LOGINAPPL の例
例: 以下の手順では、FTP アプリケーションの使用を匿名ユーザのみに許可しています。
capamsc141jp
例: 以下の手順では、FTP アプリケーションの使用を匿名ユーザのみに許可しています。
- 以下の selang コマンドを使用して、FTP のデフォルト アクセス権を none に変更します。cr LOGINAPPL FTP defaccess(NONE) owner(nobody)
- 以下の selang コマンドを使用して、ユーザ anonymous に FTP の使用を許可します。auth LOGINAPPL FTP uid(anonymous) access(X)
account というグループに属するユーザが telnet のみを使用するように制限するには、以下の手順に従います。
- 以下の selang コマンドを使用して、rlogin と rsh の使用を禁止します。auth LOGINAPPL(RLOGIN RSH) gid(account) access(N)
- 以下の selang コマンドを使用して、account というグループに telnet の使用を許可します。auth LOGINAPPL TELNET gid(account) acc(X)
注:
上記の例では、RLOGIN および RSH の制限について説明しましたが、他のログイン プログラムも制限できます。新規のログイン プログラムを追加または使用する場合は必ず、LOGINAPPL レコードを追加する必要があります。
ログイン インターセプト シーケンスは、常に、setgid イベントまたは setgroup イベントで始まります。これらのイベントを
トリガ
といいます。このシーケンスは、ユーザの ID を実際にログインしたユーザに変更する setuid イベントで終わります。ログイン アプリケーションが発行する各種システム コールは、
Privileged Access Manager Server Control
でログイン アクティビティを監視するために使用されます。標準のログイン アプリケーションについては、これらのログイン順序があらかじめ設定されています。これらのログイン順序は、Privileged Access Manager Server Control
のトレース ファイルを調べることによって確認できます。注:
LOGINAPPL クラス、およびシーケンスの設定方法の詳細については、「selang リファレンス ガイド」を参照してください。