CA ControlMinder 12.8 Service Pack 1 SP1 - Endpoints FIXLIST - Japanese

3908

05 October 2016

08 August 2016

Click here to view Page One.

番号 重大度 モジュール 問題のサマリ パッケージ OS 問題の原因 条件 解決策または回避策 再現手順
62 3 UNIX エンドポイント ユーザ モード PROGRAM クラスがオフの場合でも、CA ControlMinder が PACL ルールを確認する問題を修正します。 AN02203 すべての UNIX 認証エンジンは、プログラム ACL のリソースの確認中に、PROGRAM クラスのモードをチェックしません。   プログラム ACL のリソースを確認する前に、PROGRAM クラスを確認します。 1. テスト クラス PROGRAM はオンで、ルールを設定します。
AC> so class+(PROGRAM)
AC> auth TERMINAL ('_default') access(NONE) id('*') via(pgm('/usr/bin/login'))
AC> er PROGRAM /usr/bin/login defaccess(EXECUTE) owner('root') flags(ALL) blockrun
 
2. /usr/bin/login を変更します。
watchdog がこのプログラムを "untrusted" にするまで待ちます(watchdog も起動時に trusted プログラムを確認しますので、CA ControlMinder を再起動できます)。
 
3. テスト システムへのログインを試行します。
期待: 端末の PACL (viapgm)ルールのため、ログインが失敗します。
 
4. クラス PROGRAM をオフにします。
AC> so class-(PROGRAM)
 
5. ここでログインを試行します。
期待: ログインが成功します。 
 
63 3 UNIX エンドポイント ユーザ モード ユーザが /bin/sh を実行すると、KBL がユーザ コマンドを監査ログに保存しない問題を修正します。 AN02210 すべての UNIX /bin/sh が検出された場合に、cmdlog は監査対象コマンドの送信に失敗します。 KBL 対応ユーザは /bin/sh を使用します。 タイプ TRACE_CMDLOG_IN のイベントを KBL 監査に送信するように、cmdlog を変更します。 1. In [seos.ini], set kbl_enabled = yes 
2. AC>nu test password(1234) audit(interactive)
3. テスト ユーザとしてログインして、ls、id など、いくつかのコマンドを実行します。
4. KBL 監査を確認します。
# seaudit -kbl -sid XXX -cmd 
 
期待: 0 以外のレコード
実際: レコードなし 
64 3 UNIX エンドポイント ユーザ モード devcalc プロセスが失敗し、コア、セグメンテーション エラーが生成される問題を修正します。 AN02190 すべての UNIX 無効なアドレスへのアクセス   エラーが戻った場合に、  
function_seadmapi_FetchListPropVal() の結果バッファをリリースします。
65 2 UNIX エンドポイント カーネル モード watchdog がタイムアウトして seosd を再起動する問題を修正します。 AN02191 すべての UNIX フリー メッセージのカーネル キューが破損しています。   リストにメッセージを追加するときに、  
パッケージが eac_release_msg() set msg>mh_next = NULL を変更します。
66 3 UNIX エンドポイント ユーザ モード HP/非 TCB からターゲット HP/TCB に接続するときに、Selang のパスワードの更新が失敗する問題を修正します。 AN02192 HPUX PA-RISC TCB モードが有効な HP でパスワードを更新するときに、ローカル システムが TCP モード無効の HP である場合には、LANG クライアントはパスワードを切り捨てます。 ターゲット ホストで HP-UX TCB が有効になっています。 LANG クライアントは、リモート エージェントからターゲット ホストの HP モードを取得します。 リモート ホストが TCB である場合には、クライアントは bigcrypt を使用する必要があります。 1. CA ControlMinder を HPUX 11.23 (テスト マシン 1)および HP (テスト マシン 2)にインストールします。 
2. 以下のコマンドを使用して、HP-UX test1 の TCB モードを有効にします。 
# /usr/lbin/tsconvert 
 
重要: テストが完了したら、コマンド # /usr/lbin/tsconvert -r を使用して、HP OS を通常モードにリストアしてください。 
そうしないと、古いパスワードを使用してログインが失敗する可能性があります。
3. 両方のテスト マシンで、CA ControlMinder を起動します。
4. HP test1 で、OS のユーザ "test" を作成します。
AC(unix)>cu test 
5. HP test2
AC>host "test1" 
uid(root) password(...) 
AC(host)> env native 
AC(native)> eu test password(1234567890)
6. ユーザ「test」と「1234567890」パスワードを使用して、HP test1 にログインできるかどうかを確認します。 
 
期待: ログインが成功します。
実際: ログインが失敗します。 
67 3 UNAB スキュー問題のために UNAB エージェントが停止する問題を修正します。 UNAB は、UNAB エージェントと Active Directory の間のスキュー時間が大きすぎることをレポートします。 これが発生すると、UNAB は再起動を試行します。 この場合、UNAB は、試行した再起動後のバックアップ開始に失敗します。  AN02175 Solaris Sparc UNAB エージェントと配布サーバの通信の問題です。   UNAB エージェントを手動で起動します。  
UNAB エージェントと配布サーバの通信の問題を修正します。
68 3 UNIX エンドポイント ユーザ モード 予期しない Selang エラーが発生する問題を修正します。 パスワード ルールが無効である場合には、Selang の双方向パスワード確認はエラーを返します。 最後のエラーは正しく解釈されません。 AN02156 すべての UNIX     パスワード ルールを使用できないときには、双方向の確認設定を無視します。 1. 双方向モードが有効になっていないことを確認します。
# seini -f passwd.passwd_distribution_encryption_mode
# Selang 
AC> so list 
Bidirectional: No 
 
2. パスワード ルールを削除します。
AC> so password(rules-)
 
3. パスワード ルールを再び削除します。
AC> so password(rules-)
 
エラー: 双方向暗号化が有効になっている場合は、パスワード ルールを無効にできません
69 3 UNIX エンドポイント ユーザ モード 既存のデザインにはキャプチャしたコマンドラインをフィルタする機能がないという問題を修正します。 AN02147 すべての UNIX 「問題のサマリ」を参照してください。   コマンド行をフィルタする 8 番目のパラメータを含む追跡ルールを追加します。 新しいトレース形式は、一般的な監査フィルタおよび既存のユーザ フィルタのルールに違反しないように、既存のトレース形式と共存します。 1. CA Privileged Identity Manager をインストールします。 
2. KBL を有効にします。 
3. ユーザまたはオブジェクト名を基準とするフィルタ ルールを含むように、./etc/kblaudit.cfg を変更します (kblaudit.cfg の例を使用します)。
4. CA ControlMinder を開始します。
5. 任意のユーザでログインして、いくつかのコマンドを実行します。
6. seaudit を実行して、KBL セッションをリスト表示します。 seaudit を実行して、選択したセッションによって実行されたリスト コマンドをリスト表示します。 
 
実際: フィルタ ルールは機能しません。
70 3 UNIX エンドポイント ユーザ モード 監査ファイル seos.audit を開くときに、以下のエラーが発生する問題を修正します。  AN01919 すべての UNIX     openfile エラーが発生するまでの事前定義済みのタイムアウトを待ってから、監査ファイルを開く selogrd の機能を追加します。  
   
"Error 1285 [No such file or directory] opening audit file seos.audit"  ReopenInterval = <秒単位のタイムアウト> を [selogrd] セクションに追加します。
   
監査ファイルの置換時に、selogrd は監査ファイルを開くことができずに終了します。  selogrd は、監査ログ ファイルを再試行するまでの指定期間、待機します。
   
  ReopenInterval = 0 は、selogrd が監査ファイルを開くエラーで終了することを意味します。 
71 3 UNIX エンドポイント ユーザ モード CA ControlMinder をインストールしてアンインストールした後に、system-auth が不適切なファイルをポイントする問題を修正します。 AN01962 Linux x64 インストール スクリプトのバグ   CA ControlMinder をインストールしてアンインストールした後に、system-auth が適切なファイルをポイントするように、インストール スクリプトを修正します。 1. CA ControlMinder をインストールする前に、以下のコマンドを実行します。
ls -al /etc/pam.d/system-auth 
[root@konsh01-U108983 pam.d] # ls -al system-auth lrwxrwxrwx. 1 root root 25 Feb 28 17:37 system-auth --> /etc/pam.d/system-auth-ac 
[root@konsh01-U108983 pam.d]# ls -al password-auth lrwxrwxrwx. 1 root root 27 Feb 28 17:37 password-auth --> /etc/pam.d/password-auth-ac 
 
2. CA Privileged Identity Manager をインストールします。
system-auth および password-auth のターゲット ファイルが、ファイル system-auth-cm および password-auth-cm をポイントしていることを確認してください。
 
3. CA ControlMinder をアンインストールします。 system-auth および password-auth のターゲット ファイルが、依然としてファイル system-auth-cm および password-auth-cm をポイントしていることを確認してください。
72 2 UNIX エンドポイント ユーザ モード uxauth のインストール後に、/etc/pam.conf ファイルがゼロに設定されてから、ゼロ バイト ファイルとしてバックアップされる問題を修正します。 AN01706 すべての UNIX     新しい install_pam_uxauth.sh スクリプト  
73 2 UNIX エンドポイント ユーザ モード CA ControlMinder のローカライズされたアップグレードがデフォルトで英語になる問題を修正します。 AN01727 すべての UNIX        
74 2 UNIX エンドポイント ユーザ モード CA ControlMinder のアンインストール後に、/etc/pam.d/ にあるファイルに対する許可が保存されない問題を修正します。 AN01730 すべての Linux        
75 3 UNIX エンドポイント ユーザ モード /tmp/cfg が作成されて、12.6 SP2 へのアップグレード後に削除されない問題を修正します。  AN01880 すべての UNIX インストール シェル スクリプトのバグ この問題は 12.6 SP2 以上で発生します。 新しい install_base シェル スクリプト  
 
12.6 SP2 をインストールするか、または以前のバージョンから 12.6 SP2 にアップグレードします。 ディレクトリ /tmp/cfg が作成されたことを確認してください。 アップグレード後に、ディレクトリを削除します。
76 3 UNIX エンドポイント ユーザ モード UNAB のアンインストール後に、UNAB に関連するトークンをデフォルトにリストアするには、クリーンアップ アクティビティが必要となる問題を修正します。 AN01952 すべての UNIX     ビルドの一部として修正します。  
77 3 UNIX エンドポイント ユーザ モード パラメータ ファイルにある COMPUTERS_CONTAINER のカスタマイズされた値が、デフォルト値(cn=Computers)を返す問題を修正します。 AN01979 すべての UNIX インストール スクリプトのバグ   インストール スクリプトのフィクスで、rpm を再パックします。 1. # customize_uxauth_rpm -w Proceed -d /apps/VZEAC/redhat/unab/12.6 uxauth-126-2.0.633.x86_64.rpm
2. # customize_uxauth_rpm -g -f params.txt -d /apps/VZEAC/redhat/unab/12.6 uxauth-126-2.0.633.x86_64.rpm 
3. params.txt を開いて、このトークンの値を変更します。 COMPUTERS_CONTAINER=CN=COMPUTERS to COMPUTERS_CONTAINER= OU=UNIX 
4. params.txt を保存します。
5. # customize_uxauth_rpm -s -f params.txt -d /apps/VZEAC/redhat/unab/12.6 uxauth-126-2.0.633.x86_64.rpm 
6. uxauthd をインストールします。
# install: rpm -hiv uxauth-126-2.0.633.x86_64.rpm 
7. インストール後に、computer_container の値を確認します。 
 
computer_container の値は OU = UNIX でなく、デフォルト値の cn=Computers であることを確認してください。
78 3 UNIX エンドポイント ユーザ モード Solaris 11 に CA ControlMinder を日本語ロケールでインストールすると、以下のようなことが起こる問題が修正されます。 AN01983 Solaris Sparc ロケールが日本語に設定された場合に、Solaris 11 での cat コマンドは正常に機能しません。     1. Solaris 11 でテストします。
  AN01822 2. Export LANG=ja_JP.UTF-8 
seos.ini が切り捨てられる   3. Export LC_ALL=ja_JP.UTF-8 
[seos] セクションのキー トークンがない    4. install_base を実行します。
accommon.ini に accommon_path がない   [seos] セクションで定義された SEOSPATH および admin_data の無効な値が seos.ini ファイルに含まれていることを確認します。
    5. /opt/CA/AccessControlShared にある accommon.ini で、accommon_path が設定されているかどうかを確認します。
79 3 UNIX エンドポイント ユーザ モード "AS-" が付くデータベース クラスを TNG データベースとして処理する Install_base の問題を修正します。  AN01998 すべての UNIX install_base スクリプトのバグ。 このスクリプトは、"AS-" が付くデータベース クラスを TNG データベースとして処理して、TNG ルールを作成します。 ユーザ定義クラスおよびルールを含めて、データベースを定義します。 クラスの名前およびルールには、"AS-" という文字が含まれている必要があります。 TNG データベースとしてデータベースを正しく決定する新しい install_base スクリプト 1. 以下のようなクラス名で、データベースを作成します。
setoptions class+(AS-APP-EXECUTE)
chres ADMIN ('AS-APP-EXECUTE') audit(FAILURE) defaccess(NONE)
editres AS-APP-EXECUTE ('*') audit(FAILURE) defaccess(EXECUTE)
chres UACC ('AS-APP-EXECUTE') defaccess(EXECUTE)
editres CONTAINER ('CA-AssetTypes') audit(FAILURE) owner('root')
 
2. install_base を実行して、上位バージョンにアップグレードします。
3. アップグレード後に、データベースを確認します。 
 
クラスに "AS-" 文字が含まれているので、install_base スクリプトはデータベースを TNG データベースとして処理して、TNG ルールを作成します。
80 3 UNIX エンドポイント ユーザ モード パラメータ ファイル内のクリア パスワードが ****** でマスクされない問題を修正します。 この問題は、UNAB のカスタマイズされたインストールを実行するときに発生します。 AN02292 すべての UNIX パラメータ ファイルのクリア パスワード テキストがマスクされません。 パラメータ ファイルで、パスワードを指定します。 クリア テキスト パスワードを * でマスクします。 1. パラメータ ファイルに保存されたパスワードで、パッケージをカスタマイズします。
AN02287 2. UNAB をインストールします。
  3. パラメータ ファイルを確認します。 
   
  期待: クリア テキスト パスワードは * でマスクされる必要があります。
  実際: クリア テキスト パスワードは * でマスクされません。
81 3 UNIX エンドポイント ユーザ モード seoswd_debug ファイルのファイル モードが適切でないという問題を修正します。 seoswd は、所有者、グループ、およびその他のファイル許可 -rw で、seoswd_debug ファイルを作成します。 グループおよびその他に対する書き込み許可と読み取り許可を必要とするのは所有者のみであるため、ファイル モードが正しくありません。 AN02300 すべての UNIX seoswd は、0666 で seoswd_debug ファイルを作成します。 所有者、グループ、およびその他に対する書き込み許可が作成されますが、これはエラーです。 所有者のみに書き込み許可を付与する必要があります。   0644 で seoswd_debug のファイル モードを修正します。 1. In /opt/CA/AccessControl/log
rm seoswd_debug 
 
2. CA ControlMinder を開始します。 
3. ls -al /opt/CA/AccessControl/log/seoswd.
 
期待: -rw-r-r- 1 root 0 673 Nov 17 18:54 seoswd_debug
実際: rw-rw--rw-- 1 root 0 673 Nov 17 18:54 seoswd_debug
82 3 UNIX エンドポイント カーネル モード 追跡対象ユーザの KBL レコードがないという問題を修正します。 AN02331 AIX NULL ポインタ "upath" 引数が渡されるため、/etc/AC の COPYOUT は失敗します。   save  AIX で以下のことを実行します。
upath = fa->pname;  
before 1. seos.ini ファイルで、kbl_enabled = yes を設定します。 
fa->pname = NULL;  2. AC>eu test password(tesT) audit(interactive) 
  3. CA ControlMinder を開始します。 
4. "test" としてログインします。
5. KBL 監査を確認します。 
# seaudit -kbl
 
期待: 2014 23:10:39 P LOGIN test 274572 12 ismeax08.memco.co.il cmdlog
実際: 表示されるレコードの合計は 0
83 3 UNIX エンドポイント ユーザ モード ACL アクセスが none である場合に、累積 ACL / PACL は無視される問題を修正します。 AN02249 すべての UNIX 許可の設計   ACL アクセスが none として定義されている場合でも PACL の確認に進むように、AC の許可を変更します。 1. Selang のオプションで、ACL/PACL を累積に設定します(これがデフォルトです)。 
2. デフォルト アクセスを設定します。
AC> ef /QA_tmp/test defaccess(r) 
3. ユーザ アクセスを阻止します。
AC>auth file /QA_tmp/test uid(test) access(n) 
4. 特定のプログラムからのアクセスを許可します。
AC>auth file /QA_tmp/test via(pgm(/usr/bin/cat)) uid(test) access(r) 
5. アクセスを確認します。 
(test)$ cat /QA_tmp/test
 
期待: アクセス許可
結果: アクセス拒否 
84 3 UNIX エンドポイント ユーザ モード proftp ログイン アプリケーションがユーザの認識に失敗するため、ユーザのログインが失敗する問題を修正します。 AN02199 すべての UNIX CA ControlMinder は、proftp ログイン アプリケーションのログイン シーケンスの検出に失敗します。 その結果、CA ControlMinder でログイン ユーザは定義されません。   seosd フィクスを適用するか、または PAM を有効にするときに、loginflags を pamlogin に設定します。 1. AC> loginappl PROFTP loginflags(none) loginseq(N3UID, FUID, SGRP, SUID)
  2. proftp を実行します。
setgroup が -2 に設定され、setuid が -2 に設定されているため、ログイン シーケンスが正しくありません。  3. 非 root ユーザ(たとえば user1)としてサーバにログインします。 
  4. root/admin がログインしている別の端末で、"seaudit -a" を実行します。
5. PROFTP の LOGIN ログを確認します。ユーザ名が root である場合には、それは問題です。 
 
監査ログには、以下のことが表示されます。
# Audit log 24 Sep 2009 01:09:59 P LOGIN root 54 2 192.168.1.40 PROFTP
85 3 UNIX エンドポイント ユーザ モード アップグレード後の新しいバージョンで、call_sepass トークンがデフォルトに設定される問題を修正します。 AN02239 すべての UNIX アップグレード後の新しいバージョンに古いトークン値をコピーするスクリプトに、call_sepass トークンがありません。 アップグレードを実行するときに問題が発生します。影響を受けるトークンは call_sepass です。 アップグレード後に、call_sepass トークンの値を yes に手動で設定します。  
 
1. Linux に 12.6 SP3 をインストールします。
2. seos.ini で、call_sepass = yes および call_segrace = yes を設定します。
3. 12.6 から 12.8 にアップグレードします。 
4. アップグレード後に、call_segrace が yes に設定されて、その call_sepass がデフォルトに設定されていることを確認してください。
5. 追加の call_sepass トークンを検索することもできます。
 
 
86 2 UNIX エンドポイント ユーザ モード selogrd でターゲット ファイルに送信されるレコードが重複する問題を修正します。 AN02372 すべての UNIX 監査ログ レコードに切り替えるベース条件が正しくないため、selogrd によるログの先頭からの読み取りを強制します(offset = 0)。   selogrd が監査ログ レコードの読み取りに使用するベース条件を修正します。 1. CA ControlMinder を停止します。
2. レコードをターゲット ファイルに送信するように、selogrd.cfg の selogrd を設定します。
fileRule
file /tmp/audit.txt
<dot> 
3. log/seos.audit log/logroute.dat を削除します。
4. seos.ini で、開始するサービスから selogrd を除外します。
5. CA ControlMinder を開始します。
6. デバッグ モードで実行します。
'selogrd -debug'
7. seos.audit への新規レコードをトリガします。
例: selang を実行します。
8. /tmp/audit.txt で重複するレコードを調べます。
87 2 Windows エンドポイント ユーザ モード audit.cfg ファイルに PROCESS;*;*;*;Kill;* を設定した場合、プロセスを強制終了すると、N プロセス監査ログに記録された強制終了イベントがフィルタできないという問題を修正しました。 AN02047 すべての Windows       1. PROCESS;*;*;*;Kill;* を audit.cfg ファイルに設定します。
2. seosd.ex をタスク マネージャから強制終了します。
 
以下のイベントが監査ログに記録されます。
08 Apr 2014 15:53:29 N PROCESS Administrator Kill 600
10 \device\harddiskvolume2\program files\ca\access control\bin\seosd.exe
C:\Windows\system32\taskmgr.exe
88 2 Windows エンドポイント ユーザ モード ControlMinder サービスを監視する Watchdog スレッドがダンプを生成するという問題を修正します。 AN01984 すべての Windows この問題は、Windows 2003 でプロセスが PROCESS_QUERY_LIMITED_INFORMATION アクセス マスクを使用して開いた場合に発生します。   アクセス権限 PROCESS_QUERY_INFORMATION でプロセスを開きます。 VirtualMemorySize および HandlesCount の値を検証します。 さらに、GenerateMemDump 値に応じてプロセス ダンプを生成します。 1. CA ControlMinder エンドポイントを Windows 2003 で以下のサービスと共にインストールします。  
      ReportAgent
レジストリ キー値 GenerateMemDump = 0 を HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl に設定しても、プロセス ダンプの生成が無効になりません。 また、secons -i によって仮想メモリ サイズの間違った値が出力されます(CA ControlMinder メモリ使用率統計)。     タスクの委任
      拡張ポリシー管理
  2. CA ControlMinder を開始し、AccessControl\bin に DMP ファイルが生成されるまで約 15 分間待機します。
89 2 Windows エンドポイント カーネル モード 監査ログによって間違ったユーザの詳細が記録されるという問題を修正します。 AN01827 すべての Windows スレッド属性キャッシュがスレッドごとの代理実行情報の格納に使用されます。 キャッシュのコンテンツを新しいデータ(新しいユーザ SID)で更新する機能は、無効なキャッシュ エントリを削除する前にキャッシュ エントリの更新を実行します。 そのため、この更新では、別のスレッドが間違ったユーザのアイデンティティを認識し、問題になる可能性があります。 この更新を廃止することにより、間違った代理実行が行われる可能性を防ぎます。   更新テーブルを修正します。  
 
以下に例を示します。
共有を作成し、2 人のユーザ(ユーザ A とユーザ B)にアクセスを提供します。両方のユーザは、共有上でアクションを実行します。 監査ログでは、ユーザ A およびユーザ B に対する監査が混同して記録されるか、1 人のユーザの監査が別のユーザの監査の代わりに表示されます。
90 2 Windows エンドポイント ユーザ モード 端末名または IP にワイルドカード(*?)を含む TERMINAL 汎用ルールが許可の結果に何も影響しないという問題を修正します。 AN01775 すべての Windows     汎用リソース テーブル内のクライアントのホスト名または IP に一致する TERMINAL オブジェクト(ワイルドカードを含むオブジェクト)の検索を追加します。 CA ControlMinder エンドポイント A で以下を実行します。
1. CA ControlMinder を停止します。
2. TerminalSearchOrder = name,RDPIP を HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD に指定します
3. ユーザ tuser を作成します。
4. tuser でホスト B から A への RDP ログインを確認します。
5. CA ControlMinder を開始します。
6. CA ControlMinder ユーザ tuser を作成します。
     eu tuser owner(nobody)
7. ホスト B の IP に対する TERMINAL ルールをワイルドカードを使用して以下のように作成します。
     er terminal(130.119.179.*) owner(nobody) defaccess(none)
8. B からの RDP 接続を確認します。
 
予期される結果: ログインの拒否
実際の結果: ログインの許可
91 1 Windows エンドポイント ユーザ モード リモート システムからスクリプトを使用して自動的に読み込まれる 3 つの PMDB をシステムでホストする場合の問題を修正します。 PMDB でサブスクライバにコマンドを伝達することができず、sepmd -L コマンドは、負のオフセットを表示します。  AN02334 すべての Windows 多くの PMDB のサブスクライバが存在し、それらの一部が使用できない場合、更新をすべてのサブスクライバに送信するのに時間がかかります。    PMDB コマンドを処理するタイムアウトの設定を変更します。 Windows で以下の PMDB 階層を作成します。
  1. 2 個のマスタ PMDB (MASTER_A および MASTER_B)を作成します 
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Pmd\TCPReceiveTimeout 2. 10 個の PMDB を同じマシン上に作成します: SUB_A1、SUB_A2、SUB_A3、SUB_A4、SUB_A5 SUB_B1、SUB_B2、SUB_B3、SUB_B4、SUB_B5 
  3. 50 個の PMDB を別のマシン上に作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Pmd\ClientOperationTimeout 4. 5 つのサブスクライバを MASTER_A に追加します: SUB_A1、SUB_A2、SUB_A3、SUB_A4、SUB_A5 
  5. 5 つのサブスクライバを MASTER_B に追加します: SUB_B1、SUB_B2、SUB_B3、SUB_B4、SUB_B5 
6. 50 のサブスクライバを各 PMDB SUB_XY に追加します。 そのため、10 個の PMDB がそれぞれ 50 の PMDB に更新を送信します。
7. 50 個のコマンドを MASTER_A および MASTER_B に送信するスクリプトを作成します。
Selang -c 'host MASTER_A@machinename; eu t613872 name("USUARIO NO ASIGNADO") resume owner(nobody)audit(all) ; join t613872 group(AC_USER_SERV) owner(nobody);join t613872 group(AC_LOGIN_EXC) owner(nobody)'
 
Selang -c 'host MASTER_B@machinename; eu t613872 name("USUARIO NO ASIGNADO") resume owner(nobody)audit(all) ; join t613872 group(AC_USER_SERV) owner(nobody);join t613872 group(AC_LOGIN_EXC) owner(nobody)' 
 
8. マスタ PMDB から何もエラーを受信しないことを確認します。
9. すべてのコマンドがサブスクライバに送られたことを確認します。
注: ネットワークが低速の場合、レジストリ値を変更する必要があります。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Pmd\ClientOperationTimeout および HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Pmd\TCPReceiveTimeout を 5 分(300)に設定します。 
デフォルトの値は 1 分(60)です。
92 2 Windows エンドポイント ユーザ モード ログイン ユーザ A が汎用リソース(ファイル)に最初にアクセスすると、ユーザ A に対する監査レコードが生成されますが、同じユーザ A がその後リソースにアクセスすると、まだシステムにログインしていない別のユーザ B の名前で置き換えられた監査が生成されるという問題を修正します。 AN02312 すべての Windows 適用されたハッシュ関数は、OACS01\\2676 など、4 桁の番号で指定されたユーザ名を含むキーから一意のハッシュ値を生成するために有効ではありません。   現在のハッシュ関数をより有効なハッシュ関数 CRC に置き換えます。  
93 2 Windows エンドポイント ユーザ モード XGROUP 権限に従ってデプロイされたポリシーが PUPM ユーザに対して正しく動作しないという問題を修正します。  AN02309 すべての Windows seosd は、AgentManager (PUPMAgent プラグイン)がネイティブ ユーザに対する解決済み OS グループのリストを seosd に送信できない場合、AgentManager プロセスが seadmapi 関数を実行するのを許可しません。 Seosd は、リストを PUPM ACEE に割り当て、許可に使用します。     1. エンタープライズ管理サーバに Microsoft Active Directory をユーザ ストアとして接続します。
  2. エンドポイント(Access Control タイプの場合は PUPM)に対する特権アカウント(たとえば localadmin)を検出します。
例を以下に示します。 3. Active Directory ユーザが特権アカウント(local admin)をチェックアウトし、エンドポイントへの自動 RDP ログインを実行します。
seosdb に以下のルールがあるとします。 4. Active Directory ユーザがエンドポイント上で cmd.exe を開き、secons -whoami を実行します。
auth file c:\tmp\kuku.txt gxid(TRUST3\xxx_Test_group) acc(n)。 また、AD ユーザ (TRUST3\128)は TRUST3\xxx_Test_group のメンバです。 TRUST3\128 がエンドポイントに自動ログインで接続し、ファイルを開こうとすると、拒否されるイベントはありません。     結果: コマンドは PUPM ユーザが Active Directory ユーザであることを表示します
  5. cmd を管理者として実行し、secons -whoami を実行します。
    結果: コマンドは、PUPM ユーザがローカル管理者であることを表示します
 
元の ID は失われます。 PUPM ACEE には、Active Directory ユーザが属する OS グループのリストは含まれません。 その結果、XGROUP 権限を持つすべてのデプロイされたポリシーは、マシン上では動作しません。
94 1 Windows エンドポイント カーネル モード 不適切な受信接続によって Selang および HOST クラスが適切に機能しないという問題を修正します。 AN02299 Windows x64 TCP/IP 同期のサポートは WFP フレームワークで提供されていないため、多くの受信接続の問題が発生します。   TANSPORT レイヤが TCP/IP 同期接続を処理するために追加されました。 1. すべてのクラスを無効にします。
    AC> so class-(tcp)
    AC> so class-(connect)
    AC> so class-(host)
 
2. すべてのクラスに対するルールを作成します(禁止の場合)
    AC> er tcp 3389 defaccess(n) audit(a) owner(nobody)
    AC> er connect 10.134.6.179 defaccess(n) audit(a) owner(nobody)
    AC> er host 10.134.6.179 audit(a) owner(nobody)
    AC> auth host 10.134.6.179 services(*) acc(n)
 
3. すべてのクラスを 1 つずつオンにします。
     AC> so class+(tcp)
     予期される結果: 受信接続および送信接続が許可されません。
     実際の結果: 受信接続および送信接続が許可されません。
 
     AC> so class-(tcp)
     AC>so class+(connect)
 
両方の方向から RDP 接続をテストします(受信および送信)。
予期される結果: 送信接続はブロックされ、受信接続は許可されます。
実際の結果: 送信接続はブロックされ、受信接続は許可されます。
 
       AC> so class-(connect)
       AC> so class+(host)
 
両方の方向から RDP 接続をテストします(受信および送信)。
予期される結果: 送信接続は許可され、受信接続はブロックされます。
実際の結果: 送信接続と受信接続が許可されます。 
95 2 Windows エンドポイント ユーザ モード 管理モード(管理者として実行)でプログラムを起動すると、PUPM ユーザの ID が変更されるという問題を修正します。 AN02294 すべての Windows       1. Windows 2012 マシン(ドメイン メンバ)上で CA ControlMinder を PUPM 機能と共にインストールし、統合機能にログインします。 Windows の UAC 機能が有効になっていることを確認します。
2. エンタープライズ管理サーバ(ENTM)を Active Directory をユーザ ストアとしてインストールします。
3. RDP アプリケーションで上記のホストのエンドポイントを作成します。
4. PUPM アカウントを作成します。
5. エンドポイント上で、PUPM アカウントを CA ControlMinder データベースに XUSER として定義し、[元のアイデンティティを使用]フラグと PUMP のチェックアウトを必要とするフラグを設定し、OS ユーザを Administrators グループに追加します。
6. ENTM 内で PUPM ユーザの自動ログインを実行します。
7. ログイン ユーザのアイデンティティを確認し、ACEE タイプが PUPM ユーザであること、およびユーザ名が ENTM admin ユーザであることを確認します。
    > secons -whoami
8. UAC 機能を使用し、[管理者としての実行]によってプログラムを実行します。
9. ログイン ユーザのアイデンティティを確認し、ACEE タイプが PUPM ユーザであること、およびユーザ名が ENTM admin ユーザであることを確認します。
    > secons -whoami
 
実際の結果:
ログイン ユーザが表示され、PUPM ユーザは表示されません。 アイデンティティは UAC セッション内で失われています。 
96 2 Windows エンドポイント ユーザ モード アップグレードによって AgentManager を AC サービス レジストリに追加できないという問題を修正します。 AN02230 すべての Windows       1. 12.5 SPx をインストールします。
2. 12.8/12.8 CF1 にアップグレードします。
次のレジストリで AgentManager が使用可能でないことを確認します。
HKLM\SOFTWARE\ComputerAssociates\AccessControl\AccessControl
97 1 Windows エンドポイント ユーザ モード 接続が切断された RDP セッションがシステムによってログオフされるという問題を修正します。  AN02222 すべての Windows 識別された Windows OS イベントが、接続が切断されたセッションをログオフします。   WTS Disconnect State-Change イベントで、接続が切断されたセッションの状態がアクティブかどうかを確認し、このセッション ID を現在のセッション リストおよび切断されたセッション リストから削除しないようにします。 1. ホスト B で、繰り返しの RDP 接続用のスクリプトおよびバイナリを含む環境を作成します。
2. CA ControlMinder をターミナル サーバ(ホスト C)を備えたテスト マシンにインストールします。
3. 管理者としてホスト C にログインします。
     a.  CA ControlMinder を停止します。
     b.  Windows\system32 にある eACSubAuth.dll の名前を変更します。
     c. 次のレジストリで TerminalsearchOrder = RDPIP を設定します
          HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD
     d. Selang から以下を実行します
           er TERMINAL ("IP of host A") audit(FAILURE) defaccess(READ WRITE) owner(nobody)
           chres TERMINAL ("_default") audit(FAILURE) defaccess(NONE) owner(nobody)
            nu ("admin") password(Mazda626)
            eu ("admin") audit(FAILURE LOGINSUCCESS LOGINFAILURE) owner(nobody)
            auth terminal( host C ) uid(admin) acc(a)
            次のクラスを無効にします: WINSERVICE、REGKEY、REGVAL、PROGRAM、PROCESS、PASSWORD、FILE
            so class-(.....),
     e. AC\Log\seos.audit をクリーンアップします。
     f. CA ControlMinder を開始します。
     g. ターミナル サービス マネージャを開き(tsadmin.msc を実行)、[セッション]タブでリフレッシュ間隔を 1 秒に設定します
4. ホスト A の RDP 接続ユーザ管理で、セッションの接続を切断し、ホスト C 上のターミナル サービス マネージャでこのセッション ID を確認します。
5. ホスト B で、ユーザ管理の CA ControlMinder エンドポイントに RDP 接続を繰り返すスクリプトを実行します。
監査ログおよびターミナル サービス マネージャを定期的に確認します。
 
予期される結果:
監査レコードのレポートのみ
D LOGIN admin 1069 2 <host B> Terminal Services
 
実際の結果:
O LOGOUT admin 1069 2 <host B> Terminal Services
続いて該当 ID の切断されたセッションがログオフされます。
ターミナル サービス マネージャで、該当する ID の切断セッションは表示されません。 
98 2 Windows エンドポイント カーネル モード TCP および CONNECT クラスが Windows 2012 で機能しないという問題を修正します。 これは、WFP の同期実装を使用するネットワーク コードの既知の制限です。 AN02206 Windows x64 WFP の同期実装では、パケットが処理のためにディスパッチ レベルでスケジュールされているため、ルール ベースで認証することができません。 WFP の非同期実装がディスパッチ レベルの問題に対応するために追加されました。 パケットの非同期認証を処理する新しい WFP の実装が追加されました。 1. cmd.exe を開き、コマンド プロンプトで Selang と入力します。
2. 以下のコマンドを入力します。
     AC> so class+(connect)
     AC> er connect 192.168.48.1 defaccess(n) audit(success,failure) owner(nobody)
3. mstsc を開き、192.168.48.1 への接続を試行します。 接続が確立されます。
4. 最初に cmd.exe に移動し、以下のコマンドを入力します
     AC> so class-(connect)
     AC> so class+(tcp)
     AC> er tcp 3389 defaccess(n) audit(success,failure) owner(nobody)
5. 手順 3 を繰り返します。 結果は同じです。
99 3 Windows エンドポイント ユーザ モード Selang または sepmdd が多くのメモリを消費するため、ユーザのネイティブのパスワードの更新が失敗するという問題を修正します。 AN02211 すべての Windows この問題は、"rules-" がオフの場合に双方向の暗号化がオフになるために発生します。 しかし CA ControlMinder では引き続き双方向モードを使用してパスワードの暗号化を試行します。 Run "rules-" を確認します。 1. CA ControlMinder を停止します。
AC>password(rules-) "rules-" が無効な場合は、双方向も無効です。 2. cd コマンドで pmdb データベースに移動します
eu test01 password(xxxx)" により問題が再現されます。   3. Selang -d
  4. AC>so password(rules-)
5. AC>eu test01 password(xxxx)
 
Selang は、コマンドを実行した後に 4 ギガのメモリを消費します。
100 3 Windows エンドポイント ユーザ モード dbmgr -e -l -c コマンドが、構文的に正しくない Selang コマンドを生成するという問題を修正します。 AN02308 すべての Windows dbmgr -e -l -c コマンドが正しく実装されていません。 dbmgr コマンドを DMS データベースまたは DH__ データベースで実行します。  新規のバイナリ dbmgr を作成します。 1. ポリシーを作成します
新しい dbmgr コマンドでは、RULESET を作成する Selang コマンドを生成します。      # policydeploy -store Test -ds c:\tmp\ds.txt -uds c:\tmp\uds.txt -dms DMS__@
       # policydeploy -assign Test -hnode hostname.xxx.com -dms DMS__@
2. CA ControlMinder および DMS__ をシャットダウンし、DMS__ データベースで対応します。
    # cd /opt/CA/AccessControl/policies/DMS__
    # dbmgr -e -l -f DEPLOYMENT GDEPLOYMENT GHNODE GHOST GPOLICY HNODE POLICY RULESET -f DMS_export.txt
 
予期される結果:
DMS_export ファイルに、以下の RULESET コマンドが含まれていません。
editres RULESET
authorize POLICY
authorize RULESET
 
実際の結果:
DMS_export ファイルに、RULESET コマンドが含まれています。
editres RULESET
authorize POLICY
authorize RULESET
101 2 Windows エンドポイント ユーザ モード アップグレード後に msiexec.exe に対する SPECIALPGM ルールが削除されるという問題を修正します。 アップグレード プロセスは、内部目的のために msiexec.exe に対して SPECIALPGM ルールを作成します(CM ドライバの問題を回避するため)。 アップグレード後、インストーラは、以前のバージョンに存在する場合でもこのルールを削除します。 AN02317 すべての Windows     ビルドの一部として修正します。 1. Windows 2008 R2 上で 12.5 SP5 をインストールします
2. 以下のルールを追加します。
    editres SPECIALPGM ("C:\WINDOWS\system32\msiexec.exe") owner('nobody')
    pgmtype(BACKUP DCM PBF PBN STOP REGISTRY SURROGATE) unixuid(*)
3. 12.5 SP5 から 12.8GA にアップグレードします。
 
予期される結果:
ルールが 12.8 に表示されます
 
実際の結果:
ルールが 12.8 に表示されません
102 2 Windows エンドポイント ユーザ モード SSL 接続を介してホストを検証するための証明書を追加する問題を修正します。  AN02099 すべての Windows     レジストリ値を作成します。  
1. HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\crypto\cleanup_schedule = 00:00@Sun,Mon,Tue,Wed,Thu,Fri,Sat (STRING)
 
2. HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\crypto\refresh_timeout = 86400 (DWORD)
 
3. HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\crypto\ssl_hostname_validation = 0 (DWORD)
103 2 Windows エンドポイント ユーザ モード ユーザがエンドポイントに存在しない場合でも、そのユーザが CA ControlMinder エンドポイントにログインし、データベース内に XUSER として作成されるという問題を修正します。 AN02163 すべての Windows レジストリ値: HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\OS_user\create_user_in_db は 1 に設定されます。   レジストリ値 HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\OS_user\create_user_in_db を 0 に設定します 1. レジストリ値: HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\OS_user\osuser_enabled を 1 に設定します。
2. レジストリ値 HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\OS_user\create_user_in_db を 1 に設定します
3. CA ControlMinder エンドポイント上でユーザを作成します。
4. RDP 接続用のユーザを追加します。
5. RDP を介してそのユーザでエンドポイントに接続します。
6. ユーザがデータベースに XUSER として作成されます。
104 3 Windows エンドポイント ユーザ モード seaudit -I D20 が TCP 監査イベントを返さないという問題を修正します。 AN02215 すべての Windows -i * * がコマンド ラインに設定されている場合、変数が設定されていません。   INET レコードを含む新しい seos.audit ファイルを取得します。 seaudit -i * * を実行します 
  監査ログに TCP レコードまたはイベントが含まれていないことを確認します。
1. TCP クラスを有効にします。  
    AC>so Class+(TCP)  
    AC> TCP _default audit(all)  
2. ローカルホストで putty をダウンロードします。  
3. putty (ssh) を実行して別のマシンに接続します。 これにより seos.audit に INET ログが生成されます。  
4. seaudit -i * * を実行します  
   seaudit -i は TCP 監査イベントを表示します。  
105 2 Windows エンドポイント ユーザ モード RemoveAC.exe ユーティリティの問題を修正します。 指定された場所から入力パラメータを通じてレジストリ キー データを削除できるようになりました。 AN02522 すべての Windows       1. CA ControlMinder を停止します。
  2. レジストリをバックアップします。
例: C:\>REG SAVE HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl C:\Temp\reg.bak
RemoveAC -d SOFTWARE\ComputerAssociates 3. レジストリを間違った場所にリストアします
データ サブキーのみを次のレジストリ キーから削除します C:\>REG RESTORE KEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates "C:\Temp\reg.bak"
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates (存在する場合)   
  レジストリは、ComputerAssociates の下にリストアされ、データを削除することはできません。 
106 2 Windows エンドポイント ユーザ モード ACEE ユーザ ログインが拒否され、拒否ログイン イベント ID:4776 がセキュリティ イベント ログに記録されるという問題を修正します。 AN02520 すべての Windows ACEE テーブルを更新するガベージ コレクタのスレッドは 5 分間隔で実行されます。 ACEE セッションが現在のセッションでない場合、ガベージ コレクタは、ACEE テーブルから ACEE ハンドルを削除します。     ドメイン コントローラ上で 10 分以上にわたってログインを何回も繰り返し実行します。
   
ユーザ ログインの許可が完了していない場合(つまりセッションがまだ作成されていない場合)は、ガベージ コレクタが ACEE ハンドルをテーブルから削除し、AUTH_E_INVALIDACEE エラーをスローします。 セキュリティ ログのレコードで、拒否されたログイン イベント ID:4776 およびエラー コード: 0xc000006f を確認します。
  イベントが 5 分ごとに表示されていることを確認します。
107 2 Windows エンドポイント ユーザ モード seosd のメモリ リークの問題を修正します。 複数のログオン セッションがあるシステムで、CA ControlMinder の設定に従ってエンタープライズ ユーザおよびグループが無効になっている(osuser_enabled が 0 に設定されている)場合、メモリ リークの問題が発生します。  AN02516 すべての Windows        
108 2 Windows エンドポイント ユーザ モード Selang コマンドを実行するためのユーザ権限がないために dmsmgr -cleanup -hnode -dms DMS__@ コマンドが失敗するという問題を修正します。 ただし、その場合でも dmsmgr は「操作が正常に完了しました」というメッセージを出力します。 AN02513 すべての Windows LCA API コールからのリターン コードがありません。 管理者権限を持たないユーザを DMS__ に作成し、dmsmgr -cleanup コマンドを実行します。 DMS__ に管理者権限を持つユーザで dmsmgr を実行します。  DMS__ に管理者権限を持たない通常のユーザとしてログインし、以下のコマンドを実行します。
dmsmgr -cleanup -hnode -days 2 -dms DMS__@
 
DMS__ で hnode を削除する管理者権限をユーザが持っていないため、hnode は削除されませんが、dmsmgr は「操作が正常に完了しました」というメッセージを返します。
109 2 Windows エンドポイント ユーザ モード バージョン 12.5/12.6 から 12.8 へのアップグレードの後、XUSER が PMDB に作成され、ルールの更新が失敗するという問題を修正します。 AN02460 すべての Windows       1. 12.5 SP5 または 12.6 SP1 をインストールします。
2. 以下のコマンドを使用して PMDB を作成します。
    > createpmd pmd1
    この場合、ログイン ユーザをこの PMDB に対する管理者ユーザとして設定します。
3. 以下のコマンドを使用して PMDB を作成します。
     > createpmd pmd2 admins(acadmin)
     この場合、管理者ユーザは acadmin ですが、ログイン ユーザではないことを指定します。 この PMDB に接続しようとすると、アクセスが拒否されます。 ユーザ acadmin のみがこの PMDB を管理できます。
4. 12.8 にアップグレードします。 アップグレードはログイン ユーザとして実行してください(<ドメイン>\<マシン名>)。
5. アップグレード プロセスが両方の PMDB に対して成功したことを確認します。 各 PMDB についてエラーがないかどうか pmd.audit を確認します。 DENIED の監査が示されていない必要があります。
 
アップグレード プロセスは、新しい PMD1 PMD2 の Policy Model を作成し、以前のインストールからすべてのデータをインポートする必要があります。 アップグレードを実行するユーザは両方の PMDB で ADMIN です。
110 2 Windows エンドポイント ユーザ モード ファイル リソースに適用される時間の制限が午前 0 時に機能しないという問題を修正します。 AN02445  すべての Windows Windows では、EndTime より後の StartTime に対する制約が Selang によって拒否され、エラーが表示されます。     1. ファイルを作成します
Selang は制限エラーを設定しました。      echo 1234 > C:\temp\qqq.txt
エラー: 1801:0759 は有効な期間ではありません。 2. Selang で、以下のコマンドを入力します。
       er FILE(C:\TEMP\qqq.txt) owner(nobody) defacc(a) audit (a)
     chres FILE(C:\temp\qqq.txt) restrictions(d(weekdays) time(2123:0345))
 
エラーが表示されます。
エラー: 2123:0345 は有効な期間ではありません。 有効な形式については、「help timerange」を使用してください。
111 3 Windows エンドポイント ユーザ モード 条件付き ACL を参照している場合に sepmdd コア ダンプが発生するという問題を修正します。 AN02454  すべての Windows       1. AC>host PMDB
2. AC>nr hostnet myhostnet mask(255.255.255.0) match(192.16.xxx.0)
3. AC>nr TCP 21
4. AC>auth TCP 21 hostnet(myhostnet)
5. AC>sr TCP 21
 
実際の結果:
pmdb protocol error. sepmdd memory dump.
112 2 Windows エンドポイント カーネル モード .NET アプリケーションをインスツルメントする場合のゾンビ プロセスの問題を修正します。 AN02482  すべての Windows       .NET アプリケーションをいくつか開き、数分間実行します。 これにより最終的にシステムの速度が低下します。
113 2 Windows エンドポイント カーネル モード 1 つのファイルの転送後に接続が閉じられるために VSFTPD サーバ(FTP サーバ)を介して複数のファイルを転送できないという問題を修正します。 AN02533  すべての Windows WFP フレームワークは、FIN ACK 失敗状態に対応できません。   ネットワーク コードで FIN ACK 失敗状態に対応します。