setoptions コマンド - オプションの設定

AC 環境で該当
cminder140jp
AC 環境で該当
setoptions コマンドを使用すると、実行中のシステムでシステム全体の 
Privileged Access Manager Server Control
オプションを設定します。例えば、setoptions を使用して以下のことを行うことができます。
  • 個々のクラスまたはすべてのクラスのセキュリティ チェックを有効または無効にします
  • パスワード ポリシーを設定します
  • Privileged Access Manager Server Control
    オプションの現在の設定を一覧表示します
注:
このコマンドは Windows 環境にもありますが、動作が異なります。
setoptions コマンドを使用するには、ADMIN 属性が必要です。ただし、setoptions list コマンドは AUDITOR 属性または OPERATOR 属性があれば使用できます。
このコマンドの形式は以下のようになります。
{setoptions|so} \
[accgrr|accgrr-] \ [accpacl|accpacl-] \ [ac_id(id)] \ [class+ (className)] \ [class- (className)] \ [class (className)] \ [flags{+|-} (I|W)] \ [cng_adminpwd|cng_adminpwd-] \ [cng_ownpwd|cng_ownpwd-] \ [cwarnlist] \ [dms{+|-}(dms@hostname)] \ [inactive(nDays)|inactive-] \ [is_dms{+|-}] \ [list] \ [maxlogins(nLogins)|maxlogins-] \ [password( \[{history(nStoredPasswords) | history-}] \[(interval(nDays) | interval-)] \[(min_life(nDays) | min_life-)] \[{rules( \ [alpha(nCharacters)] \ [alphanum(nCharacters)] \ [(bidirectional) | (bidirectional-)] \ [grace(nLogins)] \ [lowercase(nCharacters)] \ [min_len(nCharacters)] [max_len(nCharacters)] \ [max_rep(nCharacters)] \ [{namechk|namechk-}] [numeric(nCharacters)] \ [{oldpwchk|oldpwchk-}] [prohibited(prohibitedCharacters)] \ [special(nCharacters)] \ [sub_str_len(nCharacters)] \ [uppercase(nCharacters)] \ [use_dbdict|use_dbdict-] \)|rules-}] \ )] \
  • accgrr
    累積グループ権限(ACCGRR)オプションを有効にします。
    デフォルト値は enabled です。
  • accgrr-
    累積グループ権限(ACCGRR)オプションを無効にします。
  • accpacl
    すべてのリソースでの PACL の使用を有効にします。
  • accpacl-
    PACL の使用を無効にします。
  • ac_id(id)
    ローカル
    Privileged Access Manager Server Control
    データベースおよび DMS に保存されるエンドポイント(HNODE オブジェクト)の一意の ID を定義します。
    Privileged Access Manager Server Control
    ではこの ID を使用して HNODE を識別し、エンドポイントの IP アドレスや名前の変更が拡張ポリシー管理機能に影響しないようにします。
    Privileged Access Manager Server Control
    によるエンドポイントのトレースは引き続き可能です。
  • class (
    className
    )
    Privileged Access Manager Server Control
    クラスを設定またはクリアします。
  • class+(
    className
    )
    1 つ以上の
    Privileged Access Manager Server Control
    クラスを有効にします。
    Privileged Access Manager Server Control
    でそのクラスのリソースを保護するためには、クラスが有効である必要があります。クラスの有効化は、クラスに属するリソースへのアクセスを許可するために必要なレコードを定義した後に行う必要があります。
    Privileged Access Manager Server Control
    で提供されるリソース クラスの詳細については、「
    UNIX エンドポイント管理ガイド
    」を参照してください。
    以下のいずれかの値を使用します。
    • Privileged Access Manager Server Control
      クラスの名前
    • SECLEVEL。これにより、セキュリティ レベル チェックが有効になります。
    • PASSWORD。パスワード ルールが有効になります。Windows では、任意の長さのパスワードを使用できるようになります。
  • class-(
    className
    )
    1 つ以上の
    Privileged Access Manager Server Control
    クラスを無効にします。無効なクラスに属するリソースは
    Privileged Access Manager Server Control
    で保護されません。以下のいずれかの値を使用します。
    • クラスの名前
    • SECLEVEL。セキュリティ レベル チェックを無効にします。
    • PASSWORD。パスワード ルールが無効になります。Windows では、長いパスワードも無効になります。
    GROUP、SECFILE、SEOS、UACC、および USER の各クラスを無効にすることはできません。
  • cng_adminpwd
    PWMANAGER 属性を持つユーザが ADMIN ユーザのパスワードを変更できるようにします。
  • cng_adminpwd-
    PWMANAGER 属性を持つユーザが ADMIN ユーザのパスワードを変更できないようにします。これがデフォルトの設定です。
  • cng_ownpwd
    ユーザが selang を使用してパスワードを変更できるようにします。
  • cng_ownpwd-
    ユーザが selang を使用してパスワードを変更できないようにします。これがデフォルトの設定です。
  • cwarnlist
    警告モードのクラスに関するデータのテーブルを表示します。
  • dms{+|-}(
    dms
    @
    hostname
    )
    このデータベースの DMS データベース リストに対する DMS データベースを追加または削除します。
  • flags{+|-} (I|W)
    クラスに関連する機能を設定またはクリアします。有効な値は以下のとおりです。
    • I
      指定したクラスで、オブジェクトの大文字と小文字を区別するかどうか。
      注:
      I フラグを設定する前に、同じ名前のリソースが存在することを確認します。
      Privileged Access Manager Server Control
      では、大文字または小文字のリソースが複数存在する場合、再起動時にデータベース エラーが発生します。
      Privileged Access Manager Server Control
      を再起動して I フラグの変更を有効にします。
    • W
      指定したクラスの警告モード。
    注:
    フラグは大文字と小文字を区別します。大文字を使用してください。
  • history(
    NStoredPasswords
    )
    履歴リストに保存するパスワード履歴の数を指定します。パスワードが変更されると、前回のパスワードがリストに追加され、必要に応じて最も古いパスワードがリストから削除されます。
    Privileged Access Manager Server Control
    では、ユーザがリストに含まれているパスワードを変更できないようにします。
    1 から 24 までの整数を入力します。0 を指定すると、パスワードは保存されません。
    Windows の場合、history オプションを使用すると、8 文字より長いパスワードを使用できるようになります。setoptions の bidirectional または bidirectional- オプションは、パスワードを保存する際に使用される暗号化の形式を決定します。
    UNIX の場合、長いパスワードが有効かどうかに history オプションは
    影響しません
    。長いパスワードを有効にするかどうかには、passwd_local_encryption_method 環境設定を使用します。
  • history-
    パスワード履歴のチェックを無効にします。
    Windows では、このオプションにより長いパスワードが使用できなくなります。
  • inactive(
    nDays
    )
    ユーザのログインを一時停止するまでの非アクティブ状態の日数を指定します。非アクティブ状態の日とは、ユーザがログインできない日を指します。正の整数を入力します。inactive を 0 に設定すると、inactive- パラメータを使用した場合と同じ結果になります。
  • inactive-
    非アクティブ ログイン チェックを無効にします。
  • interval(
    nDays
    )
    パスワードの設定または変更後、ユーザに対して新しいパスワードの入力を促すメッセージを表示するまでの経過日数を設定します。正の整数または 0 を入力します。interval を 0 に設定すると、ユーザに対するパスワード期間のチェックは無効になります。パスワードに有効期限を設定しない場合は、interval を 0 に設定します。
    ユーザのログイン スクリプトに segrace ユーティリティが含まれている場合は、指定された日数が経過すると、
    Privileged Access Manager Server Control
    が現在のパスワードが期限切れになったことをユーザに通知します。通知を受けたユーザは、ただちにパスワードを更新するか、猶予ログイン回数に達するまで古いパスワードを引き続き使用することができます。猶予ログイン回数に達すると、ユーザはシステムへのアクセスを拒否されるため、システム管理者に連絡して新しいパスワードを設定する必要があります。
  • interval-
    パスワード期間の設定を取り消します。
  • is_dms+
    現在のデータベースを DMS に指定します。
  • is_dms-
    現在のデータベースの DMS としての指定を解除します。
  • list
    現在の設定を画面に表示します。
  • maxlogins(
    nLogins
    )
    ユーザが同時にログインできる端末台数の最大値を設定します。値 0(ゼロ)は、同時に任意の数の端末からログインできることを意味します。ユーザのユーザ レコードに値を指定すると、この値より優先されます。
    注:
    maxlogins を 1 に設定すると、selang を実行できません。この場合、
    Privileged Access Manager Server Control
    を停止し、maxlogins の設定を 2 以上の値に変更し、
    Privileged Access Manager Server Control
    を再起動する必要があります。
    注:
    Unix および Linux のオペレーティング システムでのみ有効です。
  • maxlogins-
    グローバルな最大ログイン回数のチェックを無効にします。ユーザ レコードでログインが制限されていない限り、ユーザがログインできる端末台数は無制限となります。
  • min_life(
    NDays
    )
    変更したパスワードを再度変更できるようになるまでの最短日数を設定します。正の整数を入力します。
  • パスワード
    パスワード オプションを設定します。
  • rules
    Privileged Access Manager Server Control
    が新しいパスワードの品質をチェックする際に使用する 1 つ以上のパスワード ルールを設定します。ルールは以下のとおりです。
    • alpha(
      nCharacters
      )
      新しいパスワードで使用する必要がある英字の最小文字数を設定します。整数を入力します。
    • alphanum(
      nCharacters
      )
      新しいパスワードで使用する必要がある英数字の最小文字数を設定します。整数を入力します。
    • bidirectional
      パスワードが他のシステムに PMDB の一部として送信されるときに、クリア テキスト形式で(暗号化されたメッセージ内で)配信するように指定します。
      UNIX の場合、このオプションは passwd セクションに以下の値を設定することに相当します。
      Passwd_distribution_encryption_mode=bidirectional
      注:
      setoptions コマンドを使用するのではなく、環境設定を行うことをお勧めします。
      Windows の場合、パスワードは以下のレジストリ値で指定された暗号方式を使用して履歴リストに格納されます。
      HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Encryption Package
    • bidirectional-
      パスワードがハッシュ暗号化形式で送信されるように指定します。
      Windows の場合、使用されるハッシュ関数は SHA-1 です。
      UNIX の場合、このオプションは passwd セクションに以下の値を設定することに相当します。
      Passwd_distribution_encryption_mode=compatibility
      注:
      setoptions コマンドを使用するのではなく、環境設定を行うことをお勧めします。
      このオプションを指定すると、長いパスワードを異種オペレーティング システム間で送信できなくなります。
    • grace(
      nLogins
      )
      ユーザのアカウントが一時停止になるまでに猶予ログインできる最大回数を設定します。猶予ログイン回数には、0 ~ 255 の値を指定する必要があります。
    • lowercase(
      nCharacters
      )
      新しいパスワードで使用する必要がある文字の小文字の最小数を指定します。整数を入力します。
    • min_len(
      nCharacters
      )
      パスワードの最小文字数を設定します。新しいパスワードで使用する必要がある文字の合計最小数を指定します。
    • max_len(
      nCharacters
      )
      パスワードの最大文字数を設定します。新しいパスワードで使用する必要がある文字の合計最大数を指定します。
    • max_rep(
      nCharacters
      )
      新しいパスワードで使用する必要がある同じ文字の最大繰り返し回数を設定します。整数を入力します。
    • namechk
      パスワードにユーザ名の一部または全部が含まれているかどうかをチェックします。デフォルトでは、
      Privileged Access Manager Server Control
      はこのチェックを実行します。
    • namechk-
      namechk チェックをオフにします。
    • numeric(
      nCharacters
      )
      新しいパスワードで使用する必要がある数字の合計最小数を指定します。整数を入力します。
    • oldpwchk
      新しいパスワードに古いパスワードの一部または全部が含まれているかどうかをチェックします。デフォルトでは、
      Privileged Access Manager Server Control
      はこのチェックを実行します。
      注:
      Unix および Linux のオペレーティング システムでのみ有効です。
    • oldpwchk-
      oldpwchk をオフにします。
    • prohibited(
      prohibitedCharacters
      )
      ユーザがパスワードで使用できない文字を指定します。使用を禁止する文字を入力してください。
      注:
      Tab キーの使用をブロックするために、「\」および「t」両方の制御文字が禁止文字リストに指定されていることを確認するようにお勧めします。
    • special(
      nCharacters
      )
      新しいパスワードで使用する必要がある特殊文字の最小数を指定します。整数を入力します。
    • sub_str_len(
      nCharacters
      )
      新しいパスワードと古いパスワードとで共通する文字の最大数を指定します。整数を入力します。
    • uppercase(
      nCharacters
      )
      新しいパスワードで使用する必要がある英字の大文字の最小数を設定します。整数を入力します。
    • use_dbdict | use_dbdict-
      パスワード辞書を設定します。use_dbdict はトークンを db に設定し、パスワードを
      Privileged Access Manager Server Control
      データベースの単語と照合して比較します。use_dbdict- トークンを file に設定し、UNIX の場合は seos.ini ファイル、Windows の場合は Windows レジストリに指定されたファイルとパスワードを照合して比較します。
  • rules-
    パスワード品質のチェックを無効にします。rules 引数で指定したルールは、パスワード品質のチェックに使用されません。
例:
Privileged Access Manager Server Control
オプションの設定
  • ユーザ John が、オペレータ アクションの保護に使用される導入先定義のクラスである OpsAct クラスを有効にするとします。
    ユーザ John に ADMIN 属性が割り当てられているとします。
    setoptions class+(OpsAct)
  • ユーザ Mike が、6 文字以上のパスワードをユーザに選択させるパスワード ポリシーを設定します。さらに、パスワード ポリシーの適用を有効にします。
    ユーザ Mike に ADMIN 属性が割り当てられているとします。
    setoptions class+(PASSWORD) setoptions password(rules(min_len(6)))
  • ユーザ SecAdmin がセキュリティ レベル チェックを有効にします。
    ユーザ SecAdmin に ADMIN 属性が割り当てられているとします。
    setoptions class+(SECLEVEL)
  • ユーザ Janani が、このデータベースの通知の送信先 DMS を設定します。
    ユーザ Janani に ADMIN 属性が割り当てられているとします。
    setoptions dms+(apache@myHost)
例: クラスを警告モードに設定する
クラスを警告モードに設定するには、そのクラスの Warning プロパティを設定します。このためには、以下のように setoptions の selang コマンドを実行します。
setoptions class(classname) flags+ (W)
  • classname
    警告モードに設定するクラスの名前を定義します。
注:
W フラグは大文字と小文字の区別があるので、大文字で指定する必要があります。
クラスの警告モードをオフにするには、以下のように setoptions コマンドを使用します。
setoptions class(classname) flags- (W)