HNODE クラス
HNODE クラスには、組織の ホストに関する情報が含まれます。クラスの各レコードは、組織内のノードを表します。
capamsc141
HNODE クラスには、組織の
Privileged Access Manager
ホストに関する情報が含まれます。クラスの各レコードは、組織内のノードを表します。このクラスは、さまざまな PMDB やエンドポイントからアップロードされて DMS に格納される情報を管理するために使用されます。
HNODE クラスのレコードのキーは、エンドポイントの具体的なホスト名(myHost.ca.com など)または Policy Model ノードの PMDB 名([email protected])です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、
「情報のみ」
と記載されます。- ACLリソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。
- ATTRIBUTESホストをホスト グループに自動的に追加するかどうか評価するために DMS 使用するカスタム基準を定義します。DMS はまた、次の HNODE プロパティを確認して、任意のホストがホスト グループに自動的に追加されるべきかどうか評価します: COMMENT、HNODE_INFO、HNODE_IP、HNODE_VERSION、NODE_TYPE
- CATEGORYユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
- COMMENTレコードに含める追加情報を定義します。Privileged Access Managerは、この情報を許可に使用しません。制限:255 文字。
- COMPLIANT_UPDATE_TIME(情報のみ)ステータスが最後に変更された日時を表示します。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- EFFECTIVE_POLICIESこのオブジェクトにデプロイする必要があるポリシー バージョンのリストを定義します。表示名: 有効なポリシー
- GHNODESこのオブジェクトが属するホスト グループのリストを定義します。表示名: ノード グループ
- GROUPSリソース レコードが属する CONTAINER クラスのレコードのリストを定義します。クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem- パラメータを使用します。
- HNODE_IPホストの IP アドレスです。表示名: IP
- HNODE_KEEP_ALIVEHNODE がハートビートを分散ホストに前回送信した時刻を定義します。表示名: 最後のハートビート
- HNODE_EVENTSエンドポイントで発生したヘルス復旧イベントを表す文字列のリストが表示されます。Health 復旧イベントは、たとえば、メモリのクリティカルしきい値の違反のために、エージェントの再起動またはエンドポイントのパフォーマンスが低下するプログラムを回避します。
- HNODE_INSTALL_STATUSエンドポイントのインストール ステータスが表示されます。Privileged Access Managerエンタープライズ管理のワールド ビューで、ステータスを基準にエンドポイントを検索できます。値:インストール成功、アップグレード失敗、再起動の保留中、再起動中表示名: インストールのステータス。
- HNODE_BYPASS_EXIST予防措置の測定のため、エンドポイントがバイパス モードであるかを表示します。バイパス モードでは、Privileged Access Managerポリシー処理は一時的に縮小されます。この値が No の場合は、エンドポイントは完全に機能しています。値:「はい」または「いいえ」表示名: バイパスが存在します。
- LOGINホストに対するデフォルト アクセス タイプを定義します。表示名: LOGIN
- NACL
リソースの
NACL
プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。Accessor
アクセサを定義します。
- アクセスアクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
NODE_INFO
(情報のみ)ノード OS の詳細を指定します。
NODE_TYPE
(情報のみ)ホスト上の
Privileged Access Manager
インストールのタイプを定義します。有効な値は以下のとおりです。- ACUCA ControlMinder for UNIX
- ACWCA ControlMinder for Windows
- UNABUNIX 認証ブローカ(UNAB)
HNODE レコードは、NODE_TYPE プロパティとして ACU および UNAB の両方の値を持つことができます。
NODE_VERSION
(情報のみ)ホストにインストールされる
Privileged Access Manager
のバージョンを定義します。バージョン番号には NODE_TYPE が前置きされています。例: ACU:12.50-00.647NOTIFY
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。
Privileged Access Manager
では、指定したユーザに監査レコードを電子メールで送信できます。制限:
30 文字。OWNER
レコードを所有するユーザまたはグループを定義します。
PACL
アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- プログラム指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。
PACL のリソースの指定にはワイルドカード文字を使用できます。
プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(
pgm
) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。PARENTS
(情報のみ)。伝達ツリー内でそのノードの親である PMDB のリストです(parent_pmd 環境設定によっても定義される)。
POLICYASSIGN
このオブジェクトに割り当てられたポリシーのリストを定義します。
表示名: 割り当てられたポリシー
POLICY
POLICIES プロパティにリストされた各ポリシーのステータスです。このプロパティの値は、以下のフィールドを持つ構造体です。
- nNAMEPOLICY オブジェクトのオブジェクト ID です。POLICIES プロパティの値と同じです。
- STATUS以下のいずれかを表す整数です。
- DeployedPolicy はエンドポイントに正常にデプロイされました。
- Deployed with FailuresPolicy - エンドポイントで実行に失敗したデプロイ スクリプトから 1 つ以上のルールでデプロイ。
- UndeployedPolicy - エンドポイントから正常にデプロイ解除。注:ポリシーがデプロイ解除されると、ホストのステータスが表示されなくなります(ステータスなし)。
- Undeployed with FailuresPolicy - エンドポイントで実行に失敗したデプロイ スクリプトから 1 つ以上のルールでデプロイ解除。
- Failed DeploymentPolicy - デプロイ スクリプトでエラーが発生したため、デプロイに失敗。注:ポリシー検証が有効な場合にのみ、このステータスが現れます。それ以外の場合、policyfetcher はポリシーにエラーが含まれていてもポリシーをデプロイします(「デプロイされましたがエラーがあります」ステータス)。
- UnknownPolicy - ステータス不明。
- Deploy Pending - デプロイされる必須要件のポリシーまたは不確定または未解決の変数を含むポリシーのために待機。
- Undeploy Pending - 依存するポリシーがデプロイ解除されるために待機。
- Out of Sync - ポリシーには、エンドポイントで変更された変数および変数の値が含まれています。
- Not Executed - ポリシーの検証によって、ポリシーに 1 つ以上のエラーを発見。
- Queued - 廃止(後方互換性維持のためにのみ残されています)
- Transferred - 廃止(後方互換性維持のためにのみ残されています)
- Transferred Failed - 廃止(後方互換性維持のためにのみ残されています)
- Signature Failed - 廃止(後方互換性維持のためにのみ残されています)
- deviationこのノードにポリシー偏差があるかどうかを表す値です。有効な値は以下のとおりです。
- はい
- いいえ
- Unset
- dev_time偏差ステータスの最終更新時刻です。
- ptimeポリシー ステータスの最終更新時刻です。
- updatorポリシーをデプロイまたは削除したユーザの名前です。
RAUDIT
Privileged Access Manager
が監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前は Resource
AUDIT
の短縮形です。有効な値は以下のとおりです。- すべてすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
Privileged Access Manager
では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
SECLABEL
ユーザまたはリソースのセキュリティ ラベルを定義します。
SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。
SECLEVEL
アクセサまたはリソースのセキュリティ レベルを定義します。
注:
このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。SUBSCRIBER_STATUS
親ごとのノードのステータスです。このプロパティの値は、以下のフィールドを持つ構造体です。
- oidSubsHNODE オブジェクトのオブジェクト ID です。SUBSCRIBERS プロパティの値と同じです。
- status以下のいずれかのステータスを表す値です。
- 利用可能
- 利用不可
- 同期(同期中)
- Unknown
- stimeステータスの最終更新時刻です。
SUBSCRIBERS
伝達ツリー内のそのノードのサブスクライバのリストです。このプロパティを更新すると、PARENTS プロパティが HNODE オブジェクト名の値で暗黙に更新されます。
UACC
リソースに対するデフォルトのアクセス権限を定義します。 これは、
Privileged Access Manager
に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
UNAB_ID
(情報のみ) UNAB ホスト ID をレポート用に表示します。
UPDATE_TIME
(情報)レコードが最後に変更された日時を表示します。
UPDATE_WHO
(情報)更新を実行した管理者を表示します。
WARNING
警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。