SUDO クラス

SUDO クラスの各レコードは、あるユーザが sesudo コマンドを使用して別のユーザの権限を借用できるようにするためのコマンドを識別します。
capamsc141
SUDO クラスの各レコードは、あるユーザが sesudo コマンドを使用して別のユーザの権限を借用できるようにするためのコマンドを識別します。
SUDO クラス レコードのキーは、SUDO レコードの名前です。この名前は、ユーザが SUDO レコードでコマンドを実行する際に、コマンド名の代わりに使用されます。
対話型の Windows アプリケーション用の SUDO レコードを作成する場合、SUDO レコード用の対話型のフラグを設定する必要があります。対話型のフラグを設定しない場合、アプリケーションはバックグラウンドで実行されるため、ユーザは操作できません。詳細については、「トラブルシューティング ガイド
」を参照してください。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。変更できないプロパティには、
「情報のみ」
と記載されます。
  • ACL
    リソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。
    アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • アクセス
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    ACL を変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
  • CATEGORY
    ユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
  • COMMENT
    sesudo が実行するコマンドです。
    最大 255 文字の英数字から成る文字列です。この文字列には、コマンドが含まれます。さらに、許可されているパラメータおよび禁止されているパラメータも含まれます。
    たとえば、以下のプロファイル定義では、COMMENT プロパティが正しく使用されています。
    newres SUDO profile_name comment('command;;NAME')
    このクラスでの COMMENT プロパティの使用法は、その他のクラスでの使用法とは異なります。SUDO レコードの定義の詳細については、お使いの OS に対応する「
    エンドポイント管理ガイド
    」を参照してください。このプロパティは、
    Privileged Access Manager
    の旧バージョンで使用されていた DATA パラメータとして知られていたものです。
    制限:
    255 文字。
    このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの comment[-] パラメータを使用します。
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIME
    アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
    このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。
    日時の制約の単位は 1 分です。
  • GROUPS
    リソース レコードが属する GSUDO クラスまたは CONTAINER クラスのレコードのリストです。
    SUDO クラスのレコードのこのプロパティを変更するには、適切な CONTAINER クラスまたは GSUDO クラスのレコードの MEMBERS プロパティを変更する必要があります。
    このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem- パラメータを使用します。
  • INTERACTIVE
    (Windows のみ)このスイッチは、sesudo 使用して実行する予定のアプリケーションが、対話式 Windows アプリケーション(notepad.exe や cmd.exe)などであり、サービス アプリケーションではない場合にマークする必要があります。対話式アプリケーションの実行に
    interactive
    とマークされていない sesudo を使用すると、アプリケーションは対話する手段なしにバックグラウンドで実行されます。
    一部の Windows アプリケーションは、Windows の制約によりフォアグラウンドでは実行できません。
  • NACL
リソースの
NACL
プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。ACL、CALACL、PACL も参照してください。NACL の各エントリには、以下の情報が含まれます。
  • Accessor
アクセサを定義します。
  • アクセス
    アクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
  • NOTIFY
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。
Privileged Access Manager
では、指定したユーザに監査レコードを電子メールで送信できます。
制限:
30 文字。
  • OWNER
レコードを所有するユーザまたはグループを定義します。
PACL
アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • プログラム
      指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
    • アクセス
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
PACL のリソースの指定にはワイルドカード文字を使用できます。
プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(
pgm
) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。
  • PASSWORDREQ
(UNIX のみ)sesudo コマンドが実行前に元のユーザのパスワードを要求するかどうかを指定します。
このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの password パラメータを使用します。
  • POLICYMODEL
sepass ユーティリティを使用してユーザ パスワードを変更したときに新しいパスワードを受け取る PMDB を指定します。このプロパティに値が入力されている場合、parent_pmd または passwd_pmd 環境設定で定義されている Policy Model にパスワードは送信
されません
注:
このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの pmdb[-] パラメータに相当します。
  • SECLABEL
ユーザまたはリソースのセキュリティ ラベルを定義します。
SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。
  • SECLEVEL
アクセサまたはリソースのセキュリティ レベルを定義します。
注:
このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。
  • TARGUSR
(UNIX のみ)ターゲット UID を指定します。この UID は、コマンドを実行するためのアクセス許可の借用先ユーザを指定します。デフォルトは root です。
このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの targuid パラメータを使用します。
  • UACC
リソースに対するデフォルトのアクセス権限を定義します。 これは、
Privileged Access Manager
に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。
このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
  • UPDATE_TIME
(情報)レコードが最後に変更された日時を表示します。
  • UPDATE_WHO
(情報)更新を実行した管理者を表示します。
  • WARNING
警告モードを有効にするかどうかを指定します。リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。