GROUP クラス
GROUP クラスの各レコードは、データベースのユーザのグループを定義します。
capamsc141
GROUP クラスの各レコードは、データベースのユーザのグループを定義します。
各 GROUP クラス レコードのキーは、グループの名前です。
プロファイル グループのプロパティは、プロファイル グループに関連付けられた各ユーザに適用されます。ただし、ユーザ(USER または XUSER)レコードで同じプロパティが指定されている場合、ユーザ レコードがプロファイル グループ レコードのプロパティより優先されます。
ほとんどのプロパティは、
Privileged Access Manager
エンドポイント管理か、selang の chgrp コマンドを使用して変更できます。 通常、特に明記しない限り、ch[x]grp を使用してプロパティを変更するには、コマンド パラメータとしてプロパティ名を使用します。
Privileged Access Manager
エンドポイント管理または selang の showgrp コマンドを使用すると、すべてのプロパティを表示できます。- APPLS(情報)アクセサがアクセスを許可されるアプリケーションのリストを表示します。CA SSO で使用されます。
- AUDIT_MODEPrivileged Access Managerによって監査ログに記録するアクティビティを定義します。以下のアクティビティの任意の組み合わせを指定できます。
- ログへの記録を行わない
- トレース ファイルに記録されたすべてのアクティビティ
- 失敗したログイン
- 成功したログイン
- Privileged Access Managerによって保護されているリソースに対する失敗したアクセスの試み
- Privileged Access Managerによって保護されているリソースに対する成功したアクセス
- 対話式ログイン
このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの audit パラメータに相当します。GROUP または XGROUP に AUDIT_MODE を使用してグループのすべてのメンバに監査モードを設定することができます。ただし、ユーザの監査モードが USER レコード、XUSER レコード、またはプロファイル グループに定義されている場合は、AUDIT_MODE を使用してグループ メンバに監査モードを設定することはできません。 - AUTHNMTHD(情報のみ)グループ レコードに対して使用する 1 つ以上の認証方法(method 1 ~ method 32、または none)を表示します。CA SSO で使用されます。
- COMMENTレコードに含める追加情報を定義します。Privileged Access Managerは、この情報を許可に使用しません。制限:255 文字。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- EXPIRE_DATEアクセサが無効になる日付を指定します。ユーザ レコードの EXPIRE_DATE プロパティの値は、グループ レコードの値より優先されます。注:このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの expire[-] パラメータに相当します。
- FULLNAMEアクセサに関連付けられるフル ネームを定義します。Privileged Access Managerは、監査ログ メッセージでアクセサを識別するためにフル ネームを使用しますが、権限付与に使用することはありません。FULLNAME は英数字の文字列です。グループの場合、最大長は 255 文字です。ユーザの場合、最大長は 47 文字です。
- GAPPLSグループがアクセスを許可されているアプリケーション グループのリストを定義します。CA SSO で使用されます。
- GROUP_MEMBERこのグループに属するグループを指定します。
- GROUP_TYPEグループ権限属性を指定します。各属性は、ch[x]grp コマンドの同じ名前のパラメータに相当します。グループは以下の 1 つ以上の権限属性を持つことができます。
- ADMINグループに属するユーザが管理機能を実行できるかどうかを指定します(UNIX 環境内での root に相当)。
- AUDITORグループに属するユーザが、システムの監視、データベース情報の一覧表示、および既存レコードに対する監査モードの設定ができるかどうかを指定します。
- OPERATORグループに属するユーザがデータベース内のすべてを一覧表示し、secons ユーティリティを使用できるかどうかを指定します。
- PWMANAGERグループに属するユーザが他のユーザのパスワード設定を変更し、serevu ユーティリティによって無効化されたユーザ アカウントを有効化できるかどうかを指定します。
- SERVERプロセスにおいて、グループに属するユーザに対する権限の確認と、SEOSROUTE_VerifyCreate API コールの発行が可能かどうかを指定します。
- HOMEDIR新しいグループ メンバに割り当てられるホーム ディレクトリのパスを指定します。このプロパティを変更するには、chgrp コマンド、editgrp コマンド、または newgrp コマンドの homedir パラメータを使用します。制限:255 文字の英数字
- INACTIVEユーザのステータスが非アクティブに変更されるまでの、ユーザのアクティビティがない状態の経過日数を定義します。アカウント ステータスが非アクティブの場合、ユーザはログインできません。USER クラスのレコードの INACTIVE プロパティの値は、GROUP クラスのレコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの INACT プロパティより優先されます。Privileged Access Managerはステータスを格納せず、ステータスを動的に計算します。非アクティブ ユーザを特定するには、INACTIVE 値をユーザの LAST_ACC_TIME 値と比較します。INACTIVE はプロファイル機能の一部です。
- MAXLOGINSユーザに許可される同時ログインの最大数を定義します。値 0 は、同時ログイン数の制限がないことを示します。ユーザ レコードの MAXLOGINS プロパティの値は、グループ レコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの MAXLOGINS プロパティの値より優先されます。MAXLOGINS はプロファイル機能の一部です。
- MEMBER_OFこのグループが属するグループを指定します。
- OWNERレコードを所有するユーザまたはグループを定義します。
- PASSWDRULESパスワード ルールを指定します。このプロパティには、Privileged Access Managerでのパスワード保護の処理方法を決定する複数のフィールドが含まれています。ルールの一覧については、USER クラスの変更可能なプロパティである PROFILE を参照してください。このプロパティを変更するには、setoptions コマンドの passwordparameter および rules オプションまたは rules- オプションを使用します。PASSWDRULES はプロファイル機能の一部です。
- POLICYMODELsepass ユーティリティを使用してユーザ パスワードを変更したときに新しいパスワードを受け取る PMDB を指定します。このプロパティに値が入力されている場合、parent_pmd または passwd_pmd 環境設定で定義されている Policy Model にパスワードは送信されません。注:このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの pmdb[-] パラメータに相当します。POLICYMODEL はプロファイル機能の一部です。
- PROFUSRこのプロファイル グループに関連付けられているユーザのリストを表示します。
- PWD_AUTOGENグループ パスワードを自動的に生成するかどうかを指定します。デフォルトは no です。CA SSO によって使用されます。
- PWD_SYNCすべてのグループ アプリケーションでグループ パスワードを自動的に同一にするかどうかを指定します。デフォルトは no です。CA SSO によって使用されます。
- PWPOLICYグループに適用するパスワード ポリシーのレコード名を指定します。パスワード ポリシーは、新しいパスワードの妥当性をチェックし、パスワードの有効期限を定義する一連のルールです。デフォルトでは、妥当性チェックは行われません。CA SSO で使用されます。
- RESUME_DATE一時停止された USER アカウントが有効になる日付を指定します。RESUME_DATE と SUSPEND_DATE は連携して動作します。このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの resume[-] パラメータに相当します。RESUME_DATE はプロファイル機能の一部です。
- REVACLアクセサのアクセス制御リストを表示します。
- SHELL(UNIX のみ)このグループのメンバである新しい UNIX ユーザに割り当てられるシェル プログラムです。このプロパティを変更するには、chxgrp コマンドで shellprog パラメータを使用します。
- SUBGROUPこのグループが親に指定されているグループのリストを表示します。
- SUPGROUP親グループ(上位グループ)の名前を定義します。このプロパティを変更するには、ch[x]grp コマンドで parent[-] パラメータを使用します。
- SUSPEND_DATEユーザ アカウントが一時停止されて無効になる日付を指定します。レコードの一時停止日が再開日より前の日付である場合、ユーザは一時停止日より前および再開日より後に操作を実行できます。suspend_date3a
再開日が一時停止日より前である場合、レコードも再開日前には無効です。この場合、ユーザは再開日と一時停止日の間のみ操作を実行できます。suspend_date4a
ユーザ レコードの SUSPEND_DATE プロパティの値は、グループ レコードの値より優先されます。このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの suspend[-] パラメータに相当します。 - SUSPEND_WHO一時停止日をアクティブにした管理者を表示します。
- UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。
- USERLISTグループに属するユーザのリストを定義します。このプロパティで設定するユーザ リストは、ネイティブ環境の USERS プロパティで設定するユーザ リストとは異なる場合があります。このプロパティを変更するには、join[x][-] コマンドを使用します。