XUSER 类
XUSER 类中的每个记录定义数据库中的企业用户。
cminder12901cn
XUSER 类中的每个记录定义数据库中的企业用户。
USER 记录的键是用户的名称 - 登录到系统时,用户输入的名称。
您可以从
Privileged Identity Manager
端点控制台或通过使用 selang 命令 chxusr 来更改这些属性中的大多数属性。注意:
在大多数情况下,除非另有说明,使用 chxusr 更改属性,否则您使用属性名作为命令参数。可以从
Privileged Identity Manager
端点控制台或通过使用 selang 命令 showxusr 查看所有属性。- APPLIST由 CA SSO 使用。
- APPLIST_TIME由 CA SSO 使用。
- APPLS(信息性)显示访问者有权访问的应用程序的列表。 由 CA SSO 使用。
- AUDIT_MODE定义记录在审核日志中的活动。您可以指定以下活动的任何组合:
- 无日志记录
- 记录在跟踪文件中的所有活动
- 失败的登录尝试
- 登录成功
- 对受Privileged Identity Manager保护资源的失败访问尝试
- 成功访问受Privileged Identity Manager保护的资源
- 交互式登录
注意:此属性对应 ch[x]usr 和 ch[x]grp 命令的审核参数。 - AUTHNMTHD(信息性)显示身份验证方法或用于组记录的方法;从方法 1 到方法 32,或无。 由 CA SSO 使用。
- BADPASSWD由 CA SSO 使用。
- CALENDAR表示用户、组和资源限制的 Unicenter TNG 日历对象。 可以按指定的时间间隔获取 Unicenter TNG 活动日历。
- CATEGORY定义一个或多个分配给用户或资源的安全类别。
- COMMENT定义要包括在记录中的更多信息。 注释不用于授权。限制:255 个字符。
- COUNTRY指定用户所在国家/地区描述符的字符串。 该字符串是 X.500 命名方案的一部分。 该字符串不用于授权。
- CREATE_TIME(信息性)显示创建记录的日期和时间。
- DAYTIME定义管理访问者何时可以访问资源的日期和时间限制。在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数修改此属性。日期时间限制的分辨率为一分钟。
- EMAIL定义用户的电子邮件地址(最多 128 个字符)。
- FULLNAME定义与访问者相关联的全名。 全名可用于标识 accessorin 审核日志消息,但不用于授权。FULLNAME 是字母数字字符串。 组的最大长度是 255 个字符。 用户的最大长度是 47 个字符。
- GAPPLS(信息性)表示用户有权访问的应用程序组的列表。 由 CA SSO 使用。
- GRACELOGIN定义密码到期后用户具有的宽限登录次数。 当超过宽限登录次数时,将拒绝用户访问系统,用户必须与系统管理员联系才能获得新密码。宽限登录次数必须介于 0 和 255 之间。 如果此值为 0,用户将无法登录。USER 记录中的 GRACELOGIN 属性的值覆盖 GROUP 记录中 NGRACE 值。这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。注意:此属性对应 ch[x]usr 命令的 grace 参数。
- GROUPS(信息性)显示用户所属的用户组的列表。 此属性还包含分配给用户所属的每个组的用户的任何组权限,如组管理权限 (GROUP-ADMIN)。此属性中包含的组列表可能与本机环境 GROUPS 属性中的列表不同。注意:不通过 ch[x]usr 命令修改此属性。 而是使用 join[-] 或 joinx[-] 命令修改此属性。
- INACTIVE定义系统将用户将状态更改为非活动状态之前必须经过的非活动天数。 如果帐户状态处于非活动状态,用户无法登录。USER 记录中的 INACTIVE 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 INACT 属性。注意:状态不会被储存,而是被动态计算。 要识别非活跃用户,必须将 INACTIVE 值与用户的 LAST_ACC_TIME 值进行比较。
- LAST_ACC_TERM显示执行上次登录的终端。
- LAST_ACC_TIME显示上次登录的日期和时间。
- LOCALAPPS由 CA SSO 使用。
- LOCATION定义用户位置。 用户位置不用于授权。
- LOGININFO定义用户登录到特定应用程序和审核数据所需的信息。 LOGININFO 包含用户有权访问的每个应用程序的单独列表。 由 CA SSO 使用。
- LOGSHIFT指示是否允许在当班时间以外登录。 针对此事件在审核日志中写入审核记录。
- MAXLOGINS定义允许用户执行的并发登录的最大数目。 值为零 (0) 表示用户可以执行任意数量的并发登录。User 记录中的 MAXLOGINS 属性值会覆盖 group 记录中的值。 这二者都会覆盖 SEOS 类记录中的 MAXLOGINS 值。
- MIN_TIME定义用户两次更改密码之间允许的最短时间(天)。USER 记录中的 MIN_TIME 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。注意:此属性对应 ch[x]usr 命令的 min_life 参数。
- NOTIFY定义当资源或用户生成审核事件时要通知的用户。 可以将审核记录以电子邮件方式发送给指定用户。限制:30 个字符。
- OBJ_TYPE指定用户权限属性。 这些属性中的每个属性均与 ch[x]usr 命令中的同名参数相对应。 用户可以具有以下一个或多个权限属性:
- ADMIN指定用户是否可以像 UNIX 环境中的 root 用户一样执行管理功能。
- AUDITOR指定用户是否可以监控系统、列出数据库中的信息以及为现有记录设置审核模式。
- IGN_HOL指定用户是否可以在 HOLIDAY 记录中定义的任何时间登录。
- LOGICAL指定该用户仅供内部使用,而不能用于真实用户登录。例如,您可用作资源所有者的用户 nobody 甚至可以防止资源所有者访问资源,该用户在默认情况下是逻辑用户。 这意味着,没有用户可以使用该帐户登录。
- OPERATOR指定用户是否可以列出数据库中的所有内容并使用 secons 实用工具。
- PWMANAGER指定用户是否可以修改其他用户的密码设置,以及是否可以启用已被 serevu 实用工具禁用的用户帐户。
- SERVER指定进程是否可以请求用户进行授权,以及是否可以发出 SEOSROUTE_VerifyCreate API 调用。
- OIDCRDDATA由 CA SSO 使用。
- OLD_PASSWD包含用户的以前密码的加密列表。 用户不能从此列表中选择新密码。 OLD_PASSWD 中保存的密码的最大数目由 setoptions 命令决定。
- ORG_UNIT存储有关用户工作的组织单元信息的字符串。 该字符串是 X.500 命名方案的一部分。 该字符串不用于授权。
- ORGANIZATION定义用户工作的组织。 该字符串是 X.500 命名方案的一部分。 组织信息不用于授权。
- PASSWD_A_C_W指示上次更改此记录的用户密码的 ADMIN 用户。
- PASSWD_INT定义两次为用户更改密码之间的最长时间(天)。USER 记录中的 PASSWD_INT 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。注意:此属性对应 ch[x]usr 命令的 interval 参数。
- PASSWD_L_A_C显示管理员上次更新密码的日期和时间。
- PASSWD_L_C显示用户上次更新密码的的日期和时间。
- PHONE定义用户的电话号码。 不使用该信息进行授权。
- PUPM_FLAGS指定终端集成属性。 当您将Privileged Identity Manager端点上的特权帐户与 SAM 进行集成时,可使用终端集成。 特权帐户可以有以下一个或两个终端集成属性:
- use_original_identity指定当Privileged Identity Manager作出授权决策时使用的签出帐户的用户名称,而不是特权帐户的名称。 该会话的审核记录列出了真实用户名称字段中的最初用户和有效用户名称字段中的特权帐户。
- required_checkout指定必须签出 SAM 中的帐户后用户才能使用该帐户登录端点。
- PWD_AUTOGEN显示用户密码是否是自动生成。 由 CA SSO 使用。默认值为“no”。
- PWD_SYNC显示所有用户应用程序的用户密码是否都自动保持一致。 由 CA SSO 使用。默认值为“no”。
- REVACL显示访问者的访问控制列表。
- REVOKE_COUNT由 CA SSO 使用。
- SCRIPT_VARS由 CA SSO 使用,定义具有每个应用程序所保存的应用程序脚本的变量值的变量列表。
- SECLABEL定义用户或资源的安全标签。注意:SECLABEL 属性对应于 chres 和 ch[x]usr 命令的 label[-] 参数。
- SECLEVEL定义访问者或资源的安全级别。注意:该属性对应于 ch[x]usr 和 chres 命令的 level[-] 参数。
- SESSION_GROUP为用户定义 SSO 会话组。 SESSION_GROUP 属性是具有最多 16 个字符长度的字符串。在 Windows 中,管理员可以在首选名称不在下拉列表中的情况下输入会话组的新名称。由 CA SSO 使用。
- SHIFT由 CA SSO 使用。
- SUSPEND_DATE定义用户帐户被挂起而变为无效的日期。如果对某个记录的挂起日期早于其恢复日期,用户可以在挂起日期之前和恢复日期之后进行工作。如果用户的恢复日期早于挂起日期,则记录也会在恢复日期之前变为无效。 用户仅可以在恢复日期和挂起日期之间进行工作。User 记录中的 SUSPEND_DATE 属性值会覆盖 group 记录中的值。注意:此属性对应 ch[x]usr 和 ch[x]grp 命令的 suspend[-] 参数。
- SUSPEND_WHO显示激活挂起日期的管理员。
- UALIAS显示一个或多个身份验证主机的用户定义的特定别名。 由 CA SSO 使用。
- UPDATE_TIME(信息性)显示上次修改记录的日期和时间。
- UPDATE_WHO(信息性)显示执行更新的管理员。