所有者権限
capamsc141
capamsc141
データベースのすべてのレコード(アクセサ レコードおよびリソース レコードの両方)には、所有者が存在します。レコードをデータベースに追加する場合は、ownerパラメータを使用してレコードの所有者を明示的に割り当てるか、または
Privileged Access Manager
によって、レコードを定義したユーザをレコードの所有者として割り当てることができます。以下の
いずれか
が true の場合、アクセサがレコードを所有します。- これらはレコードの所有者として定義されます。
- これらはレコードの所有者として定義されたグループのメンバであり、なおかつGROUP-ADMIN プロパティでグループのメンバとして追加されています。
- これらは、リソースがメンバとなっているリソース グループ レコードの所有者です。
レコードを所有するユーザまたはグループをデータベースから削除すると、そのレコードは所有者のないレコードになります。
レコードを所有するユーザには、所有するレコードに対して以下のアクセス権限があります。
アクセス | 説明 | コマンド |
読み取り | レコードのプロパティを表示します。 | showusr、showgrp、showres、showfile |
Modify | レコードのプロパティを変更します。 | chusr、chgrp、chres、chfile |
削除 | データベースからレコードを削除します。 | rmusr、rmgrp、rmres、rmfile |
接続 | ユーザをグループに追加、またはグループから分離します。 | join、join- |
ユーザまたはグループに特定レコードに対する所有者権限を与えない場合は、レコードおよびそのレコードがメンバとなっているすべてのリソース グループ レコードに所有者
nobody
を割り当てます。所有者権限に関する制限事項は、以下のとおりです。
- データベース内の最後の ADMIN ユーザの所有者は、そのユーザ レコードを削除できません。
- AUDITOR 属性のない所有者は、監査モードを更新できません。監査モードを更新できるのは、AUDITOR 属性が割り当てられた所有者のみです。
- スーパーユーザ(UNIX の root アカウントまたは Windows の Administrator アカウント)の所有者は、データベースから スーパーユーザを削除できません。
- 所有者は、自分が所有するユーザに対して、グローバル権限属性(ADMIN、AUDITOR、OPERATOR、および PWMANAGER)を設定できません。
- 所有者は、自分に対してリソースをアクセス不可に設定できません。したがって、以下の制限を受けます。
- 所有者は、自分のセキュリティ レベルより高いセキュリティ レベルを割り当てることはできません。
- 所有者は、自分が所有していないセキュリティ カテゴリまたはセキュリティ ラベルを割り当てることはできません。
ファイルの所有者権限
capamsc141
Privileged Access Manager
では、FILE クラスにレコードを定義することによって、ファイルの所有者がファイルを保護することを許可します。ファイルの所有者にはそのファイルのレコードに関するすべての権限があるため、所有者はファイルを保護しているレコードに対して、newfile、chfile、showfile、authorize、および authorize- の各コマンドおよびすべてのパラメータを使用できます。UNIX では、ユーザがファイルを作成すると、そのユーザがファイルの所有者に指定されます。
Privileged Access Manager
では、この機能が明示的に無効にされない限り、UNIX のファイル所有者による FILE レコードの定義が許可されます。ファイル所有者による FILE レコードの定義を許可しない場合は、seos.ini ファイルの[seos]セクションにある use_unix_file_owner トークンを no に設定します(これはデフォルトの設定です)。