Unix/Linux版 serevuのLOGIN拒否ログが監査ログに記録される事象について

Document created by Kenji_Tsuda Employee on Mar 25, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000198

 

製品名:Privileged Identity Manager

 

バージョン: all

 

OS: Unix/Linux

 

内容

 

 CA Privileged Identity Manager(以下CA PIM)Unix/Linux版で提供されているserevuデーモンの起動時および動作中に、serevuの LOGIN拒否ログが記録されるケースがありますので、その対処方法について説明します。

 

 

詳細内容

 

 CA PIM Unix/Linux版で提供されているserevuデーモンの起動時および動作中に以下の監査ログが記録されるケースがあります。

 

 16 Dec 2014 10:29:04 D LOGIN user-01 69 10 <ホスト名> serevu

 

 ケース1:
 serevuを起動したところ、上記拒否ログが数件記録され、その後serevuデーモンが停止した。

 

 ケース2:
 serevuは問題なく起動していたが、CA PIM管理ユーザの異動にともない当該ユーザをSEOSDBから削除したところ、上記拒否ログが記録され始めた。

 

 原因:
 serevuデーモンはログイン試行を検出し該当アカウントをロックする機能を提供しますが、以下の場合にCA PIMが提供するAPIを利用してプロセスの登録、selangコマンドの実行、SEOSDBの更新といった処理を行います。

 

 ・起動時
 ・ログイン試行検出時
 ・ロック解除実行時

 

 この時、起動ユーザにCA PIMの管理権限がないことが判明すると上記拒否ログが監査ログに記録されます。

 

 対処:
 CA PIM管理権限およびSEOSDBへのアクセス権限のあるユーザでserevuを再起動してください。

Attachments

    Outcomes