Privileged Access Manager Server Control ( 以下、 PAMSC )が導入された AIX マシン上でパスワードの暗号化方式が SHA256 / SHA512 に設定されていると PAMSC からパスワードの更新後、ユーザがログインできなくなる。
PAMSC は Policy Model データベース (以下、 PMDB) を利用してパスワードの一元管理を行っている環境のサブスクライバとして更新を受け取っている。
OSのパスワード設定ファイル (/etc/security/passwd) を確認すると以下のように設定されている。
<ユーザ>:
password = ########
Privileged Identity Manager 12.8 SP1
Privileged Access Manager Server Control 14.x
AIX のパスワード暗号化方式 SHA256 / SHA512 は他のLinuxシステムと表記方法が異なっていることが原因です。
AIX 上で暗号化されているパスワードはパスワード設定ファイル (/etc/security/passwd) 上では以下のように設定されます。
<ユーザ>:
password = {ssha512}########
PAMSC/PIM 上で PMDBによるデフォルトのパスワード配布方式では、マスターPMDB上でパスワードの暗号化を行い、暗号化されたパスワードを直接サブスクライバに配布する動作になっています。
このため、サブスクライバ上ではローカルで再度暗号化することはなく、直接サブスクライバに保存されます。
今回のケースではAIXと他のOS上の暗号化した結果が異なるため、ログインできない状態になっていました。
AIX では、他の OS との互換性を保つような設定にも変更できます。
変更ができない場合は以下の手順でサブスクライバのローカルマシン上で暗号化するように設定してください。
サブスクライバ上で再暗号化するための設定手順
マスターPMDB上:
各サブスクライバ上:
他の OS 形式と互換性を持つようにするには以下のIBMから提供される文書もご参照ください。
AIX: Making SHA-256 and SHA-512 passwords compatible with other OS's
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 224937: AIX Endpoints Cannot Use sha256/sha512 Password Encryption