chres コマンド - リソース レコードの変更
AC 環境で該当
cminder140jp
AC 環境で該当
chres、editres、および newres コマンドを使用して、
Privileged Access Manager Server Control
クラスに属するリソース レコードに対する作業を行います。これらのコマンドは構造が同じですが、以下の点のみ異なっています。- chres コマンドは、1 つ以上のリソースを変更します。
- editres コマンドは、1 つ以上のリソースを作成または変更します。
- newres コマンドは、1 つ以上のリソースを作成します。
注:
このコマンドはネイティブ Windows 環境にもありますが、動作が異なります。newres コマンドを使用してリソースを追加するには、以下の条件が少なくとも 1 つ満たされている必要があります。
- ADMIN 属性が割り当てられていること
- ADMIN クラスにあるリソース クラスのレコードの ACL に CREATE アクセス権限が設定されていること
- seos.ini ファイルのトークン use_unix_file_owner が yes に設定されている場合、UNIX のファイルの所有者がそのファイルを新しいリソースとしてPrivileged Access Manager Server Controlに定義できること
chres または editres コマンドを使用してリソースを追加または変更するには、リソースに対する適切な権限が必要です。
Privileged Access Manager Server Control
では、これらの条件のいずれか
を以下の順序でチェックします。- ADMIN 属性が割り当てられていること
- GROUP-ADMIN 属性で管理者権限を与えられたグループの有効範囲内に、目的のリソース レコードが含まれていること
- レコードの所有者であること
- ADMIN クラスにあるリソース クラスのレコードのアクセス制御リストに MODIFY アクセス権限(chres の場合)または CREATE アクセス権限(editres の場合)が割り当てられていること
注:
リソース名の最大文字数は、シングル バイト文字で 255 文字です。次の表は、chres、editres、および newres コマンドを使用して管理できる各クラスに対して使用できるコマンド パラメータの一覧です。
Class | Properties | |||||||||||
audit | カレンダ | category | comment | defaccess | label | level | notify | owner | restrictions[-] | warning | その他 | |
ACVAR | X | X | VARIABLE_ TYPE、VARIABLE_ VALUE | |||||||||
ADMIN | X | X | X | X | X | X | X | X | X | X | X | |
CALENDAR | X | X | ||||||||||
CATEGORY | X | X | ||||||||||
CONNECT | X | X | X | X | X | X | X | X | X | X | X | |
CONTAINER | X | X | X | X | X | MEM | ||||||
DOMAIN | X | X | X | X | X | X | X | X | X | X | X | MEM |
FILE | X | X | X | X | X | X | X | X | X | X | X | |
GFILE | X | X | X | X | X | X | MEM | |||||
GHOST | X | X | X | X | X | X | MEM | |||||
GSUDO | X | X | X | X | MEM | |||||||
GTERMINAL | X | X | X | X | X | X | MEM | |||||
HNODE | X | X | X | X | X | X | X | X | X | X | X | SUBSCRIBER、POLICY |
HOLIDAY | X | X | X | X | X | X | X | X | X | X | DATES | |
HOST | X | X | X | X | X | X | ||||||
HOSTNET | X | X | X | X | X | MASK、MATCH | ||||||
HOSTNP | X | X | X | X | X | X | ||||||
LOGINAPPL | X | X | X | X | X | X | X | X | LOGINFLAGS, LOGINMETHOD, LOGINPATH, LOGINSEQUENCE | |||
MFTERMINAL | X | X | X | X | X | X | X | X | X | DAYTIME | ||
POLICY | X | X | X | X | X | X | X | X | X | X | X | SIGNATURE、RULESET |
PROCESS | X | X | X | X | X | X | X | X | X | X | X | |
PROGRAM | X | X | X | X | X | X | X | X | X | X | X | TRUST |
PWPOLICY | X | X | ||||||||||
REGKEY | X | X | X | X | X | X | X | DAYTIME | ||||
REGVAL | X | X | X | X | X | X | X | DAYTIME | ||||
RULESET | X | X | X | X | X | X | X | X | X | X | X | SIGNATURE、CMD、UNDOCMD |
SECFILE | X | X | TRUST、FLAGS | |||||||||
SECLABEL | X | X | X | X | ||||||||
SEOS | X | X | X | X | X | HOST | ||||||
SPECIALPGM | X | X | ||||||||||
SUDO | X | X | X | X | X | X | X | X | X | X | X | TARGUID、PASSWORD |
SURROGATE | X | X | X | X | X | X | X | X | X | X | X | |
TCP | X | X | X | X | X | X | X | X | X | X | ||
TERMINAL | X | X | X | X | X | X | X | X | X | X | X | |
UACC | X | X | X | X | X | |||||||
USER-ATTR | X | X | ||||||||||
USER-DIR | X | X | X |
{{chres|cr}|{editres|er}|{newres|nr}} classNameresourceName \
[audit({none|all|success|failure})] \ [calendar[-](calendarName)] \ [category[-](categoryName)] \ [cmd+(selang_command_string)|cmd-] \ [comment(string)|comment-] \ [container[-](containerName)] \ [dates(time-period)] \ [dh_dr{-|+}(dh_dr)] \ [disable|disable-] \ [defaccess(accessAuthority)] \ [filepath(filePaths)] \ [flags[-|+](flagName)] \ [gacc(access-value)] \ [gowner(groupName)] \ [host(host-name)|host-] \ [label(labelName)|label-] \ [level(number)|level-] \ [mask(inetAddress)|match(inetAddress)] \ [mem(resourceName)|mem-(resourceName)] \ [node_alias{-|+}(alias)] \ [node_ip{-|+}(ip)] \ [notify(mailAddress)|notify-] \ [of_class(className)] \ [owner({userName | groupName})] \ [{password | password-}] \ [policy(name(policy-name) {{deviation+|dev+}|{deviation-|dev-}})] \ [policy(name(policy-name) status(policy-status) {updator|updated_by}(user-name))] \ [{restrictions([days({anyday|weekdays|{[mon] [tue] [wed] \[thu] [fri] [sat] [sun]}})] \[time({anytime|startTime:endTime}) \ |restrictions-}] \ [targuid(userName)] \ [trust | trust-] \ [value{+|-}(value)] \ [warning | warning-]
- auditPrivileged Access Manager Server Controlがログに記録するアクセス イベントを指定します。
- all- 許可されたアクセスと不正アクセスの試みの両方。
- failure- 不正アクセスの試み。この値は、デフォルトです。
- none- レコードは一切ログ ファイルに記録されません。
- success- 許可されたアクセスの試み。
- category(categoryName[,categoryName...])リソース レコードに 1 つ以上のセキュリティ カテゴリを割り当てます。CATEGORY クラスがアクティブでない場合に category パラメータを指定すると、Privileged Access Manager Server Controlによりデータベース内のリソースの定義が更新されます。ただし、更新されたカテゴリの割り当ては、CATEGORY クラスを再度アクティブにするまでは有効になりません。
- category-(categoryName[,categoryName...])リソース レコードから 1 つ以上のセキュリティ カテゴリを削除します。指定したセキュリティ カテゴリは、CATEGORY クラスがアクティブかどうかに関係なく、リソース レコードから削除されます。このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。
- classNameリソースが属するクラスの名前を指定します。Privileged Access Manager Server Controlに定義されているリソース クラスを一覧表示するには、find コマンドを実行します。
- cmd+(selang_command_string)ポリシーを定義する selang コマンドのリストを指定します。これらのコマンドは、ポリシーのデプロイに使用されます。例を以下に示します。editres RULESET IIS5#02 cmd+("nr FILE /inetpub/* defaccess(none) owner(nobody)")
- cmd-ポリシー デプロイ コマンド リストを RULESET オブジェクトから削除します。
- comment(string)最大 255 文字の英数字から成る文字列をリソース レコードに追加します。文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。以前に定義した既存の文字列は、この文字列に置き換えられます。注:SUDO クラスの場合、この文字列は特別な意味を持ちます。SUDO レコードの定義の詳細については、「CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。
- comment-リソース レコードからコメントを削除します。このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。
- container(containerName)CONTAINER(汎用グループ化クラス)のオブジェクトを表します。containerNameは、CONTAINER クラスに定義された 1 つ以上の CONTAINER クラスのレコードの名前です。CONTAINER クラスのレコードを複数割り当てる場合は、名前をスペースまたはカンマで区切ります。
- container-(containerName)リソース レコードから 1 つ以上の CONTAINER クラスのレコードを削除します。このパラメータは chres コマンドまたは editres コマンドでのみ使用できます。
- dates(time-period)休日などユーザがログインできない期間を 1 つ以上定義します。複数の期間を指定する場合は、各期間をスペースで区切ります。以下の形式を使用します。mm/dd[/yy[yy]] [@hh:mm][-mm/dd]/[/yy[yy]] [@hh:mm]特定の年を指定しない場合、または 1990 年より前の年を指定した場合、期間または休日は毎年適用されると見なされます。年は、下 2 桁または 4 桁で指定できます。たとえば、98 または 1998 です。開始時刻を指定しない場合、その日の開始時刻(午前 0 時)が使用されます。終了時刻を指定しない場合、その日の終了時刻(午前 0 時)が使用されます。時間および分の形式はhh:mmで指定します。hhは24時間表記の時間(00から23)、mmは分(00から59)を表します。時間(例: 12/25@14:00-12/25@17:00)を指定せずに、月と日のみ(12/25)を指定すると、その日1日が休日と見なされます。休日を迎えるタイム ゾーンとは異なるタイム ゾーンでコマンドを発行する場合は、指定する期間をユーザのローカル時間に変換します。たとえば、ニューヨークにいて、ロサンゼルスが半日の休日となる場合、「09/14/98@18:00-09/14/98@20:00」と入力する必要があります。このように指定すると、ロサンゼルスにいるユーザは午後 3 時から午後 5 時までの間ログインできなくなります。
- defaccess([accessAuthority])指定したリソースのデフォルトのアクセス権限を指定します。デフォルトのアクセス権限とは、リソースのアクセス制御リストに含まれていないアクセサがリソースへのアクセスを要求した場合に与えられる権限です。デフォルトのアクセス権限は、データベースに定義されていないユーザにも適用されます。有効なアクセス権限値はクラスによって異なります。accessAuthorityを省略すると、Privileged Access Manager Server Controlでは、UACC にあるリソースのクラスを表すレコードの UACC プロパティに指定された、暗黙のアクセス権が割り当てられます。
- dh_dr{+|-}(dh_dr)このエンドポイントが惨事復旧に使用する分散ホストを定義します。
- filepath(filePaths)1 つ以上の絶対ファイル パスを定義します。それぞれが有効なカーネル モジュールである必要があります。複数のファイル パスはコロン(:)で区切ります。
- flags(flagName)リソースを trusted にする方法およびリソースのステータスが trusted であるかどうかをチェックする方法を定義します。有効なフラグは、Ctime、Mtime、Mode、Size、Device、Inode、Crc、および Own/All/None です。
- gacc(access-value)頻繁に開かれる保護されたファイルに対するプログラムからのアクセス速度を向上させます。
- gowner(groupName)リソース レコードの所有者としてPrivileged Access Manager Server Controlグループを割り当てます。リソース レコードのグループ所有者には、リソースに対する無制限のアクセス権が与えられます。ただし、次の条件が当てはまる場合のみに限られます。グループ所有者のセキュリティ レベル、セキュリティ ラベル、およびセキュリティ カテゴリに、リソースへのアクセスを許可する適切な権限が設定されています。リソースのグループ所有者には、リソース レコードを更新および削除する許可が常に与えられます。詳細については、「CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。
- label(labelName)リソース レコードにセキュリティ ラベルを割り当てます。
- label-リソース レコードからセキュリティ ラベルを削除します。このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。
- level(number)リソース レコードにセキュリティ レベルを割り当てます。1 ~ 255 の正の整数を入力します。
- level-リソースからセキュリティ レベルをすべて削除します。このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。
- mask (IPv4-address) match (IPv4-address)maskパラメータとmatchパラメータは、HOSTNET レコードにのみ適用されます。これらは、HOSTNET レコードを作成するときに必要です。また、レコードを変更するときにオプションで必要です。mask と match を組み合わせて使用すると、HOSTNET レコードで定義されるホストのグループを定義できます。ホスト IP アドレスと mask アドレスの AND によって match アドレスが生成される場合、ホストは HOSTNET レコード グループのメンバです。たとえば、mask(255.255.255.0) および match(192.16.133.0) と指定した場合、IP アドレスが 192.16.133.0 ~ 192.16.133.255 の範囲にあるホストはこのグループのメンバです。mask パラメータと match パラメータには、IPv4 アドレスを指定する必要があります。
- mem(resourceName)メンバ リソースをリソース グループに追加します。複数のメンバ リソースを追加する場合は、名前をカンマで区切ります。mem パラメータは、以下のクラスのリソース レコードとのみ組み合わせて使用できます。
- CONTAINER - このクラスでは、他のリソース クラスに属するオブジェクトのグループを定義します。
- GFILE - このクラスには、ファイルのグループを定義するリソース レコードが含まれています。
- GHOST - このクラスには、ホストのグループを定義するリソース レコードが含まれています。
- GSUDO - このクラスには、コマンドのグループを定義するリソース レコードが含まれています。
- GTERMINAL - このクラスには、端末のグループを定義するリソース レコードが含まれています。
- GPOLICY - このクラスには、論理ポリシーを定義するリソース レコードが含まれています。
- GHNODE - このクラスには、ホスト グループを定義するリソース レコードが含まれています。
- GDEPLOYMENT - このクラスには、ポリシー デプロイを定義するリソース レコードが含まれています。
mem パラメータは、適切なタイプのレコードをリソース グループに追加するため、たとえば FILE レコードを GFILE クラスのリソース グループに追加するために使用します。注:CONTAINER リソースに対して mem パラメータを使用する場合、of_class パラメータも併用する必要があります。メンバ リソースとリソース グループがどちらもPrivileged Access Manager Server Controlにすでに定義されている必要があります。リソース グループを作成するには、目的のクラスのリソースを作成します。たとえば、以下のコマンドを実行すると GFILE リソース グループが作成されます。newres GFILE myfiles - mem-(resourceName)リソース グループからメンバ リソースを削除します。複数のメンバ リソースを削除する場合は、各リソース名をスペースまたはカンマで区切ります。このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。
- node_alias{-|+}(alias)エンドポイントの別名を定義します。エンドポイントの別名を定義すると、Privileged Access Manager Server Controlで拡張ポリシー管理コマンドを実際のエンドポイントに別名を使用して送信できるようになります。
- node_ip[-|+](ip)ホストの IP アドレスを定義します。拡張ポリシー管理では、エンドポイントの名前と併せて IP アドレスを使用して、必要なエンドポイントを特定します。
- notify(mailAddress)リソース レコードが示すリソースへのアクセスが実行されるたびに通知メッセージを送信するようPrivileged Access Manager Server Controlに指示します。ユーザ名またはユーザの電子メール アドレスを入力します。また、別名が指定されている場合は、メール グループの電子メール アドレスも入力できます。通知は、ログ ルーティング システムがアクティブな場合にのみ行われます。通知メッセージは、ログ ルーティング システムの設定に基づいて、ユーザの画面またはメールボックスに送信されます。通知メッセージが送信されるたびに、監査ログに監査レコードが書き込まれます。監査レコードのフィルタ処理および表示の詳細については、「CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。通知メッセージの受信者は、頻繁にログインして、各メッセージに示された不正アクセスの試みに対処する必要があります。制限:30 文字。
- notify-リソース レコードが示すリソースへのアクセスが成功した場合、誰にも通知を行わないように指定します。このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。
- of_class(className)mem パラメータを使用して CONTAINER クラスに追加するレコードのリソース タイプを指定します。
- owner(Name)リソース レコードの所有者としてPrivileged Access Manager Server Controlユーザまたはグループを割り当てます。リソース レコードの所有者には、リソースに対する無制限のアクセス権が与えられます。ただし、前提として、所有者のセキュリティ レベル、セキュリティ ラベル、およびセキュリティ カテゴリに、リソースへのアクセスを許可する適切な権限が設定されている必要があります。リソースの所有者には、リソース レコードを更新および削除する権限が常に与えられます。詳細については、「CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。
- パスワードSUDO クラスの場合に、sesudo コマンドを実行するにはユーザの元のパスワードが必要であることを指定します。
- password-password パラメータを取り消します。その結果、ユーザの元のパスワードを指定しなくても sesudo コマンドを実行できるようになります。このパラメータは chres コマンドまたは editres コマンドでのみ使用できます。これまでに password パラメータが使用されていない場合、このパラメータは必要ありません。
- policy(name(name#xx) status(status) updated_by(name)) | policy(name(name#xx) deviation{+|-})ノードのサブスクライバを伝達ツリーに追加し、ステータスを指定します。または、既存のポリシー バージョンを更新し、ポリシー偏差があるかどうかを指定します。ポリシー ステータスを更新するときは、updated_by プロパティを更新する必要があります。これは、ポリシー ステータスを変更したユーザの名前を表す文字列です。ポリシー ステータスは、Transferred、Deployed、Undeployed、Failed、SigFailed、Queued、UndeployFailed、TransferFailed のいずれかです。
- policy-[(name(name#xx))]ノードから名前付きポリシー バージョンを削除します。ポリシーの指定がない場合は、このノードにデプロイされたすべてのポリシーが削除されます。
- resourceName変更または追加するリソース レコードの名前を指定します。複数のリソースを変更または追加する場合は、リソース名のリストを丸かっこで囲みます。各リソース名はスペースまたはカンマで区切ります。リソース名は、少なくとも 1 つ指定する必要があります。Privileged Access Manager Server Controlでは、指定したパラメータに従って、各リソース レコードが個別に処理されます。リソースの処理中にエラーが発生すると、Privileged Access Manager Server Controlによりメッセージが発行され、リストの次のリソースから処理が続行されます。Note:リソース名で変数を使用する場合、変数名を参照するには次の構文を使用します。<!変数>、例: <!AC_ROOT_PATH>\bin。ポリシーの selang ルールでは、変数のみ使用できます。
- restrictions([days] [time])ユーザがファイルにアクセスできる曜日と時間帯を指定します。days 引数を指定せずに time 引数を指定した場合、レコード内にすでに設定されている曜日制限に対して、指定した時間帯制限が適用されます。time 引数を指定せずに days 引数を指定した場合、レコード内にすでに設定されている時間帯制限に対して、指定した曜日制限が適用されます。days 引数と time 引数の両方を指定した場合、ユーザは、指定した曜日の指定した時間帯にのみシステムにアクセスできます。
- [days] には、ユーザがファイルにアクセスできる曜日を指定します。days 引数には次のサブ引数があります。
- anyday- ユーザは曜日を問わずファイルにアクセスできます。
- weekdays- ユーザは月曜から金曜までの平日に限りリソースにアクセスできます。
- Mon、Tue、Wed、Thu、Fri、Sat、Sun- ユーザは指定した曜日にのみリソースにアクセスできます。曜日は任意の順で指定できます。複数の曜日を指定する場合は、各曜日をスペースまたはカンマで区切ります。
- [time] には、ユーザがリソースにアクセスできる時間帯を指定します。time 引数には次のサブ引数があります。
- anytime- 特定の曜日の任意の時間帯にリソースにアクセスできます。
- startTime:endTime- 指定した時間帯にのみリソースにアクセスできます。startTime および endTime は両方ともhhmmの形式で指定します。hhは 24 時間表記の時間(00 から 23)、mmは分(00 から 59)を表します。2400 は有効な time 値ではないことに注意してください。startTime が endTime より小さいこと、および両方が同じ日の時間であることが必要です。端末がホストと異なるタイム ゾーンにある場合は、端末の開始時間と終了時間をホストのローカル時間に相当する時間に変換し、時間の値を調整してください。たとえば、ホストがニューヨークにあり、端末がロサンゼルスにある場合、ロサンゼルスの端末からのアクセスを午前 8 時から午後 5 時まで許可するには、「time(1100:2000)」と指定します。
- restrictions-([days] [time])ユーザによるファイルへのアクセスを限定するすべての曜日および時間帯の制限を削除します。
- ruleset+(name)ポリシーに関連付けるルール セットを指定します。
- ruleset-(name)ポリシーからルール セットを削除します。ルール セットの指定がない場合は、すべてのルール セットがポリシーから削除されます。
- signature(hash_value)ハッシュ値を指定します。ポリシーの場合は、ポリシーに関連付けられている RULESET オブジェクトのシグネチャを基にします。ルール セットの場合は、ポリシー デプロイ コマンド リストとポリシー デプロイ解除(削除)コマンド リストを基にします。
- subscriber(name(sub_name) status(status))ノードのサブスクライバを伝達ツリーに追加し、ステータスを指定します。ステータスは、unknown、available、unavailable、syncのいずれかです。
- subscriber-(name(sub_name)) | sub-サブスクライバ データベースをノードから削除します。サブスクライバの指定がない場合は、すべてのサブスクライバが削除されます。
- targuid(userName)SUDO クラスに対して、コマンドの実行に権限を借用されるユーザの名前を指定します。デフォルトでは root ユーザです。
- trustリソースを trusted として指定します。trust パラメータは、PROGRAM クラスおよび SECFILE クラスのリソースのみに適用されます。プログラムが trusted の場合のみ、そのプログラムを実行できます。詳細については、「CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。
- trust-リソースを untrusted として指定します。trust- パラメータは、PROGRAM クラスおよび SECFILE クラスのリソースのみに適用されます。untrusted プログラムは実行できません。詳細については、「CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。
- undocmd+(selang_command_string)ポリシー デプロイ解除を定義する selang コマンドのリストを指定します。このリスト内のコマンドは、デプロイ済みのポリシーの削除(デプロイ解除)に使用するコマンドです。以下に例を示します。editres RULESET IIS5#02 undocmd+("rr FILE /inetpub/*")
- undocmd-ポリシー削除コマンド リストを RULESET オブジェクトから削除します。
- value+(value)指定された値を指定された変数(ACVAR オブジェクト)に追加します。
- value-(value)指定された変数(ACVAR オブジェクト)から指定された値を削除します。
- warningアクセサの権限がリソースにアクセスするために十分でない場合でも、Privileged Access Manager Server Controlがリソースへのアクセスを許可することを指定します。ただし、Privileged Access Manager Server Controlにより監査ログに警告メッセージが書き込まれます。注:警告モードの場合、Privileged Access Manager Server Controlでは、リソース グループに対する警告メッセージは作成されません。
- warning-Privileged Access Manager Server Controlにより、リソースへのユーザ アクセスが拒否されるよう指定します。アクセサの権限がリソースにアクセスするのに十分ではない場合、警告メッセージを書き込みません。このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。
例
- ユーザ(admin1)が、端末(tty30)に対して所有者とデフォルト アクセス権を変更し、その端末の使用を平日の通常業務時間内(午前 8 時から午後 6 時)に制限します。
- ユーザ admin1 には ADMIN 属性が割り当てられているとします。
chres TERMINAL tty30 owner(admin1) defaccess(read) restrictions \ (days(weekdays)time(0800:1800)) - ADMIN 属性を持つユーザ Sally が、ファイル account.txt の FILE クラス レコードに格納されているグループと所有者のプロパティを削除する操作を実行します。
- ユーザ Sally は Jared のユーザ レコードの所有者だとします。
chres FILE /account.txt group() owner()レコード プロパティが文字列で定義されている場合、レコード プロパティを削除するには、「-」符号または空のかっこ「()」のいずれかを付けてプロパティを入力します。 - ユーザ Bob が、端末 tty190 のコメント フィールドを削除し、その端末へのアクセスが許可されるたびに通知を受け取るように設定します。
- ユーザ Bob は、Privileged Access Manager Server Controlユーザで、端末 tty190 の所有者だとします。
chres TERMINAL tty190 comment- notify(Bob@athena) - ユーザ Admin1 が、SURROGATE クラスにあるリソース USER.root のセキュリティ カテゴリのリストに OPERATOR カテゴリを追加します。
- ユーザ Admin1 には ADMIN 属性が割り当てられているとします。
- OPERATOR カテゴリがデータベースに定義されているとします。
chres SURROGATE USER.root category(OPERATOR) - ユーザ admin1 が、/bin/su をグローバルな EXECUTE アクセス権が指定された trusted プログラムとして定義します。
- ユーザ admin1 には ADMIN 属性が割り当てられているとします。
- 以下のデフォルト値が適用されるとします。
- restrictions(days(anyday) time(anytime))
- owner(admin1)
- audit(failure)
newres PROGRAM /bin/su defaccess(x) trust - ユーザ admin1 が、admin1 を含めすべてのユーザがアクセスできない保護されたリソースとしてグループ system にグループ ID の一時変更を定義します。
- ユーザ admin1 には ADMIN 属性が割り当てられているとします。ユーザ nobody がPrivileged Access Manager Server Controlに定義されているとします。
- 以下のデフォルト値が適用されるとします。
- restrictions(days(anyday) time(anytime))
- audit(failure)
newres SURROGATE GROUP.system defaccess(n) owner(nobody) - ユーザ SecAdmin が、ProjATerms(端末 T1、T8、および T11 を含む端末のグループ)を定義します。この端末グループは、PROJECTA グループだけが、平日の通常業務時間内(午前 8 時から午後 6 時)にのみ使用します。
- ユーザ SecAdmin に ADMIN 属性が割り当てられているとします。
- 端末 T1、T8、および T11 はPrivileged Access Manager Server Controlに定義されているとします。
- グループ PROJECTA はPrivileged Access Manager Server Controlに定義されているとします。
- audit(failure)
newres GTERMINAL ProjATerms mem(T1,T8,T11) owner(PROJECTA) \ restrictions(days(weekdays) time(0800:1800)) defaccess(n)