seclassadm ユーティリティ - CA Privileged Access Manager Server Control クラスの管理
seclassadm ユーティリティは、 のクラスを管理します。このユーティリティは、ローカル データベースに新しいユーザ定義クラスを追加します。seclassadm は、 が実行中でないときに、データベースが格納されているディレクトリから(または -p オプションを使用して)起動します。
capamsc141
seclassadm ユーティリティは、
PAM Server Control
のクラスを管理します。このユーティリティは、ローカル データベースに新しいユーザ定義クラスを追加します。seclassadm は、PAM Server Control
が実行中でない
ときに、データベースが格納されているディレクトリから(または -p オプションを使用して)起動します。seclassadm の実行により、新しいクラスの情報を含むファイルが seosdb ディレクトリに作成されます。dbmgr -c を指定して新しいデータベースを作成するときに、seos.ini ファイルの CreateNewClasses が「yes」(デフォルト)に設定されている場合は、ユーザ定義クラスが新しいデータベースに作成されます。
このコマンドの形式は以下のようになります。
seclassadm -add className [-a access] [{-|+}c] [-d access] \
[-f] [-g] [-o] [-p db_pathname] [-t]
seclassadm -del className seclassadm -upd className {-|+}c [-p db_pathname]
- -addclass-name既存のデータベースに新しいリソース クラスを追加します(class-nameは新しいクラスの名前です)。PAM Server Controlでは、クラス名は大文字で予約されています。クラスを追加する場合は、小文字を最低 1 つ使用します。最大 79 文字のクラス名を指定できます。クラスを作成した後に、selang の setoptions コマンドを実行してクラスを有効にします。
- -delclass-name指定されたリソース クラスをデータベースから削除します。
- -updclass-name指定されたリソース クラスをデータベースで更新します。
- -aaccessクラスのアクセス モードを指定します。文字列accessは、許可されるアクセスを表します。任意の順序で示されている 1 つの文字コードは、各アクセス モードを表します。文字列には空白または英字以外の文字を使用できません。有効なアクセス モードは以下のとおりです。
省略形 | 説明 |
C | control |
D | delete |
E | create |
F | ファイル スキャン |
M | chmod |
O | chown |
R | read |
S | セキュリティ |
T | utime |
U | update |
V | rename |
W | write |
X | execute |
- -daccessクラスのデフォルトのアクセス モードを指定します。アクセス権限を指定せずに authorize コマンドを実行した場合に、PAM Server Controlによってユーザに割り当てられるアクセス モードです。authorize コマンドで使用されるこの暗黙的なアクセスは、リソースに割り当てられるデフォルトのアクセスとは異なります。使用可能なアクセス モードは、-a オプションで一覧表示されます。
- -f新しいクラス名がすべて大文字の場合でも、PAM Server Controlで使用できるように指定します。seclassadm ユーティリティでは、すべて大文字のクラス名の作成はデフォルトで許可されていません。PAM Server Controlのすべて大文字の名前は、定義済みのPAM Server Controlクラスに予約されています。
- -g新しいクラスを、既存のクラスのメンバをグループ化するリソースとして指定します。既存のクラスと新しいグループ クラスの関係は、データベースの任意のクラスとそのグループ クラス(TERMINAL と GTERMINAL など)の関係と同じです。既存のクラスのメンバをグループ化するリソースは、大文字の G で始まる必要があります。つまり、既存のクラスと同じ名前で、Gというプレフィクスで始まります。
- -o新しいクラスの_defaultレコードを作成し、そのデフォルト アクセスを設定します。
- -pdb_pathnameローカル データベースの完全パス名を指定します。デフォルトでは、seclassadm ユーティリティは、現在のディレクトリ内のデータベースで動作します。このオプションを使用して、データベースが配置されているディレクトリ以外のディレクトリを定義します。
例: データベースへの新しいクラスの追加
以下の例は、seclassadm ユーティリティを使用してデータベースにクラスを追加する方法を示しています。
- dbfieldという名前のリソース クラスを追加するには、以下のコマンドを使用します。seclassadm -add dbfield
- READ アクセス権限のみを割り当てたreportという名前のリソース クラスを追加するには、以下のコマンドを使用します。seclassadm -add report -d R -a R
- READ、WRITE、および MODIFY アクセス権限を割り当てたbatch_jobsという名前のリソース クラスを追加し、指定がない場合のデフォルトとして READ アクセス権限を指定するには、以下のコマンドを使用します。seclassadm -add batch_jobs -d R -a RWM
- オブジェクトが DEPTA クラス内にあるリソースのグループである新しいクラスを、execute アクセス権限および暗黙的な execute アクセス権限付きで追加するには、以下のコマンドを使用します。seclassadm -add DEPTA -d X -a X -g -f