環境に関する考慮事項

内容
capamsc141
内容
capamsc141
データベース内の情報を更新できるかどうかを制御する要因の 1 つとして、該当する環境でユーザが占めるポジションが挙げられます。
リモート管理の制限
capamsc141
管理者は、ネットワーク上のリモート端末にアクセスし、その端末のデータベースを更新できます。リモート端末のデータベースを更新するには、管理者自身と管理者の端末の両方に許可が必要です。
  • 管理者は、リモート端末のデータベースでユーザとして明示的に定義されている必要があります。実行するコマンドの種類に関係なく、リモート端末のデータベースにある自分のユーザ レコードに、適切な属性を設定します。
  • リモート端末にアクセスするための WRITE 権限を与えるルールの中に、自分のローカル端末のニーズを明示的に記述します。記述がない場合、リモート端末での
    管理を実行することはできません。
    デフォルトのアクセス フィールド(_default)または UACC クラスに WRITE 権限が設定されている場合は、リモート端末で selang のコマンド シェルを入力できます。ただし、selang のコマンドを実行することは
    できません
    。また、リモート データベースにアクセスすることもできません。READ 権限が設定されている場合、リモート端末にログインすることはできますが、その端末での
    管理を実行することはできません。
    この WRITE 権限と READ 権限の違いの例を以下に示します。
    1. デフォルトのアクセス権限に READ を使用して新しい端末を指定するには、以下のコマンドを発行します。この権限では、管理者はその端末からログインすることはできますが、データベースを操作することはできません。
      newres TERMINAL tty13 defacc(read)
    2. 新しい端末からデータベースを操作する権限を ADMIN1 というユーザに与える(つまり、WRITE 権限と READ 権限を付与する)には、以下のコマンドを発行します。
      authorize TERMINAL tty13 uid(ADMIN1) access(r,w)
UNIX 環境
UNIX でユーザおよびグループを管理する場合、
PAM Server Control
でグローバル権限属性またはグループ権限属性が割り当てられたユーザには、
PAM Server Control
の場合と同じ権限と制限が UNIX でも適用されます。
インストール時など、seosd デーモンが実行されて
いない
状態で selang を使用する場合は、以下のルールに従います。
  • selang コマンドで - l オプションを指定します。
  • selang のユーザは root であること。この排他的な root 権限は、UNIX の一般的な制限事項に準拠しています。
Windows 環境
ネイティブ Windows 環境で有効
PAM Server Control
の実行中に、selang を使用してネイティブ Windows 環境内のリソースを変更する場合、
PAM Server Control
エージェントは適切な Windows リポジトリのリソースを変更します。リソースを変更するのに、追加の Windows 許可は必要ありません。これは、グローバルまたはグループ権限属性を備えた
PAM Server Control
内のユーザがネイティブ Windows 環境内で selang コマンドを実行する際に、これらのユーザには
PAM Server Control
で行う場合と同じ特権および制限が Windows でもあることを意味します。
PAM Server Control
が実行されていないとき、selang を使用してネイティブ Windows 環境内のリソースを変更する場合、以下のルールに従います。
  • selang コマンドで - l オプションを指定すること。
  • ADMIN 属性またはサブ管理権限を持っていること。
  • リソースを変更するのに十分な Windows 許可を持っていること。
    この制限が発生するのは、
    PAM Server Control
    エージェントではなく selang プロセスが Windows リポジトリのリソースを変更するためです。
たとえば、ユーザ、 Emma がネイティブ Windows 環境内で chfile selang コマンドを使用してファイル C:\tmp.txt の所有者を変更したいとします。
PAM Server Control
が実行されている場合、 Emma はファイル所有者を変更するのに十分な
PAM Server Control
の許可が必要ですが、追加の Windows 許可は必要ありません。
PAM Server Control
が実行されていない場合、 Emma はファイル所有者を変更するための
PAM Server Control
許可および Windows 許可の両方が必要です。