GAUTHHOST 类

GAUTHHOST 类中的每个记录均可定义一组由 CA SSO 使用的身份验证主机。 必须先为每个应用程序创建 AUTHHOST 类记录,之后才能将应用程序添加到 GAUTHHOST 记录。 然后,必须将 AUTHHOST 类的记录显式连接到 GAUTHHOST 记录,才能对其进行分组。
cminder12901cn
GAUTHHOST 类中的每个记录均可定义一组由 CA SSO 使用的身份验证主机。 必须先为每个应用程序创建 AUTHHOST 类记录,之后才能将应用程序添加到 GAUTHHOST 记录。 然后,必须将 AUTHHOST 类的记录显式连接到 GAUTHHOST 记录,才能对其进行分组。
GAUTHHOST 类记录的关键字为 GAUTHHOST 记录的名称。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
  • ACL
    定义允许访问资源的访问者(用户和组)及其访问类型的列表。
    访问控制列表 (ACL) 中的每个元素都包含以下信息:
    • Accessor
      定义访问者。
    • Access
      定义访问者对资源的访问权限。
    在 authorize 或 authorize- 命令中使用 access 参数修改 ACL。
  • AZNACL
    定义授权 ACL。 授权 ACL 是允许基于资源说明访问资源的 ACL。 说明将发送给授权引擎,而不是对象。 通常,使用 AZNACL 时,该对象不在数据库中。
  • CALACL
    定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。
    日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
    • Accessor
      定义访问者。
    • Calendar
      定义 Unicenter TNG 中的日历引用。
    • Access
      定义访问者对资源的访问权限。
    只有日历为 ON 时才允许访问, 在所有其他情况下,会拒绝访问。
    可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。
  • COMMENT
    定义要包括在记录中的更多信息。 注释不用于授权。
    限制:
    255 个字符。
  • CREATE_TIME
    (信息性)显示创建记录的日期和时间。
  • GROUPS
    资源记录所属的 CONTAINER 记录的列表。
    要修改 GAUTHHOST 类记录中的此属性,必须更改相应的 CONTAINER 记录中的 MEMBERS 属性。
    在 chres、editres 或 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
  • MEMBERS
    AUTHHOST 类中属于组成员的对象的列表。
    在 chres、editres 和 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
  • NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:
Accessor
定义访问者。
  • Access
    定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
OWNER
定义拥有该记录的用户或组。
RAUDIT
定义记录在审核日志中的访问事件类型。 RAUDIT 从
Resource
AUDIT
派生出其名称。 有效值为:
  • all
    所有访问请求。
  • success
    授予的访问请求。
  • failure
    拒绝的访问请求(默认值)。
  • none
    无访问请求。
Privileged Identity Manager
在每次尝试访问资源时都会记录事件,但不会记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。
使用 chres 和 chfile 命令的审核参数来修改审核模式。
UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
UPDATE_WHO
(信息性)显示执行更新的管理员。