authorize 명령 - 리소스에 대한 액세스 권한 설정
AC 환경에 해당
cminder12901kr
AC 환경에 해당
접근자의 access authorities를 리소스로 변경하려면 권한 부여 명령을 사용하십시오.
이 명령은 리소스와 연결된 액세스 제어 목록을 수정합니다. 이 명령은 액세스 제어 목록의 항목을 한 번에 하나만 변경합니다.
접근자가 리소스에 액세스하려고 시도하면
Privileged Identity Manager
는 해당 액세스 제어 목록을 검사하여 액세스 권한을 확인합니다. 이러한 액세스 제어 목록은 리소스 레코드에 있는 목록을 포함하며, 리소스 그룹 레코드에 있는 액세스 제어 목록도 포함할 수 있습니다. 리소스가 속한 NACL에서 접근자의 액세스 권한이 거부되면, 다른 ACL에서 권한이 승인되더라도 해당 접근자의 권한은 거부됩니다.리소스 소유자는 항상 리소스에 대해 모든 액세스 권한을 갖습니다. 소유자인 사용자의 액세스 권한을 변경하려면 새로운 소유자(예: 사용자 nobody)를 갖도록 리소스를 변경하십시오.
참고:
이 명령은 Windows 환경에도 있지만 작동 방식이 다릅니다.권한 부여 명령을 사용하려면 충분한 권한이 있어야 합니다. 즉, 다음 중 하나 이상이 충족되어야 합니다.
- 사용자가 ADMIN 특성을 가집니다.
- 리소스가 구성원으로 속한 리소스 그룹에 대해 GROUP-ADMIN 특성을 가집니다.
- 사용자가 리소스의 소유자입니다.
- 리소스에 해당하는 ADMIN 클래스 레코드에서 사용자가 수정 액세스 권한을 가집니다.
권한 부여 명령의 형식은 클래스 집합에 따라 다릅니다. 이러한 집합은 다음과 같습니다.
- TCP
- HOST, GHOST, HOSTNET, HOSTNP
- 모든 다른 클래스
TCP 클래스에 대한 이 명령의 형식은 다음과 같습니다.
{authorize|auth} TCP tcpServiceName \ [{access|deniedaccess}(accessType)] \ {[ghost(ghostName [,ghostName]...)] | \ [host(hostName [,hostName]...)] | \ [hostnet(hostNetName [,hostNetName]...)] | \ [hostnp(hostNamePattern [,hostNamePattern]...)]} \ [{gid|uid|xgid|xuid}(accessor [,accessor]...])] ...
HOST, GHOST, HOSTNET 및 HOSTNP 클래스에 대한 이 명령의 형식은 다음과 같습니다.
{authorize|auth} {HOST|GHOST|HOSTNET|HOSTNP} stationName [{access|deniedaccess}(accessType)] \ service({serviceName|serviceNumber|serviceNumberRange}) [BUSINESS IMPACT] N/A [ENVIRONMENT] N/A [TROUBLESHOOTING] N/A [REPRODUCTION STEPS] N/A [IF NOT A SUSPECTED DEFECT, WHAT IS THE REASON FOR TRANSFER TO L2?] N/A [ATTACHMENTS] N/A
다른 모든 클래스에 대한 이 명령의 형식은 다음과 같습니다.
{authorize|auth} classNameresourceName \ [{access|deniedaccess}(accessType)] \ [calendar(calendarName)] \ [{unix|nt}]\ [via (pgm ( program [,program]...))] \ { gid | uid | xgid | xuid}(accessor [,accessor...]) ...
- access (accessType)리소스 ACL 액세스 제어 목록에서 액세스 권한 항목을 정의합니다. 이 ACL은 접근자에게 허용할 액세스 권한을 지정합니다.
- accessType리소스 ACL에서 액세스 유형(예: 읽기 또는 쓰기)을 정의합니다.
참고:권한 부여 명령에서 액세스(accessType) 옵션과 거부된 액세스(accessType) 옵션을 모두 생략하면Privileged Identity Manager는 리소스 클래스의 UACC 클래스에서(예: 리소스가 파일인 경우 UACC 파일 레코드에서) 레코드의 암시적 액세스 속성에 의해 지정된 액세스를 할당합니다. - calendar(calendarName)액세스 권한 결정에 사용할 달력을 지정합니다.
- classNameresourceName이 속해 있는 클래스를 정의합니다.
- deniedaccess(accessType)NACL 리소스에서 액세스 권한을 변경합니다. NACL은 접근자에 대해 거부되는 액세스 유형을 지정합니다.
- accessType거부할 액세스 유형(예: 읽기 또는 쓰기)을 지정합니다.
- gid (accessor[,accessor...])액세스 권한을 설정할 하나 이상의 내부 그룹을 정의합니다.
- ghost(ghostName [,ghostName]...)TCP/IP 서비스에 대한 액세스 권한을 설정할 하나 이상의 그룹 호스트를 정의합니다.
- host(hostName [,hostName]...)TCP/IP 서비스에 대한 액세스 권한을 설정할 하나 이상의 호스트를 정의합니다.
- hostnet(hostNetName [,hostNetName]...)TCP/IP 서비스에 대한 액세스 권한을 설정할 하나 이상의 HOSTNET 레코드를 정의합니다.
- hostnp(hostNamePattern [,hostNamePattern]...)TCP/IP 서비스에 대한 액세스 권한을 설정할 하나 이상의 HOSTNP 레코드를 정의합니다.
- ntWindows에서 시스템 ACL에 값을 추가할지 여부를 지정합니다.FILE 클래스에만 해당.
- resourceName액세스 제어 목록을 수정하고 있는 리소스 레코드를 정의합니다.
- service(serviceName|serviceNumber|serviceNumberRange)로컬 호스트가 원격 호스트에 제공하도록 허용되는 서비스를 정의합니다.serviceNumber |serviceNumberRange서비스 번호 또는 범위를 정의합니다.범위는 -(하이픈)으로 구분된 두 개의 정수(예: 1-99)로 지정하십시오.제한:정수의 범위는 0 ~ 65535입니다.
- stationName표시된 클래스 내의 레코드 이름을 다음과 같이 지정합니다.
- HOST- 단일 스테이션의 이름
- GHOST- ghost 명령으로 데이터베이스에 정의된 호스트 그룹의 이름
- HOSTNET- IP 주소의 mask 값과 match 값의 집합으로 정의된 호스트 그룹의 이름
- HOSTNP- 이름 패턴으로 정의된 호스트 그룹의 이름
- tcpServiceName액세스 권한을 설정 중인Privileged Identity ManagerTCP 서비스 레코드를 지정합니다.
- uid (accessor[,accessor...])액세스 권한을 설정할 하나 이상의 내부 사용자를 정의합니다.모든 내부 사용자를 나타내려면 *를 사용할 수 있습니다.
- unixUNIX에서 시스템 ACL에 값을 추가할지 여부를 지정합니다.ACL을 지원하는 UNIX 환경 및 FILE 클래스의 레코드에만 해당됩니다.
- via(pgm(programName [,programName]...))조건부 프로그램 액세스를 위한 하나 이상의 프로그램을 정의합니다. via 매개 변수는 리소스의 PACL에 항목을 지정합니다.programName은 리소스에 액세스할 수 있는 프로그램을 지정합니다. programName에는 와일드카드 문자를 포함할 수 있습니다. 하나의 프로그램이 PACL의 여러 항목과 일치하면, 와일드카드 이외의 일치 중 가장 긴 일치가 있는 항목이 우선권을 갖습니다.programName이 PROGRAM 클래스에 정의되지 않은 프로그램이나 셸 스크립트를 지정하는 경우,Privileged Identity Manager는 자동으로 PROGRAM 레코드를 만들어서 프로그램이나 셸 스크립트를 보호합니다.
- xgid (accessor[,accessor...])액세스 권한을 설정할 하나 이상의 엔터프라이즈 그룹을 정의합니다.
- xuid (accessor[,accessor...])액세스 권한을 설정할 하나 이상의 엔터프라이즈 사용자를 정의합니다.
예: Angela에게 파일 읽기 권한 부여
다음의 selang 명령은 엔터프라이즈 사용자 Angela에게 FILE 리소스 /projects/secrets로 보호된 파일을 읽을 수 있는 권한을 부여합니다.
auth FILE /projects/secrets xuid(Angela) access(read)
예: Angela에게만 파일 읽기 권한 부여
다음의 selang 명령은 다른 사용자가 아닌 오직 엔터프라이즈 사용자 Angela에게만 FILE 리소스 /projects/secrets로 보호된 파일을 읽을 수 있는 권한을 부여합니다.
auth FILE /projects/secrets xuid(Angela) access(read) auth FILE /projects/secrets defaccess (none) chres FILE /projects/secrets owner(nobody)
참고:
UNIX에서 사용자가 파일에 대한 정보를 얻는 작업(예: ls -l)을 수행할 수 있는지 여부를 제어하기 위해 read
권한이 필요한 경우, STAT_intercept 구성 설정을 1로 설정하십시오. 자세한 내용은 참조 안내서
를 참조하십시오.예: 그룹의 모든 사용자에게 터미널이 로그인할 권한 부여
다음의 selang 명령은 엔터프라이즈 그룹 RESEARCH의 모든 구성원에게 TERMINAL 리소스
tty10
으로 보호되는 터미널에 로그인할 권한을 부여합니다.auth TERMINAL tty10 xgid(RESEARCH) access(read)
예: Joe에게 파일 백업 권한 부여
다음의 selang 명령은 엔터프라이즈 사용자 Joe에게 GFILE 리소스 secret_files로 보호되는 파일의 백업 권한을 부여합니다.
auth GFILE secret_files xuid(Joe) \ via(pgm(/bin/backup)) access(read)
Windows 끝점에서 사용할 수 있는 이와 동일한 명령은 다음과 같습니다.
auth GFILE secret_files xuid(Joe) \ via(pgm(C:\WINDOWS\system32\ntbackup.exe)) access(read)
Joe의 액세스 권한이 리소스의 ACL 또는 NACL에 의해 결정되지 않은 경우에만 이러한 명령이 효과가 있습니다.