APPL 类
APPL 类中的每个记录可定义由 CA SSO 使用的应用程序。
cminder12901cn
APPL 类中的每个记录可定义由 CA SSO 使用的应用程序。
APPL 类记录的关键字是应用程序的名称。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
。- ACL定义允许访问资源的访问者(用户和组)的列表以及访问者的访问类型。访问控制列表 (ACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Access定义访问者对资源的访问权限。
- APPLTYPE由 CA SSO 使用。
- AZNACL定义授权 ACL。 授权 ACL 是允许基于资源说明访问资源的 ACL。 说明将发送给授权引擎,而不是对象。 通常,使用 AZNACL 时,该对象不在数据库中。
- CALACL定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Calendar定义 Unicenter TNG 中的日历引用。
- Access定义访问者对资源的访问权限。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。 - CALENDAR表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
- CAPTION桌面上应用程序图标下方的文本。 默认为 APPL 记录的名称。限制:47 个字母数字字符。
- CMDLINE应用程序可执行文件的文件名, 由 CA SSO 使用。限制:255 个字符。
- COMMENT定义要包括在记录中的其他信息。 注释不用于授权。限制:255 个字符。
- CONTAINED_ITEMS所包含应用程序的记录名称(如果记录是容器)。可以在 chres、editres 和 newres 命令中使用 item[-](applName) 参数修改此属性。
- CONTAINERS容器应用程序的记录名称(如果记录包含在其他应用程序中)。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- DAYTIME定义管理访问者何时可以访问资源的日期和时间限制。在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。日期时间限制的分辨率为一分钟。
- DIALOG_FILE目录中 CA SSO 脚本的名称包含应用程序的登录顺序。 默认目录位置是 /usr/sso/scripts。 默认值为“no script”。可以在 chres、editres 和 newres 命令中使用 script[](fileName) 参数修改此属性。
- GROUPS具有应用程序使用权限的用户组的列表。
- HOST应用程序所驻留主机的名称。可以在 chres、editres 和 newres 命令中使用 host[](hostName) 参数修该此属性。
- ICONFILE文件的文件名或完整路径(包含图标),表示桌面上的应用程序。Privileged Identity Manager要在最终用户工作站上找到图标。 如果只输入文件名,该文件的搜索顺序将如下所示:
- 当前目录
- PATH 环境变量中列出的目录
- ICONID图标文件中图标的数字 ID(如果有必要)。 如果未指定 ICONID,则使用默认图标。
- IS_CONTAINER应用程序是否是容器。 默认值为“no”。可以在 chres、editres 和 newres 命令中使用 container[-] 参数修改此属性。
- IS_DISABLED是否禁用应用程序。 如果禁用应用程序,用户将不能登录。 如果不希望任何用户在更改应用程序时登录到应用程序,则此功能很有用。 禁用的应用程序显示在应用程序菜单列表中,但如果用户选择了该应用程序,则登录将终止并会显示相应的消息。 默认值为“not disabled”。
- IS_HIDDEN应用程序图标是否显示在用户(包括调用应用程序的用户)桌面上。 您可能想要隐藏主应用程序,例如,只用于向其他应用程序提供密码的应用程序。 默认值为“not hidden”。可以在 chres、editres 和 newres 命令中使用 hidden[-] 参数修改此属性。
- IS_SENSITIVE当用户在预设时间后打开应用程序时,是否需要再次进行身份验证。 默认值为“not sensitive”。可以在 chres、editres 和 newres 命令中使用 sensitive[-] 参数修改此属性。
- LOGIN_TYPE提供用户密码的方式。 值为pwd(纯密码)、otp(一次性密码)、appticket(大型机应用程序身份验证的专属票单)、none(不需要密码)或passticket(IBM 创建的和大型机安全包使用的一次性密码替换格式)。 默认值为“pwd”。可以在 chres、editres 和 newres 命令中使用 login_type(value) 参数修改此属性。
- MASTER_APPL向其他应用程序提供密码的应用程序的记录名称。 默认值为“no master”。可以在 chres、editres 和 newres 命令中使用 master[-](applName) 参数修改此属性。
- NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:Accessor
定义访问者。
- Access定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
NOTIFY
定义当资源或用户生成审核事件时要通知的用户。 指定的用户可以接收有关审核记录的电子邮件。
限制:
30 个字符。OWNER
定义拥有该记录的用户或组。
PGMDIR
应用程序的可执行文件所在的目录或目录列表。 由 CA SSO 使用。
PWD_AUTOGEN
表示应用程序密码是否由 CA SSO 自动生成。 默认值为“no”。
PWD_SYNC
表示是否自动将应用程序密码与其他应用程序的密码保持相同。 默认值为“no”。
PWPOLICY
应用程序密码策略的记录名称。 密码策略是一组规则,用于检查新密码的有效性和定义密码的过期时间。 默认值为 no validity check。
RAUDIT
定义记录在审核日志中的访问事件类型。 RAUDIT 从
Resource
AUDIT
派生出其名称。 有效值为:- all所有访问请求。
- success授予的访问请求。
- failure拒绝的访问请求(默认值)。
- none无访问请求。
Privileged Identity Manager
在每次尝试访问资源时都会记录事件,但不会记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。使用 chres 和 chfile 命令的审核参数来修改审核模式。
SCRIPT_POSTCMD
表示是否在登录脚本后执行一个或多个命令。
SCRIPT_PRECMD
表示是否在登录脚本前执行一个或多个命令。
SCRIPT_VARS
由 CA SSO 使用,每个应用程序所保存应用程序脚本的变量值的变量列表。
TktKey
仅由 CA SSO 使用。
TKTPROFILE
仅由 CA SSO 使用。
UACC
定义资源的默认访问权限,即授予未定义到
Privileged Identity Manager
或未显示在资源的 ACL 中的访问者的权限。在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改此属性。
UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
UPDATE_WHO
(信息性)显示执行更新的管理员。
WARNING
指定是否启用“警告”模式。 对资源启用“警告”模式后,将授予对资源的所有访问请求,并且如果某个访问请求违反了访问规则,则会向审核日志中写入记录。