## [HCP tools 変更点] ###################################################### #12451: hcpdコマンド 特権分離 大きなUID値を持つユーザが存在すると、認証時にユーザが見つからないとエラーが発生したり、アクセス権が別のアカウント(特権含む)と誤認識されてしまう ---------------------------------------------------------------------------- ■現象 hcpdサーバーで特権分離を有効にしている場合に、システムアカウントにUID値が 符号なし16bit整数の最大値(65535)を超えるユーザが存在すると、 認証を行ったときにユーザが見つからないとエラーになったり、 アクセス権が別のアカウントと誤認識されてしまう事象が発生してしまう。 ■再現条件 ・hcpdコマンド ・特権分離を有効にしていること ・システムにUID値が65535を超えるユーザが存在していること ・当該ユーザがログインを行えること  但し、AllowUsers/DenyGroups又は/etc/hcp/usersの設定により当該ユーザのログインが拒否される、  hcpdデーモンが非特権ユーザの権限で待機している、場合は除く ・同ログインが成功すること ■暫定処置策 再現条件に該当する場合は、以下の暫定処置を行うか 速やかにアップデートを行ってください。 1.AllowUsers/DenyUsersを使用して該当するユーザ(UIDが65536以上)のアクセスを一時的に許可しないように変更する。 2.該当するユーザ(UIDが65536以上)を/etc/hcp/usersで一時的にアクセス拒否に変更する。 ※拒否設定すべき人数が少なく、記述することが許容できる場合。 例: [/etc/hcp/users] !user_affected::::: # '!'を先頭に記述するとログイン拒否 3./etc/hcp/usersを定義(define)モードに変更して、一時的に特定のユーザ(UIDが65535以下)だけログインを許可する。 ※全体の利用人数が多くないなど、記述することが許容できる場合。 例: [/etc/hcp/hcpd.conf] LocalUserFile /etc/hcp/users define [/etc/hcp/users] user_still_available1::::: user_still_available2::::: # 影響を受けるユーザ 'user_affected' を記述しない 4.PrivilegeSeparationMinimumUIDで一時的に特権アクセスを制限する ※AllowUsers/AllowGroupsを使用している場合は、排他的に働くためAllowUsers/AllowGroupsを解除する必要があります。  ホームディレクトリが所有者のみ読書可能としている場合に効率的に制限を掛けることができます。 例: [/etc/hcp/hcpd.conf] PrivilegeSeparationMinimumUID 1 PrivilegeSeparationMinimumGID 1 5.hcpdデーモンを非特権で使用する。 ※特定のユーザのみが利用しているような場合。 ----------------------------------------------------------------------------