グループ権限
内容
capamsc141
capamsc141
グループ権限属性を理解するには、親子関係の概念を理解しておく必要があります。
親子関係
capamsc141
下位グループと上位グループの概念は、親子関係ともいわれ、グループ管理者権限を説明する場合に重要です。1 つのグループは、1 つ以上のグループの親(上位)になることができます。1 つの
子
(つまり、下位グループ)に対して親として設定できるグループは 1 つのみです。グループへの親の割り当ては、必要に応じて行います。以下の図について考えてみましょう。親子関係

グループ 1 は、3 つのグループ(20、30、および 40)の親です。グループ 30 も、3 つのグループ(500、600、および 700)の親です。グループ 600 の親は 1 つのみ(グループ 30) です。グループ 1 には親がありません。
グループ権限属性
リソース レコードおよびアクセサ レコードなど、すべてのレコードには所有者がいます。レコードを「所有している」ということは、レコードを表示、編集、および削除する権限があることを意味します。
グループは、それぞれのレコードを所有できます。ただし、レコードを所有するグループ内で、レコードを管理できるのは、特定の権限があるユーザのみです。この特別なユーザには、グループ権限属性がそれぞれのユーザ レコードに設定されています。グループ権限属性は、以下のとおりです。
- GROUP-ADMIN
- GROUP-AUDITOR
- GROUP-OPERATOR
- GROUP-PWMANAGER
これらの属性は、join コマンドによって設定されます。このコマンドは、正当な権限のあるユーザのみが発行できます。join コマンドには、ユーザを 1 つのグループにまとめるという役割、およびユーザにグループ権限属性がある場合はその属性を指定するという役割があります。
グループのメンバを定義するユーザ レコードを管理する権限がグループの特権メンバに付与されるかどうかは、そのユーザ レコードの所有者によって決まります。
GROUP-ADMIN 属性
capamsc141
グループ管理者権限属性が割り当てられたユーザは、特定のレコードの集合を作成できます。レコードを作成するために、グループ管理者はそのレコードの所有者を指定する必要があります。
レコードの所有者は、ユーザにグループ権限属性が設定されているグループである必要があります。そのグループが他のグループの親である場合、所有者はその下位グループの 1 つでもかまいません。これらのレコードの集合全体を「グループの有効範囲」といいます。権限の例では、グループの有効範囲の概念を示します。
GROUP-ADMIN 属性を持つユーザは、グループの有効範囲内にあるレコードに対して以下のアクセス権限があります。
アクセス | 説明 | コマンド |
読み取り | レコードのプロパティを表示します。 | showusr、showgrp、showres、showfile |
作成 | データベースで新しいレコードを作成します。所有者を指定する必要があります。 | newusr、newgrp、newres、newfile |
Modify | レコードのプロパティを変更します。 | chusr、chgrp、chres、chfile |
削除 | データベースからレコードを削除します。 | rmusr、rmgrp、rmres、rmfile |
接続 | ユーザをグループに追加、またはグループから分離します。 | join、join- |
GROUP-ADMIN 属性には、制限事項もあります。
- GROUP-ADMIN ユーザは、自分に対してリソースをアクセス不可に設定できません。したがって、以下の制限があります。
- GROUP-ADMIN ユーザは、自分のセキュリティ レベルより高いセキュリティ レベルを割り当てることができません。
- GROUP-ADMIN ユーザは、自分が持っていないセキュリティ カテゴリまたはセキュリティ ラベルを割り当てることはできません。
- GROUP-ADMIN ユーザは、データベースからスーパーユーザ(UNIX の root アカウントまたは Windows の Administrator アカウント)を削除できません。
- 以下に示すいくつかの制限事項は、この章の「グローバル権限属性」で説明しているグローバル権限属性に関連があります。
- GROUP-ADMIN ユーザは、データベース内の唯一の ADMIN ユーザ レコードを削除できません。
- GROUP-ADMIN ユーザは、データベース内の最後の ADMIN ユーザのレコードから ADMIN 属性を削除できません。
- AUDITOR 属性を持たない GROUP-ADMIN ユーザは、監査モードを更新できません。AUDITOR 属性を持つ GROUP-ADMIN ユーザのみが監査モードを更新できます。
- GROUP-ADMIN ユーザは、どのユーザに対しても、グローバル権限属性(ADMIN、AUDITOR、OPERATOR、PWMANAGER、および SERVER)を設定できません。
GROUP-AUDITOR 属性
capamsc141
GROUP-AUDITOR 属性を持つユーザは、グループ有効範囲内のすべてのレコードのプロパティを一覧表示できます。グループ監査者は、グループの適用範囲内のレコードに対して、監査モードを設定することもできます。
GROUP-OPERATOR 属性
capamsc141
GROUP-OPERATOR 属性を持つユーザは、グループの適用範囲内のすべてのレコードのプロパティを一覧表示できます。
GROUP-PWMANAGER 属性
capamsc141
GROUP-PWMANAGER 属性を持つユーザは、グループ有効範囲内にレコードがあるすべてのユーザのパスワードを変更できます。