SEOS クラス

SEOS クラスは、 権限付与システムの動作を制御します。
capamsc141
SEOS クラスは、
Privileged Access Manager
 権限付与システムの動作を制御します。
クラスには、SEOS というレコードが 1 つだけ含まれます。このレコードは、一般的なセキュリティと権限のオプションを指定します。SEOS クラス プロパティのステータスを表示または変更するには、setoptions コマンドを使用します。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、
「情報のみ」
と記載されます。
  • ACCPACL
    認証プロセスで UACC(defaccess)および PACL のリストをスキャンする順序を指定します。
    ACCPACL がアクティブであり、ユーザのアクセス権が ACL で明示的に指定されている場合は、そのアクセサが許可されたアクセス権となります。アクセス権が ACL ではなく PACL で明示的に指定されている場合は、PACL アクセス権が許可されたアクセス権となります。ACL と PACL のいずれにも明示的なアクセス権が指定されていない場合は、defaccess のアクセス定義がチェックされます。
    ACCPACL がアクティブでない場合は、最初に ACL の明示的なアクセス権がチェックされます。ACL にチェック対象リソースに関する明示的なアクセス権が定義されていない場合は、次に defaccess 定義がチェックされます。defaccess に明示的なアクセス権が定義されていない場合は、次に PACL アクセス権の定義がチェックされます。
    Privileged Access Manager
    のインストール時に、このプロパティの値は yes に設定されます。
    このプロパティを変更するには、setoptions コマンドの accpacl パラメータまたは accpacl- パラメータを使用します。
  • ADMIN
    ADMIN クラスの各レコードが特定のクラスを管理する必要がある認可特権非管理者ユーザを定義します。特定の非管理者ユーザによって管理される各
    Privileged Access Manager
     クラスは ADMIN レコードで表されます。レコードには、各クラスのアクセス権限を持つアクセサのリストが格納されます。
    例: ユーザ John に FILE クラス ルールを表示することを許可するには、「authorize ADMIN FILE uid(John) access(read)」を指定します。
    ADMIN クラスがオフの場合、非管理者ユーザはこの ADMIN クラスを使用して管理者権限を取得することはできません。
  • APPL
    APPL クラスをアクティブにするかどうかを指定します。
  • AUTHHOST
    AUTHHOST クラスをアクティブにするかどうかを指定します。
  • CALENDAR
    CALENDAR クラスをアクティブにするかどうかを指定します。
  • CATEGORY
    CATEGORY クラスをアクティブにするかどうかを指定します。
  • CNG_ADMIN_PWD
    PWMANAGER 属性を持つユーザが selang を使用して ADMIN ユーザのパスワードを変更できるかどうかを指定します。デフォルトは yes です。
    このプロパティをアクティブまたは非アクティブにするには、setoptions コマンドの class+ パラメータまたは class- パラメータおよび
    cng_adminpwd
    オプションを使用します。
  • CNG_OWN_PWD
    ユーザが selang を使用して自分のパスワードを変更できるかどうかを指定します。
    このプロパティをアクティブまたは非アクティブにするには、setoptions コマンドの class+ パラメータまたは class- パラメータおよび
    cng_ownpwd
    オプションを使用します。
  • COMMENT
    レコードに含める追加情報を定義します。
    Privileged Access Manager
    は、この情報を許可に使用しません。
    制限:
    255 文字。
  • CONNECT
    CONNECT クラスをアクティブにするかどうかを指定します。CONNECT クラスがアクティブな場合、このクラスのレコードは外部への接続を保護します。
    HOST クラスがアクティブな場合、CONNECT クラスは、アクティブであってもアクティブなクラスとして使用されません。
    TCP クラスがアクティブな場合、CONNECT クラスはアクティブなクラスとして使用されません。
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIMERES
    (UNIX のみ)
    Privileged Access Manager
    でリソースの日時制限をチェックするかどうかを指定します。
  • DMS
    このデータベースによる通知の送信先 DMS サーバのリストです。
  • DOMAIN
    (Windows のみ)DOMAIN クラスをアクティブにするかどうかを指定します。
  • ENDTIME
    (情報のみ)。データベース ファイルが通常の方法で最後に閉じられた日時です。
  • FILE
    FILE クラスをアクティブにするかどうかを指定します。FILE クラスがアクティブな場合、このクラスのレコードはファイルおよびディレクトリを保護します。
  • ACCGRR
累積グループ権限
オプション(ACCGRR)は、
Privileged Access Manager
がリソースの ACL をチェックする方法を制御します。ACCGRR が有効な場合、
Privileged Access Manager
は、ACL で、ユーザが属するすべてのグループで許可されている権限をチェックします。ACCGRR が無効な場合、
Privileged Access Manager
は、ACL で適用可能なエントリのいずれかに値 none が含まれているかどうかをチェックします。none が含まれている場合、アクセスは拒否されます。none が含まれていない場合、
Privileged Access Manager
は、ACL 内の最初の適用可能なグループ エントリを除くすべてのグループ エントリを無視します。このプロパティを有効または無効にするには、setoptions ACCGRR コマンドを使用します。
  • HOLIDAY
    HOLIDAY クラスをアクティブにするかどうかを指定します。HOLIDAY クラスがアクティブな場合、定義された休日期間中にユーザがログインするには特別な許可が必要となります。
  • HOST
    HOST クラスをアクティブにするかどうかを指定します。HOST クラスがアクティブな場合、
    Privileged Access Manager
    は、リモート ホストから受信する TCP/IP サービス要求を保護します。
    HOST クラスがアクティブな場合、TCP クラスおよび CONNECT クラスは、アクティブであってもアクティブなクラスとして使用されません。
    HOST クラスは、デフォルトではアクティブです。
  • INACT
    ユーザ ログインを一時停止するまでの非アクティブ状態の日数を指定します。非アクティブ状態の日とは、ユーザがログインしていない日を指します。
    USER クラスのレコードの INACTIVE プロパティの値は、GROUP クラスのレコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの INACT プロパティより優先されます。
    このプロパティを更新するには、setoptions コマンドの inactive パラメータまたは inactive- パラメータを使用します。
  • ISDMS
    PMDB が DMS として機能している場合に true です。
  • LOGINAPPL
    (UNIX のみ)LOGINAPPL クラスをアクティブにするかどうかを指定します。
  • MAXLOGINS
    ユーザに許可される同時ログインの最大数(端末セッション数)です。この値を超えると、ユーザのアクセスは拒否されます。値 0 は最大数を設定しないことを意味します。ユーザは任意の数の端末セッションに同時にログインできます。
    Privileged Access Manager
    では、ログイン、selang、GUI などの個々のタスクが 1 つの端末セッションと見なされます。そのため、ユーザがログインして selang を実行するか、またはデータベースを管理する場合は、0 を指定するか、1 より大きい値を指定する必要があります。
    USER クラスのレコードの MAXLOGINS プロパティの値は、GROUP クラスのレコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの MAXLOGINS プロパティより優先されます。SEOS クラスのレコードの値は、アクセサ レコードに明示値の指定がない場合に使用されるデフォルト値です。
    SEOS クラスのこのプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの maxlogins パラメータを使用します。
  • MFTERMINAL
    MFTERMINAL クラスをアクティブにするかどうかを指定します。
  • PASSWDRULES
    パスワード ルールを指定します。このプロパティには、
    Privileged Access Manager
    でのパスワード保護の処理方法を決定する多くのフィールドが含まれています。ルールの一覧については、USER クラスの変更可能なプロパティである PROFILE を参照してください。
    このプロパティを変更するには、setoptions コマンドの passwordparameter および rules オプションまたは rules- オプションを使用します。
  • PASSWORD
    パスワード チェックをアクティブにするかどうかを指定します。
    このプロパティをアクティブまたは非アクティブにするには、setoptions コマンドの class+ パラメータまたは class- パラメータおよび PASSWORD オプションを使用します。
  • PROCESS
    PROCESS クラスをアクティブにするかどうかを指定します。PROCESS クラスがアクティブな場合、このクラスのレコードは、定義されているプロセスが(kill コマンドによって)強制終了されないように保護します。
    ファイルは、FILE クラスにも定義されている必要があります。
  • PROGRAM
    PROGRAM クラスをアクティブにするかどうかを指定します。PROGRAM クラスがアクティブな場合、このクラスのレコードは、trusted のマークを付加して定義されたプログラムを保護します。
  • PWPOLICY
    PWPOLICY クラスをアクティブにするかどうかを指定します。
  • REGKEY
    (Windows のみ)REGKEY クラスをアクティブにするかどうかを指定します。
  • REGVAL
    (Windows のみ)REGVAL クラスをアクティブにするかどうかを指定します。
  • RESOURCE_DESC
    RESOURCE_DESC クラスをアクティブにするかどうかを指定します。
  • RESPONSE_TAB
    RESPONSE_TAB クラスをアクティブにするかどうかを指定します。
  • SECLABEL
    SECLABEL クラスをアクティブにするかどうかを指定します。
  • SECLEVEL
    SECLEVEL クラスをアクティブにするかどうかを指定します。
  • STARTTIME
    (情報のみ)。データベース ファイルが最後に開かれた日時です。
  • SUDO
    sesudo で使用する SUDO クラスをアクティブにするかどうかを指定します。
  • SYSTEM_AAUDIT_MODE
    ユーザおよびエンタープライズ ユーザのデフォルト監査モード(システム全体の監査モード)を指定します。
    デフォルト:
    Failure LoginSuccess LoginFailure
  • SURROGATE
    SURROGATE クラスをアクティブにするかどうかを指定します。SURROGATE クラスがアクティブな場合、
    Privileged Access Manager
    は代理要求を保護します。
  • TCP
    TCP クラスをアクティブにするかどうかを指定します。TCP クラスがアクティブな場合、
    Privileged Access Manager
    は、メール、ftp、http などの TCP サービスの送受信を保護します。
    HOST クラスがアクティブな場合、TCP クラスは、アクティブであってもアクティブなクラスとして使用されません。
    TCP クラスがアクティブな場合、CONNECT クラスはアクティブなクラスとして使用されません。
  • TERMINAL
    TERMINAL クラスをアクティブにするかどうかを指定します。TERMINAL クラスがアクティブな場合、
    Privileged Access Manager
    では、サインオン時に端末アクセス チェックを行い、X Window セッションを保護します。
  • USER_ATTR
    USER_ATTR クラスをアクティブにするかどうかを指定します。
  • USER_DIR
    USER_DIR クラスをアクティブにするかどうかを指定します。
  • UPDATE_TIME
    (情報)レコードが最後に変更された日時を表示します。
  • UPDATE_WHO
    (情報)更新を実行した管理者を表示します。