HNODE 类
HNODE 类包含有关组织中 主机的信息。 该类中的每个记录表示企业中的一个节点。
cminder12901cn
HNODE 类包含有关组织中
Privileged Identity Manager
主机的信息。 该类中的每个记录表示企业中的一个节点。此类用于管理从各种 PMDB 和端点上载并存储在 DMS 上的信息。
HNODE 类记录的关键字是端点的实际主机名(例如 myHost.ca.com)或策略模型节点的 PMDB 名称(例如 [email protected])。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
。- ACL定义允许访问资源的访问者(用户和组)的列表和访问者的访问类型。访问控制列表 (ACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Access定义访问者对资源的访问权限。
- ATTRIBUTES定义 DMS 用来评估主机是否自动被添加到主机组的自定义条件。注意:DMS 还会检查以下 HNODE 属性,以便评估主机是否应自动被添加到主机组中:COMMENT、HNODE_INFO、HNODE_IP、HNODE_VERSION、NODE_TYPE
- CALACL定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Calendar定义 Unicenter TNG 中的日历引用。
- Access定义访问者对资源的访问权限。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。 - CALENDAR表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
- CATEGORY定义一个或多个分配给用户或资源的安全类别。
- COMMENT定义要包括在记录中的更多信息。 注释不用于授权。限制:255 个字符。
- COMPLIANT_UPDATE_TIME(信息性)显示上次修改记录的日期和时间。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- DAYTIME定义管理访问者何时可以访问资源的日期和时间限制。在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。日期时间限制的分辨率为一分钟。
- EFFECTIVE_POLICIES定义应该在此对象上部署的策略版本的列表。显示名称:有效策略
- GHNODES定义此对象所属的主机组的列表。显示名称:节点组
- GROUPS定义资源记录所属的 CONTAINER 记录的列表。要在类记录中修改此属性,请在相应的 CONTAINER 记录中更改 MEMBERS 属性。在 chres、editres 或 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
- HNODE_IP主机的 IP 地址。显示名称:IP
- HNODE_KEEP_ALIVE定义 HNODE 上次将检测信号发送到分发主机的时间。显示名称:上次检测信号
- HNODE_EVENTS显示字符串列表,这些字符串表示在端点上发生的运行状况恢复事件。 例如,由于违反关键内存阈值导致代理重新启动或跳过降低端点性能的程序为运行状况恢复事件。
- HNODE_INSTALL_STATUS显示端点的安装状态。 可以在Privileged Identity Manager企业控制台中的“全局查看”下按状态搜索端点。值:成功、失败、挂起重新启动、正在升级。显示名称:安装状态。
- HNODE_BYPASS_EXIST显示端点是否处于跳过模式(用作一种预防措施)。 在跳过模式下,会暂时减少策略处理。 如果此值为No,则端点处于完全运行状态。值:Yes 或 No显示名称:跳过存在。
- LOGIN定义主机的默认访问权限类型。显示名称:LOGIN
- NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:Accessor
定义访问者。
- Access定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
NODE_INFO
(信息性)指定节点 OS 的详细信息。
NODE_TYPE
(信息性)定义主机上的
Privileged Identity Manager
安装类型。 有效值为:- ACU-适用于 UNIX 的Privileged Identity Manager
- ACW-适用于 Windows 的Privileged Identity Manager
- UNAB-UNIX 身份验证代理 (UNAB)
注意:
HNODE 记录可以同时有 NODE_TYPE 属性的 ACU 和 UNAB 的值。NODE_VERSION
(信息性)定义安装在主机上的
Privileged Identity Manager
版本。 版本号的前面带有 NODE_TYPE。示例:ACU:12.50-00.647NOTIFY
定义当资源或用户生成审核事件时要通知的用户。 可以将审核记录以电子邮件方式发送给指定用户
。
限制:
30 个字符。OWNER
定义拥有该记录的用户或组。
PACL
定义当访问请求由特定程序(或匹配名称模式的程序)发出时允许访问资源的访问者及其访问类型的列表。 程序访问控制列表 (PACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Program定义对 PROGRAM 类中的记录的引用(无论是特别引用还是通过通配符模式匹配引用)。
- Access定义访问者对资源的访问权限。
注意:
您可以使用通配符指定 PACL 中的资源。在 selang authorize 命令中使用 via(
pgm
) 参数可以将程序、访问者及其访问类型添加到 PACL。您可以使用 authorize- 命令从 PACL 删除访问者。PARENTS
(信息性)。 PMDB 列表,是传播树中节点的父项(也由 parent_pmd 配置设置定义)。
POLICYASSIGN
定义分配给该对象的策略的列表。
显示名称:分配的策略
POLICY
在 POLICIES 属性中列出的每个策略的状态。 属性的值是具有以下字段的结构:
- nNAMEPOLICY 对象的对象 ID。 与 POLICIES 属性的值相同。
- STATUS表示以下各项之一的整数:
- 已部署-策略已在端点成功部署。
- 已部署,但存在失败-已使用部署脚本中的一个或多个规则部署了策略,但无法在端点上执行。
- 已取消部署-策略已从端点成功取消部署。注意:如果取消部署策略,主机不会显示任何状态(即,状态为空)。
- 已取消部署,但存在失败-已使用取消部署脚本中的一个或多个规则取消部署策略,但无法在端点上执行。
- 部署失败-由于部署脚本中存在错误,导致策略无法部署。注意:只有在启用策略验证时,才会显示此状态。 否则,即使策略包含错误(部署失败状态),policyfetcher 也会部署策略。
- 未知-策略状态未知。
- 部署挂起-正在等待部署先决条件策略,或策略包含未定义或未解析的变量。
- 取消部署挂起-等待要取消部署的依存策略。
- 不同步-策略包含一个变量,该变量值已在端点上发生更改。
- 未执行-策略验证在策略中找到一个或多个错误。
- 已排队-过时(仅针对向后兼容)。
- 已传输-过时(仅针对向后兼容)。
- 传输失败-过时(仅针对向后兼容)。
- 签名失败-过时(仅针对向后兼容)。
- 偏差用于表示此节点上是否存在策略偏差的值。 有效值为:
- Yes
- No
- 未设置
- dev_time上次偏差状态更新时间。
- ptime上次策略状态更新时间。
- updator部署或删除该策略的用户的名称。
RAUDIT
定义记录在审核日志中的访问事件类型。 RAUDIT 从
Resource
AUDIT
派生出其名称。 有效值为:- all所有访问请求。
- success授予的访问请求。
- failure拒绝的访问请求(默认值)。
- none无访问请求。
Privileged Identity Manager
在每次尝试访问资源时都会记录事件,但不会记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。使用 chres 和 chfile 命令的审核参数来修改审核模式。
SECLABEL
定义用户或资源的安全标签。
注意:
SECLABEL 属性对应于 chres 和 ch[x]usr 命令的 label[-] 参数。SECLEVEL
定义访问者或资源的安全级别。
注意:
该属性对应于 ch[x]usr 和 chres 命令的 level[-] 参数。SUBSCRIBER_STATUS
每个父项的节点状态。 属性的值是具有以下字段的结构:
- oidSubsHNODE 对象的对象 ID。 与 SUBSCRIBERS 属性的值相同。
- status表示以下其中一种状态的值:
- 可用
- 不可用
- 同步(同步)
- 未知
- stime上次状态更新时间。
SUBSCRIBERS
传播树中节点的订户列表。 更新此属性,使用 HNODE 对象名称的值隐式更新 PARENTS 属性。
UACC
定义资源的默认访问权限,即授予未定义到
Privileged Identity Manager
或未显示在资源的 ACL 中的访问者的访问权限。在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改此属性。
UNAB_ID
(信息性)显示 UNAB 主机 ID 以便进行报告。
UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
UPDATE_WHO
(信息性)显示执行更新的管理员。
WARNING
指定是否启用“警告”模式。 对资源启用“警告”模式后,将授予对资源的所有访问请求,并且如果某个访问请求违反了访问规则,则会向审核日志中写入记录。