setoptions コマンド - オプションの設定
AC 環境で該当
cminder12901jp
AC 環境で該当
setoptions コマンドを使用すると、実行中のシステムでシステム全体の
Privileged Identity Manager
オプションを設定します。 たとえば、setoptions を使用して、個別のクラスまたはすべてのクラスのセキュリティ チェックの有効化と無効化、パスワード ポリシーの設定、および Privileged Identity Manager
オプションの現在の設定の一覧表示を行うことができます。注:
このコマンドは Windows 環境にもありますが、動作が異なります。setoptions コマンドを使用するには ADMIN 属性が必要です。ただし、setoptions list コマンドは AUDITOR 属性または OPERATOR 属性があれば使用できます。
このコマンドの形式は以下のようになります。
{setoptions|so} \
[accgrr|accgrr-] \ [accpacl|accpacl-] \ [ac_id(id)] \ [class+ (className)] \ [class- (className)] \ [class (className)] \ [flags{+|-} (I|W)] \ [cng_adminpwd|cng_adminpwd-] \ [cng_ownpwd|cng_ownpwd-] \ [cwarnlist] \ [dms{+|-}(dms@hostname)] \ [inactive(nDays)|inactive-] \ [is_dms{+|-}] \ [list] \ [maxlogins(nLogins)|maxlogins-] \ [password( \[{history(nStoredPasswords) | history-}] \[(interval(nDays) | interval-)] \[(min_life(nDays) | min_life-)] \[{rules( \ [alpha(nCharacters)] \ [alphanum(nCharacters)] \ [(bidirectional) | (bidirectional-)] \ [grace(nLogins)] \ [lowercase(nCharacters)] \ [min_len(nCharacters)] [max_len(nCharacters)] \ [max_rep(nCharacters)] \ [{namechk|namechk-}] [numeric(nCharacters)] \ [{oldpwchk|oldpwchk-}] [prohibited(prohibitedCharacters)] \ [special(nCharacters)] \ [sub_str_len(nCharacters)] \ [uppercase(nCharacters)] \ [use_dbdict|use_dbdict-] \)|rules-}] \ )] \
- accgrr累積グループ権限(ACCGRR)オプションを有効にします。デフォルト値は enabled です。
- accgrr-累積グループ権限(ACCGRR)オプションを無効にします。
- accpaclすべてのリソースでの PACL の使用を有効にします。
- accpacl-PACL の使用を無効にします。
- ac_id(id)ローカルPrivileged Identity Managerデータベースおよび DMS に保存されるエンドポイント(HNODE オブジェクト)の一意の ID を定義します。 この ID は、HNODE を識別し、エンドポイントの IP アドレスや名前の変更が拡張ポリシー管理機能に影響しないようにするために役立ちます。エンドポイントのトレースは引き続き可能です。
- class (className)クラスを設定またはクリアします。
- class+(className)1 つ以上のクラスを有効にします。 そのクラスのリソースを保護するためには、クラスが有効である必要があります。 クラスの有効化は、クラスに属するリソースへのアクセスを許可するために必要なレコードを定義した後に行う必要があります。Privileged Identity Managerで提供されるリソース クラスの詳細については、「UNIX エンドポイント管理ガイド」を参照してください。以下のいずれかの値を使用します。
- クラスの名前
- SECLEVEL。 これにより、セキュリティ レベル チェックが有効になります。
- PASSWORD。 パスワード ルールが有効になります。 Windows では、任意の長さのパスワードを使用できるようになります。
- class-(className)1 つ以上のクラスを無効にします。 無効なクラスに属するリソースは保護されません。 以下のいずれかの値を使用します。
- クラスの名前
- SECLEVEL。 セキュリティ レベル チェックを無効にします。
- PASSWORD。 パスワード ルールが無効になります。 Windows では、長いパスワードも無効になります。
- cng_adminpwdPWMANAGER 属性を持つユーザが ADMIN ユーザのパスワードを変更できるようにします。
- cng_adminpwd-PWMANAGER 属性を持つユーザが ADMIN ユーザのパスワードを変更できないようにします。 これがデフォルトの設定です。
- cng_ownpwdユーザが selang を使用してパスワードを変更できるようにします。
- cng_ownpwd-ユーザが selang を使用してパスワードを変更できないようにします。 これがデフォルトの設定です。
- cwarnlist警告モードのクラスに関するデータのテーブルを表示します。
- dms{+|-}(dms@hostname)このデータベースの DMS データベース リストに対する DMS データベースを追加または削除します。
- flags{+|-} (I|W)クラスに関連する機能を設定またはクリアします。 有効な値は以下のとおりです。
- I指定したクラスで、オブジェクトの大文字と小文字を区別するかどうか。注:I フラグを設定する前に、同じ名前のリソースが存在することを確認します。 大文字または小文字のリソースが複数存在する場合、再起動時にデータベース エラーが発生します。Privileged Identity Managerを再起動して I フラグの変更を有効にします。
- W指定したクラスの警告モード。
注:フラグは大文字と小文字を区別します。大文字を使用してください。 - history(NStoredPasswords)履歴リストに保存するパスワード履歴の数を指定します。 パスワードが変更されると、前回のパスワードがリストに追加され、必要に応じて最も古いパスワードがリストから削除されます。Privileged Identity Managerでは、ユーザがリストに含まれているパスワードを変更できないようにします。1 から 24 までの整数を入力します。 0 を指定すると、パスワードは保存されません。Windows の場合、history オプションを使用すると、8 文字より長いパスワードを使用できるようになります。 パスワード格納時に使用される暗号方式は、setoptions bidirectional または bidirectional- オプションで決まります。UNIX の場合、長いパスワードが有効かどうかに history オプションは影響しません。 長いパスワードを有効にするかどうかには、passwd_local_encryption_method 環境設定を使用します。
- history-パスワード履歴のチェックを無効にします。Windows では、このオプションにより長いパスワードが使用できなくなります。
- inactive(nDays)ユーザのログインを一時停止するまでの非アクティブ状態の日数を指定します。 非アクティブ状態の日とは、ユーザがログインできない日を指します。 正の整数を入力します。 inactive を 0 に設定すると、inactive- パラメータを使用した場合と同じ結果になります。
- inactive-非アクティブ ログイン チェックを無効にします。
- interval(nDays)パスワードの設定または変更後、ユーザに対して新しいパスワードの入力を促すメッセージを表示するまでの経過日数を設定します。 正の整数または 0 を入力します。 interval を 0 に設定すると、ユーザに対するパスワード期間のチェックは無効になります。 パスワードに有効期限を設定しない場合は、interval を 0 に設定します。ユーザのログイン スクリプトに segrace ユーティリティが含まれている場合は、指定された日数が経過すると、現在のパスワードが期限切れになったことがユーザに通知されます。 通知を受けたユーザは、ただちにパスワードを更新するか、猶予ログイン回数に達するまで古いパスワードを引き続き使用することができます。 猶予ログイン回数に達すると、ユーザはシステムへのアクセスを拒否されるため、システム管理者に連絡して新しいパスワードを設定する必要があります。
- interval-パスワード期間の設定を取り消します。
- is_dms+現在のデータベースを DMS に指定します。
- is_dms-現在のデータベースの DMS としての指定を解除します。
- list現在の設定を画面に表示します。
- maxlogins(nLogins)ユーザが同時にログインできる端末台数の最大値を設定します。 値 0(ゼロ)は、同時に任意の数の端末からログインできることを意味します。 ユーザのユーザ レコードに値を指定すると、この値より優先されます。注:maxlogins を 1 に設定すると、selang を実行できません。 この場合、Privileged Identity Managerを停止し、maxlogins の設定を 2 以上の値に変更し、Privileged Identity Managerを再起動する必要があります。注:Unix および Linux のオペレーティング システムでのみ有効です。
- maxlogins-グローバルな最大ログイン回数のチェックを無効にします。 ユーザ レコードでログインが制限されていない限り、ユーザがログインできる端末台数は無制限となります。
- min_life(NDays)変更したパスワードを再度変更できるようになるまでの最短日数を設定します。 正の整数を入力します。
- パスワードパスワード オプションを設定します。
- ルール新しいパスワードの品質をチェックする際に使用される 1 つ以上のパスワード ルールを設定します。 ルールは以下のとおりです。
- alpha(nCharacters)新しいパスワードで使用する必要がある英字の最小文字数を設定します。 整数を入力します。
- alphanum(nCharacters)新しいパスワードで使用する必要がある英数字の最小文字数を設定します。 整数を入力します。
- bidirectionalパスワードが他のシステムに PMDB の一部として送信されるときに、クリア テキスト形式で(暗号化されたメッセージ内で)配信するように指定します。UNIX の場合、このオプションは passwd セクションに以下の値を設定することに相当します。Passwd_distribution_encryption_mode=bidirectional注:setoptions コマンドを使用するのではなく、環境設定を行うことをお勧めします。Windows の場合、パスワードは以下のレジストリ値で指定された暗号方式を使用して履歴リストに格納されます。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Encryption Package
- bidirectional-パスワードがハッシュ暗号化形式で送信されるように指定します。Windows の場合、使用されるハッシュ関数は SHA-1 です。UNIX の場合、このオプションは passwd セクションに以下の値を設定することに相当します。Passwd_distribution_encryption_mode=compatibility注:setoptions コマンドを使用するのではなく、環境設定を行うことをお勧めします。このオプションを指定すると、長いパスワードを異種オペレーティング システム間で送信できなくなります。
- grace(nLogins)ユーザのアカウントが一時停止になるまでに猶予ログインできる最大回数を設定します。 猶予ログイン回数には、0 ~ 255 の値を指定する必要があります。
- lowercase(nCharacters)新しいパスワードで使用する必要がある文字の小文字の最小数を指定します。 整数を入力します。
- min_len(nCharacters)パスワードの最小文字数を設定します。 新しいパスワードで使用する必要がある文字の合計最小数を指定します。
- max_len(nCharacters)パスワードの最大文字数を設定します。 新しいパスワードで使用する必要がある文字の合計最大数を指定します。
- max_rep(nCharacters)新しいパスワードで使用する必要がある同じ文字の最大繰り返し回数を設定します。 整数を入力します。
- namechkパスワードにユーザ名の一部または全部が含まれているかどうかをチェックします。 デフォルトでは、このチェックが実行されます。
- namechk-namechk チェックをオフにします。
- numeric(nCharacters)新しいパスワードで使用する必要がある数字の合計最小数を指定します。 整数を入力します。
- oldpwchk新しいパスワードに古いパスワードの一部または全部が含まれているかどうかをチェックします。 デフォルトでは、このチェックが実行されます。注:Unix および Linux のオペレーティング システムでのみ有効です。
- oldpwchk-oldpwchk をオフにします。
- prohibited(prohibitedCharacters)ユーザがパスワードで使用できない文字を指定します。 使用を禁止する文字を入力してください。注:Tab キーの使用をブロックするために、「\」および「t」両方の制御文字が禁止文字リストに指定されていることを確認するようにお勧めします。
- special(nCharacters)新しいパスワードで使用する必要がある特殊文字の最小数を指定します。 整数を入力します。
- sub_str_len(nCharacters)新しいパスワードと古いパスワードとで共通する文字の最大数を指定します。 整数を入力します。
- uppercase(nCharacters)新しいパスワードで使用する必要がある英字の大文字の最小数を設定します。 整数を入力します。
- use_dbdict | use_dbdict-パスワード辞書を設定します。 use_dbdict はトークンを db に設定し、パスワードをPrivileged Identity Managerデータベースの単語と照合して比較します。 use_dbdict- トークンを file に設定し、UNIX の場合は seos.ini ファイル、Windows の場合は Windows レジストリに指定されたファイルとパスワードを照合して比較します。
- rules-パスワード品質のチェックを無効にします。 rules 引数で指定したルールは、パスワード品質のチェックに使用されません。
例:
Privileged Identity Manager
オプションの設定- ユーザ John が、オペレータ アクションの保護に使用されるインストール定義クラスの OpsAct クラスを有効にします。ユーザ John に ADMIN 属性が割り当てられているとします。setoptions class+(OpsAct)
- ユーザ Mike が、6 文字以上のパスワードをユーザに選択させるパスワード ポリシーを設定します。 さらに、パスワード ポリシーの適用を有効にします。ユーザ Mike に ADMIN 属性が割り当てられているとします。setoptions class+(PASSWORD) setoptions password(rules(min_len(6)))
- ユーザ SecAdmin がセキュリティ レベル チェックを有効にします。ユーザ SecAdmin に ADMIN 属性が割り当てられているとします。setoptions class+(SECLEVEL)
- ユーザ Janani が、このデータベースの通知の送信先 DMS を設定します。ユーザ Janani に ADMIN 属性が割り当てられているとします。setoptions dms+(apache@myHost)
例: クラスを警告モードに設定する
クラスを警告モードに設定するには、そのクラスの Warning プロパティを設定します。 このためには、以下のように setoptions の selang コマンドを実行します。
setoptions class(classname) flags+ (W)
- classname警告モードに設定するクラスの名前を定義します。
注:
W フラグは大文字と小文字の区別があるので、大文字で指定する必要があります。クラスの警告モードをオフにするには、以下のように setoptions コマンドを使用します。
setoptions class(classname) flags- (W)