HOSTNET 클래스

HOSTNET 클래스의 각 레코드는 특정 네트워크의 호스트 그룹을 정의합니다. HOSTNET 레코드는 IPv4 통신을 사용할 때 그룹의 다른 호스트가 로컬 호스트에 대해 갖는 액세스를 제어하는 규칙을 정의합니다.
cminder140kr
HOSTNET 클래스의 각 레코드는 특정 네트워크의 호스트 그룹을 정의합니다. HOSTNET 레코드는 IPv4 통신을 사용할 때 그룹의 다른 호스트가 로컬 호스트에 대해 갖는 액세스를 제어하는 규칙을 정의합니다.
참고:
IP 통신에 대한
Privileged Access Manager Server Control
액세스 규칙은 IPv4에만 적용됩니다. CA Privileged Access Manager Server Control은 IPv6에 의한 액세스를 제어하지 않습니다.
INMASKMATCH는 HOSTNET 레코드의 영향을 받는 다른 호스트를 지정합니다. INETACL 속성은 로컬 호스트가 다른 호스트에게 제공할 수 있는 서비스를 정의합니다.
HOSTNET 클래스 레코드의 키는 HOSTNET 레코드의 이름입니다.
다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.
  • COMMENT
    레코드에 포함할 추가 정보를 정의합니다.
    Privileged Access Manager Server Control
    은 권한 부여를 위해 이 정보를 사용하지 않습니다.
    제한:
    255자
  • CREATE_TIME
    (정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
  • DAYTIME
    접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.
    이 속성을 수정하려면 chres, ch[x]usr 또는 ch[x]grp 명령과 함께 restrictions 매개 변수를 사용하십시오.
    daytime restrictions의 확인은 1분입니다.
  • GROUPS
    리소스 레코드가 소속되는 CONTAINER 레코드 목록을 정의합니다.
    클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 레코드에서 MEMBERS 속성을 변경해야 합니다.
    이 속성을 수정하려면 mem+ 또는 mem- 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
  • INETACL
    로컬 호스트가 클라이언트 호스트 그룹에 제공할 수 있는 서비스 및 해당 액세스 유형을 정의합니다. 액세스 제어 목록에 있는 각 요소는 다음 정보를 포함합니다.
    • 서비스 참조
      서비스에 대한 참조(포트 번호 또는 이름)입니다. 모든 서비스를 지정하려면 별표(*)를 서비스 참조로 입력하십시오.
      Privileged Access Manager Server Control
      은 /etc/rpc 파일(UNIX) 또는 \etc\rpc 파일(Windows)에 지정된 동적 포트 이름을 지원합니다.
    • 액세스
      접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
    INETACL 속성에서 접근자와 해당 액세스 유형을 수정하려면 authorize[-] 명령과 함께 access(
    type
    -
    of
    -
    access
    ), service 및 stationName 매개 변수를 사용합니다.
  • INSERVRNGE
    로컬 호스트가 클라이언트 호스트 그룹에 제공하는 서비스 범위를 지정합니다.
    INETACL 속성과 유사한 기능을 수행합니다.
    INSERVRANGE 속성에서 접근자와 해당 액세스 유형을 수정하려면 authorize[-] 명령과 함께 service(
    serviceRange
    ) 매개 변수를 사용하십시오.
  • INMASKMATCH
    이 HOSTNET 레코드가 적용되는 호스트 그룹을 정의합니다. 속성에는 마스크 값과 일치 값이 포함되며, 이러한 값은 요청 호스트가 그룹에 속하는지 여부를 결정하기 위해 요청 호스트의 IP 주소에 적용됩니다.
    INMASKMATCH 속성은 IPv4 형식의 주소만 지원합니다.
    참고:
    이 속성은 chres 명령의 mask 및 match 매개 변수에 해당합니다.
  • OWNER
    레코드를 소유하는 사용자 또는 그룹을 정의합니다.
  • RAUDIT
    Privileged Access Manager Server Control
    이 감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은
    R
    esource
    AUDIT
    에서 온 것입니다. 유효한 값:
    • all
      모든 액세스 요청.
    • success
      허용된 액세스 요청.
    • failure
      거부된 액세스 요청(기본값).
    • none
      액세스 요청 없음.
    Privileged Access Manager Server Control
    는 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지 아니면 해당 리소스가 구성원으로 포함된 그룹이나 클래스에 적용되었는지는 기록하지 않습니다.
    chres 및 chfile 명령의 audit 매개 변수를 사용하여 감사 모드를 수정하십시오.
  • UPDATE_TIME
    (정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
  • UPDATE_WHO
    (정보) 업데이트를 수행한 관리자를 표시합니다.
  • WARNING
    경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 활성화되면 해당 리소스에 대한 모든 액세스 요청이 허용되고, 액세스 요청이 액세스 규칙을 위반하는 경우 감사 로그에 레코드가 기록됩니다.
예:
지정된 서브넷의 원격 호스트에서
Privileged Access Manager Server Control
 끝점으로 들어오는 연결 방지
1 단계:
/etc/hosts에 원격 호스트를 추가합니다. 명령 프롬프트에서 다음 명령을 실행하십시오.
vi /etc/hosts
2 단계:
네트워크 차단을 위해서는 원격 호스트 주소를 사용하여 lookahead 데이터베이스 "ladb"를 올바르게 입력해야 합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 실행하십시오.
./sebuildla -h
3 단계:
명령 프롬프트에서 다음 명령을 실행하여 원격 호스트가 /etc/hosts에 추가되었는지 확인합니다.
./sebuildla -H
4 단계:
특정 규칙을 생성합니다. 'engineering'은 엔지니어링 부서에 속하는 서브넷(10.131.33)의 호스트 그룹을 정의한다고 가정합니다. 규칙에 따라 IP 주소(10.131.33.*)에서 들어오는 모든 연결은 'Mask' 값을 사용하는 것으로 간주됩니다.
AC> nr HOSTNET engineering mask(255.255.255.0) match(10.131.33.0)
5 단계:
특정 서브넷의 원격 호스트에서 텔넷을 사용하여 들어오는 연결을 방지하는 규칙을 설정합니다.
AC> authorize HOSTNET engineering service(telnet) access(none)
6 단계:
서브넷 내의 원격 호스트에서 텔넷을 사용하여
Privileged Access Manager Server Control
 끝점에 연결을 시도합니다. 연결이 실패하지만 다른 연결은 영향을 받지 않습니다.
특정 서브넷 내의 원격 호스트에서 들어오는 모든 유형의 연결을 거부하려면 다음 규칙을 설정합니다.
AC> authorize HOSTNET engineering service(*) access(none)