Privileged Access Manager Server Control ( 以下、PAMSC) の selang コマンドはリモートのエンドポイントに接続しルールの操作等を行うことができる。
今回、Linux 上の selang コマンドを通して AIX サーバに接続し、パスワードの変更を行うと更新が失敗する。

Privileged Identity Manager ( 以下、PIM) 12.8 SP1 (12.81.x) では問題なく動作していたが、 PAMSCでは同様の操作で動作しない。

PAMSC>
PAMSC> host example
(example)
接続に成功しました。
情報: ターゲット ホストのバージョンは 14.10-40 (17) です。
UNIX OS 情報: example AIX 2 28 May 2025 16:41:16 CEST
PAMSC>
PAMSC> cu <user> password(<password>)
(example)
USER <user>  を正常に更新できました。
(example)
ネイティブ:
===
USER  <user>  を正常に更新できました。
PAMSC> Connection to example closed by remote host.
Connection to example closed.
 
 ターゲットのAIXマシン上では以下のようになる。
 
# uname -a
AIX example 2 7 00CDA8A74C00
#
# view /etc/security/passwd
 
user1:
        password = $5$Ar2xxxxxxxx
 
この記述は AIX で想定されたものと異なる。

Privileged Access Manager Server Control: Linux 版の全バージョン

PIM 12.81 では ハッシュ化の方法が SHA のみのサポートであったため、問題が発生しませんでした。

残念ながら、SHA は長らく明らかに安全性が低いとみなされてきたため、新しいハッシュ方式 ( 例えば Linux では 256 または 512 のキーサイズが使用されます) を SHA-2 の 128, 256, 512 のキーサイズが新しいバージョンではサポートされるようになりました。
これに伴い、設定ファイル  (seos.ini) 内にいくつかの新しいトークンが作成されました。

; このトークンは、他のエンドポイントに分配 (すなわちリモート操作モード) されたときに
; ユーザ パスワードをハッシュ化するのに使用される方法を示します。
; その設定は、リモート エンドポイントの設定と一致している必要があります。
; 有効な値:
;     1 - 互換モード (パスワードはローカルの passwd_local_encryption_method に従って
;         ハッシュ化され、保存するためにリモート エンドポイントに送信されてそのまま使用されます)
;     3 - 双方向モード (パスワードは独自の双方向暗号化で暗号化され、
;         ターゲット エンドポイントに安全に送信されて、独自の設定に従って
;         復号化およびハッシュ化されます)
; デフォルト値: 1
passwd_distribution_encryption_mode = 1

; このトークンは、ローカル システムが使用するパスワード ハッシュ化方法を示します
; 有効な値: crypt  md5  sha256  sha512
; デフォルト値; sha256
passwd_local_encryption_method = sha256

ここにあるように、passwd_distribution_encryption_mode が 1 に設定されている場合、 Linux 上で暗号化されて AIX に送られるため、AIX 上では暗号化の種類が特定できなくなっていました。

接続元の Linux のエンドポイントとターゲットの AIX のエンドポイントで seos.ini 内の passwd_distribution_encryption_mode = 3 を設定してください。

本文書は 以下の英文の KB を翻訳し、加筆修正しました。

Article ID: 399379: Password change in PAM SC for an AIX user done from Linux results in password error