HNODE クラス

HNODE クラスには、組織の ホストに関する情報が含まれます。 クラスの各レコードは、組織内のノードを表します。
cminder12902jp
HNODE クラスには、組織の
Privileged Identity Manager
ホストに関する情報が含まれます。 クラスの各レコードは、組織内のノードを表します。
このクラスは、さまざまな PMDB やエンドポイントからアップロードされて DMS に格納される情報を管理するために使用されます。
HNODE クラスのレコードのキーは、エンドポイントの具体的なホスト名(myHost.ca.com など)または Policy Model ノードの PMDB 名([email protected])です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、
「情報のみ」
と記載されます。
  • ACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。
    アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
    • アクセサ
      アクセサを定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    ACL を変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
  • ATTRIBUTES
    ホストをホスト グループに自動的に追加するかどうか評価するために DMS 使用するカスタム基準を定義します。
    注:
    DMS はまた、以下の HNODE プロパティを確認して、任意のホストがホスト グループに自動的に追加されるべきかどうか評価します。 COMMENT、HNODE_INFO、HNODE_IP、HNODE_VERSION、NODE_TYPE
  • CALACL
    リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。
    カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
    • アクセサ
      アクセサを定義します。
    • カレンダ
      Unicenter TNG のカレンダへの参照を定義します。
    • Access
      アクセサに与えられる、リソースに対するアクセス権限を定義します。
    カレンダが有効な場合のみアクセスが許可されます。 その他の場合はすべてのアクセスが拒否されます。
    カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
  • CALENDAR
    CA Privileged Identity Manager のユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。 指定された間隔で Unicenter TNG のアクティブなカレンダをフェッチすることができます。
  • CATEGORY
    ユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
  • COMMENT
    レコードに含める追加情報を定義します。 コメントは、認証には使用されません。
    制限:
    255 文字。
  • COMPLIANT_UPDATE_TIME
    (情報のみ)ステータスが最後に変更された日時を表示します。
  • CREATE_TIME
    (情報のみ)レコードが作成された日時が表示されます。
  • DAYTIME
    アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
    このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。
    日時の制約の単位は 1 分です。
  • EFFECTIVE_POLICIES
    このオブジェクトにデプロイする必要があるポリシー バージョンのリストを定義します。
    表示名: 有効なポリシー
  • GHNODES
    このオブジェクトが属するホスト グループのリストを定義します。
    表示名: ノード グループ
  • GROUPS
    リソース レコードが属する CONTAINER クラスのレコードのリストを定義します。
    クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。
    このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの mem+ または mem- パラメータを使用します。
  • HNODE_IP
    ホストの IP アドレスです。
    表示名: IP
  • HNODE_KEEP_ALIVE
    HNODE がハートビートを分散ホストに前回送信した時刻を定義します。
    表示名: 最後のハートビート
  • HNODE_EVENTS
    エンドポイントで発生したヘルス復旧イベントを表す文字列のリストが表示されます。 Health 復旧イベントは、たとえば、メモリのクリティカルしきい値の違反のために、エージェントの再起動またはエンドポイントのパフォーマンスが低下するプログラムを回避します。
  • HNODE_INSTALL_STATUS
    エンドポイントのインストール ステータスが表示されます。 ワールド ビュー の
    Privileged Identity Manager
    エンタープライズ コンソール内のステータスによって、エンドポイントを検索できます。
    値:
    インストール成功、アップグレード失敗、再起動の保留中、再起動中
    表示名: インストールのステータス。
  • HNODE_BYPASS_EXIST
    予防措置の測定のため、エンドポイントがバイパス モードであるかを表示します。 注: バイパス モードでは、ポリシー処理は一時的に縮小されます。 この値が
    No
    の場合は、エンドポイントは完全に機能しています。
    値:
    「はい」または「いいえ」
    表示名: バイパスが存在します。
  • LOGIN
    ホストに対するデフォルト アクセス タイプを定義します。
    表示名: LOGIN
  • NACL
リソースの
NACL
プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。
アクセサ
アクセサを定義します。
  • Access
    アクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
NODE_INFO
(情報のみ)ノード OS の詳細を指定します。
NODE_TYPE
(情報のみ)ホスト上の
Privileged Identity Manager
インストールのタイプを定義します。 有効な値は以下のとおりです。
  • ACU - UNIX 用
    Privileged Identity Manager
  • ACW - Windows 用
    Privileged Identity Manager
  • UNIX 認証ブローカ (UNAB)
注:
HNODE レコードは、NODE_TYPE プロパティとして ACU および UNAB の両方の値を持つことができます。
NODE_VERSION
(情報のみ)ホストにインストールされる
Privileged Identity Manager
のバージョンを定義します。 バージョン番号には NODE_TYPE が前置きされています。例: ACU:12.50-00.647
NOTIFY
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。 指定したユーザ宛に監査レコードを電子メールで送信できます
制限:
30 文字。
OWNER
レコードを所有するユーザまたはグループを定義します。
PACL
アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
  • アクセサ
    アクセサを定義します。
  • プログラム
    指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
  • Access
    アクセサに与えられる、リソースに対するアクセス権限を定義します。
注:
PACL のリソースの指定にはワイルドカード文字を使用できます。
プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(
pgm
) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。
PARENTS
(情報のみ)。 伝達ツリー内でそのノードの親である PMDB のリストです(parent_pmd 環境設定によっても定義される)。
POLICYASSIGN
このオブジェクトに割り当てられたポリシーのリストを定義します。
表示名: 割り当てられたポリシー
POLICY
POLICIES プロパティにリストされた各ポリシーのステータスです。 このプロパティの値は、以下のフィールドを持つ構造体です。
  • nNAME
    POLICY オブジェクトのオブジェクト ID です。 POLICIES プロパティの値と同じです。
  • STATUS
    以下のいずれかを表す整数です。
    • DeployedPolicy はエンドポイントに正常にデプロイされました。
    • Deployed with FailuresPolicy - エンドポイントで実行に失敗したデプロイ スクリプトから 1 つ以上のルールでデプロイ。
    • UndeployedPolicy - エンドポイントから正常にデプロイ解除。
      注:
      ポリシーがデプロイ解除されると、ホストのステータスが表示されなくなります(ステータスなし)。
    • Undeployed with FailuresPolicy - エンドポイントで実行に失敗したデプロイ スクリプトから 1 つ以上のルールでデプロイ解除。
    • Failed DeploymentPolicy - デプロイ スクリプトでエラーが発生したため、デプロイに失敗。
      注:
      ポリシー検証が有効な場合にのみ、このステータスが現れます。 それ以外の場合、policyfetcher はポリシーにエラーが含まれていてもポリシーをデプロイします(「デプロイされましたがエラーがあります」ステータス)。
    • UnknownPolicy - ステータス不明。
    • Deploy Pending - デプロイされる必須要件のポリシーまたは不確定または未解決の変数を含むポリシーのために待機。
    • Undeploy Pending - 依存するポリシーがデプロイ解除されるために待機。
    • Out of Sync - ポリシーには、エンドポイントで変更された変数および変数の値が含まれています。
    • Not Executed - ポリシーの検証によって、ポリシーに 1 つ以上のエラーを発見。
    • Queued - 廃止(後方互換性維持のためにのみ残されています)
    • Transferred - 廃止(後方互換性維持のためにのみ残されています)
    • Transferred Failed - 廃止(後方互換性維持のためにのみ残されています)
    • Signature Failed - 廃止(後方互換性維持のためにのみ残されています)
  • deviation
    このノードにポリシー偏差があるかどうかを表す値です。 有効な値は以下のとおりです。
    • はい
    • Unset
  • dev_time
    偏差ステータスの最終更新時刻です。
  • ptime
    ポリシー ステータスの最終更新時刻です。
  • updator
    ポリシーをデプロイまたは削除したユーザの名前です。
RAUDIT
CA Privileged Identity Manager が監査ログに記録するアクセス イベントのタイプを定義します。 RAUDIT という名前は
R
esource
AUDIT
の短縮形です。 有効な値は以下のとおりです。
  • all
    すべてのアクセス要求
  • success
    許可されたアクセス要求
  • failure
    拒否されたアクセス要求(デフォルト)
  • none
    アクセス要求を記録しない
Privileged Identity Manager
では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。
監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
SECLABEL
ユーザまたはリソースのセキュリティ ラベルを定義します。
注:
SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。
SECLEVEL
アクセサまたはリソースのセキュリティ レベルを定義します。
注:
このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。
SUBSCRIBER_STATUS
親ごとのノードのステータスです。 このプロパティの値は、以下のフィールドを持つ構造体です。
  • oidSubs
    HNODE オブジェクトのオブジェクト ID です。 SUBSCRIBERS プロパティの値と同じです。
  • status
    以下のいずれかのステータスを表す値です。
    • 利用可能
    • 利用不可
    • 同期(同期中)
    • Unknown
  • stime
    ステータスの最終更新時刻です。
SUBSCRIBERS
伝達ツリー内のそのノードのサブスクライバのリストです。 このプロパティを更新すると、PARENTS プロパティが HNODE オブジェクト名の値で暗黙に更新されます。
UACC
リソースに対するデフォルトのアクセス権限を定義します。 これは、
Privileged Identity Manager
に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。
このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
UNAB_ID
(情報のみ) UNAB ホスト ID をレポート用に表示します。
UPDATE_TIME
(情報)レコードが最後に変更された日時を表示します。
UPDATE_WHO
(情報)更新を実行した管理者を表示します。
WARNING
警告モードを有効にするかどうかを指定します。 リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。