使用 chres 命令修改资源记录
在 AC 环境中有效
cminder12901cn
在 AC 环境中有效
使用 chres、editres 和 newres 命令处理属于
Privileged Identity Manager
类的资源记录。 这些命令结构相同,仅在以下方面有所不同:- chres 命令可用于修改一个或多个资源。
- editres 命令可用于创建或修改一个或多个资源。
- newres 命令可用于创建一个或多个资源。
注意:
此命令也存在于本地 Windows 环境中,但以不同的方式操作。要使用 newres 命令添加资源,以下条件中至少一个条件必须为真:
- 您具有 ADMIN 属性。
- 在 ADMIN 类中资源类记录的 ACL 中具有 CREATE 访问权限。
- 如果将 seos.ini 文件中的标记 use_unix_file_owner 设置为“yes”,UNIX 中文件的所有者可以将其定义为Privileged Identity Manager的新资源。
要使用 chres 或 editres 命令添加或更改资源,您必须对资源具有足够的权限。 按以下顺序完成检查,并必须满足这些条件之
一
:- 您具有 ADMIN 属性。
- 资源记录在某一组的范围内,您在该组中具有 GROUP-ADMIN 属性。
- 您是记录的所有者。
- 在 ADMIN 类中资源类的记录列表中为您分配了 MODIFY(对于 chres)或 CREATE(对于 editres)访问权限。
注意:
资源名的最大长度为 255 个单字节字符。下表列出了适用于每个类可使用 chres、editres 和 newres 命令进行管理的命令参数。
类 | 属性 | |||||||||||
审核 | calendar | category | comment | defaccess | label | level | notify | 所有者 | restrictions[-] | warning | 其他 | |
ACVAR | X | X | VARIABLE_ TYPE、VARIABLE_ VALUE | |||||||||
ADMIN | X | X | X | X | X | X | X | X | X | X | X | |
CALENDAR | X | X | ||||||||||
CATEGORY | X | X | ||||||||||
CONNECT | X | X | X | X | X | X | X | X | X | X | X | |
CONTAINER | X | X | X | X | X | MEM | ||||||
DOMAIN | X | X | X | X | X | X | X | X | X | X | X | MEM |
FILE | X | X | X | X | X | X | X | X | X | X | X | |
GFILE | X | X | X | X | X | X | MEM | |||||
GHOST | X | X | X | X | X | X | MEM | |||||
GSUDO | X | X | X | X | MEM | |||||||
GTERMINAL | X | X | X | X | X | X | MEM | |||||
HNODE | X | X | X | X | X | X | X | X | X | X | X | SUBSCRIBER、POLICY |
HOLIDAY | X | X | X | X | X | X | X | X | X | X | DATES | |
HOST | X | X | X | X | X | X | ||||||
HOSTNET | X | X | X | X | X | MASK、MATCH | ||||||
HOSTNP | X | X | X | X | X | X | ||||||
LOGINAPPL | X | X | X | X | X | X | X | X | LOGINFLAGS、LOGINMETHOD、LOGINPATH、LOGINSEQUENCE | |||
MFTERMINAL | X | X | X | X | X | X | X | X | X | DAYTIME | ||
POLICY | X | X | X | X | X | X | X | X | X | X | X | SIGNATURE、RULESET |
PROCESS | X | X | X | X | X | X | X | X | X | X | X | |
PROGRAM | X | X | X | X | X | X | X | X | X | X | X | TRUST |
PWPOLICY | X | X | ||||||||||
REGKEY | X | X | X | X | X | X | X | DAYTIME | ||||
REGVAL | X | X | X | X | X | X | X | DAYTIME | ||||
RULESET | X | X | X | X | X | X | X | X | X | X | X | SIGNATURE、CMD、UNDOCMD |
SECFILE | X | X | TRUST、FLAGS | |||||||||
SECLABEL | X | X | X | X | ||||||||
SEOS | X | X | X | X | X | HOST | ||||||
SPECIALPGM | X | X | ||||||||||
SUDO | X | X | X | X | X | X | X | X | X | X | X | TARGUID、PASSWORD |
SURROGATE | X | X | X | X | X | X | X | X | X | X | X | |
TCP | X | X | X | X | X | X | X | X | X | X | ||
TERMINAL | X | X | X | X | X | X | X | X | X | X | X | |
UACC | X | X | X | X | X | |||||||
USER-ATTR | X | X | ||||||||||
USER-DIR | X | X | X |
{{chres|cr}|{editres|er}|{newres|nr}} classNameresourceName \
[audit({none|all|success|failure})] \ [calendar[-](calendarName)] \ [category[-](categoryName)] \ [cmd+(selang_command_string)|cmd-] \ [comment(string)|comment-] \ [container[-](containerName)] \ [dates(time-period)] \ [dh_dr{-|+}(dh_dr)] \ [disable|disable-] \ [defaccess(accessAuthority)] \ [filepath(filePaths)] \ [flags[-|+](flagName)] \ [gacc(access-value)] \ [gowner(groupName)] \ [host(host-name)|host-] \ [label(labelName)|label-] \ [level(number)|level-] \ [mask(inetAddress)|match(inetAddress)] \ [mem(resourceName)|mem-(resourceName)] \ [node_alias{-|+}(alias)] \ [node_ip{-|+}(ip)] \ [notify(mailAddress)|notify-] \ [of_class(className)] \ [owner({userName | groupName})] \ [{password | password-}] \ [policy(name(policy-name) {{deviation+|dev+}|{deviation-|dev-}})] \ [policy(name(policy-name) status(policy-status) {updator|updated_by}(user-name))] \ [{restrictions([days({anyday|weekdays|{[mon] [tue] [wed] \[thu] [fri] [sat] [sun]}})] \[time({anytime|startTime:endTime}) \ |restrictions-}] \ [targuid(userName)] \ [trust | trust-] \ [value{+|-}(value)] \ [warning | warning-]
- 审核表示记录哪些访问事件。 指定以下属性之一:
- all- 记录授权和未授权的访问尝试。
- failure- 记录未授权的访问尝试。 这是默认值。
- none- 不在日志文件中写入任何记录。
- success- 记录授权的访问尝试。
- calendar(calendarName)定义代表 Unicenter TNG 中的时间限制的 Unicenter NSM 日历记录。Privileged Identity Manager仅出于管理目的对这些对象列表进行维护,但不进行保护。 指定多个日历时,请使用空格或逗号分隔日历名称。
- calendar-(calendarName)从资源记录中删除一个或多个 Unicenter NSM 日历记录。 仅在 chres 或 editres 命令中使用该参数。
- category(categoryName[,categoryName...])请为资源记录分配一个或多个安全类别。如果在 CATEGORY 类为不活动状态时指定类别参数, 则更新数据库中的资源定义;但是,更新的类别分配没有任何效果,直到 CATEGORY 类重新激活。
- category-(categoryName[,categoryName...])从资源记录删除一个或多个安全类别。将从资源记录中删除指定的安全类别,无论 CATEGORY 类是否处于活动状态。 仅在 chres 或 editres 命令中使用该参数。
- className指定资源所属的类名。 要列出定义的资源类,可使用 find 命令。
- cmd+(selang_command_string)指定定义策略的 selang 命令的列表。 这些是用于部署策略的命令。 例如,editres RULESET IIS5#02 cmd+("nr FILE /inetpub/* defaccess(none) owner(nobody)")
- cmd-从 RULESET 对象删除策略部署命令列表。
- comment(string)向资源记录添加字母数字字符串,最多为 255 个字符。 如果字符串包含任何空格,用单引号将整个字符串引起来。 该字符串将替换以前定义的任何现有字符串。注意:该字符串对 SUDO 类有特殊含义。 有关定义 SUDO 记录的更多信息,请参阅《适用于 UNIX 的端点管理指南》。
- comment-从资源记录中删除注释。 仅在 chres 或 editres 命令中使用该参数。
- container(containerName)代表 CONTAINER 对象的通用分组类。containerName是在 CONTAINER 类中定义的一个或多个 CONTAINER 记录的名称。 指定多个 CONTAINER 时,请使用空格或逗号分隔名称。
- container-(containerName)从资源记录中删除一个或多个 CONTAINER 记录。 仅在 chres 或 editres 命令中使用该参数。
- dates(time-period)定义一个或多个用户无法登录的时段,如假日。 如果指定多个时段,请使用空格分隔时段。 使用以下格式:mm/dd[/yy[yy]] [@hh:mm][-mm/dd]/[/yy[yy]] [@hh:mm]如果不指定年份(或指定 1990 年之前的年份),它表示每年的时间段或假日。 您可以用两位数或四位数指定年份,例如:98 或 1998。如果不指定开始时间,则使用一天的开始时间(午夜);如果不指定结束时间,则使用一天的结束时间(午夜)。 小时和分钟的格式为hh:mm,其中hh是采用 24 小时表示法的小时(00 至 23),而mm是分钟(00 至 59)。如果未指定时间间隔(例如,12/25@14:0012/25@17:00),而仅指定了日和月 (12/25),则假日将持续一整天。如果在出现假日的不同时区发出命令,则将时段转换为本地时间。 例如,如果您在纽约,而洛杉矶有半天的假日,则必须输入 09/14/98@18:0009/14/98@20:00。 这可防止用户从下午 3:00 到下午 5:00 在洛杉矶登录。
- defaccess([accessAuthority])定义资源的默认访问权限。 默认访问权限是授予请求访问资源的不在资源访问控制列表中的任何访问者的权限。 默认访问权限还可应用于未在数据库中定义的用户。 有效的访问权限值按类而有所不同。如果忽略accessAuthority,分配给该资源的访问权限是隐式访问权限。 隐式访问权限是在代表 UACC 类中资源类的记录的 UACC 属性中指定的。
- dh_dr{+|-}(dh_dr)定义该端点用于灾难恢复的分发主机。
- filepath(filePaths)定义一个或多个绝对文件路径,其中每个绝对文件路径构成一个有效内核模块。 由冒号 (:) 分隔多个文件路径。
- flags(flagName)定义如何信任资源以及如何检查它的受信任状态。 可用标志有:Ctime、Mtime、Mode、Size、Device、Inode、Crc 和 Own/All/None。
- gacc(access-value)让程序采用比其他方式快得多的速度访问受保护的、频繁打开的文件。
- gowner(groupName)将组分配为资源记录的所有者。 如果组所有者的安全级别、安全标签和安全类别权限足够允许访问该资源,那么资源记录的组所有者对该资源有无限制的访问权限。 始终允许资源的组所有者更新和删除资源记录。 有关详细信息,请参阅《适用于 UNIX的端点管理指南》。
- label(labelName)为资源记录分配安全标签。
- label-从资源记录中删除安全标签。 仅在 chres 或 editres 命令中使用该参数。
- level(number)将安全级别分配给资源记录。 输入1 到 255 之间的正整数。
- level-从资源中删除任何安全级别。 仅在 chres 或 editres 命令中使用该参数。
- mask (IPv4-address)match (IPv4-address)Mask和match参数仅适用于 HOSTNET 记录。 创建 HOSTNET 记录时这两个参数是必需的,修改记录时这两个参数是可选的。将 mask 和 match 一起使用可定义由 HOSTNET 记录定义的主机组。 如果带有掩码地址的主机 IP 地址的 AND 生成了掩码地址,则主机是 HOSTNET 记录组的成员。例如,如果其 IP 地址的范围为 192.16.133.0 到 192.16.133.255,指定 mask (255.255.255.0) 和 match (192.16.133.0) 意味着主机是组的成员。Mask 参数和 match 参数需要 IPv4 地址。
- mem(resourceName)将成员资源添加到资源组。 如果添加多个成员资源,可使用逗号分隔各个名称。仅在以下类的资源记录中使用 mem 参数:
- CONTAINER. 此类可定义来自其他资源类的对象组。
- GFILE. 此类包含定义文件组的资源记录。
- GHOST. 此类包含定义主机组的资源记录。
- GSUDO. 此类包含定义命令组的资源记录。
- GTERMINAL. 此类包含定义终端组的资源记录。
- GPOLICY. 此类包含定义逻辑策略的资源记录。
- GHNODE. 此类包含定义主机组的资源记录。
- GDEPLOYMENT. 该类包含定义策略部署的资源记录。
可使用 mem 参数将相应类型的记录添加到资源组,例如,将 FILE 记录添加到类 GFILE 的资源组中。注意:如果将 mem 参数用于 CONTAINER 资源,则还必须包括 of_class 参数。成员资源和资源组都必须已经在Privileged Identity Manager中定义。 要创建资源组,可创建所需类的资源。 例如,可使用以下命令创建 GFILE 资源组:newres GFILE myfiles - mem-(resourceName)从资源组中删除成员资源。 如果要删除多个成员资源,可使用空格或逗号分隔资源名。 仅在 chres 或 editres 命令中使用该参数。
- node_alias{-|+}(alias)定义端点别名。通过定义端点别名的别名可以根据别名将高级策略管理命令发送到实际端点。
- node_ip[-|+](ip)定义主机的 IP 地址。 高级策略管理将 IP 地址与端点名称结合使用来定位所需的端点。
- notify(访问资源记录所代表的资源时会发送通知消息。 请输入用户名、用户的电子邮件地址或邮件组的电子邮件地址(如果指定了别名)。 只有在日志路由系统处于活动状态时,才会发生通知。 通知消息是发送到屏幕上还是发送到用户的邮箱取决于日志路由系统的设置。 每次发送通知消息时,都会在审核日志中写入审核记录。 有关筛选和查看审核记录的信息,请参阅《mailAddress)适用于 UNIX 的端点管理指南》。 通知信息的收件人应频繁登录以响应在每个消息中描述的未经授权的访问尝试。限制:30 个字符。
- notify-指定成功访问由资源记录代表的资源时不通知任何人。 仅在 chres 或 editres 命令中使用该参数。
- of_class(className)指定使用 mem 参数添加到 CONTAINER 类的记录的资源类型。
- owner(Name)将用户或组分配为资源记录的所有者。 如果所有者的安全级别、安全标签和安全类别权限足够允许访问该资源,那么资源记录的所有者对该资源有无限制的访问权限。 始终允许资源的所有者更新和删除资源记录。 有关详细信息,请参阅《适用于 UNIX 的端点管理指南》。
- password对于 SUDO 类,可指定 sesudo 命令需要原用户的密码。
- password-取消 password 参数可使 sesudo 命令不再需要原用户的密码。 仅在 chres 或 editres 命令中使用该参数。 如果以前没有使用 password 参数,则不需要该参数。
- policy(name(name#xx) status(status) updated_by(name)) | policy(name(name#xx) deviation{+|-})在传播树中添加节点的订户并指定其状态。 另外,更新现有的策略版本以指定是否存在策略偏差。 更新策略状态时,必须更新 updated_by 属性。 它是代表更改策略状态的用户名称的字符串。策略状态可以是 Transferred、Deployed、Undeployed、Failed、SigFailed、Queued、UndeployFailed 或 TransferFailed 中的一个。
- policy-[(name(name#xx))]从节点删除已命名的策略版本。 如果未指定策略,将删除部署到该节点的所有策略。
- resourceName定义要修改或添加的资源记录的名称。 更改或添加多个资源时,请用圆括号括住资源名称列表并用空格或逗号分隔这些名称。 必须至少指定一个资源名。根据指定的参数单独处理每个资源记录。 如果在处理文件时发生错误,则会触发消息,然后继续处理列表中的下一个资源。注意:如果您在资源名称中使用变量,请使用以下语法来引用变量:<!variable>,例如 <!AC_ROOT_PATH>\bin。 您只能在策略中使用 selang 规则中的变量。
- restrictions([days] [time])指定用户可在一周的哪几天和一天的哪几个小时访问该文件。如果您省略 days 参数而指定 time 参数,时间限制将应用至记录中已指出的任意周内限制。 如果您省略 time 而指定 days,则天数限制将应用于记录中已经指出的任何“时间”限制。 如果既指定 days 也指定 time,则只允许用户在指定天数的指定时间期间访问系统。
- [Days] 指定用户可以访问文件的天数。 Days 参数采用以下子参数:
- anyday- 允许用户在任何一天访问该文件。
- weekdays- 只允许用户在周一到周五的工作日时间访问该资源。
- Mon,Tue,Wed,Thu,Fri,Sat,Sun- 只允许用户在指定天数访问该资源。 您可以按任何顺序指定天数。 如果指定多个天数,请使用空格或逗号分隔各天。
- [Time] 指定用户可以访问资源的时段。 Time 参数采用以下子参数:
- anytime- 允许用户在一天中的任何时候访问该资源。
- startTime:endTime- 允许在指定时段访问该资源。 startTime 和 endTime 的格式均为hhmm,其中hh是采用 24 小时表示法的小时(00 至 23),而mm是分钟(00 至 59)。 请注意,2400 是无效时间值。 StartTime 必须小于 endTime,且这两个时间必须在同一天发生。 如果终端位于处理器的不同时区,那么通过将终端的开始和结束时间解析为处理器的等同当地时间来对时间值进行调整。 例如,如果处理器位于纽约而终端位于洛杉矶,那么要允许从上午 8:00 到下午 5:00 在洛杉矶访问终端,请指定时间 (1100:2000)。
- restrictions-([days] [time])删除限制用户访问文件的所有限制。
- ruleset+(name)指定与策略相关的规则集。
- ruleset-(name)从策略删除规则集。 如果未指定规则集,则从策略中删除所有规则集。
- signature(hash_value)指定哈希值。 对于策略,将根据与策略相关的 RULESET 对象的特征码指定哈希值。 对于规则集,将根据策略部署命令列表和策略取消部署(删除)命令列表指定哈希值。
- subscriber(name(sub_name) status(status))在传播树中添加节点的订户并指定其状态。 状态可以是unknown、available、unavailable或sync中的一个。
- subscriber-(name(sub_name)) | sub-从节点中删除订户数据库。 如果未指定订户,则将删除所有订户。
- targuid(userName)对于 SUDO 类,可指定借用其权限执行命令的用户的名称。 默认值为 root。
- trust指定资源为受信任的。 trust 参数仅适用于 PROGRAM 和 SECFILE 类的资源。 只要程序保持受信任状态,则用户可以执行该程序。 有关详细信息,请参阅《适用于 UNIX 的端点管理指南》。 仅在 chres 或 editres 命令中使用该参数。
- trust-指定资源为不受信任。 trust- 参数仅适用于 PROGRAM 和 SECFILE 类的资源。 用户无法执行不受信任的程序。 有关详细信息,请参阅《适用于 UNIX 的端点管理指南》。 仅在 chres 或 editres 命令中使用该参数。
- undocmd+(selang_command_string)指定定义策略取消部署的 selang 命令的列表。 这些命令可用于删除已部署的策略(取消部署)。 例如:editres RULESET IIS5#02 undocmd+("rr FILE /inetpub/*")
- undocmd-从 RULESET 对象删除策略删除命令列表。
- value+(value)将指定值添加到指定的变量(ACVAR 对象)中。
- value-(value)从指定的变量(ACVAR 对象)中删除指定值。
- warning允许权限不足的访问者访问该资源。 但是,会将警告消息写入审核日志中。注意:在警告模式下,不创建资源组的警告消息。
- warning-指定将拒绝对资源访问权限不足的访问者访问该资源。 此外,审核日志中将不写入警告消息。 仅在 chres 或 editres 命令中使用该参数。
示例
- 用户admin1希望更改终端tty30的所有者和默认访问权限,并将终端的使用限制在工作日的常规营业时间(上午 8:00 到 到下午 6:00)使用。
- 用户 admin1 具有 ADMIN 属性。
chres TERMINAL tty30 owner(admin1) defaccess(read) restrictions \ (days(weekdays)time(0800:1800)) - 管理用户 Sally 希望删除存储于文件 account.txt 的 FILE 类记录中的 group 和 owner 属性。
- 用户 Sally 是 Jared 的用户记录的所有者。
chres FILE /account.txt group() owner()要删除任何记录属性(如果属性由字符串定义),请键入减号 (-) 或空括号 ()。 - 用户 Bob 希望删除终端 tty190 的注释字段,并在授予对终端的访问权限时得到通知。
- Bob 是 用户并且是终端 tty190 的所有者。
chres TERMINAL tty190 comment- notify(Bob@athena) - 用户 Admin1 希望将 OPERATOR 类别添加到资源 USER.root(SURROGATE 类中)的安全类别列表中。
- 用户 Admin1 具有 ADMIN 属性。
- OPERATOR 类别已在数据库中定义。
chres SURROGATE USER.root category(OPERATOR) - 用户 admin1 希望将 /bin/su 定义为具有 EXECUTE 全局访问权限的受信任程序。
- 用户 admin1 具有 ADMIN 属性。
- 以下默认值适用:
- restrictions(days(anyday) time(anytime))
- owner(admin1)
- audit(failure)
newres PROGRAM /bin/su defaccess(x) trust - 用户 admin1 希望将组 ID 的替代组系统定义为没有用户(包括 admin1)可以访问的受保护资源。
- 用户 admin1 具有 ADMIN 属性。 定义了用户 nobody。
- 以下默认值适用:
- restrictions(days(anyday) time(anytime))
- audit(failure)
newres SURROGATE GROUP.system defaccess(n) owner(nobody) - 用户 SecAdmin 希望定义 ProjATerms 终端组包含终端 T1、T8 和 T11。 终端组只能由组 PROJECTA 在工作日的常规营业时间(上午 8:00 到下午 6:00)使用。
- 用户 SecAdmin 具有 ADMIN 属性。
- 终端 T1、T8 和 T11 已定义。
- 组 PROJECTA 已定义。
- audit(failure)
newres GTERMINAL ProjATerms mem(T1,T8,T11) owner(PROJECTA) \ restrictions(days(weekdays) time(0800:1800)) defaccess(n)