ADMIN クラス

ADMIN クラスの各レコードには、ADMIN 以外のユーザに対して特定のクラスの管理を許可するための定義が含まれます。委任されたユーザが管理する の各クラスを表すには、ADMIN クラスのレコードを作成します。ADMIN レコードには、各クラスのアクセス権限を持つアクセサのリストが格納されます。条件付きアクセス制御リスト(CACL)もサポートされます。ADMIN クラス レコードのキーは、保護されるクラスの名前です。
capamsc141
ADMIN クラスの各レコードには、ADMIN 以外のユーザに対して特定のクラスの管理を許可するための定義が含まれます。委任されたユーザが管理する
Privileged Access Manager
の各クラスを表すには、ADMIN クラスのレコードを作成します。ADMIN レコードには、各クラスのアクセス権限を持つアクセサのリストが格納されます。条件付きアクセス制御リスト(CACL)もサポートされます。ADMIN クラス レコードのキーは、保護されるクラスの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、「
情報のみ
」と記載されます。
  • AAUDIT
    (情報のみ)
    Privileged Access Manager
    による監査の対象になっているアクティビティの種類を表示します。
  • ACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • アクセス
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    ACL を変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
  • CALACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。
    カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • カレンダ
      Unicenter TNG のカレンダへの参照を定義します。
    • アクセス
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    カレンダが有効な場合のみアクセスが許可されます。その他の場合はすべてのアクセスが拒否されます。
    カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
  • CALENDAR
    CA Privileged Identity Manager のユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。
    Privileged Access Manager
    により、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
  • CATEGORY
    ユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
  • COMMENT
    レコードに含める追加情報を定義します。
    Privileged Access Manager
    は、この情報を許可に使用しません。
    制限:
    255 文字
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIME
    アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
    このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。
    日時の制約の単位は 1 分です。
  • NACL
    リソースの
    NACL
    プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • アクセス
      アクセサに対して拒否されるアクセス タイプを定義します。
      このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
  • NOTIFY
    リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。
    Privileged Access Manager
    では、指定したユーザに監査レコードを電子メールで送信できます。
    制限:
    30 文字。
  • OWNER
    レコードを所有するユーザまたはグループを定義します。
  • PACL
    アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • プログラム
      指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
    • アクセス
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
      PACL のリソースの指定にはワイルドカード文字を使用できます。
      プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(
      pgm
      ) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。
  • RAUDIT
    Privileged Access Manager
    が監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前は
    R
    esource
    AUDIT
    の短縮形です。有効な値は以下のとおりです。
    • すべて
      すべてのアクセス要求
    • success
      許可されたアクセス要求
    • failure
      拒否されたアクセス要求(デフォルト)
    • なし
      アクセス要求を記録しない
    Privileged Access Manager
    では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。
    監査モードを変更するには、
    chres
    コマンドおよび
    chfile
    コマンドの audit パラメータを使用します。
  • SECLABEL
    ユーザまたはリソースのセキュリティ ラベルを定義します。
    SECLABEL プロパティは、
    chres
    および
    ch[x]usr
    コマンドの label[-] パラメータに相当します。
  • SECLEVEL
    アクセサまたはリソースのセキュリティ レベルを定義します。
    このプロパティは、
    ch[x]usr
    および
    chres
    コマンドの level[-] パラメータに相当します。
  • UACC
    リソースに対するデフォルトのアクセス権限を定義します。 これは、
    Privileged Access Manager
    に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。
    このプロパティを変更するには、
    chres
    コマンド、
    editres
    コマンド、または
    newres
    コマンドで
    defaccess
    パラメータを使用します。
  • UPDATE_TIME
    (情報)レコードが最後に変更された日時を表示します。
  • UPDATE_WHO
    (情報)更新を実行した管理者を表示します。
  • WARNING
    警告モードを有効にするかどうかを指定します。リソースで警告モードが有効になっている場合、リソースへのアクセス要求が許可されます。アクセス要求がアクセス ルールに違反する場合は、レコードが監査ログに書き込まれます。
例:
この例では、UNIX/Linux エンドポイントで ADMIN クラスを使用して、ユーザ「John」に「パスワード変更」権限を割り当てる方法を示します。
手順 1
: ユーザ「John」を作成します。
PAMSC> eu John password(John_Pwd)
手順 2
: ADMIN クラスを使用して、その他のユーザのパスワードを変更する管理者権限を持つ「John」を認可します。ユーザは他のユーザ(管理者ユーザを含む)とすることができますが、スーパーユーザ(root など)とすることはできません。
PAMSC> authorize ADMIN USER uid(John) access(password)
手順 3
: 管理者権限を持つすべての管理者ユーザを表示します。
PAMSC> showres ADMIN USER 
(localhost)
Data for ADMIN 'USER'
-----------------------------------------------------------
Defaccess : None
ACLs :
Accessor Access
John (USER ) PW
Peter (USER ) R, Modify, Cre, Del, Join
Audit mode : Failure
Update time : 16-Feb-2017 15:06
Updated by : root (USER )
手順 4
: John がユーザ(Louis)の作成などの操作を実行しようとしたり、データベース内の他のユーザを表示しようとしても、その権限が与えられていないため、失敗します。
PAMSC> nu Louis 
(localhost)
ERROR: Operation not allowed
PAMSC> su * 
(localhost)
ERROR: Operation not allowed
手順 5
: John が別の管理者ユーザ(Peter)のパスワードを変更しようとすると、その権限が与えられているため、成功します。
PAMSC> eu Peter password(Peter_Pwd) 
(localhost)
Successfully updated USER Peter
(localhost)
Native:
===
Successfully updated USER Peter