Privileged Identity Manager (以下、PIM) または Privileged Access Manager Server Control (以下、PAM SC) でエンタープライズ管理の拡張ポリシー管理 (Advanced Policy Management: APM) で配布されたポリシーの内容を確認する方法について確認したい。

Privileged Identity Manager:12.8 SP1 以上

Privileged Access Manager Server Control: 14.0 以上

最初に実際のコマンドを確認するために selang でデータベースに接続し、ポリシーの情報を確認します。

ポリシーは GPOLICY、POLICY、RULESETで構成されています。

まず最初に GPOLICY の一覧を以下のコマンドで表示させます。

PAMSC> list GPOLICY
(localhost)
Training Policy
...

配布した確認したい POLICY の詳細を確認します。
今回は例として「Training Policy」のポリシーについて調査を進めます。
GPOLICY クラスでは詳細情報として現在のバージョン番号等が確認できます。

PAMSC> sr GPOLICY ('Training Policy')
(localhost)
Data for GPOLICY 'Training Policy'
 -----------------------------------------------------------
Defaccess         : None
Members           : 
    Training Policy#01(POLICY ) 
Audit mode        : Failure
Owner             : +policyfetcher(USER   ) 
Create time       : 15-Jun-2022 12:32
Update time       : 15-Jun-2022 12:32
Updated by        : root          (USER   ) 
Latest Policy     : Training Policy#01
Effective UID     : ac_entm_pers

知りたい最新のポリシーのバージョン ( 今回の例では Training Policy#01) についてさらに詳細を確認します。

PAMSC> sr POLICY ('Training Policy#01')
(localhost)
Data for POLICY 'Training Policy#01'
 -----------------------------------------------------------
Defaccess         : None
Audit mode        : Failure
Groups            : 
    Training Policy(GPOLICY) 
Owner             : +policyfetcher(USER   ) 
Create time       : 15-Jun-2022 12:32
Update time       : 15-Jun-2022 12:32
Updated by        : root          (USER   ) 
Finalized         : Yes
Nodes             : 
    __local__
Effective UID     : ac_entm_pers
Name              : Training Policy
Version           : 1
RULESETS          : 
    Training Policy#01

このポリシーに含まれている RULESET の内容を確認します。

PAMSC> sr rulesetRULESET ('Training Policy#01')
(localhost)
Data for RULESET 'Training Policy#01'
 -----------------------------------------------------------
Defaccess         : None
Audit mode        : Failure
Owner             : +policyfetcher(USER   ) 
Create time       : 15-Jun-2022 12:32
Update time       : 15-Jun-2022 12:32
Updated by        : root          (USER   ) 
Rule Set Commands : 
    (1) eu <New User> owner(nobody)
Rule Set Undo Commands : 
    (1) ru <New User>
Policies          : 
    Training Policy#01
Finalized         : Yes

最終的にこの例では ユーザ <New User> を PAM SC のデータベースに作成するポリシーであることがわかりました。
併せて、ポリシーの削除時には <New User> をPAM SC のデータベースから削除していることがわかりました。

本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 245827: How to View Policy Information on a PIM or PAMSC Endpoint