PROGRAM クラス
PROGRAM クラスの各レコードは、trusted computing base の一部と見なされるプログラムを定義します。 このクラスに属するプログラムは、変更されたかどうかが Watchdog 機能によって監視されるため、セキュリティ違反がないものとして信頼できます。 trusted プログラムが変更されると、 によって自動的に untrusted のマークが付けられ、実行できなくなります。 オプションで、BLOCKRUN プロパティを使用して untrusted プログラムを許可または拒否することもできます。
cminder12902jp
PROGRAM クラスの各レコードは、trusted computing base の一部と見なされるプログラムを定義します。 このクラスに属するプログラムは、変更されたかどうかが Watchdog 機能によって監視されるため、セキュリティ違反がないものとして信頼できます。 trusted プログラムが変更されると、
Privileged Identity Manager
によって自動的に untrusted のマークが付けられ、実行できなくなります。 オプションで、BLOCKRUN プロパティを使用して untrusted プログラムを許可または拒否することもできます。各 PROGRAM レコードには、trusted プログラム ファイルに関する情報を定義するいくつかのプロパティが含まれています。
使用上の注意
- UNIX の場合、PROGRAM クラスには、setuid または setgid としてマークされていないプログラムが含まれる可能性もあります。
- Privileged Identity Managerでは、どんなプログラムでも trusted プログラムとして定義できます。プログラムは、PROGRAM クラスに定義されていない限り、プログラム アクセス制御リスト(PACL)で使用できません (ただし、プログラムを PACL に追加すると、プログラムは自動的に PROGRAM クラスに追加されます)。
- ディレクトリは PROGRAM クラスに定義できません。
PROGRAM クラスのレコードのキーは、レコードが保護するプログラムのファイル名です。 オブジェクト名として、ファイルの完全パスを指定する必要があります。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 「
情報のみ
」と記載されているプロパティは変更できません。- ACCSTIME(情報のみ)。 レコードが最後にアクセスされた日時です。
- ACCSWHO(情報のみ)。 レコードに最後にアクセスした管理者です。
- ACLリソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)のリスト、およびアクセサのアクセス タイプを定義します。アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
- アクセサアクセサを定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。
- BLOCKRUNプログラムが trusted であるかどうか、および untrusted プログラムの実行をブロックするかどうかを指定します。 プログラムが setuid か通常のプログラムかどうかに関わらず、実行のブロックが行われます。リソースのこのプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの blockrun[-] パラメータを使用します。
- CALACLリソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)のリスト、および Unicenter NSM カレンダ ステータスに基づくアクセス タイプを定義します。カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
- アクセサアクセサを定義します。
- カレンダUnicenter TNG のカレンダへの参照を定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。
カレンダ ACL に定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。 - CALENDARCA Privileged Identity Manager のユーザ、グループ、およびリソース制限に対する Unicenter TNG カレンダ オブジェクトを表します。 指定された間隔で Unicenter TNG のアクティブなカレンダをフェッチすることができます。
- CATEGORYユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリを定義します。
- COMMENTレコードに含める追加情報を定義します。 コメントは、認証に使用されません。制限:255 文字。
- CREATE_TIME(情報のみ)レコードが作成された日時が表示されます。
- DAYTIMEアクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。日時の制約の単位は 1 分です。
- GROUPSリソース レコードが属する CONTAINER クラスのレコードのリストを定義します。クラス レコードでこのプロパティを変更するには、適切な CONTAINER クラスのレコードで MEMBERS プロパティを変更する必要があります。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの mem+ または mem- パラメータを使用します。
- MD5(情報のみ)。 ファイルの RSA-MD5 シグネチャです。
- NACL
リソースの
NACL
プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。アクセサ
アクセサを定義します。
- Accessアクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
NOTIFY
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。 指定したユーザ宛に監査レコードを電子メールで送信できます
。
制限:
30 文字。OWNER
レコードを所有するユーザまたはグループを定義します。
PACL
アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
- アクセサアクセサを定義します。
- プログラム指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
- Accessアクセサに与えられる、リソースに対するアクセス権限を定義します。
注:
PACL のリソースの指定にはワイルドカード文字を使用できます。プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(
pgm
) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。注:
PROGRAM クラスのリソースに対し、PACL は UNIX では setuid/setgid プログラムにのみ、Windows ではファイル
リソースがあるプログラムにのみ適用されます。 Privileged Identity Manager
はまずファイル リソース レコードをチェックし、アクセスが許可されている場合に、プログラム リソース レコードをチェックします。PGMINFO
Privileged Identity Manager
によって自動生成されるプログラム情報を定義します。Watchdog 機能は、このプロパティに格納されている情報を自動的に検証します。 情報が変更されている場合、プログラムは untrusted と見なされます。
以下のフラグを選択すると、この検証プロセスから関連情報を
除外
できます。- crcCRC(Cyclic Redundant Check)および MD5 シグネチャ。
- ctime(UNIX のみ)ファイル ステータスが最後に変更された時間。
- deviceUNIX の場合は、ファイルが存在する論理ディスク。 Windows の場合は、ファイルが存在するディスクのドライブ番号。
- グループプログラム ファイルを所有するグループ。
- inodeUNIX の場合は、プログラム ファイルのファイル システム アドレス。 Windows の場合は、意味はありません。
- modeプログラム ファイルに関連付けられているセキュリティ保護モード。
- mtimeプログラム ファイルが最後に変更された時間。
- ownerプログラム ファイルを所有するユーザ。
- sha1SHA1 シグネチャ。 SHA は Secure Hash Algorithm の略で、プログラム ファイルや機密ファイルに適用できるデジタル署名方式です。
- sizeプログラム ファイルのサイズ。
このプロパティのフラグを変更するには、chres コマンド、editres コマンド、または newres コマンドの flags パラメータ、flags+ パラメータ、または flags- パラメータを使用します。
RAUDIT
CA Privileged Identity Manager が監査ログに記録するアクセス イベントのタイプを定義します。 RAUDIT という名前は
R
esource AUDIT
の短縮形です。 有効な値は以下のとおりです。- allすべてのアクセス要求
- success許可されたアクセス要求
- failure拒否されたアクセス要求(デフォルト)
- noneアクセス要求を記録しない
Privileged Identity Manager
では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたかについては記録されません。監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
SECLABEL
ユーザまたはリソースのセキュリティ ラベルを定義します。
注:
SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。SECLEVEL
アクセサまたはリソースのセキュリティ レベルを定義します。
注:
このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。UACC
リソースに対するデフォルトのアクセス権限を定義します。 これは、
Privileged Identity Manager
に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに付与されるアクセス権限を示します。このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで defaccess パラメータを使用します。
UNTRUST
リソースが信頼されているかどうかを定義します。 UNTRUST プロパティが設定されている場合、アクセサはこのリソースを使用できません。 UNTRUST プロパティが設定されていない場合、アクセサのアクセス権限の決定には、このリソースに対してデータベースにリストされている他のプロパティが使用されます。 Trusted リソースに何らかの変更が加えられると、UNTRUST プロパティを自動的に設定します。
このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドで trust[-] パラメータを使用します。
UNTRUSTREASON
(情報のみ)。 プログラムが untrusted になった理由です。
UPDATE_TIME
(情報)レコードが最後に変更された日時を表示します。
UPDATE_WHO
(情報)更新を実行した管理者を表示します。
WARNING
警告モードを有効にするかどうかを指定します。 リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。