TERMINAL クラス
TERMINAL クラスの各レコードは、ローカル ホストの端末、ネットワーク上にある別のホストの端末、またはログイン セッションを実行できる X 端末を定義します。 また、レコードは端末名や IP アドレス パターンと(ワイルドカードを使用して)一致する端末も定義します。 端末のアクセス許可はユーザ ログイン手続きの過程でチェックされ、使用権限のない端末からユーザがログインすることはできません。
cminder12901jp
TERMINAL クラスの各レコードは、ローカル ホストの端末、ネットワーク上にある別のホストの端末、またはログイン セッションを実行できる X 端末を定義します。 また、レコードは端末名や IP アドレス
パターン
と(ワイルドカードを使用して)一致する端末も定義します。 端末のアクセス許可はユーザ ログイン手続きの過程でチェックされ、使用権限のない端末からユーザがログインすることはできません。TERMINAL クラスは、管理アクセスも制御します。 ADMIN ユーザは、適切なアクセス権限がある端末からのみ
Privileged Identity Manager
を管理できます。新しい TERMINAL クラスのレコードを定義すると、
Privileged Identity Manager
は、ユーザが指定した名前を完全修飾名に変換しようとします。 成功すると、完全修飾名がデータベースに格納されます。 失敗すると、指定された名前が格納されます。 これ以降、このレコードを参照するコマンド(chres
、showres
、rmres
、authorize など)を発行する際に、データベースに表示されている名前を使用します。TERMINAL レコードのキーは、端末の名前です。
Privileged Identity Manager
では、端末はこの名前によって識別されます。以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「
情報のみ
」と記載されます。- ACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。 アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。
- RAUDITPrivileged Identity Managerが監査ログに記録するアクセス イベントのタイプを定義します。 RAUDIT という名前はResourceAUDITの短縮形です。 有効な値は以下のとおりです。
- allすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
Privileged Identity Managerでは、リソースへのアクセス試行が発生するたびにイベントが記録されます。 ただし、アクセス ルールがそのリソース、またはそのリソースをメンバとするグループまたはクラスにに直接適用されたかどうかについては記録されません。監査モードを変更するには、chresコマンドおよびchfileコマンドの audit パラメータを使用します。 - CALACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
- Accessorアクセサを定義します。
- CalendarUnicenter TNG のカレンダへの参照を定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。
カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。 - CALENDARPrivileged Identity Managerのユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。Privileged Identity Managerにより、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
- CATEGORYユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
- COMMENTレコードに含める追加情報を定義します。Privileged Identity Managerは、この情報を許可に使用しません。制限:255 文字
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。 このプロパティを変更するには、chresコマンド、ch[x]usrコマンド、またはch[x]grpコマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- GROUPSリソース レコードが属する GTERMINAL クラスまたは CONTAINER クラスのレコードのリストです。TERMINAL クラスのレコードのこのプロパティを変更するには、適切な CONTAINER クラスまたは GTERMINAL クラスのレコードの MEMBERS プロパティを変更します。このプロパティを変更するには、chresコマンド、editres, ornewresコマンドでmem+またはmem-パラメータを使用します。
- NACLリソースのNACLプロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。
- Accessorアクセサを定義します。
- Accessアクセサに対して拒否されるアクセス タイプを定義します。
deniedaccessコマンドまたは authorize-deniedaccess-コマンドを使用します。 - NOTIFYリソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。Privileged Identity Managerでは、指定したユーザ宛に監査レコードを電子メールで送信できます。制限:30 文字。
- OWNERレコードを所有するユーザまたはグループを定義します。
- PACL
- アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれています。
- Accessorアクセサを定義します。
- Program指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。注:PACL のリソースの指定にはワイルドカード文字を使用できます。
プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(
pgm
) パラメータを使用します。 アクセサを PACL から削除するには、authorize- コマンドを使用します。- SECLABELユーザまたはリソースのセキュリティ ラベルを定義します。注:SECLABEL プロパティは、
コマンドとchres
コマンドの label[-] パラメータに相当します。ch[x]usr
- SECLEVELアクセサまたはリソースのセキュリティ レベルを定義します。注:このプロパティは、
コマンドとch[x]usr
コマンドの level[-] パラメータに相当します。chres - UACC指定したリソースのデフォルトのアクセス権限を指定します。 これは、Privileged Identity Managerに定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。このプロパティを変更するには、chresコマンド、editresコマンド、またはnewresコマンドでdefaccessパラメータを使用します。
- UPDATE_TIME(情報)レコードが最後に変更された日時を表示します。
- UPDATE_WHO(情報)更新を実行した管理者を表示します。
- WARNING警告モードを有効にするかどうかを指定します。 リソースで警告モードが有効になっている場合、リソースへのすべてのアクセス要求が許可されます。 アクセス要求がアクセス ルールに違反する場合は、レコードが監査ログに書き込まれます。
例 1:
この例では、Unix/Linux エンドポイントで TERMINAL クラスを使用して、ローカル ホスト上の端末の Selang にアクセスするユーザを許可する方法を示します。 手順 1
: ユーザ「John」を作成します。AC> eu John password(John_Pwd)
手順 2
: 同じローカル ホスト上の別の端末に「John」ユーザとしてログインし、Selang コマンドを実行しようとします。 デフォルトでは、すべてのユーザが Selang にアクセスする権限がないため、John は Selang へのアクセスに失敗します。ERROR: Initialization failed, EXITING!(localhost)ERROR: Login procedure failedERROR: You are not allowed to administer this site from terminal MyLocalHost.sample.com
手順 3
: スーパーユーザ(root)は TERMINAL クラスを使用して、「John」がローカル ホスト上での端末の Selang にアクセスする権限を与えるポリシー作成します。AC> authorize TERMINAL MyLocalHost.sample.com uid(John) access(r w) (localhost)
手順 4
: John がローカル ホスト上の端末の Selang にアクセスしようとすると、成功します。MyLocalHost.sample.com:~> /opt/CA/AccessControl/bin/selangCA ControlMinder selang v12.81.0.2606 - CA ControlMinder command line interpreterCopyright (c) 2013 CA. All rights reserved.
例 2:
この例では、Unix/Linux エンドポイントで TERMINAL クラスを使用して、ユーザがネットワーク上の別のホストの端末上の Selang にアクセスすることを許可する方法を示します。 MyLocalHost.sample.com:~> ssh root@ AnotherHost.sample.com[email protected]'s password:# iduid=0(root) gid=0(system) groups=2(bin),3(sys),7(security),8(cron),10(audit),11(lp)# hostname
手順 2
: root ユーザは Selang にアクセスし、ネットワーク上の別のホスト(AnotherHost.sample.com)でユーザ「John」を作成します。# ./opt/CA/AccessControl/bin/selangAC> eu John password(John_pwd)
手順 3
: ローカル ホスト(MyLocalHost.sample.com)から、John ユーザが端末を開き、ネットワーク上の別のホスト(AnotherHost.sample.com)にログインして、Selang にアクセスしようとすると失敗します。MyLocalHost.sample.com:~> ssh John@ AnotherHost.sample.com[email protected]'s password:$ iduid=203(John) gid=1(staff)$ hostname$ /opt/CA/AccessControl/bin/selangERROR: Initialization failed, EXITING!(localhost)ERROR: Login procedure failedERROR: You are not allowed to administer this site from terminal AnotherHost.sample.com
手順 4
: root ユーザは別の端末で John が Selang コマンドを実行することを許可します。AC> authorize terminal AnotherHost.sample.com uid(John) access(r w)
手順 5
: John はネットワーク上の別の端末で Selang コマンドを実行できるようになりました。$ /opt/CA/AccessControl/bin/selangCA ControlMinder selang v12.81.0.2690 - CA ControlMinder command line interpreterCopyright (c) 2013 CA. All rights reserved.