GROUP 类

GROUP 类中的每个记录均可定义数据库中的用户组。
cminder12901cn
GROUP 类中的每个记录均可定义数据库中的用户组。
每个 GROUP 类记录的关键字是组的名称。
注意:
配置文件组的属性适用于与配置文件组相关的每个用户。 但是,如果在用户(USER 或 XUSER)记录中指定了同一属性,则该用户记录会覆盖配置文件组记录中的那些属性。
可以从
Privileged Identity Manager
端点控制台或通过使用 selang 命令 chgrp 来更改这些属性中的大多数。
注意:
在大多数情况下,除非另有说明,否则应使用 ch[x]grp 更改属性,可使用属性名作为命令参数。
可以从
Privileged Identity Manager
端点控制台或通过使用 selang 命令 showgrp 来查看所有属性。
  • APPLS
    (信息性)显示访问者有权访问的应用程序的列表。 由 CA SSO 使用。
  • AUDIT_MODE
    定义记录在审核日志中的活动。您可以指定以下活动的任何组合:
    • 无日志记录
    • 记录在跟踪文件中的所有活动
    • 失败的登录尝试
    • 登录成功
    • 对受保护资源的失败访问尝试
    • 成功访问受保护的资源
    • 交互式登录
    注意:
    此属性对应 ch[x]usr 和 ch[x]grp 命令的审核参数。 您可以使用 GROUP 或 XGROUP 的 AUDIT_MODE 为组的所有成员设置审核模式。 但是,当用户的审核模式是在 USER 记录、XUSER 记录或配置文件组中定义时,您不能使用 AUDIT_MODE 为组成员设置审核模式。
  • AUTHNMTHD
    (信息性)显示身份验证方法或用于组记录的方法;从方法 1 到方法 32,或无。 由 CA SSO 使用。
  • CALENDAR
    表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
  • COMMENT
    定义要包括在记录中的其他信息。 注释不用于授权。
    限制:
    255 个字符。
  • CREATE_TIME
    (信息性)显示创建记录的日期和时间。
  • DAYTIME
    定义管理访问者何时可以访问资源的日期和时间限制。
    在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。
    日期时间限制的分辨率为一分钟。
  • EXPIRE_DATE
    定义访问者变为无效的日期。 User 记录中的 EXPIRE_DATE 属性的值会覆盖 Group 记录中的值。
    注意:
    此属性对应 ch[x]usr 和 ch[x]grp 命令的 expire[-] 参数。
  • FULLNAME
    定义与访问者相关联的全名。 可使用全名来标识 accessorin 审核日志消息中的访问者,但不用于授权。
    FULLNAME 是字母数字字符串。 组的最大长度是 255 个字符。 用户的最大长度是 47 个字符。
  • GAPPLS
    定义组有权访问的应用程序组的列表。 由 CA SSO 使用。
  • GROUP_MEMBER
    定义属于此组的成员的组。
  • GROUP_TYPE
    指定组权限属性。 这些属性中的每个属性均与 ch[x]grp 命令中的同名参数相对应。 一个组可以具有以下一个或多个权限属性:
    • ADMIN
      指定属于该组的用户是否可以执行管理功能,类似于 UNIX 环境中的 root 用户。
    • AUDITOR
      指定属于该组的用户是否可以监控系统、列出数据库中的信息以及为现有记录设置审核模式。
    • OPERATOR
      指定属于该组的用户是否可以列出数据库中的所有内容和使用 secons 实用工具。
    • PWMANAGER
      指定属于该组的用户是否可以修改其他用户的密码设置,以及是否可以启用已经被 serevu 实用工具禁用的用户帐户。
    • SERVER
      指定进程是否可以请求属于该组的用户进行授权,以及是否可以发出 SEOSROUTE_VerifyCreate API 调用。
  • HOMEDIR
    定义分配给新组成员的主目录的路径。
    在 chgrp、editgrp 或 newgrp 命令中使用 homedir 参数可以修改此属性。
    限制:
    255 个字母数字字符。
  • INACTIVE
    定义系统将用户将状态更改为非活动状态之前必须经过的非活动天数。 如果帐户状态处于非活动状态,用户无法登录。
    USER 记录中的 INACTIVE 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 INACT 属性。
    注意:
    状态不会被储存,而是被动态计算。 要识别非活跃用户,必须将 INACTIVE 值与用户的 LAST_ACC_TIME 值进行比较。
    INACTIVE 是配置文件功能的一部分。
  • MAXLOGINS
    定义允许用户执行的并发登录的最大数目。 值为零 (0) 表示用户可以执行任意数量的并发登录。
    User 记录中的 MAXLOGINS 属性值会覆盖 group 记录中的值。 这二者都会覆盖 SEOS 类记录中的 MAXLOGINS 值。
    MAXLOGINS 是配置文件功能的一部分。
  • MEMBER_OF
    定义此组所属的组。
  • OWNER
    定义拥有该记录的用户或组。
  • PASSWDRULES
    指定密码规则。 此属性包含许多可确定用于处理密码保护的方法的字段。 有关规则的完整列表,请参阅 USER 类的可修改属性 PROFILE。
    在 setoptions 命令中使用 password 参数以及 rules 或 rules- 选项可以修改此属性。
    PASSWDRULES 是配置文件功能的一部分。
  • POLICYMODEL
    指定当您使用 sepass 实用工具更改用户密码时接收新密码的 PMDB。 如果为此属性输入值,密码将
    发送到由 parent_pmd 或 passwd_pmd 配置设置定义的策略模型。
    注意:
    该属性对应 ch[x]usr 和 ch[x]grp 命令的 pmdb[-] 参数。
    POLICYMODEL 是配置文件功能的一部分。
  • PROFUSR
    显示与此配置文件组相关联的用户的列表。
  • PWD_AUTOGEN
    指示组密码是否是自动生成。 默认值为“no”。 由 CA SSO 使用。
  • PWD_SYNC
    指示所有组应用程序的组密码是否都自动保持一致。 默认值为“no”。 由 CA SSO 使用。
  • PWPOLICY
    定义组的密码策略的记录名称。 密码策略是一组规则,用于检查新密码的有效性和定义密码的过期时间。 默认值为 no validity check。 由 CA SSO 使用。
  • RESUME_DATE
    定义挂起的 USER 帐户不再挂起的日期。 RESUME_DATE 与 SUSPEND_DATE 配合工作。 
    注意:
    此属性对应于 ch[x]usr 和 ch[x]grp 命令的 resume[-] 参数。RESUME_DATE 是配置文件功能的一部分。
  • REVACL
    显示访问者的访问控制列表。
  • SHELL
    (仅 UNIX)在用户是该组的成员时分配给新 UNIX 用户的 shell 程序。
    在 chxgrp 命令中使用 shellprog 参数可以修改此属性。
  • SUBGROUP
    显示以该组为父组的组列表。
  • SUPGROUP
    定义父组(上级组)的名称。
    在 ch[x]grp 命令中使用 parent[-] 参数修改此属性。
  • SUSPEND_DATE
    定义用户帐户被挂起而变为无效的日期。
    如果对某个记录的挂起日期早于其恢复日期,用户可以在挂起日期之前和恢复日期之后进行工作。
    Suspend_Date3
    如果用户的恢复日期早于挂起日期,则记录也会在恢复日期
    之前
    变为无效。 用户仅可以在恢复日期和挂起日期之间进行工作。
    Suspend_Date4
    User 记录中的 SUSPEND_DATE 属性值会覆盖 group 记录中的值。
    注意:
    此属性对应 ch[x]usr 和 ch[x]grp 命令的 suspend[-] 参数。
  • SUSPEND_WHO
    显示激活挂起日期的管理员。
  • UPDATE_TIME
    (信息性)显示上次修改记录的日期和时间。
  • UPDATE_WHO
    (信息性)显示执行更新的管理员。
  • USERLIST
    定义属于组的用户的列表。
    此属性中包含的用户列表可能与本地环境 USERS 属性中的列表不同。
    使用 join[x][-] 命令可以修改此属性。