権限の例

内容
capamsc141
グループ権限属性、親子関係、所有者権限、メンバシップ、およびグループの適用範囲の概念をこの後の図に示します。これらの図にはユーザおよびグループしか含まれていませんが、所有者権限の概念はリソースおよびファイル レコードにも適用されます。

単一グループの権限

capamsc141
以下の図では、4 人のユーザ(MU1、MU2、MU3、および MU4)が グループ 1 のメンバです。グループ 1 は、3 人のユーザ(OU5、OU6、および OU7)も所有しています。メンバ MU4 には GROUP-ADMIN 属性が設定されています。
単一グループの権限
Single group authorization
点線で囲まれた部分は、ユーザ MU4 が実行するコマンドの影響を受けるグループの適用範囲を示します。この適用範囲には、グループ 1 が所有するすべてのユーザ(OU5、OU6、および OU7)が含まれます。

親グループおよび子グループ

以下の図では、4 人のユーザ(MU1、MU2、MU3、および MU4)が グループ 1 のメンバです。グループ 1 は、3 人のユーザ(OU5、OU6、および OU7)も所有しています。メンバ MU4 のレコードには、GROUP-ADMIN 属性が設定されています。
親グループおよび子グループ
Parent and child groups
グループ 1 は、3 つのグループ(20、30、および 40)の親でもあります。これらの下位グループにはそれぞれ、そのグループのメンバである 2 人のユーザと、そのグループが所有する 2 人のユーザがいます。
点線で囲まれた 4 つの部分は、ユーザ MU4 が実行するコマンドの影響を受けるグループの適用範囲を示します。この適用範囲には、グループ 1 が所有するすべてのユーザと、グループ 1 の下位グループが所有するすべてのユーザが含まれます。MU4 のグループの適用範囲に含まれるユーザは、OU5、OU6、OU7、OU23、OU24、OU33、OU34、OU43、および OU44 です。
仮に グループ 20、30、または 40 にも下位グループがあり、ユーザ、グループ、またはリソースを所有していた場合は、これらの下位グループが所有するレコードも、ユーザ MU4 が実行するコマンドの影響を受けるグループの適用範囲に含まれます。

Windows 環境

capamsc141
ネイティブ Windows 環境で有効
CA Privileged Access Manager
の実行中に、selang を使用してネイティブ Windows 環境内のリソースを変更する場合、
CA Privileged Access Manager
エージェントは適切な Windows リポジトリのリソースを変更します。リソースを変更するのに、追加の Windows 許可は必要ありません。これは、グローバルまたはグループ権限属性を備えた
CA Privileged Access Manager
内のユーザがネイティブ Windows 環境内で selang コマンドを実行する際に、これらのユーザには
CA Privileged Access Manager
で行う場合と同じ特権および制限が Windows でもあることを意味します。
CA Privileged Access Manager
が実行されていないとき、selang を使用してネイティブ Windows 環境内のリソースを変更する場合、以下のルールに従う必要があります。
  • selang のコマンドに必ず - l オプションを指定すること。
  • ADMIN 属性またはサブ管理権限を持っていること。
  • リソースを変更するのに十分な Windows 許可を持っていること。
    この制限が発生するのは、
    CA Privileged Access Manager
    エージェントではなく selang プロセスが Windows リポジトリのリソースを変更するためです。
たとえば、ユーザ、 Emma がネイティブ Windows 環境内で chfile selang コマンドを使用してファイル C:\tmp.txt の所有者を変更したいとします。
CA Privileged Access Manager
が実行されている場合、 Emma はファイル所有者を変更するのに十分な
CA Privileged Access Manager
の許可が必要ですが、追加の Windows 許可は必要ありません。
CA Privileged Access Manager
が実行されていない場合、 Emma はファイル所有者を変更するための
CA Privileged Access Manager
許可および Windows 許可の両方が必要です。

UNIX 環境

UNIX でユーザおよびグループを管理する場合、
CA Privileged Access Manager
でグローバル権限属性またはグループ権限属性が割り当てられたユーザには、
CA Privileged Access Manager
の場合と同じ権限と制限が UNIX でも適用されます。
インストール時など、seosd デーモンが実行されて
いない状態で selang を使用する場合は、以下のルールに従う必要があります。
  • selang コマンドで - l オプションを指定する必要があります。
  • selang のユーザは root であること。この排他的な root 権限は、UNIX の一般的な制限事項に準拠しています。