CONTAINER 类
CONTAINER 类中的每个记录定义了来自其他资源类的一组对象,从而在规则适用于多个不同的对象类时简化定义访问规则的作业。 CONTAINER 类记录的成员可以是来自以下任意类的对象:
cminder12901cn
CONTAINER 类中的每个记录定义了来自其他资源类的一组对象,从而在规则适用于多个不同的对象类时简化定义访问规则的作业。 CONTAINER 类记录的成员可以是来自以下任意类的对象:
- APPL
- AUTHHOST
- CONNECT
- CONTAINER
- DICTIONARY
- DOMAIN(仅限 Windows)
- FILE
- GAPPL
- GAUTHHOST
- GFILE
- GHOST
- GSUDO
- GTERMINAL
- HNODE
- HOLIDAY
- HOST
- HOSTNET
- HOSTNP
- MFTERMINAL
- PARAM_DESC
- POLICY
- PROCESS
- PROGRAM
- REGKEY(仅限 Windows)
- RULESET
- SUDO
- SURROGATE
- TCP
- TERMINAL
- WEBSERVICE
注意:
CONTAINER 记录可以嵌套在其他 CONTAINER 记录中。在将对象指定为 CONTAINER 记录的成员之前,您必须在其相应的类中为其创建记录。
如果容器中的对象在其相应的类记录中没有 ACL,则该对象将继承其所属的 CONTAINER 记录的 ACL。
CONTAINER 类的密钥是 CONTAINER 记录的名称。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
。- ACL定义允许访问资源的访问者(用户和组)及其访问类型的列表。访问控制列表 (ACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Access定义访问者对资源的访问权限。
- CALACL定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Calendar定义 Unicenter TNG 中的日历引用。
- Access定义访问者对资源的访问权限。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。 - CALENDAR表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
- COMMENT定义要包括在记录中的其他信息。 注释不用于授权。限制:255 个字符。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- DAYTIME定义管理访问者何时可以访问资源的日期和时间限制。在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。日期时间限制的分辨率为一分钟。
- GROUPS定义资源记录所属的 CONTAINER 记录的列表。要在类记录中修改此属性,请在相应的 CONTAINER 记录中更改 MEMBERS 属性。在 chres、editres 或 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
- MEMBERS为组成员的任意类中的对象列表。在 chres、editres 和 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
- NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:Accessor
定义访问者。
- Access定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
OWNER
定义拥有该记录的用户或组。
PACL
定义当访问请求由特定程序(或匹配名称模式的程序)发出时允许访问资源的访问者及其访问类型的列表。 程序访问控制列表 (PACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Program定义对 PROGRAM 类中的记录的引用(无论是特别引用还是通过通配符模式匹配引用)。
- Access定义访问者对资源的访问权限。
注意:
您可以使用通配符指定 PACL 中的资源。在 selang authorize 命令中使用 via(
pgm
) 参数可以将程序、访问者及其访问类型添加到 PACL。您可以使用 authorize- 命令从 PACL 删除访问者。RAUDIT
定义记录在审核日志中的访问事件类型。 RAUDIT 从
Resource
AUDIT
派生出其名称。 有效值为:- all所有访问请求。
- success授予的访问请求。
- failure拒绝的访问请求(默认值)。
- none无访问请求。
Privileged Identity Manager
每次尝试访问资源时记录事件,不要记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。使用 chres 和 chfile 命令的审核参数来修改审核模式。
UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
UPDATE_WHO
(信息性)显示执行更新的管理员。