SEOS 클래스
SEOS 클래스는 권한 부여 시스템의 동작을 제어합니다.
cminder12901kr
SEOS 클래스는 권한 부여 시스템의 동작을 제어합니다.
클래스에는 일반 보안 및 권한 부여 옵션을 지정하는 하나의 SEOS 레코드만 있습니다. SEOS 클래스 속성의 상태를 보거나 변경하려면 setoptions 명령을 사용하십시오.
다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.- ACCPACL권한 부여 과정 중에 UACC(defaccess) 및 PACL 목록을 검사하는 순서를 나타냅니다.ACCPACL이 활성화되고 ACL을 통해 사용자에게 명시적인 액세스가 제공되면, 해당 접근자는 허용되는 액세스입니다. ACL을 통한 명시적 액세스는 없지만 PACL을 통해 명시적 액세스가 정의된 경우 PACL 액세스는 허용된 액세스입니다. ACL 및 PACL이 모두 명시적 액세스를 포함하지 않으면 defaccess가 액세스 정의에 대해 검사됩니다.ACCPACL이 활성화되지 않은 경우에도 ACL이 명시적 액세스에 대해 먼저 검사됩니다. ACL이 검사 중인 리소스에 대한 액세스 정의를 포함하지 않는 경우 다음으로 defaccess 정의가 검사됩니다. defaccess에 명시적 액세스가 정의되지 않은 경우 PACL 액세스 정의가 검사됩니다.Privileged Identity Manager를 설치할 때 이 속성 값이 yes로 설정됩니다.이 속성을 수정하려면 setoptions 명령에서 accpacl이나 accpacl- 매개 변수를 사용하십시오.
- ADMINADMIN 클래스의 각 레코드는 특정 클래스를 관리하기 위해 권한 부여를 통해 관리자가 아닌 사용자에게 부여되는 권한을 정의합니다. 관리자가 아닌 특정 사용자가 관리해야 하는 각Privileged Identity Manager클래스는 ADMIN 레코드로 표현됩니다. 이 레코드에는 접근자와 각 액세스 권한의 목록이 포함됩니다.예를 들어 사용자 John이 FILE 클래스 규칙을 볼 수 있도록 하려면 "authorize ADMIN FILE uid(john) access(read)" 지정하십시오.ADMIN 클래스가 해제되어 있으면 관리자가 아닌 사용자는 ADMIN 클래스를 통해 관리자 권한을 얻을 수 없습니다.
- APPLAPPL 클래스가 활성 상태인지 여부를 나타냅니다.
- AUTHHOSTAUTHHOST 클래스가 활성 상태인지 여부를 나타냅니다.
- CALENDARCALENDAR 클래스가 활성 상태인지 여부를 나타냅니다.
- CATEGORYCATEGORY 클래스가 활성 상태인지 여부를 나타냅니다.
- CNG_ADMIN_PWDPWMANAGER 특성을 가진 사용자가 selang을 사용하여 ADMIN 사용자 암호를 변경할 수 있는지 여부를 나타냅니다. 기본값은 yes입니다.이 속성을 활성화 또는 비활성화하려면 setoptions 명령과 함께 class+ 또는 class- 매개 변수와cng_adminpwd옵션을 사용합니다.
- CNG_OWN_PWD사용자가 selang을 사용하여 자신의 암호를 변경할 수 있는지 여부를 나타냅니다.이 속성을 활성화 또는 비활성화하려면 setoptions 명령과 함께 class+ 또는 class- 매개 변수와cng_ownpwd옵션을 사용합니다.
- COMMENT레코드에 포함할 추가 정보를 정의합니다. 이 설명은 권한 부여에 사용되지 않습니다.제한:255자
- CONNECTCONNECT 클래스가 활성 상태인지 여부를 나타냅니다. CONNECT 클래스가 활성일 때 클래스의 레코드는 발송 연결을 보호합니다.HOST 클래스가 활성인 경우 CONNECT 클래스는 활성화된 경우라도 활성 클래스로 사용되지 않습니다.TCP 클래스가 활성인 경우 CONNECT 클래스는 활성 클래스로 사용되지 않습니다.
- CREATE_TIME(정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
- DAYTIMERES(UNIX 전용) 이 리소스에 대해 daytime 제한을 검사할지 여부를 나타냅니다.
- DMS이 데이터베이스가 알림을 보내야 하는 DMS 서버 목록입니다.
- DOMAIN(Windows 전용) DOMAIN 클래스가 활성 상태인지 여부를 나타냅니다.
- ENDTIME(정보) 데이터베이스 파일이 지정된 순서로 마지막에 닫힌 날짜 및 시간입니다.
- FILEFILE 클래스가 활성 상태인지 여부를 나타냅니다. FILE 클래스가 활성 상태일 때 클래스의 레코드는 파일 및 디렉터리를 보호합니다.
- ACCGRRACCGRR(누적된 그룹 권한) 옵션은Privileged Identity Manager가 리소스 ACL을 검사하는 방법에 영향을 미칩니다. ACCGRR이 활성화되면Privileged Identity Manager는 ACL에서 사용자가 속한 모든 그룹으로부터 부여된 권한을 확인합니다. ACCGRR이 비활성화되면Privileged Identity Manager는 ACL에서 적용 가능한 항목에 값 none이 포함되어 있는지 확인합니다. 값 none이 포함되어 있으면 액세스가 거부됩니다. 그렇지 않으면Privileged Identity Manager는 액세스 제어 목록의 첫 번째 적용 가능한 항목을 제외하고 모든 그룹 항목을 무시합니다. 이 속성을 활성화 또는 비활성화하려면 setoptions ACCGRR 명령을 사용하십시오.
- HOLIDAYHOLIDAY 클래스가 활성 상태인지 여부를 나타냅니다. HOLIDAY 클래스가 활성 상태일 때 사용자는 정의된 Holiday 기간 중 로그인할 수 있는 추가 권한이 필요합니다.
- HOSTHOST 클래스가 활성 상태인지 여부를 나타냅니다. HOST 클래스가 활성 상태일 때Privileged Identity Manager는 원격 호스트에서 들어오는 TCP/IP 서비스 요청을 보호합니다.HOST 클래스가 활성 상태일 경우 TCP 및 CONNECT 클래스는 활성화되어도 활성 클래스로 사용되지 않습니다.HOST 클래스의 기본값은 활성입니다.
- INACT사용자 로그인을 일시 중지한 후 비활성 기간을 나타냅니다. 비활성 일은 사용자가 로그인하지 않는 날입니다.USER 레코드의 INACTIVE 속성 값은 GROUP 레코드의 값보다 우선됩니다. 두 가지 모두 SEOS 클래스 레코드의 INACT 속성보다 우선됩니다.이 속성을 업데이트하려면 setoptions 명령에서 inactive 또는 inactive- 매개 변수를 사용하십시오.
- ISDMSPMDB가 DMS 역할을 할 경우 참입니다.
- LOGINAPPL(UNIX 전용) LOGINAPPL 클래스가 활성 상태인지 여부를 나타냅니다.
- MAXLOGINS사용자에게 허용된 최대 동시 로그인(터미널 세션) 수입니다. 이 값을 초과하면 사용자의 액세스가 거부됩니다. 0 값은 최대값이 없음을 나타내고 사용자는 터미널 세션 수에 상관없이 동시에 로그인할 수 있습니다. 사용자가 로그인하여 selang을 실행하거나 데이터베이스를 관리하려는 경우 이 값은 0이거나 1보다 커야 하는데, 그 이유는Privileged Identity Manager가 각 작업(로그인, selang, GUI 등)을 터미널 세션으로 간주하기 때문입니다.USER 레코드의 MAXLOGINS 속성 값이 GROUP 레코드의 값보다 우선합니다. 두 가지 모두 SEOS 클래스 레코드의 MAXLOGINS 속성보다 우선됩니다. SEOS 레코드의 값은 접근자 레코드에 명시적 값이 없을 때 사용되는 기본값입니다.SEOS 클래스에 대한 이 속성을 수정하려면 maxlogins 매개 변수를 chres, editres 및 newres 명령과 함께 사용하십시오.
- MFTERMINALMFTERMINAL 클래스가 활성 상태인지 여부를 나타냅니다.
- PASSWDRULES암호 규칙을 나타냅니다. 이 속성에는 암호 보호의 작동 방식을 결정하는 여러 필드가 있습니다. 규칙의 전체 목록은 USER 클래스의 수정 가능한 PROFILE 속성을 참조하십시오.이 속성을 수정하려면 setoptions 명령에서 password 매개 변수와 rules 또는 rules- 옵션을 사용합니다.
- PASSWORD암호 검사가 활성 상태인지 여부를 나타냅니다.이 속성을 활성화 또는 비활성화하려면 setoptions 명령과 함께 class+ 또는 class- 매개 변수와 PASSWORD 옵션을 사용합니다.
- PROCESSPROCESS 클래스가 활성 상태인지 여부를 나타냅니다. PROCESS 클래스가 활성 상태일 때 클래스의 레코드는 정의된 프로세스가 종료되지 않도록 보호합니다.또한 파일이 FILE 클래스에 정의되어야 합니다.
- PROGRAMPROGRAM 클래스가 활성 상태인지 여부를 나타냅니다. PROGRAM 클래스가 활성 상태일 때 클래스의 레코드는 트러스트됨으로 표시되어 있는 정의된 프로그램을 보호합니다.
- PWPOLICYPWPOLICY 클래스가 활성 상태인지 여부를 나타냅니다.
- REGKEY(Windows 전용) REGKEY 클래스가 활성 상태인지 여부를 나타냅니다.
- REGVAL(Windows 전용) REGVAL 클래스가 활성 상태인지 여부를 나타냅니다.
- RESOURCE_DESCRESOURCE_DESC 클래스가 활성 상태인지 여부를 나타냅니다.
- RESPONSE_TABRESPONSE_TAB 클래스가 활성 상태인지 여부를 나타냅니다.
- SECLABELSECLABEL 클래스가 활성 상태인지 여부를 나타냅니다.
- SECLEVELSECLEVEL 클래스가 활성 상태인지 여부를 나타냅니다.
- STARTTIME(정보) 데이터베이스 파일이 마지막으로 열린 날짜 및 시간입니다.
- SUDOsesudo에서 사용된 SUDO 클래스가 활성 상태인지 여부를 나타냅니다.
- SYSTEM_AAUDIT_MODE사용자 및 엔터프라이즈 사용자에 대한 기본 감사 모드(시스템 전체 감사 모드)를 지정합니다.기본값:Failure LoginSuccess LoginFailure
- SURROGATESURROGATE 클래스가 활성 상태인지 여부를 나타냅니다. SURROGATE 클래스가 활성 상태일 때Privileged Identity Manager는 surrogate 요청을 보호합니다.
- TCPTCP 클래스가 활성 상태인지 여부를 나타냅니다. TCP 클래스가 활성 상태일 때Privileged Identity Manager는 메일, ftp 및 http 등의 들어오는 TCP 서비스와 나가는 TCP 서비스를 보호합니다.HOST 클래스가 활성 상태인 경우 TCP 클래스는 활성화되어도 활성 클래스로 사용되지 않습니다.TCP 클래스가 활성인 경우 CONNECT 클래스는 활성 클래스로 사용되지 않습니다.
- TERMINALTERMINAL 클래스가 활성 상태인지 여부를 나타냅니다. TERMINAL 클래스가 활성 상태일 때 사인온 중에 터미널 액세스 검사를 수행하고 X-window 세션을 보호합니다.
- USER_ATTRUSER_ATTR 클래스가 활성 상태인지 여부를 나타냅니다.
- USER_DIRUSER_DIR 클래스가 활성 상태인지 여부를 나타냅니다.
- UPDATE_TIME(정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
- UPDATE_WHO(정보) 업데이트를 수행한 관리자를 표시합니다.