UACC 类
UACC 类中的每个记录可定义资源类允许的默认访问权限。 UACC 记录还确定了未受 保护的该类的资源允许的访问级别。
cminder12901cn
UACC 类中的每个记录可定义资源类允许的默认访问权限。 UACC 记录还确定了未受
Privileged Identity Manager
保护的该类的资源允许的访问级别。UACC 适用于大多数类但不是全部类。 下表说明了每个类使用 UACC 类的方式。
UACC 用法 | 类 |
标准 | ADMIN、APPL、AUTHHOST、CALENDAR、CONNECT、CONTAINER、DOMAIN、GAPPL、GAUTHHOST、GHOST、GSUDO、GTERMINAL、HOLIDAY、HOST、HOSTNET、HOSTNP、MFTERMINAL、POLICY、PROCESS、PROGRAM、REGKEY、REGVAL、RULESET、SUDO、SURROGATE、TCP、TERMINAL、USER_DIR、用户定义的类 |
非标准 | FILE, GFILE |
None | AGENT、AGENT_TYPE、CATEGORY、GROUP、PWPOLICY、RESOURCE_DESC、RESPONSE_TAB、SECFILE、SECLABEL、SEOS、SPECIALPGM、USER、USER_ATTR |
对于特定 _restricted 组之外的用户,UACC 类中的 FILE 记录只保护作为
Privileged Identity Manager
中一部分的文件,如 seos.ini、seosd.trace、seos.audit 和 seos.error 文件。 这些文件未明确定义,但自动受到 Privileged Identity Manager
的保护。UACC 类记录的键值是定义了其 UACC 属性的类名称。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
。- ACL定义允许访问资源的访问者(用户和组)及其访问类型的列表。访问控制列表 (ACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Access定义访问者对资源的访问权限。
- ALLOWACCS此类所有允许访问权限的列表。
- RAUDIT定义记录在审核日志中的访问事件类型。 RAUDIT 从ResourceAUDIT派生出其名称。 有效值为:
- all所有访问请求。
- success授予的访问请求。
- failure拒绝的访问请求(默认值)。
- none无访问请求。
Privileged Identity Manager在每次尝试访问资源时都会记录事件,但不会记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。使用 chres 和 chfile 命令的审核参数来修改审核模式。 - CALACL定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Calendar定义 Unicenter TNG 中的日历引用。
- Access定义访问者对资源的访问权限。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。 - COMMENT定义要包括在记录中的更多信息。 注释不用于授权。限制:255 个字符。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:- Accessor
定义访问者。
- Access定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
- OWNER
定义拥有该记录的用户或组。
- UACC
定义资源的默认访问权限,即授予未定义到
Privileged Identity Manager
或未显示在资源的 ACL 中的访问者的访问权限。在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改此属性。
- UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
- UPDATE_WHO
(信息性)显示执行更新的管理员。