PIM/PAMSC: selang コマンドで OS ユーザを使用禁止にする方法について
Article ID: 370677
Updated On:
Products
Issue/Introduction
Privileged Identity Manager ( 以下、PIM ) で OS ユーザを無効化する必要がある。
selang コマンドを使用して実現することができるか?
Environment
Privileged Identity Manager: Linix/UNIX 版のすべてのバージョン
Privileged Access Manager Server Control: Linix/UNIX 版のすべてのバージョン
Resolution
管理者が selang の chu/chxu/eu/exu コマンドを使用して OS ユーザを無効化し ログインできなくするには2つのオプションがあります。
一つ目のオプションは ユーザを一時停止する supend です。
ただし、こちらは PIM のサービスが停止している場合にはログインが可能となります。
二つ目のオプションは unix(shellprog(....)) です。
shellprog の引数は /bin/nologin や /bin/false などのログイン不可となるシェルプログラムを指定します。
こちらは OS 側のログインシェルを変更するため、PIM のサービスが停止していてもログインができません。
安全性のために以下の例では両方のオプションを同時に設定します。
この方法は、 Privileged Access Manager Server Control ( 以下、 PAMSC) でも同様に有効です。
AC> eu testuser suspend unix(shellprog( /bin/false ))
(localhost)
USER testuser の作成に成功しました。
(localhost)
UNIX :
======
USER testuser の作成に成功しました。
AC>
スクリプト化するためには以下のように実行することもできます。
[root@example ~]# selang -s -c "eu testuser suspend unix(shellprog( /bin/false ))"
(localhost)
USER testuser の作成に成功しました。
(localhost)
UNIX :
======
USER testuser の作成に成功しました。
後で、有効化するために 以下のようにします。
> eu testuser suspend- unix(shellprog( /bin/bash ))
(localhost)
USER testuser を正常に更新できました。
(localhost)
UNIX :
======
USER testuser を正常に更新できました。
Additional Information
eu/exu/chu/chxu コマンドの詳細については以下のマニュアルもご参照下さい。
PIM Documentation - ch x usr Command (英語)
PAMSC Documentation - ch x usr Command (英語)
PAMSC - ch[x]usr コマンド - ユーザ プロパティの変更 (日本語)
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 370451: How to Disable OS Users Using Selang
Feedback
