PIM: AIX パスワード暗号化の問題について
Article ID: 378934
Updated On:
Products
CA Privileged Identity Management Endpoint (PIM)
CA Privileged Access Manager - Server Control (PAMSC)
Issue/Introduction
Privileged Identity Manager ( 以下、PIM) の AIX エンドポイントに sha512 に設定されたパスワードを配信すると、使用できなくなる。
エンドポイントのローカルで適切に設定した場合は、正しく動作するが、ユーザが変更しようとすると以下のエラーが発生する。
構文エラー: ユーザー名またはパスワードが無効です。
Environment
Privileged Identity Manager: 全バージョン
Privileged Access Manager Server Control: 全バージョン
Resolution
本件はの原因は、パスワードが Linux バージョンの sha512 でハッシュされていますが、AIX の バージョンと互換性が無いために発生します。
下記のIBMのドキュメントに詳細の説明と互換性に関する記述があります。
AIX: Making SHA-256 and SHA-512 passwords compatible with other OS's
問題を解消するには以下の方法で設定を行ってください。
最初にパスワードを配布する親 PMD (マスターサーバ) で PIM を停止して seos.ini内の passwd_format を NTに設定して下さい。
これは、サーバ上での暗号化を使用するのではなく、エンドポイント側でOSの暗号化を使用することを示しています。
同時に passwd_distribution_encryption を 3 に設定してください。
これで全てのサブスクライバ上で動作します。
以下は弊社の環境で実行してみた例です。
passwd_format を未設定とした場合:
Brian:
password = $5$qEnp4Bb
passwd_format を NT で設定した マスターエンドポイントと passwd_distribution_encryption_mode を 1 で設定した場合:
Brian:
password = $5$Eolu5rly
passwd_format を NT に設定し、passwd_distribution_encryption_mode を 3 に設定した場合:
Brian:
password = {ssha512}06$qPM7PpqR
Additional Information
こちらの文書は以下の KB から翻訳加筆修正を行いました。
Article ID: 225969: AIX Password Encryption Issues
Feedback
Yes
No
Powered by
