SEOS クラス
SEOS クラスは、 権限付与システムの動作を制御します。
cminder140jp
SEOS クラスは、
Privileged Access Manager Server Control
権限付与システムの動作を制御します。クラスには、SEOS というレコードが 1 つだけ含まれます。このレコードは、一般的なセキュリティと権限のオプションを指定します。SEOS クラス プロパティのステータスを表示または変更するには、setoptions コマンドを使用します。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、
「情報のみ」
と記載されます。- ACCPACL認証プロセスで UACC(defaccess)および PACL のリストをスキャンする順序を指定します。ACCPACL がアクティブであり、ユーザのアクセス権が ACL で明示的に指定されている場合は、そのアクセサが許可されたアクセス権となります。アクセス権が ACL ではなく PACL で明示的に指定されている場合は、PACL アクセス権が許可されたアクセス権となります。ACL と PACL のいずれにも明示的なアクセス権が指定されていない場合は、defaccess のアクセス定義がチェックされます。ACCPACL がアクティブでない場合は、最初に ACL の明示的なアクセス権がチェックされます。ACL にチェック対象リソースに関する明示的なアクセス権が定義されていない場合は、次に defaccess 定義がチェックされます。defaccess に明示的なアクセス権が定義されていない場合は、次に PACL アクセス権の定義がチェックされます。Privileged Access Manager Server Controlのインストール時に、このプロパティの値は yes に設定されます。このプロパティを変更するには、setoptions コマンドの accpacl パラメータまたは accpacl- パラメータを使用します。
- ADMINADMIN クラスの各レコードが特定のクラスを管理する必要がある認可特権非管理者ユーザを定義します。特定の非管理者ユーザによって管理される各Privileged Access Manager Server Controlクラスは ADMIN レコードで表されます。レコードには、各クラスのアクセス権限を持つアクセサのリストが格納されます。例: ユーザ John に FILE クラス ルールを表示することを許可するには、「authorize ADMIN FILE uid(John) access(read)」を指定します。ADMIN クラスがオフの場合、非管理者ユーザはこの ADMIN クラスを使用して管理者権限を取得することはできません。
- APPLAPPL クラスをアクティブにするかどうかを指定します。
- AUTHHOSTAUTHHOST クラスをアクティブにするかどうかを指定します。
- CALENDARCALENDAR クラスをアクティブにするかどうかを指定します。
- CATEGORYCATEGORY クラスをアクティブにするかどうかを指定します。
- CNG_ADMIN_PWDPWMANAGER 属性を持つユーザが selang を使用して ADMIN ユーザのパスワードを変更できるかどうかを指定します。デフォルトは yes です。このプロパティをアクティブまたは非アクティブにするには、setoptions コマンドの class+ パラメータまたは class- パラメータおよびcng_adminpwdオプションを使用します。
- CNG_OWN_PWDユーザが selang を使用して自分のパスワードを変更できるかどうかを指定します。このプロパティをアクティブまたは非アクティブにするには、setoptions コマンドの class+ パラメータまたは class- パラメータおよびcng_ownpwdオプションを使用します。
- COMMENTレコードに含める追加情報を定義します。Privileged Access Manager Server Controlは、この情報を許可に使用しません。制限:255 文字。
- CONNECTCONNECT クラスをアクティブにするかどうかを指定します。CONNECT クラスがアクティブな場合、このクラスのレコードは外部への接続を保護します。HOST クラスがアクティブな場合、CONNECT クラスは、アクティブであってもアクティブなクラスとして使用されません。TCP クラスがアクティブな場合、CONNECT クラスはアクティブなクラスとして使用されません。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMERES(UNIX のみ)Privileged Access Manager Server Controlでリソースの日時制限をチェックするかどうかを指定します。
- DMSこのデータベースによる通知の送信先 DMS サーバのリストです。
- DOMAIN(Windows のみ)DOMAIN クラスをアクティブにするかどうかを指定します。
- ENDTIME(情報のみ)。データベース ファイルが通常の方法で最後に閉じられた日時です。
- FILEFILE クラスをアクティブにするかどうかを指定します。FILE クラスがアクティブな場合、このクラスのレコードはファイルおよびディレクトリを保護します。
- ACCGRR
累積グループ権限
オプション(ACCGRR)は、Privileged Access Manager Server Control
がリソースの ACL をチェックする方法を制御します。ACCGRR が有効な場合、Privileged Access Manager Server Control
は、ACL で、ユーザが属するすべてのグループで許可されている権限をチェックします。ACCGRR が無効な場合、Privileged Access Manager Server Control
は、ACL で適用可能なエントリのいずれかに値 none が含まれているかどうかをチェックします。none が含まれている場合、アクセスは拒否されます。none が含まれていない場合、Privileged Access Manager Server Control
は、ACL 内の最初の適用可能なグループ エントリを除くすべてのグループ エントリを無視します。このプロパティを有効または無効にするには、setoptions ACCGRR コマンドを使用します。- HOLIDAYHOLIDAY クラスをアクティブにするかどうかを指定します。HOLIDAY クラスがアクティブな場合、定義された休日期間中にユーザがログインするには特別な許可が必要となります。
- HOSTHOST クラスをアクティブにするかどうかを指定します。HOST クラスがアクティブな場合、Privileged Access Manager Server Controlは、リモート ホストから受信する TCP/IP サービス要求を保護します。HOST クラスがアクティブな場合、TCP クラスおよび CONNECT クラスは、アクティブであってもアクティブなクラスとして使用されません。HOST クラスは、デフォルトではアクティブです。
- INACTユーザ ログインを一時停止するまでの非アクティブ状態の日数を指定します。非アクティブ状態の日とは、ユーザがログインしていない日を指します。USER クラスのレコードの INACTIVE プロパティの値は、GROUP クラスのレコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの INACT プロパティより優先されます。このプロパティを更新するには、setoptions コマンドの inactive パラメータまたは inactive- パラメータを使用します。
- ISDMSPMDB が DMS として機能している場合に true です。
- LOGINAPPL(UNIX のみ)LOGINAPPL クラスをアクティブにするかどうかを指定します。
- MAXLOGINSユーザに許可される同時ログインの最大数(端末セッション数)です。この値を超えると、ユーザのアクセスは拒否されます。値 0 は最大数を設定しないことを意味します。ユーザは任意の数の端末セッションに同時にログインできます。Privileged Access Manager Server Controlでは、ログイン、selang、GUI などの個々のタスクが 1 つの端末セッションと見なされます。そのため、ユーザがログインして selang を実行するか、またはデータベースを管理する場合は、0 を指定するか、1 より大きい値を指定する必要があります。USER クラスのレコードの MAXLOGINS プロパティの値は、GROUP クラスのレコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの MAXLOGINS プロパティより優先されます。SEOS クラスのレコードの値は、アクセサ レコードに明示値の指定がない場合に使用されるデフォルト値です。SEOS クラスのこのプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの maxlogins パラメータを使用します。
- MFTERMINALMFTERMINAL クラスをアクティブにするかどうかを指定します。
- PASSWDRULESパスワード ルールを指定します。このプロパティには、Privileged Access Manager Server Controlでのパスワード保護の処理方法を決定する多くのフィールドが含まれています。ルールの一覧については、USER クラスの変更可能なプロパティである PROFILE を参照してください。このプロパティを変更するには、setoptions コマンドの passwordparameter および rules オプションまたは rules- オプションを使用します。
- PASSWORDパスワード チェックをアクティブにするかどうかを指定します。このプロパティをアクティブまたは非アクティブにするには、setoptions コマンドの class+ パラメータまたは class- パラメータおよび PASSWORD オプションを使用します。
- PROCESSPROCESS クラスをアクティブにするかどうかを指定します。PROCESS クラスがアクティブな場合、このクラスのレコードは、定義されているプロセスが(kill コマンドによって)強制終了されないように保護します。ファイルは、FILE クラスにも定義されている必要があります。
- PROGRAMPROGRAM クラスをアクティブにするかどうかを指定します。PROGRAM クラスがアクティブな場合、このクラスのレコードは、trusted のマークを付加して定義されたプログラムを保護します。
- PWPOLICYPWPOLICY クラスをアクティブにするかどうかを指定します。
- REGKEY(Windows のみ)REGKEY クラスをアクティブにするかどうかを指定します。
- REGVAL(Windows のみ)REGVAL クラスをアクティブにするかどうかを指定します。
- RESOURCE_DESCRESOURCE_DESC クラスをアクティブにするかどうかを指定します。
- RESPONSE_TABRESPONSE_TAB クラスをアクティブにするかどうかを指定します。
- SECLABELSECLABEL クラスをアクティブにするかどうかを指定します。
- SECLEVELSECLEVEL クラスをアクティブにするかどうかを指定します。
- STARTTIME(情報のみ)。データベース ファイルが最後に開かれた日時です。
- SUDOsesudo で使用する SUDO クラスをアクティブにするかどうかを指定します。
- SYSTEM_AAUDIT_MODEユーザおよびエンタープライズ ユーザのデフォルト監査モード(システム全体の監査モード)を指定します。デフォルト:Failure LoginSuccess LoginFailure
- SURROGATESURROGATE クラスをアクティブにするかどうかを指定します。SURROGATE クラスがアクティブな場合、Privileged Access Manager Server Controlは代理要求を保護します。
- TCPTCP クラスをアクティブにするかどうかを指定します。TCP クラスがアクティブな場合、Privileged Access Manager Server Controlは、メール、ftp、http などの TCP サービスの送受信を保護します。HOST クラスがアクティブな場合、TCP クラスは、アクティブであってもアクティブなクラスとして使用されません。TCP クラスがアクティブな場合、CONNECT クラスはアクティブなクラスとして使用されません。
- TERMINALTERMINAL クラスをアクティブにするかどうかを指定します。TERMINAL クラスがアクティブな場合、Privileged Access Manager Server Controlでは、サインオン時に端末アクセス チェックを行い、X Window セッションを保護します。
- USER_ATTRUSER_ATTR クラスをアクティブにするかどうかを指定します。
- USER_DIRUSER_DIR クラスをアクティブにするかどうかを指定します。
- UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。