Change Download Preference


{{errorInSavingPref}}
Current Preference
{{dwnldPreference}}
Change Preference to:

CA ControlMinder r12.6-SP1 FIXLIST - Japanese


No. Severity Module Problem summary 事象内容 Package OS Cause of the problem 根本原因 Conditions 発生条件 Solution or workaround 解決策または回避策 Reproduction steps 再現手順 PID TestFix
        日本語訳       日本語訳   日本語訳   日本語訳   日本語訳    
1 3 Unix endpoint user mode Fixes an issue with Access Control where Audit routing fails when trying to send from 64-bit system to 32-bit collector and encryption mode is "eTrust". 64 ビット システムから 32 ビット コレクタに送信する際に、暗号化モードが
"eTrust"
であると監査ルーティングが失敗する問題を修正しました。
AC126SP10010 UNIX ALL The selogrd obtains and uses an incorrect key for encryption. The encryption function key length value on 32-bit saves as 4 bytes, and on 64-bit saves as 8 bytes. selogrd が誤った暗号化キーを取得して使用しています。 暗号化機能のキー長は、32 ビットでは 4 バイトで保存され、64 ビットでは 8 バイトで保存されます。 When encryption equals eTrust 暗号化モードが eTrust である場合 The solution is to save key length as "unsigned int" which is 4 bytes on both 32-bit and 64-bit systems. 32 ビット および 64 ビットのどちらのシステムでも 4 バイトである、"unsigned int" でキー長を保存します。 1. Choose 32-bit collector (Solaris, AIX) and 64-bit emitter machine (Linux x86_64).
2. Set UseEncryption = eTrust (in seos.ini) both collector and emitter.
3. Run both collector and emitter command "sechkey -k ^=some_key=^".
4. Start selogrcd (collector).
5. Start "selogrd -d" (emitter) ==^ RPC error 11
1. 32 ビット コレクタ(Solaris、AIX)および 64 ビット エミッタ マシン(Linux x86_64)を選択します。
2. コレクタおよびエミッタ両方の seos.ini 内で、UseEncryption = eTrust に設定します。
3. コレクタおよびエミッタ両方で以下のコマンドを実行します。
sechkey -k <some_key>
4. selogrcd を開始します(コレクタ)。
5. selogrd -d を開始します(エミッタ) => RPC error 11
1672 T3DB088
2 3 UNAB Fixes an issue where a regression bug was introduced into uxconsole uxconsole でバグが再発した問題を修正しました。 AC126SP10012 UNIX ALL     N/A 該当なし pass the right parameter while calling the uxauth_krb5_preauth API so that the domain part of an account name is not truncated uxauth_krb5_preauth API を呼び出す際に正しいパラメータ渡すことで、アカウント名のドメイン部分が切り捨てられないようにします。 register with verbosity level 3 with an RFC-822-style account name and check the principal that is used. It should be a principal matching the account. Note: currently, following Unix conventions, user account is treated opaquely and no conversion is applied to it, i.e., it has to follow internally-imposed Kerberos conventions where the part after the @ sign is expected to be in uppercase. RFC-822 形式のアカウント名を詳細レベル 3 で登録し、使用されるプリンシパルを確認します。 アカウントに一致するプリンシパルである必要があります。
注: 現在は、UNIX の規則に従ってユーザ アカウントが不透明に処理され、変換は適用されません。つまり、@ 記号以降の部分が大文字であることが想定されている、内部規定の Kerberos 規則に従う必要があります。
   
3 1 Unix endpoint kernel mode  Fixes an issue with Access Control where the entry value in the file descriptor table increases. ファイル記述子テーブル内のエントリ値が増加する問題を修正しました。 AC126SP10024 HPUX IA64                 1612 TC61133 (IA64 ), TC61134 (PA-RISC)
4 1 Unix endpoint kernel mode Fixes an issue with Access Control where some folders or files that were not allowed for certain users, are allowed, and some folders or files that were allowed are denied. 一部のフォルダおよびファイルで、アクセスが許可されていないユーザのアクセスが許可され、許可されているユーザのアクセスが拒否される問題を修正しました。 AC126SP10035 HPUX IA64 AC randomly denies access to certain files to the user used by the SAS  AC では、SAS によって使用されている一部のファイルへのユーザのアクセスがランダムに拒否されます  N/A 該当なし N/A 該当なし N/A 該当なし 1729 TC61240
5 1 ENTM Fixes an issue with Access Control where it takes 8 minutes to receive results from the deployment audit. デプロイメント監査の結果を受信するのに 8 分間かかる問題を修正しました。 AC126SP10048 ALL         Improve deployment audit performance where deployments (>10000) and gdeployments (>3000) by changing the way we retrieve the data from the DMS, fix a null pointer exception that happens when there are more than 100 deployments. Add missing types (AutoAssign/delete hnode/ delete ghnode), show the On Behalf Of user in the Updator field and Load deployment errors on demand (only when opening the result records). DMS からのデータ取得方法を変更することで、deployments(>10000)および gdeployments (>3000)の場合のデプロイメント監査のパフォーマンスを改善し、デプロイメントが 100 より多い場合に発生する NULL ポインタ例外を修正。 必要なタイプ(自動割り当て/Hnode 削除/Ghnode 削除)を追加し、[Updator]フィールドで代理ユーザを表示し、デプロイメント エラーを必要に応じて表示(結果レコードを開くときのみ)。     84 T5P0074
6 3 ENTM PUPM reports retrieved from the ENTM console are now updated with history data.
The reports are:
1.Privilleged Accounts Request by Approver
2.Privilleged Accounts Request by Endpoint
3.Privilleged Accounts Request by Requestor
ENTM コンソールから取得した PUPM レポートが履歴データで更新されるようになりました。
レポートは以下のとおりです。
1. 承認者による特権アカウント リクエスト
2. エンドポイントによる特権アカウント リクエスト
3. 要求者による特権アカウント リクエスト
AC126SP10055 ALL             Steps to replicate the problem with the scenario:
Case A:
- A user requests for Privileged Account request for say 30 minutes
- The Approver approves the request for 30 minutes
Capture the snapshot before the expiry of 30 minutes of request
Generate the Report and display the report, the report contains the
Approver Details
------------------
Case B:
- A user requests for Privileged Account request for say 30 minutes
- The Approver approves the request for 30 minutes
Capture the snapshot say 10 to 15 minutes after the expiry of the requested
time frame of 30 minutes
- Request raised at 9:00 AM for 30 minutes
- Approved at 9:00 AM
- Snapshot captured at 9:45 AM
Generate the report and display the report, the report is blank
以下のシナリオの問題の再現手順
ケース A:
- ユーザが、たとえば 30 分間の特権アカウントをリクエスト
- 承認者が、30 分間のリクエストを承認
リクエストされた 30 分間の有効期限が切れる前にスナップショットをキャプチャ
レポートを生成して表示すると、レポートには承認者の詳細が含まれています
 
------------------
ケース B:
- ユーザが、たとえば 30 分間の特権アカウントをリクエスト
- 承認者が、30 分間のリクエストを承認
リクエストされた 30 分間の有効期限が切れてから、たとえば10 分から 15 分後にスナップショットをキャプチャ
 
- 午前 9:00 に 30 分間のリクエストを作成
- 午前 9:00 に承認
- 午前 9:45 にスナップショットをキャプチャ
レポートを生成して表示すると、レポートが空白になっています
86 T5P0075
7 3 Windows endpoint user mode Fixes an issue with Access Control when max_len is set 0 customer is not allowed when password rule exist in DB. DB にパスワード ルールが存在する場合、max_len に 0 を設定できない問題を修正しました。 AC126SP10073 WINDOWS ALL max_len 0 is not allowed max_len を 0 に設定することが許可されていません set 0 to max_len password rule exist in db max_len に 0 を設定することを許可しないパスワード ルールが DB に存在する N/A 該当なし 1.first command is successful -=^ this is ok. AC=^ eg profgrp password(rules( min_len(6) max_len(0))) 2.second command give the error -=^ this should be successful AC=^ eg profgrp password(rules( min_len(6) max_len(0))) AC=^ eg profgrp password(rules( max_len(0) min_len(6))) AC=^ eg profgrp password(rules( max_len(0))) AC=^ eg profgrp password(rules( min_len(6))) ERROR: Password minimum length cannot be greater than maximum length 1. 最初のコマンドは成功します -=^ これで OK です。
AC=^ eg profgrp password(rules( min_len(6) max_len(0)))
2. 次のコマンドはエラーになります -=^ これらが成功する必要があります
AC=^ eg profgrp password(rules( min_len(6) max_len(0))) AC=^ eg profgrp password(rules( max_len(0) min_len(6))) AC=^ eg profgrp password(rules( max_len(0))) AC=^ eg profgrp password(rules( min_len(6)))
エラー:  パスワードの最小文字数は最大文字数より大きくすることはできません。
   
8 2 Unix endpoint user mode Fixes an issue where wrong program in FILE audit for programs were executed from scripts within trusted scripts  trusted スクリプトから実行したプログラムの FILE 監査で不正なプログラムが記録される問題を修正しました  AC126SP10090 UNIX ALL                    
9 2 ENTM Fixes an issue with Access Control where User DN is too large to be stored in the PRIVILEGED_ACC_EXCEPTION table. ユーザ DN が大きすぎて PRIVILEGED_ACC_EXCEPTION テーブルに格納できない問題を修正しました。 AC126SP10094 ALL User DN is too large to be stored in the PRIVILEGED_ACC_EXCEPTION table. ユーザ DN が大きすぎるため、PRIVILEGED_ACC_EXCEPTION テーブルに格納できません。     Enlarge APPROVER_ID column in PRIVILEGED_ACC_EXCEPTION table PRIVILEGED_ACC_EXCEPTION テーブルの APPROVER_ID カラムを拡大します。 User store AD Try to approve privileged account request by user which as more that 80 characters in his DN The update to PRIVILEGED_ACC_EXCEPTION table used to fail User store AD DN が 80 文字以上あるユーザで特権アカウント リクエストを承認します PRIVILEGED_ACC_EXCEPTION テーブルのアップデートが失敗します    
10 2 Unix endpoint kernel mode Fixes an issue with Access Control where FILE protection does not work. FILE 保護が機能しない問題を修正しました。 AC126SP10104 AIX AIX 5.3 OS TL 12 uses "kopen" not intercepted by AC AIX 5.3 OS TL 12 は、AC がインターセプトしない "kopen" を使用します Technology Level (TL) 12 テクノロジー レベル(TL) 12 new SEOS_syscall module, OSMIC=b for Technology Level (TL) 12 新規 SEOS_syscall モジュール、テクノロジー レベル(TL) 12 では OSMIC=b AC=^ ef ^=test_file_path=^ defaccess(n) owner(nobody) # cat ^=test_file_path=^ ==^ result success, there is not FILE in trace and no audit records AC=^ ef ^=test_file_path=^ defaccess(n) owner(nobody) # cat ^=test_file_path=^
==^ 正常終了しますが、FILE がトレースされておらず、監査レコードがありません
   
11 2 Unix endpoint user mode Fixes an issue where the process 'agent' is displayed only when 'issec' is executed. issec' が実行された場合に限り、'agent' プロセスが表示される問題を修正しました。 AC126SP10112 UNIX ALL                 1681 TC61201 (HP)
TC61202 (SUNOS)
12 3 Unix endpoint user mode Fixes an issue with Access Control where policy deployment fails on Solaris if the policy name is Japanese(DBCS). ポリシー名が日本語の場合、Solaris 上でポリシーのデプロイが失敗する問題を修正しました(DBCS)。 AC126SP10113 SUN SOLARIS Local data on unix is handled in multibyte which is mismatch with remote(windows) data in UTF8. ローカル データは UNIX ではマルチバイトで処理されるため、UTF8 のリモート データローカルデータとの不一致が発生します。 Enterprise management - windows Endpoint - Unix EUC/SJIS system エンタープライズ管理 - Windows エンドポイント - Unix EUC/SJIS システム No なし 1. Create the Japanese name policy via ENTM WebUI. (Policy Management -=^ Policy -=^ Create Policy) 2. Assign this policy to the Solaris end point. (Policy Management -=^ Policy -=^ Assignment -=^ Assign Policy) 3. Deploy it using policyfetcher. 4. It should fail, please check policyfetcher.log and audit.log. Seems the policy name is garbled. policyfetcher.log:(not garbled but ERROR) 16:38:33@Oct 14 2011 - ERROR: command "rmres POLICY (" #01") noexit" returned failures, rv = 10031 audit.log:(garbled) 14 Oct 2011 16:38:33 F UPDATE RULESET +policyfetcher 305 0 \\0x01A5? \0x022301 etr758-sol-1 rmres RULESET ("\\0x01A5? \0x022301") noexit 1. ENTM WebUI を使用して日本語名のポリシーを作成します。 ([ポリシー管理] -=^ [ポリシー] -=^ [ポリシーの作成])
2. このポリシーを Solaris エンドポイントに割り当てます。 ([ポリシー管理] -=^ [ポリシー] -=^ [割り当て] -=^ [ポリシーの割り当て])
3. policyfetcher を使用して、デプロイします。
4. エラーが発生します。policyfetcher.log と audit.log を確認してください。 ポリシー名が文字化けしています。 policyfetcher.log: (文字化けはないがエラー) 16:38:33@Oct 14 2011 - ERROR: command "rmres POLICY (" #01") noexit" returned failures, rv = 10031 audit.log:(文字化け) 14 Oct 2011 16:38:33 F UPDATE RULESET +policyfetcher 305 0 \\0x01A5? \0x022301 etr758-sol-1 rmres RULESET ("\\0x01A5? \0x022301") noexit
   
13 2 Windows endpoint user mode Fixes an issue with Access Control where user SYSTEM defined through ADMIN_USERS_LIST is removed by setup running in NT AUTHORITY\\SYSTEM context(Local System). NT AUTHORITY\\SYSTEM コンテキスト(ローカル システム)でセットアップを実行すると、ADMIN_USERS_LIST で定義した SYSTEM ユーザが削除される問題を修正しました。 AC126SP10116 WINDOWS ALL         Setup removes user SYSTEM from seosdb only if runs in context of regular user not as Local System. 「ローカル システム」アカウントではなく通常ユーザのコンテキストでセットアップを実行した場合にのみ、SYSTEM ユーザを seosdb から削除するようにしました。        
14 1 UNAB Fixes an issue with Access Control where uxconsole core dumps on user registration. ユーザ登録時に uxconsole でコア ダンプが発生する問題を修正しました。 AC126SP10118 UNIX ALL                 1649 T243828
15 3 Windows endpoint user mode Fixes an issue with Access Control where seosd terminated unexpectedly with more than 1000 TRACE entry in audit.cfg. audit.cfg のトレース エントリが 1000 を超えると seosd が突然終了する問題を修正しました。 AC126SP10131 WINDOWS ALL User trace fileter records exceed static array. ユーザ トレースのフィルタ レコード数が静的配列数を超えている。 audit.cfg has more than 1000 TRACE entry. audit.cfg に 1000 を超える TRACE エントリが存在する。 Reference Guide updated to note that maximum limit for the trace filter is 1000 records. Verify Reference Guide> Configuration Files> audit.cfg File Filter Audit Records> audit.cfg File Trace Messages On a User Events Filter Syntax  トレース フィルタの最大レコード数が 1000 レコードであることを「リファレンス ガイド」に記載しました。 「リファレンス ガイド」 > 「設定ファイル」 > 「audit.cfg ファイル - 監査レコードのフィルタ」> 「audit.cfg ファイル - ユーザ イベントのトレース メッセージ用フィルタ構文」  1. stop AC \=^ secons -s 2. add more than 1000 lines TRACE entry in audit.cfg I added following same 109 entries TRACE;*;*;*;*;*;*;* 3. start AC \=^ seosd -start 1. AC を停止 \=^ secons -s
2. audit.cfg に 1000 行を超えるトレース エントリを追加し、次の同じエントリを 109 エントリ追加: TRACE;*;*;*;*;*;*;*
3. AC を起動 \=^ seosd -start
   
16 2 ENTM Fixes an issue with Access Control where Privileged Account custom fields are not updated through PUPM Feeder. 特権アカウントのカスタム フィールドが PUPM フィーダで更新されない問題を修正しました。 AC126SP10133 ALL             Repro steps:
1. Launch EntM as admin user
2. Create a windows endpoint
3. Try to create a account for the same endpoint using feeder with custom
fields
 
Actual result:
1. Account got created w/o custom fields
2. CSV file moved to processed folder
3. Audit shows success
 
Expected Result:
Account should be created with custom fields
再現手順:
1. 管理者ユーザとして EntM を起動します
2. Windows エンドポイントを作成します
3. そのエンドポイントにカスタム フィールドを持つアカウントを作成します
 
 
実際の結果:
1. カスタム フィールドを持たないアカウントが作成されている
2. CSV ファイルは処理済みフォルダに移動している
3. 監査結果は成功を示している
 
期待される結果:
カスタム フィールドを持つアカウントが作成されている
90 T5P0079
17 3 ENTM Fixes an issue with Access Control where PUPM XML files in previous versions could not be overwritten due to same object name with different object ID. Consequently when importing the old BIAR on top of existing reports the import of these XML files has failed. オブジェクト名が同じだがオブジェクト ID が異なるために以前のバージョンの PUPM XML ファイルを上書きできない問題を修正しました。 これまでは、既存のレポート上に古い BIAR をインポートする際、これらの XML ファイルをインポートできませんでした。 AC126SP10153 ALL             Steps to replicate the problem with the scenario:
Case A:
- A user requests for Privileged Account request for say 30 minutes
- The Approver approves the request for 30 minutes
Capture the snapshot before the expiry of 30 minutes of request
Generate the Report and display the report, the report contains the
Approver Details
------------------
Case B:
- A user requests for Privileged Account request for say 30 minutes
- The Approver approves the request for 30 minutes
Capture the snapshot say 10 to 15 minutes after the expiry of the requested
time frame of 30 minutes
- Request raised at 9:00 AM for 30 minutes
- Approved at 9:00 AM
- Snapshot captured at 9:45 AM
Generate the report and display the report, the report is blank
以下のシナリオの問題の再現手順
ケース A:
- ユーザが、30 分間特権アカウントをリクエスト
- 承認者が、30 分間のリクエストを承認
リクエストされた 30 分間の有効期限が切れる前にスナップショットをキャプチャ
レポートを生成して表示すると、レポートには承認者の詳細が含まれています
 
------------------
ケース B:
- ユーザが、30 分間の特権アカウントをリクエスト
- 承認者が、30 分間のリクエストを承認
リクエストされた 30 分間の有効期限が切れてから、10 ~ 15 分後にスナップショットをキャプチャ
 
- 午前 9:00 に 30 分間のリクエストを作成
- 午前 9:00 に承認
- 午前 9:45 にスナップショットをキャプチャ
レポートを生成して表示すると、レポートが空白になっています
86 T5P0075
18 3 Unix endpoint user mode Fixes an issue with Access Control where PROGRAM/SECFILE untrusted even if the class is turned off. クラスがオフでも、PROGRAM/SECFILE が untrusted にされる問題を修正しました。 AC126SP10155 UNIX ALL watchdog doesn't check the CLASS is off when untrust/or audit the PROGRAM/SECFILE Watchdog は、PROGRAM/SECFILE を untrusted にする、または監査する際、CLASS がオフであるかどうかをチェックしません define PROGRAM/SECFILE resource disable class PROGRAM/SECFIL untrust the program/secfile PROGRAM/SECFILE リソースを定義
クラス PROGRAM/SECFIL を無効化
PROGRAM/SECFILE を untrusted にする
    AC=^nr program /usr/bin/more audit(all) defacc(x) AC=^so class-(PROGRAM) #touch /usr/bin/more I saw "U PROGRAM" event but I can run the more command. Currently, the more command is untrusted. So, please run the following commands. AC=^cr program /usr/bin/more trust #touch /usr/bin/more I think that you will see the same event. 01 Dec 2011 15:17:05 S UPDATE PROGRAM root 305 0 /usr/bin/more asoklb23 cr program /usr/bin/more trust 01 Dec 2011 15:18:11 O LOGOUT _seagent 49 2 01 Dec 2011 15:18:26 U PROGRAM seoswd 1 512 /usr/bin/more AC=^nr program /usr/bin/more audit(all) defacc(x)
AC=^so class-(PROGRAM)
#touch /usr/bin/more "U PROGRAM"
イベントが確認できますが、more コマンドを実行できます。
現在、more コマンドは untrusted になっています。
そのため、以下のコマンドを実行します。
AC=^cr program /usr/bin/more trust
#touch /usr/bin/more
同じイベントが確認できると思います。
01 Dec 2011 15:17:05 S UPDATE PROGRAM root 305 0
 /usr/bin/more asoklb23 cr program /usr/bin/more trust
01 Dec 2011 15:18:11 O LOGOUT _seagent 49 2
01 Dec 2011 15:18:26 U PROGRAM seoswd 1 512
/usr/bin/more
   
19 3 ENTM Fixes an issue with Access Control where it takes 8 minutes to receive results from the deployment audit. デプロイメント監査の結果を受信するのに 8 分間かかる問題を修正しました。 AC126SP10159 ALL         Improve deployment audit performance where deployments (>10000) and gdeployments (>3000) by changing the way we retrieve the data from the DMS, fix a null pointer exception that happens when there are more than 100 deployments. Add missing types (AutoAssign/delete hnode/ delete ghnode), show the On Behalf Of user in the Updator field and Load deployment errors on demand (only when opening the result records). DMS からのデータ取得方法を変更することで、deployments(>10000)および gdeployments (>3000)の場合のデプロイメント監査のパフォーマンスを改善し、デプロイメントが 100 より多い場合に発生する NULL ポインタ例外を修正。 必要なタイプ(自動割り当て/Hnode 削除/Ghnode 削除)を追加し、[Updator]フィールドで代理ユーザを表示し、デプロイメント エラーを必要に応じて表示(結果レコードを開くときのみ)。     84 T5P0074
20 3 Unix endpoint user mode Fixes an issue with Access Control where list too long message doesn't clearly indicate the list. リストが長すぎると、メッセージですべてが表示さない問題を修正しました。 AC126SP10165 UNIX ALL The printing command doesn't point to the list but to the end of the list 印刷コマンドがリストではなくリストの最後をポイントしている The join command include more than 40 users in one command. join コマンドで、1 つのコマンドに 40 を超えるユーザが含まれている。 Give less than 40 users to one command. 1 つのコマンドに含めるユーザを 40 ユーザ以下にします。 AC=^ nu t00 AC=^ nu t01 ... AC=^ nu t40 -=^ create 41 users AC=^ ng acgroups AC=^ join (t00 t01 t02 t03 t04 t05 t06 t07 ... t39 t40) group(acgroups) -=^ join 41 users to a group ERROR: Syntax error ERROR: ) group(acgroups) a value list may only contain up to 40 values -=^ error message doesn't clearly indicate the list AC=^ nu t00 AC=^ nu t01 ... AC=^ nu t40 -=^ 41 ユーザを作成 AC=^ ng acgroups AC=^ join (t00 t01 t02 t03 t04 t05 t06 t07 ... t39 t40) group(acgroups) -=^ 41 ユーザをグループに追加
エラー: 構文エラーです。
エラー: ) group(acgroups) 値リストには 40 までの値のみが含まれている可能性があります。-=^ エラー メッセージにリストがすべて表示されません
   
21 1 Unix endpoint kernel mode Fixes an issue with Access Control for a system crash on Solaris 10 race condition between unmount of NFS file system and AC kernel code during path resolving for a file in the same NFS file system. This race condition  NFS ファイル システムのアンマウントと、同じ NFS ファイル システム内のファイル パスを解決している AC カーネル コードとの間で競合が発生し、Soraris 10 がシステム クラッシュする問題を修正しました。 この競合状態は、64 プロセッサの MP マシンで発生します。 AC126SP10166 SUN SOLARIS                 1687 TC61204
22 3 Windows endpoint user mode Fixes an issue with Access Control where abnormal process class log is recorded. 異常な PROCESS クラス ログが記録される問題を修正しました。 AC126SP10170 WINDOWS ALL                 539 T5P7110
23 3 Windows endpoint user mode Fixes an issue with Access Control where PROGRAM/SECFILE untrusted even if the class is off. クラスがオフでも、PROGRAM/SECFILE が untrusted にされる問題を修正しました。 AC126SP10177 WINDOWS ALL The watchdog doesn't check if the CLASS is turned off when untrust/ or audit the PROGRAM/SECFILE Watchdog は、PROGRAM/SECFILE を untrusted にする、または監査する際、CLASS がオフであるかをチェックしません。 Define PROGRAM/SECFILE resource disable class PROGRAM/SECFIL untrust the program/secfile PROGRAM/SECFILE リソースを定義
クラス PROGRAM/SECFIL を無効化
PROGRAM/SECFILE を untrusted にする
    AC=^nr program /usr/bin/more audit(all) defacc(x) AC=^so class-(PROGRAM) #touch /usr/bin/more I saw "U PROGRAM" event but I can run the more command. Currently, the more command is untrusted. So, please run the following commands. AC=^cr program /usr/bin/more trust #touch /usr/bin/more I think that you will see the same event. 01 Dec 2011 15:17:05 S UPDATE PROGRAM root 305 0 /usr/bin/more asoklb23 cr program /usr/bin/more trust 01 Dec 2011 15:18:11 O LOGOUT _seagent 49 2 01 Dec 2011 15:18:26 U PROGRAM seoswd 1 512 /usr/bin/more AC=^nr program /usr/bin/more audit(all) defacc(x)
AC=^so class-(PROGRAM)
#touch /usr/bin/more "U PROGRAM"
イベントが確認できますが、more コマンドを実行できます。
現在、more コマンドは untrusted になっています。
そのため、以下のコマンドを実行してください。
AC=^cr program /usr/bin/more trust
#touch /usr/bin/more
同じイベントが確認できると思います。
01 Dec 2011 15:17:05 S UPDATE PROGRAM root 305 0
/usr/bin/more asoklb23 cr program /usr/bin/more trust
01 Dec 2011 15:18:11 O LOGOUT _seagent 49 2
01 Dec 2011 15:18:26 U PROGRAM seoswd 1 512
/usr/bin/more
   
24 2 Windows endpoint user mode Fixes an issue with Access Control installed on Windows 2003, where the Active Directory protected by Access Control generates audit reports with the wrong user name. Access Control が Windows 2003 にインストールされている場合、Access Control が保護する Active Directory に対して、ユーザ名が間違った監査レポートが生成される問題を修正しました。 AC126SP10179 Windows 2003 Absense of delegation thread token check 委任スレッドのトークン チェックが存在しない     Added missing check 不足していたチェックを追加しました     535 T5P7101 
25 2 Windows endpoint user mode Fixes an issue with Access Control where Blue Screen errors appeared in Windows 2003 R2 x64 servers. The dump files listed the faulting components as drveng.sys. Windows 2003 R2 x64 サーバでブルー スクリーン エラーが発生する問題を修正しました。 ダンプ ファイルには、問題のあるコンポーネントとして drveng.sys がリストされていました。 AC126SP10188 Windows 2003                 537 T5P7102
26 3 Win endpoint kernel mode Fixes an issue with Access Control where SURROGATE on "Run as administrator" is not audited. [管理者として実行]を選択して実行すると、SURROGATE が監査されない問題を修正しました。 AC126SP10203 Windows x86 The API GetModuleHandleW(secur32.dl) fails for "The specified module could not be found". Because of the initialization failure SURROGATE is not processed. 「指定されたモジュールが見つかりません。」というエラーにより API GetModuleHandleW (secur32.dl)が失敗します。 これは、初期化が失敗し SURROGATE が処理されないためです。 Win2008 R2 SURROGATE on CONSENT.EXE Win2008 R2 CONSENT.EXE の SURROGATE     1. set rules. so class+(SURROGATE) er SURROGATE USER._default audit(a) eu user001 password(123) 2. login by user001. 3. Right click any .exe file and select "Run as administrator". 4. There should be SURROGATE log but not in audit.log. [Findings] 1. "runas.exe" is OK in Win2008 R2. eg) runas /user:administrator cmd.exe 15 Jun 2011 01:01:15 P SURROGATE user001 Read 1059 3 USER.FUJTO05-VM11165\administrator C:\Windows\System32\runas.exe ETR755L1-WIN-1.ca.com 2. Both "runas.exe" and "consent.exe" are OK in case of Win2008 x86. 3. "consent.exe" is not added in the reg key in case upgrading from r12.5SP2. It is added in case of Win2008 x86. ^=ACROOT=^\Instrumentation\PlugIns\RunAsPlg\ApplyOnProcess ==^ Please investigate it as well. 1. ルールを設定します。
so class+(SURROGATE)
er SURROGATE USER._default audit(a)
eu user001 password(123)
2. user001 でログインします。
3. 任意の.exe ファイルを右クリックし、[管理者として実行]を選択します。
4. SURROGATE のログが audit.log に記録されていません。
[調査結果]
1. Win2008 R2 の場合、"runas.exe" は OK。
例) runas /user:administrator cmd.exe
15 Jun 2011 01:01:15 P SURROGATE user001 Read 1059 3
USER.FUJTO05-VM11165\administrator C:\Windows\System32\runas.exe
ETR755L1-WIN-1.ca.com
2. Win2008 x86 の場合、"runas.exe" と "consent.exe" の両方が OK。
3. r12.5SP2 からアップグレードした場合、"consent.exe" がレジストリ キーに追加されていません。 Win2008 x86 の場合は追加されています。
^=ACROOT=^\Instrumentation\PlugIns\RunAsPlg\ApplyOnProcess
==^ 同様に調査してください。
   
27 2 Windows endpoint user mode Fixes an issue where BSOD is caused by kernel mode stack depletion when running recurrent SPGM propagate check for newly created process 新規作成プロセスに SPGM 伝達チェックを繰り返し実行すると、カーネル モード スタック不足により BSOD が発生する問題を修正しました。 AC126SP10205 WINDOWS ALL         Adds safeguards to prevent stack depletion  スタック不足を防ぐ保護措置を追加         
28 2 Win endpoint kernel mode Fixes an issue where missing code to properly deny access all openprocess mask すべての OpenProcess マスクへのアクセスを適切に拒否するコードが存在していない問題を修正しました。 AC126SP10227 WINDOWS ALL Missing code to properly deny access all openprocess mask すべての OpenProcess マスクへのアクセスを適切に拒否するコードが存在しない     Fixed access masks アクセス マスクを修正しました Steps to reproduce:
1. Run task manager
2. Right click on seosd.exe process and choose crash dump option
Actual result: Seosd hang
Expected result: Should report deny of operation 
再現手順:
1. タスク マネージャを実行します。
2. seosd.exe プロセスを右クリックし、[クラッシュ ダンプ]オプションを選択します。
実際の結果: Seosd がハングアップする
期待される結果: 操作が拒否されることが報告される 
   
29 3 ENTM Fixes an issue where on the privilege account request screen in the Japanese environment, a message is shown both in English and Japanese. 日本語環境の[特権アカウント要求]画面内で、メッセージが英語と日本語の両方で表示される問題を修正しました。 AC126SP10230 ALL         Since this execution method is called from a new thread, the locale was not initialize, hence the default one (en) was loaded get the locale from task session and set it on Localizer for any message localization use. The locale kept in hash where the key is current running thread, need to clean the map from this entry by the end of the action この実行メソッドは新しいスレッドから呼び出されるため、ロケールが初期化されず、デフォルトのロケール (en) がロードされます。
ロケールをタスク セッションから取得し、ローカライズされたメッセージを使用するように、ローカライザに設定します。 ロケールはハッシュに格納されます。キーは現在実行中のスレッドです。アクションが終了する前にマップからこのエントリをクリアする必要があります。
System browser locale: jp 1. Discover privileged account 2. brows to the new account, the friendly name of the account was not localized システム ブラウザのロケール: jp
1. 特権アカウントを検出します。
2. その新規アカウントを参照すると、アカウントのフレンドリ名がローカライズされていません。
82 T5P0072
30 2 Win endpoint kernel mode Fixes an issue with access to freed memory. 解放されたメモリにアクセスしていた問題を修正しました。 AC126SP10233 WINDOWS ALL Access to freed memory 解放されたメモリにアクセスする AC stop AC stop Added additional memory verification checks. メモリの検証チェックを追加しました。        
31 1 Unix endpoint user mode Fixes an issue with Access Control where a deny for _default SURROGATE occurs when running SU from CRONJOB. CRONJOB から SU を実行すると、_default SURROGATE へのアクセスが拒否される問題を修正しました。 AC126SP10240 UNIX ALL                    
32 2 ENTM Fixes an issue where two events are reported for the same action Create Privileged Account Exception Not Started Event and Grant Privileged Account Request Event. 同一アクションについて、「特権アカウント要求イベントの作成(未開始)」と「特権アカウント リクエスト許可イベント」の 2 つのイベントが報告される問題を修正しました。 AC126SP10247 ALL         Remove audit report, Create Privileged Account Exception Not Started Event to ppm audit. 「特権アカウント要求イベントの作成(未開始)」レポートを PPM 監査から削除します。 1. Create privileged account request 2. Approve the request 3. Brows to PPM audit page there are two identical reported task events 1. 特権アカウント要求を作成します。
2. リクエストを承認します。
3. PPM 監査ページを参照すると、2 つのタスク イベントが報告されています。
82 T5P0072
33 3 ENTM Fixes an issue with Access Control when an exception occurs where an account cannot be found and the work item remains in working list. アカウントが見つからない例外が発生し、作業アイテムが作業リストに残ったままになる問題を修正しました。 AC126SP10248 ALL         Catch the exception, allow the process to complete and report a warning message Warning: [ApprovePrivilegedAccountRequest:imstask.label.task.ApprovePrivilegedAccountRequest.name] The ACCOUNT PASSWORD: name: "monawwar" on "ahmmo04-test" Accounts ("Windows Agentless") no longer exists Delete the object from monitor objects as well 例外を検出したら、プロセスを完了させて、警告メッセージをレポートさせます。
警告: [ApprovePrivilegedAccountRequest: imstask.label.task.ApprovePrivilegedAccountRequest.name] アカウント パスワード: 名前: "monawwar" : "ahmmo04-test" アカウント ("Windows エージェントレス") は存在していません。監視対象オブジェクトからも同様にオブジェクトを削除します。
1. Request the privileged account. (This account should not be an endpoint administrator) 2. Delete the privileged account by superadmin. Privileged Account -=^ Delete Privileged Account 3. Login by superadmin and you will see the above error when clicking the Work List, cannot approve nor reject the request any more.. 1. 特権アカウントをリクエストします。 (このアカウントは、エンドポイント管理者以外である必要があります)
2. この特権アカウントを superadmin アカウントを使用して削除します。 [特権アカウント] -=^ [特権アカウントの削除]
3. superadmin アカウントを使用してログインし、[ワーク リスト]をクリックすると、前述のエラーが確認されます。要求を承認または拒否はできません。
82 T5P0072
34 2 Windows endpoint user mode Fixes an issue with Access Control where the ReportAgent consumes too large amount of memory (more then 1GB). ReportAgent が消費するメモリ量が多すぎる(1 GB 超)問題を修正しました。 AC126SP10250 Windows all                 540 T5P7111
35 3 Windows endpoint user mode Fixes an issue with Access Control where "password last change" for the native user shows current time if password change never happen. パスワード変更が一度も行われていない場合、ネイティブ ユーザの[パスワードの最後の変更]に現在時刻が表示される問題を修正しました。 AC126SP10253 L The password_age is 0, so password change never happens so cur_time - password_age = cur_time. パスワード変更が一度も行われていないため、password_age は 0 となり、cur_time - password_age = cur_time となります。 Password change never happens パスワード変更が一度も行われていない N/A 該当なし 1.create a native user 2.AC=^ su testuser nt if you repeat step 2 "password last change" shows current time 1. ネイティブ ユーザを作成
2. AC=^ su testuser nt
手順 2 を繰り返すと、[パスワードの最後の変更]に現在時刻が表示されます。
   
36 3 Unix endpoint user mode Fixes an issue with Access Control where some PMDB rules are added after upgrading from r12.5SP5 to r12.6. r12.5SP5 から r12.6 にアップグレードすると PMDB ルールがいくつか追加される問題を修正しました。 AC126SP10265 UNIX ALL The dbmgr is being used for creation of pmdb on upgrade whereas the creapmd is generally used. The dbmgr creates some predefined endpoint policies which are not created by creapmd. PMDB の作成には通常 creapmd が使用されますが、アップグレード時は dbmgr が使用されます。
dbmgr は事前定義されたエンドポイント ポリシーをいくつか作成しますが、これは creapmd では作成されません。
When upgrading from 12.5 SP5 with PMDB to 12.6 12.5 SP5 を PMDB と共に 12.6 にアップグレードする場合 No なし [Step] 1.create PMDB in r12.5SP5. selang =^env pmd =^create pmdb1 2. export its rules. eg) dbmgr -e -l -f =^ /tmp/r12.5 3. upgrade AC to r12.6. 4. export pmdb1 rules. eg) dbmgr -e -l -f =^ /tmp/r12.6 5. compare their outputs. [手順] 1. r12.5SP5 で PMDB を作成します。
Selang
=^env pmd
=^create pmdb1
2. ルールをエクスポートします。
例) dbmgr -e -l -f =^ /tmp/r12.5
3. AC を r12.6 にアップグレードします。
4. pmdb1 のルールをエクスポートします。
例) dbmgr -e -l -f =^ /tmp/r12.6
5. 出力結果を比較します。
   
37 2 ENTM Fixes an issue when the user logs in to ENTM via SiteMinder and requests for a privileged account, the dates at approver page are shifting and appearing in the web UI as GMT time zone. SiteMinder 経由で ENTM にログインして特権アカウントを要求すると、承認者ページの日付がシフトし、Web UI が GMT タイムゾーンで表示される問題を修正しました。 AC126SP10272 ALL When logging in through SiteMinder the browser time zone is not initialized. SiteMinder 経由でログインすると、ブラウザのタイム ゾーンが初期化されません。     When having time zone at browserTimezone attribute get it otherwise use the server time zone which has been initialize in it's declaration browserTimezone 属性にタイム ゾーンがある場合はそれを取得し、ない場合は、宣言時に初期化されているサーバのタイム ゾーンを使用します。 1. Login as requester via SiteMinder interface.
2. Request for Privileged Account ,for example Dec 16 19:00 - 19:30.
3. Logout requester and login Approver.
4. Click worklist and select Privileged Account tab. the start date shifts to GMT time zone.
1. SiteMinder インターフェース経由でリクエスタとしてログインします。
2. 特権アカウントをリクエストします(例:12 月 16 日 19:00 ~ 19:30)。
3. ログアウトし、承認者としてログインします。
4. ワーク リストをクリックし、[特権アカウント]タブを選択します。 開始日が GMT タイム ゾーンにシフトしています。
7 T5P0080
38 3 Unix endpoint user mode Fixes an issue when "Password was changed recently, cannot be changed again at this time." by password quality check is not audited. パスワードの品質チェックで「パスワードは最近変更されたため、この時点で再び変更することはできません。」と表示される問題が監査ログに記録されない問題を修正しました。 AC126SP10274 UNIX ALL The password quality check is done and audited by seosd but password policy min_life is checked by sepass at stage of initialization パスワードの品質チェックは、seosd を使用して実行および監査しますが、パスワード ポリシーの min_life は、初期化段階で sepass を使用してチェックします。 sepass is denied by password policy min_life パスワード ポリシー min_life によって sepass が拒否される     1. Create user and enable PASSWORD class. AC=^ eu user01 AC=^ so class+(PASSWORD) 2. Add min_life property. AC=^ eu user01 min_life(1) 3. Change password via sepass by user01 $ sepass 4. Repeat step 3. ==^ It is rejected due to min_life(1) -- expected. $ sepass CA Access Control sepass v12.60.0.1165 - Password replacement Copyright (c) 2010 CA. All rights reserved. Password was changed recently, cannot be changed again at this time. 5. Check audit.log, there is no log of stage code:12. 1. ユーザを作成し、PASSWORD クラスを有効にします。
AC=^ eu user01
AC=^ so class+(PASSWORD)
2. min_life プロパティを追加します。
AC=^ eu user01 min_life(1)
3. user01 でログインして sepass を使用してパスワードを変更します。
$ sepass
4. 手順 3 を繰り返します。
==^ min_life(1) により拒否されます -- 期待される結果。
$ sepass
CA Access Control sepass v12.60.0.1165 - パスワードの変更
Copyright (c) 2010 CA. All rights reserved.
パスワードは最近変更されたため、この時点で再び変更することはできません。
5. audit.log を確認すると、ステージ コード: 12 のログがありません。
   
39 2 UNAB Fixes an issue with Access Control where the AD user of a UNIX primary group was not found because of difference between userPrincipalName and sAMAccountName. userPrincipalName と sAMAccountName とが異なるために UNIX プライマリ グループの AD ユーザが見つからない問題を修正しました。 AC126SP10276 UNIX ALL AD user UNIX primary group was not found because of difference between userPrincipalName and sAMAccountName. userPrincipalName と sAMAccountName とが異なるために UNIX プライマリ グループの AD ユーザが見つかりません         login with AD user account with specific attributes 特定の属性を持つ AD ユーザ アカウントでログインします    
40 3 Unix endpoint user mode Fixes an issue with Access Control where the watchdog starts Report Agent if it is enabled and is down. レポート エージェントが有効な場合、Watchdog が起動したレポート エージェントがダウンしてしまう問題を修正しました。 AC126SP10280 UNIX ALL Report Agent memory usage. The watchdog periodically starts report agent according to configuration. レポート エージェントによるメモリ使用量。 Watchdog が設定に従い定期的にレポート エージェントを起動するようにします。             540 T5P7111
41 3 Unix endpoint user mode Fixes an issue with Access Control where an additional special character '\' is added before the special character. 特殊文字の先頭に特殊文字 '\' が付加される問題を修正しました。 AC126SP10283 UNIX ALL Handling some cases that comes with '\' is different between dbmgr -e and selang -f. \' の処理方法が dbmgr -e と selang -f とで異なる場合があります。 Object name include '\' or ' '. オブジェクト名に '\' または ' ' が含まれている。 No なし 1. create user with special characters AC=^ eu ("NT AUTHORITY\SYSTEM") AC=^ f user NT* NT AUTHORITY\SYSTEM 2. export rule by dbmgr -e # dbmgr -e -r -c USER | grep NT =^ /tmp/user.out # cat /tmp/user.out editusr ("NT\ AUTHORITY\\SYSTEM") owner('root') audit(FAILURE LOGINSUCCESS LOGINFAILURE) 3. import the exported rule # selang -f /tmp/user.out Successfully created USER NT\ AUTHORITY\\SYSTEM 4. check user AC=^ f user NT* NT AUTHORITY\SYSTEM NT\ AUTHORITY\\SYSTEM Please note ' '(space) will be exported as ' ' but '\ ' after 12.6. 1. 特殊文字を含むユーザを作成します
AC=^ eu ("NT AUTHORITY\SYSTEM")
AC=^ f user NT*
NT AUTHORITY\SYSTEM

2. dbmgr -e でルールをエクスポートします
# dbmgr -e -r -c USER | grep NT =^ /tmp/user.out
# cat /tmp/user.out
editusr ("NT\ AUTHORITY\\SYSTEM") owner('root') audit(FAILURE LOGINSUCCESS LOGINFAILURE)

3. エクスポートしたルールをインポートします
# selang -f /tmp/user.out
USER NT\ AUTHORITY\\SYSTEM が正常に作成されました

4. ユーザを確認します
AC=^ f user NT*
NT AUTHORITY\SYSTEM
NT\ AUTHORITY\\SYSTEM

12.6 以降、' ' (空白)は、'\ ' ではなく ' ' としてエクスポートされます。
   
42 2 ENTM Fixes an issue with Access Control where the user is not able to undeploy UNAB policy on the endpoint. エンドポイント上で UNAB ポリシーをデプロイ解除できない問題を修正しました。 AC126SP10284 ALL             For some host, create a policy with one group say UNAB - It happens fine
For some host, remove the group - It happens fine
For some host, edit the same by adding another group say UNAB - It
happens fine
For some host, remove the group - It says Task submitted. No changes
made
ホスト上で、UNAB という 1 つのグループを対象とするポリシーを作成します - 正常に完了します
ホスト上で、そのグループを削除します - 正常に完了します
ホスト上で、同じポリシーに、UNAB という別のグループを追加します - 正常に完了します
ホスト上で、グループを削除します - 「タスクがサブミットされました。何も変更されていません。」と表示されます 
   
43 2 ENTM Fixes an issue with Access Control where the log is being reported during the check-in commit and for the Force check-in event. チェックインのコミット時と強制チェックインのイベント時の両方でログが記録される問題を修正しました。 AC126SP10285 ALL         Escaping audit log when performing Force Check in. the Audit log report at Force Check in event 強制チェックインの実行時は監査ログ記録を行わないようにします。 監査ログ記録は強制チェックインのイベントで行います。 1. Login as requester(pupmusr01) and request as 11:00 - 12:00
2. Approve by Approver(superadmin)
3. while privileged account is enable, check out by requester(pupmusr01).
4. login as PUPM Administrator( superadmin ) .
5. force check-in for privileged account.
6. check audit log for this event.
1. リクエスタ(pupmusr01)としてログインし 11:00 ~ 12:00 時の間にリクエスト。
2. 承認者(superadmin)によって承認。
3. 特権アカウントを有効にした状態で、リクエスタ(pupmusr01)によりチェックアウト。
4. PUPM 管理者(superadmin)としてログイン。
5. 特権アカウントを強制チェックイン。
6. このイベントの監査ログを確認。
91 T5P0081
44 2 ENTM Fixes an issue where an error message appears when the user tries to change his own password from the PUPM GUI. The error message is as follows: "Error: Password validation failed: Connection timed out."  ユーザが PUPM GUI で自分のパスワードを変更しようとすると、エラー メッセージが表示される問題を修正しました。 次のエラーメッセージが表示されます: 「エラー: パスワード確認は失敗しました: 接続はタイムアウトになっています。」  AC126SP10296 ALL     PUPM integrated with SiteMinder PUPM を SiteMinder と統合 Skip the routing to Site Minder, use AC to perform password polices actions Site Minder へのルーティングをスキップし、AC を使用してパスワード ポリシーのアクションを行います 1. open web browser and connect to PUPM integrated with SM. 2. SiteMinder login screen shows up login to account 3. PUPM screen shows up 4. click Home tab 5. click second link from left 6. click "change my password" 7. Change My Password screen shows up Enter new Password / Confirm Password 8. click "submit" button AT VST there is an error "Error: Password validation failed: Connection timeout." on the screen. 1. Web ブラウザを開き、SM と統合した PUPM に接続します。
2. SiteMinder のログイン画面が表示されます。アカウントにログインします。
3. PUPM の画面が表示されます。
4. [ホーム]タブをクリックします。
5. 左から 2 番目のリンクをクリックします。
6. [マイ パスワードの変更]をクリックします。
7. [マイ パスワードの変更]画面が表示されます。
[新規パスワード]/[パスワードの確認]を入力します。
8. [サブミット]ボタンをクリックします。
画面の[サブミット済みタスクの表示]に、「パスワードの検証に失敗しました: 接続タイムアウト」というエラーが表示されます。
91 T5P0081
45 3 UNAB Fixes an issue with Access Control when the client logs into server with Domain B and tires to edit Domain A's user only Domains B groups show for Domains A user. サーバにドメイン B でログインし、ドメイン A のユーザのみを編集しようとすると、ドメイン A のユーザ グループとして、ドメイン B のグループのみが表示される問題を修正しました。 AC126SP10313 UNIX ALL     N/A 該当なし N/A 該当なし N/A 該当なし    
46 2 ENTM Fixes an issue with Access Control when user logs in through SiteMinder, the User DN is the logged in user name while the user ID should be present. SiteMinder 経由でログインすると、ユーザ ID の代わりにユーザの DN がログイン ユーザ名となる問題を修正しました。 AC126SP10314 ALL N/A 該当なし N/A 該当なし Get User DN by getting the unique name Changing a methods call to getUser().getUniqueName() instead of getUserDN() 一意の名前を取得して、ユーザ DN を取得します。
呼び出しメソッドを、getUserDN() から getUser().getUniqueName() に変更します。
1. Login to ENTM via SiteMinder login screen.
2. Navigate to My Privileged Accounts
3. Select Checkout action.
1. SiteMinder のログイン画面を経由して ENTM にログインします。
2. [マイ特権アカウント]に移動します。
3. チェックアウト アクションを選択します。
91 T5P0081 
47 2 Unix endpoint user mode Fixes an issue with Access Control where the ReportAgent consumes too large amount of memory. ReportAgent が消費するメモリ量が多すぎる問題を修正しました。 AC126SP10323 UNIX ALL N/A 該当なし N/A 該当なし N/A 該当なし N/A 該当なし 540 T5P7114
48 3 UNAB Fixes an issue with Access Control where uxconsole core dumps on user registration. ユーザ登録時に uxconsole でコア ダンプが発生する問題を修正しました。 AC126SP10339 UNIX ALL     N/A 該当なし N/A 該当なし Have a considerable delay between creation of a computer object and setting a password on it. The replication_allowance token allows one to set that wait to a desired value. コンピュータ オブジェクトの作成と、それに対するパスワード設定との間に十分な遅延が発生するようにします。 replication_allowance トークンにより、必要な待機時間を設定できます。 1649 T243828
49 2 ENTM Fixes an issue where an error message appears when the user tries to change his own password from the PUPM GUI. The error message is as follows: "Error: Password validation failed: Connection timed out."  ユーザが PUPM GUI で自分のパスワードを変更しようとすると、エラー メッセージが表示される問題を修正しました。 次のエラーメッセージが表示されます: 「エラー: パスワード確認は失敗しました: 接続はタイムアウトになっています。」  AC126SP10341 ALL N/A 該当なし PUPM integrated with SiteMinder PUPM を SiteMinder と統合 N/A 該当なし N/A 該当なし 91 T5P0081
50 2 ENTM Fixes an issue with Access Control where events are recorded twice, during check-out and during check-in, both relates to the same session ID. イベントがチェックアウトとチェックインで 2 回記録される(両方とも同じセッション ID に関連)問題を修正しました。 AC126SP10342 ALL N/A 該当なし N/A 該当なし Skip of recording a check in event in case having a check out event チェックアウト イベントがある場合はチェックイン イベントの記録をスキップします 1. Login to ENTM
2. Navigate to "My Privileged Accounts" from "Home" tab.
3. Check out an account.
4. After completion of check out, then check in it.
5. Navigate to "Audit Privileged Accounts" screen and click search.
Privileged Accounts -> Audit
6. You will see the check in log is duplicated. 
1. ENTM にログインします。
2. [ホーム]タブから[マイ特権アカウント]に移動します。
3. アカウントをチェックアウトします。
4. チェックアウトが完了したら、チェックインします。
5. [特権アカウントの監査]画面に移動し、検索をクリックします。
[特権アカウントの監査] -> [監査]
6. チェックイン ログが重複しているのが確認できます。 
91 T5P0081
51 2 ENTM Fixes an issue with Access Control where temporary password displayed after password reset may not be shown. However, it is displayed correctly in the email.  パスワードのリセット後に表示される一時パスワードが表示されない場合がある問題を修正しました。 ただし、電子メールで正しく表示されます。  AC126SP10349 ALL             1. User clicks 'Forgot password' at login.
2. User answers security question.
3. Password is displayed.
4. User logs in with this password and resets the account password
successfully.
1. ログイン画面で[パスワードを忘れた場合]をクリックします。
2. セキュリティ質問に回答します。
3. パスワードが表示されます。
4. このパスワードでログインし、アカウント パスワードが正常にリセットされます。
   
52 3 Windows endpoint user mode、Unix endpoint user mode Fixes an issue with Access Control where the DH WRITER DMS and DH are loaded and not responding. This results in the DMS subscriber of the DH__WRITER to become unresponsive as well as the DH subscriber of the DMS. DH WRITER、DMS および DH がロードされているが応答しない問題を修正しました。 この問題により、DH_WRITER の DMS サブスクライバと DMS の DH サブスクライバが無応答になっていました。 AC126SP10357 ALL         Workaround - send a policy to all the endpoints to adjust the policyfetcher setting (main change is that the policyfetcher will read deployments every 6 hours which should improve the load on the DH). add a filter file to the DH__WRITER to filter out deployments errors during the recovery process (to limit commands that written to the DH__WRITER audit file). Solution: 1. Policyfetcher : Don’t send removed deployments to the DH__WRITER (if not exist on the DH) 2. Policyfetcher : Control the number of deployment errors that the policyfetcher sends to the DH__WRITER 3. Policyfetcher : Reload its setting every interval. 4. Policyfetcher – Change the default setting. (increase the values) 5. DMS – don’t create gdeployment objects that not contain any related deployment. (this should improve the deployment audit performance) 回避策 - policyfetcher の設定を調整するポリシーをすべてのエンドポイントに送信します(主な変更は、policyfetcher に 6 時間ごとにデプロイメントを読み取らせることで、これにより DH でのロードが向上します)。 DH_WRITER にフィルタ ファイルを追加し、リカバリ プロセス中、デプロイメント エラーを除外します(DH_WRITER の監査ファイルに書き込まれるコマンドを制限します)。

解決策:
1. Policyfetcher: 削除したデプロイメントを DH_WRITER に送信しない(DH 上に存在しない場合)
2. Policyfetcher: policyfetcher が DH__WRITER 3 に送信するデプロイメント エラー数を制御する
3. Policyfetcher: その設定を定期的に再ロードする
4. Policyfetcher - デフォルト設定を変更する (値を増加させる)
5. DMS - 関連デプロイメントを含まない gdeployment オブジェクトを作成しないようにする (これはデプロイメント監査のパフォーマンスを向上)
       
53 2 ENTM Fixes an issue with Access Control where the user is unable to remove policy dependency. ユーザがポリシーの依存関係を削除できない問題を修正しました。 AC126SP10369 ALL         Manually corrected the policies using  selang, however, the Web UI was not able to remove the policy dependency. selang を使用して手動でポリシーを修正することはできましたが、Web UI ではポリシーの依存関係を削除できませんでした。        
54 2 UNAB Fixes an issue with Access Control where cm_postinstall.sh only installs CAWIN if it is running HP-UX 11.23 and 11.31. cm_postinstall.sh を HP-UX 11.23 および 11.31 上で実行した場合にのみ、CAWIN をインストールする問題を修正しました。 AC126SP10377 UNIX ALL UNAB installation doesn't install CAWIN on HP-UX 11.11. cm_postinstall.sh script only checks HP-UX 11.23 and 11.31 and fails to check 11.11. UNAB のインストールでは CAWIN は HP-UX 11.11 上にインストールされません。 cm_postinstall.sh スクリプトは HP-UX 11.23 および 11.31 のみをチェックし、11.11 はチェックしません。 HP-UX 11.11 HP-UX 11.11 Make cm_postinstall.sh handle HP-UX 11.11. cm_postinstall.sh に HP-UX 11.11 をチェックさせます。 On an HP-UX 11.11 system without CAWIN installed, install UNAB. CAWIN will not get installed. CAWIN がインストールされていない HP-UX 11.11 システム上に UNAB をインストールします。CAWIN はインストールされません。 20 T3E7139
55 2 ENTM Fixes an issue with Access Control where endpoints are not completely deleted. エンドポイントが完全には削除されない問題を修正しました。 AC126SP10380 ALL The audit
logs and the deletion task is not present.
監査ログと削除タスクが存在しません。                
56 3 Windows endpoint user mode Fixes an issue with Access Control when wild character * is used in selang, devcalc returns incorrect result. selang でワイルド カード「*」を使用すると、devcalc が不正な結果を返す問題を修正しました。 AC126SP10386 WINDOWS ALL ruleset use %systemroot" while the database is using the value of systemroot. ルールセットは %systemroot" を使用しますが、データベースは systemroot を使用します。 You'll have to create a policy using windows system variables. ウィンドウ システム変数を使用して、ポリシーを作成する。 Please apply the fix devcalc. devcalc のフィックスを適用します。 Create a policy using %SystemRoot% in the rules. assign the policy to an hnode. run "selang=^start devcalc" and "get devcalc", you will see the DIFF. ルール内で %SystemRoot% を使用して、ポリシーを作成します。 ポリシーを hnode に割り当てます。 "selang=^start devcalc" および "get devcalc" を実行し、DIFF を確認します。 1680, 545 T243901 (Sun Solaris), T243902 (Linux x86), T243903 (Linux X64), T243904 (Linux Aix), T243907 (Sun Solaris), T243906 (Windows x64)  
57 3 Windows endpoint user mode Fixes an issue with Access Control where password rule and parameter are delivered from pmdb, but Admin password Change and Passwd Change User does not update. パスワード ルールとパラメータが pmdb から渡されるが、[管理者パスワードの変更]と[パスワードの変更者]が更新されない問題を修正しました。 AC126SP10430 WINDOWS ALL AC user password change was forced on BDC as in NT domain the SAM is read-only. NT ドメインで SAM が読み取り専用の場合、AC ユーザ パスワード変更が BDC に対して強制的に適用されます。 Active directory Replication is configured. Native user password change command is filtered by PMDB CREATE NATIVE USER * * NOPASS EDIT NATIVE USER * * NOPASS Active Directory のレプリケーションが設定されている。
ネイティブ ユーザのパスワード変更コマンドが PMDB によってフィルタされている
CREATE NATIVE USER * * NOPASS
EDIT NATIVE USER * * NOPASS
    1. Configure Active directory Replication both node. node1 is primary. Install AC on both node.
2. Create pmd1 on node2 and subscriber as local db on node2.
3. Set PMD filter as following:
CREATE NATIVE USER * * NOPASS
EDIT NATIVE USER * * NOPASS
* * * * * PASS
4. Check offset address.
5. Create user01 native on pmd1 at node2.
eu user01 password(eTrust01) profile(mzhadm)
6. Subscribe localdb on node1 with offset at step 4.
7. Compare user01 property both node1 and node2.
1. 両方のノードに Active Directory のレプリケーションを設定します。 node1 がプライマリです。 両方のノード上に AC をインストールします。
2. node 2 上に pmd1 およびローカル DB としてサブスクライブを作成します。
3. PMD フィルタを以下のように設定します。
CREATE NATIVE USER * * NOPASS
EDIT NATIVE USER * * NOPASS
* * * * * PASS
4. オフセット アドレスを確認します。
5. node2 の pmd1 上にネイティブの user01 を作成します。
eu user01 password(eTrust01) profile(mzhadm)
6. 手順 4 で確認したオフセットでノード 1 のローカル DB をサブスクライブします。
7. user01 のプロパティを node1 と node2 とで比較します。
   
58 3 Unix endpoint user mode Fixes an issue where OS SMF does not import seosload service because manifest was not removed from standard repository which causes seload -r localhost to fail マニフェストが標準リポジトリから削除されないために、OS SMF が seosload サービスをインポートせず、ローカル ホストに対して seload -r が失敗する問題を修正しました。 AC126SP10441 SUN SOLARIS         uninstall:
#rm /lib/svc/manifest/network/seosload-tcp6.xml
#svcadm restart manifest-import 
以下のコマンドを実行してアンインストールを行います。
#rm /lib/svc/manifest/network/seosload-tcp6.xml
#svcadm restart manifest-import 
seload -r localhost seload -r localhost    
59 1 ENTM Fixes an issue with Access Control when losing a connection to JMS retry to connect with new creates connection factory. JMS への接続が解除され、新規作成接続ファクトリへの再接続が必要になる問題を修正しました。 AC126SP10452 ALL Sometimes the in memory the JMS connection factory is corrupted. JMS 接続は、メモリ内で破損することがあります。     Do not use the in memory connection factory recreate the connection factory and try to get the session again メモリ内の接続ファクトリを使用しないようにします
接続ファクトリを再作成し、セッションを再取得します
Sometimes the in memory JMS connection factory is corrupted this case can't be reproduced In case need to send JMS message getting an error jmsexception could not create a session JMS 接続ファクトリは、メモリ内で破損する場合があります。
この現象は再現できません。
JMS メッセージの送信が必要な場合、「JMSException: Could not create a session」というエラーが返されます。
93 T5P0083
60 2 ENTM Fixes an issue with Access Control where the checked-out Privileged Account checks in when another user uses the same account. 特権アカウントをチェックアウトした場合、別のユーザが同じアカウントを使用するとチェックインされてしまう問題を修正しました。 AC126SP10461 ALL         Reload account password object before performing any action 任意のアクションを行う前にアカウント パスワード オブジェクトを再ロードします。 1. Login to the server as Administrator. 2. Start Firefox and login with user A 3. Start IE and login as user B. 4. Brows to both users My account tab verify that both users have privileges for the same account 5. User A checks out the account in Firefox. 6. user B checks out in IE. 7. Confirm the same password is checked out in the both windows. 8. Press "Search" button in user A Firefox window. 9. "Checked Out" status is cleared in the screen. 1. 管理者としてサーバにログインします。
2. Firefox を起動し、ユーザ A としてログインします。
3. IE を起動し、ユーザ B としてログインします。
4. 両方のユーザの[マイ アカウント]タブを参照し、両方のユーザに同じアカウントの権限が付与されていることを確認します。
5. Firefox でユーザ A がアカウントをチェックアウトします。
6. IE でユーザ B がチェックアウトします。
7. 両方のウィンドウで同じパスワードがチェックアウトされていることを確認します。
8. ユーザ A の Firefox のウィンドウ内で[検索]ボタンを押します。
9. [チェック アウト]ステータスが画面内でクリアされます。
96 RO45508
61 3 Windows endpoint user mode Fixes an issue with Access Control where effective username incorrectly shows domain name for local user. ローカル ユーザの、有効なユーザ名のドメイン名部分が誤って表示される問題を修正しました。 AC126SP10475 WINDOWS ALL The domain name is given to sub auth for local user is what remote machine belong, this is not we want to use. sub auth に渡されるローカル ユーザのドメイン名として、リモート マシンが所属するドメイン名が誤って使用されています。 AC machine is a domain member. Remote machine is different domain member Access AC machine by local user of AC machine AC マシンはドメインのメンバである。
リモート マシンは、別のドメインのメンバである。
AC マシンには、AC マシンのローカル ユーザとしてアクセスする。
    AC server (w2k8-2) is member of domain TEST clinet1 (tanma07-xp) is member of domain TANT-A01 client2 (vmw1) is domain controller of domain TEST 1. create shared directory on AC server ('temp' in this case) 2. create AC/Native user for this test on AC server AC=^ nu sharetest password(*****) * sharetest user only exists as AC server local user, not in any other domains or servers. 3. create file rule for shared directory AC=^ nf d:\temp\* defacc(a) audit(a) own(nobody) AC=^ nf d:\temp\*$DATA defacc(a) audit(n) own(nobody) * the second rule is not mandatory; it will eliminate lots of data stream logs 4. access to shared directory on AC server from client1 by sharetest user start -=^ run -=^ enter '\\w2k8-2\temp' and OK -=^ enter 'sharetest' as user and its password 5. see audit log on AC server \=^ seaudit -a -sd today 13 Jan 2012 16:59:39 P LOGIN sharetest 1059 2 TANMA07-XP C:\Windows\System32\lsass.exe 13 Jan 2012 16:59:39 P FILE sharetest Read 59 3 D:\temp\audit.log System Networking Process TANMA07-XP TANT-A01\sharetest [expected result] Effective user is W2K8-2\sharetest. (^=ACserver=^\username) [actual result] Effective user is TANT-A01\sharetest (^=domain of clinet1=^\username) 6. run step 3 from client2 and see audit log 13 Jan 2012 17:06:22 P LOGIN sharetest 1059 2 VMW1 C:\Windows\System32\lsass.exe 13 Jan 2012 17:06:22 P FILE sharetest Read, Create 59 3 D:\temp\Desktop.ini System Networking Process VMW1 W2K8-2\sharetest -=^ this is expected result (effective user is W2K8-2\sharetest). AC server and accessed client is same domain (TEST) This doesn't happen if AC server is not a member of domain. AC サーバ(w2k8-2)は、ドメイン TEST のメンバ。
クライアント 1 (tanma07-xp)はドメイン TANT-A01 のメンバ。
クライアント 2 (vmw1)はドメイン TEST のドメイン コントローラ。

1. AC サーバ上に共有ディレクトリ(この場合は 'temp')を作成します。

2. テスト用に AC サーバ上に AC/ネイティブ ユーザを作成します
AC=^ nu sharetest password(*****)
* ユーザ sharetest は、AC サーバのローカル ユーザとしてのみ存在し、他のドメインやサーバ上には存在しません。

3. 共有ディレクトリのファイル ルールを作成します。
AC=^ nf d:\temp\* defacc(a) audit(a) own(nobody)
AC=^ nf d:\temp\*$DATA defacc(a) audit(n) own(nobody)
* 2 番目のルールは必須ではありませんが、大量のデータ ストリーム ログを除去します

4. ユーザ sharetest で クライアント 1 から AC サーバ上の共有ディレクトリにアクセスします
[開始]-=^ [ファイル名を指定して実行] -=^ '\\w2k8-2\temp' を入力し、[OK]をクリック -=^ ユーザ名 'sharetest' とパスワードを入力

5. AC サーバ上で監査ログを確認します
\=^ seaudit -a -sd today
13 Jan 2012 16:59:39 P LOGIN sharetest 1059 2 TANMA07-XP
C:\Windows\System32\lsass.exe
13 Jan 2012 16:59:39 P FILE sharetest Read 59 3
D:\temp\audit.log System Networking Process TANMA07-XP TANT-A01\sharetest

[期待される結果] 実効ユーザ: W2K8-2\sharetest (^=ACserver=^\username)
[実際の結果] 実効ユーザ: TANT-A01\sharetest (^= クライアント 1 のドメイン =^\username)

6. クライアント 2 で手順 3 を実行して監査ログを確認
13 Jan 2012 17:06:22 P LOGIN sharetest 1059 2 VMW1
C:\Windows\System32\lsass.exe
13 Jan 2012 17:06:22 P FILE sharetest Read, Create 59 3
D:\temp\Desktop.ini System Networking Process VMW1 W2K8-2\sharetest

-=^ 期待される結果(実効ユーザ: W2K8-2\sharetest)。
AC サーバとアクセスしたクライアントは同じドメイン(TEST)です。

AC サーバがドメインのメンバではない場合は、このような結果にはなりません。
   
62 2 Unix endpoint kernel mode Fixes an issue with Access Control where a server CPU utilization increases by 20% on a server when the agent running without policies being enforced. ポリシーを適用せずにエージェントを実行すると、サーバの CPU 使用率が 20% 増加する問題を修正しました。 AC126SP10485 SUN SOLARIS Memory leak in realpath cache. realpath キャッシュでのメモリ リーク。             1700 TC61213
63 2 UNAB Fixes an issue with Access Control where the user can't start UNAB in the global zone. グローバル ゾーン内でユーザが UNAB を起動できない問題を修正しました。 AC126SP10493 SUN SOLARIS Issue is because script uxauthd.sh uses output of 'ps -ef' tocheck if uxauthd is already running and on Solaris 10 global zone this command return aslo processes running in local zones.  スクリプト uxauthd.sh は uxauthd がすでに実行中であるかをチェックするために 'ps -ef' の出力を使用しますが、Solaris 10 グローバル ゾーンでは、このコマンドがローカル ゾーンで実行中のプロセスも返していたためにこの問題が発生しました。  N/A 該当なし N/A 該当なし N/A 該当なし 21 T5P7134
64 1 Unix endpoint user mode Fixes an issue with Access Control where substituting user with the native OS command 'SU' to a new user AC user viewed with sewhoami command is the new user. ネイティブ OS コマンド  'SU' でユーザを新しいユーザに置換すると、sewhoami コマンドで新しいユーザが表示される問題を修正しました。 AC126SP10500 UNIX ALL N/A 該当なし N/A 該当なし         1701 TC61214 (LINUX_x86), TC61214 (LINUX_x86_64)
65 3 ENTM Fixes an issue with Access Control where password policy with integrated system with SiteMinder doesn't work. SiteMinder と統合したシステム上でパスワード ポリシーが機能しない問題を修正しました。 AC126SP10506 ALL N/A 該当なし PUPM integrated with SiteMinder PUPM を SiteMinder と統合 Skip routing to site minder use native password policy SiteMinder へのルーティングをスキップし、ネイティブ パスワード ポリシーを使用します 1. ergare ENMT with site minder 2. to create or modify password policy under Users and group tab 3.Getting an error 1. ENMT を SiteMinder と統合します
2. [ユーザおよびグループ]タブでパスワード ポリシーを作成または変更します
3. エラー発生
96 T5P0090
66 1 UNAB Fixes an issue where rules engine in agent was case sensitive when comparing group name with domain. Domain name was in upper case for user groups and in low case for login policies. エージェントのグループ エンジンでのグループ名とドメインの比較で、大文字と小文字を区別していた問題を修正しました。 ドメイン名は、ユーザ グループでは大文字、ログイン ポリシーでは小文字でした。 AC126SP10508 UNIX ALL This is because sqlite3 operator IN is case sensitive when compare users groups with groups in login policy. User has group usysadmin@MGT.AD but in policy was rule for usysadmin@mgt.ad SQLite3 の演算子 IN がユーザ グループとログイン ポリシー内のグループを比較する際、大文字と小文字が区別されていたのが原因です。 ユーザのグループ usysadmin@MGT.AD は、ポリシー内では usysadmin@mgt.ad でした。     Workaround - change rule to have domain name in proper case. 回避策 - ドメイン名の大文字/小文字が正しく設定されるようにルールを変更します。        
67 3 Unix endpoint user mode Fixes an issue with Access Control where a blank message is displayed in the syslog when shutting down Access Control. Access Control をシャットダウンする際、syslog に空白のメッセージが表示される問題を修正しました。 AC126SP10510 SUN SOLARIS Extra empty syslog message was caused by an extra blank after the '\n' at the end of the previous message. syslog の余分な空白メッセージは、その前のメッセージの末尾にある '\n' の後に余分な空白が入っていたことにより発生していました。 N/A 該当なし N/A 該当なし N/A 該当なし    
68 2 Unix endpoint kernel mode Fixes an issue where the stub_execve has changed so the position of the call offset is off by 2 bytes. stub_execve が変更され、コール オフセットの位置が 2 バイトずれる問題を修正しました。 AC126SP10513 LINUX x64 The stub_execve has changed so the position of the call offset is off by 2 bytes. stub_execve が変更され、コール オフセットの位置が 2 バイトずれていました。 SLES 11 sp1 X64 with kernel 2.6.32.46 SLES 11 SP1 X64 (カーネル: 2.6.32.46)     Running prior to this fix on SLES 11sp1 with kernel 2.6.32.46 and above will cause a panic at start up of AC. この修正が行われる前の SLES 11 SP1 X64 (カーネル: 2.6.32.46 以降)上で実行すると、AC の起動時にパニックが発生します。    
69 2 Unix endpoint kernel mode Fixes an issue with Access Control where AC does not start on the new kernel  2.6.32-300 for Oracle Linux 5.7. Oracle Linux 5.7 (新規カーネル: 2.6.32-300)上で AC が起動しない問題を修正しました。 AC126SP10531 LINUX all                 1703 AC12.5 SP5 T540114 (32 bit seosd), AC12.5 SP5 T540115 (64 bit seosd), AC12.6 T540116 (32 bit seosd), AC12.6 T540117 (64 bit seosd)
70 1 Unix endpoint user mode Fixes an issue with Access Control where substituting user with the native OS command 'SU' to a new user AC user viewed with sewhoami command is the new user. ネイティブ OS コマンド  'SU' でユーザを新しいユーザに置換すると、sewhoami コマンドで新しいユーザが表示される問題を修正しました。 AC126SP10546 UNIX ALL N/A 該当なし         1. Start a TRACE and recreate the problem.
a. Start trace: secons -tc -t+
b. Recreate the problem
c. Stop trace: secons -t-
d. send the trace file $SEOSDIR/log/seosd.trace
Where $SEOSDIR is your Access Control directory on the system
2. Send all files in the $SEOSDIR\log directory.
In seos.ini set
debug_level=low
trace_to=file
then start AC and send to us the seos_debug file and trace.
1. トレースを実行して問題を再現します。
a. トレースを開始します: secons -tc -t+
b. 問題を再現します
c. トレースを停止します: secons -t-
d. トレース ファイル $SEOSDIR/log/seosd.trace を送信します
$SEOSDIR は、システム内の Access Control ディレクトリです
2. $SEOSDIR\log ディレクトリ内のすべてのファイルを送信します。
seos.ini で以下のように設定します。
debug_level=low
trace_to=file
AC を起動し、seos_debug ファイルとトレースを送信します。
1701 TC61215
71 2 Windows endpoint user mode Fixes an issue with Access Control where if a request to verify password timeout all subsequent requests from eACPasswordFltr to seosd returns "Server communication error". パスワード確認のリクエストがタイムアウトになると、eACPasswordFltr から seosd への意向のすべてのリクエストで「サーバ通信エラー」が返される問題を修正しました。 AC126SP10555 WINDOWS ALL If TransactNamedPipe() timeout and not reinitialized, subsequent calls get ERROR_PIPE_BUSY. TransactNamedPipe() がタイムアウトになり初期化されないと、以降の呼び出しで ERROR_PIPE_BUSY が返されます。 TransactNamedPipe() to verify password timeout. TransactNamedPipe() を使用してパスワードのタイムアウトを検証している。 Increase PasswordTimeOut PasswordTimeOut の値を増加させます。 1.set 0 to PasswordTimeOut 2.create AC/native user AC=^ eu testuser password(testuser) 3.change user password via native tool 4.if it successfully timeout, native tool returns "The password does not meet the password policy requirements...". This is ok as PasswordTimeOut is short to reproduce the issue. 5.change native user password via native tool again 6.this operation should return "The password does not meet the password policy requirements..." but succeed because seadmapi_IsServerRunning() returns "Server communication error"(originally ERROR_PIPE_BUSY") which is considered seosd is not running. Default answer is allow in this case. 7.check AC user property. "Pwd changed by" should be updated but actually not as set new password fails due to "Server communication error" 1. PasswordTimeOut を 0 に設定します
2. AC/ネイティブ ユーザを作成します
AC=^ eu testuser password(testuser)
3. ネイティブ ツールを使用してユーザ パスワードを変更します
4. 正常にタイムアウトになった場合、ネイティブ ツールは、「パスワードは、パスワード ポリシー要件を満たしていません。」というメッセージを返します。 問題を再現するために PasswordTimeOut に小さい値を設定したので、これは問題ありません。
5. 再度ネイティブ ツールを使用してネイティブ ユーザ パスワードを変更します
6. この操作により、「パスワードは、パスワード ポリシー要件を満たしていません。」というメッセージが返されますが、操作は成功しています。なぜなら、seadmapi_IsServerRunning() は「サーバ通信エラー」(元は ERROR_PIPE_BUSY)というメッセージを返し、これは seosd が実行されていないとみなされるからです。 この場合、デフォルトの回答が許容されます。
7. AC ユーザのプロパティを確認します。 [パスワードの変更者]が更新されていますが、実際は更新されていません。新規パスワードの設定は、「サーバ通信エラー」により失敗しているためです。
548 T4CC142
72 3 ENTM Fixes an issue with Access Control where only the first 100 endpoints are displayed in the WorldView. ワールド ビューで最初の 100 エンドポイントのみが表示される問題を修正しました。 AC126SP10565 ALL         Fix and improve the search method to return all values すべての値を返すように検索方法を修正および改善しました。     96 RO45508
73 2 Unix endpoint user mode Fixes an issue with Access Control where after AC services are restarted the user suspended is sent to the local seos and not the password pmdb by serevu. AC サービスを再起動すると、一時停止したユーザはローカルの seos には送信されますが、serevu によってパスワード pmdb には送信されない問題を修正しました。 AC126SP10570 UNIX ALL serevu clear last connection info when AC is not running but last host info was not cleared so serevu execute "env seos" but "hosts %s ; env seos" as considered the current user suspend command is to send to same destination as the result user suspend was sent to seos but passwd pmd. AC が実行されていない状態で serevu は前回の接続情報をクリアしますが、前回のホスト情報はクリアされません。そのため、serevu は、 "env seos" を実行しますが、"hosts %s ; env seos" は実行しません。現在のユーザ一時停止コマンドが同じ場所に送信されるものと判断するからです。その結果、ユーザの一時停止は、seos には送信されますが、パスワード pmd には送信されません。 ./seos.ini passwd_pmdb = localpmd@localhost parent_pmd = localpmd@localhost ./serevu.cfg *,DPMDS,FOREVER AC is once stopped till serevu find "AC is not running". ./seos.ini
passwd_pmdb = localpmd@localhost
parent_pmd = localpmd@localhost
./serevu.cfg
*,DPMDS,FOREVER
serevu が 「Access Control は実行されていません。」を検出するまで、AC を停止する。
When stop AC services stop serevu as well. AC サービスを停止したら、serevu も停止します。 1.configure as follows ./seos.ini passwd_pmdb = localpmd@localhost parent_pmd = localpmd@localhost ./serevu.cfg *,DPMDS,FOREVER 2.run AC services and serevu 3.create localpmd and subscribe localhost AC=^ env pmd AC createpmd localpmd subs(localhost) 4.create testuser from localpmd AC=^ host localpmd AC=^ nu testuser password(testuser) 5.check the user was propagated to localhost AC=^ su testuser 6.perform failed login attempts by testuser to suspend 7.check user suspend is sent to localpmd and propagated to localhost AC=^ su testuser AC=^ host localpmd AC=^ su testuser 7.stop AC services except serevu 8.wait till serevu write "AC is not running" in messages 9.start AC services 10.enable testuser from localpmd AC=^ host localpmd AC=^ eu testuser suspend- 11.check the user is enabled in localhost AC=^ su testuser 12.perform failed login attemps by testuser to suspend 13.verify user suspend is sent to localpmd and propagated to localhost Before the fix user suspend was sent to localhost only not localpmd 1. 以下のように設定します。
./seos.ini
passwd_pmdb = localpmd@localhost
parent_pmd = localpmd@localhost
./serevu.cfg
*,DPMDS,FOREVER
2. AC サービスおよび serevu を実行します
3. localpmd とサブスクライブ ローカルホストを作成します
AC=^ env pmd
AC createpmd localpmd subs(localhost)
4. localpmd から testuser を作成します
AC=^ host localpmd
AC=^ nu testuser password(testuser)
5. ユーザがローカル ホストに伝達されていることを確認します
AC=^ su testuser
6. 一時停止した testuser によるログインを行うと失敗します
7. ユーザの一時停止が localpmd に送信され、localhost に伝達されていることを確認します
AC=^ su testuser
AC=^ host localpmd
AC=^ su testuser
7. serevu 以外の AC サービスを停止します。
8. serevu がメッセージに「Access Control は実行されていません。」と書き込むまで待機します
9. AC サービスを起動します
10. localpmd から testuser を有効化します
AC=^ host localpmd
AC=^ eu testuser suspend-
11. ユーザが localhost 内で有効であることを確認します
AC=^ su testuser
12.  一時停止した testuser によるログインを行うと失敗します
13. ユーザの一時停止が localpmd に送信され、localhost に伝達されていることを確認します

修正前は、ユーザの一時停止は localhost にのみ送信され、localpmd には送信されていませんでした。
1704 T4CC141 
74 2 Windows endpoint user mode Fixes an issue with Access Control where the Windows silent installation specifies Advance Policy Management Client as installed even when ADV_POLICY_MNGT_CLIENT=0. ADV_POLICY_MNGT_CLIENT=0 と指定した場合でも、Windows サイレント インストールでインストール中に拡張ポリシー管理クライアントが指定される問題を修正しました。 AC126SP10590 WINDOWS ALL                    
75 3 Windows endpoint user mode Fixes an issue with Access Control where after unsetenv HOME the sesu command crashes with unsetenv HOME 実行後に sesu コマンドがクラッシュする問題を修正しました。 AC126SP10597 UNIX ALL "sesu" sends output of getenv("HOME") to sprintf command. In case this environment variable is not defined the sesu sends NULL to sprintf leading to crash. "sesu" は、getenv ("HOME")の出力を sprintf コマンドに送信します。 この環境変数が定義されていない場合、sesu は sprintf に NULL を送信します。これがクラッシュを引き起こします。 unsetenv HOME unsetenv HOME Check return value of getenv("HOME") getenv("HOME") の戻り値を確認します unsetenv HOME =^ ./sesu root -c sh Segmentation fault (core dumped) unsetenv HOME
=^ ./sesu root -c sh
セグメンテーション エラー(コア ダンプ)
1718 T3DB102
76 3 Unix endpoint user mode Fixes an issue where sepmd -L incorrectly prints "distribution is locked" message when a host is unreachable. ホストにアクセスできない場合、sepmd -L で「配布がロックされています」というメッセージが不正に出力される問題を修正しました。 AC126SP10599 UNIX ALL The function checks if pmd is locked before printing list. if pmdcl_is_bk_locked() returns false "distribution is locked message" is printed whatever real error is. この関数は、リストを出力する前に pmd がロックされているかどうかをチェックします。 pmdcl_is_bk_locked() が false を返すと、本当のエラーとは無関係に「配布がロックされています」というメッセージが出力されます。 A pmd host is not unreachable pmd ホストにアクセスできない     1. Install AC on Linux box named MY-HOST 2. Create PMDB0 3. sepmd -s PMDB0 MY-HOST 4. Stop AC and change parent_pmd = PMDB0@MY-HOST 5. Start AC 6. confirm PMDB0 propagate normally 7. Add line in /etc/hosts 192.168.99.99 GHOST # ip address is not resolved one. 8. sepmd -s PMDB0 GHOST 9. enter selang command in PMDB0 # selang -c "hosts PMDB0@; eu TEST audit(a)" 10. execute "sepmd -L PMDB0" Then you can confirm Lock message is displayed after waiting 2 minutes or so. ### output message confuse AC users. Please output proper message in this scenario. 1. AC を MY-HOST という名の Linux Box にインストールします
2. PMDB0 を作成します
3. sepmd -s PMDB0 MY-HOST
4. AC を停止し、変更します parent_pmd = PMDB0@MY-HOST
5. AC を起動します
6. PMDB0 が正常に伝達されていることを確認します
7. /etc/hosts に行を追加します
192.168.99.99 GHOST # IP アドレスは解決されていないアドレス。
8. sepmd -s PMDB0 GHOST
9. PMDB0 に selang コマンドを入力します
# selang -c "hosts PMDB0@; eu TEST audit(a)"
10. "sepmd -L PMDB0" を実行します。
2 分ほど待つと、ロック エラーのメッセージが表示されます。

### 出力メッセージは、AC ユーザを混乱させます。 このシナリオに合ったメッセージを出力してください。
   
77 3 UNAB Fixes an issue with Access Control where uxauthd crashes when user DN contained PU with 'DC' inside. ユーザの DN に、'DC' を持つ PU が含まれていると、uxauthd がクラッシュする問題を修正しました。 AC126SP10622 SUN SOLARIS When uxauthd looking for domain part, it erroneously cosider SDC  uxauthd がドメイン部分を検索した際、SDC をドメインとみなします。                 
78 3 Windows endpoint user mode Fixes an issue with Access Control where character '|' was not escaped. 文字 '|' がエスケープされない問題を修正しました。 AC126SP10650 WINDOWS ALL Character '|' was not escaped. 文字 '|' がエスケープされていませんでした。 AC=^ so password(rules(prohibited(!"#$%&'\(\)=~\|\\))) there is a char '|' in the selang command. AC=^ so password(rules(prohibited(!"#$%&'\(\)=~\|\\)))
selang コマンド内に文字 '|' が含まれている。
Apply the fix selang. selang のフィックスを適用します。 run the command below, AC=^ so password(rules(prohibited(!"#$%&'\(\)=~\|\\))) you will see the problem. 以下のコマンドを実行します
AC=^ so password(rules(prohibited(!"#$%&'\(\)=~\|\\)))
問題を確認できます。
   
79 3 Unix endpoint user mode Fixes an issue with Access Control where in the PAM configuration file  pam_unix is set before requisite and the AC Native package has external dependencies. PAM 設定ファイル内で、必要条件を満たす前に pam_unix が設定される問題と AC ネイティブ パッケージに外部依存関係が存在する問題を修正しました。 AC126SP10651 All A new file is created in file modification and we never change the back the original file mode. 新規ファイルはファイル変更で作成されますが、ファイル モードが元のモードに変更されていません。 Problem occurs in AC install and AC uninstall only. AC のインストールおよびアンインストール時にのみ発生します。     please see steps in description. 説明に記載した手順を参照してください。 1669 TC61196
80 3 Unix endpoint user mode Fixes an issue with Access Control where seagent consumes high CPU usage. seagent による CPU 使用率が高い問題を修正しました。 AC126SP10661 All According to debug log collected from the client's machine, the high CPU usage is caused by an endless loop in a tcp/ip call that the seagent make. seagent make an tcp/ip call and that call is trapped in an endless loop. クライアント マシンから収集したデバッグ ログによると、高い CPU 使用率の原因は、seagent の TCP/IP コール内で発生している無限ループです。seagent による TCP/IP コールが無限ループに入っています。 Problem could be reproduced on a busy network environment. ビジーなネットワーク環境上で再現できる場合があります。 Apply the fix seagent. seagent のフィックスを適用します。 There are no reproducing steps. 再現手順はありません。 1708 T243923
81 2 ENTM Fixes an issue with Access Control where overriding occurs when requesting privileged account for the same account by the same user more than once. 同じユーザが同じアカウント用に特権アカウントを複数リクエストすると、リクエストが上書きされる問題を修正しました。 AC126SP10667 ALL             1. Login EntM UI as requester and request a privileged account with future
time range
e.g.
current time is 04:00 P.M
request time 05:00 P.M - 06:00 P.M
2. Login EntM UI as approver and approve above request
3. Login EntM UI as requester again and request same privileged account
with different time range
e.g.
request time 07:00 P.M - 08:00 P.M
This causes override of previous approved request.
1. リクエスタとして EntM UI にログインし、将来の時間範囲について特権アカウントのリクエストを行います。

現在の時刻: 04:00 PM
リクエスト時刻: 05:00 PM ~ 06:00 PM
2. 承認者として EntM UI にログインし、リクエストを承認します
3. 再度リクエスタとして EntM UI にログインし、別の時間範囲について同じ特権アカウントをリクエストします

リクエスト時刻: 07:00 PM ~ 08:00 PM
これにより、承認されたリクエストが上書きされます。
10 T5P0088
82 3 Unix endpoint kernel mode Fixes an issue with Access Control where sewhoami from GDM terminal shows repv GDM login user which is not defined in AC. GDM 端末で sewhoami を使用すると、以前 GDM にログインしたユーザが表示されます。このユーザは AC 内で定義されていません。 AC126SP10692 LINUX all Process exit handler bypass procserver_clean_gdm if acee == 0(_undefined) acee == 0(_undefined) の場合、プロセス終了ハンドラが procserver_clean_gdm をバイパスします osuser_enabled=no previously GDM logged in user is not defined in AC osuser_enabled=no
以前 GDM にログインしたユーザが AC で定義されていません
    [Env] AC r12.5SP5, r12.6 / RHEL [Problem] "root" is shown as general user by sewhoami while "id" shows "root". [Step] 1. login by general user(non root) via console(gdm-binary). 2. logout from console. 3. login by root via console(gdm-binary). 4. Open the terminal window and run "sewhoami" and "id". "sewhoami" shows the previous user name while "id" is root. [Finding] It occurs when osuser_enabled=no or general user is not in ladb. [環境]
AC r12.5SP5、r12.6 / RHEL

[問題]
sewhoami によって "root" ユーザが一般ユーザとして表示されます。"id" は "root" が表示されます。

[手順]
1. 一般ユーザ(root 以外)としてコンソールからログインします(gdm-binary)。
2. コンソールからログアウトします。
3. root としてコンソールからログインします(gdm-binary)。
4. ターミナル ウィンドウを開き、"sewhoami" および "ID" を実行します。
"sewhoami" で前のユーザ名が表示されますが、"ID" は "root" です。

[調査結果]
osuser_enabled=no に設定されている、または、一般ユーザが ladb に存在しない場合に発生します。
   
83 2 Unix endpoint user mode Fixes an issue with Access Control where errors cause SELOGRD. to crash on User Trace. エラーにより SELOGRD が USER TRACE でクラッシュする問題を修正しました。  AC126SP10693 UNIX ALL Stability problem in code responsible for transformation audit records before sending to syslog. syslog への送信前に監査レコードを変換するコードの安定性の問題。             1706 T5P7139
84 3 Windows endpoint user mode、Unix endpoint user mode Fixes an issue with Access Control where upgrade policy fails if a policy contain a deleted version. ポリシーに削除されたポリシー バージョンが含まれる場合、ポリシーのアップグレードが失敗する問題を修正しました。 AC126SP10715 Windows all, Unix all                    
85 1 Unix endpoint user mode Fixes an issue with Access Control where AIX - OSMD wrongly calculated by getvar and thus SEOS_syscall link was missing. AIX - OSMD が getvar によって正しく計算されないために SEOS_syscall のリンクが表示されない問題を修正しました。 AC126SP10753 AIX In customer environment, there are two results which starts from "lbolt" in
an output of "nm -p -X32_64 /unix", so "OSMD" was set as "64 <LF> 64".
As a result, symbolic link for "64" was created in the current directory
like below.
 
Sym_link_ /opt/CA/AccessControl/bin/SEOS_syscall.710.64 64
/opt/CA/AccessControl/bin/SEOS_syscall
 
# lbin/getvar.sh OSMD
64
64
 
# nm -p -X32_64 /unix | awk '/ lbolt/'
お客様の環境では、"nm -p -X32_64 /unix" の出力に "lbolt" で始まる項目が 2 つあり、
これにより、"OSMD" が "64 <LF> 64" と設定されていました。
その結果、"64" のシンボリック リンクが現在のディレクトリに以下のように作成されていました。 
 
Sym_link_ /opt/CA/AccessControl/bin/SEOS_syscall.710.64 64
/opt/CA/AccessControl/bin/SEOS_syscall
 
# lbin/getvar.sh OSMD
64
64
 
# nm -p -X32_64 /unix | awk '/ lbolt/'
            1711 T3E7143
86 2 Windows endpoint user mode Fixes an issue with Access Control where the native user's login daytime restrictions are not shown correctly in selang NT environment and changing it from selang causes wrong change in the native user. ネイティブ ユーザのログイン日時制限が selang NT 環境では正しく表示されず、selang で変更すると不正に変更される問題を修正しました。 AC126SP10770 Windows x64 Adjusted restriction_array from localtime to GMT(or GMT to localtime) was not returned properly to calling function. ローカル時刻から GMT (または GMT からローカル時刻)に調整した restriction_array が、呼び出し関数に適切に返されていませんでした。 Local time is not GMT Windows DC x64 ローカル時刻は GMT ではない Windows DC x64     1. Create native user.
2. Check native user login daytime restrictions by native tool.
-> by default, login is permitted anyday, anytime (1.png)
3. Check daytime restriction for native user from selang
\> selang
AC> env nt
AC(nt)> su user tanma07
[expected result]
daytime shows "Anyday Anytime"
[actual result]
daytime shows "Anyday 00:00 to 00:00"
4. Change daytime restriction from native tool
(set deny Sunday all times - 2.png)
5. Check daytime restriction for native user from selang again
-> daytime still shows "Anyday 00:00 to 00:00"
6. Change daytime restriction from selang
AC(nt)> eu user tanma07 restrictions(d(Mon,Tue,Wed,Thu,Fri) t(0900:1800))
7. Check native user login daytime restrictions by native tool.
[expected result]
change from selang is reflected to native user correctly. 
[actual result]
all days all times becomes deny
1. ネイティブ ユーザを作成します。
2. ネイティブ ユーザのログイン日時制限をネイティブ ツールでチェックします。
-> デフォルトでは、あらゆる日時のログインが許可されています(1.png)
3. selang を使用してネイティブ ユーザの日時制限を確認します。
\> selang
AC> env nt
AC(nt)> su user tanma07
[期待される結果]
daytime が "Anyday Anytime" と表示される
[実際の結果]
daytime が "Anyday 00:00 to 00:00" と表示される
4. ネイティブ ツールを使用して日時制限を変更します。
(日曜については、終日拒否するよう指定します - 2.png)
5. 再度 selang を使用してネイティブ ユーザの日時制限を確認します。
-> daytime は前と同様に "Anyday 00:00 to 00:00" と表示されます
6. selang を使用して日時制限を変更します。
AC(nt)> eu user tanma07 restrictions(d(Mon,Tue,Wed,Thu,Fri) t(0900:1800))
7. ネイティブ ユーザのログイン日時制限をネイティブ ツールでチェックします。
[期待される結果]
selang からの変更が、ネイティブ ユーザに正しく反映される。 
[実際の結果]
すべての日時が拒否される。
   
87 2 ENTM Fixes an issue with Access Control where the same message is reported twice. 同じメッセージが 2 回レポートされる問題を修正しました。 AC126SP10783 ALL         To Avoid of duplicate reported events, check if the event was added to the returned vector the key of the event is Task session Id, Account Name , End point type and observe IT session Delete duplicate validation message レポート イベントの重複を回避するには、そのイベントが返された Vector に追加されたものかどうかを確認します。
イベントのキーは、タスク セッション ID、アカウント名、エンドポイント タイプ、および ObserveIT セッションです。

重複している確認メッセージは削除します。
1. Login as superadmin
2. Go to Home > My Privileged Account
3. One of account select and check out in Action list
4. Check in at same account
5. Check audit log Privileged Accounts > Audit > Audit Privileged Accounts
6. Check audit log
1. superadmin としてログインします
2. [ホーム] > [マイ特権アカウント]に移動します
3. アカウントを 1 つ選択し、[アクション]リストでチェック アウトします
4. 同じアカウントをチェック インします
5. 確認監査ログ[特権アカウント] > [監査] > [特権アカウントの監査]の監査ログを確認します
6. 監査ログを確認します
12 T5P0091
88 2 ENTM Fixes an issue with Access Control where the server.log file shows errors. server.log ファイルにエラーが表示される問題を修正しました。 AC126SP10797 ALL This error is related to initialize env. The log the system are ignore when the task is loaded. このエラーは、環境の初期化に関連しています。 タスク ロード時にシステムが無視されるとログに記録されます。         During Jboss start up observing a reported error ERROR [ims.llsdk.environment] Plugin specified an object type [ACCOUNT PASSWORD] for which there is already Jboss の起動中にレポートされるエラーを確認します
ERROR [ims.llsdk.environment]
プラグインは、すでに使用中のプロバイダが存在するオブジェクト タイプ[ACCOUNT PASSWORD]を指定しています
   
89 2 Unix endpoint user mode Fixes an issue with Access Control where when the ACEE table is full, seosd does not enter periodic jobs, missing timer event from watchdog. ACEE テーブルがいっぱいになると、seosd が定期的にジョブを入力しなくなり、Watchdog からタイマ イベントが失われます。 AC126SP10802 All The wachdog maintains dynamic queue of events to be handled. After handling current event watchdog removes it from queue. When all events are done the watchdog is refreshing queue adding all internal events again to queue. The problem is that some handlers add new event to queue. As result queue is never empty and watchdog does not add internal events to queue. Wachdog は、処理するイベントのダイナミック キューを保持しています。 処理されたイベントは、Watchdog がキューから削除します。 すべてのイベントが終わると、Watchdog は、キューをリフレッシュし、すべての内部イベントをキューに再度追加します。 ここで問題になるのは、ハンドラがキューに新しいイベントを追加する場合があることです。 その結果、キューは完全に空にはならず、Watchdog はキューに内部イベントを追加しません。 The AC DB has extended policy including many untrusted programs. The watchdog checks programs trust status and generates new events to be handled. AC DB に、多くの untrusted プログラムを含む拡張ポリシーが存在する。 Watchdog は、プログラムの信頼ステータスを確認して処理対象となる新規イベントを生成する。 Change watchdog timer handler, after sending timer message put event again to watchdog queue. タイマ メッセージの配置イベントを Watchdog キューに再度送信後、Watchdog のタイマ ハンドラを変更します。 ACEE table leak reproduced with customer's DB and seos.ini ACEE テーブルのリークは、お客様の DB と seos.ini を使用して再現しました 1710 T3DB100
90 2 UNAB Fixes an issue where NSS calls failed due nss.db was locked (busy). To avoid this lock error handling was improved.  nss.db のロック(ビジー)により NSS コールが失敗する問題を修正しました。 このロックを回避するために、エラー処理を改善しました。  AC126SP10809 SUN SOLARIS     N/A 該当なし N/A 該当なし N/A 該当なし    
91 2 ENTM Fixes an issue with Access Control where client found the password change event recorded as GMT when he checked in as privileged account. 特権アカウントをチェックインすると、パスワードの変更イベントが GMT で記録される問題を修正しました。 AC126SP10815 ALL Different dates and times are shown in the adjacent fields without timezone code. 隣接するフィールドに、異なる日時がタイムゾーン コードなしで表示される。         1. Requester check out Privileged Account via Enterprise Management GUI.
2. Approver force checkin
3. See the audit log for force checkin event.
1. エンタープライズ管理 GUI でリクエスタが特権アカウントをチェック アウトします。
2. 承認者が強制チェックインします
3. 強制チェックインの監査ログを確認します。
12 T5P0091
92 3 ENTM Fixes an issue with Access Control where the PUPM UI Slowness after adding 20,000 accounts Disney performance - myaccountsTab 20000 個のアカウントを追加すると、PUPM UI の動作が遅くなる問題を解決しました(Disney performance - myaccountsTab)。 AC126SP10832 ALL Problem occurs when 20,000+ accounts are defined in PUPM with 3,000+ endpoints. 3000 以上のエンドポイントがある PUPM で 20000 以上のアカウントを定義するとこの問題が発生します。             16 T5P0102
93 3 Unix endpoint user mode Fixes an issue with Access Control where sebuildla -h -l does not add host that has more than one addrinfo to ladb. 複数の addrinfo を持つホストを sebuildla -h -l で ladb に追加できない問題を修正しました。 AC126SP10844 UNIX ALL sebuildla -h -l does not add host that has more than one addrinfo to ladb. sebuildla -h -l は、複数の addrinfo を持つホストを ladb に追加しません。 Host in hostlist has more than one addrinfo /etc/hosts: 10.181.226.185 ayng11 ayng11hl ::10.181.226.185 ayng11 ayng11hl # IPv6 # cat /opt/CA/AccessControl/ladb/hostlist ayng11 ホスト リスト内のホストに複数の addrinfo がある

/etc/hosts: 10.181.226.185 ayng11 ayng11hl
::10.181.226.185 ayng11 ayng11hl # IPv6

# cat /opt/CA/AccessControl/ladb/hostlist
ayng11
    /etc/hosts: 10.181.226.185 ayng11 ayng11hl ::10.181.226.185 ayng11 ayng11hl # IPv6 # cat /opt/CA/AccessControl/ladb/hostlist ayng11 # sebuildla -h -l CA Access Control: Creating hosts look-aside database using a list file. No host entries were found. If /etc/hosts entry is below, it is OK to update ladb with sebuildla -h -l. /etc/hosts: 10.181.226.185 ayng11 ayng11hl /etc/hosts:
10.181.226.185 ayng11 ayng11hl
::10.181.226.185 ayng11 ayng11hl # IPv6

# cat /opt/CA/AccessControl/ladb/hostlist
ayng11

# sebuildla -h -l
CA Access Control: リスト ファイルを使用してホスト look-aside データベースを作成。
ホスト エントリが見つかりません。
/etc/hosts エントリが以下の場合、sebuildla -h -l で ladb を更新できます。
/etc/hosts:
10.181.226.185 ayng11 ayng11hl
1714 T4CC143
94 2 UNAB Fixes an issue with Access Control where the short hostname support in uxpreinstall. uxpreinstall で短いホスト名がサポートされる問題を修正しました。 AC126SP10858 UNIX ALL                    
95 2 Win endpoint kernel mode Fixes an issue with Access Control where the AC protection does not work for the drive. ドライブに対して AC の保護が機能しない問題を修正しました。 AC126SP10876 WINDOWS ALL Volume mount type selection code too restrictive マウントするボリュームのタイプ選定コードが限定的すぎる     Removed volume type selection code ボリューム タイプの選択コードを削除しました        
96 3 Unix endpoint user mode Fixes an issue with Access Control where seosini -s shows "Invalid or incomplete multibyte or wide character" when AC is running. AC の起動中に seosini -s を実行すると、「無効または不完全なマルチバイトまたはワイド文字です」と表示される問題を修正しました。 AC126SP10892 LINUX all After fail to write a token to seos.ini AC print errno but on lunxu errno is overwritten before print it for some reasons. seos.ini へのトークンの書き込み失敗後、AC はエラー番号を出力しますが、LINUX 上では何らかの理由によりこのエラー番号が出力前に上書きされます。 seini -s fails as AC is running on lunux LINUX 上で AC を実行中に seini -s が失敗する     start AC # seini -s serevu.def_disable_time "FOREVER" seini: ERROR setting token serevu.def_disable_time to 'FOREVER':Invalid or incomplete multibyte or wide character AC を起動します
# seini -s serevu.def_disable_time "FOREVER"
seini: ERROR がトークン serevu.def_disable_time を 'FOREVER' に設定: 無効または不完全なマルチバイトまたはワイド文字です
   
97 2 ENTM Fixes an issue with Access Control where during installation the license agreement is in English and not the translated language. インストール中、使用許諾契約が翻訳された言語ではなく英語で表示される問題を修正しました。 AC126SP10900 ALL                    
98 2 ENTM Fixes an issue with Access Control where the month and date are displayed incorrectly. 月日の形式が不正確に表示される問題を修正しました。 AC126SP10901 ALL                    
99 2 ENTM Fixes an issue where Access Control fails to fetch disconnected endpoint type from the DB. DB から接続解除したエンドポイント タイプを Access Control が取得できない問題を修正しました。 AC126SP10912 ALL Disconnected endpoint type doesn't exists at DB, since it was not driven by JCS (it should not be driven by JCS, this is ubnormal endpoint type ) DB から接続解除したエンドポイント タイプは、JCS が実行していたものではないため、DB 内に存在しません(異常なエンドポイント タイプなので JCS の実行対象ではありません)     Avoid of retrieving Disconnected endpoint type from DB since it doesn't exist there DB から接続解除したエンドポイント タイプは DB 内に存在しないため、取得しないようにします。 Create a disconnected endpoint and then a disconnected account on this endpoint. Then failed to reset password manual 接続解除したエンドポイントを作成し、このエンドポイント上に接続解除したアカウントを作成します。 パスワードの手動リセットが失敗します。    
100 3 Unix endpoint user mode Fixes an issue with failed SSH login. SSH ログインが失敗する問題を修正しました。 AC126SP10926 UNIX ALL Cannot find shared libcrypt 共有 libcrypt が見つかりません KBL enabled KBL 有効 emove flag -lcrypt from compilation. The cmdlog does not need it. コンパイル時、フラグ -lcrypt を削除します。 cmdlog では不要です。 seos.ini kbl_enabled=yes AC=^ eu test audit(interactive) =^ ssh ismesl12 -l test Password: ld.so.1: -sh: fatal: libcrypt_d.so.1: open failed: No such file or directory Connection to ismesl12 closed. ==^ CONNECTION fails seos.ini kbl_enabled=yes
AC=^ eu test audit(interactive)
=^ ssh ismesl12 -l test
パスワード:
ld.so.1: -sh: fatal: libcrypt_d.so.1: 開くことができませんでした: 指定のファイルまたはディレクトリが見つかりません。
ismesl12 への接続が終了しました。
==^ CONNECTION 失敗
1719 T3DB103
101 3 Unix endpoint user mode Fixes an issue with Access Control where an unexpected output from "who am i" after "su". "su" の後に "who am i" を実行すると想定外の出力が行われる問題を修正しました。 AC126SP10953 All Both original user and root are tracked by AC KBL. After command "su" KBL starts new session and new tty. As result "who" looks for root tty in utmp database 元のユーザと root は AC KBL によってトラッキングされます。 "su" コマンドの実行後、KBL は新しいセッションと新しい tty を開始します。 その結果、"who" は utmp データベース内で root tty を検索します。 KBL enabled, "root" has audit flag "interactive" KBL が有効で、"root" に監査フラグ "interactive" が設定されている Take user name from seosd when building new utmp record. The seosd keeps originally logged in user. 新しい utmp レコードを構築する際、seosd からユーザ名を取得します。 seosd は元のログイン ユーザを保持します。 seos.ini kbl_enabled = yes AC=^ nu test audit(interactive) AC=^ eu root audit(interactive) AC=^ auth program /work/opt/CA/AccessControl/bin/sesudo uid(test) access(a) AC=^ nr sudo su data('/bin/su') defaccess(a) login as user 'test' -sh-3.00$ tty /dev/pts/4 -sh-3.00$ /work/opt/CA/AccessControl/bin/sesudo su [root@ismelx77 /]# tty /dev/pts/5 [root@ismelx77 /]# who am i root pts/5 Feb 28 22:44 (ismesl07.memco.co.il) EXPECT: user "test", not root seos.ini kbl_enabled = yes
AC=^ nu test audit(interactive)
AC=^ eu root audit(interactive)
AC=^ auth program /work/opt/CA/AccessControl/bin/sesudo uid(test) access(a)
AC=^ nr sudo su data('/bin/su') defaccess(a)
ユーザ 'test' としてログインします
-sh-3.00$ tty
/dev/pts/4
-sh-3.00$ /work/opt/CA/AccessControl/bin/sesudo su
[root@ismelx77 /]# tty/
dev/pts/5
[root@ismelx77 /]# who am i
root pts/5 Feb 28 22:44 (ismesl07.memco.co.il)
期待される結果: root ではなくユーザ "test"
1716 T3DB101
102 3 Unix endpoint kernel mode Fixes an issue with Access Control where KBL tests fail, audit records for KBL are not saved. KBL テストが失敗し、KBL の監査レコードが保存されない問題を修正しました。 AC126SP10954 LINUX all The AC kernel does not replace shell path and exec does not run "cmdlog" on i86. bug after package AC126SP10190 AC カーネルはシェル パスを置換しません。また、exec は i86 上で "cmdlog" を実行しません。パッケージ AC126SP10190 以降で発生するバグです。 KBL enabled KBL 有効 There are in my_exec code several ifdefs for different platforms. Some platforms should call SEOS_do_execve(user_pn.pn_path). This structure "user_pn.pn_path) keeps replaced path. 異なるプラットフォーム用の複数の ifdef が my_exec コード内にあります。 プラットフォームによっては SEOS_do_execve(user_pn.pn_path)をコールする必要があります。 この構造 "user_pn.pn_path) で置換されたパスを保持します。 test UTIL/kbl_admPassNoAudLgff UTIL/kbl_admPassNoAudLgff をテストする    
103 1 ENTM Fixes an issue with Access Control pre-requisites installer where the names of the JDK installation is placed incorrectly in the localized programs folder. Access Control の前提条件のインストールで、KDK インストールの名前が、ローカライズされたプログラム フォルダ内に不正に配置される問題を修正しました。 AC126SP10961 ALL                    
104 2 ENTM Fixes an issue with Access Control where if ObserveIT agent/server is not available, then the user still has access to the open remote session. ObserveIT エージェント/サーバを利用できなくても、ユーザがオープン リモート セッションにアクセスできる問題を修正しました。 AC126SP10964 ALL No reference to a failed observe it session 失敗した ObserveIT セッションが参照されません     Edit the VB script, Close window session if session recording was not started (the retured token is 0000000-0000-0000-0000-000000000000) VB スクリプトを編集し、セッションの記録が開始されていない場合は、ウィンドウ セッションを閉じます(返されるトークン: 0000000-0000-0000-0000-000000000000) Configure endpoint to have Observe it recording. if Observe IT recording session was not started properly, still the window session remains open ObserveIT を記録するようにエンドポイントを設定します。
ObserveIT の記録セッションが正常に開始されない場合は、ウィンドウ セッションが開いたままです。
   
105 3 Unix endpoint user mode Fixes an issue where the username is defined in upper case in LDAP or AD. LDAP と AD でユーザ名が大文字で定義される問題を修正しました。 AC126SP10972 UNIX ALL The problem is when the user login in lower case (enter the name in lower case). A mis-match occurs in sewhoami. この問題は、ユーザが小文字でログイン(ユーザ名を小文字で入力)した場合に発生します。 sewhoami で不一致が発生します。     we can use loginflag(none) as a workaround. When loginflag(none) is used, the user name is resolved in ladb. 回避策として loginflag(none) を使用できます。 loginflag(none) を使用すると、ユーザ名は ladb で解決されます。     1722 T243956
106 2 UNAB Fixes an issue with Access Control where multiple UNAB restarts happen while AC is installed after the UNAB Installation. UNAB のインストール後に AC をインストールすると UNAB が複数回再起動される問題を修正しました。 AC126SP10974 UNIX ALL Long time reason - installation on that machine takes a long time 長時間を要した理由 - 使用したマシンでのインストールに長時間を要したため                
107 1 Unix endpoint user mode Fixes an issue ReportAgent - Sending SIGTERM to pid 0 (if root then this kills almost all processes) at 23:30. 23:30 に ReportAgent が pid 0 に SIGTERM を送信する問題(root の場合は、ほぼすべてのプロセスが強制終了)を修正しました。 AC126SP10980 UNIX ALL         Apply AC126SP10980 or stop ReportAgent. AC126SP10980 を適用、または ReportAgent を停止します。     1711 RO46016
108 1 Unix endpoint user mode Fixes an issue Login sequence not working for SSH - Linux AS5.x. SSH でログイン シーケンスが機能しない問題を修正しました - Linux AS5.x AC126SP10982 UNIX ALL After upgrade AC from r12.5 SP3 to r12.5 SP5, AC does not recognize LOGIN  r12.5 SP3 から r12.5 SP5 に AC をアップグレードすると、AC が LOGIN を認識しなくなります         1. Install AC r12.5 SP3 on RHEL 5.5(x86)
2. Change rule at LOGINAPPL as following:
er LOGINAPPL SSH loginflags(none)
3. Login as non-root user.
4. Check LOGIN log at audit log and sewhoami command output.
check both of them shows login user name
5. Stop AC and kernel and upgrade from r12.5 SP3 to r12.5 SP5.
6. Review SSH rule and there is no change from step 2.
7. Login as non-root user again. 
1. RHEL 5.5(x86)に AC r12.5 SP3 をインストールします
2. LOGINAPPL で以下のようにルールを変更します
er LOGINAPPL SSH loginflags(none)
3. root 以外のユーザとしてログインします。
4. 監査ログおよび sewhoami コマンドの出力で LOGIN のログを確認します。
両方でログイン ユーザ名が表示されていることを確認します
5. AC と カーネルを停止し、r12.5 SP3 から r12.5 SP5 にアップグレードします。
6. SSH ルールが手順 2 から変更されていないことを確認します。
7. root 以外のユーザとして再度ログインします。 
   
109 2 ENTM Fixes an issue with Access Control where Worldview date sort order are sorted alphanumerically on the name of the month rather than the number of the month. ワールド ビューの日付が、月の順序ではなく月のアルファベット順に並べ替えられる問題を修正しました。 AC126SP11004 ALL The column get property definition set the Last update filed as date string この列は、最終更新フィールドのプロパティ定義セットを日付文字列として取得しています         Sorting Last Staus field at the world view page doesn't sort by date, but by string value ワールド ビュー ページで最終更新フィールドを並べ替えると、日付ではなく日付の値で並べ替えられます。 102 T5P0098
110 2 ENTM Fixes an issue with Access Control where customer can see no update in the UI when executing 5 users delete exception. It does not occurred equal or under 4 user. 5 個のユーザの例外削除を実行すると、UI 内に更新が表示されない問題を修正しました。 ユーザが 4 個以下だと発生しません。 AC126SP11013 ALL     AC with SiteMinder Integration SiteMinder と統合して AC を使用     1. Login as requester, 2000013
2. Create request for 5 or more Privileged Account.
to Start exception duration is between now and 1 hour as default.
3. Login as approver, 3010003
4. Approved all request
5. Login as superadmin.
6. To delete all exception go to exception list.
7. Delete above exception account
8. Please see in Audit log for Privileged Account
1. リクエスタとしてログインします, 2000013
2. 5 個以上の特権アカウントのリクエストを作成します。
開始時の例外期間は、デフォルトで現在から 1 時間です
3. 承認者としてログインします, 3010003
4. リクエストをすべて承認します。
5. superadmin としてログインします。
6. すべての例外を削除し、例外リストに移動します。
7. 上記の例外アカウントをすべて削除します。
8. 特権アカウントの監査ログを確認します。
   
111 1 Unix endpoint user mode Fixes an issue with Access Control where AC erases the system-auth symbolic link and it becomes a real link. AC が system-auth シンボリック リンクを削除し、リアル リンクとなってしまう問題を修正しました。 AC126SP11037 LINUX all The move command removes the system-auth link and creates a system-auth file instead. move コマンドが system-auth リンクを削除し、代わりに system-auth ファイルを作成します。                
112 2 ENTM Fixes an issue with Access Control where when selecting a native group at endpoint management the an error message appears. エンドポイント管理でネイティブ グループを選択すると、エラー メッセージが表示される問題を修正しました。 AC126SP11049 ALL Trying to cast a group property to the wrong property type 不正なプロパティ タイプにグループ プロパティをキャストしている     Code change: Casting the group property to the appropriate type コードを変更: グループ プロパティを適切なタイプにキャストするようにします 1. Create a PMDB 2. Stop Access Control 3. Connect to the PMDB in stand along mode (selang -p wind_policy) 4. Change the environment to native environment (env native) 5. Create a new group (say -- ng a) 6. Add a native user to this group 7. Start Access Control 8. From selang, connect to the PMDB, change the environment to native 9. The show group returns the name of the Group and the user added to this Group Problem:: -------------------- 10. Start the Endpoint Management UI and connect to the PMDB 11. Search for the Groups (internal groups) 12. The Group 'a' is listed 13. Clicking on this Group generates an error 1. PMDBを作成します
2. Access Control を停止します
3. スタンド アロン モードで PMDB に接続します(selang -p wind_policy)
4. 環境をネイティブ環境に変更します(env native)
5. 新しいグループを作成します(例 -- ng a)
6. このグループにネイティブ ユーザを追加します
7. Access Control を起動します
8. selang から PMDB に接続し、環境をネイティブに変更します
9. show group を実行すると、グループ名とグループに追加したユーザの名前が表示されます
問題::
 --------------------
10. エンドポイント管理 UI を開始し、PMDB に接続します
11. グループを検索します(内部グループ)
12. グループ 'a' がリスト表示されます
13. このグループをクリックするとエラーが発生します
103 T5P0100
113 2 Windows endpoint user mode Fixes an issue with Access Control where the selang command fails to update property DIAL_PERMISSION. selang コマンドが DIAL_PERMISSION プロパティの更新に失敗する問題を修正しました。 AC126SP11070 WINDOWS ALL The error is returned since the API is called with the structure RAS_USER_0 RAS_USER_0 構造体で API がコールされるためにエラーが発生します Windows 2008 Windows 2008 N/A 該当なし =^selang AC=^ environment nt AC(nt)=^ cu win_acnt1 gen_prop(DIAL_PERMISSION) gen_val(1) (localhost) NT : ==== ERROR: Failed to update USER win_acnt1 ERROR: NT Set user DialIn Property failed : Windows error code = 1003 (Cannot complete this function.) =^selang
AC=^ environment nt
AC(nt)=^ cu win_acnt1 gen_prop(DIAL_PERMISSION) gen_val(1)
(localhost)
NT :
====
エラー: ユーザ win_acnt1 の更新に失敗しました

エラー: NT ユーザ DialIn プロパティの設定に失敗しました : Windows エラー コード = 1003
(この関数を完了できません。)
   
114 2 ENTM Fixes an issue with Access Control where JUSTIFICATION Field at approver world item has no scroll bar. 作業アイテムの[理由]フィールドにスクロール バーがない問題を修正しました。 AC126SP11088 ALL         Code Change- Remove the "disabled" element allowing the scrolling bar to be active at IE browser at the justification field コード変更 - 無効なエレメントを削除します。これにより、IE ブラウザ上で理由フィールドのスクロール バーがアクティブになります。 1. Create pribileged account request with justification that contains more then four lined.
2. Open IE browser, and open the work item of the approver for the requested account.
3. the justification field has a scroll bar but it is enabled.
1. 5 行以上の理由を持つ特権アカウント リクエストを作成します。
2. IE ブラウザを開き、リクエストしたアカウントに対する承認者の作業アイテムを開きます。
3. [理由]フィールドにスクロール バーがあり、有効化されていません。
   
115 2 ENTM Fixes an issue with Access Control where an error occurs when the scoping rule dynamically needs to be resolved with User object. ユーザ オブジェクトで動的に解決する必要があるスコーピング ルールがある場合にエラーが発生する問題を修正しました。 AC126SP11112 ALL When having scoping rule which need dynamicly to be resolved with User object, getting an error since the Context (which holds handle to User) is null. ユーザ オブジェクトで動的に解決する必要があるスコーピング ルールがある場合、コンテキスト(ユーザのハンドルを保持)が NULL であるためにエラーが発生します。     Code Change- Add method for findManagedObjects getting the context as parameter コード変更 - findManagedObjects にパラメータとしてコンテキストを取得するメソッドを追加します 1. Created a new role which is a copy of the OOTB Role “Break Glass”. 2.Define scoping rule having the following rule: where (Account Name = admin’s User ID 3.Create some Privileged accounts that have the name "per" 4.Create user by name "per" 5.log in with the new user, at My Provileged Accounts page select advance abd check the break glass check box. submit the search 6. No results retrieves 1. OOTB ロール “Break Glass” をコピーして新しいロールを作成します
2. 次のルールを持つスコーピング ルールを定義します: アカウント名 = 管理者のユーザ ID
3. 名前が "per" である特権アカウントを複数作成します
4. 名前が "per" のユーザを作成します
5. 新しいユーザでログインし、[マイ特権アカウント]ページで[Advance abd]チェックボックスと[Bradk Glass]チェックボックスをオンにします。検索をサブミットします。
6. 結果が取得されません
   
116 2 Unix endpoint user mode Fixes an issue with Access Control where
 seosd crash accessing null pointer.
seosd が null ポインタへのアクセスでクラッシュする問題を修正しました。 AC126SP11114 All seosd file table search attempt access empty table slot. ----------------------- INTERNAL: Possibly file audit event comes from kernel after file was removed in DB. The seosd cleans both kernel file table and kernel file cache when removing file entry. However possibly event was already routed to seosd while deleting file in DB seosd のファイル テーブル検索が空のテーブル スロットへのアクセスを試行します。
-----------------------
内部:
ファイルが DB から削除された後にカーネルから監査イベントが渡されているものと推測されます。
ファイル エントリを削除する際、seosd はカーネル ファイル テーブルおよびカーネル ファイル キャッシュの両方を削除します。ただし、DB でのファイルの削除中、イベントがすでに seosd にルーティングされている可能性があります。
no specific conditions 特定の条件なし Check file table entry before accessing it ファイル テーブル エントリにアクセスする前にチェックを行います Not reproduced in Lab ラボでは再現できませんでした 1725 T3DB106
117 3 Windows endpoint user mode Fixes an issue with Access Control where own password change fails in native PMDB when the current user does not exist. 現在のユーザが存在しない場合、ネイティブ PMDB で自分のパスワード変更が失敗する問題を修正しました。 AC126SP11117 WINDOWS ALL Own user creation with password attribute in native pmdb is not allowed. ネイティブ pmdb 内でパスワード属性を持つ自分自身のユーザを作成することが許可されていません。 own user creation with password attribute in native pmdb setoptions cng_ownpwd is enabled ネイティブ pmdb に、パスワード属性を持つ自分自身のユーザを作成する
setoptions cng_ownpwd が有効
Create own user without password attribute in native PMDB first, then update the user with password attribute. 自分自身のユーザとして、パスワード属性を持たないユーザを作成し、後でパスワード属性を追加します。 1. Create pmdb and subs localhost
2. Make sure the follwoing policies are set to seosdb and pmdb setoptions class-(PASSWORD) setoptions cng_adminpwd setoptions cng_ownpwd setoptions password(rules(bidirectional))
3. Set parent_pmd to pmdb@localhost
4. Create a user with admin attr in pmdb and propagate it AC=^ ho pmdb@ AC=^ eu user password(**********) AC=^ auth terminal localhost uid(user) acc(a)
5. Unsubs localhost
6. Remove the user from native pmdb AC=^ ho pmdb@ AC=^ env native AC=^ ru user
7. Subs localhost
8. Login the server with that user and connect to the pmdb. AC=^ ho pmdb@
9. Change the own password. AC=^ eu user password(**********) (pmdb@localhost) USER Successfully updated user (pmdb@localhost) Native: === ERROR: Operation not allowed -----=^ this should be successfull
1. pmdb を作成し、ローカル ホストをサブスクライブします
2. seosdb と pmdb に以下のポリシーが設定されていることを確認します
class-(PASSWORD)
setoptions cng_adminpwd
setoptions cng_ownpwd
setoptions password(rules(bidirectional))
3. parent_pmd を pmdb@localhost に設定します
4. 管理者属性を持つユーザを pmdb に作成し、伝達します
AC=^ ho pmdb@
AC=^ eu user password(**********)
AC=^ auth terminal localhost uid(user) acc(a)
5. ローカル ホストをサブスクライブ解除します
6. ネイティブ pmdb からユーザを削除します
AC=^ ho pmdb@
AC=^ env native
AC=^ ru user
7. ローカル ホストをサブスクライブします
8. そのユーザでサーバにログインし、pmdb に接続します。
AC=^ ho pmdb@
9. 自分自身のパスワードを変更します。
AC=^ eu user password(**********)
(pmdb@localhost)
ユーザを正常に更新できました。

(pmdb@localhost)
ネイティブ:
===
エラー: この操作は許可されていません。 -----=^ 操作が正常に完了する必要があります
   
118 2 Windows endpoint user mode Fixes an issue with Access Control Winservice problem. Windows サービスの問題を修正しました。 AC126SP11123 WINDOWS ALL Some rules for windows services seem not to have the expected effect, that is, one can set up a rule for a window service that allows only to stop the service, but the service can then be equally started.  Windows サービス用ルールの中に、期待される効果を持たないものがあります。Windows サービスの停止のみを許可するルールを設定しても、その後、停止されたサービスが同様に開始されます。      Softened validation checks 妥当性チェックの基準を緩めました er WINSERVICE spooler own(nobody) defacc(r,stop)
net stop spooler <----Works
net start spooler <----Works but according to the rule above, shouldn't 
er WINSERVICE spooler own(nobody) defacc(r,stop)
net stop spooler <---- 有効
net start spooler <---- 有効だが、上記ルールに従えば無効となるべきです
555 T243962
T243963
119 3 Windows endpoint user mode Fixes an issue with Access Control where the password disable is defaulted as 60 minutes. パスワード無効化のデフォルト値が 60 分に設定されている問題を修正しました。 AC126SP11127 Windows all Disable(0) is defaulted as 60(minutes) Disable(0) が 60 (分)に設定されていました Execute so password(disable(0)) in native environment ネイティブ環境で so password(disable(0)) を実行する N/A 該当なし AC=^ env nt AC(nt)=^ so list (localhost) NT : ==== Data for Windows Account Policies ----------------------------------------------------------- ... Password fails : 0 Disable : 30 Off hours disconnect : 8 Reset count after : 30 ... AC(nt)=^ so password(disable(0)) (localhost) NT : ==== Successfully updated CA Access Control options AC(nt)=^ so list (localhost) NT : ==== Data for Windows Account Policies ----------------------------------------------------------- ... Password fails : 5 Disable : 60 ^==== Strange! We can't set 0 Off hours disconnect : 8 Reset count after : 30 ... # open "Local Security Policy" again and check "Account lockout policy" # you can confirm "Account lockout duration" as 60, not 0. It should be as 0. AC=^ env nt
AC(nt)=^ so list
(localhost)
NT:
====
Windows アカウント ポリシーのデータ
-----------------------------------------------------------
...
パスワード失敗回数: 0
無効: 30時間外の切断: 8
カウンタ リセット間隔: 30
...

AC(nt)=^ so password(disable(0))
(localhost)
NT:
====
CA Access Control オプションの更新に成功しました。

AC(nt)=^ so list
(localhost)
NT:
====
Windows アカウント ポリシーのデータ
-----------------------------------------------------------
...
パスワード失敗回数: 5
無効: 60 ^==== 値が不正です。0 に設定されていません。
時間外の切断: 8
カウンタ リセット間隔: 30
...
# "Local Security Policy" を再度開き、"Account lockout policy" を確認します
# "Account lockout duration" が 0 ではなく 60 に設定されています。

0 に設定されている必要があります。
   
120 3 Windows endpoint user mode、Unix endpoint user mode Fixes an issue with Access Control where DMS is unresponsive. DMS が無応答になる問題を修正しました。 AC126SP11145 All     The command contains property ON_BEHAVE_OF. コマンドに ON_BEHAVE_OF プロパティが含まれている。 Need the fix seagent. seagent のフィックスが必要です。 Create a policy and assign a policy to an hnode. check the error log for DMS__. "sepmd -e DMS__". ERROR: You cannot use more than one value for property ON_BEHAVE_OF. ポリシーを作成し、hnode に割り当てます。
DMS__ のエラー ログを確認します。
"sepmd -e DMS__"。
エラー: プロパティ ON_BEHAVE_OF に複数の値を使用できません。
   
121 3 ENTM Fixes an issue with Access Control where the return to search button takes the user to a random page. [検索に戻る]ボタンをクリックすると、ランダムなページに移動する問題を修正しました。 AC126SP11210 ALL It is framework issue the item are not on the session フレームワークの問題(項目がセッションに存在しない) N\A 該当なし N\A 該当なし Create reports more then the pageing size(20). Go To : Reports -=^ View My Reports -=^ Click on the serach button a list of results will display on the page navigate to the next page and select (check) a item then click on select button the report will display Next click on the button Return To Search the search page return to the first page . ページング サイズが 20 よりも多いレポートを作成します。
移動:

[レポート] -=^ [マイ レポートの表示] -=^ [検索]ボタンをクリック

ページに結果リスト表示されます。リストの次のページに移動して任意の項目の一つを選択し、選択ボタンをクリックすると、レポートが表示されます。

次に[検索に戻る]ボタンをクリックすると、最初のページに戻ります。
   
122 3 ENTM Fixes an issue with Access Control where the UI shows a incorrect summary in the Policy Model of the ENTM. ENTM の Policy Model の UI で表示されるサマリが不正である問題を修正しました。 AC126SP11223 ALL Refer to wrong count in the server サーバの不正なカウンタを参照しています N/A 該当なし N/A 該当なし Go To Endpoint Managment -=^ Policy Model Create or delete suscribe the total of suscribers will increase only should be change according to the suscribers list and not the erros 移動
エンドポイント管理 -=^ Policy Model

サブスクライバを作成または削除すると、サブスクライバの総数が増加します。この数は、エラーではなくサブスクライバ リストに従う必要があります。
   
123 2 UNAB Fixes an issue with Access Control where the user cannot register UNAB. ユーザが UNAB を登録できない問題を修正しました。 AC126SP11225 UNIX ALL uxpreinstall output reports major problems with resolver setup. リゾルバ設定に関する uxpreinstall 出力レポートの重大な問題。                
124 3 UNAB Fixes an issue with Access Control where the support.sh script overwrites the local etc/syslog.conf and /var/adm messages files on a non-Linux system. support.sh スクリプトが、LINUX 以外のシステム上で local etc/syslog.conf および /var/adm メッセージ ファイルを上書きする問題を修正しました。 AC126SP11228 UNIX ALL In support.sh, when crate logfiles.tar it specifies absolute file path. support.sh で logfiles.tar が作成される際、絶対ファイル パスで指定されます。     Use relative file path when creating logfiles.tar. logfiles.tar を作成する際、相対ファイル パスを使用します。 Run support.sh to generate a support.tar.Z. Retrieve logfiles.tar from support.tar.Z. Run "tar vtf logfile.tar" to list contents. Check if files are using absolute file path. support.sh を実行し、support.tar.Z を生成します。 support.tar.Z から logfiles.tar を取得します。 "tar vtf logfile.tar" を実行して内容をリスト表示します。 ファイルで絶対ファイル パスが使用されているかどうか確認します。    
125 1 ENTM Fixes an the following issue with Access Control:
1. Anyone can access getScript URL.
2. Ticket is not one time ticket.
3. No authentication is needed for accessing this URL.
以下の問題を修正しました。
1. 誰でも getScript URL にアクセスできる。
2. チケットがワンタイム チケットではない。
3. この URL へのアクセスに認証が不要。
AC126SP11254 ALL 1. Ticket is not one time ticket. 2. Access can be made without authentication. 1. チケットがワンタイム チケットではない。
2. 認証なしでアクセス可能。
    1. Ticket for getScript URL is valid only once. 2. Checking agent type of URL requestor to verify it is correct. 1. getScript URL のチケットを 1 回のみ有効にする。
2. URL リクエスタのエージェント タイプが適正かどうか確認する。
Using sniffer, user could catch auto login request of privileged account and from there see the repsonse of ENTM server to the foolowing URL: スニッファを使用すると、特権アカウントの自動ログイン リクエストを捕捉し、ENTM の URL の応答を確認できます。 17 T537709
126 2 ENTM Fixes an issue with Access Control where the user cannot upgrade from SP5 to MARS. SP5 から MARS にアップグレードできない問題を修正しました。 AC126SP11260 ALL Upgrade gives a mesasage that the database version cannot be detected and the upgrade of the database will not be perfromed. アップグレード中、データベース バージョンを検出できないというメッセージが表示され、データベースのアップグレートは実行されません。                
127 3 Unix endpoint user mode Fixes an issue with Access Control where an incorrect Japanese message appears. 誤った日本語メッセージが表示される問題を修正しました。 AC126SP11265 UNIX ALL             seaudit -t | grep ^14 will show: 14 Password contains pattern from old password seaudit -t|grep ^14 を実行すると以下が表示されます。

14 パスワードに旧パスワードのパターンが含まれています。
   
128 1 ENTM Fixes an issue that occurs when creating account using a csv feeder which has Boolean values written with capital letters, the UI 大文字で書かれたブール値を持つ csv フィーダを使用してアカウントを作成する際に発生する問題を修正しました。 AC126SP11316 ALL         Compares Boolean values with Ignore case 大文字と小文字を区別せずにブール値を比較するようにします 1. Create csv file for privileged account feerder creation. 2. set som boolean fields such as CHANGE_PASSWORD_ON_CHECKOUT with caps lettrets (TRUE) 3.Run the feeder and enter to the new created account the filed marked with caps letter as TRUE shows as false 1. 特権アカウント フィーダ作成用に csv ファイルを作成します。
2. 大文字のブール値フィールド(例:CHANGE_PASSWORD_ON_CHECKOUT)を TRUE に設定します。
3. フィーダを実行して新規に作成したアカウントにログインします。TRUE に設定した大文字のフィールドが FALSE として表示されます
20 T5P0104
129 3 Windows endpoint user mode Fixes an issue with Access Control where grace count decreases to 2 after login in. ログイン後、猶予回数が 2 回分減少する問題を修正しました。 AC126SP11323 Windows all Dual login events are created and AC sub auth package catch them ログイン イベントが二重に作成され、AC sub auth パッケージによって検出されます 1.DC on Win2008 R2 2.login after lock the screen 1. Win2008 R2 に DC を設定
2. スクリーンのロック後にログイン
N/A 該当なし Windows 2008 R2(x64) as DC / AC R12.5 SP4 1.enable AC password class 2.create a test user with grace count 3.login DC by the test user via GINA 4.verify 1 grace count is decremented 5.lock the screen by open Start -=^ Lock 6.login DC again 7.verify dual LOGIN audit record appear and 2 grace count is decremented 07 May 2012 13:38:10 P LOGIN murte01 55 2 AD.test.com C:\Windows\System32\lsass.exe 07 May 2012 13:38:10 P LOGIN murte01 55 2 AD.test.com C:\Windows\System32\lsass.exe 8.add the reg value [HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD] "GraceDecrementInterval"=5000(=5000 msec) 9.start AC and repeat step 5,6 10.verify dual LOGIN audit record appear and only 1 grace count is decremented DC: Windows 2008 R2 (x64)/AC R12.5 SP4
1. AC パスワード クラスを有効化します
2. 猶予回数を設定したテスト ユーザを作成します
3. GINA 経由でテスト ユーザで DC にログインします
4. 猶予回数が 1 回減少しているのを確認します
5. [開始]を開いて画面をロックします -=^ ロック
6. 再度 DC にログインします
7. LOGIN 監査レコードが二重に記録され猶予回数が 2 回減少していることを確認します

07 May 2012 13:38:10 P LOGIN murte01 55 2 AD.test.com C:\Windows\System32\lsass.exe
07 May 2012 13:38:10 P LOGIN murte01 55 2 AD.test.com C:\Windows\System32\lsass.exe

8. レジストリ値を追加します
[HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD]
"GraceDecrementInterval"=5000(=5000 msec)

9. AC を起動し、手順 5、6 を繰り返します
10. LOGIN 監査レコードが二重に記録され猶予回数が 1 回のみ減少していることを確認します
   
130 1 UNAB Fixes an issue with Access Control where generate_comp_name() creates the same names for multiple machines. generate_comp_name ()が複数のマシン用に同じ名前を生成する問題を修正しました。 AC126SP11336 UNIX ALL If hostname is longer than 15 characters then uxconsole generates a shorter name. ホスト名が 15 文字より長い場合、uxconsole はそれよりも短い名前を生成します。                
131 3 ENTM Fixes an issue with Access Control where the ENTM UI performs slowly for Access Control policies. ENTM UI の実行速度が Access Control に対して遅い問題を修正しました。 AC126SP11342 ALL         Improve the performance in the World View implementation ワールド ビュー実装時のパフォーマンスを改善します Try to search on a database with 6000 PUPM endpoints and 2000 AC hosts (DMS) response slow. customer reported of ~45 seconds PUPM エンドポイントが 6000 台、AC ホスト(DMS) が 2000 台の環境でデータベースを検索すると、応答が遅くなります。お客様からの報告では、最大 45 秒かかったとのことです。 96 T5P0090
132 1 ENTM Fixes an issue with Access Control where user cant modify password using CSV file. CSV ファイルを使用してパスワードを変更できない問題を修正しました。 AC126SP11387 ALL         DO not reset account password for disconnected account 接続解除したアカウントのアカウント パスワードをリセットしないようにします There is a Reset Privileged Account Password Event for accounts modified with PUPM Feeder even though the account is defined as DISCONNECTED. DISCONNECTED と定義したアカウントの場合でも、PUPM フィーダで変更すると、特権アカウント パスワード リセット イベントが発生します。 23 T5P0106
133 2 ENTM Fixes an issue with Access Control where when the User Store is AD then the results of view my submitted task retrieves by user DN. ユーザ ストアが AD の場合、[マイ サブミット済みタスクの表示]の結果が、ユーザの DN に基づいて取得される問題を修正しました。 AC126SP11410 ALL         Store user DN in case of having AD as user store else store the user name ユーザ ストアが AD の場合はユーザの DN を格納し、それ以外の場合はユーザ名を格納するようにします User store is AD Logged in to ENMT brows to My Accounts =^ Self Manager View My Submitted Tasks No results retrieves although some activities made behalf of the login user AD をユーザ ストアとして設定
ENMT にログインし、以下に移動

[マイ アカウント] =^ [自己マネージャ] =^ [マイ サブミット済みタスクの表示]
ログイン ユーザに代わって別のユーザが複数のアクティビティを作成していますが、結果が表示されません
22 T537711
134 1 Unix endpoint kernel mode Fixes an issue with Access Control where OS_procserver_terminal_set() tried to free a kernel memory allocated by itself and it panicked due to redzone violation. OS_procserver_terminal_set() が自分自身で割り当てたカーネル メモリを解放し、レッドゾーン違反のためにパニックが発生する問題を修正しました。 AC126SP11418 UNIX ALL Memory overflow. メモリ オーバーフロー。 When SEOS_procserver_terminal_set() failed to COPYIN terminal information from user space and had to retrieve it from internal kernel table. SEOS_procserver_terminal_set() がユーザ スペースからの端末情報の COPYIN に失敗し、内部カーネル テーブルから取得する場合に発生する。 Use COPYINSTR instead of COPYIN to handle it as string and also allocate memory of size len + 1. 文字列として処理し、len + 1 のメモリ サイズを割り当てるために、COPYIN の代わりに COPYINSTR を使用します。     1730 T3E7144
135 1 Unix endpoint kernel mode Fixes an issue with Access Control where OS_procserver_terminal_set() tried to free a kernel memory allocated by itself and it panicked due to redzone violation. OS_procserver_terminal_set() が自分自身で割り当てたカーネル メモリを解放し、レッドゾーン違反のためにパニックが発生する問題を修正しました。 AC126SP11418 UNIX ALL Memory overflow. メモリ オーバーフロー。 When SEOS_procserver_terminal_set() failed to COPYIN terminal information from user space and had to retrieve it from internal kernel table. SEOS_procserver_terminal_set() がユーザ スペースからの端末情報の COPYIN に失敗し、内部カーネル テーブルから取得する場合に発生する。 Use COPYINSTR instead of COPYIN to handle it as string and also allocate memory of size len + 1. 文字列として処理し、len + 1 のメモリ サイズを割り当てるために、COPYIN の代わりに COPYINSTR を使用します。     1730 T3E7144