seclassadm ユーティリティ - CA Privileged Access Manager Server Control クラスの管理

seclassadm ユーティリティは、 のクラスを管理します。このユーティリティは、ローカル データベースに新しいユーザ定義クラスを追加します。seclassadm は、 が実行中でないときに、データベースが格納されているディレクトリから(または -p オプションを使用して)起動します。
capamsc141
seclassadm ユーティリティは、
CA Privileged Access Manager
のクラスを管理します。このユーティリティは、ローカル データベースに新しいユーザ定義クラスを追加します。seclassadm は、
CA Privileged Access Manager
が実行中
でない
ときに、データベースが格納されているディレクトリから(または -p オプションを使用して)起動します。
seclassadm の実行により、新しいクラスの情報を含むファイルが seosdb ディレクトリに作成されます。dbmgr -c を指定して新しいデータベースを作成するときに、seos.ini ファイルの CreateNewClasses が「yes」(デフォルト)に設定されている場合は、ユーザ定義クラスが新しいデータベースに作成されます。
このコマンドの形式は以下のようになります。
seclassadm -add className [-a access] [{-|+}c] [-d access] \
[-f] [-g] [-o] [-p db_pathname] [-t]
seclassadm -del className seclassadm -upd className {-|+}c [-p db_pathname]
  • -add
    class
    -
    name
    既存のデータベースに新しいリソース クラスを追加します(
    class
    -
    name
    は新しいクラスの名前です)。
    CA Privileged Access Manager
    では、クラス名は大文字で予約されています。クラスを追加する場合は、小文字を最低 1 つ使用します。最大 79 文字のクラス名を指定できます。
    クラスを作成した後に、selang の setoptions コマンドを実行してクラスを有効にします。
  • -del
    class
    -
    name
    指定されたリソース クラスをデータベースから削除します。
  • -upd
    class
    -
    name
    指定されたリソース クラスをデータベースで更新します。
  • -a
    access
    クラスのアクセス モードを指定します。文字列
    access
    は、許可されるアクセスを表します。任意の順序で示されている 1 つの文字コードは、各アクセス モードを表します。文字列には空白または英字以外の文字を使用できません。有効なアクセス モードは以下のとおりです。
省略形
説明
C
control
D
delete
E
create
F
ファイル スキャン
M
chmod
O
chown
R
read
S
セキュリティ
T
utime
U
update
V
rename
W
write
X
execute
  • -d
    access
    クラスのデフォルトのアクセス モードを指定します。アクセス権限を指定せずに authorize コマンドを実行した場合に、
    CA Privileged Access Manager
    によってユーザに割り当てられるアクセス モードです。authorize コマンドで使用されるこの暗黙的なアクセスは、リソースに割り当てられるデフォルトのアクセスとは
    異なります
    。使用可能なアクセス モードは、-a オプションで一覧表示されます。
  • -f
    新しいクラス名がすべて大文字の場合でも、
    CA Privileged Access Manager
    で使用できるように指定します。
    seclassadm ユーティリティでは、すべて大文字のクラス名の作成はデフォルトで許可されていません。
    CA Privileged Access Manager
    のすべて大文字の名前は、定義済みの
    CA Privileged Access Manager
    クラスに予約されています。
  • -g
    新しいクラスを、既存のクラスのメンバをグループ化するリソースとして指定します。既存のクラスと新しいグループ クラスの関係は、データベースの任意のクラスとそのグループ クラス(TERMINAL と GTERMINAL など)の関係と同じです。既存のクラスのメンバをグループ化するリソースは、大文字の G で始まる必要があります。つまり、既存のクラスと同じ名前で、
    G
    というプレフィクスで始まります。
  • -o
    新しいクラスの
    _default
    レコードを作成し、そのデフォルト アクセスを設定します。
  • -p
    db_pathname
    ローカル データベースの完全パス名を指定します。
    デフォルトでは、seclassadm ユーティリティは、現在のディレクトリ内のデータベースで動作します。このオプションを使用して、データベースが配置されているディレクトリ以外のディレクトリを定義します。
例: データベースへの新しいクラスの追加
以下の例は、seclassadm ユーティリティを使用してデータベースにクラスを追加する方法を示しています。
  • dbfield
    という名前のリソース クラスを追加するには、以下のコマンドを使用します。
    seclassadm -add dbfield
  • READ アクセス権限のみを割り当てた
    report
    という名前のリソース クラスを追加するには、以下のコマンドを使用します。
    seclassadm -add report -d R -a R
  • READ、WRITE、および MODIFY アクセス権限を割り当てた
    batch_jobs
    という名前のリソース クラスを追加し、指定がない場合のデフォルトとして READ アクセス権限を指定するには、以下のコマンドを使用します。
    seclassadm -add batch_jobs -d R -a RWM
  • オブジェクトが DEPTA クラス内にあるリソースのグループである新しいクラスを、execute アクセス権限および暗黙的な execute アクセス権限付きで追加するには、以下のコマンドを使用します。
    seclassadm -add DEPTA -d X -a X -g -f