Privileged Access Manager Server Control ( 以下、PAMSC) を 14.10.40.17 から 14.1.7 (14.10.70.54) にアップグレードした。
OS は SunOS 5.11 11.4.84.201.1 sun4v sparc sun4v となっている。
その後、"sesu" ユーティリティを使用して、ユーザの成り代わりを行ったが、パスワードの入力を求められなかった。
詳細を調べてみると、"sewhoami" コマンドがログインユーザではなく、 root を返していることが分かった。
seos.ini の UseInvokerPassword トークンは "yes" が設定されている。
SSH を使用したログインに注意が必要である。
Privileged Access Manager Server Control: Solaris 11 版の 14.1.7
LOGINAPPL 上のログインプログラムの指定に誤りがありました。
トレースを取って確認すると、実際にログインを処理するのは /usr/lib/ssh/sshd-session になっていました。
デフォルトの以下のルールがあります。
editres LOGINAPPL ('LIB_SSH') audit(FAILURE) comment('Predefined rule for Login application.') defaccess(EXECUTE) loginflags(PAMLOGIN) loginmethod(NORMAL) loginseq(SGRP SUID) loginpath(/usr/lib/ssh/sshd)
以下を追加します。
editres LOGINAPPL ('LIB_SSH_SESSION') audit(FAILURE) comment('SSH SESSION Login application.') defaccess(EXECUTE) loginflags(PAMLOGIN) loginseq(SGRP SEID) loginpath(/usr/lib/ssh/sshd-session)
お客様の環境に応じて適宜変更してください。
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 415979: Sesu command doesn't prompt for password and allow to switch user