Privileged Access Manager ( 以下、PAM) からターゲットデバイスに RDP 接続を行った際に、 アクセスポリシーの中で ログイン統合にチェックが入っていると、以下のエラーが表示される。
"This computer can not establish a session with the remote computer. Try connection again. If the problem continues, contact the owner of the remote computer or your network administrator."
この時、接続は行われない。
また、いくつかのケースではセッション自体は継続して試行されるが、20秒ぐらい経過すると失敗して接続が行われない。
Privileged Access Manager: 全てのバージョン
ターゲットデバイスでは Privileged Access Manager Server Control ( 以下、 PAMSC) の PUPM エージェントが 正しく構成され、PAM に登録されている必要があります。
また、正しく登録されていたとしても自動ログインに使用するアカウントが正しく設定されていない場合は動作しません。
以下のレジストリキーの設定を確認してください。
(変更には PAMSC のサービスを停止している必要があります。)
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\common\AgentManager\Plugins\PupmAgent
AutoRegister = 1
ScheduleType = 1
併せて、こちらのレジストリキーも変更してある必要があります。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\PUPMAgent
EnableLogonIntegration = 1
OperationMode = 1
これらの設定が完了後、PAMSC エージェントを seosd -start で再起動してください。
2,3 分経過後 PAM のコンソールから、 デバイス > デバイス エージェント ステータス 画面に移動し、PUPM エージェントが動作していることをご確認ください。
追加設定として、PAMSC の PUPM エージェント側では 自動ログインするユーザに対して pupm_flags が必要です。
これは selang コマンドを使用して設定します。
editusr <Account that is used for Autologin> pupm_flags(use_original_identity)
例: editusr myhost\pamadmin1 pupm_flags(use_original_identity)
PAM から RDP セッションを接続すると 統合が完了となります。
例えば、PAM ユーザ globaladmin でログインし、ターゲットアカウントの myhost\pamadmin1 で自動ログインした後で、コマンドプロンプトから secons -whoami を実行すると PUPM User として PAMのログインユーザが表示されます。
(PAMSC のアクセスルールは自動ログインしたユーザではなく、PAM ユーザで作成する必要があります。)
C:\Users\pamadmin1>secons -whoami
CA Privileged Access Manager Server Control secons v14.10.40.48 - コンソール ユーティリティ
Copyright (c) 2018 CA. All rights reserved.
ACEE ハンドル '19' は 'PUPM User' を表しています: super (OS User)
ACEE は以下で作成されました: Tue Oct 22 17:13:06 2024
...
こちらの文書は以下の KB から翻訳加筆修正を行いました。
Article ID: 264387: PAM Login Integration problem with Windows PUPM endpoint