SEOS 类
SEOS 类可控制授权系统的行为。
cminder12901cn
SEOS 类可控制授权系统的行为。
该类仅包含一个记录,即 SEOS,该记录指定常规安全和授权选项。 要查看或更改 SEOS 类属性的状态,请使用 setoptions 命令。
以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
。- ACCPACL表示授权期间 UACC (defaccess) 和 PACL 列表的扫描顺序。ACCPACL 处于活动状态且通过 ACL 对用户提供显式访问时,访问者可进行访问。 如果未通过 ACL 提供显式访问,但通过 PACL 定义了显式访问,那么允许 PACL 访问进行访问。 如果 ACL 和 PACL 均不包含显式访问,defaccess 将检查访问定义。如果未激活 ACCPACL,ACL 仍将先检查显式访问。 如果 ACL 不包含正在检查资源的显式定义,接下来将检查 defaccess 定义。 如果 defaccess 中未定义显式访问,接下来将检查 PACL 访问定义。安装Privileged Identity Manager时,此属性的值被设置为 yes。accpacl 或 accpacl- 参数和 setoptions 命令可用于修改此属性。
- ADMIN指示 ADMIN 类是否处于活动状态。 通常情况下,ADMIN 类处于活动状态,并控制执行安全管理任务的权限。 如果 ADMIN 类未处于活动状态,所有用户都能够以管理员身份工作。
- APPL指示 APPL 类是否处于活动状态。
- AUTHHOST指示 AUTHHOST 类是否处于活动状态。
- CALENDAR指示 CALENDAR 类是否处于活动状态。
- CATEGORY指示 CATEGORY 类是否处于活动状态。
- CNG_ADMIN_PWD指示具有 PWMANAGER 属性的用户是否可使用 selang 更改 ADMIN 用户密码。 默认值为 yes。在 setoptions 命令中使用 class+ 或 class- 参数以及cng_adminpwd选项,可以激活或停用该属性。
- CNG_OWN_PWD指示用户是否可使用 selang 更改自己的密码。在 setoptions 命令中使用 class+ 或 class- 参数以及cng_ownpwd选项,可以激活或停用该属性。
- COMMENT定义要包括在记录中的其他信息。 注释不用于授权。限制:255 个字符。
- CONNECT指示 CONNECT 类是否处于活动状态。 CONNECT 类处于活动状态时,类中的记录将保护出站连接。如果 HOST 类处于活动状态,即使激活了 CONNECT 类,CONNECT 类也不会用作活动类。TCP 类处于活动状态时,不会将 CONNECT 类用作活动类。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- DAYTIMERES(仅 UNIX)指示是否检查白天限制资源。
- DMSDMS 服务器列表,此数据库必须将通知发送至该列表中的服务器。
- DOMAIN(仅 Windows)指示 DOMAIN 类是否处于活动状态。
- ENDTIME(信息性)。 上次按顺序关闭数据库文件的日期和时间。
- FILE指示 FILE 类是否处于活动状态。 FILE 类处于活动状态时,该类中的记录将保护文件和目录。
- ACCGRR累积组织权限选项 (ACCGRR) 会影响Privileged Identity Manager检查资源 ACL 的方式。 如果启用 ACCGRR,Privileged Identity Manager将检查 ACL 以了解从该用户所属的所有组授予的权限。 如果禁用 ACCGRR,Privileged Identity Manager将检查 ACL 以查看是否有任何适用的条目包含值 none。 如果是这种情况,访问将被拒绝。 否则,Privileged Identity Manager将忽略所有组条目(访问控制列表中第一个适用的条目除外)。 使用命令 setoptions ACCGRR 可以启用或禁用此属性。
- HOLIDAY指示 HOLIDAY 类是否处于活动状态。 HOLIDAY 类处于活动状态时,用户需要额外权限才能在定义的假日期间登录。
- HOST指示 HOST 类是否处于活动状态。 HOST 类处于活动状态时,Privileged Identity Manager会保护来自远程主机的传入 TCP/IP 服务请求。HOST 类处于活动状态时,即使激活了 TCP 和 CONNECT 类,也不会将这二者用作活动类。默认情况下,HOST 类处于活动状态。
- INACT指示自用户登录挂起后开始的不活动天数。 非活动日是指用户未登录的日子。USER 记录中的 INACTIVE 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 INACT 属性。使用 inactive 或 inactive- 参数和 setoptions 命令可以更新此属性。
- ISDMS如果将 PMDB 用作 DMS,则为 true。
- LOGINAPPL(仅 UNIX)指示 LOGINAPPL 类是否处于活动状态。
- MAXLOGINS允许用户进行的最大并发登录数(终端会话),到达该数量后,将拒绝用户登录。 零值表示无最大数,用户可同时登录到任意数量的终端会话。 要使用户登录并运行 selang,或管理数据库,该值必须为零或大于 1,因为Privileged Identity Manager会将每项任务(登录、selang、GUI 等等)均视为终端会话。USER 记录 MAXLOGINS 属性中的值将覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 MAXLOGINS 值。 如果访问者记录无显式值,那么 SEOS 记录中的值为使用的默认值。maxlogins 参数以及 chres、editres 和 newres 命令可用于修改 SEOS 类的该属性。
- MFTERMINAL指示 MFTERMINAL 类是否处于活动状态。
- PASSWDRULES指示密码规则。 该属性包含大量字段,这些字段确定密码保护的发生方式。 有关规则的完整列表,请参阅 USER 类的可修改属性 PROFILE。在 setoptions 命令中使用 password 参数以及 rules 或 rules- 选项可以修改此属性。
- PASSWORD指示密码检查是否处于活动状态。class+ 或 class- 参数、PASSWORD 选项和 setoptions 命令可以激活或禁用此属性。
- PROCESS指示 PROCESS 类是否处于活动状态。 PROCESS 类处于活动状态时,类中的记录将保护定义的进程,防止其被终止。必须也在 FILE 类中对文件进行定义。
- PROGRAM指示 PROGRAM 类是否处于活动状态。 PROGRAM 类处于活动状态时,类中的记录将保护定义的程序(这些程序被标记为“受信任”)。
- PWPOLICY指示 PWPOLICY 类是否处于活动状态。
- REGKEY(仅 Windows)指示 REGKEY 类是否处于活动状态。
- REGVAL(仅 Windows)指示 REGVAL 类是否处于活动状态。
- RESOURCE_DESC指示 RESOURCE_DESC 类是否处于活动状态。
- RESPONSE_TAB指示 RESPONSE_TAB 类是否处于活动状态。
- SECLABEL指示 SECLABEL 类是否处于活动状态。
- SECLEVEL指示 SECLEVEL 类是否处于活动状态。
- STARTTIME(信息性)。 上次打开数据库文件的日期和时间。
- SUDO指示 sesudo 使用的 SUDO 类是否处于活动状态。
- SYSTEM_AAUDIT_MODE为用户和企业用户指定默认审核模式(系统范围的审核模式)。默认值:Failure LoginSuccess LoginFailure
- SURROGATE指示 SURROGATE 类是否处于活动状态。 SURROGATE 类处于活动状态时,Privileged Identity Manager将保护 surrogate 请求。
- TCP指示 TCP 类是否处于活动状态。 TCP 类处于活动状态时,Privileged Identity Manager将保护传入和传出 TCP 服务(如邮件、ftp 和 http)。HOST 类处于活动状态时,即使激活了 TCP 类,也不会将其用作活动类。TCP 类处于活动状态时,不会将 CONNECT 类用作活动类。
- TERMINAL指示 TERMINAL 类是否处于活动状态。 TERMINAL 类处于活动状态时,将会在登录期间进行终端访问检查,并保护 X-window 会话。
- USER_ATTR指示 USER_ATTR 类是否处于活动状态。
- USER_DIR指示 USER_DIR 类是否处于活动状态。
- UPDATE_TIME(信息性)显示上次修改记录的日期和时间。
- UPDATE_WHO(信息性)显示执行更新的管理员。