CA ControlMinder r12.8 GA FIXLIST-Japanese
3937
24 May 2019
24 May 2019
| No. | 重大度 | モジュール | 問題のサマリ | パッケージ | OS | 問題の原因 | 条件 | 解決策または回避策 | 再現手順 |
| 1 | 2 | UNIX エンドポイント ユーザ モード | ControlMinder PAM インストーラが pam_seos.so バイナリを含むファイルを更新しない問題を修正しました。 | AN00014 | Linux all | この問題は、AS 5.x および 6.x 上の authconfig ユーティリティが system-auth (および存在する場合は password-auth)を再書き込みし、UANB PAM フックが失われた場合に発生します。 | authconfig が CM PAM フックと競合する。 | UNAB PAM ポスト インストール スクリプトを導入し、ControlMinder が 'authconfig' による PAM 設定ファイルの変更と共存できるようにします。このスクリプトは、authconfig の変更を system-auth (および存在する場合は password-auth)にマージして system-auth-cm へのリンクにします。これにより、UNAB PAM フックは authconfig によってステップ オーバーされなくなり、authconfig の変更は、system-auth-ac (および存在する場合は password-auth-ac)内に反映されます。 | CA ControlMinder のインストール後に 'authconfig --update' を実行します。system-auth(および存在する場合は password-auth)で ControlMinder PAM フックが発生しなくなります。 |
| 2 | 3 | UNAB | ControlMinder PAM インストーラが pam_seos.so バイナリを含むファイルを更新しない問題を修正しました。 | AN00015 | Linux all | この問題は、AS 5.x および 6.x 上の authconfig ユーティリティが system-auth (および存在する場合は password-auth)を再書き込みし、UANB PAM フックが失われた場合に発生します。 | authconfig が UNAB PAM フックと競合する。 | UNAB PAM ポスト インストール スクリプトを導入し、ControlMinder が 'authconfig' による PAM 設定ファイルの変更と共存できるようにします。このスクリプトは、authconfig の変更を system-auth (および存在する場合は password-auth)にマージして system-auth-cm へのリンクにします。これにより、UNAB PAM フックは authconfig によってステップ オーバーされなくなり、authconfig の変更は、system-auth-ac (および存在する場合は password-auth-ac)内に反映されます。 | UNAB のインストール後に 'authconfig --update' を実行します。system-auth(および存在する場合は password-auth)で UNAB PAM フックが発生しなくなります。 |
| 3 | 2 | UNIX エンドポイント ユーザ モード | 成功した SSH ユーザ ログイン エントリが seaudit に存在しないという ControlMinder の問題を修正しました。 | AN00032 | Solaris | この問題は、/usr/lib/ssh/non-fips/sshd がログイン プログラムとして呼び出されていることが原因です。/usr/lib/inet/proftpd、/usr/lib/ssh/fips/sshd、/usr/lib/ssh/non-fips/sshd に新しい loginappl が必要です。 | Solaris 11u1 へのログインの監査 | 新しい loginappl をインストールに追加します。 | 成功した ssh および ftp ログインが Solaris 11u1 上で監査されません。 |
| 4 | 2 | UNIX エンドポイント カーネル モード | マウント ポイントを新しいルートとして使用して chroot コマンドを実行するときのバグを修正しました。SLES 11 SP2 では、エラー メッセージ「BUG: unable to handle kernel paging request at 000000000000e990」が返されていました。また、カスタマが chroot /srv を実行するとサーバは即座にリブートします。コンソール上で root としてログインしている場合でも、chroot /srv を実行するとフル カーネル パニックが発生します。ただし、chroot /src/www を実行すると「chroot: failed to run command `/bin/bash': No such file or directory.」というエラー メッセージが表示されます。 | AN00040 | Linux all | full_d_path() は、vfsmount_lock_lock を Linux の vfsmount struct アクセスのロックとして正しく使用していませんでした。 | この問題は、Linux カーネル 3.0 以降で、chroot コマンドの新しいルートがマウント ポイントであるときに発生します。 | vfsmount struct アクセス用の正しいロックを識別します。 | SLES 11 SP2 Linux システムまたはバージョンが 3.0 以降の任意の Linux kernel で以下の手順を実行します。 1. CA ControlMinder を開始します。 2. マウント ポイントを見つけます。 3. 「chroot mounting_point」を実行すると即座にシステム パニックが発生します。 |
| 5 | 3 | UNIX エンドポイント ユーザ モード | クライアントは 12.6SP1 では検証モードでポリシーを正常にデプロイできるが、エージェントを 12.6SP2 にアップグレードするとポリシーが正常にデプロイされないという ControlMinder の問題を修正しました。データベース バックアップ用の policyfetcher リクエストが seosd によって拒否されていました。 | AN00045 | UNIX all | SP2 検証モードの些細な変更により、任意のエラーが発生した場合に検証モードが続行不可になります。 | policy_verification がオンの場合。 | 1. エンドポイント上で、vi seos.ini policy_verification = yes を設定します。 2. DMS__ サーバ上で、ポリシーを作成します。 3. 作成したポリシーをこのエンドポイントに割り当てます。 | |
| 6 | 3 | Windows エンドポイント ユーザ モード | エンドポイントをホスト グループにアタッチするとポリシーがインストールされない、CA ControlMinder ポリシー検証の問題を修正しました。 | AN00066 | Windows all | 2 つのファイル(seos.errors および seos.audit)が最後のポリシー検証からデータベース内に残ったままになり、データベース バックアップから削除されませんでした。 | Windows 環境で、2 回目のポリシー デプロイメント時に発生します。最初のデプロイメントでは問題ありません。 | seosd.exe fi9x を適用するか、または policy_verification をオフにします。 | regedit で、policy_verification = yes または 1 に設定します。 2 つの単純なポリシーを作成して、GHNODE に割り当てます。GHNODE にエンドポイントを追加し、次に、そのエンドポイント内の policyfetcher の次のサイクルまで待機します。policyfetcher.log でエラーを確認できます。 たとえば、p1 および p2 が作成されるとします。p1 および p2 を GHNODE TestGrp に割り当てます。 直後に、AC>er GHNODE TestGrp mem(endpoint) を実行します。2 つのポリシー(p1 および p2)はエンドポイント内の policyfetcher によって取得されます。 以下にエラーを示します: 04:20:23@Mar 17 2013 - verification option: copy the database to C:\Program Files\CA\AccessControl\Data\deploy_check_db 04:20:23@Mar 17 2013 - verification option: failed to copy the database to C:\Program Files\CA\AccessControl\Data\deploy_check_db, rv = 631 |
| 7 | 3 | UNIX エンドポイント ユーザ モード | ユーザが "sesudo rm -rf /tmp/test.txt" を実行しようとしたときの ControlMinder の問題を修正しました。このコマンドを実行すると警告モードで拒否され、sudo ルールは値リストを禁止していました。そのリストからコマンドを実行すると、リソースが警告モードにもかかわらず DENY を返します。 | AN00074 | UNIX all | accesssudo リソースを許可している場合、sudo は警告モードを適用しません。また、SUDO クラスは、警告モードで禁止された値を適用します。 | 警告モードでの sudo ルール | sudo ルール警告モードの場合は、sudo リソースへのアクセスが許可され、適切な監査が保存されます。また、sudo コマンドは警告モードのリソースで許可されます。 | 1. sudo ルールを設定します。 AC> er program /opt/CA/AccessControl/bin/sesudo defaccess(x) AC> nr SUDO rm data('/usr/bin/rm;-rf;') defaccess(n) warning 2. 'test' ユーザとしてログインし、以下のコマンドを実行します。 % ./sesudo -list rm : /usr/bin/rm;-rf; $ touch /tmp/test $ ./sesudo rm -rf /tmp/test sesudo: You are not allowed to use '-rf' as parameter number 1. 正しい結果: アクセスが許可され、監査レコードの警告が表示されます。 =============================== 警告モードでの SUDO クラスもテストします。 AC> so class(SUDO) flags+(W) |
| 8 | 2 | Windows エンドポイント ユーザ モード | システムにログインするユーザが Windows サーバのローカル ユーザである場合にのみ XUSER が作成されるという、XUSER 作成の問題を修正しました。ユーザが Windows サーバの同じドメインまたは異なるドメインに属している場合、そのユーザは作成されません。 | AN00105 | Windows x64 | ユーザがワークステーションにログインし、XUSER を作成しない場合、ログオン セッション ID は ACEE ハンドル ケースにすでにマップされていました。 | ユーザがワークステーションにログインすると、「ログオン セッション ID」が ACEE ハンドルにすでにマップされている。 | デプロイされた修正(T4CC199.caz)により、ユーザは xgroup が以前に定義されているとして作成され、ドメイン ユーザでログインした場合、ユーザ/グループは自動的に追加されます。 | ドメイン ユーザ HD00\c010000 がシステムにログインすると、監査で以下のレコードのみが表示されます。 24 Sep 2012 15:40:02 P LOGIN HD00\c010000 1059 2 RE-FI01 Terminal Services (OS user) -------------------- ドメイン ユーザとしてログインした後に、ユーザはドメイン内の他のユーザを検索することができます。 1. XUSER/XGROUP およびすべての FILE /GFILE ルールを削除します。 2. ユーザ HD00\C010000 でログインします。 3. 以下のとおり、XUSER が定義されていません。以下で確認できる XUSER は他の目的のため手動で定義されたものです。 AC> f XUSER (localhost) HD00\EE15385 HD00\EE25522 HD00\EE26046 HD00\N501495 HD00\N555946 HD00\N990103 USACIQW00\testu |
| 9 | 2 | UNIX エンドポイント カーネル モード | 特定のシェル スクリプトを実行したときに、seosd.trace で約 20 秒の待機時間を必要とし、その結果、シェルの処理時間に約 3 分かかる問題を修正しました。 | AN00112 | Linux all | システム コールが PF_INET6 でも PF_INET でもないピア アドレスを取得します。 | 修正(T4CC214)の実装により、ピア アドレス PF_INET6 および PF_INET のみを取得するようにしました。 | ||
| 10 | 2 | UNIX エンドポイント ユーザ モード | syslog 上にある serevu からの全般メッセージが ERR カテゴリになるという、AIX 環境での CA ControlMinder 12.6 SP1 の問題を修正しました。 | AN00113 | UNIX all | seagent はハンドシェイクの準備ができていないため、CRIT ハンドシェイク失敗メッセージが作成されます。 | fips のみで CM をインストールします。 | 修正(T4CC213)の実装により、seagent とのハンドシェイクを呼び出す前に serevu の起動を 60 秒遅延させて CRIT ハンドシェイク失敗メッセージが表示されないようにしました。 | fips のみで CM をインストールします。 seos.ini で "serevu = yes" を設定します。 CM を起動して syslog を確認します。 |
| 11 | 3 | UNIX エンドポイント ユーザ モード | seversion がディレクトリに対して呼び出された場合に Segmentation fault エラーを取得し、seversion がクラッシュするという Linux x64 での CA ControlMinder の問題を修正しました。 | AN00122 | Linux x64 | 不適切なバイト読み取りが返されたために、seversion_search() のバッファ オーバーフローが発生しました。 | 修正(T5P7255)の実装により、ディレクトリへのパスをバイパスし、ループ内で現在の配列インデックスを確認することで安全性を確保しました。 | 1. Linux x64 RH 5.9 ~ 6.4 上に AC をインストールします 2. seversion -a /opt/CA/AccessControl/lib を呼び出します。 3. 予期される結果: Module Name: Version+(Min) Compilation Date ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~ ../lib/ N/A.N/A No Compilation Date 実際の結果: Segmentation fault(コア ダンプ) | |
| 12 | 3 | Windows エンドポイント ユーザ モード | クライアントのコンソール ログインで問題が発生する CA ControlMinder の問題を修正しました。クライアントには localhost 端末用のルールセットがありますが、コンソール ログインが拒否されます。 | AN00125 | Windows all | この問題は、コンソール ログインに関する以前のテスト修正によって発生しました。認証後、ローカル コンソール ログインに 1 つのコード パスが使用され、Terminal Service を通じて同一のルールでこのスレッドが繰り返されることで、2番目の認証が拒否されます。 | 修正(T5P7254)の実装により以前の修正が置き換えられ、セッション タイプの認識を追加することで、Terminal Service スレッドでの重複する認証を回避します。 | 1. TERMINAL (_default) に defacc(none) を設定します。 er terminal(_default) defacc(none) 2. CONSOLE および RDP への管理者ログインを許可するルールを以下のように設定します。 authorize TERMINAL ("parji03.localdomain") access(READ WRITE) uid('WIN-N6SIV03V3BQ\Administrator') authorize TERMINAL ("WIN-N6SIV03V3BQ") access(READ WRITE) uid('WIN-N6SIV03V3BQ\Administrator') 3. コンソール ログイン ユーザ Administrator を作成します。 4. 予期される結果は許可(P)ですが、ログインは拒否(D)されます。監査ログを確認してください。 | |
| 13 | 3 | UNIX エンドポイント ユーザ モード | カスタマによる CA ControlMinder の機能拡張のリクエストが実装され、sesudo ユーティリティで "echo_command" の設定を使用して、警告メッセージを stdout に出力するかどうかを確認できるようになりました。 | AN00131 | UNIX all | sesudo プログラムはクラス警告モードを確認しません。 | 修正(T3DB167 - AIX、T3DB168 - Solaris、T3DB169 - HPUX RISC、T3DB170 - Linux i86 および x64)の実装により、トークンが "echo_command=no" の場合、警告が出力されなくなりました。 | デフォルト設定で CA ControlMinder をインストールします。 AC> er program /opt/CA/AccessControl/bin/sesudo defaccess(x) AC> nr SUDO rm data('/usr/bin/rm;-rf;') defaccess(n) warning $ touch /tmp/test $ sesudo rm -rf /tmp/test 予期される結果: Command 'rm', (/usr/bin/rm), performed by xxx. --------- seos.ini の変更 [sesudo] echo_command=yes $ touch /tmp/test $ sesudo rm -rf /tmp/test 予期される結果: *** Performing command: rm*-* Command is in WARNING status. (/usr/bin/rm) sesudo: You are not allowed to use '-rf' as parameter number 1. Command 'rm', (/usr/bin/rm). | |
| 14 | 2 | UNIX エンドポイント ユーザ モード | selinux が "enforce" に設定されている場合に Active Directory ユーザがログインできない、CA ControlMinder の問題を修正しました。 | AN00132 | Linux all | unab_t に属性が割り当てられていません。 | file_type 属性および fileattribute ステートメントを unab_t に追加します。 | uxauth_selinux.sh -i -e を実行します。 | |
| 15 | 2 | Windows エンドポイント ユーザ モード、UNIX エンドポイント ユーザ モード | AgentManager が起動時にクラッシュする、CA ControlMinder PUPMAgent の問題を修正しました。 | AN00146 | Windows all、UNIX all | VM イメージが正しく設定されていません。 | 修正を適用して VM イメージを再設定します。 | ||
| 16 | 3 | Windows エンドポイント ユーザ モード | r12.0 SP1 から r12.6 SP1 にアップグレードすると、カスタマは auth コマンドを使用して PROGRAM クラスで * を作成できるが、PROGRAM クラスを直接作成できないという CA ControlMinder の問題を修正しました。 | AN00160 | Windows all | PACL コマンド設定では、アスタリスクを一般ポリシーとして定義することができますが、アスタリスクをプログラム名として定義すると、PACL として動作しません。 | アスタリスクを含めるとプログラム名が拒否されるため、PACL にアスタリスクを指定しないようユーザに通知します。 | 1. er FILE c:\temp\share\* owner(nobody) defacc(none) audit(a) 2. auth FILE c:\temp\share\* uid("Administrator") access(all) via(pgm(*)) 実際の結果: auth コマンドが成功します。 ただし、PACL が存在していても管理者は c:\temp\share\* にアクセスできません。 予期される結果: アスタリスクを含む PACL は追加できません | |
| 17 | 3 | UNIX エンドポイント ユーザ モード | r12.0 SP1 から r12.6 SP1 にアップグレードすると、カスタマは auth コマンドを使用して PROGRAM クラスで * を作成できるが、PROGRAM クラスを直接作成できないという CA ControlMinder の問題を修正しました。 | AN00161 | UNIX all | PACL コマンド設定では、アスタリスクを一般ポリシーとして定義することができますが、アスタリスクをプログラム名として定義すると、PACL として動作しません。 | アスタリスクを含めるとプログラム名が拒否されるため、PACL にアスタリスクを指定しないようユーザに通知します。 | 1. er FILE c:\\temp\\share\\* owner(nobody) defacc(none) audit(a) 2. auth FILE c:\\temp\\share\\* uid("Administrator") access(all) via(pgm(*)) 実際の結果: auth コマンドが成功します。 ただし、PACL が存在していても管理者は c:\\temp\\share\\* にアクセスできません。 予期される結果: アスタリスクを含む PACL は追加できません | |
| 18 | 3 | ENTM | ユーザがパスワード チェックアウト処理を完了できず、タイムアウトするまで結果を受信できない(エラー コードなし)という CA ControlMinder の問題を修正しました。 | AN00166 see package AN00173 | Windows all、UNIX all | エンドポイントがダウンしている場合、アカウント マネージャがパスワード変更時にエンドポイントに接続しようとすると、接続時間の遅延が発生し、アカウント パスワードのチェックアウトがタイムアウトするか失敗します。 | Agent Manager の修正(T537739.caz)の実装により、パスワード リセット中のタイムアウトおよび処理に長時間かかる問題に対処しました。 | パッケージ AN00173 を参照してください。 | |
| 19 | 1 | Windows エンドポイント ユーザ モード、UNIX エンドポイント ユーザ モード | ユーザがパスワード チェックアウト処理を完了できず、タイムアウトするまで結果を受信できない(エラー コードなし)という CA ControlMinder の問題を修正しました。 | AN00173 | Windows all、UNIX all | エンドポイントがダウンしている場合、アカウント マネージャがパスワード変更時にエンドポイントに接続しようとすると、接続時間の遅延が発生し、アカウント パスワードのチェックアウトがタイムアウトするか失敗します。 | Agent Manager の修正(T537739.caz)の実装により、パスワード リセット中のタイムアウトおよび処理に長時間かかる問題に対処しました。 | 1. sybase エンドポイントを作成します。 2. 1000 アカウントを検出します。 3. 検出されたアカウントに対する一括パスワード変更を作成します。 4. sybase エンドポイントからのアカウントのチェックアウトを試行します。 | |
| 20 | 2 | UNIX エンドポイント ユーザ モード | selinux が "enforce" モードに設定されている場合に CA ControlMinder の Active Directory ユーザがログインできず、"uxauth_selinux.sh -i -e" スクリプトでエラー メッセージが表示される問題を修正しました。 | AN00175 | Linux all | タイプ kerberos_password_port_t は 5.9 に存在しません。 | UNAB SELinux ポリシー Ifdef kerberos_password_port_t を -gt 5 に対してインストールします。 | uxauth_selinux.sh -i -e | |
| 21 | 2 | ENTM | エンドポイント管理 Web UI にアクセスしてポリシー偏差を解決しようとするとエラーが表示される CA ControlMinder の問題を修正しました。 | AN00176 | Solaris | フル ネームの値にカンマが含まれている場合(例: Knieriem,Harold)、この機能は DIFF 行を 4 つのフィールドに分割することに失敗します。 | 修正(T51S002)の実装により、区切り文字として「,」を使用してもエラーが発生することなく diff 行を分割できるようになりました。 | ポリシーを変更し、diff 行およびカンマ区切り値を使用して devcalc の結果を生成します。 たとえば、selang "env etrust;get devcalc" を実行すると、以下のような行が表示されます。 get devcalc results: ======================= DATE, Wed Apr 3 15:21:58 2013 POLICYSTART, policy1#01 ... ... DIFF, (USER), (hk526g), (FULL_NAME), -(Knieriem,Harold) ... POLICYEND, policy1#01, 1 ========================= 上記のフル ネーム値は "Knieriem,Harold" です。 この値にはカンマ(,)が含まれています。 | |
| 22 | 2 | UNIX エンドポイント カーネル モード | ファイル ルールの変更に GAC マスクによってカバーされるファイルが含まれている場合に、GAC テーブルがフラッシュされないという CA ControlMinder の問題を修正しました。 | AN00179 | UNIX all | GAC は、FILE アクセスでのみ有効です。seosd.trace 内の EXEC または EXECARGS は GAC が有効であっても記録されます。 | 1. ベース FILE ルールおよびテスト ユーザを作成します。 # mkdir /tmp/GAC_test # chmod 777 /tmp/GAC_test # selang AC> nf /tmp/GAC_test/* owner(nobody) audit(all) defacc(all) AC> nu test00 password(password) comment("test user for GAC") AC> exit 2. FILE ルールが正しく動作していることを確認します。 # ssh -l test00 localhost Password: password $ echo GAC_TEST > /tmp/GAC_test/test00.txt $ cat /tmp/GAC_test/test00.txt $ more /tmp/GAC_test/test00.txt $ exit # seaudit -a -sd today we can observe FILE access log from test00 3. GAC.init をセットアップします。 # secons -s # cd /opt/CA/AccessControl/etc # echo '/tmp/GAC_test/*' > GAC.init # cat GAC.init # seload 4. 2 番目以降の FILE アクセスが seos.audit ファイルに記録されないことを確認します。 # ssh -l test00 localhost $ cat /tmp/GAC_test/test00.txt $ more /tmp/GAC_test/test00.txt $ cat /tmp/GAC_test/test00.txt $ exit # seaudit -a -sd today 5. FILE ルールを変更しても GAC テーブルはフラッシュされず、以前の状態が維持されます。 # selang AC> cf /tmp/GAC_test/* defacc(NONE) AC> exit # ssh -l test00 localhost $ cat /tmp/GAC_table/test00.txt Not denied! $ exit # seaudit -a -sd today 手順 5 の "cat" に対する監査ログがありません。 | ||
| 23 | 3 | ENTM | CA ControlMinder のポリシー管理の問題を修正しました。[UNIX 認証ブローカ]-[ホスト ログイン権限の管理]-[ホスト検索]は、UNAB エンドポイントのみを返す必要がある場合に、NT エンドポイントと UNIX エンドポイントを返します。 | AN00195 | All | ポリシー管理の間で同じルックアップ コードが使用されるため、すべてのホストに対するホスト検索で、NT および UNIX エンドポイントを返します。 | すべてのホストを取得した後に、ホスト検索の結果にフィルタを適用して、UNAB エンドポイントのみを返すようにします。 | [ENTM ポリシー管理]-[UNIX 認証ブローカ]-[ホスト ログイン権限の管理]-[ホスト検索]は、NT エンドポイントと UNIX エンドポイントを返します。実際には、UNAB エンドポイントのみを返す必要があります。 UNAB ホスト検索で 3 つの検索をすべて確認してください。 | |
| 24 | 2 | ENTM | CA ControlMinder の PUPM インターフェースおよびレポートの時間が正しくない問題を修正しました。 | AN00200 | Windows all | 属性/フィールドの[前回のチェックアウト日]、[前回のチェックアウト実行者]の値が特権アカウントに正しく追加されず、日付が空白になります。 | 修正を 12.6 SP1 にデプロイすることで、特権アカウントのプロパティ[前回のチェックアウト日]、[前回のチェックアウト実行者]に正しい値が追加されます。 | 1) クレデンシャルを使用して ENTM UI にログインします。 2) [ホーム]-[マイ アカウント]-[マイ特権アカウント]に移動します。 3) リストから任意の特権アカウントの詳細の表示に移動すると、[前回のチェックアウト日]、[前回のチェックアウト実行者]フィールドが空白になっています。 | |
| 25 | 2 | ENTM | ControlMinder の以下の 2 つの問題を修正しました。外部ユーザが、"admin" および "auditor" 権限を持つ外部グループのメンバとして定義されているとき、 1: その外部ユーザは、ローカル ACDB に含まれていない場合、Access Control エンドポイント管理を使用してエンドポイントにアクセスできません。 2: その外部ユーザは、ローカル ACDB に手動で追加された後も、Access Control エンドポイント管理を使用してエンドポイントを管理および監査できません。 | AN00201 | All | ユーザがエンドポイント管理 UI へのログインを試行しているときに、showxuser、showuser、および NT コマンドの showuser が実行され、ControlMinder データベースおよび Windows ネイティブ環境内のユーザを検索します。これらのコマンドでは、システムで使用できない外部ユーザは検索されず、それらの外部ユーザはログインできません。 | RO60984 が実装され、その後、修正 T52X004 がエンドポイントに適用されました。エンドポイントおよびサーバ サイドへのこれらの変更により、エンドポイント/Web サービス サイドに新しい Web サービス "getUserModeList()" が導入され、ユーザ モードの取得とログイン ユーザのダッシュボードの作成に使用されるようになりました。サーバ サイドでこのメソッドを使用してユーザを取得すると、ユーザ オブジェクト内に取得された権限が設定され、その権限に基づいてユーザのログインとダッシュボードの表示が許可されます。 | 1. ドメインでユーザ/グループを作成し、作成されたユーザをグループに追加します。 2. エンドポイントで XGROUP を作成し、関連するモードを割り当てます。 3. 作成された XGROUP 用の端末を許可します。 4. エンドポイント管理へのログインを試行すると、ユーザはインデックス 0、サイズ 0 のエラーを取得します。 | |
| 26 | 2 | ENTM | [承認者]フィルタが適用されている場合に、ユーザが[監査]セクションで PUPM 監査タスク ログを参照できないという ControlMinder の問題を修正しました。 | AN00202 | All | 特権アカウント内の監査タスクを検索しても、クエリは結果を返しません。これは、ユーザの名前がデータベースに格納されるときに一意の ID が渡されるためです。 | 修正(T000057)が実装され、エンタープライズ管理が Active Directory 以外の場合に承認者のフレンドリ名を渡すようにコードを変更するファイルがアップロードされました。 | [特権アカウント]-[監査]-[特権アカウントの監査]に移動します。[承認者]フィルタに正しい承認者を入力しても、結果が返されません。 | |
| 27 | 2 | ENTM | [ポリシーのアップグレード]管理タスクを使用してポリシーをアップグレードできないという ControlMinder の問題を修正しました。 | AN00204 | Windows all | この問題は断続的に発生し、再現することはできませんでしたが、ログに記録された Java 例外から、いくつかのケースで配列内の存在しないインデックスへアクセスを試行していることが分かりました。 | ポリシーをアップグレードするときに配列のインデックス数 1 へのアクセスを確認するように、r12.1SP6 に対してコードの変更/累積修正 -2 RO57568 を適用しました。 | 再現不可。ただし、ENMT UI でポリシーをアップグレードしようとするとエラー ArrayIndexOutOfBoundsException: 1 を取得する場合があります。 | |
| 28 | 1 | Windows エンドポイント ユーザ モード | 以下の 2 つの CA ControlMinder の問題を修正しました: 問題 1 - 端末からの接続時にアクセス拒否されると、AccessControl は切断されたセッションに対してログオフを強制し、セッションは切断状態のまま維持されません。 問題 2 - ユーザのアライブ RDP セッションにより、同じユーザのコンソール ログインが終了します。 | AN00205 | Windows all | 問題 1 - OS は、切断されたセッションのタイプを CONSOLE として設定します。そのため、_IntilizeSeesion() は認証から除外されたセッションを認識し、切断済みセッションのリストに追加しません。このリストは、切断されたセッションを検出してログオフをバイパスするために使用されます。 問題 2 - セッション状態が変更されたケースを処理する _UpdateSessionsList() は CONSOLE セッションを送信し、コンソール セッションが認証された後に認証を繰り返します。これにより、認証に一致した端末(_default)ルールが強制されます。 | 問題 1 - 修正(T5P7254)が実装され、セッション タイプ CONSOLE の状態 DISCONNECTED をチェックするためにセッションの状態を検出する手順が追加されました。 問題 2 - コンソール セッションの認証フラグを設定する新しい関数 _SetSessionAuthorizedFlag() を追加しました。 | # 問題 1。 1. AC エンドポイントで以下のようなルールを設定します: eu ("EP\ntroot") admin auditor owner(nobody) audit(FAILURE LOGINSUCCESS LOGINFAILURE) er TERMINAL ("EP") audit(ALL) defaccess(READ) owner('nobody') er TERMINAL ("A") audit(ALL) defaccess(READ) owner('nobody') er TERMINAL ("B") audit(ALL) defaccess(READ) owner('nobody') auth TERMINAL ("A") access(none) uid("EP\ntroot") auth TERMINAL ("B") access(R, W) uid("EP\ntroot") access(none) 2. 管理者としてコンソールから AC エンドポイントに接続し、タスク マネージャを開いて、RDP 接続のステータスが「切断」であることを確認します。 3. ntroot としてホスト A から AC エンドポイントへの RDP 接続を確立します。 4. ホスト A から AC エンドポイントに確立された RDP セッションを切断し、ウィンドウ(x)を閉じます。 5. ホスト B から新しい RDP セッションを開きます。各ルールごとに、AC エンドポイントへのこの RDP 接続は失敗します。 6. 確認したセッションの予期されるステータスは DISCONNECTED のままですが、実際は LOGOFF に設定されています。 # 問題 2。 1. 端末 B からエンドポイント A にユーザからの RDP ログインを許可するルールを作成します。 er terminal(_default) none er terminal(B) owner(nobody) defaccess(R) auth terminal B uid("user") acc(A) auth terminal A uid("user") acc(A) 2. ホスト B で、"user" のエンドポイント A への RPD 接続を開きます。 3. ホスト A で "user" のコンソール ログインを作成します。 4. コンソールは強制的にログオフされます。予期される結果は、ユーザ用のコンソール セッションが作成されることです。 | |
| 29 | 3 | UNIX エンドポイント ユーザ モード | GDM を介して root で CA ControlMinder に対してログイン/ログアウトを実行すると、root のアクセスが許可されている場合でも、serevu によって root に対する監査イベント警告が作成される問題を修正しました。 | AN00213 | Linux all | ControlMinder カーネルは、gnome セッションの終了を検出し、それが GDM ログアウト イベントであると見なします。GDM 上で、ログアウト カーネルは GDM セッションと関連付けられた ACEE ハンドラを消去し、ControlMinder は起動時に GDM に対して acee=1 (root) ハンドラを割り当てます。そのため、ログアウト時に acee=1 が削除され、多数の root プロセスが未定義となります。 | ルート GDM のログアウト | 修正(T52V056.tar.Z (Linux X64 用)および T52V057.tar.Z (Linux X32 用))が実装され、seosd は起動時に LOGINAPPL root プログラムに対して新しい ACEE を割り当てます。 | 1. GDM(GUI コンソール)を通じて root でログインします。 2. ssh を通じた別のセッションに root でログインします。 3. AC を開始します。 4. root GDM をログアウトします。 5. ssh セッションで以下の操作を行います: - 5.1 "sewhoami" を実行します。予期される結果: root - 5.2 "secons -k 19" を実行します。予期される結果: 一部の "gdm" プロセスのユーザが未定義です。他のプロセスに変更はありません。 |
| 30 | 3 | UNIX エンドポイント ユーザ モード | CA ControlMinder をアンインストールした後に、system-auth がシンボリック リンクではなく実ファイルになる問題を修正しました。 | AN00217 | Linux all | 製品をアンインストールすると、シンボリック リンクを上書きし、実ファイルに変更されます。シンボリック リンクの確認が必要です。 | pam conf がシンボリック リンクである。 | conf_file=$1 行の後に新しい関数 "Check_jump_on_new_linux_pam()" が実装されました。この関数はシンボリック リンクが必要かどうかを確認し、実際の PAM 設定をシンボリック リンクにリストアします。 | 1. cd /etc/pam.d 2. mv system-auth system-auth-ac 3. ln -s system-auth-ac system-auth 4. CM をインストールします。 5. CM をアンインストールします。 予期される結果: system-auth はシンボリック リンクとして残ります。 実際の結果: system-auth が実ファイルになります。 |
| 31 | 2 | UNIX エンドポイント ユーザ モード | 12.6 SP2 で CA ControlMinder のディレクトリが見つからない問題を修正しました。 | AN00253 | Solaris | ビルド スクリプトにおける未指定のエラー。 | ビルド スクリプトが修正され、install_base で apisamples ディレクトリが インストールされるようになりました。 | ||
| 32 | 2 | Windows エンドポイント ユーザ モード、UNIX エンドポイント ユーザ モード | 複数のエンドポイントの +reportagent パスワードを 1 か所から変更できるように、CA ControlMinder の問題を修正しました。 | AN00274 | Windows all | ACMQ_Management スタティック ライブラリ内の ACMQCredentialsManagment_pre() は、プロパティ "OLD_PASSWD" からの値を acmqclient.dat の更新に使用される "CLR_PASSWD" の代わりに渡します。 | 関数 ACMQCredentialsManagment_pre() 内のプロパティ "OLD_PASSWD" を "CLR_PASSWD" に置き換えます。 | 1. CM を停止します。 2. selang -l AC> eu +reportagent password(secret) grace- nonative 3. reportagent をデバッグ モードで実行します: ReportAgent.exe -debug 0 -task 1 次のエラーが発生します: [ACMQ TIBCO ERROR]: tibemsConnectionFactory_CreateConnection failed on line: 878 with error: 6; additional info: Server = ssl://130.119.161.228:7243; User = +reportagent [ACMQ TIBCO ERROR]: TIBCO error string: '2013-05-08 12:18:07: Failed to connect to any server at: ssl://130.119.161.228:7243,ssl://130.119.161.228:7243 [Error: SSL://130.119.161.22 8:7243: url that returned this status = invalid name or password]' 4. CM を開始します。 5. selang AC> eu +reportagent password(secret) grace- nonative 6. CM を停止します。 7. reportagent をデバッグ モードで実行します: ReportAgent.exe -debug 0 -task 1 同じエラーが表示されます。 | |
| 33 | 2 | ENTM | 特権アカウント監査ログを IE8 で開くとエラー メッセージ("ページでエラーが発生しました")が表示される、CA ControlMinder の問題を解決しました。 | AN00280 | Windows all | JavaScript メソッド document.writeln は、IE 内での実行中に削除されるように書かれています。 | n/a | getElementById() メソッドを呼び出します。 | 1. ENTM にログインします。 2. [特権アカウント]-[監査]に移動し、[検索]をクリックします。ページの左下隅にエラー("ページでエラーが発生しました")が表示されます。 |
| 34 | 3 | UNIX エンドポイント ユーザ モード | コンパイルされた API で実行時に浮動小数点例外が発生し、SLES 10 上での LANGAPI のビルド/実行に失敗するという CA ControlMinder の問題を修正しました。 | AN00291 | Linux x64 | インストールされているライブラリ バージョン(12.6 SP1 では libcawinext.so)は、より新しいコンパイラでコンパイルされており、Linux の古いバージョン(特に SLES 9 および 10、Red Hat 3 および 4)では実行できません。 | これらのバージョンの Linux 用にライブラリの古いバージョンをインストールする修正が実装されました。 | ||
| 35 | 3 | UNIX エンドポイント ユーザ モード | SEOS_syscall のロード中にシステムがクラッシュする CA ControlMinderの問題を修正しました。 | AN00313 | Solaris | システム クラッシュの原因は、誤った SEOS_syscall カーネル モジュールがロードされ、カーネル関数が不正なポインタにアクセスしたことによるものです。 | スクリプトを変更して "OSMIC=c" を設定することで、正しいモジュールがロードされます。次に SEOS_load -u を実行し、SEOS_load を再実行すると "getvar.sh" がコールされ、適切な SEOS_syscall リンクが設定されます。 | ||
| 36 | 3 | ENTM | 特権アカウント スコープ ルールに「含む」が使用されている場合に予期される結果を返さない CA ControlMinder の問題を修正しました。 | AN00315 | All | 結果を取得するクエリが正しく作成されず、結果を取得するために NULL を含む余分な "OR" 条件が追加されていました。 | 余分な "OR" 条件のないクエリを作成するようにコードが修正されました。 | 特権アクセス ロールに特権アカウントのスコープを設定するときに「含む」キーワードを使用すると、スコープが正しく設定されません。 たとえば、以下の手順を実行します。 1. 特権アクセス ロール "BIA_Account_Request" を変更します。 2. [メンバ]タブに移動し、メンバ ポリシーを以下のように設定します。 メンバ ルール: 以下のメンバである (グループ "BIA_Requestor_User_group" ) スコープ ルール: 特権アカウント。条件 ( カスタム 1 含む "BIA_AccountRequest" ) 3. サブミットします。 予期される結果は、グループ "BIA_Requestor_User_group" のすべてのユーザに対して、"カスタム 1" 属性に "BIA_AccountRequest" を含むすべての特権アカウントが表示されることです。しかし、"含む" を使用すると、それらのユーザに対するすべての特権アカウントがリスト表示されてしまいます。 | |
| 37 | 3 | ENTM | ENTM アップグレードの完了後、12.6 GA CR1 のアンインストール エントリが削除されない CA ControlMinder の問題を修正しました。 | AN00344 | Windows all | 重複したレジストリ エントリ。 | 最初のレジストリ エントリがすでに存在するかを識別し、必要な場合はそのエントリを削除するチェック手順を追加します。 | ||
| 38 | 3 | ENTM | 日本語にローカライズされた AccountManager の「パスワードをリセットできませんでした」エラーのエラー メッセージが文字化けする CA ControlMinder の問題を修正しました。 | AN00375 | Windows all | エラー メッセージ コードが UTF-8 形式の場合、AccountManager で正しく処理されません。 | n/a | エラー メッセージが UTF-8 形式の場合に、サーバ レベルでメッセージを処理するための修正を実装しました。 | エンドポイントで以下の操作を行います: 1. ネイティブ OS のパスワード ポリシーを設定します。この場合、最小パスワード長を 5 に設定します。 2. 新しいユーザを作成してパスワードを設定します。日本語版の ENTM UI で以下の操作を行います。 3. 任意のパスワードを承認する新しいパスワード ポリシーを作成します。 4. Windows Agentless エンドポイントを新しく作成します。 5. [特権アカウントの作成]を使用して新しいアカウントを作成します。手順 2 および 4 で新しく作成したアカウントおよびエンドポイントを指定します。 手順 3 で新しく作成したパスワード ポリシーを指定します。 "test" など 5 文字より短いパスワードを指定します。 6. エラー メッセージが表示されます(このエラーはエンドポイント OS のパスワード ポリシー違反のために発生します)。このエラー メッセージは文字化けしています。 |
| 39 | 1 | UNIX エンドポイント カーネル モード | Tripwire および CA ControlMinder の実行中に、システムでスタック オーバーフローによるシステム パニックが発生する ControlMinder の問題を修正しました。 | AN00390 | Solaris | ControlMinder および Dtrace がアンフックして機能しなくなり、どちらの製品を先に起動したかによって、システム パニックまたは SEOS_syscall のアンロード不可が発生します。 | AC および Dtrace がフック状態からアンフックして機能しなくなる。 | 解決方法: 1. SEOS_syscal のアンロード問題に対するマイナー修正は、AC でシステム コール フックが正常に有効化した場合に SEOSF_DISABLE_FAIL フラグをリセットすることです。 2. メジャー修正は、CA ControlMinder をアンフックする際に Dtrace がすでにアンフックされており機能していないことを確認することです。その場合は、replace_sysc ではなく systrace_sysent に格納されている元の関数ポインタをリストアします。この方法によってシステム パニックを回避できます。 回避策: 1. 常に ControlMinder を起動した後に Dtrace セッションを実行します。 2. ControlMinder を停止する場合は、すべての Dtrace セッションが終了していることを確認します。 3. ControlMinder が停止して機能していない場合は、以下の手順に従います。 a. ControlMinder を再起動します。 b. すべての Dtrace セッションが終了していることを確認します。 c. ControlMinder を停止します。 d. ControlMinder を再起動します。 e. ControlMinder を停止し、SEOS_syscall をアンロードします。 | 2 つの問題があります。システム パニックの発生と、SEOS_syscall のアンロードができなくなる問題です。システム パニックの発生を再現するには、以下の手順に従います: 0. 再起動します。 1. SEOS_syscall のみをロードします。 2. Dtrace スクリプトを実行します。例: dtrace -n syscall:::entry'/pid == 333/{ @syscalls[probefunc] = count(); }' 333 は inetd の PID です。 3. AC を起動します。 4. Dtrace スクリプトを終了します。 5. AC を停止します(SEOS_syscall はアンロードしません)。 6. AC を再起動します。 7. Dtrace スクリプトを再実行します。システム パニックが発生します。 SEOS_syscall のアンロード不可を再現するには、以下の手順に従います:: 0. 再起動します。 1. AC を起動します。 2. Dtrace スクリプトを実行します。(上記を参照。) 3. AC を停止します(SEOS_syscall はアンロードしません)。 4. Dtrace スクリプトを終了します。 5. AC を再起動します。 6. Dtrace スクリプトを再実行します。 7. Dtrace スクリプトを終了します。 8. AC を停止します。 9. SEOS_syscall をアンロードします。アンロードに失敗します。 |
| 40 | 3 | ENTM | CA ControlMinder ユーザがパスワードをチェックアウトするときにタイムアウトに到達するまでパスワードをチェックアウトできずに結果を受信しない問題を修正しました。 | AN00397 | All | 実装の誤り 1. ユーザは、サーバと同期していないアカウント パスワードを取得できません。 2. ENTM によって処理されていないメッセージは 10 分間しかキューに保持されません。 | AgentManager に実装された修正により、パスワード リセット中のタイムアウトおよび長時間のプロセスが処理されます。 | 修正を適用する前に以下の手順を実行します: 1. チェックイン時にパスワードを変更する Windows アカウントを使用します。 3. アカウントをチェックアウトします。 2. AC をシャットダウンします。 3. アカウントをチェックインします。タイムアウトするまで待機します。 4. AC を開始します(AC は changeaccount パスワード メッセージを処理しますが、ENTM は応答を待機していません)。 5. [パスワードの表示]を使用し、そのパスワードでログインを試行します(パスワードはエンドポイントで変更されていますが、サーバで変更されていないため、ログインに失敗します) 6. tibco ツールを使用して、メッセージが enpoint_to_server キューに長時間保持されていることを確認します(1 日) | |
| 41 | 3 | Windows エンドポイント ユーザ モード、UNIX エンドポイント ユーザ モード | CA ControlMinder のカスタマが別の admin ユーザを使用して ENTM を SP1 にアップグレードすると、異なるバージョンのすべてのポリシーで、'作成者' 属性が最初のインストールに使用された admin ユーザではなく新しい admin ユーザに変更され、誤った監査情報が生成される問題を修正しました。 | AN00407 | Windows all | dbexport 内にプロパティがありません。 | 以下のクラスの ON_BEHALF_OF プロパティをエクスポートする – dbmgr –e を変更する修正が実装されました: POLICY、GPOLICY、HNODE、GHNODE、DEPLOYMENT、GDEPLOYMENT(selang 内の “有効な UID”) | 1. 125 SP5 サーバをインストールします。 2. ポリシーを作成します(P1)。 3. UI でポリシー P1 を表示して[バージョン履歴]タブを開き、作成者ユーザが ENTM ユーザ(スーパー管理者)であることを確認します。 4. 126 SP1 にアップグレードします。 5. UI でポリシー P1 を表示して[バージョン履歴]タブを開くと、作成者ユーザがインストールを実行したユーザに変更されています。 | |
| 42 | 2 | UNIX エンドポイント カーネル モード | ControlMinder ストリームがアクティブな場合に、httpd Web ページのリフレッシュ時に遅延が発生する問題の回避策を提供します。 | AN00412 | Solaris | Web ページの Httpd リフレッシュ | |||
| 43 | 2 | ENTM | [エンドポイントの表示]で[前回失敗した接続日付]列の日付/時間形式が正しくない ControlMinder の問題を修正しました。 | AN00415 | All | ContolMinder は[有効期限]および[開始日]フィールドを UTC からブラウザのタイム ゾーンに変換しません | 以下のコード変更(T5P0140)が実装されました: 1. 日付フィールドをブラウザのタイム ゾーンにフォーマットするためのサポートを追加します。 2. オフセット タイム ゾーンに tak セッションを設定します。 3. [有効期限]および[開始日]- 日付を UTC からクライアントのタイム ゾーンに変換した後に検証を実行します。 | 1. エンドポイントの変更後。 [特権アカウント]-[エンドポイント]-[エンドポイントの表示]で特定のエンドポイントを選択すると[前回成功した接続日付]フィールドに GMT 時間が表示され、ブラウザのタイム ゾーンにローカライズされていません。 2. [特権アカウント]-[エンドポイント]-[エンドポイントの表示]で、エンドポイント リストのテーブルにある[前回失敗した接続日付]フィールドはブラウザのタイムゾーンにローカライズされていません。 3. 特権アカウントを要求する際にアカウント リストのテーブルを取得すると、[前回失敗した接続日付]フィールドに GMT タイム ゾーンが誤った形式で表示されます。 4. [特権アカウント]-[例外]-[特権アカウント例外の削除]で [開始日]および[有効期限]フィールドは GMT で表示されます。 さらに以下の問題があります。 1. 特権アカウントの要求を作成します。 2. 承認を 2 時間待機します。 3. 作業アイテムを開くと、[状態]フィールドに不正なメッセージ "State: Reserved by user "[Ljava.lang.String;@1424cc" が表示されます。 | |
| 44 | 2 | ENTM | CA ControlMinder が特権アカウント要求タスクのスコープ指定をサポートしない問題を修正しました。 | AN00421 | All | 最初の問題はカスタム タスクのコピーの未サポートに関連していました。 | この新しいコード変更により、特権アカウント要求タスクをコピーできます。ただし、[イベント]タブのフィールドのみを変更する必要があるという制限があります。TABS タブの定義を元のタスクとして保持することが必須です。 | コード変更(T5P013)の実装により、タスクのタグ名の代わりに(タスク内の)タブのタグ名によって "privilegedAccountRequest" 内のタスクの ID が確認されます。 | 1. 特権アカウント要求タスクのコピーを作成します。 2. 1 k を超えるアカウントがあります。 3. 新しく作成されたタスクを参照する権限があるユーザでログインします。 4. 新しく作成されたタスク内のアカウント検索を試行すると、一貫性のある動作が得られず、結果が取得されません。 |
| 45 | 3 | UNAB | CA ControlMinder ドメイン コントローラ -UNAB の uxauthd /opt/CA/uxauth/server に対する接続が切断および失敗する問題に対処するための機能拡張。 | AN00441 | Linux x64 | 互換性の問題です。ControlMinder (r12.55)および UNAB (r12.61)のリリースが同期していません。 | 修正(T5C1015)の実装により、Kerberos DNS クエリに対するリゾルバ フラグが追加され、ネットワーク インターフェースで IPv6 トラフィックが有効でない場合に IPv6 DNS クエリ(quad A)を抑制します。これにより、“A” タイプ DNS からの DNS トラフィックの量が削減されます。 | ||
| 46 | 3 | UNAB | クライアント ログの遅延に対処するための CA ControlMinder の機能拡張。 | AN00478 | Linux x64 | DMZ3 での UNAB ログイン遅延が原因である可能性があります。 | |||
| 47 | 2 | ENTM | 特定のエンドポイントでの権限を持つユーザはそのエンドポイントとエンドポイント上のユーザのみを参照できる必要があるが、そのユーザがアカウントを作成する際に他のエンドポイントを参照および選択することができる、CA ControlMinder の問題を解決しました。 | AN00488 | Windows all | ロールで定義されたスコープ ルールがコード内で参照されています。 | 修正の実装により、定義されたスコープ ロールが特権アカウント作成時のエンドポイント検索中に参照されるようになりました。 | 1. 以下のタスクを含むロールを 1 つ作成します: エンドポイントの表示、特権アカウントの表示、作成、変更、および削除、パスワードの表示、パスワード ポリシーの表示、サブミット済みタスクの表示。 メンバ: 条件 (ログイン名 = x); スコープ: 特権アカウント 条件 (エンドポイント名 = y)、スコープ: エンドポイント 条件 (名前 = y)。 2. アカウント x でログインします。 3. 未承認のエンドポイント(y 以外)を選択して、新しい特権アカウントを作成します。 | |
| 48 | 1 | UNIX エンドポイント カーネル モード | Tripwire および CA ControlMinder の実行中に、システムでスタック オーバーフローによるシステム パニックが発生する ControlMinder の問題を修正しました(AN00390 も参照してください)。 | AN00499 | Solaris | ControlMinder および Dtrace がアンフックして機能しなくなる。どちらの製品が先に起動するかによって、システム パニックまたは SEOS_syscall のアンロード不可が発生します。 | AC および Dtrace がフック状態からアンフックして機能しなくなる。 | 解決方法: 1. SEOS_syscal のアンロード問題に対するマイナー修正は、AC でシステム コール フックが正常に有効化した場合に SEOSF_DISABLE_FAIL フラグをリセットすることです。 2. メジャー修正は、CA ControlMinder をアンフックする際に Dtrace がすでにアンフックされており機能していないことを確認することです。その場合は、replace_sysc ではなく systrace_sysent に格納されている元の関数ポインタをリストアします。この方法によってシステム パニックを回避できます。 回避方法: 1. 常に ControlMinder を起動した後に Dtrace セッションを実行します。 2. ControlMinder を停止する場合は、すべての Dtrace セッションが終了していることを確認します。 3. ControlMinder が停止して機能していない場合は、以下の手順に従います。 a. ControlMinder を再起動します。 b. すべての Dtrace セッションが終了していることを確認します。 c. ControlMinder を停止します。 d. ControlMinder を再起動します。 e. ControlMinder を停止し、SEOS_syscall をアンロードします。 | 最初のシナリオの詳細については、AC125SP50789 を参照してください。これはシステム パニックを引き起こす 2 番目のシナリオです。 システム パニックの発生を再現するには、以下の手順に従います: 0. 再起動します。 1. SEOS_syscall のみをロードします。 2. Dtrace スクリプトを実行します。たとえば、dtrace -n syscall:::entry'/pid == 333/{ @syscalls[probefunc] = count(); }' 333 は inetd の PID です。 3. AC を起動します。 4. Dtrace スクリプトを終了します。 5. Dtrace スクリプトを再実行します。 システム パニックが発生します。 |
| 49 | 1 | ENTM | CA ControlMinder ユーザがパスワードをチェックアウトするときにタイムアウトに到達するまでパスワードをチェックアウトできずに結果を受信しない問題を修正しました。 | AN00517 | All | 1. ユーザは、サーバと同期していないアカウント パスワードを取得できません。 2. ENTM によって処理されていないメッセージは 10 分間しかキューに保持されません。 | AgentManager に実装された修正により、パスワード リセット中のタイムアウトおよび長時間のプロセスが処理されます。 | この修正は、Oracle をオブジェクト ストアとして ENMT をインストールする場合の UI パフォーマンス問題に対処します。以下のような環境が必要です: object12 テーブルに 3M を超えるオブジェクト、event12 テーブルに 1M を超えるオブジェクト。通常、このような状態になるのは、長期間にわたって ENMT を使用した後です。レポートされた問題は、以下のような一般的な UI の操作中に発生します。 1. [特権アカウントの監査]ページに移動します。 2. [特権アカウントの監査]ページで検索をコミットします。 3. [システム監査]ページに移動します。 4. [マイ特権アカウント]ページに移動します。 5. [システム]タブの[スケジューリング設定の変更]に移動します。 6. 新しいユーザを作成します。 | |
| 50 | 3 | Windows エンドポイント ユーザ モード、UNIX エンドポイント ユーザ モード | policyfetcher が他のホストからのデプロイメントを受信し、その結果、ポリシーが割り当てられていないホストにポリシーがデプロイされることがある、CA ControlMinder の問題を修正しました。 | AN00533 | Windows all、UNIX all | スタティック PMD コンテンツでは PMD がクライアントごとのコンテキストを保存しないため、結果が大きなサイズになることがあります。 | 修正の実装により、policyfetcher は DH デプロイメントを受信した後にそのデプロイメントが特定のホストに関連付けられているかを確認します(デプロイメント オブジェクトの hnode_name プロパティ)。 | ||
| 51 | 4 | ENTM | カスタマが PUPM 内のアカウント名を変更できないという CA ControlMinder の問題を解決しました。名前の変更が成功したことが UI に表示されても、実際にはエンドポイント上で名前が変更されていません。 | AN00558 | Windows all | エンドポイントが変更されると、ブール コード変数 'isModified' は false 値を返します。 | 修正(T000066 および T5P0128)の実装により、エンドポイントを変更する際に管理アカウントが更新されたことをチェックしてブール コードが true 値を返すようにする追加の条件が加えられました。 | 1. クレデンシャルを使用して ENTM UI にログインします。 2. [特権アカウント]-[エンドポイント]-[エンドポイントの変更]に移動します。 3. 変更するエンドポイントを選択します。 4. [以下の特権アカウントを使用する]チェック ボックスをオンにします。 5. エンドポイント マシンへのログイン アクセスおよび必要な権限を持つアカウントを選択します。すなわち、このエンドポイントへのログイン アクセス(同じクレデンシャル)を持つ、他のエンドポイントの管理アカウントです。 6. [OK]をクリックして変更をサブミットします。ここでの問題は、アカウント名をエンドポイントの管理アカウント詳細に変更しようとする場合に、変更がコミットされないということです。GUI では操作が正常に完了したことが示されますが、エンドポイントに戻ると古いアカウント名のままになっています。 | |
| 52 | 3 | Windows エンドポイント ユーザ モード | CA ControlMinder を Windows XP sp3 にインストールした後に、Class TERMINAL が動作せず、すべてのユーザに端末を介したアクセス権があるという問題を修正しました。 | AN00581 | Windows all | Terminal Services スレッドは SP3 がインストールされた Windows XP マシンでは実行されていません。Terminal Services スレッドが実行されていないため、ログオン インターセプトおよびこのイベントの監査はありません。 | 修正(T4A7053)が実装され、_IsTerminalServicesEnabled() が削除されました。これにより VerifyVersionInfo() はコールされません。 | ||
| 53 | 1 | ENTM | CA ControlMinder ユーザがパスワードをチェックアウトするときにタイムアウトに到達するまでパスワードをチェックアウトできずに結果を受信しない問題を修正しました。 | AN00584 | All | 実装の誤り 1. ユーザは、サーバと同期していないアカウント パスワードを取得できません。 2. ENTM によって処理されていないメッセージは 10 分間しかキューに保持されません。 | AgentManager に実装された修正により、パスワード リセット中のタイムアウトおよび長時間のプロセスが処理されます。 | 5000 を超えるユーザの一括パスワード変更 | |
| 54 | 3 | ENTM | CA ControlMinder カスタマが再起動後に Linux コンソール上で繰り返し Tibco メッセージを受信する問題を修正しました。 | AN00607 | UNIX all | ca-acrtmq スクリプトは、ログ ファイルではなく Linux コンソールに Tibco メッセージを送っています。 | n/a | Tibco メッセージをログ ファイルにリダイレクトします。 | 1. Linux ENTM マシンに移動します。 2. /etc/init.d/ca-acrtmq restart を実行します。 3. Linux コンソールに Tibco メッセージが継続的に表示されます。 |
| 55 | 3 | ENTM | Active Directory ユーザ ストアを使用する CA ControlMinder カスタマが他のユーザのタスクを委任し、そのユーザのアカウント要求を容認または拒否しようとすると、UI に以下のエラー メッセージが表示される問題を修正しました: “この作業アイテムは別のユーザに割り当てられ使用できなくなっているため、この操作を実行できません。” | AN00608 | Windows all | 委任者が担当者の uniqueName で比較されるため、条件が失敗します。 | n/a | equalsIgnorecase メソッドを使用して比較するように、グループ値の 1 つに変更が実装されました。 | 1. ユーザを作成します(例: AD マシン内の要求者、承認者、サブ承認者) 2. 別のユーザにタスクを委任します([ユーザおよびグループ]-[委任](承認者 -> サブ承認者)) 3. 要求者ユーザとしてログインし、特権アカウント要求を送信します。 4. サブ承認者としてログインして要求をクリックすると、以下のエラーが表示されます: "この作業アイテムは別のユーザに割り当てられ使用できなくなっているため、この操作を実行できません。" |
| 56 | 3 | UNIX エンドポイント ユーザ モード | PMD が localhost との接続を失う CA ControlMinder の問題を修正しました。 | AN00612 | UNIX all | seagent exit ログインで uid が見つからないというコーディングの問題によって認証に失敗します。 | 再現手順を確認してください。この問題を再現するには AC>env pmd を実行する必要があります。 | 回避策は、"host localhost" を再実行してデータベースに再接続し、seagent exit の uid を取得することです。 | 1. root または CM 管理者としてログインします。 2. AC>env unix AC(UNIX)>nu user01, AC(UNIX)>ng TESTGRP AC(UNIX)>join user01 group(TESTGRP) AC(UNIX)> env seos AC> exg TESTGRP admin AC> auth terminal hostname.ca.com xgid(TESTGRP) access(all) 3. user01 としてログインし、selang を実行します。 4. AC>env pmd 5. AC>env seos AC>find user ----> You are not connected to any pmdb. これが問題です。上記のメッセージは表示されるべきではありません。 |
| 57 | 3 | UNIX エンドポイント ユーザ モード | x86 および x64 バージョンの tar.Z ファイルが配置されており、install_base がどちらのファイルを使用するかを判別できないという CA ControlMinder の問題を修正しました。 | AN00613 | UNIX all | 両方の tar.Z ファイルが配置されており、X64 システムではどちらのファイルも使用できます。 | Linux X64 システムで、パラメータを指定せずに ./install_base を実行する必要があります。 | X64 システムでは、コマンド ラインでパラメータを入力し(./install_base _LINUX_X64_126.tar.Z)、install_base がどちらの tar ボールを選択するかを判断しなくて済むようにします。 | 同じディレクトリに _LINUX_126.tar.Z および _LINUX_X64_126.tar.Z を配置して、"./install_base" を実行します。 この手順を Linux X64 システムで行ってください。x64 システムでは、_LINUX_126.tar.Z および _LINUX_X64_126.tar.Z の両方のファイルが使用できるため、install_base は正しいインストール用 tar.Z ファイルを判別できません。 |
| 58 | 1 | UNIX エンドポイント カーネル モード | CA ControlMinder が起動に失敗し、製品が無効になるまでハングアップする問題を修正しました。 | AN00626 | HPUX PA-RISC、HPUX IA64 | CA ControlMinder インターセプト コードは、承諾されたシステム コールに NULL として渡された *socket_addr および *socket_len の処理に失敗します。 | CA Access Control インターセプト コード内の NULL ポインタを処理し、システム コール関数が正しく処理できるようにします。 | ControlMinder がセットアップされたシステムで以下の操作を実行します。 1. SEOS_use_streams=no、SEOS_network_intercept_type=2 で AC を起動します。 2. ControlMinder 管理者として start_all を実行し、ControlMinder を起動します。 3. パスワードを入力すると、ハングアップします。AC を停止すると、ControlMinder が正常に起動します。ControlMinder のステータスを確認するには、check_all を実行します。ControlMinder を停止するには、stop_all を実行します。 | |
| 59 | 2 | ENTM | スナップショットのキャプチャに失敗します。ppmprivilegedaccountexception テーブル内の ppm_is_deleted は NULL が許可されないためです。 | AN00627 | All | テーブル ppmprivilegedaccountexception 内のカラム ppm_is_deleted は NULL を許可しないとしてマークされており、これが原因でテーブルの更新時にエラーが発生していました。 | ppmprivilegedaccountexception テーブル内の ppm_is_deleted が NULL を許可するように変更します。 | 1. スナップショットのキャプチャを作成します。 2. スナップショットのキャプチャを実行します。 | |
| 60 | 2 | ENTM | スナップショットのキャプチャでテーブル ppmprivilegedaccountexception へのデータ挿入が失敗する CA ControlMinder の問題を修正しました。 | AN00658 | All | テーブル ppmprivilegedaccountexception でのサイズに対してユーザ識別名の値が大きい。 | 修正(T50V017)の実装により、SQL スクリプト内の SQL コマンドが更新され、ppmprivilegedaccountexception でユーザ識別名に 256 カラムまで許可されるようになりました。 | これには AD が必要です。USER DN は 80 文字より大きい必要があります。 1. スナップショットのキャプチャを作成します。 2. スナップショットのキャプチャを実行します。 | |
| 61 | 4 | ENTM | CA ControlMinder カスタマがエンドポイント管理 UI でホストを作成してもホスト名を参照できない問題を修正しました。 | AN00668 | All | ユーザは[サービス/ポート]の範囲を 10-100 のような形式で入力しますが、10-100 形式への参照が存在しないため、UI でこの形式が無視されます。 | 10-100 形式を処理するためにコード内の参照が追加されました。 | 1. エンドポイント管理 GUI にログインします。 2. [リソース]-[リモート アクセス]に移動します。 3. 左ペインで[ホスト]をクリックします。 4. [ホストの作成]をクリックし、名前(HostA)を指定します。 5. [権限の付与]タブにある[アクセサの追加]をクリックし、10 から 100 (10-100)のポートを有効化します。 6. ホストを保存します。 7. 左ペインで[ホスト]をクリックし、右ペインでホスト名「HostA」を選択して[移動]をクリックします。 8. [表示]をクリックするか、またはホスト名 HostA のハイパーリンクをクリックして、詳細を表示します。 9. [権限の付与]テーブルをクリックします。手順 5 で作成したアクセサが表示されません。selang コマンド「sr host *」を使用すると、作成したアクセサが表示されます。 | |
| 62 | 3 | ENTM | CA ControlMinder のパスワード ポリシー リセットが UI で指定した時間に実行されず、スケジュールされた日よりも前に実行される(たとえば、ポリシー リセットを水曜日に実行するようスケジュールしても火曜日に実行される)問題を修正しました。 | AN00672 | All | cron ジョブを quartz テーブルに格納する必要があります。 | パスワード ポリシー cron ジョブを、適切なサーバ タイム ゾーンを使用する quartz テーブルに保存するようにコード変更が実装されました。これによってジョブはスケジュール通りに実行されます。 | 1. ENMT サーバを US 太平洋標準時(GMT -5)に設定します。 2. パスワード ポリシーを作成し、毎週月曜日の 22:00 に実行するようにスケジュールします。 3. ジョブは月曜日ではなく日曜日に実行されます。 | |
| 63 | 3 | ENTM | 日本語のインストール環境で、カスタマのアプリケーション サーバの説明テキストが英語で表示される CA ControlMInder の問題を修正しました。 | AN00689 | UNIX all | エンドポイント管理のセットアップがローカライズされていなかったため、文字列は外部ファイルからロードされず、プロジェクト リソース内にありました。 | 修正の実装により、すべての文字列がエンドポイント管理プロジェクトから外部リソースにエクスポートされ、ローカリゼーション チームにより EndPoint ManagementResem_en.properties が翻訳されました。 | ||
| 64 | 1 | UNIX エンドポイント カーネル モード | SEOS_syscall カーネル モジュールのアンロード時にカスタマの Linux マシンでシステム パニックが発生する CA ControlMinder の問題を修正しました。 | AN00711 | Linux all | procserver テーブルを解放するために SEOS_procserver_free() がコールされると、配列を通して各チェーンで SEOS_procserver_free_list() がコールされます。テーブルが解放されると、ポインタは NULL になります。NULL ポインタを正しく処理できないために、テーブルの開放を再試行するとシステム パニックが発生します。 | クリーンアップ関数がどのようにして複数回コールされるかは不明です。 | アンロード問題に対処する修正(T540216 および T3E7165 または T3E7166)が実装され、テーブルがすでに解放されているかを確認するチェック手順が EOS_procserver_fini() 内に追加されました。 | |
| 65 | 2 | UNIX エンドポイント カーネル モード | 12.5 SP5 から 12.6 SP2 にアップグレードした後にサーバ(Oracle Linux ホスト)上で Selinux を有効化すると、再起動後にサーバが継続的にリブートする、CA ControlMinder の問題を修正しました。 | AN00714 | Linux all | Linux カーネルに既存のロックを置き換える新しい内部ロックが導入されました。full_d_path() は、vfsmount_lock_lock を Linux カーネル 2.6.39 以降の vfsmount struct アクセスのロックとして正しく使用していませんでした。 | この問題は、Linux カーネル 2.6.39 以降で、chroot コマンドの新しいルートがマウント ポイントであるときに発生します。 | vfsmount struct アクセス用の正しいロックを識別します。 | UEK システムが含まれる OEL 6.3、または 2.6.39 以降のLinux カーネルで以下の手順を実行します。 1. AC を起動します。 2. マウント ポイントを見つけます。 3. "chroot mounting_point" を実行します。システム パニックが発生します。 |
| 66 | 3 | UNIX エンドポイント ユーザ モード | ユーザが sepass を使用してパスワードを変更すると、NIS サーバから引数が正しくないというエラーを受け取る CA ControlMinder の問題を修正しました。NIS マスタではパスワードが正常に更新されているため、このエラーは擬陽性です。 | AN00726 | UNIX all | NIS サーバのセットアップまたは設定に関する問題。 | NIS マスタ サーバをセットアップし、次に、NIS クライアントで sepass を実行してユーザのパスワードを変更する必要があります。 | 修正(Linux X64 用に T52V064.tar.Z および Linux X86 用に T52V065.tar.Z)が実装され、sepass の新しいバイナリが適用されました。 | NIS 環境で sepass の実行を試行してください。この問題は常に再現できるとは限りません。NIS 環境のセットアップに関する問題である可能性があるためです。 |
| 67 | 3 | Windows エンドポイント ユーザ モード | CA ControlMinder カスタマが日本語の文字を含むプログラム パスで specialpgm を定義するとエラー メッセージを受け取る問題を修正しました。 | AN00739 | Windows all | stat() 関数のコールでは、マルチバイト文字に UNICODE 文字列を使用する必要があります。 | パスを UNICODE に変換してから stat() 関数を実行します。 | ||
| 68 | 3 | ENTM | CA ControlMinder カスタマが特権アカウント アクセスを要求して承認されても、その特権アカウントが[マイ特権アカウント]に表示されない問題を修正しました。承認された特権アカウントが表示されるのは、リクエスタがメンバであるグループをメンバ ポリシーの Break Glass ロールに追加した場合のみです。 | AN00758 | Windows all | ControlMinder は BreakGlass メンバ ルールを確認してから標準アカウントを設定します。ただし、Break Glass が例外をスローすると、標準アカウントは設定されません。 | NA | Break Glass 例外をキャッチして、標準アカウントを検索するための修正が実装されました。 | 1. SAM ユーザ sy pupm1 としてログインします。 2. いくつかの特権アカウントが[マイ特権アカウント]に表示されていることを確認します。アカウントが 1 つも表示されていない場合は、アカウントをいくつか要求して承認状態にします。 3. ENTM からログアウトします。 4. superadmin として ENTM にログインします。 5. "Break Glass" 特権アクセス ロールのメンバ ポリシーを変更します。 変更前(デフォルト): メンバ ルール (すべて) スコープ ルール 特権アカウント 条件 ( アカウント名 ≠ (等しくない) "*" ) 変更後: メンバ ルール 条件 ( ログイン ID = "superadmin" ) スコープ ルール 特権アカウント 条件 ( アカウント名 ≠ (等しくない) "*" ) 6. ENTM からログアウトします。 7. SAM ユーザ sy pupm1 としてログインします。 8. [マイ特権アカウント]を再度確認します。 [マイ特権アカウント]に特権アカウントが表示されません。 |
| 69 | 3 | UNIX エンドポイント ユーザ モード | コンソールに root でログインしてログオフしたときに LOGOUT ログが作成されないという CA ConrtolMinder の UNIX 環境での問題を修正しました。 | AN00761 | UNIX all | Serevu は root のアクセスが許可されている場合でも root に対する監査イベント警告を作成しています。 | コンソールにログインしてから ControlMinder を起動する必要があります。 | クライアント用に新しい SEOS_syscall を作成するための修正が実装されました。 | LOD から Linux イメージを取得して Client VMSphere を実行します(セットアップには LOD との通信が必要です)。 テスト用のコンソールにログインする必要があります。 1. コンソールにログインし、端末セッションを開いて ControlMinder を起動します。 2. コンソールからログオフします。 3. リモート セッションからマシンへの telnet/ssh 接続を行います。 4. "seaudit -a" を実行します。コンソール ログインに対する LOGOUT レコードを確認できない場合は、問題が再現されたことになります。 LOGOUT が生成されるまで約 2 分かかります。しばらく待機してから "seaudit -a" を実行して、LOGOUT レコードを探します。 |
| 70 | 1 | ENTM | CA ControlMinder ENTM UI にログインするのに時間がかかり、ユーザがログインできないことがある問題を修正しました。JBoss サービスを再起動すると問題が改善されますが、数日後に問題が再発します。 | AN00763 | All | ログイン アプリケーションによるエンタープライズ管理サーバへのアカウント ステータスのクエリが約 10 秒ごとに発生するため、システムの接続リソースが上限に到達します。 | デフォルトの時間表示を設定して、データベース アカウントのステータス検証のチェック間隔を 10 秒から 1 分に変更します。 | 200 の RDP セッションを起動し、それらを 24 時間アクティブにして動作を監視する必要があります。テスト用のプランを以下に示します。 1. 1 つの LB を持つ ENTM セットアップを作成します。 2. 5 つの Windows エンドポイントを作成し、各エンドポイントから 100 個の特権アカウントを検出します。したがって、特権アカウントの合計は 500 になります。 3. 1 つの RDP ログイン アプリケーションを作成し、自動ログイン用にすべてのアカウントと関連付けます。 4. プライマリ ENTM セットアップにテスト修正を適用します。 5. “SWAT” ツールを使用して自動化スクリプトを実行し、RDP ログインのシミュレーションを行います。最初の 200 ユーザの RDP 要求をプライマリ ENTM URL から試行します。さらに他の 50 ユーザの要求を LB ENTM URL から試行し、RDP ログイン数が 500 になるまで続行します。 | |
| 71 | 3 | ENTM | UARM BreakGlass レポートにホスト名フィールドが見つからない問題を解決する CA ControlMinder の機能拡張。 | AN00772 | All | 理由は BreakGlassApprovedEvent のみに配信され、UAR サーバに送信されたすべてのイベント スキーマには配信されません。 | コメントおよび理由を含む Break Glass イベントに関連付けられた UAR イベントを作成するための修正が実装されました。 | 1. BreakGlassEvent 機能を作成します。 2. 特定の BreakGlass イベントにコメントおよび理由を追加します。 3. 追加したコメントおよび理由は、UAR サーバで参照できる必要があります。 | |
| 72 | 3 | ENTM | 無効なパスワードを使用して Windows エージェントレス エンドポイントを作成すると、CA ControlMinder エンドポイント出力の日本語のエンドポイント名が文字化けする問題を修正しました。 | AN00780 | All | エージェント マネージャが UTF8 形式を予期しているにも関わらず、JBoss が MBCS 形式で要求メッセージを送信しています。 | UTF8 形式で要求を送信するようにコードの変更を実装します。 | ||
| 73 | 1 | UNIX エンドポイント ユーザ モード | kblaudit で数日間のアクティビティが記録されないという CA ControlMinder カスタマの問題を修正しました。ControlMinder サービスを再起動するとログが作成されますが、数日後に問題が再発します。 | AN00793 | UNIX all | seosd が KBLAuditMgr を認識せず KBLAuditMgr が kbl 監査の名前変更に失敗するという、kblaudit ログに関する問題です。 | 変更の実装により、kbl.audit ファイルのバックアップ ファイルへの名前変更が失敗すると、KBL 監査マネージャは強制終了され、KBL 操作は正常に復帰します。これにより KBL 監査は失われません。 | ||
| 74 | 3 | ENTM | 電子メール アドレスの @ 記号の後にハイフン(-)やアンダースコア(_)が含まれる場合に、CA ControlMinder で電子メールを送信できない問題を修正しました。 | AN00798 | Windows all | MailValidation の正規表現では、@ 記号の後に出現するハイフンとアンダースコアを受け入れていませんでした。 | n/a | MailValidation 正規表現コードにハイフンとアンダースコアを追加する修正を実装します。 | 1. ENTM UI にログインします。 2. [ユーザおよびグループ]-[ユーザの変更]に移動します。 3. 任意のユーザを選択します。 4. 電子メール アドレスを「[email protected]」や「emailid@ca_itc.com」のように変更します。 5. 送信すると以下のエラーが表示されます: 無効な電子メール アドレス '<メール アドレス>' |
| 75 | 3 | UNIX エンドポイント ユーザ モード | カスタマが seapass を使用してパスワードを変更すると "システム コールがロードされていません" というエラー メッセージが表示される CA ControlMinder の問題を修正しました。 | AN00802 | UNIX all | ラッパー(スクリプト)が se_loadtest をコールしても Access Control の実行が検出されないため、sepass および sesu が動作しません。 | AIX 上でテストする必要があります。この問題は、AIX のみで発生します。 | 最新のラッパー スクリプトを実行し、異なる方法で ControlMinder の実行を確認します。 | AIX 上で、/opt/CA/AccessControl/samples/wrappers にあるスクリプトを実行します。ControlMinder が稼働中であっても、このスクリプトは "システム コールがロードされていません" というエラー メッセージを表示します。 |
| 76 | 4 | ENTM | エンドポイント管理のユーザ/グループ リポジトリ リストに複数の重複したドメインが表示される CA ControlMinder の問題を修正しました。 | AN00811 | All | 各ドメイン エントリが[信頼する側のドメイン]および[信頼される側のドメイン]リストの両方に表示されます。そのため、信頼する側と信頼される側のすべてのリストがメニュー リストに一緒に表示され、重複が発生します。 | SearchManagedBean クラスでは、findTrustedDomainNames() メソッドが getTrustedDomains を呼び出すことでドメイン リストを取得します。返されるリストで、すべてのドメイン名が一意であることを確認して、エントリの重複を回避します。 | Active Directory に複数のドメインがあることを確認します。各ドメインの関係が互いに信頼される側と信頼する側となるようにします。 | |
| 77 | 3 | ENTM | カスタマが特権アカウント要求の[承認]ボタンをクリックすると、表示されるメッセージの末尾に不要な句読点が付加される CA ControlMinder の問題を修正しました。 | AN00817 | Windows all | これはプロパティ ファイル内にある句読点が追加されたものです。 | NA | プロパティ ファイルから不要な句読点を削除します。 | 1. クレデンシャルを持つ superadmin として ENTM にログインします。 2. エンドポイントを作成し、1 つ以上のアカウントを検出します。 3. SAM ユーザを 1 つ作成します。 4. ENTM からログアウトします。 5. クレデンシャルを持つ SAM ユーザとして ENTM にログインします。 6. 1 つの特権アカウントを要求して ENTM からログアウトします。 7. クレデンシャルを持つ superadmin として ENTM にログインします。 8. [承認]ボタンをクリックしてアカウントを承認します。 特権アカウント要求に対して[承認]ボタンをクリックすると、表示されるメッセージの末尾に不要な句読点があります。特権アカウント情報が含まれるメールを設定すると、メールの件名の末尾に不要な句読点が付加されます。 |
| 78 | 3 | ENTM | エンタープライズ管理 UI の Active Directory ユーザ ストアで、名前にダブルバイト文字を含むグループを削除できない CA ControlMinder の問題を修正しました。 | AN00827 | Windows all | Active Directory ユーザ ストアのシステム マネージャ管理ロールに、[グループの作成]および[グループの削除]タスクが存在します。 | n/a | 回避策は、システム マネージャ管理ロールから[グループの作成]および[グループの削除]タスクを削除することです。 | 1. ENTM UI にログインします。 2. [ユーザおよびグループ]-[グループ]に移動します。 3. [グループの作成]および[グループの削除]が見つかります。 |
| 79 | 3 | UNIX エンドポイント ユーザ モード | アクセサのホスト名/IP アドレスではなく UI コンソールの監査レコードが表示される CA ControlMinder の問題を修正しました。 | AN00830 | UNIX all | カーネルからプロセスのリモート アドレスの取得を試行することなく、ProcServer_get_peer_addr() によってピア アドレス NULL が返されます。 | カーネルからプロセスのリモート アドレスを取得する手順を ProcServer_get_peer_addr() に追加します。 | 1. vsftpd が実行されていることを確認します。 ps -ef | grep vsftpd 2. CM エンドポイントに FTP 接続します。 3. 生成された LOGIN 監査レコードを確認します: 07 Jul 2013 19:56:49 P LOGIN root 59 2 console VFTP 予期される結果: 07 Jul 2013 20:09:43 P LOGIN root 59 2 130.119.179.77 VFTP 07 Jul 2013 20:10:29 P LOGIN root 59 2 ismelx33.ca.com VFTP | |
| 80 | 2 | UNIX エンドポイント ユーザ モード | Linux 上で OS 失敗ログ ファイルを使用するように設定したときに whereserevu がログイン失敗を検出しない CA ControlMinder の問題を修正しました。 | AN00838 | UNIX all | serevu が使用する OS メソッドは Linux OS で動作しません。 | |||
| 81 | 3 | ENTM | 無効なパスワードを使用して Windows エージェントレス エンドポイントを作成すると、CA ControlMinder エンドポイント出力の日本語のエンドポイント名が文字化けする問題を修正しました。 | AN00869 | All | エージェント マネージャが UTF8 形式を予期しているにも関わらず、JBoss が MBCS 形式で要求メッセージを送信しています。 | UTF8 形式で要求を送信するようにコードの変更を実装します。 | 12.7 GA + T51S007 (修正)を導入した日本語環境の ENTM マシンを用意します。 1) Windows エージェントレスおよび ssh エンドポイント タイプに対して日本語でエンドポイント名の作成を試行します。 2) エンドポイントを取得するために無効なパスワードを指定して、 GUI にエラー メッセージが表示されるようにします。エンドポイント名が文字化けしたエラー メッセージが日本語で表示されます。 | |
| 82 | 3 | ENTM | sudo_connector_conf.xml を使用して SSH デバイス用のエンドポイントを作成する際に、タスクの保留中にエラーが生成される CA ControlMinder の問題を修正しました。 | AN00874 | All | ファイル sudo_connector_conf.xml に対する変更が、セクション oGetUSers 内の "echo LOGINGU $?" の項目値に誤って配置されます。 | 修正(T51S008)の実装により、変更が "cat /etc/passwd ...." の項目値に配置されるようになりました。 | 1. superadmin として ENTM Web UI にログインします。 2. [特権アカウント]-[エンドポイント]をクリックして、タイプが ssh のエンドポイントを作成します。 以下の設定ファイルを使用します: sudo_connector_conf.xml 3. [サブミット]をクリックします。 "タスクがサブミットされています。 しばらくお待ちください..." というメッセージが表示されるので、しばらく待機します。 "タスクは保留中です。" というメッセージが表示されます。 4. しばらく待ってから[ホーム]-[自己マネージャ]-[マイ サブミット済みタスクの表示]に移動して、タスクのステータスを確認します。[検索]をクリックします。 「エンドポイントの作成」タスクのステータスが「失敗」になっています。 | |
| 83 | 3 | ENTM | カスタマが事前定義済みの管理アカウントを使用して Windows エージェントレス エンドポイントを作成すると、接続が成功したにも関わらず[エンドポイントの表示]に「前回失敗した接続日付」が表示される CA ControlMinder の問題を修正しました。 | AN00879 | All | エンドポイント管理者として事前定義済みアカウントを使用すると、コードのエラーにより、「前回失敗した接続日付」がエンドポイントに設定されます。 | この問題は、事前定義済みアカウントを使用してエンドポイントを作成する場合にのみ発生します。 | コードに変更が実行され、操作に成功したときに「前回失敗した接続日付」が表示されなくなりました。 | AD のメンバである Windows エンドポイント(bob_endpoint)が必要です。このエンドポイントで、AD のメンバであるアカウント(bob)を管理者グループに追加します。(bob はこのエンドポイントを管理できるようになります。) 1. AD エンドポイントを作成します。 2. bob アカウントを検出します。 3. bob_endpoint に対する Windows エージェントレス エンドポイントを作成します。管理アカウントとして bob (事前定義済みアカウント)を使用します。([以下の特権アカウントを使用する]オプションを使用します。) 4. エンドポイントが正常に作成されたことを確認します。 5. [エンドポイントの表示]画面で、このエンドポイントに対して「前回失敗した接続日付」がマークされていないことを確認します。(修正の適用前は、エンドポイントの作成に成功しても「前回失敗した接続日付」がマークされていました。) |
| 84 | 3 | UNIX エンドポイント ユーザ モード | ユーザが audit.cfg 内にある 200 行の TRACE メッセージをフィルタしようとすると CA ControlMinder の seosd がダウンする問題を修正しました。 | AN00913 | UNIX all | audit.cfg 内の行数が TRACE コードのフィルタ制限を超過しています。 | audit.cfg で TRACE のみにフィルタを適用し、行数が 200 行を超過している。 | 修正(Linux x86 用に T243983.tar.Z、Linux x64 用に T243984.tar.Z、Solaris 用に T243985)が実装され、フィルタ制限が 1000 に拡張されました。 | 201 行の audit.cfg ファイルを作成します(200 行を超過している必要があります) TRACE;FILE;*;*;user1;*;*;* TRACE;FILE;*;*;user2;*;*;* ... このファイルを /opt/CA/AccessControl/etc に保存します。 AccessControl を起動すると、コア ダンプが発生します。コア ダンプが発生しない場合は "selang" を実行してください。エラーが表示されます。seosd の再起動が継続して試行されます。 |
| 85 | 3 | UNAB | CA ControlMinder ユーザが UNAB の実行中に sudo su を使用できず、エラー メッセージが表示される問題を修正しました。 | AN00930 | UNIX all | pam_uxauth の失敗により、認証コンポーネントが成功してもログインに失敗してアカウントがロックされます。 | 修正(T5C1017.tar.Z)の実装により uxauth.ini トークンの設定が変更され、uxauth.ini 内の pam_exit_on_deny トークンが no (pam_exit_on_deny=no)になりました。 | ||
| 86 | 3 | UNIX エンドポイント ユーザ モード | ユーザが変更対象のユーザのパスワードを入力すると sepass でエラーが発生する CA ControlMinder の問題を修正しました。 | AN00933 | UNIX all | コーディング エラー。 | 別のユーザのパスワードを変更するために sepass user01 を実行する必要があります。ユーザ自身のパスワードは変更しません。 | この問題を解決するには、新しい sepass が必要です。 | sepass user01 自身のパスワードを入力してください: user01 のパスワードを入力しても動作します。 |
| 87 | 2 | UNIX エンドポイント カーネル モード | 2.4 カーネルが動作する X64 Linux システムで CA ControlMinder が SEOS_syscall のロードに失敗する問題を修正しました。 | AN01023 | Linux x64 | RHEL 3 での CA ControlMinder カーネル拡張 SEOS_load エラー。 | X64 RHEL 3.8 上に AC をインストールします(再現環境の一例として)。 SEOS_load を実行すると失敗します。 | ||
| 88 | 2 | UNIX エンドポイント カーネル モード | ブランド ゾーンで実行されている 64 ビット Solaris 8 または 9 上で、install_base およびポストインストール スクリプトにより、SEOS_syscall に対する無効なリンクが作成されます。 | AN01024 | Solaris | Solaris 8 および 9 用の SEOS_syscall リンクの作成時に OSMIC が使用されていました。 | この問題は、ブランド ゾーン内の 64 ビット Solaris 8 または 9 に AC をインストールする場合にのみ発生します。 | Solaris 8 または 9 用に追加のチェック手順を加えます。 | ゾーンをサポートする 64 ビット Solaris システムで以下の手順を実行します。 1. グローバル ゾーンにネイティブ インストールを実行します。 2. SEOS_syscall をアンロードします。 3. SEOS_use_ioctl を 1 に設定します。 4. SEOS_syscall を再ロードします。 5. ブランド ゾーンに移動します。 6. install_base を使用して、ネイティブ インストールまたはレガシー インストールのいずれかを実行します。 SEOS_syscall を SEOS_syscall.28Z.64 または SEOS_syscall.29Z.64 のいずれかにリンクしようとするときにインストールが失敗します。 |
| 89 | 2 | Windows エンドポイント カーネル モード | カスタマが TCP クラスを制御しようとすると制限が発生する CA ControlMinder の問題を修正しました。 | AN01100 | Windows all | DAYTIMERES オプションがアクティブであるため、TCP インバウンド接続で "restrictions(days(AnyDay) time(0100:1000))" が動作しません。 | 説明を参照してください。 | ドライバ コードを修正するための修正(T5P7280)が実装されました。 | |
| 90 | 3 | UNIX エンドポイント ユーザ モード | CA ControlMinder カスタマがシェル スクリプトで特定のバックアップ監査ファイルに対して seaudit を実行するとエラー メッセージが表示され、同じ seaudit コマンドを手動で実行したときにエラーが発生しない問題を修正しました。 | AN01111 | UNIX all | カスタマの seaudit ファイルは破損しています。 | "-debug" オプションを追加して監査ログの処理に関するデバッグ エラー メッセージを出力します。 | Solaris 10 では、監査レコードが破損すると以下が発生します。 1. コア ダンプ: # seaudit -a -fn /work/tmp_install/21472886/seos.audit.bak.13-Jul-2013-00:00:00 -sd 12-JUL-2013 -st 11:50 2. 無限ループ: # seaudit -tr -fn /work/tmp_install/21472886/seos.audit.bak.13-Jul-2013-00:00:00 -sd 12-JUL-2013 -st 17:02 | |
| 91 | 2 | Windows エンドポイント ユーザ モード | ネットワーク ロード バランサ(NLB)のインストールおよび設定後にカスタマのログインが遅延する CA ControlMinder の問題を修正しました。 | AN01169 | Windows all | seosd.exe メモリ内の TS セッションに割り当てられたメモリでメモリ破損が発生しました。 | originalObjectName によってアドレス指定されたメモリを事前定義済みの szOName バッファ サイズに一致するサイズに再割り当てし、ヒープ バッファの終了後のメモリへの書き込みを回避します。 | リモート ホストから TERMINAL ルールによって認可された AC エンドポイントに RDP 接続/切断を繰り返します。 メモリ破損が発生するシステムは、名前解決に NetBIOS over TCP/IP を使用する通常のネットワーク設定ではなく、ホスト ファイル内にリモート マシンの FQDN が含まれていない "IP NETBIOSNAME" のような指定が含まれています。 一般的なネットワーク設定を持つホスト上でテストした場合、問題は検出されませんでした。 | |
| 92 | 2 | UNIX エンドポイント カーネル モード | ControlMinder が実行されておらず、SEOS_syscall カーネル モジュールがロードされていない場合に、ログイン シェルとして Korn Shell を使用するユーザが X86_64 Solaris システムへ telnet または ftp 接続できない CA ControlMinder の問題を修正しました。 | AN01175 | Solaris | SEOS_syscall エントリが SEOS_syscall と同期していません。 | Invest. notes を参照してください。 | S68SEOS および K28SEOS 内の name_to_sysnum の処理を削除して、SEOS_syscall エントリが同期の途中で挿入されないようにします。 | 1. AC をインストールします。 2. 必要に応じて AC を開始して停止します。 3. AC カーネルがロードされているかどうかにかかわらず、システムを再起動します。 4. 起動中または起動後に AC を開始しないでください。 5. デフォルト シェルとして Korn Shell を使用するユーザ アカウントで、システムへの telnet 接続を試行します。 6. 接続が拒否されます。 |
| 93 | 2 | ENTM | CA ControlMinder カスタマがグループ メンバによる特権アカウント要求を承認すると、その承認イベントが SAM 監査ログのイベント履歴に表示されない問題を修正しました。 | AN01195 | Windows all | runtimestatusdetail12 テーブルに保存されたイベント詳細が送出されません。 | 修正(T52X010)の実装により、runtimestatusdetail12 テーブルに詳細が保存されたイベントを含めて、エンタープライズ管理の監査画面に詳細が表示されるようにコードが変更されました。 | イベント履歴 1. TASKSESSION ID "1 32:WPDS" を持つワークフロー プロセス "SingleStepApproval" のインスタンスがこのイベント処理のために作成されました。これが完了するまでイベントは次段階に進めません。 2013-07-26 14:05:32.747 2. WORKFLOW ワークフロー作業アイテム "Approval" が ID "0 4 50:WPDS" として作成され、次のユーザに割り当てられました: superadmin (Super Admin)、test1 (test 1) 2013-07-26 14:05:32.933 3. WORKFLOW ID "1 4 50:WPDS" のワークフロー作業アイテム "Approval" は、test1 (test 1) によってアクション "この作業アイテムを承認して、次の承認者に進みます" を実行されました。 2013-07-26 14:05:53.34 4. WORKFLOW このイベントと関連付けられたワークフロー プロセスにより、イベントの続行が許可されました。 2013-07-26 14:06:13.413 [手順] 1. グループを作成し、3 人以上のユーザを追加します。 [ユーザおよびグループ]-[グループ]に移動します。 2. 「特権アカウント要求」管理タスクの承認者をそのグループに変更します。 [ユーザおよびグループ]-[タスク]-[管理タスクの変更: 特権アカウント要求]に移動します。 [イベント]タブをクリックし、[privilegedAccountRequest]を選択します。 [ワークフロー プロセス]: SingleStepApproval [プライマリ承認者] [参加者リゾルバ: グループ メンバ] => [グループの追加]をクリックし、作成したグループを選択します。 3. 特権アカウントを要求し、グループ メンバによって承認します。 => (ケース a) [すべて選択]のチェック ボックスをオンにして[承認]ボタンをクリックします。 => (ケース b) タスク名をクリックし、次の画面で[承認]ボタンをクリックします。 4. [特権アカウントの監査]-[特権アカウント要求]タスクを確認します。 5. [含まれるイベント]の下にある[特権アカウント要求イベントの作成(未開始)]をクリックします。 6. [イベント履歴]を確認すると、上記のイベント #3 がケース a で見つかりません。 | |
| 94 | 2 | ENTM | ユーザがアカウントを終了して有効期限が過ぎた後にそのアカウントが自動的にチェックインされない CA ControlMinder の問題を修正しました。 | AN01200 | All | チェックイン イベントが発生したときにセッションが開いたままである場合の再スケジュール メカニズムはありません。 | コードに変更が実装され、既存のオープン セッションによりチェックインに失敗した場合、チェックイン イベント ジョブの再スケジュールを設定するようになりました。 | 1. SAM 特権アカウントを作成して排他的セッションに設定し、チェックアウト期限を 10 分に設定します。 2. このアカウントをチェックアウトして、この SAM ユーザ アカウントのパスワードを取得します。 3. 取得したパスワードを使用してマシンにリモート デスクトップ接続し(ログイン アプリケーションは使用しません)、RDP セッションを開いたままにします。 4. 10 分間経過するとチェックイン イベントが発生しますが、オープン セッションが存在するため失敗します。 以下のメッセージが表示されます: "アカウント: xxx にはオープン セッションが 1 あります。チェックアウトまたはチェックインの前に、このセッションを終了 (またはログオフ) してください。" | |
| 95 | 2 | ENTM | ユーザが要求ページ内で[承認者]タブから[特権アカウント]タブに切り替えたときにエラー メッセージが表示される CA ControlMinder 特権アカウント要求の問題を修正しました。 | AN01233 | Windows all | ControlMinder は、セッションで利用できないセッション オブジェクトから “approve_privileged_account_request_profile.jsp” 内のオブジェクトを参照しようとします。 | 修正(T52X008)が実装され、必須属性に入力するセッションの代わりに Java Class メソッドから値を選択してページがレンダリングされるようになりました。 | この問題をテストするには、SITEMINDER 統合環境が必要です。 1. 特権アカウントを要求します。 2. 承認者としてログインし、要求を選択します。 3. [承認者]タブから[特権アカウント]タブに切り替えます。 予期される結果: アカウントの要求中の詳細情報が表示される必要があります。 実際の結果: NULL ポインタ例外が発生します。 | |
| 96 | 2 | UNIX エンドポイント ユーザ モード | issec コマンドを使用すると他の Watchdog プロセスを参照できる CA ControlMinder の問題を修正しました。 | AN01328 | UNIX all | watchdog をコールしたサードパーティおよび ControlMinder 以外のプロセスが ControlMinder プロセスとして issec の出力に表示されていました。 | watchdog をコールする他のプロセスが実行されていないことを確認して、Issecd により ControlMinder プロセスとして表示されないようにしてください。 | ||
| 97 | 3 | UNIX エンドポイント ユーザ モード | CA ControlMinder の selang で特定のテキスト文字列を入力するとコア ダンプが発生する問題を修正しました。 | AN01349 | UNIX all | コア ダンプが発生する原因は、handle_objs_r() が free() をコールして cp_up2_r() 内の strdup() によって割り当てられたメモリを開放するときに、handle_objs_r() がメモリ ポインタを変更し、free() コールに失敗することにあります。 | テキスト文字列の末尾に空白がある。 | コードに変更が実装され、free() コールのメモリ アドレスとメモリ ポインタが保存されるようになりました。 |