chres 명령-리소스 레코드 수정
AC 환경에 해당
cminder12902kr
AC 환경에 해당
Privileged Identity Manager
클래스에 속한 리소스 레코드로 작업하려면 chres, editres 및 newres 명령을 사용하십시오. 이러한 명령은 구조가 동일하며, 다음의 내용만 다릅니다.- chres 명령은 하나 이상의 리소스를수정합니다.
- editres 명령은 하나 이상의 리소스를작성 또는 수정합니다.
- newres 명령은 하나 이상의 리소스를작성합니다.
참고:
이 명령은 네이티브 Windows 환경에도 있지만 작동 방식이 다릅니다.newres 명령을 사용하여 리소스를 추가하려면 최소한 다음 조건 중 하나를 충족해야 합니다.
- 사용자가 ADMIN 특성을 가집니다.
- 클래스에 의한 액세스(ADMIN) 클래스에 있는 리소스 클래스 레코드의 ACL에 CREATE 액세스 권한이 있는 경우.
- seos.ini 파일의 use_unix_file_owner 토큰이 yes로 설정되어 있을 경우 UNIX의 파일 소유자가 이것을Privileged Identity Manager의 새 리소스로 정의할 수 있습니다.
chres 또는 editres 명령을 사용하여 리소스를 추가 또는 변경하려면 리소스에 대한 충분한 권한이 있어야 합니다. 다음과 같은 순서대로 검사하고 이러한 조건 중
하나를
충족해야 합니다.- 사용자가 ADMIN 특성을 가집니다.
- 리소스 레코드는 사용자가 GROUP-ADMIN 속성을 가지는 그룹의 범위 내에 있습니다.
- 사용자가 레코드의 소유자입니다.
- 클래스에 의한 액세스(ADMIN) 클래스에 있는 리소스 클래스 레코드의 액세스 제어 목록에서 MODIFY(chres의 경우) 액세스 권한이나 CREATE(editres의 경우) 액세스 권한이 지정된 경우.
참고:
리소스 이름의 최대 길이는 255자(싱글바이트)입니다.다음 표에는 chres, editres 및 newres 명령을 사용하여 관리할 수 있는 각 클래스에 적용되는 명령 매개 변수가 나열되어 있습니다.
클래스 | Properties | |||||||||||
감사 | calendar | category | comment | defaccess | label | level | notify | 소유자 | restrictions[-] | 경고 | 기타 | |
ACVAR | X | X | VARIABLE_ TYPE, VARIABLE_ VALUE | |||||||||
ADMIN | X | X | X | X | X | X | X | X | X | X | X | |
CALENDAR | X | X | ||||||||||
CATEGORY | X | X | ||||||||||
CONNECT | X | X | X | X | X | X | X | X | X | X | X | |
CONTAINER | X | X | X | X | X | MEM | ||||||
DOMAIN | X | X | X | X | X | X | X | X | X | X | X | MEM |
FILE | X | X | X | X | X | X | X | X | X | X | X | |
GFILE | X | X | X | X | X | X | MEM | |||||
GHOST | X | X | X | X | X | X | MEM | |||||
GSUDO | X | X | X | X | MEM | |||||||
GTERMINAL | X | X | X | X | X | X | MEM | |||||
HNODE | X | X | X | X | X | X | X | X | X | X | X | SUBSCRIBER, POLICY |
HOLIDAY | X | X | X | X | X | X | X | X | X | X | DATES | |
HOST | X | X | X | X | X | X | ||||||
HOSTNET | X | X | X | X | X | MASK, MATCH | ||||||
HOSTNP | X | X | X | X | X | X | ||||||
LOGINAPPL | X | X | X | X | X | X | X | X | LOGINFLAGS, LOGINMETHOD, LOGINPATH, LOGINSEQUENCE | |||
MFTERMINAL | X | X | X | X | X | X | X | X | X | DAYTIME | ||
POLICY | X | X | X | X | X | X | X | X | X | X | X | SIGNATURE, RULESET |
PROCESS | X | X | X | X | X | X | X | X | X | X | X | |
PROGRAM | X | X | X | X | X | X | X | X | X | X | X | TRUST |
PWPOLICY | X | X | ||||||||||
REGKEY | X | X | X | X | X | X | X | DAYTIME | ||||
REGVAL | X | X | X | X | X | X | X | DAYTIME | ||||
RULESET | X | X | X | X | X | X | X | X | X | X | X | SIGNATURE, CMD, UNDOCMD |
SECFILE | X | X | TRUST, FLAGS | |||||||||
SECLABEL | X | X | X | X | ||||||||
SEOS | X | X | X | X | X | HOST | ||||||
SPECIALPGM | X | X | ||||||||||
SUDO | X | X | X | X | X | X | X | X | X | X | X | TARGUID, PASSWORD |
SURROGATE | X | X | X | X | X | X | X | X | X | X | X | |
TCP | X | X | X | X | X | X | X | X | X | X | ||
TERMINAL | X | X | X | X | X | X | X | X | X | X | X | |
UACC | X | X | X | X | X | |||||||
USER-ATTR | X | X | ||||||||||
USER-DIR | X | X | X |
{{chres|cr}|{editres|er}|{newres|nr}} classNameresourceName \
[audit({none|all|success|failure})] \ [calendar[-](calendarName)] \ [category[-](categoryName)] \ [cmd+(selang_command_string)|cmd-] \ [comment(string)|comment-] \ [container[-](containerName)] \ [dates(time-period)] \ [dh_dr{-|+}(dh_dr)] \ [disable|disable-] \ [defaccess(accessAuthority)] \ [filepath(filePaths)] \ [flags[-|+](flagName)] \ [gacc(access-value)] \ [gowner(groupName)] \ [host(host-name)|host-] \ [label(labelName)|label-] \ [level(number)|level-] \ [mask(inetAddress)|match(inetAddress)] \ [mem(resourceName)|mem-(resourceName)] \ [node_alias{-|+}(alias)] \ [node_ip{-|+}(ip)] \ [notify(mailAddress)|notify-] \ [of_class(className)] \ [owner({userName | groupName})] \ [{password | password-}] \ [policy(name(policy-name) {{deviation+|dev+}|{deviation-|dev-}})] \ [policy(name(policy-name) status(policy-status) {updator|updated_by}(user-name))] \ [{restrictions([days({anyday|weekdays|{[mon] [tue] [wed] \[thu] [fri] [sat] [sun]}})] \[time({anytime|startTime:endTime}) \ |restrictions-}] \ [targuid(userName)] \ [trust | trust-] \ [value{+|-}(value)] \ [warning | warning-]
- 감사기록되는 액세스 이벤트를 나타냅니다. 다음 특성 중 하나를 지정합니다.
- all- 권한 있는 액세스 시도와 권한 없는 액세스 시도를 모두 기록합니다.
- failure- 권한 없는 액세스 시도를 기록합니다. 이것이 기본값입니다.
- none- 로그 파일에 레코드를 기록하지 않습니다.
- success- 권한 있는 액세스 시도를 기록합니다.
- calendar(calendarName)Unicenter TNG에서 시간 제한을 나타내는 Unicenter NSM 달력 레코드를 정의합니다.Privileged Identity Manager는 이러한 개체 목록을 관리 용도로만 유지하며 보호하지는 않습니다. 둘 이상의 달력을 할당하려면 달력 이름을 공백 또는 쉼표로 구분하십시오.
- calendar-(calendarName)리소스 레코드에서 하나 이상의 Unicenter NSM 달력 레코드를 삭제합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- category(categoryName[,categoryName...])리소스 레코드에 하나 이상의 보안 범주를 할당합니다.CATEGORY 클래스가 활성화되어 있지 않을 때 category 매개 변수를 지정하는 경우 데이터베이스의 리소스 정의가 업데이트됩니다. 그러나 업데이트된 범주 할당은 CATEGORY 클래스가 다시 활성화될 때까지 적용되지 않습니다.
- category-(categoryName[,categoryName...])리소스 레코드에서 하나 이상의 보안 범주를 삭제합니다.지정된 보안 범주가 CATEGORY 클래스의 활성 여부에 상관 없이 리소스 레코드에서 삭제됩니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- className리소스가 속한 클래스의 이름을 지정합니다. 정의된 리소스 클래스를 나열하려면 find 명령을 사용하십시오.
- cmd+(selang_command_string)정책을 정의하는 selang 명령의 목록을 지정합니다. 이러한 명령은 정책 배포에 사용됩니다. 예를 들면 다음과 같습니다.editres RULESET IIS5#02 cmd+("nr FILE /inetpub/* defaccess(none) owner(nobody)")
- cmd-RULESET 개체에서 정책 배포 명령 목록을 제거합니다.
- comment(string)최대 255자로 구성된 영숫자 문자열을 리소스 레코드에 추가합니다. 문자열이 공백을 포함하는 경우, 작은 따옴표를 전체 문자열 앞뒤에 입력하십시오. 이 문자열은 이전에 정의한 기존의 모든 문자열을 대체합니다.참고:SUDO 클래스의 경우 이 문자열은 특별한 의미를 가지고 있습니다. SUDO 레코드 정의에 대한 자세한 내용은UNIX용 끝점 관리 안내서를 참조하십시오.
- comment-리소스 레코드에서 설명을 삭제합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- container(containerName)포괄적인 그룹 설정 클래스인 CONTAINER 객체를 나타냅니다.containerName은 CONTAINER 클래스에 정의된 하나 이상의 CONTAINER 레코드 이름입니다. 둘 이상의 CONTAINER를 할당하려면 이름을 공백 또는 쉼표로 구분하십시오.
- container-(containerName)리소스 레코드에서 하나 이상의 CONTAINER 레코드를 삭제합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- dates(time-period)휴일과 같이 사용자가 로그인할 수 없는 하나 이상의 기간을 정의합니다. 둘 이상의 기간을 지정하려면, 공백으로 각 기간을 구분하십시오. 다음 형식을 사용합니다.mm/dd[/yy[yy]] [@hh:mm][-mm/dd]/[/yy[yy]] [@hh:mm]연도를 지정하지 않거나 1990년 이전을 지정하면 그 기간 또는 휴일이 매년 적용됨을 의미합니다. 연도는 98 또는 1998과 같이 두 자리 또는 네 자리 숫자로 지정할 수 있습니다.시작 시간을 지정하지 않으면 그 날의 시작 시간(자정)이 사용되고 종료 시간을 지정하지 않으면 그 날의 종료 시간(자정)이 사용됩니다. 시간과 분의 형식은hh:mm입니다. 여기서hh는 24시간제 표기(00에서 23까지)이고mm은 분 표기(00에서 59까지)입니다.기간(예를 들어, 12/25@14:00-12/25@17:00)은 지정하지 않고 월과 일(12/25)만 지정하면 휴일이 하루 동안 지속됩니다.휴일이 발생하는 다른 시간대에 명령을 작성하는 경우, 해당 기간을 지역 시간으로 변환합니다. 예를 들어, 현재 위치가 뉴욕이고 LA에 반나절 휴일이 있는 경우 09/14/98@18:00-09/14/98@20:00을 입력해야 합니다. 이렇게 하면 LA에서 오후 3시부터 오후 5시까지 사용자가 로그인할 수 없습니다.
- defaccess([accessAuthority])리소스에 대한 기본 액세스 권한을 정의합니다. 기본 액세스 권한은 리소스 액세스 요청자 중에서 리소스 액세스 제어 목록에 없는 접근자에게 부여되는 권한입니다. 기본 액세스는 데이터베이스에 정의되지 않은 사용자에게도 적용됩니다. 유효한 액세스 권한 값은 클래스에 따라 다릅니다.accessAuthority를 생략할 경우 리소스에 할당되는 액세스 권한은 암시적 액세스입니다. 암시적 액세스는 UACC 클래스에서 리소스의 클래스를 나타내는 레코드의 UACC 속성에 지정됩니다.
- dh_dr{+|-}(dh_dr)이 끝점이 재해 복구를 위해 사용할 배포 호스트를 정의합니다.
- filepath(filePaths)하나 이상의 절대 파일 경로를 정의합니다. 각 경로는 유효한 커널 모듈을 구성합니다. 여러 파일 경로는 콜론(:)으로 구분합니다.
- flags(flagName)리소스가 트러스트되는 방법과 리소스의 트러스트된 상태를 확인하는 방법에 대해 정의합니다. 사용 가능한 플래그는 Ctime, Mtime, Mode, Size, Device, Inode, Crc 및 Own/All/None입니다.
- gacc(access-value)자주 사용하는 보호된 파일을 프로그램이 다른 방법보다 훨씬 더 빠르게 액세스할 수 있게 해 줍니다.
- gowner(groupName)그룹을 리소스 레코드의 소유자로 할당합니다. 소유자의 보안 수준, 보안 레이블 및 보안 범주 권한이 리소스에 액세스할 수 있을 만큼 충분한 경우 리소스 레코드의 소유자는 리소스에 제한 없이 액세스할 수 있습니다. 리소스의 그룹 소유자는 항상 리소스 레코드를 업데이트 및 삭제할 수 있는 권한을 가집니다. 자세한 내용은UNIX용끝점 관리 안내서를 참조하십시오.
- label(labelName)리소스 레코드에 보안 레이블을 할당합니다.
- label-리소스 레코드에서 보안 레이블을 삭제합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- level(number)리소스 레코드에 보안 수준을 할당합니다. 1-255 사이의 양의 정수를 입력합니다.
- level-리소스에서 모든 보안 수준을 제거합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- mask (IPv4-address)match (IPv4-address)mask및match매개 변수는 HOSTNET 레코드에만 적용할 수 있습니다. HOSTNET 레코드를 작성할 때는 이 두 매개 변수가 필수 사항이며 레코드를 수정할 때는 선택 사항입니다.HOSTNET 레코드에 정의된 호스트의 그룹을 정의하려면 mask와 match를 함께 사용하십시오. mask 주소가 있는 호스트 IP 주소의 AND가 match 주소를 생성하는 경우 호스트는 HOSTNET 레코드 그룹의 구성원입니다.예를 들어 mask(255.255.255.0)와 match(192.16.133.0)를 지정하면 IP 주소 범위가 192.16.133.0 ~ 192.16.133.255인 호스트가 그룹의 구성원이 됩니다.mask 및 match 매개 변수에는 IPv4 주소가 필요합니다.
- mem(resourceName)구성원 리소스를 리소스 그룹에 추가합니다. 둘 이상의 구성원 리소스를 추가하는 경우 쉼표로 각 이름을 구분하십시오.다음 클래스의 리소스 레코드에 대해서만 mem 매개 변수를 사용할 수 있습니다.
- CONTAINER. 이 클래스는 다른 리소스 클래스의 개체 그룹을 정의합니다.
- GFILE. 이 클래스에는 호스트 그룹을 정의하는 리소스 레코드가 있습니다.
- GHOST. 이 클래스에는 호스트 그룹을 정의하는 리소스 레코드가 있습니다.
- GSUDO. 이 클래스에는 명령 그룹을 정의하는 리소스 레코드가 있습니다.
- GTERMINAL. 이 클래스에는 터미널 그룹을 정의하는 리소스 레코드가 있습니다.
- GPOLICY. 이 클래스에는 논리 정책을 정의하는 리소스 레코드가 있습니다.
- GHNODE. 이 클래스에는 호스트 그룹을 정의하는 리소스 레코드가 있습니다.
- GDEPLOYMENT. 이 클래스에는 정책 배포를 정의하는 리소스 레코드가 있습니다.
GFILE 클래스의 리소스 그룹에 FILE 레코드를 추가하는 것과 같이 적절한 유형의 레코드를 리소스 그룹에 추가하려면 mem 매개 변수를 사용하십시오.참고:CONTAINER 리소스에 mem 매개 변수를 사용하는 경우 of_class 매개 변수도 포함해야 합니다.구성원 리소스와 리소스 그룹 둘 다Privileged Identity Manager에 이미 정의되어 있어야 합니다. 리소스 그룹을 작성하려면 원하는 클래스의 리소스를 작성하십시오. 예를 들어, 다음 명령을 사용하면 GFILE 리소스 그룹이 작성됩니다.newres GFILE myfiles - mem-(resourceName)리소스 그룹에서 구성원 리소스를 제거합니다. 둘 이상의 구성원 리소스를 제거하는 경우 리소스 이름을 공백 또는 쉼표로 구분하십시오. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- node_alias{-|+}(alias)끝점 별칭을 정의합니다.끝점에 별칭을 정의하면 별칭을 기반으로 실제 끝점에 고급 정책 관리 명령을 전송할 수 있습니다.
- node_ip[-|+](ip)호스트의 IP 주소를 정의합니다. 고급 정책 관리는 IP 주소와 끝점 이름을 함께 사용하여 필요한 끝점을 찾습니다.
- notify(리소스 레코드로 표시되는 리소스에 액세스할 때마다 알림 메시지를 보냅니다. 사용자 이름이나 전자 메일 주소를 입력하거나 별칭이 지정된 경우 메일 그룹의 전자 메일 주소를 입력하십시오. 통지는 로그 라우팅 시스템이 활성 상태인 경우에만 발생합니다. 통지 메시지는 로그 라우팅 시스템의 설정에 따라 화면 또는 사용자의 사서함으로 전송됩니다. 통지 메시지가 전송될 때마다 감사 레코드가 감사 로그에 기록됩니다. 감사 레코드의 필터링 및 보기에 대한 자세한 내용은mailAddress)UNIX용 끝점 관리 안내서를 참조하십시오. 통지 메시지의 수신인은 자주 로그인하여 각 메시지에서 설명하고 있는 무단 액세스 시도에 응답해야 합니다.제한:30자
- notify-리소스 레코드로 표시된 리소스를 성공적으로 액세스하면 누구에게도 통지하지 않게 지정합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- of_class(className)mem 매개 변수를 사용하여 컨테이너(CONTAINER) 클래스에 추가하는 레코드의 리소스 유형을 지정합니다.
- owner(Name)사용자나 그룹을 리소스 레코드의 소유자로 할당합니다. 소유자의 보안 수준, 보안 레이블 및 보안 범주 권한이 리소스에 액세스할 수 있을 만큼 충분한 경우 리소스 레코드의 소유자는 리소스에 제한 없이 액세스할 수 있습니다. 리소스 소유자는 항상 리소스 레코드를 업데이트 및 삭제할 수 있습니다. 자세한 내용은UNIX용 끝점 관리 안내서를 참조하십시오.
- 암호SUDO 클래스에 sesudo 명령을 사용하려면 원래 사용자의 암호를 요구하도록 지정합니다.
- password-password 매개 변수를 취소하여 sesudo 명령을 사용할 때 더 이상 원래 사용자의 암호가 필요하지 않습니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다. password 매개 변수를 이전에 사용하지 않은 경우 이 매개 변수는 필요하지 않습니다.
- policy(name(name#xx) status(status) updated_by(name)) | policy(name(name#xx) deviation{+|-})전파 트리에서 노드의 구독자를 추가하고 그 상태를 지정합니다. 또는 정책 위반이 있는지 여부를 지정하기 위해 기존 정책 버전을 업데이트합니다. 정책 상태를 업데이트할 때는 updated_by 속성을 업데이트해야 합니다. 이것은 정책 상태를 변경한 사용자의 이름을 나타내는 문자열입니다.정책 상태는 전송됨, 배포됨, 배포 취소, 실패, 서명 실패, 큐에 추가됨, 배포 취소 실패 또는 전송 실패 중 하나가 될 수 있습니다.
- policy-[(name(name#xx))]지정된 정책 버전을 노드에서 제거합니다. 정책을 지정하지 않으면 이 노드에 배포된 모든 정책이 제거됩니다.
- resourceName수정 또는 추가할 리소스 레코드의 이름을 정의합니다. 둘 이상의 리소스를 변경 또는 추가할 경우 리소스 이름 목록을 괄호로 묶고 공백이나 쉼표로 리소스 이름을 구분합니다. 최소한 하나 이상이 리소스 이름을 지정해야 합니다.각 리소스 레코드는 지정된 매개 변수에 따라 독립적으로 처리됩니다. 리소스를 처리하는 동안 오류가 발생하면 메시지가 트리거되고 계속해서 목록의 다음 리소스가 처리됩니다.참고:리소스 이름에 변수를 사용하는 경우 다음 구문을 사용하여 변수를 참조하십시오: <!variable>. 예: <!AC_ROOT_PATH>\bin. 정책의 selang 규칙에서만 변수를 사용할 수 있습니다.
- restrictions([days] [time])사용자가 파일에 액세스할 수 있는 요일 및 시간을 지정합니다.days 인수를 생략하고 time 인수를 지정할 경우, 시간 제한은 레코드에 이미 표시된 요일 제한에 적용됩니다. time을 생략하고 days를 지정할 경우 요일 제한은 레코드에 이미 표시된 시간 제한에 적용됩니다. days와 time을 모두 지정할 경우, 사용자는 지정된 요일에 지정된 시간 동안에만 시스템에 액세스할 수 있습니다.
- [Days]는 사용자가 파일에 액세스할 수 있는 요일을 지정합니다. days 인수는 다음 하위 인수를 가집니다.
- anyday-사용자는 모든 요일에 파일에 액세스할 수 있습니다.
- weekdays-사용자는 주중(월요일부터 금요일까지)에만 리소스에 액세스할 수 있습니다.
- Mon,Tue,Wed,Thu,Fri,Sat,Sun-사용자는 지정된 요일에만 리소스에 액세스할 수 있습니다. 순서에 상관 없이 요일을 지정할 수 있습니다. 둘 이상의 요일을 지정하려면 공백 또는 쉼표로 날짜를 구분합니다.
- [Time]은 사용자가 리소스에 액세스할 수 있는 기간을 지정합니다. time 인수는 다음 하위 인수를 가집니다.
- anytime-사용자는 하루 중 언제든지 리소스에 액세스할 수 있습니다.
- startTime:endTime-사용자는 지정된 기간 동안에만 리소스에 액세스할 수 있습니다. startTime 및 endTime 형식은 모두hhmm이며, 여기서hh는 24시간 표기(00 - 23) 시간이고mm은 분(00 - 59)입니다. 2400은 올바른 시간 값이 아닙니다. startTime은 endTime보다 작아야 하며, 두 시간 모두 같은 날에 속해야 합니다. 터미널의 시간대가 프로세서와 다른 경우, 터미널의 시작 시간과 종료 시간을 프로세서에 대해 동등한 로컬 시간으로 변환하여 시간 값을 조정합니다. 예를 들어 프로세서는 뉴욕에 있고 터미널은 로스앤젤레스에 있는 경우, 로스앤젤레스에서 오전 8:00부터 오후 5:00까지 오후 5시까지 time(1100:2000)을 지정하십시오.
- restrictions-([days] [time])사용자의 파일 액세스 권한을 제한하는 모든 제한을 삭제합니다.
- ruleset+(name)정책과 연결할 규칙 집합을 지정합니다.
- ruleset-(name)정책에서 규칙 집합을 삭제합니다. 규칙 집합을 지정하지 않으면 정책에서 모든 규칙 집합이 제거됩니다.
- signature(hash_value)해시 값을 지정합니다. 정책에서 이 값은 정책과 연결된 RULESET 개체의 서명을 기반으로 합니다. 규칙 집합에서 이 값은 정책 배포 명령 목록 및 정책 배포 취소(제거) 명령 목록을 기반으로 합니다.
- subscriber(name(sub_name) status(status))전파 트리에서 노드의 구독자를 추가하고 그 상태를 지정합니다. 상태는unknown,available,unavailable또는sync중 하나가 될 수 있습니다.
- subscriber-(name(sub_name)) | sub-노드에서 구독자 데이터베이스를 제거합니다. 구독자를 지정하지 않으면 모든 구독자가 제거됩니다.
- targuid(userName)SUDO 클래스의 경우, 이 명령을 실행할 수 있는 권한을 빌려주는 사용자의 이름을 지정합니다. 기본값은 root입니다.
- trust리소스가 트러스트되었음을 지정합니다. trust 매개 변수는 PROGRAM 클래스와 SECFILE 클래스의 리소스에만 적용됩니다. 사용자는 프로그램이 트러스트된 상태를 유지하는 한 프로그램을 실행할 수 있습니다. 자세한 내용은UNIX용 끝점 관리 안내서를 참조하십시오. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- trust-리소스가 언트러스트되었음을 지정합니다. trust- 매개 변수는 PROGRAM 클래스와 SECFILE 클래스의 리소스에만 적용됩니다. 사용자는 언트러스트된 프로그램을 실행할 수 없습니다. 자세한 내용은UNIX용 끝점 관리 안내서를 참조하십시오. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
- undocmd+(selang_command_string)정책 배포 취소를 정의하는 selang 명령의 목록을 지정합니다. 이러한 명령은 배포된 정책을 제거(배포 취소)하는 데 사용됩니다. 예를 들면 다음과 같습니다.editres RULESET IIS5#02 undocmd+("rr FILE /inetpub/*")
- undocmd-RULESET 개체에서 정책 제거 명령 목록을 제거합니다.
- value+(value)지정된 변수(ACVAR 개체)에 지정된 값을 추가합니다.
- value-(value)지정된 변수(ACVAR 개체)에서 지정된 값을 제거합니다.
- 경고권한이 없는 접근자가 리소스에 액세스할 수 있도록 허용합니다. 그러나 감사 로그에 경고 메시지가 기록됩니다.참고:경고 모드에서는 리소스 그룹에 대한 경고 메시지를 작성하지 않습니다.
- warning-리소스에 액세스할 수 있는 권한이 없는 접근자는 리소스에 대한 액세스가 거부되도록 지정합니다. 또한 감사 로그에 경고 메시지가 기록되지 않습니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
예
- 사용자admin1은 터미널tty30에 대한 소유자와 기본 액세스 권한을 변경하고 평일 정규 업무 시간(오전 8시에서 오후 6시까지)에만 터미널을 사용할 수 있도록 제한하려고 합니다.
- 사용자 admin1이 ADMIN 특성을 가지고 있습니다.
chres TERMINAL tty30 owner(admin1) defaccess(read) restrictions \ (days(weekdays)time(0800:1800)) - 관리자 Sally는 account.txt 파일의 FILE 클래스 레코드에 저장된 group 및 owner 속성을 제거하려고 합니다.
- 사용자 Sally는 Jared의 사용자 레코드의 소유자입니다.
chres FILE /account.txt group() owner()문자열로 정의된 레코드 속성을 제거하려면 - 기호 또는 빈 괄호 ()와 함께 속성을 입력하십시오. - 사용자 Bob은 터미널 tty190의 comment 필드를 삭제하는 동시에 터미널 액세스가 허가될 때마다 알림을 받으려고 합니다.
- Bob은 사용자이며 터미널 tty190의 소유자입니다.
chres TERMINAL tty190 comment- notify(Bob@athena) - 사용자 Admin1은 SURROGATE 클래스에 있는 USER.root 리소스의 보안 범주 목록에 OPERATOR 범주를 추가하려고 합니다.
- 사용자 Admin1이 ADMIN 특성을 가지고 있습니다.
- OPERATOR 범주가 데이터베이스에 정의되어 있습니다.
chres SURROGATE USER.root category(OPERATOR) - 사용자 admin1은 /bin/su를 EXECUTE의 전역 액세스 권한을 가진 트러스트된 프로그램으로 정의하려고 합니다.
- 사용자 admin1이 ADMIN 특성을 가지고 있습니다.
- 다음과 같은 기본값이 적용됩니다.
- restrictions(days(anyday) time(anytime))
- owner(admin1)
- audit(failure)
newres PROGRAM /bin/su defaccess(x) trust - 사용자 admin1은 system 그룹의 그룹 ID 대체를 모든 사용자(admin1 포함)가 액세스할 수 없는 보호된 리소스로 정의하려고 합니다.
- 사용자 admin1이 ADMIN 특성을 가지고 있습니다. 사용자 nobody가 정의됩니다.
- 다음과 같은 기본값이 적용됩니다.
- restrictions(days(anyday) time(anytime))
- audit(failure)
newres SURROGATE GROUP.system defaccess(n) owner(nobody) - 사용자 SecAdmin은 터미널 T1, T8 및 T11을 포함하는 터미널 그룹 ProjATerms를 정의하려고 합니다. 이 터미널 그룹은 PROJECTA 그룹만 사용할 수 있으며 사용 시간은 평일 정규 업무 시간(오전 8:00부터 오후 6:00까지)으로 제한하려고 합니다.
- 사용자 SecAdmin은 ADMIN 특성을 가집니다.
- 터미널 T1, T8 및 T11이 정의됩니다.
- PROJECTA 그룹이 정의됩니다.
- audit(failure)
newres GTERMINAL ProjATerms mem(T1,T8,T11) owner(PROJECTA) \ restrictions(days(weekdays) time(0800:1800)) defaccess(n)