セキュア ブート モードで起動している Linux 上で Privileged Access Manager Server Control ( 以下、PAMSC) を起動すると、カーネルモジュールのロードで失敗する。

Privileged Access Manager Server Control: 14.1
Privileged Identity Manager: 12.8 SP1 

セキュア ブートでは MOK (Machine Owner Key) が利用されます。
これは認証された OS のコンポーネントとドライバーのみをロードすることで起動時の安全性を高めるためです。
デフォルトではPAMのカーネルモジュールがMOKに登録されていないため、エラーとなります。

OS カーネルには信頼チェーンの一部となるモジュールの公開キーを含む必要があります。
最初の手順は、公開キーをカーネルシステムキーデータベースに登録することです。
この手順を行うことで、PAMSC のカーネルモジュールがロードされるたびに、OS カーネルは関連する公開キーをチェックします。

以下の手順で PAMSC の公開キーを安全なカーネルキーデータベースへ登録します。

1. インストールディレクトリにある 公開キーを MOK リストにインポートする。 
   # cd /opt/CA/PAMSC/bin/
   # mokutil --import  BroadcomInc.der
   input password:
   input password again:
     MOK の登録中に必要な任意のパスワードが必要となります。 
     注: 不要なトラブルを避けるため、パスワードでは英数字のみを使用します。
2. キーがエラーなしで追加できたことを確認したら、マシンをリブートします。
3. セキュアブートで起動中に、shim.efi により MOK キーの設定画面が表示されます。
   先に設定したパスワードでMOKへ公開キーがリストに登録されて、表示されていることを確認してください。
4. 再起動が完了したら、以下のコマンドで 公開キーがデータベースに登録されていることを再度確認してください。
   # mokutil -l
5. PAMSC または Broadcom の文字列で検索してください。

公開キーがロードされていることを確認出来たら、seload コマンドで PAMSCを起動してください。

本KBは以下の英文 KB を翻訳し加筆、修正しました。

Article ID:  201507: Error loading PIM / PAMSC on Linux running in Secure Boot mode (secureboot)

英語版のマニュアルも、ご参照ください。

Configure for Secure Boot