ADMIN 类

ADMIN 类中的每个记录都包含允许非 ADMIN 用户管理特定类的定义。 必须创建 ADMIN 记录来代表被委派用户将要管理的每个 类。 记录所包含的访问者列表列出了每个访问者的访问权限,此外,记录还支持条件访问控制表 (CACL)。
cminder12901cn
ADMIN 类中的每个记录都包含允许非 ADMIN 用户管理特定类的定义。 必须创建 ADMIN 记录来代表被委派用户将要管理的每个
Privileged Identity Manager
类。 记录所包含的访问者列表列出了每个访问者的访问权限,此外,记录还支持条件访问控制表 (CACL)。
ADMIN 类记录的关键字是受保护类的名称。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
  • AAUDIT
    (信息性)。 显示
    Privileged Identity Manager
    正在审核的活动的类型。
  • ACL
    定义允许访问资源的访问者(用户和组)的列表以及访问者的访问类型。
    访问控制列表 (ACL) 中的每个元素都包含以下信息:
    • Accessor
      定义访问者。
    • Access
      定义访问者对资源的访问权限。
    在 authorize 或 authorize- 命令中使用 access 参数修改 ACL。
  • CALACL
    定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。
    日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
    • Accessor
      定义访问者。
    • Calendar
      定义 Unicenter TNG 中的日历引用。
    • Access
      定义访问者对资源的访问权限。
    只有日历为 ON 时才允许访问, 在所有其他情况下,会拒绝访问。
    可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。
  • CALENDAR
    表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
  • CATEGORY
    定义分配给用户或资源的一个或多个安全类别。
  • COMMENT
    定义要包括在记录中的其他信息。 注释不用于授权。
    限制:
    255 个字符。
  • CREATE_TIME
    (信息性)显示创建记录的日期和时间。
  • DAYTIME
    定义管理访问者何时可以访问资源的日期和时间限制。
    在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。
    日期时间限制的分辨率为一分钟。
  • NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:
Accessor
定义访问者。
  • Access
    定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
NOTIFY
定义当资源或用户生成审核事件时要通知的用户。 指定的用户可以接收有关审核记录的电子邮件。
限制:
30 个字符。
OWNER
定义拥有该记录的用户或组。
PACL
定义当访问请求由特定程序(或匹配名称模式的程序)发出时允许访问资源的访问者及其访问类型的列表。 程序访问控制列表 (PACL) 中的每个元素都包含以下信息:
  • Accessor
    定义访问者。
  • Program
    定义对 PROGRAM 类中的记录的引用(无论是特别引用还是通过通配符模式匹配引用)。
  • Access
    定义访问者对资源的访问权限。
注意:
您可以使用通配符指定 PACL 中的资源。
在 selang authorize 命令中使用 via(
pgm
) 参数可以将程序、访问者及其访问类型添加到 PACL。您可以使用 authorize- 命令从 PACL 删除访问者。
RAUDIT
定义记录在审核日志中的访问事件类型。 RAUDIT 从
Resource
AUDIT
派生出其名称。 有效值为:
  • all
    所有访问请求。
  • success
    授予的访问请求。
  • failure
    拒绝的访问请求(默认值)。
  • none
    无访问请求。
Privileged Identity Manager
在每次尝试访问资源时都会记录事件,但不会记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。
使用 chres 和 chfile 命令的审核参数来修改审核模式。
SECLABEL
定义用户或资源的安全标签。
注意:
SECLABEL 属性对应于 chres 和 ch[x]usr 命令的 label[-] 参数。
SECLEVEL
定义访问者或资源的安全级别。
注意:
该属性对应于 ch[x]usr 和 chres 命令的 level[-] 参数。
UACC
定义资源的默认访问权限,即授予未定义到
Privileged Identity Manager
或未显示在资源的 ACL 中的访问者的权限。
在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改此属性。
UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
UPDATE_WHO
(信息性)显示执行更新的管理员。
WARNING
指定是否启用“警告”模式。 对资源启用“警告”模式后,将授予对资源的所有访问请求,并且如果某个访问请求违反了访问规则,则会向审核日志中写入记录。