SURROGATE 클래스
SURROGATE 클래스의 각 레코드는 다른 사용자들이 자신의 ID를 특정 사용자의 ID로 변경하려고 할 때 해당 사용자를 보호하는 제한을 정의합니다. 은 ID 변경 요청을 권한이 부여된 사용자만 액세스할 수 있는 추상 개체로 처리합니다.
cminder140kr
SURROGATE 클래스의 각 레코드는 다른 사용자들이 자신의 ID를 특정 사용자의 ID로 변경하려고 할 때 해당 사용자를 보호하는 제한을 정의합니다.
Privileged Access Manager Server Control
은 ID 변경 요청을 권한이 부여된 사용자만 액세스할 수 있는 추상 개체로 처리합니다.SURROGATE 클래스의 레코드는 surrogate 보호를 가진 각 사용자 또는 그룹을 나타냅니다. 두 개의 특수 레코드, 즉 USER._default와 GROUP._default는 개별 SURROGATE 레코드가 없는 사용자와 그룹을 나타냅니다. 사용자의 기본값과 그룹의 기본값을 구별할 필요가 없는 경우 SURROGATE 클래스에 대해 _default 레코드를 대신 사용할 수 있습니다.
참고:
대부분의 Windows 유틸리티와 서비스(예: 다음 계정으로 실행)는 이를 실행하는 원래 사용자가 아니라 NT AUTHORITY\SYSTEM
사용자로 식별됩니다. 이러한 유틸리티 및 서비스의 사용자가 다른 사용자를 가장하도록 허용하려면 Privileged Access Manager Server Control
데이터베이스에 이 SYSTEM 사용자를 만든 후 대상 사용자를 가장할 수 있는 권한을 부여해야 합니다.SURROGATE 클래스 레코드의 키는 SURROGATE 레코드의 이름입니다.
다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.- ACL리소스에 대해 액세스가 허용된 접근자(사용자 및 그룹) 목록 및 접근자의 액세스 유형을 정의합니다.ACL(액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
- CALACL리소스에 대한 액세스가 허용되는 접근자(사용자 및 그룹) 목록 및 해당 액세스 유형을 Unicenter NSM 달력 상태에 따라 정의합니다.CALACL(달력 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- CalendarUnicenter TNG의 달력에 대한 참조를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
달력 ACL에 정의된 액세스에 따라 사용자 또는 그룹에게 리소스에 대한 액세스를 허용하려면 calendar 매개 변수와 함께 권한 부여 명령을 사용하십시오. - CALENDARPrivileged Access Manager Server Control에서의 사용자, 그룹 및 리소스 제한을 위한 Unicenter TNG 달력 개체를 나타냅니다.Privileged Access Manager Server Control는 지정된 시간 간격으로 Unicenter TNG 활성 달력을 가져옵니다.
- CATEGORY사용자 또는 리소스에 할당된 하나 이상의 보안 범주를 정의합니다.
- COMMENT레코드에 포함할 추가 정보를 정의합니다.Privileged Access Manager Server Control은 권한 부여를 위해 이 정보를 사용하지 않습니다.제한:255자
- CREATE_TIME(정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
- DAYTIME접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.이 속성을 수정하려면 chres, ch[x]usr 또는 ch[x]grp 명령과 함께 restrictions 매개 변수를 사용하십시오.daytime restrictions의 확인은 1분입니다.
- GROUPS리소스 레코드가 소속되는 CONTAINER 레코드 목록을 정의합니다.클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 레코드에서 MEMBERS 속성을 변경해야 합니다.이 속성을 수정하려면 mem+ 또는 mem- 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- NACL리소스의NACL속성은 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의하는 액세스 제어 목록입니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자에게 거부되는 액세스 유형을 정의합니다.
- NOTIFY리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다.Privileged Access Manager Server Control은 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다.제한:30자
- OWNER레코드를 소유하는 사용자 또는 그룹을 정의합니다.
- PACL특정 프로그램(또는 이름 패턴이 일치하는 프로그램)이 액세스를 요청할 때 리소스에 대한 액세스가 허용되는 접근자 목록 및 해당 액세스 유형을 정의합니다. PACL(프로그램 액세스 제어 목록)의 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- ProgramPROGRAM 클래스의 레코드에 대한 참조를 명시적으로 정의하거나 와일드카드 패턴 일치를 사용하여 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.참고:PACL의 리소스를 지정하기 위해 와일드카드 문자를 사용할 수 있습니다.PACL에 프로그램, 접근자 및 해당 액세스 유형을 추가하려면 selang 권한 부여 명령과 함께 via(pgm) 매개 변수를 사용하십시오. PACL에서 접근자를 제거하려면 authorize- 명령을 사용하면 됩니다.
- RAUDITPrivileged Access Manager Server Control가 감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은ResourceAUDIT에서 온 것입니다. 유효한 값:
- all모든 액세스 요청.
- success허용된 액세스 요청.
- failure거부된 액세스 요청(기본값).
- none액세스 요청 없음.
- Privileged Access Manager Server Control는 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지 아니면 해당 리소스가 구성원으로 포함된 그룹이나 클래스에 적용되었는지는 기록하지 않습니다.
- SECLABEL사용자나 리소스의 보안 레이블을 정의합니다.참고:SECLABEL 속성은 chres 및 ch[x]usr 명령의 label[-] 매개 변수에 해당합니다.
- SECLEVEL접근자 또는 리소스의 보안 수준을 정의합니다.참고:이 속성은 ch[x]usr 및 chres 명령의 level[-] 매개 변수에 해당합니다.
- UACC리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은Privileged Access Manager Server Control에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 허용된 액세스를 나타냅니다.이 속성을 수정하려면 defaccess 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- UPDATE_TIME(정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
- UPDATE_WHO(정보) 업데이트를 수행한 관리자를 표시합니다.
- WARNING경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 활성화되면 해당 리소스에 대한 모든 액세스 요청이 허용되고, 액세스 요청이 액세스 규칙을 위반하는 경우 감사 로그에 레코드가 기록됩니다.
예 1:
SURROGATE 규칙을 통해 사용자 "john"이 "root" 사용자로 전환하여 권한 있는 작업을 수행하지 못하도록 하는 방법1 단계:
사용자 "john"을 생성합니다.AC> nu john pass(john)
2 단계:
사용자 "John"으로부터 "root"를 보호하는 SURROGATE 규칙을 작성합니다.AC> er SURROGATE USER.root owner(root) defacc(r)AC> auth SURROGATE USER.root uid(john) access(n)
3 단계:
"john"이 "su"를 사용하여 root로 전환할 수 있는지 확인합니다.이 SURROGATE 규칙은 "john"이 "root" 계정으로 전환하지 못하도록 제한합니다.
예 2:
SURROGATE 규칙을 통해 사용자 "smith"가 다른 사용자 "john"으로 전환하지 못하도록 하는 방법1 단계:
사용자 "smith"를 생성합니다.AC> nu smith pass(smith)
2 단계:
사용자 "john"을 생성합니다. AC> nu john pass(john)
3 단계:
"smith"로부터 "john"을 보호하는 SURROGATE 규칙을 작성합니다.AC> er SURROGATE USER.john owner(john) defacc(r)AC> auth SURROGATE USER.john uid(smith) access(n)
4 단계:
"smith"가 "su"를 사용하여 "john"으로 전환할 수 있는지 확인합니다.이 SURROGATE 규칙은 "smith"가 "john" 계정으로 전환하지 못하도록 제한합니다.
예 3:
SURROGATE 규칙을 사용하여 사용자 그룹 보호1 단계
: 그룹 "finance"를 생성합니다.AC> ng finance unix
2 단계:
그룹 "engineering"을 생성합니다.AC> ng engineering unix
3 단계:
사용자 "john"을 생성하고 이 사용자를 'finance' 그룹에 포함합니다.AC> nu john pass(john)AC> eu john unix pgroup(finance)
4 단계:
사용자 "smith"를 생성하고 이 사용자를 'engineering' 그룹에 포함합니다.AC> nu smith pass(smith)AC> eu smith unix pgroup(engineering)
5 단계:
"engineering" 그룹의 사용자가 "finance" 그룹의 사용자로 전환하지 못하도록 합니다.AC> er SURROGATE GROUP.finance defacc(r)AC> auth SURROGATE GROUP.finance gid(engineering) access(n)
6 단계:
"engineering"의 사용자 "smith"로 로그인한 후 "finance" 그룹의 사용자 "john"으로 전환을 시도합니다. 그러면 SURROGATE 규칙으로 인해 액세스가 거부됩니다.엔터프라이즈 환경에서 SURROGATE 정책을 구현하는 가장 좋은 방법은 /opt/CA/AccessControl/bin/sesu 프로그램을 통한 액세스 권한과 함께 SURROGATE 규칙을 생성하는 것입니다.
원래 'su' 프로그램은 별도의 위치에 백업되고 /opt/CA/AccessControl/bin/sesu에 대한 링크로 만들어집니다. 이 방법을 사용하면 사용자가 'sesu' 프로그램을 통해서만 다른 계정으로 전환하도록 할 수 있습니다. 이렇게 구현된 경우 예 1은 다음과 같이 변경되어 모든 사용자가 'sesu' 프로그램을 통해 'root'로 전환할 수 있도록 허용되며 사용자 "john"이 root로 전환하기 위한 액세스는 명시적으로 거부됩니다.
AC> SURROGATE USER.root owner(root) defacc(n)AC> auth SURROGATE USER.root uid(*) via(pgm(/opt/CA/AccessControl/bin/sesu))AC> auth SURROGATE USER.root uid(john) access(n)