USER クラス
USER クラスの各レコードは、 データベース内でユーザを定義します。
capamsc141
USER クラスの各レコードは、
Privileged Access Manager
データベース内でユーザを定義します。USER クラスのレコードのキーは、ユーザがシステムへのログイン時に入力したユーザ名です。
ほとんどの USER プロパティは、
Privileged Access Manager
エンドポイント管理か selang の chxusr コマンドを使用して変更できます。chusr で変更できないプロパティには「情報のみ
」と記載されます。 通常、特に明記しない限り、chusr を使用してプロパティを変更するには、コマンド パラメータとしてプロパティ名を使用します。
Privileged Access Manager
エンドポイント管理または selang の showxusr コマンドを使用すると、すべてのプロパティを表示できます。- APPLISTCA SSO で使用されます。
- APPLIST_TIMECA SSO で使用されます。
- APPLS(情報)アクセサがアクセスを許可されるアプリケーションのリストを表示します。CA SSO で使用されます。
- AUDIT_MODEPrivileged Access Managerによって監査ログに記録するアクティビティを定義します。以下のアクティビティの任意の組み合わせを指定できます。
- ログへの記録を行わない
- トレース ファイルに記録されたすべてのアクティビティ
- 失敗したログイン
- 成功したログイン
- Privileged Access Managerによって保護されているリソースに対する失敗したアクセスの試み
- Privileged Access Managerによって保護されているリソースに対する成功したアクセス
- 対話式ログイン
このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの audit パラメータに相当します。 - AUTHNMTHD(情報のみ)グループ レコードに対して使用する 1 つ以上の認証方法(method 1 ~ method 32、または none)を表示します。CA SSO で使用されます。
- BADPASSWDCA SSO で使用されます。
- CATEGORYユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
- COMMENTレコードに含める追加情報を定義します。Privileged Access Managerは、この情報を許可に使用しません。制限:255 文字。
- COUNTRYユーザの国記述子を指定する文字列です。この文字列は、X.500 ネーミング スキーマの一部です。Privileged Access Managerはこれを権限付与に使用しません。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- EMAIL最大 128 文字の、ユーザの電子メール アドレスを指定します。
- EXPIRE_DATEアクセサが無効になる日付を指定します。ユーザ レコードの EXPIRE_DATE プロパティの値は、グループ レコードの値より優先されます。注:このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの expire[-] パラメータに相当します。
- FULLNAMEアクセサに関連付けられるフル ネームを定義します。Privileged Access Managerは、監査ログ メッセージでアクセサを識別するためにフル ネームを使用しますが、権限付与に使用することはありません。FULLNAME は英数字の文字列です。グループとユーザの最大長は 255 文字です。
- GAPPLS(情報)ユーザがアクセスを許可されているアプリケーション グループのリストを示します。CA SSO で使用されます。
- GRACELOGINユーザのパスワードが失効した後の猶予ログインの回数を定義します。指定された猶予ログイン回数を超えると、そのユーザはシステムへのアクセスが拒否され、新しいパスワードについてシステム管理者に問い合わせる必要があります。猶予ログイン回数には、0 ~ 255 の値を指定する必要があります。この値が 0 の場合、ユーザはログインできません。USER レコードの GRACELOGIN プロパティの値は、GROUP レコードの NGRACE の値より優先されます。そのどちらも、SEOS クラス レコードの PASSWDRULES プロパティより優先されます。このプロパティは、ch[x]usr コマンドの grace パラメータに相当します。
- GROUPS(情報)ユーザが属するユーザ グループのリストを表示します。このプロパティには、グループ管理者権限(GROUP-ADMIN)など、ユーザが属するグループ単位でユーザに割り当てられるグループ権限も含まれます。このプロパティに含まれているグループ リストは、ネイティブ環境の GROUPS プロパティに含まれているグループ リストとは異なる場合があります。注:このプロパティは、ch[x]usr コマンドでは変更されません。変更するには、join[-] コマンドまたは joinx[-] コマンドを使用します。
- HOMEDIR(UNIX のみ)ユーザのホーム ディレクトリを定義します。CA SSO で使用されます。
- INACTIVEユーザのステータスが非アクティブに変更されるまでの、ユーザのアクティビティがない状態の経過日数を定義します。アカウント ステータスが非アクティブの場合、ユーザはログインできません。USER クラスのレコードの INACTIVE プロパティの値は、GROUP クラスのレコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの INACT プロパティより優先されます。Privileged Access Managerはステータスを格納せず、ステータスを動的に計算します。非アクティブ ユーザを特定するためには、INACTIVE 値をユーザの LAST_ACC_TIME 値と比較します。
- LAST_ACC_TERM前回ログインが実行された端末を表示します。
- LAST_ACC_TIME前回のログインの日時を表示します。
- LOCALAPPSCA SSO で使用されます。
- LOCATIONユーザの所在地を定義します。Privileged Access Managerは、この情報を許可に使用しません。
- LOGININFOユーザが特定のアプリケーションおよび監査データにログインするための情報を定義します。LOGININFO には、ユーザがアクセスを許可されているアプリケーションごとに、個別にリストが保存されています。CA SSO で使用されます。
- LOGSHIFTシフト時間枠外にログインを許可するかどうかを示します。Privileged Access Managerは、このイベント用の監査ログに監査レコードを書き込みます。
- MAXLOGINSユーザに許可される同時ログインの最大数を定義します。値 0 は、同時ログイン数の制限がないことを示します。ユーザ レコードの MAXLOGINS プロパティの値は、グループ レコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの MAXLOGINS プロパティの値より優先されます。
- MIN_TIMEユーザのパスワード変更間隔として許可する最短期間(日数)を定義します。USER クラスのレコードの MIN_TIME プロパティの値は、GROUP クラスのレコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの PASSWDRULES プロパティより優先されます。注:このプロパティは、ch[x]usr コマンドの min_life パラメータに相当します。
- NOTIFYリソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。Privileged Access Managerでは、指定したユーザに監査レコードを電子メールで送信できます。制限:30 文字。
- OBJ_TYPEユーザ権限属性を指定します。各属性は、ch[x]usr コマンドの同じ名前のパラメータに相当します。ユーザは以下の 1 つ以上の権限属性を持つことができます。
- ADMINUNIX 環境の root ユーザと同様に、管理機能の実行をユーザに許可するかどうかを指定します。
- AUDITORシステムの監視、データベース情報の一覧表示、および既存のレコードに対する監査モードの設定をユーザに許可するかどうかを指定します。
- IGN_HOLHOLIDAY レコードで定義された期間中にユーザがログインできるかどうかを指定します。
- LOGICALユーザがPrivileged Access Manager内部でのみ使用され、実際のユーザのログインには使用できないことを示します。たとえば、リソースの所有者であってもリソースへのアクセスを阻止するために、リソースの所有者として使用するユーザ nobody は、デフォルトの論理ユーザです。これは、ユーザがこのアカウントを使用してログインすることができないことを意味します。
- OPERATORデータベース内のすべての情報の一覧表示と secons ユーティリティの使用をユーザに許可するかどうかを指定します。
- PWMANAGER他のユーザのパスワード設定の変更、および serevu ユーティリティによって無効化されたユーザ アカウントの有効化をユーザに許可するかどうかを指定します。
- SERVER権限に関するユーザへのクエリ、および SEOSROUTE_VerifyCreate API コールの発行をプロセスに許可するかどうかを指定します。
- OIDCRDDATACA SSO で使用されます。
- OLD_PASSWDユーザの以前のパスワードの暗号化されたリストが格納されます。ユーザは、このリストから新しいパスワードを選択することはできません。OLD_PASSWD に保存されるパスワードの最大数は、setoptions コマンドで指定します。
- ORG_UNITユーザが所属する組織単位に関する情報を格納する文字列です。この文字列は、X.500 ネーミング スキーマの一部です。Privileged Access Managerはこれを権限付与に使用しません。
- ORGANIZATIONユーザが所属する組織を定義します。この文字列は、X.500 ネーミング スキーマの一部です。Privileged Access Managerは、この文字列を権限付与に使用しません。
- OWNERレコードを所有するユーザまたはグループを定義します。
- PASSWD_A_C_Wこのレコードのユーザ パスワードを最後に変更した ADMIN ユーザを示します。
- PASSWD_INTユーザのパスワード変更間隔として許可する最長期間(日数)を指定します。USER クラスのレコードの PASSWD_INT プロパティの値は、GROUP クラスのレコードの値より優先されます。このどちらのプロパティ値も、SEOS クラスのレコードの PASSWDRULES プロパティより優先されます。このプロパティは、ch[x]usr コマンドの interval パラメータに相当します。
- PASSWD_L_A_C管理者がパスワードを最後に更新した日時を表示します。
- PASSWD_L_Cユーザがパスワードを最後に更新した日時を示します。
- PGMINFOPrivileged Access Managerによって自動生成されるプログラム情報を定義します。Watchdog 機能は、このプロパティに格納されている情報を自動的に検証します。情報が変更されている場合、プログラムはPrivileged Access Managerにより untrusted として定義されます。以下のフラグを選択すると、この検証プロセスから関連情報を除外できます。
- crcCRC(Cyclic Redundant Check)および MD5 シグネチャ。
- ctime(UNIX のみ)ファイル ステータスが最後に変更された時間。
- deviceUNIX の場合は、ファイルが存在する論理ディスク。Windows の場合は、ファイルが存在するディスクのドライブ番号。
- グループプログラム ファイルを所有するグループ。
- inodeUNIX の場合は、プログラム ファイルのファイル システム アドレス。Windows の場合、このフラグに意味はありません。
- modeプログラム ファイルに関連付けられているセキュリティ保護モード。
- mtimeプログラム ファイルが最後に変更された時間。
- ownerプログラム ファイルを所有するユーザ。
- sha1SHA1 シグネチャ。SHA は Secure Hash Algorithm の略で、プログラム ファイルや機密ファイルに適用できるデジタル署名方式です。
- sizeプログラム ファイルのサイズ。
- PHONEユーザの電話番号を定義します。この情報が権限付与に使用されることはありません。
- POLICYMODELsepass ユーティリティを使用してユーザ パスワードを変更したときに新しいパスワードを受け取る PMDB を指定します。このプロパティに値が入力されている場合、parent_pmd または passwd_pmd 環境設定で定義されている Policy Model にパスワードは送信されません。注:このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの pmdb[-] パラメータに相当します。
- PROFILEユーザのプロファイルのパスを定義します。この文字列には、ローカルの絶対パスまたは UNC パスを含めることができます。
- PWD_AUTOGENユーザ パスワードを自動的に生成するかどうかを表示します。CA SSO で使用されます。デフォルトは no です。
- PWD_SYNCすべてのユーザ アプリケーションでユーザ パスワードを自動的に同一にするかどうかを表示します。CA SSO で使用されます。デフォルトは no です。
- RESUME_DATE一時停止された USER アカウントが有効になる日付を指定します。RESUME_DATE と SUSPEND_DATE は連携して動作します。このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの resume[-] パラメータに相当します。
- REVACLアクセサのアクセス制御リストを表示します。
- REVOKE_COUNTCA SSO で使用されます。
- SCRIPT_VARSCA SSO で使用されます。アプリケーションごとに保存されるアプリケーション スクリプトの変数値を含む変数リストを定義します。
- SECLABELユーザまたはリソースのセキュリティ ラベルを定義します。SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。
- SECLEVELアクセサまたはリソースのセキュリティ レベルを定義します。注:このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。
- SESSION_GROUPユーザの SSO セッション グループを定義します。SESSION_GROUP プロパティは、最大 16 文字の文字列です。Windowsでは、適切な名前がドロップダウン リストに存在しない場合、管理者がセッション グループの新しい名前を入力できます。CA SSO で使用されます。
- SHIFTCA SSO で使用されます。
- SUSPEND_DATEユーザ アカウントが一時停止されて無効になる日付を指定します。レコードの一時停止日が再開日より前の日付である場合、ユーザは一時停止日より前および再開日より後に操作を実行できます。再開日が一時停止日より前である場合、レコードも再開日前には無効です。この場合、ユーザは再開日と一時停止日の間のみ操作を実行できます。ユーザ レコードの SUSPEND_DATE プロパティの値は、グループ レコードの値より優先されます。このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの suspend[-] パラメータに相当します。
- SUSPEND_WHO一時停止日をアクティブにした管理者を表示します。注:このプロパティは、ch[x]usr コマンドの suspend[-] パラメータに相当します。
- UALIAS1 つ以上の認証ホストに定義されている特定ユーザの別名を表示します。CA SSO で使用されます。
- UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。