GHOST 类
GHOST 类中的每个记录均可定义一个主机组。 必须先为每个主机创建 HOST 类记录,之后才能将其添加到 GHOST 记录。 必须使用 /etc/services 文件(UNIX)、\system32\drivers\etc\services 文件(Windows)或其他服务名称解析方法,将服务定义到系统。 授权服务时,可以按服务在 TCP/IP 协议中的端口号而非其名称来识别服务。 添加服务时,可以按服务在 TCP/IP 协议中的端口号而非其名称来识别服务。 然后,必须将 HOST 类的记录显式连接到 GHOST 记录,才能对其进行分组。
cminder12901cn
GHOST 类中的每个记录均可定义一个主机组。 必须先为每个主机创建 HOST 类记录,之后才能将其添加到 GHOST 记录。 必须使用 /etc/services 文件(UNIX)、\system32\drivers\etc\services 文件(Windows)或其他服务名称解析方法,将服务定义到系统。 授权服务时,可以按服务在 TCP/IP 协议中的端口号而非其名称来识别服务。 添加服务时,可以按服务在 TCP/IP 协议中的端口号而非其名称来识别服务。 然后,必须将 HOST 类的记录显式连接到 GHOST 记录,才能对其进行分组。
GHOST 记录将定义相应的访问规则,用以管理主机组中的其他工作站(主机)在使用 Internet 通信时对本地主机所拥有的访问权限。 对于每个客户端组(GHOST 记录),INETACL 属性将列出服务规则,用以管理本地主机可以为客户端组中主机提供的服务。
GHOST 类记录的关键字是 GHOST 记录的名称。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
。- CALENDAR表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
- COMMENT定义要包括在记录中的其他信息。 注释不用于授权。限制:255 个字符。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- DAYTIME定义管理访问者何时可以访问资源的日期和时间限制。在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。日期时间限制的分辨率为一分钟。
- GROUPS定义资源记录所属的 CONTAINER 记录的列表。要在类记录中修改此属性,请在相应的 CONTAINER 记录中更改 MEMBERS 属性。在 chres、editres 或 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
- INETACL定义允许本地主机向客户端主机的组提供的服务及其访问类型。 访问控制列表中的每个元素都包含以下信息:
- 服务引用对服务(端口号或名称)的引用。 要指定所有服务,请输入一个星号 (*) 作为服务引用。所支持的动态端口名称在 /etc/rpc 文件(针对 UNIX)或 \etc\rpc 文件(针对 Windows)中指定。
- Access定义访问者对资源的访问权限。
type-of-access)、service 和 stationName 参数可以修改 INETACL 属性中的访问者及其访问类型。 - INSERVRNGE指定本地主机向客户端主机组提供的服务范围。执行与 INETACL 属性类似的功能。在 authorize[-] 命令中使用 service (serviceRange) 参数可以修改 INSERVRANGE 属性中的访问者及其访问类型。
- MEMBERSHOST 类中属于组成员的对象的列表。在 chres、editres 和 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
- OWNER定义拥有该记录的用户或组。
- RAUDIT定义记录在审核日志中的访问事件类型。 RAUDIT 从ResourceAUDIT派生出其名称。 有效值为:
- all所有访问请求。
- success授予的访问请求。
- failure拒绝的访问请求(默认值)。
- none无访问请求。
Privileged Identity Manager在每次尝试访问资源时都会记录事件,但不会记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。使用 chres 和 chfile 命令的审核参数来修改审核模式。 - UPDATE_TIME(信息性)显示上次修改记录的日期和时间。
- UPDATE_WHO(信息性)显示执行更新的管理员。