれかのマシンで、デフォルト以外の暗号化方式を使用していますか (デフォルト = スクランブル。その他の方式: DES 、3DES など) ?

3.  いずれかのマシンで TCP/UDP ポートを変更しましたか ?

4.  問題が発生する可能性がある TCP クラス、CONNECT クラス、HOSTNET クラス、または HOST クラスのルールがありますか (現在のところ、これらのクラスは CAAC for Unix でのみ有効です) ?

1.  この接続の問題が AC で発生した際に、トレースファイルを実行します

a.  トレースを開始します。

secons -tc -t+

b.  トレースを停止します。

secons -t-

c.  ファイル名: $SEOSDIR/log/seosd.trace

項目の説明: $SEOSDIR は、システム上の CA AC ディレクトリです。

次の項目を確認します。

トレースファイル内で、 TCP ルールまたはその他のルールによって遮断される接続があるか確認します。
AC 監査ファイル内で、ルールによってポートが遮断されたことを示す D レコードがあるか確認します。
ポート番号を検索し、「P」(許可)以外のコードがあるか確認します。
切断されているファイアウォールまたはポートがマシンにあるか確認します。 netstat -an などの UNIX コマンドを使用して、開いているポートを探します。
syslog を参照し、バインドの問題が起こっていないか確認します。

 

PMDB の問題

PMDB の問題の例

PMDB を以下のように設定します。
サーバ A には masterpm というマスタ PMDB があり、 PM1@aix 、 PM2@sun 、および PM3@hp の 3 つのサブスクライバがあります。 masterpm からサブスクライバにルールをプッシュします。
PM1 と PM2 はこの更新を受信しますが、 PM3 は受信しません。
masterpm のエラーログを確認すると、「親ではない PMDB からの更新を受け付けることはできません。」というメッセージが表示されます。

質問

「基本的な質問」に加えて、以下の質問にもお答えください。

1.  PMDB のスキームを記述してください (マシンの種類が Unix または NT である、など)。スキームを記述する際には、ホスト名を使用します。 PMDB 階層にある他のマシンのサブスクライバはどのマシンなのかを教えてください。

2.  PMDB の問題が発生したときに行った操作を説明してください。

収集データ

1.  以下のコマンドの出力ファイルをお送りください (オプション文字の大文字 / 小文字に注意してください)。

a. sepmd -L <pmdb name>
b. sepmd -C <pmdb name>
c. sepmd -e <pmdb name>

次の項目を確認します。

sepmd -L 出力内で、使用できないサブスクライバがあるか確認します。次に、そのホスト名の sepmd -e 出力を参照し、発生しているエラーを確認します。
次のコマンドで、サブスクライバを使用可能なものとして戻します。
sepmd -r <pmd> <subscriber> (例: sepmd -r pmdb1 client.ca.com )
次に、 sepmd -L and sepmd -e を再実行して、最新のエラーまたは PMDB の状態を確認します。

 

データベースのメンテナンス

CA AC データベースは、 CA AC のインストールディレクトリの下にある seosdb ディレクトリ内に、一連のフラットファイルとして保持されています。データベースを定期的にメンテナンスすることにより、ファイルの速度と信頼性が最適化されます。これらのファイルは更新が繰り返されるため、断片化される可能性があります。これによって、 CA AC デーモンによるデータベース検索のパフォーマンスが低下します。
パフォーマンスの問題があると感じられた場合には、データベースのインデックスを再構築する必要があります。可能であれば、メンテナンス期間中にデータベースのインデックスを再構築してください( 3 か月または半年に 1 回など)。
これらの手順はすべて、 root ユーザとしてログインして行う必要があります。

1.  インデックスの構築と再構築

a.  $SEOSDIR/seosdb にあるデータベースファイルのバックアップを作成します。 $SEOSDIR は、 CA AC データベースのディレクトリです( /opt/CA/eTrustAccessControl など)。

b.  以下のコマンドでインデックスの構築と再構築を行います。

i. cd /opt/CA/eTrustAccessControl/seosdb
ii. /opt/CA/eTrustAccessControl/bin/dbmgr -u ?build seos_cdf.dat
iii. /opt/CA/eTrustAccessControl/bin/dbmgr -u ?build seos_odf.dat
iv. /opt/CA/eTrustAccessControl/bin/dbmgr -u ?build seos_pdf.dat
v. /opt/CA/eTrustAccessControl/bin/dbmgr -u ?build seos_pvf.dat

2.  データベースの再作成

a.  $SEOSDIR/seosdb にあるデータベースファイルのバックアップを作成します。 $SEOSDIR は、 CA AC データベースのディレクトリです( /opt/CA/eTrustAccessControl など)。

b.  ルールセットをテキストファイルにエクスポートします。

CA AC デーモンが実行されている場合
i.cd /opt/CA/eTrustAccessControl/seosdb
ii cd /opt/CA/eTrustAccessControl/bin/dbmgr -e -r -f /tmp/rules.txt


CA AC デーモンが実行されていない場合
i.cd /opt/CA/eTrustAccessControl/seosdb
ii cd /opt/CA/eTrustAccessControl/bin/dbmgr -e -l -f /tmp/rules.txt

c.  secons -s を実行して、 CA AC デーモンを停止します。

d.  新しい seosdb ディレクトリを作成します

i. cd /opt/CA/eTrustAccessControl
ii. mv ./seosdb ./seosdb.bak
iii. mkdir seosdb

e.  クリーンな AC データベースを作成します

i. cd /opt/CA/eTrustAccessControl/seosdb
ii. /opt/CA/eTrustAccessControl/bin/dbmgr -c -cq

f.  ルールを新しいデータベースにインポートします。

i. cd /opt/CA/eTrustAccessControl/seosdb
ii. /opt/CA/eTrustAccessControl/bin/selang -l -f /tmp/rules.txt

g.  次のコマンドで CA AC デーモンを起動します。

seload

 

ログルーティングの問題

ログルーティングの問題の例

ローカルの監査レコードを中央のログコレクタに送信するサーバが 40 台あります。レコードはすべて受信されるのですが、一部のレコードではホスト名ではなく IP アドレスが表示されます。なぜこのように表示されるのでしょうか。

質問

「基本的な質問」にお答えください。

収集データ

1.  selogrd.cfg ファイルのコピー

2.  selogrd -d コマンドの出力(問題発生時のもの)

3.  ログルーティングの問題に関する詳細(一部のログが見つからない場合はどのログか、など)

4.  ルーティングされていないログのある seos.audit ファイルの出力。

5.  これらのレコードをテキストファイルにエクスポートします。例: seaudit -a > audit.txt

6.  ログコレクタからの seos.collect.audit の出力(ルーティングされたログと元のログとの比較用) コレクタのログディレクトリで次のコマンドを実行します。 seaudit -a -fn seos.collect.audit > collector.txt

次の項目を確認します。
見つからないログの正確な時刻を特定します
audit.txt と collect.txt を比較し、元の audit.txt ファイルにログが実際にあるかどうかを確認します。もし存在しない場合は、もともとルーティングされていないログが collect.txt には存在するということになってしまいます。
エラーメッセージがないかどうか、 selogrd -d の出力を確認します。通常、 selogrd は、新しい監査レコードがルーティングされているかどうかを定期的にチェックします。それ以外のメッセージが表示された場合は、何らかの問題が起こっている可能性があります。

 

付録

OS とパッチレベルの正確な検出

SUN

uname -a コマンドの出力: 5.10 Generic_120011-14 sun4v sparc
/etc/release ファイルの内容
Solaris 10 8/07 s10s_u4wos_12b SPARC
意味: Solaris 10 Update 4

Linux

uname -a コマンドの出力
2.6.24-7-generic #1 SMP Thu Feb 7 00:56:31 UTC 2008 x86_64
配信名
/boot/grub/grub.conf の内容( GRUB ブートローダを使用している場合)
例: RHELinux AS 4.0 Update 4
意味: x86_64 ハードウェア上の Redhat Linux AS 4.0 UPDATE 4 (カーネル 2.4.24-7 )

AIX

コマンド oslevel -r の出力: 5300-04
bootinfo -y および bootinfo -K コマンドの出力
戻り値: 32 または 64
Bootinfo -y はハードウェアの性能を意味し、 bootinfo -K は現在 OS が実行されている
カーネルレベルを戻します。

HP-UX

uname -a の出力: B.11.11
getconf KERNEL_BITS の出力: 32
意味: HP-UX 11.11 - 32 ビットカーネル

Windows

方法 1

[マイコンピュータ]を右クリックします。
[プロパティ]をクリックします。
[全般]タブの[システム]というタイトルのテキスト領域で、バージョンを確認します( Windows XP Professional Service Pack 2 など)

方法 2

winmsd を実行します(コマンドライン、または[スタート] - [ファイル名を指定して実行]から)。
生成されたシステムレポートをテキストファイル形式でエクスポートし、 CA サポートにお送りください。

 

以上


このドキュメントは米国サポートサイトに掲載されているナレッジベース: TEC473331 を翻訳し、加筆したものです。

TITLE : Basic Issue Troubleshooting Guide

 

 

 

 

Attachments

    Outcomes