フィルタ メカニズム
PMDB では、次のように特定のサブスクライバ端末を選択して更新することができます。サブスクライバ端末にどのレコードを送信するかを定義するには、pmd.ini ファイルで filter トークンにフィルタ ファイルを指定します。このように設定すると、フィルタ ファイルを通過したレコードのみが更新情報としてサブスクライバ端末に送信されます。
capamsc141jp
PMDB では、次のように特定のサブスクライバ端末を選択して更新することができます。サブスクライバ端末にどのレコードを送信するかを定義するには、pmd.ini ファイルで filter トークンにフィルタ ファイルを指定します。このように設定すると、フィルタ ファイルを通過したレコードのみが更新情報としてサブスクライバ端末に送信されます。
フィルタ ファイルは、各行に 6 つのフィールドを持つ複数の行で構成されます。フィールドには以下の情報が含まれます。
- 許可または禁止されるアクセスの種類。指定可能な値は、AUTHORIZE_DELETE、AUTHORIZE_MODIFY、CREATE、DELETE、DEPLOY、EDIT、FILESCAN、GET、SEOS_ACCS_READ、JOIN_DELETE、JOIN_MODIFY、MODIFY、READ、START、または UNDEPLOY です。
- 影響を受ける環境。指定可能な値は、AC、CONFIG、UNIX、NT、または NATIVE です。
- レコードのクラス。指定可能な値は、ユーザ定義クラスを含むPrivileged Access Manager Server Controlのすべてのクラスです。
- ルールが適用されるクラスのオブジェクト。たとえば、User1、AuditGroup、または TTY1 になります。
- レコードによって許可または取り消されるプロパティ。たとえば、ユーザ レコードのフィルタ行の OWNER および FULL_NAME は、これらのユーザ プロパティを持つコマンドはすべてフィルタ処理されることを意味します。各プロパティを正確に入力する必要があります。
- 該当するレコードをサブスクライバ端末に転送するかどうか。指定可能な値は、PASS または NOPASS です。
どのフィールドでも、アスタリスクを使用して「可能なすべての値」を指定できます。同じレコードが複数の行に該当する場合は、最初の該当する行が使用されます。
フィルタ ファイルの各行では、フィールドをスペースで区切ります。フィールドに複数の値がある場合は、値をセミコロンで区切ります。「#」で始まる行はすべてコメント行とみなされます。空白行は使用できません。フィルタ ファイルの行の例を次に示します。
CREATE | AC | USER | * | FULL-NAME;OBJ_TYPE | NOPASS |
アクセスの種類 | 環境
| クラス
| レコード名
(* = すべて)
| プロパティ
| 処理方法
|
たとえば、この行を指定したファイルの名前が TTY1_FILTER で、Policy Model 「TTY1」の pmd.ini ファイルで「filter=/opt/CA/PAMSC/TTY1_FILTER」を指定しているとします。Policy Model TTY1 は、FULL_NAME および OBJ_TYPE (管理者、監査担当者など)プロパティを持つ新規
Privileged Access Manager Server Control
ユーザを作成するレコードを送信しません。アスタリスクは「すべての名前」を意味します。各アクセス値に関連する selang のコマンドを以下に示します。
Access | selang のコマンド |
AUTHORIZE_DELETE | authorize- |
AUTHORIZE_MODIFY | authorize |
CREATE | newres、newusr、newgrp、newfile |
DELETE | rmres, rmusr, rmgrp, rmfile, join- (UNIX) |
DEPLOY | deploy |
EDIT | editres、editusr、editgrp、editfile |
FILESCAN | 検索 |
GET | get devcalc |
JOIN_DELETE | join- |
JOIN_MODIFY | join |
MODIFY | chres、chusr、chgrp、chfile、join(UNIX) |
READ | list |
START | start devcalc |
UNDEPLOY | deploy- (undeploy) |
Privileged Access Manager Server Control
はルールを検証しません。ルールに無効な値を入力すると、ルールは更新トランザクションと一致しません。