LOGINAPPL の例
たとえば、FTP アプリケーションの使用を匿名ユーザのみに許可するには、以下の手順に従います。
cminderpim14jp
たとえば、FTP アプリケーションの使用を匿名ユーザのみに許可するには、以下の手順に従います。
- 以下の selang コマンドを使用して、FTP のデフォルト アクセス権を none に変更します。cr LOGINAPPL FTP defaccess(NONE) owner(nobody)
- 以下の selang コマンドを使用して、ユーザ anonymous に FTP の使用を許可します。auth LOGINAPPL FTP uid(anonymous) access(X)
account というグループに属するユーザが telnet のみを使用するように制限するには、以下の手順に従います。
- 以下の selang コマンドを使用して、rlogin と rsh の使用を禁止します。auth LOGINAPPL(RLOGIN RSH) gid(account) access(N)
- 以下の selang コマンドを使用して、account というグループに telnet の使用を許可します。auth LOGINAPPL TELNET gid(account) acc(X)
注:
上記の例では、RLOGIN および RSH の制限について説明しましたが、他のログイン プログラムも制限できます。新規のログイン プログラムを追加または使用する場合は必ず、新しい LOGINAPPL レコードを追加する必要があります。
ログイン インターセプト シーケンスは、常に、setgid イベントまたは setgroup イベントで始まります。これらのイベントを
トリガ
といいます。このシーケンスは、ユーザの ID を実際にログインしたユーザに変更する setuid イベントで終わります。ログイン アプリケーションはさまざまなシステム コールを発行しますが、CA ControlMinder はそれを使用してログイン アクティビティを監視します。標準のログイン アプリケーションについては、これらのログイン順序があらかじめ設定されています。そのログイン順序は、CA ControlMinder のトレース ファイルを調べることによって確認できます。
注:
LOGINAPPL クラス、およびシーケンスの設定方法の詳細については、「selang リファレンス ガイド」を参照してください。