TCP 类
TCP 类中每个记录定义一个 TCP/IP 服务(例如,邮件、ftp 和 http)。 当 TCP 类用于授权时,只有 TCP 资源授予访问权限,主机才能从本地主机获取服务。 此外,仅当 TCP 资源授予访问权限时,本地主机上的用户或组才能使用 TCP/IP 服务访问远程主机。
cminder12901cn
TCP 类中每个记录定义一个 TCP/IP 服务(例如,邮件、ftp 和 http)。 当 TCP 类用于授权时,只有 TCP 资源授予访问权限,主机才能从本地主机获取服务。 此外,仅当 TCP 资源授予访问权限时,本地主机上的用户或组才能使用 TCP/IP 服务访问远程主机。
TCP 记录中的 ACL 可以为主机 (HOST)、主机组 (GHOST)、网络 (HOSTNET) 和主机集 (HOSTNP) 指定访问类型。
TCP 记录中的 CACL 可以为主机 (HOST)、主机组 (GHOST)、网络 (HOSTNET) 和主机集 (HOSTNP) 指定访问类型,也可以为用户和组指定访问类型。
您可以设置基于 IPv4 地址,而不仅仅基于主机名的规则。 这表示您可以满足域名更改。
注意:
IP 通信的访问规则仅适用于 IPv4。 IPV6 不控制访问。注意:
如果 CONNECT 类用作访问标准,则 TCP 类无法有效控制访问。 使用 TCP 类或 CONECT 类保护连接,而不是二者同时使用。TCP 记录的关键是 TCP/IP 服务的名称。 TCP 类同时控制传出服务和传入服务。
以下定义说明了 TCP 类记录中包含的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为
信息性
。- ACL定义本地主机提供服务的主机及允许的访问类型。访问控制列表中的每个元素都包含以下信息:
- 主机参考定义 HOST、GHOST、HOSTNET 或 HOSTNP 记录。
- 允许访问参考主机对资源拥有的访问权限。 有效访问权限如下:
- 无- 不允许主机执行任何操作。
- 读取- 允许主机从本地主机获取 TCP 服务。
- CACL允许访问资源的访问者(用户和组)及其可访问的主机的列表。 条件访问控制列表 (CACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- 主机参考定义 HOST、GHOST、HOSTNET 或 HOSTNP 记录
- 访问- 定义访问者对资源的访问权限。 有效访问类型为:
- 写入- 允许访问者使用该服务访问主机或主机组。
- 无- 不允许访问者使用该服务访问主机或主机组。
- CALACL定义允许访问资源的访问者(用户和组)的列表,并根据 Unicenter NSM 日历状态定义其访问类型。日历访问控制列表 (CALACL) 中的每个元素都包含以下信息:
- Accessor定义访问者。
- Calendar定义 Unicenter TNG 中的日历引用。
- Access定义访问者对资源的访问权限。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。 - CALENDAR表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
- COMMENT定义要包括在记录中的其他信息。 注释不用于授权。限制:255 个字符。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- DAYTIME定义管理访问者何时可以访问资源的日期和时间限制。在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。日期时间限制的分辨率为一分钟。
- GROUPS定义资源记录所属的 CONTAINER 记录的列表。要在类记录中修改此属性,请在相应的 CONTAINER 记录中更改 MEMBERS 属性。在 chres、editres 或 newres 命令中使用 mem+ 或 mem- 参数可以修改此属性。
- NACL
资源的
NACL
属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目都包含以下信息:- Accessor
定义访问者。
- Access定义访问者被拒绝的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令可以修改此属性。
- NOTIFY
定义当资源或用户生成审核事件时要通知的用户。 可以将审核记录以电子邮件方式发送给指定用户
。
限制:
30 个字符。- OWNER
定义拥有该记录的用户或组。
- RAUDIT
定义记录在审核日志中的访问事件类型。 RAUDIT 从
Resource
AUDIT
派生出其名称。 有效值为:- all所有访问请求。
- success授予的访问请求。
- failure拒绝的访问请求(默认值)。
- none无访问请求。
Privileged Identity Manager
在每次尝试访问资源时都会记录事件,但不会记录访问规则是直接应用到资源还是应用到将资源作为其成员的组或类。使用 chres 和 chfile 命令的审核参数来修改审核模式。
- UACC
定义资源的默认访问权限,即授予未定义到
Privileged Identity Manager
或未显示在资源的 ACL 中的访问者的访问权限。在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改此属性。
- UPDATE_TIME
(信息性)显示上次修改记录的日期和时间。
- UPDATE_WHO
(信息性)显示执行更新的管理员。
- WARNING
指定是否启用“警告”模式。 对资源启用“警告”模式后,将授予对资源的所有访问请求,并且如果某个访问请求违反了访问规则,则会向审核日志中写入记录。