Privileged Access Manager (以下、PAM ) を4.1.3にアップグレードした後、LDAP ユーザの更新を手動で行うと、下記のエラーが発生しユーザが退出させられた。
PAM-CMN-1172: CA PAM 管理者によってセッションが中断されました。
セッションログでは以下のエラーが記録されており、ユーザは退出させられた。
PAM-CMN-1176: 改ざんの可能性が検出されました。エンド ユーザのローカル システムが不正アクセスされた可能性があります。セッションは終了されます。
なお、本問題は一部のクラスタが構成されており、プライマリリーダ以外から実行した際にのみ発生している。
CA Privileged Access Manager 4.1.3
LDAP の更新はプライマリリーダのアプライアンス上でのみ実行できます。
このため、クラスタの他のアプライアンスから実行された場合、プライマリリーダで実行するためにcurlコマンドを利用します。
PAM 4.1.3 では別の問題に対応するため実行時のタイムアウトを設定しました。
このため、LDAPの更新がタイムアウト値より長くかかる場合に本エラーが発生します。
しかしながら、この時ダッシュボードには「LDAP 処理継続中」のメッセージが表示され、LDAPの更新自身は継続されます。
現在、開発部門ではこの問題を回避するために 4.1.6 または、4.2のリリースで暫定的にLDAP 更新機能の変更を検討しています。
回避策としては、手動のLDAP更新は必ずプライマリリーダのアプライアンス上で行ってください。
プライマリリーダは PAM コンソールにログインし、設定 > クラスタ化 のステータスタブから確認できます。
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 275736: Tampering Detected During Manual LDAP Refresh on PAM 4.1.3