识别登录事件
CA ControlMinder 不会将更改进程的用户 ID 的所有尝试都视为登录事件。 通常,程序尝试使用 setuid 系统调用更改其用户 ID。 SURROGATE 类控制这些事件,CA ControlMinder 不一定会将它们视为登录事件,并且不一定更改用户身份。
cminder12901cn
CA ControlMinder 不会将更改进程的用户 ID 的所有尝试都视为登录事件。 通常,程序尝试使用 setuid 系统调用更改其用户 ID。 SURROGATE 类控制这些事件,CA ControlMinder 不一定会将它们视为登录事件,并且不一定更改用户身份。
CA ControlMinder 始终会保留原始用户身份 - 用户初始登录所用的身份。 普通 setuid 系统调用不会使 CA ControlMinder 注册用户身份的更改。
要让 CA ControlMinder 识别身份更改,它必须将该事件识别为登录事件。 它使用下列规则识别登录事件:
- 尝试更改身份的程序被定义为登录程序。 LOGINAPPL 类中的所有程序都是登录程序。
- 该程序会执行与其在 LOGINAPPL 类中的定义相对应的一系列系统调用。
开始管理会话时(在 selang 或 CA ControlMinder 端点管理中),CA ControlMinder 将执行虚拟登录事件。 这不是真实的登录;这只是 CA ControlMinder 执行与登录检查类似的某些内部检查。
注意:
有关详细信息,请参阅《selang 参考指南
》中 LOGINAPPL 类的 SEQUENCE 属性。在管理会话开始时,会在要管理的计算机中检查用户名。 仅当您对执行会话的终端有 WRITE 访问权限时,您才可以访问该计算机进行管理。
例如,如果登录到主机 Minerva 并且希望在主机 Artemis 上管理 CA ControlMinder,则需要两个条件:
- 名为 Minerva(或相关的完全限定名称)的 TERMINAL 对象位于 Artemis 的数据库记录中。
- 您便列在该对象的 ACL 中,并具有 WRITE 权限。
在任何其他用户授权检查前都会检查这些条件。 请注意,在数据库中,您还需要管理权限。