setoptions 명령 - 옵션 설정

AC 환경에 해당
cminder12901kr
AC 환경에 해당
setoptions 명령은 실행 중인 시스템에서 시스템 전반의
Privileged Identity Manager
옵션을 설정합니다. 예를 들면 setoptions를 사용하여 각 클래스 또는 모든 클래스에 대한 보안 검사를 활성화 또는 비활성화하고, 암호 정책을 설정하고,
Privileged Identity Manager
옵션의 현재 설정을 나열할 수 있습니다.
참고:
이 명령은 Windows 환경에도 있지만 작동 방식이 다릅니다.
setoptions 명령을 사용하려면 ADMIN 특성이 필요합니다. 단, setoptions list 명령을 사용하려면 AUDITOR 또는 OPERATOR 특성만 있어도 됩니다.
이 명령의 형식은 다음과 같습니다.
{setoptions|so} \
[accgrr|accgrr-] \ [accpacl|accpacl-] \ [ac_id(id)] \ [class+ (className)] \ [class- (className)] \ [class (className)] \ [flags{+|-} (I|W)] \ [cng_adminpwd|cng_adminpwd-] \ [cng_ownpwd|cng_ownpwd-] \ [cwarnlist] \ [dms{+|-}(dms@hostname)] \ [inactive(nDays)|inactive-] \ [is_dms{+|-}] \ [list] \ [maxlogins(nLogins)|maxlogins-] \ [password( \[{history(nStoredPasswords) | history-}] \[(interval(nDays) | interval-)] \[(min_life(nDays) | min_life-)] \[{rules( \ [alpha(nCharacters)] \ [alphanum(nCharacters)] \ [(bidirectional) | (bidirectional-)] \ [grace(nLogins)] \ [lowercase(nCharacters)] \ [min_len(nCharacters)] [max_len(nCharacters)] \ [max_rep(nCharacters)] \ [{namechk|namechk-}] [numeric(nCharacters)] \ [{oldpwchk|oldpwchk-}] [prohibited(prohibitedCharacters)] \ [special(nCharacters)] \ [sub_str_len(nCharacters)] \ [uppercase(nCharacters)] \ [use_dbdict|use_dbdict-] \)|rules-}] \ )] \
  • accgrr
    ACCGRR(누적 그룹 권한) 옵션을 활성화합니다.
    기본값은 enabled입니다.
  • accgrr-
    ACCGRR(누적 그룹 권한) 옵션을 비활성화합니다.
  • accpacl
    모든 리소스에서 PACL의 사용을 활성화합니다.
  • accpacl-
    PACL의 사용을 비활성화합니다.
  • ac_id(id)
    로컬
    Privileged Identity Manager
    데이터베이스 및 DMS에 저장된 끝점(HNODE 개체)에 대해 고유 ID를 정의합니다. 이 ID를 사용하여 HNODE를 식별할 수 있으므로 끝점의 IP 주소 또는 이름을 변경해도 고급 정책 관리 기능이 영향을 받지 않으며 여전히 끝점을 추적할 수 있습니다.
  • class (
    className
    )
    클래스에 대한 설정을 설정 또는 삭제합니다.
  • class+(
    className
    )
    하나 이상의 클래스를 활성화합니다. 이 클래스의 리소스를 보호하려면 해당 클래스가 활성화되어야 합니다. 클래스에 속한 리소스에 대한 액세스를 허용하기 위해 필요한 레코드를 정의한 후에만 클래스를 활성화해야 합니다.
    Privileged Identity Manager
    와 함께 제공되는 리소스 클래스에 대한 자세한 내용은
    UNIX용 끝점 관리 안내서
    를 참조하십시오.
    다음 값 중 하나를 사용하십시오.
    • 클래스의 이름
    • SECLEVEL. 보안 수준 검사를 활성화합니다.
    • PASSWORD. 암호 규칙을 활성화합니다. Windows에서는 임의로 긴 암호도 활성화합니다.
  • class-(
    className
    )
    하나 이상의 클래스를 비활성화합니다. 비활성화된 클래스에 속한 리소스는 보호되지 않습니다. 다음 값 중 하나를 사용하십시오.
    • 클래스의 이름
    • SECLEVEL. 보안 수준 검사를 비활성화합니다.
    • PASSWORD. 암호 규칙을 비활성화합니다. Windows에서 이 값은 긴 암호도 비활성화합니다.
    GROUP, SECFILE, SEOS, UACC 및 USER 클래스는 비활성화할 수 없습니다.
  • cng_adminpwd
    PWMANAGER 특성이 있는 사용자가 ADMIN 사용자의 암호를 변경할 수 있도록 합니다.
  • cng_adminpwd-
    PWMANAGER 특성이 있는 사용자가 ADMIN 사용자의 암호를 변경할 수 없도록 합니다. 이것이 기본 설정입니다.
  • cng_ownpwd
    사용자가 selang을 통해 자신의 암호를 변경할 수 있습니다.
  • cng_ownpwd-
    사용자가 selang을 통해 자신의 암호를 변경할 수 없습니다. 이것이 기본 설정입니다.
  • cwarnlist
    클래스가 경고 모드에 있는 데이터를 포함하는 테이블을 표시합니다.
  • dms{+|-}(
    dms
    @
    hostname
    )
    이 데이터베이스에 대한 DMS 데이터베이스의 목록에서 DMS 데이터베이스를 추가 또는 제거합니다.
  • flags{+|-} (I|W)
    클래스와 관련된 기능을 설정 또는 삭제합니다. 유효한 값:
    • I
      지정된 클래스의 개체에 대한 대소문자 구분
      참고
      I 플래그를 설정하기 전에 같은 이름을 사용하는 리소스가 있는지 확인하십시오. 대소문자 구분 없이 이름이 같은 리소스가 여러 개인 경우 다시 시작할 때 데이터베이스 오류가 발생합니다. I 플래그 변경을 적용하려면
      Privileged Identity Manager
      를 다시 시작하십시오.
    • W
      지정된 클래스에 대한 경고 모드
    참고:
    플래그는 대소문자를 구분합니다. 대문자를 사용하십시오.
  • history(
    NStoredPasswords
    )
    기록 목록에 저장되는 이전 암호 수를 지정합니다. 암호가 변경되면 이전 암호는 이 목록에 추가되며, 가장 오래된 암호는 필요에 따라 목록에서 제거됩니다.
    Privileged Identity Manager
    는 사용자가 자신의 암호를 이 목록에 있는 암호로 변경하지 못하게 합니다.
    1 - 24 사이의 정수를 입력하십시오. 0을 지정하면 암호가 하나도 저장되지 않습니다.
    Windows에서는 history 옵션이 8자보다 긴 암호 사용을 활성화합니다. 암호 저장 시 사용되는 암호화 형식은 setoptions bidirectional 또는 bidirectional- 옵션으로 결정됩니다.
    UNIX에서는 history 옵션이 긴 암호의 활성화 여부에 영향을 주지
    않습니다
    . 긴 암호의 활성화 여부를 결정하려면 passwd_local_encryption_method 구성 설정을 사용하십시오.
  • history-
    암호 기록 검사를 비활성화합니다.
    Windows에서는 이 옵션이 긴 암호 사용을 비활성화합니다.
  • inactive(
    nDays
    )
    사용자의 로그인이 일시 중단된 이후 비활성 기간을 지정합니다. 비활성 일은 사용자가 로그인하지 않는 날입니다. 양수를 입력합니다. inactive를 0으로 설정하면 inactive- 매개 변수를 사용하는 것과 결과적으로 동일합니다.
  • inactive-
    비활성 로그인 검사를 비활성화합니다.
  • interval(
    nDays
    )
    사용자에게 새 암호를 묻기 전에 암호가 설정되거나 변경된 후 경과해야 하는 일 수를 설정합니다. 0 또는 양수를 입력합니다. 간격이 0이면 사용자에 대한 암호 간격 검사가 비활성화됩니다. 암호가 만료되지 않도록 하려면 간격을 0으로 설정합니다.
    segrace 유틸리티가 사용자 로그인 스크립트의 일부이면 사용자는 지정된 일 수에 도달할 때 현재 암호가 만료되었다는 알림을 받습니다. 사용자는 암호를 즉시 갱신하거나 유예 로그인 횟수에 도달할 때까지 기존 암호를 계속 사용할 수 있습니다. 유예 로그인 횟수에 도달하면 시스템 액세스가 거부되며 시스템 관리자에게 문의하여 새 암호를 선택해야 합니다.
  • interval-
    암호 간격 설정을 취소합니다.
  • is_dms+
    현재 데이터베이스를 DMS로 지정합니다.
  • is_dms-
    현재 데이터베이스에서 DMS 지정을 제거합니다.
  • list
    화면에 현재 설정을 표시합니다.
  • maxlogins(
    nLogins
    )
    사용자가 동시에 로그인할 수 있는 최대 터미널 수를 설정합니다. 값 0은 사용자가 터미널 수에 상관없이 동시에 로그인할 수 있음을 의미합니다. 사용자의 사용자 레코드에 값을 할당하면 이 값은 무시됩니다.
    참고:
    maxlogins가 1로 설정되어 있으면 selang을 실행할 수 없습니다.
    Privileged Identity Manager
    을 종료하고 maxlogins 설정을 1보다 큰 수로 변경한 후
    Privileged Identity Manager
    을 다시 시작해야 합니다.
    참고:
    Unix 및 Linux 운영 체제에만 해당됩니다.
  • maxlogins-
    전역 최대 로그인 검사를 비활성화합니다. 사용자 로그인이 사용자 레코드에 제한되지 않는다면, 사용자가 로그인할 수 있는 터미널 수는 제한되지 않습니다.
  • min_life(
    NDays
    )
    암호를 변경하는 최소 일 수를 설정합니다. 양수를 입력합니다.
  • 암호
    암호 옵션을 설정합니다.
  • 규칙
    새 암호의 품질을 검사하기 위한 하나 이상의 암호 규칙을 설정합니다. 규칙은 다음과 같습니다.
    • alpha(
      nCharacters
      )
      새 암호에 포함해야 하는 최소 영문자 수를 설정합니다. 정수를 입력합니다.
    • alphanum(
      nCharacters
      )
      새 암호에 포함해야 하는 최소 영숫자 수를 설정합니다. 정수를 입력합니다.
    • bidirectional
      암호를 PMDB의 일부로 다른 시스템에 전송할 때 일반 텍스트로(암호화된 메시지 내에서) 배포되도록 지정합니다.
      UNIX에서 이 옵션은 다음의 passwd 섹션 설정값을 설정하는 것과 같습니다.
      Passwd_distribution_encryption_mode=bidirectional
      참고:
      setoptions 명령을 사용하는 것보다 구성 설정을 지정하는 것이 좋습니다.
      Windows에서 암호는 다음 레지스트리 값에 지정된 암호화와 함께 기록 목록에 저장됩니다.
      HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Encryption Package
    • bidirectional-
      암호가 해시 암호화 형식으로 전송되도록 지정합니다.
      Windows에서 사용되는 해시 함수는 SHA-1입니다.
      UNIX에서 이 옵션은 다음의 passwd 섹션 설정값을 설정하는 것과 같습니다.
      Passwd_distribution_encryption_mode=compatibility
      참고:
      setoptions 명령을 사용하는 것보다 구성 설정을 지정하는 것이 좋습니다.
      이 옵션이 지정되어 있으면 서로 다른 운영 체제 간에 긴 암호를 배포할 수 없습니다.
    • grace(
      nLogins
      )
      사용자에 대한 일시 중단 전에 허용되는 최대 유예 로그인 횟수를 설정합니다. 유예 로그인 횟수는 0에서 255 사이여야 합니다(0과 255 포함).
    • lowercase(
      nCharacters
      )
      새 암호에 포함해야 하는 최소 소문자 수를 설정합니다. 정수를 입력합니다.
    • min_len(
      nCharacters
      )
      최소 암호 길이를 설정합니다. 새 암호가 포함해야 하는 최소 문자 수를 입력합니다.
    • max_len(
      nCharacters
      )
      최대 암호 길이를 설정합니다. 새 암호에 들어가야 하는 최대 총 문자 수를 입력합니다.
    • max_rep(
      nCharacters
      )
      새 암호에 포함해야 하는 최대 반복 문자 수를 설정합니다. 정수를 입력합니다.
    • namechk
      암호에 사용자 이름이 포함되어 있는지 또는 사용자 이름에 암호가 포함되어 있는지를 검사합니다. 기본적으로 이 검사가 수행됩니다.
    • namechk-
      namechk 검사를 해제합니다.
    • numeric(
      nCharacters
      )
      새 암호에 포함해야 하는 최소 숫자 수를 설정합니다. 정수를 입력합니다.
    • oldpwchk
      새 암호에 교체되는 암호가 포함되어 있는지 또는 교체되는 암호에 새 암호가 포함되어 있는지를 검사합니다. 기본적으로 이 검사가 수행됩니다.
      참고:
      Unix 및 Linux 운영 체제에만 해당됩니다.
    • oldpwchk-
      oldpwchk를 해제합니다.
    • prohibited(
      prohibitedCharacters
      )
      사용자가 암호에 사용할 수 없는 문자를 지정합니다. 금지된 문자를 입력합니다.
      참고:
      탭 키의 사용을 차단하기 위해 제어 문자 '\' 및 't'가 모두 prohibitedCharacters 목록에 지정되어 있는지 확인하는 것이 좋습니다.
    • special(
      nCharacters
      )
      새 암호에 포함해야 하는 최소 특수 문자 수를 설정합니다. 정수를 입력합니다.
    • sub_str_len(
      nCharacters
      )
      새 암호가 이전 암호와 공유할 수 있는 최대 문자 수를 설정합니다. 정수를 입력합니다.
    • uppercase(
      nCharacters
      )
      새 암호에 포함해야 하는 최소 대문자 수를 설정합니다. 정수를 입력합니다.
    • use_dbdict | use_dbdict-
      암호 사전을 설정합니다. use_dbdict는 토큰을 db로 설정하고 암호를
      Privileged Identity Manager
      데이터베이스에 있는 단어와 비교합니다. use_dbdict-는 토큰을 file로 설정하고 seos.ini 파일에 지정된 파일(UNIX의 경우) 또는 Windows 레지스트리(Windows의 경우)에 대해 암호를 검사합니다.
  • rules-
    암호 품질 검사를 비활성화합니다. rules 인수에 의해 지정된 규칙은 암호 품질 검사에 사용되지 않습니다.
예:
Privileged Identity Manager
옵션 설정
  • 사용자 John은 운영자 작업을 보호하는 데 사용되는 설치 시 정의된 클래스인 OpsAct를 활성화하려고 합니다.
    사용자 John은 ADMIN 특성을 가집니다.
    setoptions class+(OpsAct)
  • 사용자 Mike는 사용자에게 6자 이상의 암호를 사용하도록 하는 암호 정책을 설정하고, 또한 암호 정책 적용 기능을 활성화하고자 합니다.
    사용자 Mike가 ADMIN 특성을 가지고 있습니다.
    setoptions class+(PASSWORD) setoptions password(rules(min_len(6)))
  • 사용자 SecAdmin은 보안 수준 검사를 활성화하려고 합니다.
    사용자 SecAdmin은 ADMIN 특성을 가집니다.
    setoptions class+(SECLEVEL)
  • 사용자 Janani는 알림을 보내기 위해 이 데이터베이스에 대해 DMS를 설정하고자 합니다.
    사용자 Janani는 ADMIN 특성을 가지고 있습니다.
    setoptions dms+(apache@myHost)
예: 경고 모드로 클래스 사용
클래스에 대한 경고 속성을 설정하여 클래스에 경고 모드를 적용합니다. 다음과 같이 setoptions selang 명령을 사용하여 이 작업을 수행할 수 있습니다.
setoptions class(classname) flags+ (W)
  • classname
    경고 모드를 적용할 클래스 이름을 정의합니다.
참고:
W 플래그는 대소문자를 구분하며 반드시 대문자를 사용해야 합니다.
클래스의 경고 모드를 지우려면 다음과 같이 setoptions 명령을 사용합니다.
setoptions class(classname) flags- (W)