ローカル・オペレーターの無効化

BigFix バージョン 10.0.8 以降、この機能は LDAP ベースのオペレーターを優先して、ローカル・オペレーターの作成と使用を禁止するメカニズムを提供します。

ローカル・オペレーターが無効になっている場合:
  • ローカル・オペレーターを使用した BigFix コンソール、Web レポート、REST API、WebUI へのログインは許可されません。LDAP ユーザーを使用したログインは許可されます。
  • ローカル・オペレーターまたは LDAP オペレーターを変更することはできません (例えば、新しいオペレーターを作成したり、明示的な権限を設定したり、BigFix の役割を LDAP ユーザーに直接関連付けたりする)。
  • 役割は、LDAP グループと BigFix の役割の関連付けに沿って継承されます。

前提条件:

ローカル・オペレーターを無効にして LDAP ユーザーのみを操作する前に、次の手順を実行する必要があります。
  1. ローカル管理ユーザーを作成するには、Web レポートを少なくとも 1 回起動します。
  2. BigFix コンソールと Web レポートで LDAP サーバーを構成します。
  3. BigFix コンソールと Web レポートで LDAP グループを BigFix の役割に関連付けます。
  4. BigFix コンソールでマスター・オペレーター権限を持つ BigFix の役割に、少なくとも 1 つの LDAP グループを関連付けます。
  5. 少なくとも 1 つの LDAP グループを Web レポートの管理者役割に関連付けます。
  6. 「ローカル・オペレーターの無効化」機能を使用してすべてのローカル・オペレーターを無効にした後でも、以下が必要になります。
    • BigFix デプロイメントに、少なくとも 1 つのローカル・マスター・オペレーターが存在する必要があります。
    まだ存在するローカル・マスター・オペレーターは、有効にするまで使用できないため、問題を表しません。

影響を受けるコンポーネント:

この機能の影響を受ける BigFix コンポーネントは次のとおりです。
注:

何らかの理由で、ローカル・オペレーターの無効化に必要な情報が BigFix データベースに存在しないか破損している場合は、ローカル・オペレーターと LDAP ユーザーの両方で、BigFix コンソール、Web レポート、Rest API、WebUI にアクセスすることはできません。

回避策:

この問題を解決するには、BigFix 管理ツールを起動してローカル・オペレーターを有効または無効にする必要があります。詳細については、BESAdmin Windows コマンド・ライン および BESAdmin Linux コマンド・ライン で説明されている securitysettings を参照してください。

制限:

  • ローカル・オペレーターが無効になっている場合、ローカル・オペレーターを使用して REST API および SOAP API にログインすることはできません。ローカル・オペレーターを使用して BES サーバー・プラグイン・サービスの REST API または SOAP API の資格情報を構成し、ローカル・オペレーターを無効にしている場合、サービスは正しく動作しません。
  • SAML 認証を構成してローカル・オペレーターを無効にした場合、REST API と 4-Eye 認証は使用できません。