CA ControlMinder r126-SP2 FIXLIST-Japanese - CA Technologies
{{search ? 'Close':'Search'}}

CA ControlMinder r12.6-SP2 FIXLIST - Japanese
サービス パックはすべて累積であるため、前のリリースに含まれる修正については、この FIXLIST では言及されていません。


No. Severity Module Problem summary 事象内容 Package OS Cause of the problem 根本原因 Conditions 発生条件 Solution or workaround 解決策または回避策 Reproduction steps 再現手順 Problem ID TestFix / PublishFix
        日本語訳       日本語訳   日本語訳   日本語訳   日本語訳    
1 3 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where getvar.sh incorrectly identifies SEOS_syscall.530b as the kernel extension. However, kernel fails to load on AIX 5.3 with TL 12. getvar.sh が SEOS_syscall.530b をカーネル拡張として間違って識別する問題を修正しました。ただし、AIX 5.3 TL 12 ではカーネルのロードに失敗します。 AC126SP20016 AIX getvar.sh incorrectly identifies SEOS_syscall.530b as the kernel extension to use for AIX 5.3 TL 12 and above. However the new syscall was not introduced until TL 12 SP3, which caused a load failure for TL 12 below SP 3. getvar.sh は SEOS_syscall.530b を AIX 5.3 TL 12 以降で使用するカーネル拡張として間違って認識します。しかし、この新しいシステム コールは TL 12 SP3 まで導入されなかったため、TL 12 SP 3 より前のバージョンでロード エラーが発生しました。 Problem occurs on AIX 5.3 with TL 12 below SP 3. SP 3 より前の AIX 5.3 TL 12 で問題が発生します。 Upgrade to AIX 5.3 TL 12 SP3 or above. AIX 5.3 TL 12 SP3 以降にアップグレードします。 On AIX 5.3 with TL 12 below SP 3, loading SEOS_syscall will fail with following error: Executing un/load exit file/usr/seos/exits/LOAD/SEOS_load_int.always. sysconfig[SYS_SINGLELOAD]:path(/usr/seos/bin/)module(/usr/seos/bin/SEOS_syscall ) err(8) : Exec format error SP 3 より前の AIX 5.3 TL 12 で SEOS_syscall をロードすると、以下のエラーにより失敗します: Executing un/load exit file/usr/seos/exits/LOAD/SEOS_load_int.always. sysconfig[SYS_SINGLELOAD]:path(/usr/seos/bin/)module(/usr/seos/bin/SEOS_syscall ) err(8) : Exec format error 1711 RO46021
2 2 Windows Endpoint User Mode Fixes an issue where creating or updating groups with groupid property in the pmd native environment returns the error "Property not found". pmd ネイティブ環境で groupid プロパティを使用してグループを作成または更新するときに "プロパティが見つかりません" というエラーが返される問題を修正しました。 AC126SP20035 Windows all The groupid property is incorrectly defined in the database during creation. 作成時に、データベースで groupid プロパティが正しく定義されていません。 Specify the groupid property for group during creation or while updating in the pmd native environment. pmd ネイティブ環境で作成または更新するときにグループの groupid を指定します。     1. parent_pmd of unix endpoint is windows pmd
2. create pmd on widnws endpoint and subscribe unix endpoint
3. host pmd@ in selang on windows
4. eg testgrp audit(a) native(groupid(100))
expected result:
1. "ERROR: Property not found" does not appar
2. sg in pmd@ netive env shows ID property
1. Unix エンドポイントの parent_pmd は Windows pmd です。
2. Windows エンドポイントで pmd を作成し、Unix エンドポイントをサブスクライブします。
3. Windows 上の selang で host pmd@ を実行します。
4. eg testgrp audit(a) native(groupid(100))

正しい結果:
1. "エラー: プロパティが見つかりません" が表示されません。
2. pmd@ ネイティブ環境で sg を実行すると ID プロパティが表示されます。
562 T4CC164
3 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where removing a native user with appl property returns the error "Property not found". appl プロパティを使用してネイティブ ユーザを削除すると "プロパティが見つかりません" というエラーが返される問題を修正しました。 AC126SP20036 Windows all The appl property is not defined in the database during creation. 作成時に、データベースで appl プロパティが定義されていません。 Specify the appl property for user delition in the pmd native environment. pmd ネイティブ環境でのユーザの削除で appl プロパティを指定します。     1. parent_pmd of unix endpoint is windows pmd
2. create pmd on widnws endpoint and subscribe unix endpoint
3. host pmd@ in selang on windows
4. eu testuser password(testuser)
5. ru testuser native appl(homedir=yes)
expected result: "ERROR: Property not found" does not appar
Plase also test:
6. eu testuser native(gscon("test"))
expected result:
1. "ERROR: Property not found" does not appar
2. sg in pmd@ netive env shows GSCON property

7. eg testgrp native(appl("test"))
expected result: "ERROR: Property not found" does not appar
1. Unix エンドポイントの parent_pmd は Windows pmd です。
2. Windows エンドポイントで pmd を作成し、Unix エンドポイントをサブスクライブします。
3. Windows 上の selang で host pmd@ を実行します。
4. eu testuser password(testuser)
5. ru testuser native appl(homedir=yes)
正しい結果: "エラー: プロパティが見つかりません" が表示されません。
次もテストしてください。
6. eu testuser native(gscon("test"))
正しい結果:
1."エラー: プロパティが見つかりません" が表示されません。
2. pmd@ ネイティブ環境で sg を実行すると GSCON プロパティが表示されます。

7. eg testgrp native(appl("test"))
正しい結果: "エラー: プロパティが見つかりません" が表示されません。
562 T4CC164     
4 3 UNIX Endpoint User Mode Fixes an issue where ControlMinder fails to unload on RHEL 5.8 x86. RHEL 5.8 x86 上で ControlMinder がアンロードに失敗する問題を修正しました。 AC126SP20041 LINUX x86 The messagebus dbus-daemon prevents AC kernel module to unload because of a syscall accept is blocked. システム コールの受信がブロックされるため、messagebus dbus-daemon が AC カーネル モジュールのアンロードを妨げています。     The fix restarts messagebus when ControlMinder kernel module unloads. この修正は、ControlMinder カーネル モジュールがアンロードされると messagebus を再起動します。 On RHEL 5.8 x86
1. Start AC
seload
2. Restart messagebus
/etc/init.d/messagebus restart
3. Verify blocing syscall
secons -scl
shows blocking syscall 102 by dbus-daemon
4. Shutdown AC
secons -sk
5. Attempted unload of AC fails
SEOS_load -u
RHEL 5.8 x86 で以下の手順を実行します。
1. AC を開始します。
seload
2. messagebus を再起動します。
/etc/init.d/messagebus restart
3. ブロッキング システム コールを確認します。
secons -scl
dbus-daemon によるブロッキング システム コール 102 が表示されます。
4. AC をシャットダウンします。
secons -sk
5. AC のアンロード試行が失敗します。
SEOS_load -u
   
5 1 UNIX Endpoint User Mode Fixes an issue with ControlMinder where password change fails on Solaris because Pluggable Authentication Module (PAM) handles password change as a LOGIN event. PAM (Pluggable Authentication Module)がパスワード変更を LOGIN イベントとして処理するために、Solaris 上でパスワード変更に失敗する問題を修正しました。 AC126SP20044 Solaris x86 The problem occurs because ControlMinder PAM handled password change as a LOGIN event. この問題は、ControlMinder の PAM がパスワード変更を LOGIN イベントとして処理したために発生します。             1752 TC61277 (AIX), TC61278 (HPUX PA-RISC), TC61279 (HPUX IA64), TC61280 (Linux X86), TC61281 (Linux X64), TC61282 (Linux IA64), TC61283 (Solaris Sparc), TC61284 (Solaris X86).
6 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where filtering file access by audit.cfg fails. audit.cfg によるファイル アクセスのフィルタリングが失敗する問題を修正しました。 AC126SP20060 Windows all The AuditHandler did not check audit filtering. AuditHandler が監査フィルタリングを確認していませんでした。 Audit record coming form the driver via AuditHandler AuditHandler 経由でドライバから送られる監査レコード     [procedure]
1. stop AC
\\> secons -s
2. create test directory and file
\\> mkdir TEMP
\\> mkdir TEMP\\VB_BIN
\\> echo aaa > c:\\TEMP\\VB_BIN\\test.txt
3. create policies
editres FILE ("c:\TEMP\*") audit(ALL) defaccess(READ CHDIR) owner('nobody')
authorize FILE ("c:\TEMP\*") access(READ WRITE DELETE RENAME CREATE EXECUTE CHOWN CHMOD UTIME SEC CHDIR) uid('administrator')
4. start AC
5. access to the directory/file and check audit log
\\> cd temp
\\> cd vb_bin
\\> type test.txt
\\> cd \
\\> seaudit -a -sd today
some file access log to C:\\TEMP\\VB_BIN, C:\\TEMP\\VB_BIN\\ and C:\\TEMP\\VB_BIN\\test.txt appears
-> this is expected
6. add filter in audit.cfg
\\> secons -s
add following filter at the last of audit.cfg:
*;C:\\TEMP\\VB_BIN*;Administrator;*;*;*
TEST CASE 1
7. do step5 again
[expected result] all file access logs are filtered
[actual result] some file access logs for C:\\TEMP\\VB_BIN appears; others such as C:\\TEMP\\VB_BIN\\test.txt are filtered
TEST CASE 2
8. \\> cd temp
9. restat AC
10. \\> cd vb_bin(type vb_bin but tab key)
\\> cd ..
\\> cd [tab key]
\\> cd seaudit -a -sd today
[expected result] all file access logs are filtered except C:\\TEMP\*
[actual result] all file access logs are filtered
手順:
1. AC を停止します。
\\> secons -s
2. テスト ディレクトリおよびファイルを作成します。
\\> mkdir TEMP
\\> mkdir TEMP\\VB_BIN
\\> echo aaa > c:\\TEMP\\VB_BIN\\test.txt
3. ポリシーを作成します。
editres FILE ("c:\TEMP\*") audit(ALL) defaccess(READ CHDIR) owner('nobody')
authorize FILE ("c:\TEMP\*") access(READ WRITE DELETE RENAME CREATE EXECUTE CHOWN CHMOD UTIME SEC CHDIR) uid('administrator')
4. AC を開始します。
5. ディレクトリ/ファイルにアクセスし、監査ログを確認します。
\\> cd temp
\\> cd vb_bin
\\> type test.txt
\\> cd \
\\> seaudit -a -sd today
C:\\TEMP\\VB_BIN、C:\\TEMP\\VB_BIN\\、および C:\\TEMP\\VB_BIN\\test.txt へのファイル アクセス ログが表示されます。
-> これは正しい動作です。
6. audit.cfg にフィルタを追加します。
\\> secons -s
audit.cfg の末尾に次のフィルタを追加します:
*;C:\\TEMP\\VB_BIN*;Administrator;*;*;*
テスト ケース 1
7. 手順 5 を繰り返します。
正しい結果: すべてのファイル アクセス ログがフィルタされます。
実際の結果: C:\\TEMP\\VB_BIN の一部のファイル アクセス ログが表示されます。他の C:\\TEMP\\VB_BIN\\test.txt などはフィルタされます。
テスト ケース 2
8. \\> cd temp
9. AC を再起動します。
10. \\> cd vb_bin(type vb_bin but tab key)
\\> cd ..
\\> cd [tab key]
\\> cd seaudit -a -sd today
正しい結果: C:\\TEMP\* を除くすべてのファイル アクセスログがフィルタされます。
実際の結果: すべてのファイル アクセス ログがフィルタされます。
1686 T4CC165, T4CC166
7 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where the result of sepmd -t PMDB <offfset> is incorrect. sepmd -t PMDB <オフセット> の結果が正しくない問題を修正しました。 AC126SP20065 Windows all Offset sepmd -t is handled by hex incorrently. sepmd -t のオフセットが誤って 16進 で処理されています。 Any value specified to offsed is handle by hex. オフセットに指定された値はすべて 16 進で処理されます。     1. create pmd PMDB
2. input some rules into PMDB
a. eg administrators native
b. eg inf audit(logins loginf trace) native
c. eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native
d. eu test1023
3. check PMDB command file
> sepmd -C PMDB
Offset Command
======== =========
1) 0 eg administrators native
2) 608 (native domain) eg administrators native
3) 1216 eg inf audit(logins loginf trace) native
4) 2848 (native domain) eg inf audit(logins loginf trace)native
5) 3460 eu test1023 audit(logins loginf f trace)
owner(nobody) pwasown(********) grace- profile(inf) native
6) 8212 (native domain) eu test1023 audit(logins loginf f
trace) owner(nobody) pwasown(********) grace- profile(inf) native
7) 9576 eu test1023

4. truncate until offset 1215 ( expect to truncate command 1) and 2) )
> sepmd -t PMDB 1215
Truncating PMDB at 4629
5. check PMDB COMMAND file
> sepmd -C PMDB
Offset Command
======== =========
1) 8212 (native domain) eu test1023 audit(logins loginf f
trace) owner(nobody) pwasown(********) grace- profile(inf) native
2) 9576 eu test1023
commands from 1) to 5) are truncated unexpectedly.
Also, the number value in truncate message is not correct
1. pmd PMDB を作成します。
2. いくつかのルールを PMDB に入力します。
a. eg administrators native
b. eg inf audit(logins loginf trace) native
c. eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native
d. eu test1023
3. PMDB コマンド ファイルを確認します。
> sepmd -C PMDB
Offset Command
======== =========
1) 0 eg administrators native
2) 608 (native domain) eg administrators native
3) 1216 eg inf audit(logins loginf trace) native
4) 2848 (native domain) eg inf audit(logins loginf trace)native
5) 3460 eu test1023 audit(logins loginf f trace)
owner(nobody) pwasown(********) grace- profile(inf) native
6) 8212 (native domain) eu test1023 audit(logins loginf f
trace) owner(nobody) pwasown(********) grace- profile(inf) native
7) 9576 eu test1023

4. オフセット 1215 まで切り捨てます(コマンド 1) と 2) を切り捨てることになります)。
> sepmd -t PMDB 1215
Truncating PMDB at 4629
5. PMDB COMMAND ファイルを確認します。
> sepmd -C PMDB
Offset Command
======== =========
1) 8212 (native domain) eu test1023 audit(logins loginf f
trace) owner(nobody) pwasown(********) grace- profile(inf) native
2) 9576 eu test1023

予想に反し、1) から 5) までのコマンドが切り捨てられます。
また、切り捨てのメッセージ内の数値が正しくありません。
   
8 3 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where the root directory path is incorrect in the audit record during the chroot system call. chroot システム コール中の監査レコード内のルート ディレクトリ パスが正しくない問題を修正しました。 AC126SP20071 LINUX all The problem occurs because the audit record does not add a slash when the parent is IS_ROOT. この問題は、親が IS_ROOT であるときに監査レコードがスラッシュを追加しないために発生します。 Access chrooted file/directory chroot が実行されたファイル/ディレクトリへのアクセス     1. place proftpd-1.3.4a.tar.gz on /usr/local/src
2. tar zxvf proftpd-1.3.4a.tar.gz
3. cd proftpd-1.3.4a
4. ./configure --with-modules=mod_ifsession
5. make
6. make install
7. uncomment DefaultRoot in proftpd.conf
8. run proftpd

I noticed that the /ftpdata was a separate file system according to hostsysinfo.txt in the support.tar.gz file.
/dev/sda2 52427772 184372 49537252 1% /ftpdata
For setting up a similar environment on LOD, I made a new filesystem in the following way.

1. Create a file to be used for a new filesystem
# dd if=/dev/zero of=/root/ftpdata bs=1024 count=10240
2. Create a filesystem in the file
# mkfs /root/ftpdata
3. Create a mount point
# mkdir /ftpdata
4. mount the created filesystem to /ftpdata
# mount -o loop /root/ftpdata /ftpdata

For reproducing the problem, we need to create a user and the user's home directory in /ftpdata.
# useradd kiban -d /ftpdata/SG001
# chmod 777 /ftpdata/SG001
The following AC rules need to be defined.
ef /ftpdata/SG001 defacc(a) audit(a) owner(nobody)
ef /ftpdata/SG001/* defacc(a) audit(a) owner(nobody)
When you login to the proftpd server as user 'kiban', '/' between directory names disappears in the seos.audit log.
This problem deos not happen when /ftpdata is a simple directory in the root filesystem.
1. proftpd-1.3.4a.tar.gz を /usr/local/src に配置します。
2. tar zxvf proftpd-1.3.4a.tar.gz
3. cd proftpd-1.3.4a
4. ./configure --with-modules=mod_ifsession
5. make
6. make install
7. proftpd.conf 内の DefaultRoot のコメントを解除します。
8. proftpd を実行します。

support.tar.gz ファイル内の hostsysinfo.txt によれば、/ftpdata は別のファイル システムです。
/dev/sda2 52427772 184372 49537252 1% /ftpdata
LOD 上で同様の環境をセットアップするために、以下の方法で新しいファイルシステムを作成しました。

1. 新規ファイルシステムで使用するファイルを作成します。
# dd if=/dev/zero of=/root/ftpdata bs=1024 count=10240
2. ファイル内にファイルシステムを作成します
# mkfs /root/ftpdata
3. マウント ポイントを作成します。
# mkdir /ftpdata
4. 作成したファイルシステムを /ftpdata にマウントします。
# mount -o loop /root/ftpdata /ftpdata

問題を再現するには、ユーザを作成してそのホーム ディレクトリを /ftpdata 内に作成する必要があります。
# useradd kiban -d /ftpdata/SG001
# chmod 777 /ftpdata/SG001
以下の AC ルールを定義する必要があります。
ef /ftpdata/SG001 defacc(a) audit(a) owner(nobody)
ef /ftpdata/SG001/* defacc(a) audit(a) owner(nobody)
proftpd サーバにユーザ 'kiban' としてログインすると、seos.audit log 内でディレクトリ名の間にある '/' が失われます。
/ftpdata が ルート ファイルシステム内の単なるディレクトリである場合は、この問題は発生しません。
   
9 3 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where a denial occurs for COMMON and PACL properties even when they are trusted script by the DB. COMMON および PACL プロパティが DB によって信頼されたスクリプトである場合でも、それらのプロパティの拒否が発生する問題を修正しました。 AC126SP20079 UNIX all The kernel module didn't find the program in the table by program path. Function "eAC_TrustPg_get_best()" searches the program by full path but checks the return value incorrectly. As a result, the executed script was not marked as "trusted script" and ControlMinder didn't apply the viapgm rule. カーネル モジュールはプログラム パスによってテーブル内にプログラムを見つけることができませんでした。関数 "eAC_TrustPg_get_best()" は完全パスでプログラムを検索しますが、戻り値が正しく確認されません。その結果、実行されたスクリプトは "trusted スクリプト" としてマークされず、ControlMinder は viapgm ルールを適用できません。 Program "vi" changes program i-node when file is saved. プログラム "vi" はファイルを保存するときにプログラムの i-node を変更します。 Kernel module function "eAC_TrustPg_get_best" changed Previous code : --------------- if (path[0] == '/' && eAC_h_tbl_get() == 0 ) return OK; ---------------( condition lack braces after &&) New code: if (path[0] == '/') %7B if (eAC_h_tbl_get() == 0 ) return OK; %7D カーネル モジュール関数 "eAC_TrustPg_get_best" が変更されました。
以前のコード:
---------------
if (path[0] == '/' && eAC_h_tbl_get() == 0 )
return OK;
---------------( condition lack braces after &&)
新しいコード:
if (path[0] == '/')
%7B
if (eAC_h_tbl_get() == 0 )
return OK;
%7D
Prepare:
# echo TEST > /tmp/test.txt
# mkdir /home/work
# vi /home/work/test.sh
#!/bin/bash
cat /tmp/test.txt
Rule:
AC> ef /tmp/test.txt owner(nobody) audit(all) defacc(N)
AC> auth file /tmp/test.txt uid(*) acc(ALL) via(pgm(/home/work/test.sh))
AC> cr PROGRAM /home/work/test.sh flags(none)
Recreate steps:
1. run test.sh
# /home/work/test.sh => ALLOWED
2. edit test.sh and insert comment line
# vi /home/wor/test.sh
insert line like ###### at bottom
3. run test.sh again
# /home/work/test.sh
=> EXPECTED result is PERMIT and /home/work/test.sh is trusted program
=> ACTUAL is DENY
準備:
# echo TEST > /tmp/test.txt
# mkdir /home/work
# vi /home/work/test.sh
#!/bin/bash
cat /tmp/test.txt
ルール:
AC> ef /tmp/test.txt owner(nobody) audit(all) defacc(N)
AC> auth file /tmp/test.txt uid(*) acc(ALL) via(pgm(/home/work/test.sh))
AC> cr PROGRAM /home/work/test.sh flags(none)

再現手順:
1. test.sh を実行します。
# /home/work/test.sh => ALLOWED
2. test.sh を編集してコメント行を挿入します。
# vi /home/wor/test.sh
「######」のような行を末尾に挿入します。
3. test.sh を再実行します。
# /home/work/test.sh
=> 正しい結果は PERMIT で /home/work/test.sh は trusted プログラムです
=> 実際の結果は DENY です
  T3DB126, T3DB127  
10 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where a wrong 'sewhoami' occurs after logging in through the GDM console. GDM コンソールを通じてログインした後に 'sewhoami' が間違った結果を出力する問題を修正しました。 AC126SP20080 LINUX all The login program gdm-binary never terminates. ControlMinder does not record end of session and logout, the gdm-binary assigns ACEE. The new session does not assign a new ACEE and uses the old one. ログイン プログラム gdm-binary が終了しません。ControlMinder はセッションの終了とログアウトを記録せず、gdm-binary は ACEE を割り当てます。新しいセッションは新しい ACEE を割り当てずに古い ACEE を使用します。 RH5 GDM console login RH5 GDM コンソール ログイン New solution is following: the EXT handler will check if exiting program is "gnome-session". If it is true, then check if this "gnome-sesion" is last process woth such program name. If it is true we assume GDM logout and kernel cleans all associated ACEEs 新しい解決策は以下のとおりです。
EXT ハンドラは既存のプログラムが "gnome-session" であるかどうかを確認します。
これが true の場合、この "gnome-sesion" がそのプログラム名を持つ最後のプロセスであるかどうかを確認します。
これが true の場合、GDM ログアウトを想定して、カーネルは関連するすべての ACEE を消去します。
      T3DB131
11 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where Solaris 10 zone reboot fails due to failed umount when ControlMinder is running in global and internal zones. ControlMinder がグローバルおよび内部ゾーンで実行中に umount の失敗により Solaris 10 ゾーンの再起動が失敗する問題を修正しました。 AC126SP20081 Solaris Sparc ControlMinder kernel module file name resolving hold and dint release v-node of mounted FS. ControlMinder カーネル モジュール ファイル名の解決が保持され、マウントされたファイルシステムの v-ノードを解放しません。 NFS mounts in internal zones 内部ゾーンでの NFS マウント Release v-node when going next loop 次のループに移動するときに v-ノードを解放します 1. Default AC installation
2. Installed Solaris NAS (NFS mounts in internal zones)
3. Start AC in global and both internal zones
4. in global zone try to reboot internal zones
Expect: zone successfully reboots
Actual: umount fails for internal zone
1. デフォルトで AC をインストールします。
2. Solaris NAS をインストールします(内部ゾーンに NFS をマウント)。
3. グローバル ゾーンと内部ゾーンの両方で AC を開始します。
4. グローバル ゾーンで、内部ゾーンの再起動を試行します。
正しい結果: ゾーンが正常に再起動されます
実際の結果: 内部ゾーンで umount が失敗します
  T3DB122
12 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where ControlMinder causes Kernel panic on HP-UX 11.11 or earlier versions when calling the delay() kernel function. The delay() function is not introduced to HP-UX until version 11.23.   delay() カーネル関数を呼び出すときに ControlMinder が HP-UX 11.11 またはそれ以前のバージョンで カーネル パニックを引き起こす問題を修正しました。delay() 関数は HP-UX バージョン 11.23 まで導入されていません。   AC126SP20084 HPUX PA-RISC The delay() kernel function called by ac_w_lock_slot() is not available in HP-UX 11.11 or earlier versions. Instead, the delay() function with different calling arguments was called from another kernel module. This led to system panic.   ac_w_lock_slot() によって呼び出される delay() カーネル関数は、HP-UX 11.11 またはそれ以前のバージョンでは利用できません。代わりに、呼び出し引数が異なる delay() 関数が別のカーネル モジュールから呼び出されます。これによってシステム パニックが発生します。 This only occurs on HP-UX 11.11. This may occur when there are multiple threads attempt to acquire read or write lock on the AC kernel table. HP-UX 11.11 でのみ発生します。複数のスレッドが、AC カーネル テーブル上で読み取りまたは書き込みロックを取得しようと試行することで、この問題が発生する可能性があります。           T3E7147
13 1 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where SEOS_put_look() failed to check if the message was a TCP STREAMS file. メッセージが TCP STREAMS ファイルであるかどうかを SEOS_put_look() が確認するのに失敗する問題を修正しました。 AC126SP20085 Solaris Sparc, Solaris x86 When SEOS_put_hook() was invoked to handle a message, it automatically assumes it as a TCP message. But the message was an X.25 packet, it misidentified it and misinterpreted the contents. This caused the bcopy call to access an invalid memory address and led to panic. SEOS_put_hook() が呼び出されてメッセージを処理するときは、自動的に TCP メッセージであると想定されます。しかし、メッセージが X.25 パケットである場合は誤認識となり、コンテンツは誤って解釈されます。これにより、bcopy コールが無効なメモリ アドレスにアクセスしてカーネル パニックが発生します。 This occurs on system running X.25 based application. この問題は、X.25 ベースのアプリケーションを実行中のシステムで発生します。 The workaround is to use the STREAMS mode as the interception type. 回避策: インターセプト タイプとして STREAMS モードを使用します。     1746 T3E7148
14 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where the system panicked in eAC_MM_file_ok. eAC_MM_file_ok でシステム パニックが発生する問題を修正しました。 AC126SP20088 UNIX all The problem occurs because unexpected arguments were passed to eAC_MM_file_ok(). この問題は、eAC_MM_file_ok() に予期しない引数が渡されることで発生します。 This occurs when an intercepted execve event fails and AC is down. インターセプトされた execve イベントが失敗して AC がダウンすると、この問題が発生します。 When AC is down, there is no need to check Maintenance Mode. AC がダウンしている場合、メンテナンス モードを確認する必要はありません。       T3E7149 (HP-UX PA-RISC)
T3E7150 (HPUX IA64)
15 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where seosd fails to start due to wrong filter in audit.cfg. audit.cfg 内の間違ったフィルタによって seosd が起動に失敗する問題を修正しました。 AC126SP20090 Windows all Allocated AuditMembersArray is not initialized with NUL, so its members point to an invalid address, invoked later in strncmp as a parameter. 割り当て済みの AuditMembersArray は NUL として初期化されていません。したがって、そのメンバは、後で strncmp のパラメータとして呼び出された無効なアドレスをポイントします。     Add initilization of allocated AuditMembersArray, checking filter tokens and return ERROR_PARSING_CFG_LINE for reporting to Application Log about wrong filter. 割り当て済みの AuditMembersArray の初期化を追加して、フィルタ トークンを確認し、間違ったフィルタに関するアプリケーション ログへのレポートに ERROR_PARSING_CFG_LINE を返します。 Set filter FILE;*;NT AUTHORITY\SYSTEM;*;*; with missing last token and start AC. It exits with error "Abnormal termination Service Thread" in Application Log. 最後のトークンを指定せずにフィルタ FILE;*;NT AUTHORITY\SYSTEM;*;*; を設定して、AC を開始します。AC はアプリケーション ログにエラー "Abnormal termination Service Thread" を出力して終了します。   T5P7199
16 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where you cannot delete a policy because the hnode is deleted. hnode が削除されているためにユーザがポリシーを削除できない問題を修正しました。 AC126SP20095 Windows all The problem occurs because the hnode is deleted, the poilcy that is assigned to hnode cannot able to be deleted. この問題は、hnode が削除されると hnode に割り当てられているポリシーを削除できないために発生します。 A policy is assigned to one hnode. this hnode is deleted. Now, we cannot delete the policy. ある hnode にポリシーを割り当ててから、この hnode を削除すると、ポリシーを削除できなくなります。     1. policydeploy -store TestPolicy -ds c:\\ds.txt -uds c:\\uds.txt -dms DMS__@
2. policydeploy -assign TestPolicy -hnode node_name -dms DMS__@
3. selang, AC>host DMS__@, AC>rr HNODE node_name
Now, you'll have a problem to delete the policy TestPolicy.
4. policydeploy -delete TestPolicy#01 -dms DMS__@
Error: ERROR: Cannot delete policy version TestPolicy#01 as it is effective on some HNODEs
1. policydeploy -store TestPolicy -ds c:\\ds.txt -uds c:\\uds.txt -dms DMS__@
2. policydeploy -assign TestPolicy -hnode node_name -dms DMS__@
3. selang で、AC>host DMS__@, AC>rr HNODE node_name
これで、ポリシー TestPolicy を削除するときに問題が発生します。
4. policydeploy -delete TestPolicy#01 -dms DMS__@
エラー: 一部の HNODE で有効なため、ポリシー バージョン TestPolicy#01 を削除できません。  
  T243977, T243978
17 2 Windows Endpoint User Mode Fixes the following issues with ControlMinder: 以下の問題を修正しました:
アプリケーション終了時のアプリケーション エラー。
DB プラグインでのアプリケーション クラッシュ。
AC126SP20096 Windows all Found and fixed several bugs related to instrumentation unload code. インストルメンテーションのアンロード コードに関する複数のバグが見つかり、修正されました。 See reproduction steps 再現手順を参照してください。 Found and fixed several bugs related to instrumentation unload code. インストルメンテーションのアンロード コードに関する複数のバグが見つかり、修正されました。       T5P7201
Application ERROR on application exit.
Application crash on DB plugins.
18 2 Windows Endpoint User Mode Fixes an issue with ControlMinder related to instrumentation unload code. インストルメンテーションのアンロード コードに関連する問題を修正しました。 AC126SP20103 Windows all The problem occurs because stability issues related to race condition on unload were identified in ControlMinder instrumentation code. この問題は、ControlMinder のインストルメンテーション コードに、アンロード時の競合状態に関連する安定性の問題が見つかったために発生します。             569 T5P7201
19 2 UNIX Endpoint User Mode Fixes issues with ControlMinder installation and uninstallation on AIX WPARs. AIX WPAR 上での ControlMinder のインストールとアンインストールに関する問題を修正しました。 AC126SP20105 AIX ControlMinder installs installation for native package to /CA/AccessControl. But uninstall does not remove AccessControlShared directory. Additionally, AccessControl and AccessControlShared are not get removed from WPAR. ControlMinder はネイティブ パッケージを /CA/AccessControl にインストールします。しかし、アンインストール時に AccessControlShared ディレクトリは削除されません。さらに AccessControl および AccessControlShared は WPAR から削除されません。         Install AC installation for native package to /CA/AccessControl
AC installs, but uninstall does not remove AccessControlShared directory
Also AccessControl and AccessControlShared do not get removed from WPAR

#customize pkg and install in Global host
customize_eac_bff -Ri /CA/AccessControl -d `pwd` -w proceed CAeAC.12.6.1.1431.bff
installp -d `pwd` -a CAeAC

#install in WPAR
syncwpar <wpar_name>

#uninstall from Global
installp -u CAeAC
Note: /CA/AccessControlShared directory remains

#uninstall from WPAR
syncwpar <wpar_name>
Note: in WPAR directories /CA/AccessControl* still exist
AC のネイティブ パッケージを /CA/AccessControl にインストールします。
AC は正常にインストールされますが、アンインストール時に AccessControlShared ディレクトリが削除されません。
また、AccessControl および AccessControlShared が WPAR から削除されません。

#パッケージをカスタマイズして、グローバル ホストにインストール
customize_eac_bff -Ri /CA/AccessControl -d `pwd` -w proceed CAeAC.12.6.1.1431.bff
installp -d `pwd` -a CAeAC

#WPAR にインストール
syncwpar <wpar_name>

#グローバルからアンインストール
installp -u CAeAC
注: /CA/AccessControlShared ディレクトリが削除されません。

#WPAR からアンインストール
syncwpar <wpar_name>
注: WPAR でディレクトリ /CA/AccessControl* が削除されません。
1686 T540174
20 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where ControlMinder does not start in more than one WPAR on AIX. AIX 上の複数の WPAR で ControlMinder が起動しない問題を修正しました。 AC126SP20109 AIX The problem occurs as ControlMinder cannot determine coral id from virtual pids. この問題は、ControlMinder が仮想 pid から coral id を特定することができないために発生します。 Multiple running WPARs WPAR の複数実行 AC will start in multiple WPARs AC は複数の WPAR で開始するようになります。 Install AC on multiple AIX WPARs.
Start AC in Global.
Start AC in WPAR
AC will not start in a second WPAR
複数の AIX WPAR に AC をインストールします。
グローバル環境で AC を開始します。
WPAR で AC を開始します。
2 番目の WPAR で AC が開始しません。
1686 T540174
21 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where an error is observed in AccessControl_install.log while upgrading. アップグレード中に AccessControl_install.log でエラーが見つかる問題を修正しました。 AC126SP20117 UNIX all ControlMinder tries to access an incorrect directory. The correct directory is /opt/CA/AccessControl/data/japanese_euc_jis-0208/etc/eACLicenseAgreementUNIX_japanese_euc_jis-0208.txt ControlMinder は正しくないディレクトリへのアクセスを試行しました。正しいディレクトリは以下のとおりです: /opt/CA/AccessControl/data/japanese_euc_jis-0208/etc/eACLicenseAgreementUNIX_japanese_euc_jis-0208.txt                
22 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where uninstall does not remove the AccessControlShared directory. アンインストールによって AccessControlShared ディレクトリが削除されない問題を修正しました。 AC126SP20118 AIX The problem occurs with the packaging scripts. この問題はパッケージング スクリプトで発生します。         Install AC installation for native package to /CA/AccessControl
AC installs, but uninstall does not remove AccessControlShared directory

#customize pkg and install in Global host
customize_eac_bff -Ri /CA/AccessControl -d `pwd` -w proceed CAeAC.12.6.1.1431.bff
installp -d `pwd` -a CAeAC

#install in WPAR
syncwpar <wpar_name>

#uninstall from Global
installp -u CAeAC
Note: /CA/AccessControlShared directory remains

#uninstall from WPAR
syncwpar <wpar_name>
Note: in WPAR directories /CA/AccessControl* still exist
AC のネイティブ パッケージを /CA/AccessControl にインストールします。
AC は正常にインストールされますが、アンインストール時に AccessControlShared ディレクトリが削除されません。

#パッケージをカスタマイズして、グローバル ホストにインストール
customize_eac_bff -Ri /CA/AccessControl -d `pwd` -w proceed CAeAC.12.6.1.1431.bff
installp -d `pwd` -a CAeAC

#WPAR にインストール
syncwpar <wpar_name>

#グローバルからアンインストール
installp -u CAeAC
注: /CA/AccessControlShared ディレクトリが削除されません。

#WPAR からアンインストール
syncwpar <wpar_name>
注: WPAR でディレクトリ /CA/AccessControl* が削除されません。
1686 T540174
23 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where sepmdpull consumes huge memory during ControlMinder start up. ControlMinder の起動時に sepmdpull が大量のメモリを消費する問題を修正しました。 AC126SP20119 UNIX all Difference in encrypt/decrypt keys makes objp->n_errs corrupt which causes to allocate huge memory. 暗号化/復号化キーが異なるために objp->n_errs が破損し、大量のメモリ割り当てが発生します。 Different encrypt/decrypt keys defined between parent pmd machine and subscriber machine 親の pmd マシンとサブスクライバ マシンで、異なる暗号化/復号化キーが定義されています。     1. Install AC with default encrypt key on machine A
2. Install AC with different encrypt key on machine B
3. Set token panrent_pmd to machine A
Example:pmd1@machine B
4. Start AC on both machine
5. Run sepmdpull -a
6. verify sepmdpull will not allocate huge memory
1. マシン A にデフォルトの暗号化キーを使用して AC をインストールします。
2. マシン B に異なる暗号化キーを使用して AC をインストールします。
3. トークンの panrent_pmd を マシン A に設定します。
例: pmd1@machine B
4. 両方のマシンで AC を開始します。
5. sepmdpull -a を実行します。
6. sepmdpull に大量のメモリが割り当てられていないことを確認します。
  T4CC190
24 2 UNIX Endpoint User Mode Fixes an issue where ControlMinder cannot install successfully on AIX. ControlMinder を AIX 上に正常にインストールできない問題を修正しました。 AC126SP20121 AIX                    
25 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where computer prompts to reboot after installing and synching ControlMinder in AIX 7.1 global environment. AIX 7.1 グローバル環境で ControlMinder をインストールして同期した後にコンピュータが再起動を要求する問題を修正しました。 AC126SP20123 AIX The problem occurs as the Reboot Message 332 is coming from postinstall script. Needs a change to the script similar to solaris for non-global zone.   この問題は、ポストインストール スクリプトから再起動メッセージ 332 が送信されるために発生します。非グローバル ゾーンの Solaris と同様のスクリプト変更が必要です。         Install AC in AIX WPAR using syncwpar
syncwpar –gives incorrect warning message that need to reboot “If this is the first time you installed CA Access Control or upgraded CA Access Control, you must REBOOT the machine.”
syncwpar を使用して AIX WPAR に AC をインストールします。
再起動が必要であるという、以下の間違った警告メッセージが表示されます: “If this is the first time you installed CA Access Control or upgraded CA Access Control, you must REBOOT the machine.”
   
26 2 Windows Endpoint User Mode Fixes the following issues with ControlMinder: 以下の問題を修正しました:
アプリケーション終了時のアプリケーション エラー。
DB プラグインでのアプリケーション クラッシュ。
AC126SP20125 Windows all MtM unsafe for plug-ins unload. プラグインのアンロードに関して、MtM は安全ではありません。 MtM unsafe for plug-ins unload プラグインのアンロードに関して、MtM は安全ではありません。 Removed MtM MtM の削除     569 T5P7201
Application ERROR on application exit.
Application crash on DB plugins.
27 2 Windows Endpoint Kernel Mode Fixes a design limitation, where a user can circumvent ControlMinder protection by copying a device. A privileged user (not a ControlMinder Administrator), can create a copy of the device using "mknod" system call. ControlMinder cannot prevent access to the device through direct system call. ユーザがデバイスをコピーすることによって ControlMinder の保護を回避できる設計上の制限を修正しました。特権ユーザ (ControlMinder 管理者ではなく) は "mknod" システム コールを使用してデバイスのコピーを作成できます。ControlMinder は直接のシステム コールを通じたデバイスへのアクセスを阻止することはできません。 AC126SP20130 UNIX all ControlMinder does not check target device in syscall "mknod". ControlMinder はシステム コール "mknod" のターゲット デバイスをチェックしません。 Privileged user calls "mknod" 特権ユーザによる "mknod" の呼び出し New AC table keeps protected devices. The AC kernel will authorize target device in "mknod" system call 新しい AC テーブルには保護されているデバイスが保存されます。AC カーネルは "mknod" システム コールのターゲット デバイスをチェックします。 1. # df -h | grep <some_dir>
/dev/dsk/c2t1d0s6 24G 3.4G 20G 15% /slow-work
2. # ls -l /dev/dsk/c2t1d0s6
/dev/dsk/c2t1d0s6 -> ../../devices/pci@1f,700000/scsi@2/sd@1,0:g
3. notice device major ad minor number
ls -l /devices/pci@1f,700000/scsi@2/sd@1,0:g
brw-r----- 1 root sys 32, 14 Jun 25 15:14 /devices/pci@1f,700000/scsi@2/sd@1,0:g
4. AC> ef /devices/pci@1f,700000/scsi@2/sd@1,0:g defaccess(n) owner(root)
5. # mknod /work/tmp/my_dev b 32, 14
=> EXPECT DENY of access
1. # df -h | grep <some_dir>
/dev/dsk/c2t1d0s6 24G 3.4G 20G 15% /slow-work
2. # ls -l /dev/dsk/c2t1d0s6
/dev/dsk/c2t1d0s6 -> ../../devices/pci@1f,700000/scsi@2/sd@1,0:g
3. デバイスのメジャー番号とマイナー番号を確認します。
ls -l /devices/pci@1f,700000/scsi@2/sd@1,0:g
brw-r----- 1 root sys 32, 14 Jun 25 15:14 /devices/pci@1f,700000/scsi@2/sd@1,0:g
4. AC> ef /devices/pci@1f,700000/scsi@2/sd@1,0:g defaccess(n) owner(root)
5. # mknod /work/tmp/my_dev b 32, 14
=> アクセス拒否が正しい動作です。
1773 TC61313
28 2 UNAB Fixes an issue with ControlMinder where the nss_uxauth module fails to communicate with the agent and suspends its normal processing. This occurs when agent-based debug logging is implemented. nss_uxauth モジュールがエージェントとの通信に失敗して通常の処理が中断する問題を修正しました。エージェント ベースのデバッグ ロギングが実装されると、この問題が発生します。 AC126SP20132 UNIX all An error occurs while communicating with the agent (because the agent is down). nss_uxauth module treats this as a hard error. エージェントとの通信中にエラーが発生します (エージェントがダウンしているため)。nss_uxauth モジュールはこれをハード エラーとして処理します。             565 T5P7199
29 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where intermittent SURROGATE deny occurs while DB rules allow. DB ルールでは許可されているにも関わらず断続的な SURROGATE 拒否が発生する問題を修正しました。 AC126SP20134 UNIX all The problem occurs because of wrong ACEE reference counting. この問題は、ACEE 参照のカウントが間違っているために発生します。     This package makes two changes: 1) kernel function SEOS_procserver_update() will change references to "old" and "new" acee 2) kernel exit function will check real references in process table when reference counter is equal 1, meaning - last reference. このパッケージでは以下の 2 つの変更を行います。
1) カーネルの関数 SEOS_procserver_update() は、参照を "old" および "new" ACEE に変更します。
2) カーネルの exit 関数は、参照カウンタが 1 の場合(最新の参照を意味します)、プロセス テーブル内の実際の参照をチェックします。  
    1758 T3DB128
30 2 Windows Endpoint Kernel Mode Fixes an issue with ControlMinder where audit records process termination are missing. 監査レコードのプロセス終了が見つからない問題を修正しました。 AC126SP20137 Windows all The process termination mask from loophole protection is removed, it should be covered by class process. ループホール保護からプロセス終了マスクを削除しました。これはクラス プロセスで処理される必要があります。     Removed process termination mask from loophole protectiopn, it should be cobvvered by class process. ループホール保護からプロセス終了マスクを削除しました。これはクラス プロセスで処理される必要があります。 Try to terminate seosd watchdog - see that despite denial of the operation, AC log contains no appropriate auidt message. seosd watchdog の終了を試行すると、操作が拒否されるにも関わらず、AC のログには適切な監査メッセージが含まれていません。 571 T5P7202  
31 2 Windows Endpoint User Mode Fixes the following issues with ControlMinder: 以下の問題を修正しました:
アプリケーション終了時のアプリケーション エラー。
DB プラグインでのアプリケーション クラッシュ。
AC126SP20145 Windows all Found and fixed several bugs related to instrumentation unload code. インストルメンテーションのアンロード コードに関する複数のバグが見つかり、修正されました。             569 T5P7201
Application ERROR on application exit.
Application crash on DB plugins.
32 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the policyfetcher consumes high CPU usage. policyfetcher が高い CPU 使用量を示す問題を修正しました。 AC126SP20147 UNIX all     The policyfetcher fails to send/or receive data twice on a target. policyfetcher がターゲット上で 2 度にわたってデータの送受信に失敗する         1767 T4CC187
33 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where memory leak occurs in seosd after the scheduled time of ReportAgent. ReportAgent でスケジュールされた時間が過ぎた後に seosd でメモリ リークが発生する問題を修正しました。 AC126SP20153 UNIX all The problem occurs as the allocated memory to access class definition for checking seos_odf.dat during backup of seosdb is not freed. この問題は、seosdb のバックアップ中に seos_odf.dat をチェックするためにクラス定義へのアクセス用に割り当てられたメモリが解放されていないために発生します。 ReportAgent is setup and send report of seosdb on sheduled time ReportAgent をセットアップし、スケジュールされた時間に seosdb のレポートを送信する     1. Setup AC endpoint and ReportaAgent
2. observe seosd size before/after scheduled time of ReportaAgent.
Default is 00:00 every day.
# grep schedule accommon.ini
schedule = 00:00@Sun,Mon,Tue,Wed,Thu,Fri,Sat
run ps -el | grep seosd before 00:00 and after 00:00
1. AC エンドポイントと ReportaAgent をセットアップします。
2. ReportaAgent がスケジュールされた時間の前後で、seosd のサイズを確認します。
デフォルトは毎日 00:00 です。
# grep schedule accommon.ini
schedule = 00:00@Sun,Mon,Tue,Wed,Thu,Fri,Sat
run ps -el | grep seosd before 00:00 and after 00:00
1775 T4CC191 (LINUX x64), T4CC192 (SUN sparc), T4CC193 (AIX)
34 3 Windows Endpoint User Mode, UNIX Endpoint User Mode Fixes an issue with ControlMinder where depoloyments created by "RESTORE HOST" operation were not executed. "RESTORE HOST" 操作によって作成されたデプロイメントが実行されない問題を修正しました。 AC126SP20154 Windows all, UNIX all The problem occurs because deployments for RESTORE HOST operation are created without property TYPE. Policyfetcher does not execute deployments that do not have any TYPE, as a result policyfetcher bypasses the deployment. この問題は、RESTORE HOST 操作に対するデプロイメントが TYPE プロパティなしに作成されるために発生します。policyfetcher は TYPE を持たないデプロイメントを実行しません。その結果、policyfetcher はデプロイメントをバイパスします。         1. Back up seosdb of Endpoint(dbmgr -b).
2. Run the policy deployment.
3. Restore seosdb of Endpoint(dbmgr -r).

Try to restore policy..
1. Open the ENTM UI and navigate to
Policy Management -> Policy -> Troubleshooting -> Restore Host
2. Add the host where the policy is already deployed and click Finish.
3. Check "Deployment Audit".
=> It is first "Queued" and then "fail".
..The policy is never deployed.  
1. エンドポイントの seosdb をバックアップします(dbmgr -b)。
2. ポリシー デプロイメントを実行します。
3. エンドポイントの seosdb をリストアします(dbmgr -r)。

ポリシーのリストアを試行します..
1. ENTM UI を開いて、以下に移動します。
[ポリシー管理] -> [ポリシー] -> [トラブルシューティング] -> [ホストの復元]
2. ポリシーがすでにデプロイ済みのホストを追加して、[完了]をクリックします。
3. [デプロイメント監査]をオンにします。
=> はじめに "キューに格納済み" となり、その後 "失敗" と表示されます。
..ポリシーがデプロイされません。  
1772 T4A7025, T4A7026, T4A7028
35 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where selang command failed to fetch data for Property PASSWDRULES. selang コマンドがプロパティ PASSWDRULES のデータ取得に失敗する問題を修正しました。 AC126SP20157 Windows all The problem occurs when ControlMinder failed to fetch password rules to access bidirectional mode set to user password. この問題は、ControlMinder がユーザ パスワードを設定するために双方向モードにアクセスするパスワード ルールの取得に失敗したときに発生します。 The password rules were disabled by 'so password(rules-)'. selang command set user passowrd パスワード ルールが 'so password(rules-)' によって無効化されているときに、selang コマンドによりユーザ パスワードを設定     AC> so password(rules-)
AC> eu test1 admin password(test1) auditor
ERROR: Failed to fetch data for Property PASSWDRULES
-> the error happens
Successfully created USER test1
Native:
===
Successfully created USER test1
AC> su test1
Data for USER 'test1'
-----------------------------------------------------------
User mode : Admin
-> admin is set (specified before password)
auditor is not set (specified after password)

I did same proecdure on RHEL 5.1 x86 and the problem didn't happen; no error happened and both admin and auditor was set.
AC> so password(rules-)
AC> eu test1 admin password(test1) auditor
ERROR: Failed to fetch data for Property PASSWDRULES
-> エラーが発生します。
Successfully created USER test1
Native:
===
Successfully created USER test1
AC> su test1
Data for USER 'test1'
-----------------------------------------------------------
User mode : Admin
-> admin が設定されます (パスワードの前に指定)
auditor が設定されません (パスワードの後に指定)

同じ手順を RHEL 5.1 x86 で実行しても、問題は発生しません。エラーは表示されず、admin と auditor の両方が設定されます。
   
36 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where 'issec' reports that ControlMinder daemons runs in Workload Partitioning (WPAR) and in global environment. issec' により ControlMinder デーモンが WPAR (Workload Partitioning) およびグローバル環境で実行されているとレポートされる問題を修正しました。 AC126SP20158 AIX The problem is with issec from Global Environment - where it reports all policyfetcher instances running. この問題は、グローバル環境から issec を使用すると、実行中のすべての policyfetcher インスタンスをレポートするというものです。 Install ControlMinder on AIX 7.1 with WPARs. WPAR を持つ AIX 7.1 上に ControlMinder をインストールする     Install AC on AIX 7.1 with WPARs.
Start AC in Global Environment and WPAR
Execute issec in the Global Environment.
issec reports AC daemons running in the WPARs as well as in Global
WPAR を持つ AIX 7.1 上に AC をインストールします。
グローバル環境および WPAR で AC を開始します。
グローバル環境で issec を実行します。
issec により、AC デーモンがグローバルだけでなく WPAR でも実行中であるとレポートされます。
   
37 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where an expired user password decrements the grace count each time it connects with the host using the selang 'host' or 'hosts' command. On UNIX this type of login does not change the grace count. ユーザ パスワードが失効している場合、selang の 'host' または 'hosts' コマンドを使用してホストに接続するたびに猶予回数が減少する問題を修正しました。UNIX では、このタイプのログインで猶予回数は変更されません。 AC126SP20159 Windows all The problem occurs as this type of connection sends login data to the target host SeOSAgent which checks the terminal authorization with NOGRACE flag enabled and verifies the logon data by executing nominal Logon to the Workstation. The logon data comes to eACSubAuth.dll which sends excessive time to seosd for authorization. This excessive time for generic logon results in grace reduction. この問題が発生するのは、このタイプの接続によりログイン データがターゲット ホストの SeOSAgent に送信され、有効な NOGRACE フラグで端末の許可をチェックし、ワークステーションへの形式的なログオンを実行してログオン データを検証するためです。このログオン データを eACSubAuth.dll が受け取り、許可のために過剰な時間が seosd へ送信されます。標準ログオンに対するこの過剰な時間が、猶予回数の減少を引き起こします。     SeOSAgent reconized this type of logon writes User and Domain to special named shared memory from where eACSubAuth.dll notified through the signaled event reads this data and comparing with User/Domain camed from LSA is able to recognize that Logon acually is initiated by SeOSAgent allowing to avoid excessive authorization. このタイプのログオンを認識した SeOSAgent は、ユーザおよびドメインを特殊な名前が付けられた共有メモリに書き込みます。シグナル イベントを介して通知された eACSubAuth.dll は、このデータを読み取り、LSA からのユーザ/ドメインと比較します。これによって、ログオンが実際には SeOSAgent によって開始されたことを認識でき、過剰な許可を回避できます。 1. Create user
eu <hostname>\tuser password(xxxxxx) admin
eu <hostname>\tuser grace(50)
2. Create and authorize terminal for other EP
er terminal(<other EP>) defacc(R) audit(a)
auth terminal(<other EP>) uid(tuser) acc(a)
3. From selang <other EP>
host <hostname> uid(tuser) password(xxxxxx)
OR
Connect to <hostname> from EM.
4. Check on <hostname> decremented grace
su <hostname>\tuser
1. ユーザを作成します。
eu <hostname>\tuser password(xxxxxx) admin
eu <hostname>\tuser grace(50)
2. 他のエンドポイント (other EP) の端末を作成して権限を付与します。
er terminal(<other EP>) defacc(R) audit(a)
auth terminal(<other EP>) uid(tuser) acc(a)
3. <other EP> の selang から
host <hostname> uid(tuser) password(xxxxxx)
または
EM から <hostname> に接続します。
4. <hostname> での猶予回数の減少をチェックします。
su <hostname>\tuser
565 T5P7199
38 3 UNAB Fixes an issue with ControlMinder where the UNAB agent restarts even when the tokens for Restart are disabled (agent_restart_delay= -1). 再起動用のトークンが無効 (agent_restart_delay= -1) であっても UNAB エージェントが再起動する問題を修正しました。 AC126SP20166 UNIX all             1) Install UNAB
2) Register and Activate UNAB
3) Edit the File /etc/uxauth.ini for the token agent_vmemory_max = 50,health_c heck_interval= 300 ,agent_restart_delay = -1 and save the file
4) Stop Unab Agent and start the Agent in Debug Mode
#uxauthd.sh debug 3
5) Check the uxauth debug message
20120905160617.118379 T75 L 1: HealthCheck: Process memory size is 56 MBytes, exceeded limit 50 MBytes
20120905160617.120337 T75 L 1: HealthCheck: Agent auto restart is disabled
20120905160617.825300 T74 L 5: Scheduler: Clean LDAP connections
20120905160617.825673 T74 L 5: Scheduler: Reading tibco queue
20120905160617.825742 T74 L 5: Set message filter: DESTINATION_HOST='lodisun0 41x.epad.com'
20120905160617.840625 T74 L10: Scheduler: AC registered OK
20120905160617.840880 T74 L 5: Scheduler: Check agent critical parameters
20120905160717.127517 T75 L 5: HealthCheck: Check agent critical parameters
20120905160717.128436 T75 L 1: HealthCheck: Process memory size is 56 MBytes, exceeded limit 50 MBytes
20120905160717.129990 T75 L 1: HealthCheck: ""Agent auto restart now"" and the agent is getting restarted.

Expected Result:Agent shouldnt be restarted
1) UNAB をインストールします。
2) UNAB を登録して有効化します。
3) ファイル /etc/uxauth.ini を編集して、トークン agent_vmemory_max = 50、health_check_interval= 300、agent_restart_delay = -1 を設定し、ファイルを保存します。
4) UNAB エージェントを停止して、デバッグ モードでエージェントを開始します。
#uxauthd.sh debug 3
5) uxauth デバッグ メッセージを確認します。
20120905160617.118379 T75 L 1: HealthCheck: Process memory size is 56 MBytes, exceeded limit 50 MBytes
20120905160617.120337 T75 L 1: HealthCheck: Agent auto restart is disabled
20120905160617.825300 T74 L 5: Scheduler: Clean LDAP connections
20120905160617.825673 T74 L 5: Scheduler: Reading tibco queue
20120905160617.825742 T74 L 5: Set message filter: DESTINATION_HOST='lodisun0 41x.epad.com'
20120905160617.840625 T74 L10: Scheduler: AC registered OK
20120905160617.840880 T74 L 5: Scheduler: Check agent critical parameters
20120905160717.127517 T75 L 5: HealthCheck: Check agent critical parameters
20120905160717.128436 T75 L 1: HealthCheck: Process memory size is 56 MBytes, exceeded limit 50 MBytes
20120905160717.129990 T75 L 1: HealthCheck: ""Agent auto restart now"" and the agent is getting restarted.

正しい結果: エージェントは再起動しません。
   
39 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the user identity is not available for a user who has not been defined in ControlMinder when sewhoami is executed. sewhoami の実行時に ControlMinder で定義されていないユーザのユーザ ID を利用できない問題を修正しました。 AC126SP20167 UNIX all PAM user login sends user id retrieved from user ACEE which is _undefined(-1) to proc table. PAM ユーザ ログインは、_undefined(-1) であるユーザ ACEE から取得したユーザ ID を proc テーブルに送信します。 create_user_in_db = no create_user_in_db = no user is not defined in seosdb ssh login create_user_in_db = no
seosdb にユーザが定義されていない状態で、ssh を使用してログインする
    1. disable the tokens
create_user_in_db = no
create_user_in_db = no
2. make sure testuser is not defined in AC
3. login by testuser using ssh
4. run sewhoami

expected result:sewhoami shows testuser
actual result:sewhoami shows nothing
1. 以下のトークンを無効にします。
create_user_in_db = no
2. testuser が AC で定義されていないことを確認します。
3. ssh を使用して testuser でログインします。
4. sewhoami を実行します。

正しい結果: sewhoami は testuser を表示します。
実際の結果: sewhoami は何も表示しません。
1755 T4CC170 (AIX), T4CC171 (HP-UX PA-RISC), T4CC172 (HP-UX IA64), T4CC173 (LINUX x86), T4CC174 (LINUX x64), T4CC175 (LINUX IA64), T4CC176 (LINUX 390), T4CC177 (LINUX 390 64bit), T4CC178 (SUN x86)
 
40 1 UNIX Endpoint User Mode Fixes an issue with ControlMinder where PACL does not work when invoking a trusted script via 'sh -c'. sh -c' 経由で trusted スクリプトを呼び出したときに PACL が動作しない問題を修正しました。 AC126SP20172 UNIX all ControlMinder did not evaluate the trusted program hierarchy properly. ControlMinder は trusted プログラムの階層を正しく評価していませんでした。         1) Test on Linux X64.
2) Create a script called /tmp/shell1.sh:
#!/bin/sh
#
/usr/bin/echo "aa" >> /tmp/gabi02.txt
/usr/bin/cat /tmp/gabi02.txt
/tmp/shell2.sh
3) Create the script /tmp/shell2.sh:
#!/bin/sh
#
/usr/bin/cat /tmp/gabi02.txt
/usr/bin/date >> /tmp/gabi02.txt
4) AC> nf /tmp/gabi02.txt owner(nobody) audit(a) defacc(a)
AC> nr program /tmp/shell1.sh owner(root) audit(a) defacc(a)

5) start AC.
6) cd /tmp
7) ./shell1.sh
8) /opt/CA/AccessControl/bin/seaudit -a | grep FILE | tail
--> See that you have 4 FILE audit records all with program name of /tmp/shell1.sh as it is a trusted script.
1) Linux X64 上でテストします。
2) /tmp/shell1.sh という名前で以下のスクリプトを作成します。
#!/bin/sh
#
/usr/bin/echo "aa" >> /tmp/gabi02.txt
/usr/bin/cat /tmp/gabi02.txt
/tmp/shell2.sh
3) /tmp/shell2.sh という名前で以下のスクリプトを作成します。
#!/bin/sh
#
/usr/bin/cat /tmp/gabi02.txt
/usr/bin/date >> /tmp/gabi02.txt
4) AC> nf /tmp/gabi02.txt owner(nobody) audit(a) defacc(a)
AC> nr program /tmp/shell1.sh owner(root) audit(a) defacc(a)
5) AC を開始します。
6) cd /tmp
7) ./shell1.sh
8) /opt/CA/AccessControl/bin/seaudit -a | grep FILE | tail
--> プログラム名が '/tmp/shell1.sh' (trusted スクリプト)である 4 件の FILE 監査レコードが見つかります。
1759 TC61300
                                 
41 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where renaming the file is not protected on HP-UX. HP-UX 上でファイルの名前変更が保護されない問題を修正しました。 AC126SP20173 HPUX PA-RISC The problem occurs because the original syscall rename() is called inspite of seosd response. この問題は、iseosd の応答を無視して元のシステム コール rename() が呼び出されるために発生します。 Rename on HP-UX HP-UX 上での名前変更     1. Create dir and file.
# mkdir /tmp/test
# touch /tmp/test/test.txt
2. Create rules.
AC> ef ("/tmp/test/*") owner(nobody) defacc(none) audit(all)
AC> auth FILE ("/tmp/test/*") uid(root) access(CHMOD READ)
3. Attempt to rename.
# mv test.txt test.txt1
mv: test.txt1: rename: Permission denied
=> Rejected(expected).
audit.log
04 Sep 2012 14:47:47 D FILE root Rename 55 2
/tmp/test/test.txt /usr/bin/mv 155.35.125.172 root
4. But rename was done.
# ls
test.txt1

[Findings] It seems this is only HP, not AIX/Solaris/Linux.
problem starts from r12.5SP4, not observed until r12.5SP3.
1. ディレクトリとファイルを作成します。
# mkdir /tmp/test
# touch /tmp/test/test.txt
2. ルールを作成します。
AC> ef ("/tmp/test/*") owner(nobody) defacc(none) audit(all)
AC> auth FILE ("/tmp/test/*") uid(root) access(CHMOD READ)
3. 名前の変更を試行します。
# mv test.txt test.txt1
mv: test.txt1: rename: Permission denied
=> 拒否(正しい動作)
audit.log
04 Sep 2012 14:47:47 D FILE root Rename 55 2
/tmp/test/test.txt /usr/bin/mv 155.35.125.172 root
4. しかし、実際は名前が変更されています。
# ls
test.txt1

メモ: この問題は HP のみで発生し、AIX/Solaris/Linux では発生しません。
r12.5SP3 までは発生しませんでしたが、r12.5SP4 から発生します。
RO52507 TC61335
42 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where memory leak occurs in the ReportAgent. ReportAgent でメモリ リークが発生する問題を修正しました。 AC126SP20174 Windows all The problem was with caching Host records and service records (Inbound Outbound traffic). There were no checks on the cache for duplicates, therefore each record increased the cache. この問題は、ホスト レコードとサービス レコード(受信および送信トラフィック)のキャッシュに関連しています 。キャッシュ上の重複のチェックが行われていなかったため、各レコードによりキャッシュが増加していました。 The problem is with TCP records. You have to provide audit for DIFFERENT hosts. I.e., you have to enable audit for all traffic in class TCP. Once you have a lot of such records, you have to run reportagent to send the audit and see if it still have memory leaks. A memory leak is reportagent > 40MB memory size. この問題は TCP レコードに関連しています。問題を再現するには、異なるホストの監査を行う必要があります。具体的には、TCP クラスのすべてのトラフィックの監査を有効にします。大量のレコードを取得したら、ReportAgent を実行して監査を送信し、メモリ リークが発生しているかを確認します。メモリ リークが発生すると、ReportAgent のメモリ サイズが 40MB を超過します。     The problem is with TCP records. You have to provide audit for DIFFERENT hosts. I.e., you have to enable audit for all traffic in class TCP. Once you have a lot of such records, you have to run reportagent to send the audit and see if it still have memory leaks. A memory leak is reportagent > 40MB memory size. この問題は TCP レコードに関連しています。問題を再現するには、異なるホストの監査を行う必要があります。具体的には、TCP クラスのすべてのトラフィックの監査を有効にします。大量のレコードを取得したら、ReportAgent を実行して監査を送信し、メモリ リークが発生しているかを確認します。メモリ リークが発生すると、ReportAgent のメモリ サイズが 40MB を超過します。 582 T537724
43 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where clogin to WPAR is not logged. WPAR への clogin がログに記録されない問題を修正しました。 AC126SP20176 AIX The problem occurs as ControlMinder zlogin code has not been enabled for AIX WPARs. この問題は、ControlMinder の zlogin コードが AIX WPAR で有効になっていなかったために発生します。 clogin on AIX WPAR AIX WPAR 上での clogin Solution - this fix provides clogin auditing on AIX WPARs 解決策: この修正により AIX WPAR 上での clogin の監査が実行されます。 Install AC on AIX with WPAR
Load AC kernel in Global
Start AC in WPAR
clogin WPAR

seaudit -a shows /USR/SBIN/LOGIN instead of /USR/SBIN/CLOGIN
WPAR を持つ AIX 上に AC をインストールします。
グローバルで AC カーネルをロードします。
WPAR で AC を開始します。
WPAR で clogin を実行します。

seaudit -a を実行すると、/USR/SBIN/CLOGIN ではなく /USR/SBIN/LOGIN が表示されます。
   
44 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where dbmgr -export generates the command "editres XGROUP" which selang fails to import. dbmgr -export により、selang がインポートできないコマンド "editres XGROUP" が生成される問題を修正しました。 AC126SP20177 Windows all The problem occurs as the selang command "editres XGROUP" is a syntax error. この問題は、selang コマンド "editres XGROUP" が構文エラーになるために発生します。 XGROUP exist in seosdb seosdb に XGROUP が存在する Edit the command from "editres XGROUP" to editxgrp. コマンドを編集して "editres XGROUP" から editxgrp に変更します。 1. create xgroup
AC> exg administrators
2. export rule
\> dbmgr -e -r > rule.txt
3. load rule
\> selang -f rule.txt
Then, the error happens:
ERROR: Failed to fetch data for Property UACC

I checked exported file and found the command for xgroup as:
editres XGROUP ("BUILTIN\administrators") owner('host\\Administrator')
1. xgroup を作成します。
AC> exg administrators
2. ルールをエクスポートします。
\> dbmgr -e -r > rule.txt
3. ルールをロードします。
\> selang -f rule.txt
以下のエラー メッセージが表示されます:
エラー: プロパティ UACC のデータ取得に失敗しました。

エクスポートされたファイルを確認すると、以下のような xgroup のコマンドが見つかります:
editres XGROUP ("BUILTIN\administrators") owner('host\\Administrator')
   
45 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where dbmgr -export generates the command "editres XGROUP" which selang fails to import. dbmgr -export により、selang がインポートできないコマンド "editres XGROUP" が生成される問題を修正しました。 AC126SP20178 UNIX all The problem occurs as the selang command "editres XGROUP" is a syntax error. この問題は、selang コマンド "editres XGROUP" が構文エラーになるために発生します。 XGROUP exist in seosdb seosdb に XGROUP が存在する Edit the command from "editres XGROUP" to editxgrp. コマンドを編集して "editres XGROUP" から editxgrp に変更します。 1. create xgroup
AC> exg administrators
2. export rule
\\> dbmgr -e -r > rule.txt
3. load rule
\\> selang -f rule.txt
Then, the error happens:
ERROR: Failed to fetch data for Property UACC

I checked exported file and found the command for xgroup as:
editres XGROUP ("BUILTIN\\administrators") owner('host\\\\Administrator')
1. xgroup を作成します。
AC> exg administrators
2. ルールをエクスポートします。
\\> dbmgr -e -r > rule.txt
3. ルールをロードします。
\\> selang -f rule.txt
以下のエラー メッセージが表示されます:
エラー: プロパティ UACC のデータ取得に失敗しました。

エクスポートされたファイルを確認すると、以下のような xgroup のコマンドが見つかります:
editres XGROUP ("BUILTIN\\administrators") owner('host\\\\Administrator')
   
46 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where the HULFT job does not complete while ControlMinder is working. This issue continues from 20738240-01, 20982975-01. ControlMinder が動作していても HULFT ジョブが完了しない問題を修正しました。この問題は 20738240-01、20982975-01 から継続しています。 AC126SP20180 Windows all The problem occurs because seosd was unloading while a thread is still running. この問題は、スレッドの実行中に seosd がアンロードされたために発生します。 On secons -s. secons -s の実行時            
47 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where SESU does not return the exit status of the command. SESU がコマンドの終了ステータスを返さない問題を修正しました。 AC126SP20182 UNIX all The problem occurs as SESU returns 0 instead of the executed command's return code. この問題は、SESU が、実行されたコマンドのリターン コードの代わりに 0 を返すために発生します。         Write a script that does 'exit 3'.
Run the script via 'sesu user -c <script>'.
See that 'echo $?' after sesu execution returns 3.
exit 3' を実行するスクリプトを作成します。
'sesu user -c <script>' を使用して、このスクリプトを実行します。
sesu 実行後の 'echo $?' が 3 を返すことを確認します。
1782 TC61317
48 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where the password rule (sub_str_len) is configured to 5 characters, but the password can still be changed even when there are 6 characters. パスワード ルール (sub_str_len) が 5 文字に設定されても 6 文字のパスワードに変更できる問題を修正しました。 AC126SP20183 Windows all The problem occurs because the password validation was implemented in UNIX only and was never ported to the Windows endpoint (though the database and selang supports it). この問題は、パスワード検証が UNIX のみで実装されており、Windows エンドポイントにはポートされていなかった(ただし、データベースと selang ではサポートされています)ために発生します。             581 T5P7207
49 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the seosd service fails to re-start in global and in the local zone after reboot. リブート後にグローバルおよびローカル ゾーンで seosd サービスの再起動に失敗する問題を修正しました。 AC126SP20186 UNIX all The problem occurs as the the seosd takes too long to boot. The system stops the start process after the timeout expires. この問題は、seosd の起動に時間がかかりすぎるために発生します。タイムアウトの期限が切れると、システムは起動プロセスを停止します。 System reboot システムの再起動 Set bigger timeout for "start" method in seosd SMF manifest seosd SMF マニフェスト内で、"start" メソッドのタイムアウトをより大きい値に設定します。 Solaris 10,
1. Do in global zone and all internal zones
# svcadm clear seosd
# svcadm enable seosd
2. Check service is "online" in global and all internal zones
# svcs -l seosd
3. reboot the system
=> Expect seosd service is online in global and all internal zones
Solaris 10 で以下の手順を実行します。
1. グローバル ゾーンとすべての内部ゾーンで以下を実行します。
# svcadm clear seosd
# svcadm enable seosd
2. グローバル ゾーンとすべての内部ゾーンでサービスが "online" であることを確認します。
# svcs -l seosd
3. システムを再起動します。
=> 正しい動作: seosd サービスがグローバル ゾーンとすべての内部ゾーンで online となります。
1778 T3DB133
50 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the program class MTIME flag is missing in the dbmgr export output. dbmgr エクスポート出力でプログラム クラスの MTIME フラグが見つからない問題を修正しました。 AC126SP20188 UNIX all The problem occurs as the MTIME missed from the trusted pgm flags list. この問題は、trusted pgm フラグ リストから MTIME が失われるために発生します。 Specify flags MTIME of PROGRAM. PROGRAM の MTIME フラグを指定する Add MTIME to flags of PROGRAM to exported file. エクスポートされたファイルの PROGRAM のフラグに MTIME を追加します。 1. Create a program rule with mtime flag.
a. er program /tmp/test1 flags(mtime)
b. er program /tmp/test2 flags(mtime ctime)
2. Export the AC rules with dbmgr.
dbmgr -e -r
3. mtime flag is missing.
a. editres PROGRAM ('/tmp/test1') audit(FAILURE) defaccess(NONE) owner('root') flags(NONE)
b. editres PROGRAM ('/tmp/test2') audit(FAILURE) defaccess(NONE) owner('root') flags(CTIME)
1. mtime フラグを含むプログラム ルールを作成します。
a. er program /tmp/test1 flags(mtime)
b. er program /tmp/test2 flags(mtime ctime)
2. dbmgr を使用して AC ルールをエクスポートします。
dbmgr -e -r
3. mtime フラグが見つかりません。
a. editres PROGRAM ('/tmp/test1') audit(FAILURE) defaccess(NONE) owner('root') flags(NONE)
b. editres PROGRAM ('/tmp/test2') audit(FAILURE) defaccess(NONE) owner('root') flags(CTIME)
   
51 3 Windows Endpoint Kernel Mode Fixes an issue with ControlMinder where the sewhoami utility displays a wrong user name. sewhoami ユーティリティが間違ったユーザ名を表示する問題を修正しました。 AC126SP20189 LINUX all The login program gdm-binary never terminates. ControlMinder does not detect the last process of the gnome-session, as another gnome-session is saved in the ControlMinder process table. ログイン プログラム gdm-binary が終了しません。ControlMinder プロセス テーブルに別の gnome-session が保存されているため、ControlMinder は gnome-session の最終プロセスを検出しません。 RH5 GDM console login RH5 GDM コンソール ログイン This package improves function detecting last "gnome-session" counting just alive processes. The AC process table may have dead "gnome-session" processes. このパッケージでは関数が改良され、最終の "gnome-session" を検出して実行中のプロセスのみをカウントします。AC プロセス テーブルには終了した "gnome-session" プロセスが含まれる場合があります。 (virtual image on vSphere)
1. Start AC
2. login via GDM console as "test1", then exit GDM
3. Login via GDM console as "test2", and check "sewhoami -a"
ACTUAL: sewhoami shows "test1"
EXPECTED: sewhoami shows "test2"
(vSphere 上の仮想イメージ)
1. AC を開始します。
2. GDM コンソールから "test1" としてログインし、GDM を終了します。
3. GDM コンソールから "test2" としてログインし、"sewhoami -a" を実行します。
実際の結果: "test1" が表示されます。
正しい結果: "test2" が表示されます。
1733 T3DB131
52 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where nu- homeDir does not add the user name to the home directory path if the directory path ends with a slash. ディレクトリ パスがスラッシュで終了している場合、nu- homeDir を実行してもホームディレクトリ パスにユーザ名が追加されない問題を修正しました。 AC126SP20190 UNIX all An incorrect change was made to the functionality of homeDir where ControlMinder did not concatenate user name to the path. homeDir の機能に誤った変更が行われた結果、ユーザ名がパスに連結されていませんでした。 specify native/unix homedir that ends with a /(slash) for native user creation. ネイティブ ユーザの作成で、末尾が '/' (スラッシュ)のネイティブ/Unix ホーム ディレクトリを指定する Specify full path that ends with user name for user creation. ユーザの作成時に、フルパスの末尾がユーザ名となるように指定します。     1780 T4CC194 (Solaris SunSparc), T4CC195 (Solaris SunSparc/x86), T4CC196 (Linux x86/x64/ia64)
53 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where sesu - targetUid failed to execute a ksh script. sesu - targetUid が ksh スクリプトを実行できない問題を修正しました。 AC126SP20192 UNIX all The problem occurs as the PATH is set twice. A PATH is set in seos.ini PATH=/usr/bin:/usr/sbin and another in /etc/environment. この問題は、PATH が 2 度設定されているために発生します。1 つ目の PATH は seos.ini で PATH=/usr/bin:/usr/sbin と設定されており、もう 1 つは /etc/environment   に設定されています。 We need to run "sesu - user01".
Path in seos.ini is set.
sys_env_file = /etc/environment.
/etc/environment has a PATH there.
"sesu - user01" を実行する際に
seos.ini で PATH が設定され、sys_env_file = /etc/environment が定義されており、
/etc/environment にも PATH が設定されている場合
    Please see the steps above.
1. vi seos.ini
Path = /usr/bin:/usr/sbin
sys_env_file = /etc/environment
Please make sure PATH is set in /etc/environment with path /opt/CA/AccessControl/bin.
2. vi /etc/passwd
Pick a user, let's say user01. please change the /bin/sh to /bin/csh.
3. create a a ksh script in /home/user01.
#!/bin/ksh
echo $PATH
selang
============================
The objective is we want to see if PATH is inherited from csh to the ksh script execution.
if it works, then selang should be executed (we don't care if there is error in selang. we just need to check if selang is able to run without a long path.)
上記の手順を参照してください。
1. vi seos.ini
Path = /usr/bin:/usr/sbin
sys_env_file = /etc/environment
/etc/environment で PATH が /opt/CA/AccessControl/bin に設定されていることを確認します。
2. vi /etc/passwd
あるユーザ(たとえば user01)の /bin/sh を /bin/csh に変更します。
3. /home/user01 に ksh スクリプトを作成します。
#!/bin/ksh
echo $PATH
selang
============================
PATH が csh から ksh スクリプトの実行に継承されているかどうかを確認します。
このスクリプトが動作すれば、selang を実行できます(selang でエラーが発生するかどうかは問題ではありません。確認する必要があるのは、長いパスを指定せずに selang を実行できるかどうかです)。
1779 T243987
54 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where PACL fails when two trusted scripts exchange i-nodes. 2 つの trusted スクリプトが i-ノードを交換すると PACL が失敗する問題を修正しました。 AC126SP20193 UNIX all The problem occurs because the trusted script has a new i-node while another program has the same i-node. この問題は、trusted スクリプトが新しい i-ノードを取得し、別のプログラムが同じ i-ノードを持つ場合に発生します。     In EXEC handler: search accessing program by file path in program table, update i-node value for this program if appropriate pgmflag is not defined EXEC ハンドラで、プログラム テーブル内のファイル パスによってアクセス対象プログラムを検索し、適切な pgmflag が定義されていない場合は、このプログラムの i-ノード値を更新します。     1804 RO52633
55 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where a denial occurs for PACL property with a changed i-node even when they are trusted script by the DB. DB による trusted スクリプトであっても、 i-ノードが変更された PACL プロパティで拒否が発生する問題を修正しました。 AC126SP20194 UNIX all The problem occurs because the seosd process table searched for the device and inode in the program table and sets run time flag "trusted=0". この問題は、seosd プロセス テーブルがプログラム テーブル内のデバイスおよび i-ノードを検索し、ランタイム フラグに "trusted=0" を設定するために発生します。 Program "vi" changes program i-node when file is saved. "vi" プログラムは、ファイルの保存時にプログラムの i-ノードを変更します。 Change procserver.c, call trpgmmgr_GetBestEntry() instead of trpgmmgr_GetTrustedProgByDevice() procserver.c を変更して、trpgmmgr_GetTrustedProgByDevice() の代わりに trpgmmgr_GetBestEntry() をコールします。     1749 T3DB126, T3DB127
56 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where sepass doesn't set grace count 1 by the administrative password change. 管理パスワードを変更しても sepass が猶予回数 1 をセットしない問題を修正しました。 AC126SP20195 UNIX all This problem occurs after package AC126SP10176 was introduced. この問題は、パッケージ AC126SP10176 の導入後に発生します。 Admin password change by sepass sepass による Admin パスワードの変更     1. enable PASSWORD class
2. check user, tusr02, properties. grace does not set.
3. change password by pwmanager, root, for the user at step 2.
sepass tusr02
4. check user properties again.
selang -c 'su tusr02'

Expected Results: Gracelogins : 1
Actual Results: no gracelogins set
1. PASSWORD クラスを有効化します。
2. ユーザ tusr02 のプロパティを確認します。猶予ログインは設定されていません。
3. pwmanager である root で、手順 2 のユーザのパスワードを変更します。
sepass tusr02
4. ユーザのプロパティを再度確認します。
selang -c 'su tusr02'

正しい結果: 猶予ログイン : 1
実際の結果: 猶予ログインが設定されていません
1784 T4CC198
57 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where KBL auditing terminates in WPARs when ControlMinder shuts down in one WPAR. 1 つの WPAR で ControlMinder がシャットダウンすると WPAR 内の KBL 監査が終了する問題を修正しました。 AC126SP20196 AIX This problem occurs because KBL does not work correctly with zones or WPARs. この問題は、Zones または WPARで KBL が正しく動作しないために発生します。 KBL running on Solaris zones or AIX WPARs Solaris Zones または AIX WPAR 上で KBL が実行されている     Steps to reproduce :
1. Install AC
2. Set kbl tokens in global and wpars
3. Load AC kernel and start AC on global (ismeaxp6-71) and wpars (ismeaxp6-71wps1 and ismeaxp6-71wpsp1)
4. Create a user in wpar1 (ismeaxp6-71wps1)
Nu demo1 password(demo1) audit(interactive)
5. Login as demo1 and verify kbl audit as root
Kbl works , audit can be verified using
Seaudit -kbl
6. Restart AC services on wpar2 (ismeaxp6-71wpsp1)
Secons -sk or secons -s ; seload
7. In wpar1 , Login as demo1 user and verify kbl audit as root
Seaudit -kbl

Actual result : Kbl audit doesn't show demo1 logins
 Expected result : Kbl should work , demo1 logins should be displayed .
NOTE : Restarting AC on any of the wpars causes kbl not to work on the wpars nd global . Restarting AC on global , makes Kbl to work on global and wpars
再現手順:
1. AC をインストールします。
2. グローバルおよび WPAR に KBL トークンを設定します。
3. AC カーネルをロードして、グローバル(ismeaxp6-71)および WPAR (ismeaxp6-71wps1 と ismeaxp6-71wpsp1)で AC を開始します。
4. WPAR1 (ismeaxp6-71wps1)にユーザを作成します。
nu demo1 password(demo1) audit(interactive)
5. demo1 としてログインし、 root として KBL 監査を確認します。
KBL が動作していれば、以下のコマンドで監査を確認できます。
seaudit -kbl
6. WPAR2 (ismeaxp6-71wpsp1)で AC サービスを再起動します。
secons -sk または secons -s ; seload
7. WPAR1 で demo1 ユーザとしてログインし、root として KBL 監査を確認します。
seaudit -kbl

実際の結果: KBL 監査に demo1 のログインが表示されません。
正しい結果: KBL が動作しており、demo1 のログインが表示されます。
注: 任意の WPAR で AC を再起動すると、WPAR およびグローバルで KBL が動作しなくなります。グローバルで AC を再起動すると、グローバルおよび WPAR で KBL が動作します。
1686 T540174
58 1 UNIX Endpoint User Mode Fixes an issue with ControlMinder where shell becomes root after executing the sesudo command. sesudo コマンドの実行後にシェルが root になる問題を修正しました。 AC126SP20197 UNIX all The problem occurs because ControlMinder uses SUDO as a shell. この問題は、ControlMinder で SUDO をシェルとして使用するために発生します。             1747 TC61258 (HPUX IA64), TC61291 (AIX), TC61292 (Solaris Sparc), TC61293 (Linux X86), TC61294 (HPUX PA-RISC), TC61295 (Solaris X86), TC61296 (Linux X64), TC61259 (HPUX IA64), TC61260 (AIX), TC61261 (HPUX PA-RISC), TC61262 (Linux X64), TC61263 (Solaris Sparc), TC61297 (Solaris X86), TC61298 (Linux X86)
59 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the ControlMinder does not identify the   init process in WPAR. ControlMinder が WPAR 内の init プロセスを識別しない問題を修正しました。 AC126SP20201 AIX The problem occurs because functions to detect init and sched processes in WPAR were missing. この問題は、WPAR 内の init および sched プロセスを検出する関数が存在しなかったために発生します。 Running AC in AIX WPAR AIX WPAR で AC が実行されている Solution. Apply kernel module with fix 解決策: カーネル モジュールに修正を適用します。     1686 T540174  
60 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where a syntax error occurs in the audit.cfg file when seosd core dumps. audit.cfg ファイルに構文エラーが発生すると seosd がコア ダンプする問題を修正しました。 AC126SP20203 UNIX all The problem occurs because the Trace File line ends with ';' when ControlMinder expects a token after ;. This causes the core dump. この問題は、ControlMinder が ';' の後にトークンを予期しているのにトレース ファイルの行が ';' で終わっているために発生します。これによってコア ダンプが発生します。 We need to add this line to audit.cfg. TRACE;FILE;/etc/passwd;*;root;*;*; Please try to reproduce it on Aix. audit.cfg に以下の行を追加する必要があります。
TRACE;FILE;/etc/passwd;*;root;*;*;
AIX 上で再現するかどうかを試行してください。
           
61 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the ObserveIT injected code results in seagent utilizing 50% of the CPU. ObserveIT によるコード挿入により seagent の CPU 使用率が 50% になる問題を修正しました。 AC126SP20204 UNIX all The problem occurs because of the 3rd party code injection. この問題は、サードパーティのコード挿入によって発生します。 Installed ObserveIT ObserveIT がインストールされている Unset pre-load library path in main daemons メイン デーモン内のプリロード ライブラリ パスの設定を解除します。     1757 T243979
62 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the cronjob script fails when ControlMinder KBL is enabled. ControlMinder KBL が有効であるときに cronjob スクリプトが失敗する問題を修正しました。 AC126SP20207 UNIX all The /bin/false is saved in table of shell scripts /etc/shells シェル スクリプト /etc/shells のテーブルに /bin/false が保存されています。 KBL enabled KBL が有効 AC should not add /bin/false and /bin/true to internal table of shells AC によって、シェルの内部テーブルに /bin/false および /bin/true が追加されないようにします。     1788 T3DB141
63 1 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the sesudo command could not handle special shell characters. For example,   * and ; in command embed it with "". sesudo コマンドが特殊なシェル文字を処理できない問題を修正しました。たとえば、コマンド内の '*' や ';' が "" に含まれている場合です。 AC126SP20209 UNIX all The problem occurs as sesu/su in SUDO data Could not handle special shell characters in sesudo commands. この問題は、SUDO データ内の sesu/su が、sesudo コマンド内の特殊なシェル文字を処理できないために発生します。             1747 TC61258 (HPUX IA64), TC61291 (AIX), TC61292 (Solaris Sparc), TC61293 (Linux X86), TC61294 (HPUX PA-RISC), TC61295 (Solaris X86), TC61296 (Linux X64), TC61259 (HPUX IA64), TC61260 (AIX), TC61261 (HPUX PA-RISC), TC61262 (Linux X64), TC61263 (Solaris Sparc), TC61297 (Solaris X86), TC61298 (Linux X86)
64 3 Windows Endpoint User Mode, UNIX Endpoint User Mode Fixes an issue with ControlMinder where the policy deployment utility -getrules command does not work.   policydeploy ユーティリティの -getrules コマンドが動作しない問題を修正しました。 AC126SP20213 Windows all, UNIX all The problem occurs as an option was an added to the feature. この問題は、この機能にオプションが追加されたために発生します。         dmsmgr -create -auto
Use this command to create a DMS__ DH__ environment.
policydeploy -create policyName -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@
policydeploy -getrules policyname -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@
above command returns an error.
dmsmgr -create -auto
このコマンドを使用して、DMS__ DH__ 環境を作成します。
policydeploy -create policyName -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@
policydeploy -getrules policyname -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@
上記のコマンドがエラーを返します。
528 T243831, T243832
65 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the SFTP login is not detected. SFTP ログインが検出されない問題を修正しました。 AC126SP20216 UNIX all The "ksh" 3rd argument is not separated by null. It is possible that string '/usr/sbin/sftp-server -m /etc/ssh/sshd_config' was copied to kernel as one argument. "ksh" の3 つ目の引数が NULL で区切られていません。文字列 '/usr/sbin/sftp-server -m /etc/ssh/sshd_config' が 1 つの引数としてカーネルにコピーされた可能性があります。     Set zero terminator in for sftp program path in seosd EXEC handler seosd EXEC ハンドラ内の sftp プログラム パスにゼロ終端記号を設定します。     1791 T3DB137
66 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where secons -scl reports blocking syscalls incorrectly when ControlMinder is not running in all WPARs and Global environments. ControlMinder がすべての WPAR およびグローバル環境で動作していない場合に、secons -scl がブロッキング システム コールを誤ってレポートする問題を修正しました。 AC126SP20217 AIX The design of the secons -scl implementation does not take into account the situation where there are multiple instances of ControlMinder running in virtual machines, but using the same common intercept hooking mechanism. secons -scl 実装の設計では、仮想マシンで実行されている ControlMinder の複数インスタンスで、同一の共通インターセプト フッキング メカニズムを使用するような状態を想定していません。 AIX with WPARs WPAR を持つ AIX     1. Install AC in Global and WPAR
2. Start AC in Global only
3. In WPAR, run perl script that blocks in accept:

cat /tmp/accept_block.pl
#!/usr/bin/perl
use warnings;
use Socket;
my $port = 12345;
socket(my $server, PF_INET, SOCK_STREAM, getprotobyname("tcp"));
setsockopt($server, SOL_SOCKET, SO_REUSEADDR, 1);
my $addr = sockaddr_in($port, INADDR_ANY);
bind($server, $addr);
listen($server, SOMAXCONN);

while (accept(my $client, $server)) %7B
print "hello\n";
%7D continue %7B
close $client;
%7D
close($server);

4. In global, run secons -scl
Blocking syscall reported with pid of 0 - not the real pid
1. グローバルおよび WPAR に AC をインストールします。
2. グローバルのみで AC を開始します。
3. WPAR で、accept をブロックする以下の perl スクリプトを実行します。

cat /tmp/accept_block.pl
#!/usr/bin/perl
use warnings;
use Socket;
my $port = 12345;
socket(my $server, PF_INET, SOCK_STREAM, getprotobyname("tcp"));
setsockopt($server, SOL_SOCKET, SO_REUSEADDR, 1);
my $addr = sockaddr_in($port, INADDR_ANY);
bind($server, $addr);
listen($server, SOMAXCONN);

while (accept(my $client, $server)) %7B
print "hello\n";
%7D continue %7B
close $client;
%7D
close($server);

4. グローバルで、secons -scl を実行します。
ブロッキング システム コールが、実際の pid ではなく pid 0 でレポートされます。  
   
67 2 Windows Endpoint User Mode, UNIX Endpoint User Mode Fixes an issue with ControlMinder where a JBOSS memory error occurs due to the ReportAgent. ReportAgent により JBOSS メモリ エラーが発生する問題を修正しました。 AC126SP20221 Windows all, UNIX all The problem occurs because the ReportAgent sends huge data (DB snapshot + audit) which causes a JBOSS memory error. この問題は、ReportAgent が大量のデータ(DB スナップショット+監査データ)を送信すると JBOSS のメモリ エラーを引き起こすために発生します。             145 T5P7238
68 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where new rules are added to the PMDB. PMDB に新規ルールが追加される問題を修正しました。 AC126SP20223 Windows all The problem occurs because the upgrade process for PMDB should not create __local__ hnode rule in the PMDB database. __local__ hnode rule should be created only in the seosdb database. この問題は、PMDB のアップグレード プロセスで PMDB データベースに __local__ hnode ルールが作成されてしまうために発生します。 __local__ hnode ルールは seosdb データベース内にのみ作成される必要があります。                
69 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where the sewhoami utility displays a wrong user name. sewhoami ユーティリティで間違ったユーザ名が表示される問題を修正しました。 AC126SP20228 UNIX all The problem occurs because my_setuid wrappers overwrite uids in the proc table with uids in the setuid syscalls. この問題は、my_setuid ラッパーが proc テーブル内の uid を setuid システム コール内の uid で上書きするために発生します。     check error status of system internal setuid syscalls and put back previous uids only if system setuid fails. システム内部の setuid システム コールのエラー ステータスを確認して、システムの setuid が失敗した場合のみ、以前の uid に戻します。 1. create user in selang
2. login as the user
3. su to root
4. sewhoami
1. selang でユーザを作成します。
2. 作成したユーザでログインします。
3. su を実行して root になります。
4. sewhoami を実行します。
   
70 1 UNIX Endpoint User Mode Fixes an issue with ControlMinder where PAM login from a console is ignored. コンソールからの PAM ログインが無視される問題を修正しました。 AC126SP20229 UNIX all PAM login from console ignored for a none root user with uid 0. uid 0 の非ルート ユーザでは、コンソールからの PAM ログインが無視されていました。             1795 TC61324
71 1 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where mount protection does not work on AIX. AIX 上でマウント保護が動作しない問題を修正しました。 AC126SP20230 AIX The problem occurs because of a coding error. この問題はコーディング エラーにより発生します。                
72 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where getvar.sh fails to parse /etc/redhat-release file correctly on RHEL systems. RHEL システム上で getvar.sh が /etc/redhat-release ファイルを正しく解析できない問題を修正しました。 AC126SP20242 LINUX x86 The commented lines should be ignored in /etc/redhat-release file /etc/redhat-release ファイルのコメント行は無視される必要があります。 RHEL compatible linux release RHEL 互換の Linux リリース Install updated getvar.sh file start Access Control 更新された getvar.sh ファイルをインストールして、Access Control を起動します。        
73 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the ReportAgent crashes while retrieving records having an empty data. 空のデータを持つレコードの取得中に ReportAgent がクラッシュする問題を修正しました。 AC126SP20246 UNIX all The problem occurs because record validation does not check data pointer on NULL causing the failure. この問題は、レコード検証で、エラーを引き起こす NULL のデータ ポインタをチェックしないために発生します。     Add checking data pointer and skipping corrupted record. データ ポインタのチェックを追加して、破損レコードをスキップします。     1797 T5P7211 (AIX), T5P7212 (HPUX), T5P7213 (HPUX IA64), T5P7214 (LINUX), T5P7215 (LINUX X64), T5P7216 (Solaris)
74 1 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where the system crashes in fi_detach_q on HPUX. HPUX 上の fi_detach_q でシステムがクラッシュする問題を修正しました。 AC126SP20247 HPUX IA64 The problem occurs because of the race condition between NET_STR_CACHED and ControlMinder detaching queue. この問題は、NET_STR_CACHED と ControlMinder デタッチ キューの間の競合状態により発生します。 ControlMinder was not protecting Streams head while detaching from streams. ストリームからのデタッチ中に、ControlMinder がストリーム ヘッドを保護していない Disable ControlMinder streams. ControlMinder ストリームを無効化します。     176 TC61311
75 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the AIX package does not set correct file permissions for sepass, sesudo, and issec. AIX パッケージが sepass、sesudo、および issec に正しいファイル権限を設定しない問題を修正しました。 AC126SP20258 AIX The problem occurs because chmod in the post-install script is ovewritten by the original permission of issec from the bff package. この問題は、ポストインストール スクリプト内の chmod が、bff パッケージからの issec の元の権限によって上書きされるために発生します。 Install AC on AIX 5.2 using customize_eac_bff and installp on that AIX 5.2 machine customize_eac_bff を使用して AIX 5.2 上に AC をインストールし、その AIX 5.2 マシン上で installp を実行する Soution is to apply this fix to customize_eac_bff and customize AC for AIX 5.2 on the AIX 5.2 system 解決策: この修正を customize_eac_bff に適用して、AIX 5.2 システムの AC for AIX 5.2 をカスタマイズします。 On AIX 5.2
1. Customize the AC AIX package with
./customize_eac_bff -d `pwd` -w proceed CAeAC.12.6.1.1676.bff
2. Install CAeAC
installp -d `pwd` -a CAeAC
3. Verify the file permission on issec
ls -l /opt/CA/AccessControl/bin/issec
-r-sr-xr-x 1 root system 124472 Oct 13 20:30 issec
and note that setuid bit is not set without this fix
AIX 5.2 で以下の手順を実行します。
1. 以下のコマンドを実行して AC AIX パッケージをカスタマイズします。
./customize_eac_bff -d `pwd` -w proceed CAeAC.12.6.1.1676.bff
2. CAeAC をインストールします。
installp -d `pwd` -a CAeAC
3. issec のファイル権限を確認します。
ls -l /opt/CA/AccessControl/bin/issec
-r-sr-xr-x 1 root system 124472 Oct 13 20:30 issec
この修正を適用していない場合、setuid ビットが設定されていません。
   
76 2 Windows Endpoint Kernel Mode Fixes an issue with ControlMinder where VSphere installation hangs on x64 platforms. x64 プラットフォームで VSphere インストールがハングする問題を修正しました。 AC126SP20261 Windows all The problem occurs because of compatibility issues with .Net assembly. この問題は、.Net アセンブリの互換性の問題によって発生します。     Added to driver capacity to read instrumentation settings of plugins and create white list of processes that should be instrumented プラグインのインストルメンテーション設定を読み取り、インストルメンテーションが必要なプロセスのホワイト リストを作成する機能がドライバに追加されました。     587 T5P7217
77 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where the IIS process crash when trying to implement database integration with OLEDB connection against Oracle database. OLEDB 接続を使用して Oracle データベースとのデータベース統合を実装しようとすると IIS プロセスがクラッシュする問題を修正しました。 AC126SP20275 Windows all The problem was caused because of bad memory access within our OLEDBPLg instrumentqation process which is loaded by w3wp.exe IIS process. この問題は、w3wp.exe IIS プロセスによってロードされる OLEDBPLg インストルメンテーション プロセス内の不正なメモリ アクセスによって発生します。     Install a fix containing the code change in this package. No other work around. コード変更を含む修正をこのパッケージにインストールします。その他の回避策はありません。        
78 1 UNIX Endpoint User Mode Fixes an issue with ControlMinder where SEOS_load causes a panic on RHEL 6. RHEL 6 上で SEOS_load によりパニックが発生する問題を修正しました。 AC126SP20299 LINUX x64 Incorrect call to get_x86_64_table() on RHEL 6 xen RHEL 6 xen 上での get_x86_64_table() の無効なコール System oops on SEOS_load on RHEL 6 paravirtualized VM RHEL 6 の準仮想化 VM 上で SEOS_load を実行するとシステム パニックが発生 Solution is to install a new kernel module with this fix 解決策: この修正を適用した新しいカーネル モジュールをインストールします。     1800 TC61331
79 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where audit record for kill is not generated if the user does not have permissions to kill the process. ユーザにプロセスの kill を実行する権限がない場合、kill に対する監査レコードが生成されない問題を修正しました。 AC126SP20302 LINUX all In seos kill wrapper my_kill(), before sending request to seosd (for reducing amount of requests) we check permissions for user to kill the process. seos kill ラッパー my_kill() 内で、seosd に要求を送信する前に(要求量を削減するため)プロセスの kill を実行するユーザの権限をチェックします。 Linux user doesn't have permissions to kill the process Linux ユーザにプロセスの kill を実行する権限がない     1) protect process top from killing
2) run top as non root
3) kill top as root
1) top プロセスを kill から保護します。
2) root 以外のユーザで top を実行します。
3) root で top に対する kill を実行します。
   
80 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where it takes 4-8 minutes to receive the results when there are many deployments and gdeployments (around 70000 objects). 多数の deployment および gdeployment オブジェクトがある場合 (約 70000 オブジェクト)、結果を受け取るのに 4 ~ 8 分かかる問題を修正しました。 AC126SP20318 UNIX all We dont have a mechanism to receive all the deployment objects from the DMS using paging. using filters helps (policy, host, host group, etc) but not resolve the performance problem. ページングを使用して DMS からすべての deployment オブジェクトを受け取るメカニズムはありません。フィルタの使用は役に立ちますが(ポリシー、ホスト、ホスト グループなど)、パフォーマンスの問題は解決されません。             132, 586, 98 T4A7036, T4A7037, T4A7038, and T4A7039
RO50732, T5P0093
81 2 Windows Endpoint User Mode Fixes an issue where ControlMinder Silent installation fails. ControlMinder のサイレント インストールが失敗する問題を修正しました。 AC126SP20319 Windows all The problem occurs because the registry values were not set correctly during silent installation. この問題は、サイレント インストール中にレジストリ値が正しく設定されていなかったために発生します。                
82 3 UNAB Fixes an issue with ControlMinder where the ControlMinder Unix Attributes tab does not appear when the filter or search operation is used with AD Users and Computers. AD ユーザとコンピュータでフィルタまたは検索操作が使用されたときに ControlMinder Unix 属性タブが表示されない問題を修正しました。 AC126SP20321 Windows all Thr problem because the UNIX Attribute tab does not support filter or search operation in ADUC. この問題は、UNIX 属性タブが、ADUC でのフィルタまたは検索操作をサポートしないために発生します。         1) Install Access Control Unix Attributes AC126SP1 GA on domain controller (install x86 package on x86 machine and x64 on x64 machine).
2) Open “Active Directory Users and Computers” MMC.
3) Double click on a user and verify that the “Access Control Unix Attributes” tab exists.
4) In the upper side of the MMC, click on search and search for the user.
5) From the search results , Double click on the user and verify that the “Access Control Unix Attributes” tab NOT exists.
1) ドメイン コントローラに Access Control Unix Attributes AC126SP1 GA をインストールします(x86 マシンには x86 パッケージを、x64 マシンには x64 パッケージをインストールします)。
2) [Active Directory ユーザーとコンピュータ] MMC を開きます。
3) ユーザをダブルクリックして、[Access Control UNIX 属性]タブが存在することを確認します。
4) MMC の上部で[検索]をクリックし、ユーザを検索します。
5) 検索結果のユーザをダブルクリックして、[Access Control UNIX 属性]タブが存在しないことを確認します。
589 T537726
83 3 UNAB Fixes an issue with ControlMinder where the ControlMinder Unix Attributes tab does not appear when the filter or search operation is used with AD Users and Computers. AD ユーザとコンピュータでフィルタまたは検索操作が使用されたときに ControlMinder Unix 属性タブが表示されない問題を修正しました。 AC126SP20322 Windows all The problem occurs becuase of wrong use of the COM object. この問題は、COM オブジェクトの使用が間違っているために発生します。         1) Install Access Control Unix Attributes AC126SP1 GA on domain controller (install x86 package on x86 machine and x64 on x64 machine).
2) Open “Active Directory Users and Computers” MMC.
3) Double click on a user and verify that the “Access Control Unix Attributes” tab exists.
4) In the upper side of the MMC, click on search and search for the user.
5) From the search results , Double click on the user and verify that the “Access Control Unix Attributes” tab NOT exists.
1) ドメイン コントローラに Access Control Unix Attributes AC126SP1 GA をインストールします(x86 マシンには x86 パッケージを、x64 マシンには x64 パッケージをインストールします)。
2) [Active Directory ユーザーとコンピュータ] MMC を開きます。
3) ユーザをダブルクリックして、[Access Control UNIX 属性]タブが存在することを確認します。
4) MMC の上部で[検索]をクリックし、ユーザを検索します。
5) 検索結果のユーザをダブルクリックして、[Access Control UNIX 属性]タブが存在しないことを確認します。
589 T537726
84 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the audit log does not record user login to a server. サーバへのユーザ ログインが監査ログに記録されない問題を修正しました。 AC126SP20323 UNIX all The problem occurs because the login process loginflag is NOT set to pamlogin. この問題は、ログイン プロセスの loginflag が pamlogin に設定されていないために発生します。 We can reproduce the in telnet only. /usr/bin/loing is not set with pamlogin. この問題は telnet のみで再現できます。/usr/bin/login が pamlogin に設定されていません。 set /usr/bin/login with the same settings as loginappl TELNET. /usr/bin/login を loginappl TELNET と同じ設定にします。     1807 T52V001
85 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where during upgrade the distribution_server registry value is empty. ControlMinder のアップグレード中に distribution_server レジストリ値が空になる問題を修正しました。 AC126SP20340 Windows all The problem occurs because of a defect in the upgrade process. この問題は、アップグレード プロセスのエラーにより発生します。                
86 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where the ControlMinder Support utility (ACSupport) fails to gather the event log. ControlMinder サポート ユーティリティ (ACSupport)がイベント ログの収集に失敗する問題を修正しました。 AC126SP20347 Windows all The FormatMessage error occurs because the number of strings, obtained from application message does not match the message data. アプリケーション メッセージから取得された文字列の数がメッセージ データと一致しないため、FormatMessage エラーが発生します。     Place call FormatMessages in __try - __except __try - __except 内に call FormatMessages を配置します。 Run ACSupport export Event log on Win 2008 R2 (x64) Windows 2008 R2 (x64)で ACSupport を実行して、イベント ログをエクスポートします。 597 T5P7229, T5P7230
87 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where ac_check_debug_proc() called strstr() which causes the system to panic. strstr() を呼び出した ac_check_debug_proc() がシステム パニックを引き起こす問題を修正しました。 AC126SP20351 Solaris Sparc, Solaris x86 This happens when the pathname struct passed to ac_check_debug_proc() has only "/proc" as its path. The pathlen is 5 and the rest of the buffer contains no 0x0 beyond the "/proc" string. この問題は、ac_check_debug_proc() に渡された pathname 構造体に、パスとして "/proc" のみが含まれている場合に発生します。pathlen は 5 であり、残りのバッファには、"/proc" 文字列の後に 0x0 が含まれていません。     Make sure it is /proc/*/ctl. /proc/*/ctl であることを確認します。     1805 T3E7153
88 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the hostname is changed to the localhost name. ホスト名がローカルホスト名に変更される問題を修正しました。 AC126SP20357 UNIX all The root cause of the problem is the pointer that points to a hostname is overwritten by another call. for seos.collect.audit, seaudit needs to get the hostname where the audit log is generated from. Because of this call, it overwrites the host name pointer that points the audit log's data. この問題の根本原因は、ホスト名を指すポインタが他のコールによって上書きされるためです。seos.collect.audit のために、seaudit は監査ログの生成元であるホスト名を取得する必要があります。このコールによって、監査ログのデータを指すホスト名のポインタが上書きされます。 Please run "seaudit" on seos.collect.audit where there is hostname in the audit log. The field that for hostname will be replaced by the localhost name. seos.collect.audit で "seaudit" を実行し、監査ログ内にホスト名が存在する場合、ホスト名のフィールドはローカルホスト名で置き換えられます。         1654 T243830
89 3 Windows Endpoint User Mode, UNIX Endpoint User Mode Fixes an issue with ControlMinder where Devcalc reports false deviations on policies containing ACVAR. Devcalc が ACVAR を含むポリシーで誤った偏差をレポートする問題を修正しました。 AC126SP20368 Windows all, UNIX all The problem occurs because devcalc compares the wrong value in case the object type is ACVAR of type OSVAR. この問題は、オブジェクトがタイプ OSVAR の ACVAR である場合、devcalc が間違った値を比較するために発生します。         1) deploy the following policy script:
er ACVAR COMPUTERNAME value(COMPUTERNAME) type(osvar)
eu <!COMPUTERNAME>kuku admin
2) In selang, run the following:
start devcalc
get devcalc
3) verify that there is deviation for COMPUTERNAME
1) 以下のポリシー スクリプトをデプロイします。
er ACVAR COMPUTERNAME value(COMPUTERNAME) type(osvar)
eu <!COMPUTERNAME>kuku admin
2) selang で以下を実行します。
start devcalc
get devcalc
3) COMPUTERNAME に偏差があることを確認します。
590 T537727
90 3 Windows Endpoint User Mode, UNIX Endpoint User Mode Fixes an issue with ControlMinder where the Restore Host option fails in Advanced policy management. 拡張ポリシー管理でホストの復元オプションが失敗する問題を修正しました。 AC126SP20369 Windows all, UNIX all The problem occurs because the user wants to re-deploy policie using the Restore Host option. この問題は、ホストの復元オプションを使用してポリシーの再デプロイを試行すると発生します。             570 T4A7026
91 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where cron scripts produce a cmdlog core when KBL is enabled. KBL が有効である場合に cron スクリプトが cmdlog コアを作成する問題を修正しました。 AC126SP20372 UNIX all The problem occurs because the dynamic loader is not loadable. この問題は、動的ローダがロード可能でないために発生します。 HP-UX KBL enabled /bin/sh script HP-UX 上で KBL を有効にして /bin/sh スクリプトを実行 Workaround - change script's shell from /bin/sh to /sbin/sh 回避策: スクリプトのシェルを /bin/sh から /sbin/sh に変更します。     1810 TC61339
92 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where _dms user is created in regular pmdb. 標準の pmdb に _dms ユーザが作成される問題を修正しました。 AC126SP20380 Windows all The _dms user was added for dms but regular pmdb is not filtered. _dms ユーザが dms に追加されましたが、標準の pmdb がフィルタされていません。     The user can be manually removed. このユーザは手動で削除できます。 creapmd PMDNAME=pmd1
selang
host pmd1@
find user
creapmd PMDNAME=pmd1
selang
host pmd1@
ユーザを検索します。
   
93 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where the UNIX user/group properties groupid, gecos, shellprog, userid are not exported by dbmgr -export in ControlMinder for Windows. ControlMinder for Windows で dbmgr -export を実行しても UNIX ユーザ/グループ プロパティ groupid、gecos、shellprog、userid がエクスポートされない問題を修正しました。 AC126SP20386 Windows all Definition of the properties were missing. プロパティの定義が存在していませんでした。 UNIX user/group properties created in pmd native env. pmd ネイティブ環境で作成された UNIX ユーザ/グループ プロパティ     1. create pmdb
2. in the pmdb
AC> eg testgroup native(groupid(100))
AC> eu testuser native(gecos("test gecos") shellprog(/program) userid(500))
3. export the pmdb
expected result: all properties specified is exported
actual result: not exported
1. pmdb を作成します。
2. pmdb で以下を実行します。
AC> eg testgroup native(groupid(100))
AC> eu testuser native(gecos("test gecos") shellprog(/program) userid(500))
3. pmdb をエクスポートします。
正しい結果: 指定したすべてのプロパティがエクスポートされます。
実際の結果: エクスポートされません。
591 T4CC205
94 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where after a failed login from GDM terminal, the next next login session gains the user name and acee of the failed login. GDM 端末からのログイン失敗後に、次のログイン セッションで、失敗したログインのユーザ名と ACEE が取得される問題を修正しました。 AC126SP20407 UNIX all ControlMinder cannot detect failed GDM login, "gdm-binary" gets new acee for failed login and AC uses it in next login session. ControlMinder は失敗した GDM ログインを検出できません。"gdm-binary" は失敗したログインの新しい ACEE を取得して、AC はそれを次のログイン セッションで使用します。 GDM console access GDM コンソール アクセス Use PAM login event to clean flags associated for "gdm-binary" process. PAM ログイン イベントを使用して、"gdm-binary" プロセスに関連するフラグを消去します。 1. Find Linux RH 5 with console access, install and start AC
2. Define "test" user, change user's shell in /etc/passwd to /bin/false
3. Login GDM console with user "test" => login fails
4. Login GDM console with user "root"
5. run "sewhoami -a"
=> Expected: root (before fix "sewhoami" showed "test")
1. Linux RH 5 マシンにコンソール アクセスし、AC をインストールして開始します。
2. "test" ユーザを定義して、/etc/passwd でユーザのシェルを /bin/false に変更します。
3. "test" ユーザで GDM コンソールにログインします。 => ログインに失敗します。
4. "root" ユーザで GDM コンソールにログインします。
5. "sewhoami -a" を実行します。
=> 正しい結果: root (修正を適用する前は、"test" が表示されます)
1733 T3DB139, T3DB140
95 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where intermittent authorization deny, while DB rules allow. DB ルールで許可されているにも関わらず、断続的な拒否が発生する問題を修正しました。 AC126SP20408 UNIX all The problem occurs because of incorrect reference counting. The source of wrong counting was not disovered, because it requires kernel debugging. この問題は、参照カウントが誤っているために発生します。カーネルのデバッグが必要になるため、誤ったカウントのソースは特定されていません。     Count all processes of specific ACEE and update table before deleting it. 特定の ACEE のすべてのプロセスをカウントして、削除前にテーブルを更新します。     1758 T3DB153
96 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where selogrcd fails to start with a specific port (ServicePort = 3000). 特定のポート(ServicePort = 3000)で selogrcd の起動に失敗する問題を修正しました。 AC126SP20409 Solaris Sparc The problem occurs because the compatibility package(ucblib) was removed in Solaris 11. この問題は、Solaris 11 から互換性パッケージ(ucblib)が削除されたために発生します。 specify ServicePort in seos.ini selogrcd section. seos.ini の selogrcd セクションで ServicePort を指定 Not specify ServicePort ServicePort を指定しない 1. set ServicePort = 30000 in seos.ini selogrcd section
2. run selogrcd
# selogrcd -d
Getting Parameters for CA Access Control Log Collector...
Setting value for [selogrd] CollectFile to /opt/CA/seos/log/seos.collect.audit
Setting value for [selogrd] CollectFileBackup to /opt/CA/seos/log/seos.collect.bak
Setting value for [logmgr] audit_group to none
Setting value for [selogrd] CBackUp_Date to NONE
Got Prameters form seos.ini file.
Warning: The selogrcd extension file does not exist
Using preassigned port from seos.ini 30000
Calling svcudp_create(fd=6)
Cannot create UDP service. svcudp_create: Bad file number
1. seos.ini の selogrcd セクションに、ServicePort = 30000 を設定します。
2. selogrcd を実行します。
# selogrcd -d
Getting Parameters for CA Access Control Log Collector...
Setting value for [selogrd] CollectFile to /opt/CA/seos/log/seos.collect.audit
Setting value for [selogrd] CollectFileBackup to /opt/CA/seos/log/seos.collect.bak
Setting value for [logmgr] audit_group to none
Setting value for [selogrd] CBackUp_Date to NONE
Got Prameters form seos.ini file.
Warning: The selogrcd extension file does not exist
Using preassigned port from seos.ini 30000
Calling svcudp_create(fd=6)
Cannot create UDP service. svcudp_create: Bad file number
1812 T4CC204
97 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where PACL from trusted script was not enforced after starting ControlMinder trace. ControlMinder によるトレースを開始した後に trusted スクリプトからの PACL が適用されない問題を修正しました。 AC126SP20419 UNIX all The problem occurs because of a wrong parent program name in the FILE CACHE in the ControlMinder kernel module. この問題は、ControlMinder カーネル モジュール内の FILE CACHE で親プログラム名が間違っているために発生します。 Activating ControlMinder trace ControlMinder トレースの有効化 Do not activate ControlMinder trace ControlMinder トレースを有効にしない 1) Test on Linux X64.
2) echo "test2" >> /tmp/TEST/work/test2.txt
3) echo "Test4" > /tmp/TEST/work/test4.txt
4) Create the following two scripts:
/tmp/TEST/script/test.sh:
#!/bin/sh
cat /tmp/TEST/work/test2.txt
echo aaa > /tmp/TEST/work/test.txt
rm -f /tmp/TEST/work/test.txt
/tmp/TEST/script/test2.sh

/tmp/TEST/script/test2.sh:
#!/bin/sh
cat /tmp/TEST/work/test4.txt
echo aaa > /tmp/TEST/work/test.txt
rm -f /tmp/TEST/work/test.txt

5) AC> nf /tmp/TEST/work/* owner(nobody) defacc(chdir)audit(a)
AC> nr program /tmp/TEST/script/test.sh owner(nobody) audit(a) defacc(a)
AC> auth file /tmp/TEST/work/* uid(*) acc(a) via(pgm(/tmp/TEST/script/test.sh))
6) Start AC (seload).
7) secons -t-
8) sh /tmp/TEST/script/test.sh
9) sh -c /tmp/TEST/script/test.sh
10) . /tmp/TEST/script/test.sh
11) /tmp/TEST/script/test.sh
12) secons -tc -t
13) sh /tmp/TEST/script/test.sh
14) sh -c /tmp/TEST/script/test.sh
15) . /tmp/TEST/script/test.sh
16) /tmp/TEST/script/test.sh --> Before the fix you get an error about permission denied for test4
1) Linux X64 でテストします。
2) echo "test2" >> /tmp/TEST/work/test2.txt
3) echo "Test4" > /tmp/TEST/work/test4.txt
4) 以下の 2 つのスクリプトを作成します。
/tmp/TEST/script/test.sh:
#!/bin/sh
cat /tmp/TEST/work/test2.txt
echo aaa > /tmp/TEST/work/test.txt
rm -f /tmp/TEST/work/test.txt
/tmp/TEST/script/test2.sh

/tmp/TEST/script/test2.sh:
#!/bin/sh
cat /tmp/TEST/work/test4.txt
echo aaa > /tmp/TEST/work/test.txt
rm -f /tmp/TEST/work/test.txt

5) AC> nf /tmp/TEST/work/* owner(nobody) defacc(chdir)audit(a)
AC> nr program /tmp/TEST/script/test.sh owner(nobody) audit(a) defacc(a)
AC> auth file /tmp/TEST/work/* uid(*) acc(a) via(pgm(/tmp/TEST/script/test.sh))
6) AC を開始します(seload)。
7) secons -t-
8) sh /tmp/TEST/script/test.sh
9) sh -c /tmp/TEST/script/test.sh
10) . /tmp/TEST/script/test.sh
11) /tmp/TEST/script/test.sh
12) secons -tc -t
13) sh /tmp/TEST/script/test.sh
14) sh -c /tmp/TEST/script/test.sh
15) . /tmp/TEST/script/test.sh
16) /tmp/TEST/script/test.sh
--> 修正の適用前であれば、test4 の権限拒否に関するエラーが表示されます。
   
98 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where sewhoami shows wrong ControlMinder user. sewhoami が間違った ControlMinder ユーザを表示する問題を修正しました。 AC126SP20420 UNIX all ControlMinder didn't save the LOGOUT record because of incorrect acee reference count. ACEE 参照カウントが正しくないために、ControlMinder は LOGOUT レコードを保存していませんでした。 X11 forwarding enabled X11 フォワーディングの有効化 function handle_multilogin() triggers login on shell which does not have command parameter "-c" 関数 handle_multilogin() は、コマンド パラメータ "-c" を使用しないシェル上でのログインをトリガーします。     1733 T3DB143
99 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where dbmgr -export duplicates native user properties like country, phone, location and organization. dbmgr -export を実行すると country、phone、location、および organization などのネイティブ ユーザ プロパティが重複する問題を修正しました。 AC126SP20422 Windows all Definition of the properties were missing. プロパティの定義が存在していませんでした。 Country, phone, location and organization is defiend to a native user in pmd pmd のネイティブ ユーザに country、phone、location、および organization が定義されている Removed duplicated entry from native user propertry definition ネイティブ ユーザのプロパティ定義から重複したエントリが削除されました。 1. create pmd
2. in pmd native env
nu testuser country(japan) phone(111-111-111) location(tokyo) organization(jtc)
3. export pmd
dbmgr -e -l
expected result: editusr ("testuser ") country(japan) phone(111-111-111) location(tokyo) organization(jtc)
actual result: all properties are duplicated
1. pmd を作成します。
2. pmd ネイティブ環境で以下を実行します。
nu testuser country(japan) phone(111-111-111) location(tokyo) organization(jtc)
3. pmd をエクスポートします。
dbmgr -e -l
正しい結果: editusr ("testuser ") country(japan) phone(111-111-111) location(tokyo) organization(jtc)
実際の結果: すべてのプロパティが重複しています。
591 T4CC203, T4CC205
100 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where SMF stops ControlMinder watchdog after seosd fails with core. seosd がコア ファイルを生成して終了した後に、SMF によって ControlMinder watchdog を停止する問題を修正しました。 AC126SP20423 Solaris Sparc Both SMF and watchdog try to restart seosd. The SMF also stops all related processes including watchdog. SMF と watchdog の両方が seosd の再起動を試行します。SMF は watchdog を含むすべての関連プロセスも停止させます。 Solaris 10 SMF in use Solaris 10 で SMF を使用 Set manifest property to ignore service core files サービスの core ファイルを無視するように、マニフェストのプロパティを設定します。 set "kill_ignore=yes" in seos.ini
start seosd service
# svcadm seosd enable
kill seosd process
wait and check service status
# svc -l seosd
# issec
EXPECT: the seosd is up and running
seos.ini で "kill_ignore=yes" を設定します。
seosd サービスを開始します。
# svcadm seosd enable
seosd プロセスの kill を実行します。
しばらく待ってからサービス ステータスを確認します。
# svc -l seosd
# issec
正しい結果: seosd が実行中です。
   
101 2 UNAB Fixes an issue with ControlMinder where CA license library (LIC98Dir) is not set in uxauth.ini in the WPAR environment. WPAR 環境で CA ライセンス ライブラリ(LIC98Dir)が uxauth.ini に設定されない問題を修正しました。 AC126SP20424 AIX The problem occurs because AIX WPAR cannot write to /opt as this is a read only directory. この問題は、/opt は読み取り専用ディレクトリであるため、AIX WPAR が /opt に書き込むことができずに発生します。 AIX WPAR UNAB install AIX WPAR UNAB インストール     Steps to reproduce:
1. Install UNAB in global
2. Sync with wpars - syncwpar <wparname>
3. Check token 'LIC98Dir' in uxauth.ini in non-private wpars .
Actual Result : Token is not set.
Expected Result : Token is set to SharedComponents/ca_lic
NOTE : Token LIC98Dir is set correctly to /opt/CA/SharedComponents/ca_lic in global and private wpar .
再現手順:
1. グローバルで UNAB をインストールします。
2. WPAR と同期します: syncwpar <wparname>
3. 非プライベート WPAR の uxauth.ini で、トークン 'LIC98Dir' を確認します。
実際の結果: トークンは設定されていません。
正しい結果: トークンは SharedComponents/ca_lic に設定されています。
注 : グローバルおよびプライベート WPAR で、トークン LIC98Dir は /opt/CA/SharedComponents/ca_lic に正しく設定されています。
1686 T540192
102 1 Unix Endpoint Kernel Mode Fixes a design limitation, where a user can circumvent ControlMinder protection by copying a device. A privileged user (not a ControlMinder Administrator), can create a copy of the device using "mknod" system call. ControlMinder cannot prevent access to the device through direct system call. ユーザがデバイスをコピーすると ControlMinder の保護を回避できる設計上の制限を修正しました。特権ユーザ (ControlMinder 管理者ではなく) は "mknod" システム コールを使用してデバイスのコピーを作成できます。ControlMinder は直接のシステム コールを通じたデバイスへのアクセスを阻止できません。 AC126SP20426 UNIX all ControlMinder does not check target device in syscall "mknod". ControlMinder はシステム コール "mknod" のターゲット デバイスをチェックしません。 Usage of syscall "mknod" システム コール "mknod" の使用 Translate device number to device name in FS, verify file protection デバイス番号を FS のデバイス名に変換し、ファイル保護を検証します。 on Linux
1. find some disk device for tests using "df -h"
2. Note device major and minor numbers using "ls -l /dev/<your_disk>"
3. Set pattern rule like this
AC> ef /dev/sdb* defaccess(n) owner(root) audit(a)
4. Try copy this device
# mknod /tmp/my_dev b <major_num> <minor_num>
EXPECT: permission deny
Linux 上で以下の手順を実行します。
1. "df -h" を使用して、テスト用のディスク デバイスを見つけます。
2. "ls -l /dev/<your_disk>" を使用して、デバイスのメジャー番号とマイナー番号を書き留めます。
3. 以下のようなパターン ルールを設定します。
AC> ef /dev/sdb* defaccess(n) owner(root) audit(a)
4. このデバイスのコピーを試行します。
# mknod /tmp/my_dev b <major_num> <minor_num>
正しい結果: 権限の拒否
1773 TC61312, TC61313, TC61315, TC61316
103 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where sesu generates two surrogate audit records. sesu により 2 つのsurrogate 監査レコードが生成される問題を修正しました。 AC126SP20431 UNIX all The problem occurs because SEOSROUTE_AuthRequest(...) API generates one log and setuid(..) generates another log. この問題は、SEOSROUTE_AuthRequest(...) API がログを 1 つ生成し、setuid(..) がもう 1 つのログを生成するために発生します。             1658 T243834, T243835
104 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where an error occurs with the Task Delegation feature. タスクの委任機能でエラーが発生する問題を修正しました。 AC126SP20433 Windows all The problem occurs because the Task Delegation feature is not added to the ControlMinder services list. この問題は、タスクの委任機能が ControlMinder のサービス リストに追加されていないために発生します。                
105 2 Windows Endpoint User Mode Fixes an issue with ControlMinder where dbmgr does not export new properties for native users from PMDB after setting the property at PMDB. PMDB でプロパティを設定した後に、dbmgr が PMDB から ネイティブ ユーザの新しいプロパティをエクスポートしない問題を修正しました。 AC126SP20436 Windows all Definition of the properties were missing. プロパティの定義が存在していませんでした。         host pmdb@
editusr ("eacadmin") country('Japan') gecos('gecos test')
export pmdb
expected result: editusr ("eacadmin") country('Japan') gecos('gecos\ test')
actual result: editusr ("eacadmin") country('Japan') gecos(gecos\ test)
host pmdb@
editusr ("eacadmin") country('Japan') gecos('gecos test')
pmdb をエクスポートします。
正しい結果: editusr ("eacadmin") country('Japan') gecos('gecos\ test')
実際の結果: editusr ("eacadmin") country('Japan') gecos(gecos\ test)
591 T4CC205
106 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where a exit error occurs on the sepmdd load. sepmdd のロード時に終了エラーが発生する問題を修正しました。 AC126SP20448 UNIX all When agent exit is configured in seagent.ext, sepmdd and creapmd also try to load this shared object and causing loading error messages.   エージェントの終了が seagent.ext に設定されている場合、sepmdd および creapmd もこの共有オブジェクトをロードしようとして、ロード エラー メッセージが発生します。         Install -api package.
# ./install_base xxx.tar.Z -api
# cd /opt/CA/AccessControl/apisample/agent_exits/password_auth
# cp aes_password_auth.ext /opt/CA/AccessControl/etc/seagent.ext
# seosd
# selang
# AC>host pmdb@

you'll see error message. This is because sepmdd is also trying to password_auth.so.  
-api パッケージをインストールします。
# ./install_base xxx.tar.Z -api
# cd /opt/CA/AccessControl/apisample/agent_exits/password_auth
# cp aes_password_auth.ext /opt/CA/AccessControl/etc/seagent.ext
# seosd
# selang
# AC>host pmdb@

エラー メッセージが表示されます。エラーの原因は、sepmdd も password_auth.so のロードを試行しているためです。
   
107 2 UNAB Fixes an issue with ControlMinder where an error (Insufficient access rights) occurs when registering the UNAB host. UNAB ホストの登録時にエラー(アクセス権限が不足)が発生する問題を修正しました。 AC126SP20449 AIX /usr/sbin/no cannot be exectuted from a WPAR WPAR から /usr/sbin/no を実行できません。 UNAB registration on AIX WPAR AIX WPAR 上に UNAB を登録 solution Detect if registering from WPAR and Advise administrator to manually adjust PMTU discovery from the AIX Global Environment if it needs changing 解決策:
WPAR からの登録かどうかを検出し、変更が必要な場合、AIX グローバル環境からの PMTU 検出を手動で調整するよう管理者にアドバイスします。  
1. Install UNAB in global and sync with wpars
2. Register UNAB host in global and wpars using
uxconsole -register -a Administrator -w N0tall0wed -s 10.134.5.14(ip of AD machine)
3. While registering UNAB host in wpars , the following message is displayed
CA Access Control UNAB uxconsole v12.61.0.1674 - console utility
Copyright (c) 2010 CA. All rights reserved.
no: 1485-120 Insufficient access rights
1. グローバル環境に UNAB をインストールして、WPAR と同期します。
2. 以下のコマンドを使用して、グローバル環境と WPAR に UNAB ホストを登録します。
uxconsole -register -a Administrator -w N0tall0wed -s 10.134.5.14 (AD マシンの IP)
3. WPAR に UNAB ホストを登録中に、以下のメッセージが表示されます。
CA Access Control UNAB uxconsole v12.61.0.1674 - console utility
Copyright (c) 2010 CA. All rights reserved.
no: 1485-120 Insufficient access rights
1686 T540192
108 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where file protection does not work for setuid files. setuid ファイルに対するファイル保護が動作しない問題を修正しました。 AC126SP20458 UNIX all The problem occurs because the setuid program seosd does not check FILE class. この問題は、setuid プログラムに対して seosd が FILE クラスをチェックしないために発生します。 setuid program that protected by FILE rule setuid プログラムが FILE ルールによって保護されている     1) protect setuid program from access via FILE class in selang
2) run this program -> exec is successful despite of FILE rule
1) selang で FILE クラスを使用して setuid プログラムへのアクセスを保護します。
2) setuid プログラムを実行します -> FILE ルールが設定されているにも関わらず、実行が許可されます。
   
109 2 Windows Endpoint Kernel Mode Fixes an issue with ControlMinder where a BSOD occurs during ControlMinder shutdown. ControlMinder のシャットダウン中に BSOD (ブルースクリーン)が発生する問題を修正しました。 AC126SP20466 Windows all The problem occurs because ControlMinder crashed with memory corruption error in soesdrv at shutdown. この問題は、シャットダウン時に soesdrv のメモリ破損エラーで ControlMinder がクラッシュするために発生します。         On Windows 2008 R2 x64 with verifier
Install r12.6 sp1, create generic rule for folder of files with audit(a).
Start 2-3 instances of fstress accessing the folder in cycle( for infinite time ).
Start AC start/stop cycle with 5-10 AC running period with some restarts of AC without sesodrv unload and some with seosdrv unload( net stop seosdrv ).
Test should run at least 24 hours.
Expected results, no BSODs.
Windows 2008 R2 x64 環境(Application Verifier を使用):
r12.6 sp1 をインストールして、audit(a) を使用するファイルを含むフォルダの汎用ルールを作成します。
サイクル中に回数の制限なしにフォルダにアクセスする 2 ~3 の fstress インスタンスを開始します。
5 ~ 10 の AC を使用して AC の開始/停止サイクルを開始します。一部の AC では再起動に sesodrv unload を使用せず、他の AC では再起動に seosdrv unload を使用します(net stop seosdrv)。
テストは少なくとも 24 時間実行する必要があります。
正しい結果: BSOD (ブルースクリーン)が発生しない。
593 T5P7225
110 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where the Apache Web page refresh stalls after n times when ControlMinder streams are active. ControlMinder ストリームがアクティブのときに Apache Web ページの更新を繰り返すと更新が停止する問題を修正しました。 AC126SP20482 HPUX PA-RISC, HPUX IA64 AC streams r/w PUT routines did too much for bypassed AC processes バイパスされる AC プロセスに対して、AC ストリームの読み取り/書き込み PUT ルーチンが多すぎます。 Specialpgm Apache program on HPUX that was fully bypassed was stalling a bit when server requested a lot of data HPUX 上の Specialpgm Apache プログラムが完全にバイパスされている場合、サーバが大量のデータを要求したときに一時停止する Disable AC streams AC ストリームを無効化します。     1813 TC61342
111 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the ReportAgent crashes with core dump on KBL raw data. ReportAgent が KBL の raw データを解析中にコア ダンプを生成してクラッシュする問題を修正しました。 AC126SP20484 LINUX all Array bound write problem in cmdlog_extarct() where to passed recs[4].Value has been written on size 5497 while allocated on 4096. The problem occures in result replacement unprintable charactres in Data chank buffer of 1024 bytes mostly with <BELL> text expanding buffer on size beyond 4096. cmdlog_extarct() での配列範囲の書き込み問題により、渡された recs[4].Value はサイズ 4096 上に割り当てられているにも関わらずサイズ 5497 上に書き込まれていました。問題が発生するのは、その結果、1024 バイトのデータ チャンク バッファ内の印刷不可文字のほとんどが <BELL> テキストで置き換えられ、4096 を超えるサイズにバッファが拡張されるためです。     Setting MAX_KBL_DATA_SIZE to 6144. MAX_KBL_DATA_SIZE を 6144 に設定します。     1816 T5P7232
112 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where the seagent hangs while checking if the host is an NIS server. ホストが NIS サーバであるかを確認中に seagent がハングする問題を修正しました。 AC126SP20486 Solaris Sparc The problem occurs because the yp_master() call does not return. この問題は、yp_master() コールが値を返さないために発生します。 NIS server is stopped (ypstop), then start ypbind on client. NIS サーバを停止して(ypstop)、クライアント上で ypbind を開始する At is_host_nis_server(), before calling yp_master, we will check that the host is NIS binded, by calling is_host_nis_binded(). is_host_nis_server() で、yp_master のコール前に is_host_nis_binded() をコールして、ホストが NIS にバインドされていることを確認します。        
113 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where the 'today date' section in the ENTM UI calendar does not provide any information. ENTM UI カレンダの 'today date' セクションに情報が表示されない問題を修正しました。 AC126SP20491 Windows all                    
114 2 UNAB Fixes an issue where the ControlMinder Unix Attributes tab does not appear when the filter or search operation is used within AD Users and Computers. AD ユーザとコンピュータでフィルタまたは検索操作が使用されたときに ControlMinder Unix 属性タブが表示されない問題を修正しました。 AC126SP20492 Windows all The problem occurs becuase of wrong use of the COM object. この問題は、COM オブジェクトの使用が間違っているために発生します。             589 T537726
115 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where seosd hangs while syncing ControlMinder database files. ControlMinder データベース ファイルの同期中に seosd がハングする問題を修正しました。 AC126SP20493 UNIX all The problem occurs because seosd hangs in 'fsync()' and is killed by the watchdog producing a core.   この問題は、seosd が 'fsync()' でハングし、watchdog によって kill されてコアを生成するために発生します。             1834 T52V033
116 2 UNAB Fixes an issue with ControlMinder where UNAB fails to uninstall cleanly on AIX WPAR. AIX WPAR 上で UNAB が完全にアンインストールされない問題を修正しました。 AC126SP20500 AIX The problem occurs as the uninstall scripts are not executed. この問題は、アンインストール スクリプトが実行されないために発生します。 Uninstalling UNAB from AIX WPAR AIX WPAR から UNAB をアンインストールする     On AIX with WPARs
1. Install UNAB on AIX Global environment and propagate into WPAR using "syncwpar"
2. Uninstall UNAB from AIX Global environment and remove from WPAR using "syncwpar"
3. installation directory remains in WPAR
WPAR を持つ AIX 上で以下の手順を実行します。
1. AIX グローバル環境に UNAB をインストールし、 "syncwpar" を使用して WPAR に配布します。
2. AIX グローバル環境から UNAB をアンインストールし、"syncwpar" を使用して WPAR から削除します。
3. インストール ディレクトリが WPAR に残ります。
1686 T540192
117 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where installation fails when the following library packages are not installed prior to ControlMinder installation: libcrypt.so.1()(64bit), libc.so.6()(64bit), libdl.so.2()(64bit), libgcc_s.so.1()(64bit), libm.so.6()(64bit), libnsl.so.1()(64bit), libpam.so.0()(64bit), libpthread.so.0()(64bit), libresolv.so.2()(64bit), libstdc .so.6()(64bit) 以下のライブラリ パッケージがあらかじめインストールされていない場合に ControlMinder のインストールに失敗する問題を修正しました: libcrypt.so.1()(64bit)、libc.so.6()(64bit)、libdl.so.2()(64bit)、libgcc_s.so.1()(64bit)、libm.so.6()(64bit)、libnsl.so.1()(64bit)、libpam.so.0()(64bit)、libpthread.so.0()(64bit)、libresolv.so.2()(64bit)、libstdc .so.6()(64bit) AC126SP20503 LINUX all The problem occurs because installation fails when one of these libraries is missing. この問題は、これらのライブラリの 1 つが見つからない場合にインストールが失敗するために発生します。                
118 3 Windows Endpoint User Mode, UNIX Endpoint User Mode Fixes an issue with ControlMinder where the following polcyfetcher error occurs: Error, failed to fetch policy status for HNODE "nodename". 以下の polcyfetcher エラーが発生する問題を修正しました: Error, failed to fetch policy status for HNODE "nodename" AC126SP20504 Windows all, UNIX all If no policies exist for the node(endpoint) then we return null and print the error message (Error, failed to fetch policy status for HNODE "nodename"). The error message will not read as: "No policies exist for this node as of now".   ノード(エンドポイント)にポリシーが存在しない場合、NULL が返されてエラー メッセージ(Error, failed to fetch policy status for HNODE "nodename")が出力されます。このエラー メッセージは "No policies exist for this node as of now" である必要があります。         1. Install endpoint pointing to ENTM Server
2. Before deploying any policies from DMS to endpoint observe below error message in policyfetcher.log (it exists under <EACInstallDir>/log).
"Error, failed to fetch policy status for HNODE "nodename"".
1. ENTM Server をポイントするエンドポイントをインストールします。
2. DMS からエンドポイントにポリシーをデプロイする前に、 policyfetcher.log (<EACInstallDir>/log にあります)に以下のエラー メッセージが表示されます。
"Error, failed to fetch policy status for HNODE "nodename"".
1764 T4A5071
119 3 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where intermittent authorization deny, while DB rules allow. DB ルールで許可されているにも関わらず、断続的な拒否が発生する問題を修正しました。 AC126SP20511 UNIX all The problem occurs because of incorrect reference counting. The source of wrong counting was not disovered, because it requires kernel debugging. この問題は、参照カウントが誤っているために発生します。カーネルのデバッグが必要になるため、誤ったカウントのソースは特定されていません。     This package counts really referencing processes before deleting ACEE entry. Also fork synchronization is changed to prevent exiting process before it is registered in process table. このパッケージは、ACEE エントリの削除前に実際の参照プロセスをカウントします。プロセス テーブルに登録される前にプロセスが終了しないように fork 同期も変更されました。     1758 T3DB153, T3DB144
120 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where changing the password using "segracex -user <user-name>" returns an error message. "segracex -user <user-name>" を使用してパスワードを変更するとエラー メッセージが返される問題を修正しました。 AC126SP20512 UNIX all The buffer size for error message is too small. エラー メッセージのバッファ サイズが小さすぎます。 segracex fails to change remote database segracex がリモート データベースの変更に失敗する     0. Preparation
install AC 12.6 SP1 on RHEL that can login by GDM.

start AC
# selang
AC> env pmd
AC(pmd)> createpmd PMDB admin(root) desktop(<your box>)
AC(pmd)> env config
AC(config)> er config seos.ini section(seos) token(passwd_pmd) value(PMDB@<your box>)
AC(config)> er config seos.ini section(seos) token(parent_pmd) value(PMDB@<your box>)
AC(config)> !sepmd -s PMDB <your box>
AC(config)> env AC

AC> hosts PMDB@
AC> nu pmdusr20 password(password) ### create pmdusr20 in PMDB ###
AC> hosts localhost
AC> su pmdusr20 ### confirm pmdusr20 is propagated to your box ###
AC> exit
#

1. login your box from GDM (console GUI) with root user
2. start "Terminal" and enter as follows
# date
# segracex -user pmdusr20
Then segracex window is displayed.
Enter old password for pmdusr20
Enter new password for pmdusr20
Re-enter new password for pmdusr20
expected result: Popup displays
ERROR: Login procedure failed
ERROR: Password on target does not match client's password
actual result: Then, following error message is displayed on screeen
"Error: XtCreatePopupShell requires non-NULL parent
0. 準備
GDM でログインできる RHEL 上に AC 12.6 SP1 をインストールします。

AC を開始します。
# selang
AC> env pmd
AC(pmd)> createpmd PMDB admin(root) desktop(<your box>)
AC(pmd)> env config
AC(config)> er config seos.ini section(seos) token(passwd_pmd) value(PMDB@<your box>)
AC(config)> er config seos.ini section(seos) token(parent_pmd) value(PMDB@<your box>)
AC(config)> !sepmd -s PMDB <your box>
AC(config)> env AC

AC> hosts PMDB@
AC> nu pmdusr20 password(password) ### create pmdusr20 in PMDB ###
AC> hosts localhost
AC> su pmdusr20 ### confirm pmdusr20 is propagated to your box ###
AC> exit
#

1. root ユーザで GDM (コンソール GUI)からマシンにログインします。
2. "Terminal" を起動して、以下を入力します。
# date
# segracex -user pmdusr20
segracex ウィンドウが表示されます。
pmdusr20 の古いパスワードを入力します。
pmdusr20 の新しいパスワードを入力します。
pmdusr20 の新しいパスワードを再入力します。

正しい結果: 以下のポップアップが表示されます。
エラー: ログインできませんでした。
エラー: ターゲットのパスワードがクライアントのパスワードと一致しません。
実際の結果: 以下のエラー メッセージが表示されます。
"Error: XtCreatePopupShell requires non-NULL parent"
   
121 3 UNAB Fixes an issue with ControlMinder where LDAP asserts when uxpreinstall -force Utility is run. uxpreinstall -force ユーティリティを実行すると LDAP がアサートされる問題を修正しました。 AC126SP20517 UNIX all When uxpreinstall was executed in forced mode, it reached an area of code in uxpreinstall that normally it would not reach as by that time it would not have LDAP connections to continue with (normally, it would exit with an error message pior to that place). Forcing it to continue under such conditions required small code modificatios (implemented in this fix) to prevent calling LDAP functions since they would cause asserttion. uxpreinstall が強制モードで実行されると、uxpreinstall 内のあるコード領域に到達します。通常は、その時点までに続行する LDAP 接続がないため、その領域に到達することはありません(通常、その領域に到達する前にエラー メッセージが表示されて終了します)。そのような状態で強制的に続行するには、コードをわずかに修正して(この修正で実装されました)、アサーションの原因となる LDAP 関数が呼び出されないようにする必要があります。                
122 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where sepmdpull prints garbled messages to syslog on MB system. sepmdpull が MB システムの syslog に文字化けしたメッセージを出力する問題を修正しました。 AC126SP20521 UNIX all Error printed in unicode. エラーが Unicode で出力されていました。 MB system MB システム     1. install AC on Japanese(MB) system
2. set pmd@<localhost> to token parent_pmd
3. leave AC stopped
4. make sure syslog.conf is configured to print info level message
5. run ./lbin/sepmdpull
6. check syslog
expected result: The following messages in Japanese is not garbled
ERROR: Failed to get user identity from CA Access Control
CA Access Control is not running
1. 日本語の(MB)システムに AC をインストールします。
2. トークン parent_pmd に pmd@<localhost> を設定します。
3. AC は停止したままにしておきます。
4. syslog.conf で情報レベルのメッセージが出力されるように設定されていることを確認します。
5. ./lbin/sepmdpull を実行します。
6. syslog を確認します。
正しい結果: 以下の日本語メッセージが文字化けしないで表示されます。
エラー: CA Access Control からのユーザ ID の取得に失敗しました。
CA Access Control が起動していません。
   
123 3 Windows Endpoint User Mode Fixes an issue with ControlMinder where the Active Directory fails to enumerate the Users. Active Directory がユーザの列挙に失敗する問題を修正しました。 AC126SP20526 Windows all The seos Agent tries to bind to the Active Directory with the Domain controller name. seos エージェントはドメイン コントローラ名を使用して Active Directory とのバインドを試行します。     Fix code to bind to the Active Directory with the domain name instead of the Domain controller ドメイン コントローラではなくドメイン名を使用して Active Directory にバインドするようにコードが修正されました。     594 T5P7226
124 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where sesu fails after restarting sshd and a new login. sshd を再起動して新規ログイン時に sesu が失敗する問題を修正しました。 AC126SP20527 UNIX all The sshd daemon started from script propagating flag "trusted_script" to all child processes. sshd デーモンがスクリプトから起動すると、"trusted_script" フラグがすべての子プロセスに伝播します。 sshd restart sshd の再起動 Clean process flag "trusted_script" upon login. プロセス フラグ "trusted_script" をログイン時に消去します。 Start AC
stop sshd
start ssh using /etc/init.d/sshd
AC を開始します。
sshd を停止します。
/etc/init.d/sshd を使用して ssh を開始します。  
1817 T3DB145
125 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where seosd enters service maintenance mode when svcadm is disabled. svcadm が無効である場合に seosd がサービス メンテナンス モードに入る問題を修正しました。 AC126SP20530 Solaris Sparc script "/lib/svc/method/security-ca_ac" line CONTRACT_OF_SEOSD=`/bin/svcs -vH seosd | awk '%7Bprint $4%7D'` returned "1178459svc:/security/seosd:default" スクリプト "/lib/svc/method/security-ca_ac" の行、CONTRACT_OF_SEOSD=`/bin/svcs -vH seosd | awk '%7Bprint $4%7D'` が "1178459svc:/security/seosd:default" を返しました。 SMF services in use SMF サービスを使用 Use command "/bin/svcs -Ho CTID seosd" to obtain contract コマンド "/bin/svcs -Ho CTID seosd" を使用してコントラクトを取得します        
126 1 UNIX Endpoint User Mode Fixes an issue with ControlMinder where a problem occurs when using sesu/su - (without user implied root) in SUDO data. SUDO データで sesu/su - (ユーザの暗黙の root なし)を使用したときに発生する問題を修正しました。 AC126SP20539 UNIX all The problem occurs because of incorrect code. この問題はコードの誤りによって発生します。             1747 TC61258 (HPUX IA64), TC61291 (AIX), TC61292 (Solaris Sparc), TC61293 (Linux X86), TC61294 (HPUX PA-RISC), TC61295 (Solaris X86), TC61296 (Linux X64), TC61259 (HPUX IA64), TC61260 (AIX), TC61261 (HPUX PA-RISC), TC61262 (Linux X64), TC61263 (Solaris Sparc), TC61297 (Solaris X86), TC61298 (Linux X86)
127 3 UNAB Fixes an issue with ControlMinder where memory leaks occur on UNAB pam module while handling local users. ローカル ユーザの処理中に UNAB pam モジュールでメモリ リークが発生する問題を修正しました。 AC126SP20546 UNIX all                 41 TC61341
128 2 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where installation on AIX causes the system to panic. AIX でのインストールでシステム パニックが発生する問題を修正しました。 AC126SP20571 AIX The problem occurs when unloading the kernel module. この問題は、カーネル モジュールのアンロード時に発生します。     Correct the unpin calls in fini_module(). fini_module() 内の unpin コールを修正します。     1818 T3E7157
129 3 Unix Endpoint Kernel Mode Fixes an issue with ControlMinder where updating times on files is not protected on AIX 6.1 TL07+. AIX 6.1 TL07+ 上でファイルの時間更新が保護されない問題を修正しました。 AC126SP20580 AIX The problem occurs because a new syscall utimes64() was introduced. この問題は、新しいシステム コール utimes64() が導入されたために発生します。 AIX 6.1 TL07 AIX 6.1 TL07 Interception of utimes64() added. utimes64() のインターセプトが追加されました。 Create a file rule for an existing file using selang:
selang> nf /tmp/testfile owner(nobody) defacc(none)
# touch /tmp/testfile
Prior to this package on AIX 6.1 TL07+, the file times will be updated.
selang を使用して、既存ファイルのファイル ルールを作成します。
selang> nf /tmp/testfile owner(nobody) defacc(none)
# touch /tmp/testfile
このパッケージを AIX 6.1 TL07+ に導入する前であれば、ファイルの時間が更新されます。
1822 T47D036
130 3 UNIX Endpoint User Mode Fixes an issue with ControlMinder where LOGIN records are missing in the audit log. 監査ログに LOGIN レコードが見つからない問題を修正しました。 AC126SP20584 UNIX all The problem occurs because of specific DB settings. この問題は、特定の DB 設定により発生します。         1. create ADMIN user and join it to group
AC> nu test admin
AC> ng sysadmin owner(root)
AC> join test group(sysadmin)
2. create local host terminal and join it to GTERMINAL
AC> nr terminal localhost.<domain> owner(root) defaccess(r)
AC> nr GTERMINAL root-not-allowed owner(secadmin)
AC> er gterminal root-not-allowed mem+(localhost.<domain>)
3. Authorize GTERMINAL for GROUP
AC> auth gterminal root-not-allowed gid(sysadmin) access(a)
4. login test user
# ssh 0 -l test
5. Check login records in audit
# seadit -a
EXECT: <DATE> P LOGIN test 59 2 localhost SSH
1. ADMIN ユーザを作成して、グループに追加します。
AC> nu test admin
AC> ng sysadmin owner(root)
AC> join test group(sysadmin)
2. ローカル ホスト端末を作成して、GTERMINAL に追加します。
AC> nr terminal localhost.<domain> owner(root) defaccess(r)
AC> nr GTERMINAL root-not-allowed owner(secadmin)
AC> er gterminal root-not-allowed mem+(localhost.<domain>)
3. GTERMINAL をグループに許可します。
AC> auth gterminal root-not-allowed gid(sysadmin) access(a)
4. test ユーザでログインします。
# ssh 0 -l test
5. 監査ログのログイン記録を確認します。
# seaudit -a
正しい結果: <DATE> P LOGIN test 59 2 localhost SSH
1819 T3DB148 (32-bit), T3DB149(64-bit)
131 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where specialpgm processes lose their permissions after restarting seosd. seosd の再起動後に specialpgm プロセスが権限を失う問題を修正しました。 AC126SP20590 UNIX all 1) ProcServer_set_special() is not called for processes running under root and having legal parent 2) in aceemgr_DeAssociateProcWithHandle() the ACEE counter is decremented twice - first time in AC_ProcSetACEE (pid, (-1), (-1)) and second time in aceemgr_DelUserAcee(). 3) On seosd stratup the ACEE counter is incremented twice - first time in the 1st loop through processes and second time in the 2nd loop through processes. Between 1st and 2nd loops the proc table is released but ACEE counters remains untouched. 1) root 下で実行されており正当な親を持つプロセスに対して ProcServer_set_special() がコールされていません。
2) aceemgr_DeAssociateProcWithHandle() 内で、ACEE カウンタが 2 回デクリメントされます。最初は AC_ProcSetACEE (pid, (-1), (-1)) で、次は aceemgr_DelUserAcee() です。
3) seosd のスタートアップ時に ACEE カウンタが 2 回インクリメントされます。最初はプロセスの 1 回目のループで、次はプロセスの 2 回目のループです。1 回目と 2 回目のループの間に proc テーブルが解放されますが、ACEE カウンタはそのままになります。
seosd restart seosd の再起動     1) protect file
nr file /work/pop1 audit(a) owner(nobody) defaccess(none)
2) create new seos user
nu upop owner(nobody)
3) create surrogate specialpgm
nr specialpgm /work/loopread pgmtype(surrogate) unixuid(*) seosuid(upop)
4) authorize access to the file for new user
authorize file /work/pop1 uid(upop)
5) run special pgm that accesses the protected file
/work/loopread /work/pop1
6) restart seosd
1) ファイルを保護します。
nr file /work/pop1 audit(a) owner(nobody) defaccess(none)
2) 新規 seos ユーザを作成します。
nu upop owner(nobody)
3) surrogate specialpgm を作成します。
nr specialpgm /work/loopread pgmtype(surrogate) unixuid(*) seosuid(upop)
4) 新規ユーザのファイルへのアクセス権限を付与します。
authorize file /work/pop1 uid(upop)
5) 保護されたファイルにアクセスする specialpgm を実行します。
/work/loopread /work/pop1
6) seosd を再起動します。
1823 TC61348
132 1 UNIX Endpoint User Mode Fixes an issue with ControlMinder where bypass_suid_program token is not detected in surrogate to root. ルートの代理で bypass_suid_program トークンが検出されない問題を修正しました。 AC126SP20594 UNIX all The problem occurs because of incorrect code. この問題はコードの誤りによって発生します。             1820 TC61346
133 2 Windows Endpoint User Mode Fixes an issue with ControlMinder on Windows where IIS process crashes when trying to implement database integration with OLEDB connection against Oracle database OLEDB 接続を使用して Oracle データベースとのデータベース統合を実装しようとすると IIS プロセスがクラッシュするという Windows 上の ControlMinder の問題を修正しました。 AC126SP20275 Windows all The problem was caused because of bad memory access within our OLEDBPLg instrumentqation process which is loaded by w3wp.exe IIS process. この問題は、w3wp.exe IIS プロセスによってロードされる OLEDBPLg インストルメンテーション プロセス内の不正なメモリ アクセスによって発生します。 A. Install Oracle on <Oracle-Machine-Name>
B. Create Windows EP environment on <Windows-CMEP>
a. Create an IIS environment with the following:
i . A web page connecting to an Oracle database using ‘Microsoft OLE DB Provider for Oracle’. Use the following connection string: “Provider=MSDAORA;Data Source=<Oracle-Machine-Name>;User ID=<Oracle-Account>;Password=<Oracle-Password<;Min Pool Size=10;Max Pool Size=100;"
ii. Verify data within the Oracle database could be accessed.
b. Install CM endpoint with PUPM Integration enabled.
C. Create ENTM environment:
a. Define the Oracle database as a PUPM endpoint.
b. Define the <Oracle-Account> as privileged account.
c. Define a Password Consumer of Database type where:
i . Application path could be ‘*’
ii . The <Oracle-Account > should be defined in the Privileged Accounts tab.
iii. The <Windows-CMEP> should be defined in the Hosts tab (or all Hosts)
iv . All native users should be defined in the Users tab.
D. Within the IIS web page change the password inside the connection string to ‘******’.
E. Check that the data within the database could still be access.
Observed: IIS (w3wp.exe process) crashes.
A. <Oracle-Machine-Name> 上に Oracle をインストールします。
B. <Windows-CMEP> 上に Windows EP 環境を作成します。
a. 以下の手順で IIS 環境を作成します。
i. ‘Microsoft OLE DB Provider for Oracle’を使用して、Web ページから Oracle データベースに接続します。以下の接続文字列を使用します: “Provider=MSDAORA;Data Source=<Oracle-Machine-Name>;User ID=<Oracle-Account>;Password=<Oracle-Password<;Min Pool Size=10;Max Pool Size=100;"
ii. Oracle データベース内のデータにアクセスできることを確認します。
b. PUPM 統合を有効にして CM エンドポイントをインストールします。
C. ENTM 環境を作成します。
a. Oracle データベースを PUPM エンドポイントとして定義します。
b. <Oracle-Account> を特権アカウントとして定義します。
c. データベース タイプのパスワード コンシューマを定義します。
i. アプリケーション パスは ‘*’ にできます。
ii. [特権アカウント]タブで <Oracle-Account> を定義します。
iii. [ホスト]タブ(または[すべてのホスト])で <Windows-CMEP> を定義します。
iv. [ユーザ]タブで、すべてのネイティブ ユーザを定義します。
D. IIS Web ページで、接続文字列内のパスワードを '******' に変更します。
E. データベース内のデータに引き続きアクセスできることを確認します。
結果: IIS (w3wp.exe プロセス) がクラッシュします。
           
134 2 UNIX Endpoint User Mode Fixes an issue with ControlMinder where displaying large number of audit records in the   Deployment Audit screen took several minutes to complete. [デプロイメント監査]画面に多数の監査レコードを表示すると完了まで数分間かかる問題を修正しました。 AC126SP20318 UNIX all         New filter "Last Update Time" was added in Deployment Audit view [デプロイメント監査]ビューに、新しいフィルタ「最終更新時間」が追加されました。       98 T5P0093

Chat with CA

Just give us some brief information and we'll connect you to the right CA Expert.

Our hours of availability are 8AM - 5PM CST.

All Fields Required

connecting

We're matching your request.

Unfortunately, we can't connect you to an agent. If you are not automatically redirected please click here.

  • {{message.agentProfile.name}} will be helping you today.

    View Profile


  • Transfered to {{message.agentProfile.name}}

    {{message.agentProfile.name}} joined the conversation

    {{message.agentProfile.name}} left the conversation

  • Your chat with {{$storage.chatSession.messages[$index - 1].agentProfile.name}} has ended.
    Thank you for your interest in CA.


    How Did We Do?
    Let us know how we did so that we can maintain a quality experience.

    Take Our Survey >

    Rate Your Chat Experience.

    {{chat.statusMsg}}

agent is typing