HOST 클래스

HOST 클래스의 각 레코드는 IPv4로 연결되었을 때 로컬 컴퓨터에 대한 호스트의 액세스를 정의합니다.
cminder140kr
HOST 클래스의 각 레코드는 IPv4로 연결되었을 때 로컬 컴퓨터에 대한 호스트의 액세스를 정의합니다.
참고:
IP 통신에 대한
Privileged Access Manager Server Control
액세스 규칙은 IPv4에만 적용됩니다. CA Privileged Access Manager Server Control은 IPv6에 의한 액세스를 제어하지 않습니다.
Privileged Access Manager Server Control
은 사용자가 HOST 클래스에 추가하는 호스트 이름의 주소를 확인합니다. 즉, 이름이 운영 체제 호스트 파일에 나타나거나, NIS 또는 DNS에 정의되어 있어야 합니다.
각 HOST 레코드에 대해, INETACL 속성은 로컬 호스트가 해당 호스트에 대해 제공할 수 있는 서비스를 정의합니다.
Privileged Access Manager Server Control
은 호스트 이름의 별칭을 허용하지만, 별칭을 나타내는 레코드는 권한 부여 검사에 사용되지 않습니다.
Privileged Access Manager Server Control
이 해당 호스트와의 연결을 보호하도록 하려면 호스트의 정규 이름을 알고 있어야 합니다.
Privileged Access Manager Server Control
은 호스트 이름을 하나의 IP 주소로 확인합니다. 하나의 호스트 이름에 대해 여러 IP 주소가 구성된 경우 다음 클래스 중 하나를 사용하십시오.
  • GHOST
  • HOSTNET
  • HOSTNP
HOST 클래스 레코드의 키는 호스트의 이름입니다.
다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.
  • COMMENT
    레코드에 포함할 추가 정보를 정의합니다.
    Privileged Access Manager Server Control
    은 권한 부여를 위해 이 정보를 사용하지 않습니다.
    제한:
    255자
  • CREATE_TIME
    (정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
  • DAYTIME
    접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.
    이 속성을 수정하려면 chres, ch[x]usr 또는 ch[x]grp 명령과 함께 restrictions 매개 변수를 사용하십시오.
    daytime restrictions의 확인은 1분입니다.
  • GROUPS
    리소스 레코드가 속하는 GHOST 또는 CONTAINER 레코드 목록입니다.
    HOST 클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 또는 GHOST 레코드에서 MEMBERS 속성을 변경합니다.
    이 속성을 수정하려면 mem+ 또는 mem- 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
  • INETACL
    로컬 호스트가 클라이언트 호스트 그룹에 제공할 수 있는 서비스 및 해당 액세스 유형을 정의합니다. 액세스 제어 목록에 있는 각 요소는 다음 정보를 포함합니다.
    • 서비스 참조
      서비스에 대한 참조(포트 번호 또는 이름)입니다. 모든 서비스를 지정하려면 별표(*)를 서비스 참조로 입력하십시오.
      Privileged Access Manager Server Control
      은 /etc/rpc 파일(UNIX) 또는 \etc\rpc 파일(Windows)에 지정된 동적 포트 이름을 지원합니다.
    • 액세스
      접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
    INETACL 속성에서 접근자와 해당 액세스 유형을 수정하려면 authorize[-] 명령과 함께 access(
    type
    -
    of
    -
    access
    ), service 및 stationName 매개 변수를 사용합니다.
  • INSERVRNGE
    로컬 호스트가 클라이언트 호스트 그룹에 제공하는 서비스 범위를 지정합니다.
    INETACL 속성과 유사한 기능을 수행합니다.
    INSERVRANGE 속성에서 접근자와 해당 액세스 유형을 수정하려면 authorize[-] 명령과 함께 service(
    serviceRange
    ) 매개 변수를 사용하십시오.
  • OWNER
    레코드를 소유하는 사용자 또는 그룹을 정의합니다.
  • RAUDIT
    Privileged Access Manager Server Control
    이 감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은
    R
    esource
    AUDIT
    에서 온 것입니다. 유효한 값:
    • all
      모든 액세스 요청.
    • success
      허용된 액세스 요청.
    • failure
      거부된 액세스 요청(기본값).
    • none
      액세스 요청 없음.
    Privileged Access Manager Server Control
    는 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지 아니면 해당 리소스가 구성원으로 포함된 그룹이나 클래스에 적용되었는지는 기록하지 않습니다.
    chres 및 chfile 명령의 audit 매개 변수를 사용하여 감사 모드를 수정하십시오.
  • UPDATE_TIME
    (정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
  • UPDATE_WHO
    (정보) 업데이트를 수행한 관리자를 표시합니다.
  • WARNING
    경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 활성화되면 리소스에 대한 모든 액세스 요청이 허용됩니다. 액세스 요청이 액세스 규칙을 위반하는 경우 감사 로그에 레코드가 기록됩니다.
예:
제한된 원격 호스트에서 텔넷을 사용하여
Privileged Access Manager Server Control
 끝점으로 들어오는 연결을 방지합니다.
1 단계:
/etc/hosts에 원격 호스트(My_Remote_Host.example.com)를 추가합니다. 명령 프롬프트에서 다음 명령을 실행하십시오.
vi /etc/hosts
2 단계:
네트워크 차단을 위해서는 원격 호스트 주소를 사용하여 lookahead 데이터베이스 "ladb"를 올바르게 입력해야 합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 실행하십시오.
./sebuildla -h
3 단계:
명령 프롬프트에서 다음 명령을 실행하여 원격 호스트(My_Remote_Host.example.com)가 /etc/hosts에 추가되었는지 확인합니다.
./sebuildla -H
4 단계:
들어오는 텔넷 연결을 방지할 원격 호스트(My_Remote_Host.example.com)를 정의합니다.
5 단계:
원격 호스트(My_Remote_Host.example.com)에서 텔넷을 사용하여 들어오는 연결을 방지하는 규칙을 설정합니다.
AC> authorize HOST My_Remote_Host.example.com service(telnet) access(none)
6 단계:
원격 호스트에서 텔넷을 사용하여
Privileged Access Manager Server Control
 끝점에 연결을 시도합니다. 연결이 실패하지만 다른 연결은 영향을 받지 않습니다.
원격 호스트(My_Remote_Host.example.com)에서 들어오는 모든 유형의 연결을 거부하려면 다음 규칙을 설정하십시오.
AC> authorize HOST My_Remote_Host.example.com service(*) access(none)