LOGINAPPL 类

在 UNIX 上有效
cminder12901cn
在 UNIX 上有效
LOGINAPPL 类中的每个记录定义一个登录应用程序,用于标识可以使用该程序登录的人员以及控制使用登录程序的方式。
LOGINAPPL 类记录的关键字为应用程序名称,即表示登录应用程序的逻辑名称。 此逻辑名称在 LOGINPATH 属性中与可执行文件的完整路径名称相关联。
Privileged Identity Manager
还可以控制和保护常规登录应用程序;这意味着您可以保护将特定规则与常规模式匹配的登录应用程序的组。 要使用 selang 定义常规登录应用程序,请使用相同的命令设置常规登录限制(LOGINPATH 参数除外),其中应包括使用一个或多个字符 [、]、*、? 的正则表达式组成的常规路径。
Privileged Identity Manager
会为标准登录程序预设 LOGINAPPL 类中记录的属性值。 您应在进行任何更改之前列出并验证现有设置。
重要信息!
LOGINAPPL 不使用 _default 条目。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
  • ACL
    定义允许访问资源的访问者(用户和组)的列表以及访问者的访问类型。
    访问控制列表 (ACL) 中的每个元素都包含以下信息:
    • Accessor
      定义访问者。
    • Access
      定义访问者对资源的访问权限。
    在 authorize 或 authorize- 命令中使用 access 参数修改 ACL。
  • CALACL
    定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。
    日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
    • Accessor
      定义访问者。
    • Calendar
      定义 Unicenter TNG 中的日历引用。
    • Access
      定义访问者对资源的访问权限。
    只有日历为 ON 时才允许访问, 在所有其他情况下,会拒绝访问。
    可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。
  • CALENDAR
    表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
  • COMMENT
    定义要包括在记录中的其他信息。 注释不用于授权。
    限制:
    255 个字符。
  • CREATE_TIME
    (信息性)显示创建记录的日期和时间。
  • DAYTIME
    定义管理访问者何时可以访问资源的日期和时间限制。
    在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。
    日期时间限制的分辨率为一分钟。
  • LOGINFLAGS
    控制登录应用程序的特殊功能,包括设备号更改和宽限登录次数减量。 有效值为:
    • execlogin
      - 指定登录触发器是进程执行的第一个 EXEC 操作。
    • loginprefix
      - 指定将 LOGINAPPL 资源名称作为前缀添加到登录用户名。 例如,如果您设置了此属性,而名为 user1 的用户排定了 CRON 任务,那么当 CRON 任务登录触发时,用户名将被设置为 USR_SBIN_CRON_user1。 
      注意:
      不会将 LOGINAPPL 资源名称作为前缀添加到 root 用户。
    • nograce
      - 指出当用户通过该应用程序登录时不应减少宽限登录次数。
    • nograceroot
      - 指出当 root 用户通过此应用程序登录时不应减少宽限登录次数。
    • nologin
      - 确保仅对用户进行登录记录。 不会对父程序进行登录记录。
      某些平台上的程序(如 rlogin)会导致 rlogin 触发登录并关闭登录序列本身,从而对 root 用户进行实际登录记录。 执行登录后,rlogin 会派生另一个程序执行实际登录。
      如果您使用 rlogin 或 telnet 之类的登录程序并运行 seaudit-a,此问题尤为明显。 您将发现,对于同一次登录,还会产生以 root 用户作为 uid 的登录记录。
    • pamlogin
      - 表示当用户通过此应用程序登录时,会使用
      Privileged Identity Manager
      PAM 登录拦截。
    在 chres、editres 或 newres 命令中使用 loginflags 参数可以修改此属性。
  • LOGINMETHOD
    表示登录应用程序是否为用于保护的伪登录程序。 有效值为:
    • 正常
      - 表示此登录应用程序自行执行 setuid 和 setgid 调用自身。 seosd 检查指定程序的规则。
    • pseudo
      - 表示此登录应用程序调用另一个程序以执行 setuid 和 setgid 调用。 seosd 检查另一个程序的规则。
    在 chres、editres 或 newres 命令中使用 loginmethod 参数可以修改此属性。
    重要信息!
    建议您不要修改此预设属性。
  • LOGINPATH
    登录应用程序的完整路径(或常规路径)。
    在 chres、editres 或 newres 命令中使用 loginpath 参数可以修改此属性。
  • LOGINSEQUENCE
    定义 seosd 处理 seteuid、setuid、setgid 和 setgroups 事件的顺序,以便将来自后台进程且启动登录进程的用户(通常是具有 root 用户身份的 inetd)设置为实际登录的用户。 最多可以定义八个系统事件。
    登录截获序列始终以 setgid 或 setgroup 事件开始,它们被称作
    触发器
    。 该序列以 setuid 事件结束,它将用户的身份更改为登录的实际用户。
    要成功完成登录,程序需要从 setgroups 或 setgid 开始并以 setuid 或 seteuid 结束的顺序执行所有指定进程。
    为程序设置正确的 LoginSequence 并非易事。 大多数登录程序使用默认 SGRP、SUID 设置可正常运行;此设置意味着程序发出 setgroups 系统调用,然后发出 setuid 命令将用户的身份更改为目标用户。
    但是,如果 SGRP、SUID 设置不起作用,则必须使用下列标志指定正确的顺序:
    • SEID
      - 第一个 seteuid 事件
    • SUID
      - 第一个 setuid 事件
    • SGID
      - 第一个 setgid 事件
    • SGRP
      - 第一个 setgroup 事件
    • FEID
      - 第二个 seteuid 事件
    • FUID
      - 第二个 setuid 事件
    • FGID
      - 第二个 setgid 事件
    • FGRP
      - 第二个 setgroup 事件
    • N3EID
      - 第三个 seteuid 事件
    • N3UID
      - 第三个 setuid 事件
    • N3GID
      - 第三个 setgid 事件
    • N3GRP
      - 第三个 setgroup 事件
    重要信息!
    必须使用标志来指定正确的登录顺序。 但是,您可以在 LOGINSEQUENCE 参数内按任意顺序指定标志。 例如,SGRP、SEID、FEID、N3EID 等同于 N3EID、FEID、SGRP、SEID。
    注意:
    如果您不知道登录程序所执行系统调用的顺序,您可以查看跟踪并查找将用户更改为目标 uid 的 setuid 事件,然后查看以第一个 setgid 或 setgroups 事件开始的先前跟踪事件。
    例如,如果有一个 setgroups 事件,之后只有第三个 setuid 调用设置了目标用户,则必须将 LOGINSEQUENCE 设置为 SGRP、SUID、FUID、N3UID。 您可以按任何顺序指定这些标志:
    SETGRPS : P=565302 to 0,2,3,7,8,10,11,250,220,221,230 SUID  > P=565302 U=0 (R=0 E=0 S=0   ) to (R=0  E=0 S=0   ) () BYPASS SUID  > P=565302 U=0 (R=0 E=0 S=0   ) to (R=0  E=0 S=-1  ) () BYPASS LOGIN  : P=565302 User=target Terminal=mercuryThe SETGRPS process indicates the trigger.The first SUID command should be discounted because you can see that the root simply changed back to root, not the trigger user. (This is the SUID in the sequence.)The second SUID command should be discounted as well because you can see that the root changed back to root, not the trigger user. (This is the FUID in the sequence.)The LOGIN event is the actual SETUID event causing the login. (Because it is the third event, it is the N3UID flag in the sequence.)
    在 chres、editres 或 newres 命令中使用 loginsequence 参数可以修改此属性。
  • NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:
Accessor
定义访问者。
  • Access
    定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
NOTIFY
定义当资源或用户生成审核事件时要通知的用户。 可以将审核记录以电子邮件方式发送给指定用户
限制:
30 个字符。
OWNER
定义拥有该记录的用户或组。
RAUDIT
定义记录在审核日志中的访问事件类型。 RAUDIT 从
Resource
AUDIT
派生出其名称。 有效值为:
  • all
    所有访问请求。
  • success
    授予的访问请求。
  • failure
    拒绝的访问请求(默认值)。
  • none
    无访问请求。
Privileged Identity Manager
在每次尝试访问资源时都会记录事件,但不会记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。
使用 chres 和 chfile 命令的审核参数来修改审核模式。
UACC
定义资源的默认访问权限,即授予未定义到
Privileged Identity Manager
或未显示在资源的 ACL 中的访问者的访问权限。
在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改此属性。
UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
UPDATE_WHO
(信息性)显示执行更新的管理员。
WARNING
指定是否启用“警告”模式。 对资源启用“警告”模式后,将授予对资源的所有访问请求,并且如果某个访问请求违反了访问规则,则会向审核日志中写入记录。