USER 类

USER 类中的每个记录均可在 数据库中定义一个用户。
cminder12901cn
USER 类中的每个记录均可在
Privileged Identity Manager
数据库中定义一个用户。
USER 记录的键值是用户的名称 - 登录到系统时,用户输入的名称。
您可以从
Privileged Identity Manager
端点控制台或通过使用 selang 命令 chusr 来更改多数的 USER 属性。 不能使用 chusr 更改的属性标记为
信息性
注意:
在大多数情况下,除非另有说明,使用 chusr 更改属性,否则您使用属性名作为命令参数。
可以从
Privileged Identity Manager
端点控制台或通过使用 selang 命令 showxusr 查看所有属性。
  • APPLIST
    由 CA SSO 使用。
  • APPLIST_TIME
    由 CA SSO 使用。
  • APPLS
    (信息性)显示访问者有权访问的应用程序的列表。 由 CA SSO 使用。
  • AUDIT_MODE
    定义记录在审核日志中的活动。 可以指定以下活动的任何组合:
    • 无日志记录
    • 记录在跟踪文件中的所有活动
    • 失败的登录尝试
    • 登录成功
    • 对受
      Privileged Identity Manager
      保护资源的失败访问尝试
    • 成功访问受
      Privileged Identity Manager
      保护的资源
    • 交互式登录
    注意:
    此属性对应 ch[x]usr 和 ch[x]grp 命令的审核参数。
  • AUTHNMTHD
    (信息性)显示身份验证方法或用于组记录的方法;从方法 1 到方法 32,或无。 由 CA SSO 使用。
  • BADPASSWD
    由 CA SSO 使用。
  • CALENDAR
    表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
  • CATEGORY
    定义一个或多个分配给用户或资源的安全类别。
  • COMMENT
    定义要包括在记录中的更多信息。 注释不用于授权。
    限制:
    255 个字符。
  • COUNTRY
    指定用户所在国家/地区描述符的字符串。 该字符串是 X.500 命名方案的一部分。 该字符串不用于授权。
  • CREATE_TIME
    (信息性)显示创建记录的日期和时间。
  • DAYTIME
    定义管理访问者何时可以访问资源的日期和时间限制。
    在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。
    日期时间限制的分辨率为一分钟。
  • EMAIL
    定义用户的电子邮件地址(最多 128 个字符)。
  • EXPIRE_DATE
    定义访问者变为无效的日期。 User 记录中的 EXPIRE_DATE 属性的值会覆盖 Group 记录中的值。
    注意:
    此属性对应 ch[x]usr 和 ch[x]grp 命令的 expire[-] 参数。
  • FULLNAME
    定义与访问者相关联的全名。 全名可用于标识 accessorin 审核日志消息,但不用于授权。
    注意:
    FULLNAME 是字母数字字符串。 组和用户的最大长度是 255 个字符。
  • GAPPLS
    (信息性)表示用户有权访问的应用程序组的列表。 由 CA SSO 使用。
  • GRACELOGIN
    定义密码到期后用户具有的宽限登录次数。 当超过宽限登录次数时,将拒绝用户访问系统,用户必须与系统管理员联系才能获得新密码。
    宽限登录次数必须介于 0 和 255 之间。 如果此值为 0,用户将无法登录。
    USER 记录中的 GRACELOGIN 属性的值覆盖 GROUP 记录中 NGRACE 值。这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。
    注意:
    此属性对应 ch[x]usr 命令的 grace 参数。
  • GROUPS
    (信息性)显示用户所属的用户组的列表。 此属性还包含分配给用户所属的每个组的用户的任何组权限,如组管理权限 (GROUP-ADMIN)。
    此属性中包含的组列表可能与本机环境 GROUPS 属性中的组列表不同。
    注意:
    不通过 ch[x]usr 命令修改此属性。 而是使用 join[-] 或 joinx[-] 命令修改此属性。
  • HOMEDIR
    (仅 UNIX)定义用户的主目录。 由 CA SSO 使用。
  • INACTIVE
    定义系统将用户将状态更改为非活动状态之前必须经过的非活动天数。 如果帐户状态处于非活动状态,用户无法登录。
    USER 记录中的 INACTIVE 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 INACT 属性。
    注意:
    状态为动态计算。 要识别非活跃用户,必须将 INACTIVE 值与用户的 LAST_ACC_TIME 值进行比较。
  • LAST_ACC_TERM
    显示执行上次登录的终端。
  • LAST_ACC_TIME
    显示上次登录的日期和时间。
  • LOCALAPPS
    由 CA SSO 使用。
  • LOCATION
    定义用户位置。 用户位置不用于授权。
  • LOGININFO
    定义用户登录到特定应用程序和审核数据所需的信息。 LOGININFO 包含用户有权访问的每个应用程序的单独列表。 由 CA SSO 使用。
  • LOGSHIFT
    指示是否允许在当班时间以外登录。 针对此事件在审核日志中写入审核记录。
  • MAXLOGINS
    定义允许用户执行的并发登录的最大数目。 值为零 (0) 表示用户可以执行任意数量的并发登录。
    User 记录中的 MAXLOGINS 属性值会覆盖 group 记录中的值。 这二者都会覆盖 SEOS 类记录中的 MAXLOGINS 值。
  • MIN_TIME
    定义允许用户两次更改密码之间的最短时间(天)。
    USER 记录中的 MIN_TIME 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。
    注意:
    此属性对应 ch[x]usr 命令的 min_life 参数。
  • NOTIFY
    定义当资源或用户生成审核事件时要通知的用户。 可以将审核记录以电子邮件方式发送给指定用户
    限制:
    30 个字符。
  • OBJ_TYPE
    指定用户权限属性。 这些属性中的每个属性均与 ch[x]usr 命令中的同名参数相对应。 用户可以具有以下一个或多个权限属性:
    • ADMIN
      指定用户是否可以像 UNIX 环境中的 root 用户一样执行管理功能。
    • AUDITOR
      指定用户是否可以监控系统、列出数据库中的信息以及为现有记录设置审核模式。
    • IGN_HOL
      指定用户是否可以在 HOLIDAY 记录中定义的任何时间登录。
    • LOGICAL
      指定该用户仅供内部使用,而不能用于真实用户登录。
      例如,您可用作资源所有者的用户 nobody 甚至可以防止资源所有者访问资源,该用户在默认情况下是逻辑用户。 这意味着,没有用户可以使用该帐户登录。
    • OPERATOR
      指定用户是否可以列出数据库中的所有内容并使用 secons 实用工具。
    • PWMANAGER
      指定用户是否可以修改其他用户的密码设置,以及是否可以启用已被 serevu 实用工具禁用的用户帐户。
    • SERVER
      指定进程是否可以请求用户进行授权,以及是否可以发出 SEOSROUTE_VerifyCreate API 调用。
  • OIDCRDDATA
    由 CA SSO 使用。
  • OLD_PASSWD
    包含用户的以前密码的加密列表。 用户不能从此列表中选择新密码。 OLD_PASSWD 中保存的密码的最大数目由 setoptions 命令决定。
  • ORG_UNIT
    存储有关用户工作的组织单元信息的字符串。 该字符串是 X.500 命名方案的一部分。 组织单元不用于授权。
  • ORGANIZATION
    定义用户工作的组织。 该字符串是 X.500 命名方案的一部分。 组织名称不用于授权。
  • OWNER
    定义拥有该记录的用户或组。
  • PASSWD_A_C_W
    指示上次更改此记录的用户密码的 ADMIN 用户。
  • PASSWD_INT
    定义两次为用户更改密码之间的最长时间(天)。
    USER 记录中的 PASSWD_INT 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。
    注意:
    此属性对应 ch[x]usr 命令的 interval 参数。
  • PASSWD_L_A_C
    显示管理员上次更新密码的日期和时间。
  • PASSWD_L_C
    显示用户上次更新密码的的日期和时间。
  • PGMINFO
    定义自动生成的程序信息。
    Watchdog 会自动验证此属性中存储的信息。 如果信息发生变化,则 Watchdog 将程序定义为不受信任。
    您可以选择任何以下标志以从此验证过程中
    排除
    关联信息:
    • crc
      循环冗余检验和 MD5 签名。
    • ctime
      (仅 UNIX)上一次文件状态更改的时间。
    • device
      在 UNIX 中,文件所在的逻辑磁盘。 在 Windows 上,包含该文件的磁盘的驱动器号。
    • group
      拥有程序文件的组。
    • inode
      在 UNIX 上,程序文件的文件系统地址。 在 Windows 上,这没有任何意义。
    • 模式
      程序文件的关联安全保护模式。
    • mtime
      上次修改程序文件的时间。
    • 所有者
      拥有程序文件的用户。
    • sha1
      SHA1 签名。 这是一种可应用于程序或敏感文件的数字签名方法,被称为安全散列算法。
    • size
      程序文件的大小。
    在 chres、editres 或 newres 命令中使用 flags、flags+ 或 flags- 参数可以修改此属性中的标志。
  • PHONE
    定义用户的电话号码。 不使用该信息进行授权。
  • POLICYMODEL
    指定当您使用 sepass 实用工具更改用户密码时接收新密码的 PMDB。 如果为此属性输入值,密码将
    发送到由 parent_pmd 或 passwd_pmd 配置设置定义的策略模型。
    注意:
    该属性对应 ch[x]usr 和 ch[x]grp 命令的 pmdb[-] 参数。
  • PROFILE
    定义用户的配置文件的路径。 该字符串可以包括本地绝对路径或 UNC 路径。
  • PUPM_FLAGS
    指定终端集成属性。 当您将端点上的特权帐户与 PUPM 进行集成时,可使用终端集成。 特权帐户可以有以下一个或两个终端集成属性:
    • use_original_identity
      指定当
      Privileged Identity Manager
      作出授权决策时使用的签出帐户的用户名称,而不是特权帐户的名称。 该会话的审核记录列出了真实用户名称字段中的最初用户和有效用户名称字段中的特权帐户。
    • required_checkout
      指定必须签出 SAM 中的帐户后用户才能使用该帐户登录端点。
  • PWD_AUTOGEN
    显示用户密码是否是自动生成。 由 CA SSO 使用。
    默认值:
    无默认值
  • PWD_SYNC
    显示所有用户应用程序的用户密码是否都自动保持一致。 由 CA SSO 使用。
    默认值:
    No
  • RESUME_DATE
    定义挂起的 USER 帐户变为取消挂起的日期。RESUME_DATE 和 SUSPEND_DATE 可配合工作。
    注意:
    该属性与 ch[x]usr 和 ch[x]grp 命令的 resume[-] 参数相对应。
  • REVACL
    显示访问者的访问控制列表。
  • REVOKE_COUNT
    由 CA SSO 使用。
  • SCRIPT_VARS
    由 CA SSO 使用,定义具有每个应用程序所保存的应用程序脚本的变量值的变量列表。
  • SECLABEL
    定义用户或资源的安全标签。
    注意:
    SECLABEL 属性对应于 chres 和 ch[x]usr 命令的 label[-] 参数。
  • SECLEVEL
    定义访问者或资源的安全级别。
    注意:
    该属性对应于 ch[x]usr 和 chres 命令的 level[-] 参数。
  • SESSION_GROUP
    为用户定义 SSO 会话组。 SESSION_GROUP 属性是具有最多 16 个字符长度的字符串。
    在 Windows 中,管理员可以在首选名称不在下拉列表中的情况下输入会话组的新名称。
    由 CA SSO 使用。
  • SHIFT
    由 CA SSO 使用。
  • SUSPEND_DATE
    定义用户帐户被挂起而变为无效的日期。
    如果对某个记录的挂起日期早于其恢复日期,用户可以在挂起日期之前和恢复日期之后进行工作。
    User_Class_1
    如果用户的恢复日期早于挂起日期,则记录也会在恢复日期
    之前
    变为无效。 用户仅可以在恢复日期和挂起日期之间进行工作。
    User_Class_2
    User 记录中的 SUSPEND_DATE 属性值会覆盖 group 记录中的值。
    注意:
    此属性对应 ch[x]usr 和 ch[x]grp 命令的 suspend[-] 参数。
  • SUSPEND_WHO
    显示激活挂起日期的管理员。
    注意:
    此属性相当于 ch[x]usr 命令的 suspend[-] 参数。
  • UALIAS
    显示一个或多个身份验证主机的用户定义的特定别名。 由 CA SSO 使用。
  • UPDATE_TIME
    (信息性)显示上次修改记录的日期和时间。
  • UPDATE_WHO
    (信息性)显示执行更新的管理员。