CA Privileged Identity Manager Windows版 アップグレード時の注意事項について

Document created by Manabu_Taniguchi Employee on Jul 17, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC002152

製品名: CA Privileged Identity Manager

バージョン: 全バージョン

OS: Windows


◆ 内容

CA Privileged Identity Manager(以下CA PIM)Windows版において、ユーザがログインした時にCA PIMが採用するユーザ定義に関係したアップグレード時の注意事項ついて解説します。

 

◆ 詳細内容

以下のようなユーザ定義およびFILEルールが作成されていたとします。

C:¥> selang
AC> newusr (“<ホスト名>¥secadmin”)
AC> newusr secadmin
AC> newfile (“C:¥work¥test.txt”) owner(nobody) audit(all) defacc(N)
AC> auth FILE (“C:¥work¥test.txt”) uid(secadmin) acc(ALL)

※<ホスト名>;CA PIMが導入されたホスト名

この状態で、ユーザsecadminがログインし、ファイルC:¥work¥test.txtにアクセスした場合、CA PIMはそのアクセスを「拒否」します。

これは、ユーザがログインしたときCA PIMは <ホスト名> つきのユーザ定義が存在しているとそのユーザ定義をログインユーザとして採用するためです。

つまり上記の場合は、<ホスト名>¥secadmin がログインユーザとして採用されるため、auth FILEのuidの指定と一致せず、ファイルC:¥work¥test.txtへのアクセスが拒否されるということになります。

通常は、上記のような状態を意図的に作成することはないと思いますが、注意して欲しいのは、CA PIMをアップグレードする時です。

CA PIMをアップグレードする時、インストーラはログインユーザに<ホスト名>を付けたユーザ定義を自動的に作成してアップグレード作業を行い ます。つまり、アップグレード前にユーザ定義 <ホスト名>¥secadmin が存在していなくても、secadminでログインを行いアップグレードを行うと、CA PIMインストーラはユーザ定義 “<ホスト名>¥secadmin” を自動的に作成するということです。

このため、アップグレード前はsecadminでログインしてもファイルC:¥work¥test.txtへのアクセスは許可されていたのに、アップグレード後は拒否されるようになったという事象が発生します。

このような事象に遭遇した場合は、ユーザ定義を確認しアップグレード時に自動的に作成されたユーザ定義を削除してください。

Attachments

    Outcomes