TERMINAL クラス

TERMINAL クラスの各レコードは、ローカル ホストの端末、ネットワーク上にある別のホストの端末、またはログイン セッションを実行できる X 端末を定義します。 また、レコードは端末名や IP アドレス パターンと(ワイルドカードを使用して)一致する端末も定義します。 端末のアクセス許可はユーザ ログイン手続きの過程でチェックされ、使用権限のない端末からユーザがログインすることはできません。
cminder12901jp
TERMINAL クラスの各レコードは、ローカル ホストの端末、ネットワーク上にある別のホストの端末、またはログイン セッションを実行できる X 端末を定義します。 また、レコードは端末名や IP アドレス
パターン
と(ワイルドカードを使用して)一致する端末も定義します。 端末のアクセス許可はユーザ ログイン手続きの過程でチェックされ、使用権限のない端末からユーザがログインすることはできません。
TERMINAL クラスは、管理アクセスも制御します。 ADMIN ユーザは、適切なアクセス権限がある端末からのみ
Privileged Identity Manager
を管理できます。
新しい TERMINAL クラスのレコードを定義すると、
Privileged Identity Manager
は、ユーザが指定した名前を完全修飾名に変換しようとします。 成功すると、完全修飾名がデータベースに格納されます。 失敗すると、指定された名前が格納されます。 これ以降、このレコードを参照するコマンド(
chres
showres
rmres
、authorize など)を発行する際に、データベースに表示されている名前を使用します。
TERMINAL レコードのキーは、端末の名前です。
Privileged Identity Manager
では、端末はこの名前によって識別されます。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「
情報のみ
」と記載されます。
  • ACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。 アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    ACL を変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
  • RAUDIT
    Privileged Identity Manager
    が監査ログに記録するアクセス イベントのタイプを定義します。 RAUDIT という名前は
    R
    esource
    AUDIT
    の短縮形です。 有効な値は以下のとおりです。
    • all
      すべてのアクセス要求
    • success
      許可されたアクセス要求
    • failure
      拒否されたアクセス要求(デフォルト)
    • none
      アクセス要求を記録しない
    Privileged Identity Manager
    では、リソースへのアクセス試行が発生するたびにイベントが記録されます。 ただし、アクセス ルールがそのリソース、またはそのリソースをメンバとするグループまたはクラスにに直接適用されたかどうかについては記録されません。
    監査モードを変更するには、
    chres
     コマンドおよび 
    chfile
     コマンドの audit パラメータを使用します。
  • CALACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。
    カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • Calendar
      Unicenter TNG のカレンダへの参照を定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    カレンダが有効な場合のみアクセスが許可されます。 その他の場合はすべてのアクセスが拒否されます。
    カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
  • CALENDAR
    Privileged Identity Manager
    のユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。  
    Privileged Identity Manager
    により、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
  • CATEGORY
    ユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
  • COMMENT
    レコードに含める追加情報を定義します。  
    Privileged Identity Manager
    は、この情報を許可に使用しません。
    制限:
    255 文字
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIME
    アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。 このプロパティを変更するには、
     chres
     コマンド、
    ch[x]usr
     コマンド、または
    ch[x]grp
     コマンドで restrictions パラメータを使用します。
    日時の制約の単位は 1 分です。
  • GROUPS
    リソース レコードが属する GTERMINAL クラスまたは CONTAINER クラスのレコードのリストです。
    TERMINAL クラスのレコードのこのプロパティを変更するには、適切な CONTAINER クラスまたは GTERMINAL クラスのレコードの MEMBERS プロパティを変更します。
    このプロパティを変更するには、
    chres
     コマンド、
    editres, or
    newres 
     コマンドで 
    mem+
     または
    mem-
    パラメータを使用します。
  • NACL
    リソースの
    NACL
    プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。
    • Accessor
      アクセサを定義します。
    • Access
      アクセサに対して拒否されるアクセス タイプを定義します。
    このプロパティを変更するには、
    deniedaccess
     コマンドまたは authorize-
    deniedaccess-
    コマンドを使用します。
  • NOTIFY
    リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。  
    Privileged Identity Manager
    では、指定したユーザ宛に監査レコードを電子メールで送信できます。
    制限:
    30 文字。
  • OWNER
    レコードを所有するユーザまたはグループを定義します。
  • PACL
  • アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれています。
    • Accessor
      アクセサを定義します。
    • Program
      指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
      注:
      PACL のリソースの指定にはワイルドカード文字を使用できます。
プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(
pgm
) パラメータを使用します。 アクセサを PACL から削除するには、authorize- コマンドを使用します。
  • SECLABEL
    ユーザまたはリソースのセキュリティ ラベルを定義します。
    注:
    SECLABEL プロパティは、
    chres
    コマンドと
    ch[x]usr
    コマンドの label[-] パラメータに相当します。
  • SECLEVEL
    アクセサまたはリソースのセキュリティ レベルを定義します。
    注:
    このプロパティは、
    ch[x]usr
    コマンドと
    chres
    コマンドの level[-] パラメータに相当します。
  • UACC
    指定したリソースのデフォルトのアクセス権限を指定します。 これは、
    Privileged Identity Manager
    に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。
    このプロパティを変更するには、
    chres
     コマンド、
    editres
     コマンド、または 
    newres
     コマンドで
    defaccess
     パラメータを使用します。
  • UPDATE_TIME
    (情報)レコードが最後に変更された日時を表示します。
  • UPDATE_WHO
    (情報)更新を実行した管理者を表示します。
  • WARNING
    警告モードを有効にするかどうかを指定します。 リソースで警告モードが有効になっている場合、リソースへのすべてのアクセス要求が許可されます。 アクセス要求がアクセス ルールに違反する場合は、レコードが監査ログに書き込まれます。
例 1:
この例では、Unix/Linux エンドポイントで TERMINAL クラスを使用して、ローカル ホスト上の端末の Selang にアクセスするユーザを許可する方法を示します。 
手順 1
: ユーザ「John」を作成します。
AC> eu John password(John_Pwd)
手順 2
: 同じローカル ホスト上の別の端末に「John」ユーザとしてログインし、Selang コマンドを実行しようとします。 デフォルトでは、すべてのユーザが Selang にアクセスする権限がないため、John は Selang へのアクセスに失敗します。
ERROR: Initialization failed, EXITING!
(localhost)
ERROR: Login procedure failed
ERROR: You are not allowed to administer this site from terminal MyLocalHost.sample.com
手順 3
: スーパーユーザ(root)は TERMINAL クラスを使用して、「John」がローカル ホスト上での端末の Selang にアクセスする権限を与えるポリシー作成します。
AC> authorize TERMINAL MyLocalHost.sample.com uid(John) access(r w) (localhost)
手順 4
: John がローカル ホスト上の端末の Selang にアクセスしようとすると、成功します。
MyLocalHost.sample.com:~> /opt/CA/AccessControl/bin/selang
CA ControlMinder selang v12.81.0.2606 - CA ControlMinder command line interpreter
Copyright (c) 2013 CA. All rights reserved.
例 2:
この例では、Unix/Linux エンドポイントで TERMINAL クラスを使用して、ユーザがネットワーク上の別のホストの端末上の Selang にアクセスすることを許可する方法を示します。 
手順 1
: ローカル ホスト(MyLocalHost.sample.com)から、root ユーザはネットワーク上の別のホスト(AnotherHost.sample.com)にログインします。
[email protected]'s password:
 
# id
uid=0(root) gid=0(system) groups=2(bin),3(sys),7(security),8(cron),10(audit),11(lp)
 
# hostname
手順 2
: root ユーザは Selang にアクセスし、ネットワーク上の別のホスト(AnotherHost.sample.com)でユーザ「John」を作成します。
# ./opt/CA/AccessControl/bin/selang
 
AC> eu John password(John_pwd)
 
手順 3
: ローカル ホスト(MyLocalHost.sample.com)から、John ユーザが端末を開き、ネットワーク上の別のホスト(AnotherHost.sample.com)にログインして、Selang にアクセスしようとすると失敗します。
[email protected]'s password:
 
$ id
uid=203(John) gid=1(staff)
 
$ hostname
$ /opt/CA/AccessControl/bin/selang
 
ERROR: Initialization failed, EXITING!
(localhost)
ERROR: Login procedure failed
ERROR: You are not allowed to administer this site from terminal AnotherHost.sample.com
手順 4
: root ユーザは別の端末で John が Selang コマンドを実行することを許可します。
AC> authorize terminal AnotherHost.sample.com uid(John) access(r w) 
手順 5
: John はネットワーク上の別の端末で Selang コマンドを実行できるようになりました。
$ /opt/CA/AccessControl/bin/selang
CA ControlMinder selang v12.81.0.2690 - CA ControlMinder command line interpreter
Copyright (c) 2013 CA. All rights reserved.