Privileged Access Manager ( 以下、PAM) と Privileged Access Manager Server Control (以下、PAM SC) ユーティリティ アプライアンス を連携させるため設定、再起動した後にいくつかのサービスが開始できない。

サービスログを確認すると、「 Failed to fetch activemq password. 」とエラーが記録されている。

また、tomcatのログ (詳細) では以下のような不正なMACアドレスが記録されている。

....<macaddr>EE:EE:EE:EE:EE:EE</macaddr>...

Privileged Access Manager 4.0/4.1

PAM SC ユーティリティ アプライアンスでは通信に ActiveMQ を利用します。
そして、通信パスワードは PAM アプライアンス上に保存されており、pam-a2aサービスを通じてパスワードを取得しています。
pam-a2a サービスは稼働しているのですが、以下のようなエラーが記録されていました。

<Timestamp> WARNING: <Timestamp> ClientService::loginToCSPMServer. start
<Timestamp> WARNING: <Timestamp> KeyService::clientFixedKeyLogin. No key value detected
<Timestamp> WARNING: <Timestamp> ClientService::loginToCSPMServer. Failed to perform CSPM Server login. Retrying...
<Timestamp> WARNING: <Timestamp> ClientService::loginToCSPMServer. Failed to perform CSPM Server login. Retrying...
<Timestamp> WARNING: <Timestamp> KeyService::clientFixedKeyLogin. No key value detected
<Timestamp> WARNING: <Timestamp> KeyService::clientFixedKeyLogin. No key value detected
<Timestamp> WARNING: <Timestamp> KeyService::clientFixedKeyLogin. No key value detected

A2A エージェントが PAM アプライアンスと通信するときには、サーバーの MAC アドレスを使用してフィンガープリントを生成し、その ID を確認します。
MAC アドレスが変更されるとフィンガープリントが変更され、A2A エージェントは通信ができなくなります。

今回のケースでは PAM SC ユーティリティ アプライアンスの仮想インターフェイスの数が変更されました。 各仮想インターフェイスには独自の MAC アドレスがあるため、pam-a2a サービスで使用されるフィンガープリントが変更され、PAM アプライアンスと通信できなくなりました。

開発部門では、このような動作の変更を将来的なリリースで予定していますが、現時点では実装は完了していません。

このため、回避策としてはユーティリティ グループから一旦 PAM SC ユーティリティ アプライアンスをすべて削除し、必要な PAM SC ユーティリティ アプライアンスの再登録を行うようにしてください。

なお、本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 249927: PAM Utility -- After a Reboot, Most Utility Appliance Services Cannot Start -- (EE:EE:EE:EE:EE:EE)