TERMINAL 클래스

TERMINAL 클래스의 각 레코드는 로컬 호스트의 터미널, 네트워크의 다른 호스트 또는 로그인 세션이 작성될 수 있는 X 터미널을 정의합니다. 또한 레코드는 와일드카드를 사용하여 터미널 이름 또는 IP 주소 패턴과 일치하는 터미널을 정의합니다. 사용자 로그인 프로시저 중 터미널 권한을 확인하여 사용자가 사용할 수 있는 권한이 없는 터미널에서 로그인할 수 없도록 합니다.
cminder140kr
TERMINAL 클래스의 각 레코드는 로컬 호스트의 터미널, 네트워크의 다른 호스트 또는 로그인 세션이 작성될 수 있는 X 터미널을 정의합니다. 또한 레코드는 와일드카드를 사용하여 터미널 이름 또는 IP 주소
패턴
과 일치하는 터미널을 정의합니다. 사용자 로그인 프로시저 중 터미널 권한을 확인하여 사용자가 사용할 수 있는 권한이 없는 터미널에서 로그인할 수 없도록 합니다.
TERMINAL 클래스는 관리 액세스도 제어합니다. 적절한 액세스 권한을 가진 터미널에서
Privileged Access Manager Server Control
를 관리할 수 있는 사용자는 ADMIN 사용자뿐입니다.
새 TERMINAL 레코드를 정의하면
Privileged Access Manager Server Control
는 사용자가 제공하는 이름을 정규화된 이름으로 변환하려고 시도합니다. 변환이 되면 데이터베이스에 정규화된 이름을 저장합니다. 변환이 실패하면 지정된 이름을 저장합니다. 이 레코드를 참조하는 후속 명령(
chres
,
showres
,
rmres
, authorize 등)을 실행할 때 데이터베이스에 나타나는 이름을 사용하십시오.
TERMINAL 레코드의 키는 터미널의 이름입니다. 이 이름은
Privileged Access Manager Server Control
에서 터미널을 식별합니다.
다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.
  • ACL
    리소스에 대해 액세스가 허용된 접근자(사용자 및 그룹)와 접근자 액세스 유형의 목록을 정의합니다. ACL(액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
    • 접근자
      접근자를 정의합니다.
    • 액세스
      접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
    ACL을 수정하려면 authorize 또는 authorize- 명령과 함께 access 매개 변수를 사용하십시오.
  • RAUDIT
    Privileged Access Manager Server Control
    가 감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은
    R
    esource
    AUDIT
    에서 온 것입니다. 유효한 값:
    • all
      모든 액세스 요청
    • success
      허용된 액세스 요청
    • failure
      거부된 액세스 요청(기본값).
    • none
      액세스 요청 없음
    Privileged Access Manager Server Control
    는 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지 아니면 해당 리소스가 구성원으로 포함된 그룹이나 클래스에 적용되었는지는 기록되지 않습니다.
    감사 모드를 수정하려면
    chres
     및
    chfile
    명령의 audit 매개 변수를 사용하십시오.
  • CALACL
    리소스에 대한 액세스가 허용되는 접근자(사용자 및 그룹) 목록 및 해당 액세스 유형을 Unicenter NSM 달력 상태에 따라 정의합니다.
    CALACL(달력 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
    • 접근자
      접근자를 정의합니다.
    • Calendar
      Unicenter TNG의 달력에 대한 참조를 정의합니다.
    • 액세스
      접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
    액세스는 달력이 ON일 때만 허용되고, 다른 모든 경우에는 액세스가 거부됩니다.
    달력 ACL에 정의된 액세스에 따라 사용자 또는 그룹에게 리소스에 대한 액세스를 허용하려면 calendar 매개 변수와 함께 권한 부여 명령을 사용하십시오.
  • CALENDAR
    Privileged Access Manager Server Control
    에서의 사용자, 그룹 및 리소스 제한을 위한 Unicenter TNG 달력 개체를 나타냅니다.  
    Privileged Access Manager Server Control
    는 지정된 시간 간격으로 Unicenter TNG 활성 달력을 가져옵니다.
  • CATEGORY
    사용자 또는 리소스에 할당된 하나 이상의 보안 범주를 정의합니다.
  • COMMENT
    레코드에 포함할 추가 정보를 정의합니다.  
    Privileged Access Manager Server Control
    은 권한 부여를 위해 이 정보를 사용하지 않습니다.
    제한:
    255자
  • CREATE_TIME
    (정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
  • DAYTIME
    접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다. 이 속성을 수정하려면
     chres
    ,
    ch[x]usr
    또는
    ch[x]grp
    명령과 함께 restrictions 매개 변수를 사용하십시오.
    daytime restrictions의 확인은 1분입니다.
  • GROUPS
    리소스 레코드가 속하는 GTERMINAL 또는 CONTAINER 레코드 목록입니다.
    TERMINAL 클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 또는 GTERMINAL 레코드에서 MEMBERS 속성을 변경하십시오.
    이 속성을 수정하려면
    chres
    ,
    editres
    또는
    newres 
    editres, or명령과 함께
    mem+
    또는
    mem-
    매개 변수를 사용하십시오.
  • NACL
    리소스의
    NACL
    속성은 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의하는 액세스 제어 목록입니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.
    • 접근자
      접근자를 정의합니다.
    • 액세스
      접근자에게 거부되는 액세스 유형을 정의합니다.
    이 속성을 수정하려면
    deniedaccess
    명령이나 authorize-
    deniedaccess-
    명령을 사용하십시오.
  • NOTIFY
    리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다.  
    Privileged Access Manager Server Control
    은 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다
    .
    제한:
    30자
  • OWNER
    레코드를 소유하는 사용자 또는 그룹을 정의합니다.
  • PACL
  • 특정 프로그램(또는 이름 패턴이 일치하는 프로그램)이 액세스를 요청할 때 리소스에 대한 액세스가 허용되는 접근자 목록 및 해당 액세스 유형을 정의합니다. PACL(프로그램 액세스 제어 목록)의 각 요소는 다음 정보를 포함합니다.
    • 접근자
      접근자를 정의합니다.
    • Program
      PROGRAM 클래스의 레코드에 대한 참조를 명시적으로 정의하거나 와일드카드 패턴 일치를 사용하여 정의합니다.
    • 액세스
      접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
      참고:
      PACL의 리소스를 지정하기 위해 와일드카드 문자를 사용할 수 있습니다.
PACL에 프로그램, 접근자 및 해당 액세스 유형을 추가하려면 selang 권한 부여 명령과 함께 via(
pgm
) 매개 변수를 사용하십시오. PACL에서 접근자를 제거하려면 authorize- 명령을 사용하면 됩니다.
  • SECLABEL
    사용자나 리소스의 보안 레이블을 정의합니다.
    참고:
    SECLABEL 속성은
    chres
    ch[x]usr
    명령의 label[-] 매개 변수에 해당합니다.
  • SECLEVEL
    접근자 또는 리소스의 보안 수준을 정의합니다.
    참고:
    이 속성은
    ch[x]usr
    chres
    명령의 level[-] 매개 변수에 해당합니다.
  • UACC
    리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은
    Privileged Access Manager Server Control
    에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 액세스가 허용됨을 나타냅니다.
    이 속성을 수정하려면
    chres
    ,
    editres
    또는
    newres
    명령과 함께
    defaccess
    매개 변수를 사용하십시오.
  • UPDATE_TIME
    (정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
  • UPDATE_WHO
    (정보) 업데이트를 수행한 관리자를 표시합니다.
  • WARNING
    경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 설정되어 있으면 리소스에 대한 모든 액세스 요청이 허가됩니다. 액세스 요청이 액세스 규칙을 위반하는 경우 감사 로그에 레코드가 기록됩니다.
예 1:
이 예에서는 Unix/Linux 끝점에서 TERMINAL 클래스를 사용하여 로컬 호스트의 터미널에서 Selang에 액세스할 수 있는 권한을 사용자에게 부여하는 방법을 보여 줍니다. 
1 단계
: 사용자 "John"을 생성합니다.
AC> eu John password(John_Pwd)
2 단계
: 동일한 로컬 호스트의 다른 터미널에 "John" 사용자로 로그인하고 Selang 명령 실행을 시도합니다. 기본적으로 모든 사용자는 Selang에 액세스할 수 있는 권한이 없기 때문에 John은 Selang에 액세스하지 못합니다.
ERROR: Initialization failed, EXITING!
(localhost)
ERROR: Login procedure failed
ERROR: You are not allowed to administer this site from terminal MyLocalHost.sample.com
3 단계
: 슈퍼 사용자(root)가 TERMINAL 클래스를 사용하여 로컬 호스트의 터미널에서 Selang에 액세스할 수 있는 권한을 "John"에게 부여하는 정책을 생성합니다.
AC> authorize TERMINAL MyLocalHost.sample.com uid(John) access(r w) (localhost)
4 단계
: John이 로컬 호스트의 터미널에서 Selang에 액세스를 시도하여 성공합니다.
MyLocalHost.sample.com:~> /opt/CA/AccessControl/bin/selang
CA ControlMinder selang v12.81.0.2606 - CA ControlMinder command line interpreter
Copyright (c) 2013 CA. All rights reserved.
예 2:
이 예에서는 Unix/Linux 끝점에서 TERMINAL 클래스를 사용하여 네트워크에 있는 다른 호스트의 터미널에서 Selang에 액세스할 수 있는 권한을 사용자에게 부여하는 방법을 보여 줍니다. 
1 단계
: 로컬 호스트(MyLocalHost.sample.com)에서 root 사용자가 네트워크의 다른 호스트(AnotherHost.sample.com)에 로그인합니다.
[email protected]'s password:
 
# id
uid=0(root) gid=0(system) groups=2(bin),3(sys),7(security),8(cron),10(audit),11(lp)
 
# hostname
2 단계
: root 사용자가 Selang에 액세스하고, 네트워크의 다른 호스트(AnotherHost.sample.com)에서 사용자 "John"을 생성합니다.
# ./opt/CA/AccessControl/bin/selang
 
AC> eu John password(John_pwd)
 
3 단계
: 로컬 호스트(MyLocalHost.sample.com)에서 John 사용자가 터미널을 열고 네트워크의 다른 호스트(AnotherHost.sample.com)에 로그인한 후 Selang에 액세스를 시도하지만 실패합니다.
[email protected]'s password:
 
$ id
uid=203(John) gid=1(staff)
 
$ hostname
$ /opt/CA/AccessControl/bin/selang
 
ERROR: Initialization failed, EXITING!
(localhost)
ERROR: Login procedure failed
ERROR: You are not allowed to administer this site from terminal AnotherHost.sample.com
4 단계
: root 사용자가 John에게 네트워크의 다른 터미널에서 Selang 명령을 실행할 수 있는 권한을 부여합니다.
AC> authorize terminal AnotherHost.sample.com uid(John) access(r w) 
5 단계
: 이제 John이 네트워크의 다른 터미널에서 Selang 명령을 실행할 수 있습니다.
$ /opt/CA/AccessControl/bin/selang
CA ControlMinder selang v12.81.0.2690 - CA ControlMinder command line interpreter
Copyright (c) 2013 CA. All rights reserved.