CA Access Control(旧：eTrust AccessControl、以下 CA ACと略記)では、suコマンド等によるユーザの成り代わりの制御を行うことが出来ます。

アプリケーションの内部動作により、setuidが設定されたプログラムでは、他ユーザへの成り代わりが発生し、予期せぬ動作を行うことがあります。

Release: All Versions (UNIX/Linux PIM)

Component:

CA ACでは、SURROGATEクラスを使用して、他のユーザへの成り代わりを制御することができます。

このクラスを有効にしている場合、suコマンド等での明示的な成り代わりの他にアプリケーションの内部動作としての

成り代わりもルールに基づき監査されます。

このため、telnetやftpコマンドのように内部的にrootへのsetuidが呼び出されたプログラムで代理要求を許可されて

いないユーザがプログラムを実行できなくなる可能性があります。

この場合以下の回避策のいずれかを行ってください。

1. SURROGATEクラスでrootへの成り代わりを許可し、ACLにてユーザの成り代わりを制御します。

2. SURROGATEクラスでrootへの成り代わりを禁止し、PACLにて特定のプログラムによるアクセスを許可します。

3. SPECIALPGMクラスにプログラムを登録し、SURROGATEイベントをバイパスすることで、アクセスを許可します。