SUDO 类
SUDO 类中的每个记录标识用户通过使用 sesudo 命令可以从另一用户处借用权限的命令。
cminder12901cn
SUDO 类中的每个记录标识用户通过使用 sesudo 命令可以从另一用户处借用权限的命令。
SUDO 类记录的键是 SUDO 记录的名称。 当用户执行 SUDO 记录中的命令,将使用该名称,而不是命令名称。
注意:
如果创建交互式 Windows 应用程序的 SUDO 记录,您必须设置 SUDO 记录的交互式标志。 如果不设置交互式标志,应用程序会在后台运行,而您无法与其进行交互。 有关详细信息,请参阅《故障排除指南
》。以下定义说明此类记录中所包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
。- ACL定义允许访问资源的访问者(用户和组)的列表以及访问者的访问类型。访问控制列表 (ACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Access定义访问者对资源的访问权限。
- CALACL定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Calendar定义 Unicenter TNG 中的日历引用。
- Access定义访问者对资源的访问权限。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。 - CALENDAR表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
- CATEGORY定义分配给用户或资源的一个或多个安全类别。
- COMMENTsesudo 执行的命令。字母数字字符串可包含最多 255 个字符,其中包含命令以及准许和禁止的参数。例如,以下配置文件定义正确使用了 COMMENT 属性:newres SUDO profile_name comment('command;;NAME')注意:COMMENT 属性的这种用法与其在其他类中的用法不同。 有关定义 SUDO 记录的更多信息,请参阅适用于 OS 的《端点管理指南》。 此属性也称为Privileged Identity Manager早期版本中的数据。限制:255 个字符。在 chres、editres 和 newres 命令中使用 comment[-] 参数可以修改该属性。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- DAYTIME定义管理访问者何时可以访问资源的日期和时间限制。在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。日期时间限制的分辨率为一分钟。
- GROUPSGSUDO 或 CONTAINER 列表可以对记录所属的资源进行记录。要在 SUDO 类记录中修改此属性,请在适当的 CONTAINER 或 GSUDO 记录中更改 MEMBERS 属性。在 chres、editres 或 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
- INTERACTIVE(仅限于 Windows)。 要通过 sesudo 运行的应用程序为交互 Windows 应用程序(例如:notepad.exe 或 cmd.exe)而不是服务应用程序时,应对该选项做出标记。 如果您尝试运行未标记的 sesudo 用作交互式的交互式应用程序,该应用程序在后台运行,且无法与其进行交互。注意:某些 Windows 应用程序由于 Windows 限制无法运行在前台。
- NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:- Accessor
定义访问者。
- Access定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
- NOTIFY
定义当资源或用户生成审核事件时要通知的用户。 可以将审核记录以电子邮件方式发送给指定用户
。
限制:
30 个字符。- OWNER
定义拥有该记录的用户或组。
PACL
定义当访问请求由特定程序(或匹配名称模式的程序)发出时允许访问资源的访问者及其访问类型的列表。 程序访问控制列表 (PACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Program定义对 PROGRAM 类中的记录的引用(无论是特别引用还是通过通配符模式匹配引用)。
- Access定义访问者对资源的访问权限。
注意:
您可以使用通配符指定 PACL 中的资源。在 selang authorize 命令中使用 via(
pgm
) 参数可以将程序、访问者及其访问类型添加到 PACL。您可以使用 authorize- 命令从 PACL 删除访问者。- PASSWORD
(仅适用于 UNIX)指出 sesudo 命令是否在执行前需要原始用户的密码。
在 chres、editres 或 newres 命令中使用 password 参数可以修改此属性。
- POLICYMODEL
指定当您使用 sepass 实用工具更改用户密码时接收新密码的 PMDB。 如果为此属性输入值,密码将
不
发送到由 parent_pmd 或 passwd_pmd 配置设置定义的策略模型。注意:
该属性对应 ch[x]usr 和 ch[x]grp 命令的 pmdb[-] 参数。- SECLABEL
定义用户或资源的安全标签。
注意:
SECLABEL 属性对应于 chres 和 ch[x]usr 命令的 label[-] 参数。- SECLEVEL
定义访问者或资源的安全级别。
注意:
该属性对应于 ch[x]usr 和 chres 命令的 level[-] 参数。- TARGUSR
(仅用于 UNIX)指示目标 uid,用以标识为执行命令而被借用权限的用户。 默认值为 root。
在 chres、editres 或 newres 命令中使用 targuid 参数可以修改此属性。
- UACC
定义资源的默认访问权限,即授予未定义到
Privileged Identity Manager
或未显示在资源的 ACL 中的访问者的访问权限。在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改此属性。
- UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
- UPDATE_WHO
(信息性)显示执行更新的管理员。
- WARNING
指定是否启用“警告”模式。 对资源启用“警告”模式后,将授予对资源的所有访问请求,并且如果某个访问请求违反了访问规则,则会向审核日志中写入记录。