LOGINAPPL クラス
UNIX で該当
capamsc141
UNIX で該当
LOGINAPPL クラスの各レコードは、ログイン アプリケーションの定義、ログイン プログラムを使用してログインできるユーザの指定、およびログイン プログラムの使用方法の制御を行います。
LOGINAPPL クラスのレコードのキーは、アプリケーションの名前です。この名前は、ログイン アプリケーションを表す論理名です。この論理名は、LOGINPATH プロパティで、実行可能ファイルのフル パス名に関連付けられます。
Privileged Access Manager
では、包括的なログイン アプリケーションを制御および保護することもできます。つまり、特定のルールを汎用パターンに一致させるログイン アプリケーションのグループを保護できます。包括的なログイン アプリケーションを selang で定義するには、LOGINPATH パラメータを除く、通常のログイン制限を設定するときと同じコマンドを使用します。LOGINPATH パラメータには、[、]、*、? のうち 1 つ以上の文字を使用した正規表現で構成された包括的なパスを含める必要があります。Privileged Access Manager
では、標準のログイン プログラムについては、LOGINAPPL クラスのレコードのプロパティ値があらかじめ設定されています。変更を行う前に、既存の設定を一覧表示して確認してください。LOGINAPPL は _default エントリを使用しません。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、
「情報のみ」
と記載されます。- ACLリソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- アクセスアクセサに与えられる、リソースに対するアクセス権限を定義します。
- COMMENTレコードに含める追加情報を定義します。Privileged Access Managerは、この情報を許可に使用しません。制限:255 文字。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- LOGINFLAGSデバイス番号の変更や猶予ログイン回数の差し引きなど、ログイン アプリケーションの特別な機能を制御します。有効な値は以下のとおりです。
- execlogin- ログイン トリガはプロセスが実行する最初の EXEC アクションであることを指定します。
- loginprefix- ログインしているユーザ名へのプレフィックスとして、Privileged Access Managerが LOGINAPPL リソース名を追加することを指定します。たとえば、このプロパティを設定している場合、user1 という名前のユーザが CRON タスクをスケジュールしていると、Privileged Access Managerは CRON タスク ログインを検出したとき、ユーザ名を USR_SBIN_CRON_user1 に設定します。注:Privileged Access Managerはルートへのプレフィックスとして LOGINAPPL リソース名を追加しません。
- nograce- ユーザがこのアプリケーションを使用してログインした場合は、猶予ログイン回数を差し引かないことを示します。
- nograceroot- ユーザがこのアプリケーションを使用してログインした場合は、猶予ログイン回数を差し引かないことを示します。
- nologin- ユーザのみに対してログインが入力されるようにします。ログインは、親プログラムのログに記録されません。いくつかのプラットフォーム上にある rlogin のようなプログラムはログインをトリガし、ログイン シーケンス自体を終了します。この結果、実際のログインは root ユーザのログに記録されます。ログインの実行後、rlogin は、実際のログインを行うために別のプログラムに対して fork 要求を発行します。この問題は、rlogin や telnet などのログイン プログラムを使用して seaudit -a を実行した場合に明らかになります。uid のログイン レコードだけでなく、root ユーザによるログインのログイン レコードも記録されていることがわかります。
- pamlogin- ユーザがこのアプリケーションを使用してログインする際に、Privileged Access ManagerPAM ログイン インターセプトが使用されることを示します。
- LOGINMETHODログイン アプリケーションがPrivileged Access Managerの保護を目的とする擬似ログイン プログラムかどうかを指定します。有効な値は以下のとおりです。
- normal- このログイン アプリケーションで setuid と setgid の呼び出しを実行するように指定します。seosd は、指定したプログラムのルールをチェックします。
- pseudo- このログイン アプリケーションが別のプログラムを呼び出して、setuid および setgid 呼び出しを実行することを指定します。seosd は、他のプログラムでルールをチェックします。
このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの loginmethod パラメータを使用します。このプロパティはすでに設定されているため、変更しないことをお勧めします。 - LOGINPATHログイン アプリケーションの完全パス(または包括的なパス)です。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの loginpath パラメータを使用します。
- LOGINSEQUENCEseosd が処理する一連の seteuid イベント、setuid イベント、setgid イベント、および setgroups イベントを定義します。これらのイベントは、ログイン プロセスを開始するデーモン(通常は root の inetd)からのユーザを、実際にログオンしたユーザに設定します。最大 8 つのシステム イベントを定義できます。ログイン インターセプト シーケンスは、常に setgid イベントまたは setgroups イベントで始まります。これらのイベントを「トリガ」と言います。このシーケンスは、ユーザの ID を実際にログインしたユーザに変更する setuid イベントで終わります。ログインを正しく行うために、プログラムは、setgroups イベントまたは setgid イベントで始まり setuid イベントまたは seteuid イベントで終わる、指定されたすべてのプロセスを順番に実行する必要があります。プログラムの LoginSequence を適切に設定するのは困難な作業です。大部分のログイン プログラムは、デフォルトの SGRP, SUID 設定で適切に機能します。この設定では、プログラムはまず setgroups システム コールを発行し、次に setuid コマンドを実行して、ユーザの ID をターゲット ユーザに変更します。ただし、SGRP, SUID 設定が機能しない場合は、以下のフラグを使用して、正しい順序を指定する必要があります。
- SEID- 最初の seteuid イベント
- SUID -最初の setuid イベント
- SGID -最初の setgid イベント
- SGRP -最初の setgroup イベント
- FEID -2 番目の seteuid イベント
- FUID -2 番目の setuid イベント
- FGID -2 番目の setgid イベント
- FGRP -2 番目の setgroup イベント
- N3EID -3 番目の seteuid イベント
- N3UID -3 番目の setuid イベント
- N3GID -3 番目の setgid イベント
- N3GRP -3 番目の setgroup イベント
正確なログイン シーケンスを指定するために、フラグを使用する必要があります。ただし、フラグの順序は LOGINSEQUENCE パラメータ内で任意に指定できます。たとえば、「SGRP, SEID, FEID, N3EID」は「N3EID, FEID, SGRP, SEID」と同じものです。ログイン プログラムが実行するシステム コールのシーケンスがわからない場合は、トレースを表示し、ユーザをターゲット UID に変更した setuid イベントを検索できます。次に、最初の setgid イベントまたは setgroups イベントで始まる以前のトレース イベントを調べます。たとえば、1 つの setgroups イベントが存在し、3 番目の setuid 呼び出しのみがターゲット ユーザに設定されている場合は、LOGINSEQUENCE を SGRP,SUID,FUID,N3UID に設定する必要があります。これらのフラグは任意の順で指定できます。SETGRPS : P=565302 to 0,2,3,7,8,10,11,250,220,221,230 SUID > P=565302 U=0 (R=0 E=0 S=0 ) to (R=0 E=0 S=0 ) () BYPASS SUID > P=565302 U=0 (R=0 E=0 S=0 ) to (R=0 E=0 S=-1 ) () BYPASS LOGIN : P=565302 User=target Terminal=mercuryThe SETGRPS process indicates the trigger.The first SUID command should be discounted because you can see that the root simply changed back to root, not the trigger user. (This is the SUID in the sequence.)The second SUID command should be discounted as well because you can see that the root changed back to root, not the trigger user. (This is the FUID in the sequence.)The LOGIN event is the actual SETUID event causing the login. (Because it is the third event, it is the N3UID flag in the sequence.)このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの loginsequence パラメータを使用します。 - NACL
リソースの
NACL
プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。Accessor
アクセサを定義します。
- アクセスアクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
NOTIFY
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。
Privileged Access Manager
では、指定したユーザに監査レコードを電子メールで送信できます。制限:
30 文字。OWNER
レコードを所有するユーザまたはグループを定義します。
RAUDIT
Privileged Access Manager
が監査ログに記録するアクセス イベントのタイプを定義します。RAUDIT という名前は Resource
AUDIT
の短縮形です。有効な値は以下のとおりです。- すべてすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
Privileged Access Manager
では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
UACC
リソースに対するデフォルトのアクセス権限を定義します。 これは、
Privileged Access Manager
に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
UPDATE_TIME
(情報)レコードが最後に変更された日時を表示します。
UPDATE_WHO
(情報)更新を実行した管理者を表示します。
WARNING
警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。