LOGINAPPL 클래스
UNIX에 해당
cminder12902kr
UNIX에 해당
LOGINAPPL 클래스의 각 레코드는 로그인 응용 프로그램을 정의하고, 프로그램을 사용하여 로그인할 수 있는 사용자를 식별하며, 로그인 프로그램이 사용되는 방식을 제어합니다.
LOGINAPPL 클래스 레코드의 키는 응용 프로그램의 이름, 즉 로그인 응용 프로그램을 나타내는 논리적 이름입니다. 이 논리 이름은 LOGINPATH 속성에서 실행 파일의 전체 경로 이름과 연결되어 있습니다.
Privileged Identity Manager
은 또한 일반 로그인 응용 프로그램을 제어하고 보호할 수 있습니다. 이는 특정 규칙을 일반 패턴과 연결하는 로그인 응용 프로그램 그룹을 보호할 수 있다는 의미입니다. selang을 사용하여 일반 로그인 응용 프로그램을 정의하려면 LOGINPATH 매개 변수를 제외하고 기본적인 로그인 제한을 설정할 때와 같은 명령을 사용하십시오. 이 명령에는 [, ], *, ? 문자 중 하나 이상을 사용하는 정규식으로 구성된 일반 경로가 포함되어야 합니다.Privileged Identity Manager
은 표준 로그인 프로그램의 LOGINAPPL 클래스에서 레코드의 속성 값을 미리 설정합니다. 변경하기 전에 기존 설정을 나열하고 확인해야 합니다.중요!
LOGINAPPL은 _default 항목을 사용하지 않습니다.다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.- ACL리소스에 대해 액세스가 허용된 접근자(사용자 및 그룹) 목록 및 접근자의 액세스 유형을 정의합니다.ACL(액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
- CALACL리소스에 대한 액세스가 허용되는 접근자(사용자 및 그룹) 목록 및 해당 액세스 유형을 Unicenter NSM 일정 상태에 따라 정의합니다.CALACL(일정 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- CalendarUnicenter TNG의 일정에 대한 참조를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
일정 ACL에 정의된 액세스에 따라 사용자 또는 그룹에게 리소스에 대한 액세스를 허용하려면 calendar 매개 변수와 함께 권한 부여 명령을 사용하십시오. - CALENDAR사용자, 그룹 및 리소스 제한을 위한 Unicenter TNG 일정 개체를 나타냅니다. 지정된 시간 간격으로 Unicenter TNG 활성 일정을 가져올 수 있습니다.
- COMMENT레코드에 포함할 추가 정보를 정의합니다. 이 설명은 권한 부여에 사용되지 않습니다.제한:255자
- CREATE_TIME(정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
- DAYTIME접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.이 속성을 수정하려면 chres, ch[x]usr 또는 ch[x]grp 명령과 함께 restrictions 매개 변수를 사용하십시오.daytime restrictions의 확인은 1분입니다.
- LOGINFLAGS장치 번호의 변경 및 유예 로그인 횟수 감소를 포함하여 로그인 응용 프로그램의 특수 기능을 제어합니다. 유효한 값:
- execlogin-프로세스가 수행하는 첫 번째 EXEC 작업이 로그인 트리거가 되도록 지정합니다.
- loginprefix-로그인한 사용자 이름 앞에 LOGINAPPL 리소스 이름을 추가하도록 지정합니다. 예를 들어 이 속성을 설정하고 이름이 user1인 사용자가 CRON 작업을 예약할 경우 CRON 작업 로그인이 트리거되면 사용자 이름이 USR_SBIN_CRON_user1로 설정됩니다.참고:root 앞에는 LOGINAPPL 리소스 이름이 추가되지 않습니다.
- nograce-이 응용 프로그램을 통해 사용자가 로그인할 때 유예 로그인 수가 감소하지 않음을 나타냅니다.
- nograceroot-이 응용 프로그램을 통해 루트가 로그인할 때 유예 로그인 수가 감소하지 않음을 나타냅니다.
- nologin-로그인이 사용자에게 대해서만 기록되도록 합니다. 상위 프로그램에 대한 로그인은 기록되지 않습니다.일부 플랫폼의 rlogin과 같은 프로그램은 로그인을 트리거하고 로그인 시퀀스 자체를 닫습니다. 이로 인해 root에 대한 실제 로그인이 기록됩니다. 로그인 후 rlogin은 다른 프로그램에 대한 포크를 수행하여 실제 로그인을 수행합니다.이 문제는 rlogin 또는 텔넷과 같은 로그인 프로그램을 사용하고 seaudit -a를 실행할 경우 명백하게 나타납니다. uid로서의 루트와 동일한 로그인에 대해서도 로그인 레코드가 있습니다.
- pamlogin-사용자가 이 응용 프로그램을 통해 로그인할 때Privileged Identity ManagerPAM 로그인 차단이 사용됨을 나타냅니다.
- LOGINMETHOD로그인 응용 프로그램이 보호를 목적으로 하는 의사(pseudo) 로그인 프로그램인지 여부를 나타냅니다. 유효한 값:
- normal-이 로그인 응용 프로그램이 setuid 및 setgid 호출을 직접 실행함을 나타냅니다. seosd는 지정된 프로그램의 규칙을 검사합니다.
- pseudo-이 로그인 응용 프로그램이 다른 프로그램을 호출하여 setuid 및 setgid 호출을 실행함을 나타냅니다. seosd는 다른 프로그램에서 규칙을 검사합니다.
이 속성을 수정하려면 loginmethod 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.중요!미리 설정된 이 속성을 수정하지 않는 것이 좋습니다. - LOGINPATH로그인 응용 프로그램의 전체 경로(또는 일반 경로)입니다.이 속성을 수정하려면 loginpath 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- LOGINSEQUENCE로그인 프로세스를 시작하는 데몬의 사용자(일반적으로 root 아래의 inetd)를 실제 로그온한 사용자로 설정하기 위해 seosd가 처리하는 seteuid, setuid, setgid 및 setgroups 이벤트의 시퀀스를 정의합니다. 최대 8개의 시스템 이벤트를 정의할 수 있습니다.로그인 차단 시퀀스는 항상 setgid 또는 setgroups 이벤트로 시작되며 이를트리거라고 합니다. 이 시퀀스는 사용자의 ID를 실제 로그인한 사용자로 변경하는 setuid 이벤트로 끝납니다.로그인을 성공적으로 수행하려면 프로그램이 setgroups 또는 setgid에서 시작하여 setuid 또는 seteuid로 끝나는 시퀀스로 지정된 모든 프로세스를 수행해야 합니다.프로그램에 적합한 LoginSequence를 설정하는 것은 어려운 작업입니다. 대부분의 로그인 프로그램은 기본 SGRP,SUID 설정에서 올바로 실행됩니다. 이 설정은 프로그램이 setgroups 시스템 호출을 실행한 다음 setuid 명령을 보내어 사용자의 ID를 대상 사용자로 변경하는 것을 의미합니다.그러나 SGRP, SUID 설정이 작동하지 않으면 다음 플래그를 사용하여 올바른 순서를 지정해야 합니다.
- SEID-첫 번째 seteuid 이벤트
- SUID-첫 번째 setuid 이벤트
- SGID-첫 번째 setgid 이벤트
- SGRP-첫 번째 setgroup 이벤트
- FEID-두 번째 seteuid 이벤트
- FUID-두 번째 setuid 이벤트
- FGID-두 번째 setgid 이벤트
- FGRP-두 번째 setgroup 이벤트
- N3EID-세 번째 seteuid 이벤트
- N3UID-세 번째 setuid 이벤트
- N3GID-세 번째 setgid 이벤트
- N3GRP-세 번째 setgroup 이벤트
중요!올바른 로그인 시퀀스를 지정하려면 플래그를 사용해야 합니다. 하지만 LOGINSEQUENCE 매개 변수 내에서 임의 순서로 플래그를 지정할 수 있습니다. 예를 들어, SGRP, SEID, FEID, N3EID는 N3EID, FEID, SGRP, SEID와 동일합니다.참고:로그인 프로그램이 수행하는 시스템 호출의 시퀀스를 잘 모르는 경우에는 추적 정보를 확인하여 사용자를 대상 uid로 변경한 setuid 이벤트를 찾은 다음, 첫 번째 setgid 또는 setgroups 이벤트로 시작하는 이전 추적 이벤트를 검토할 수 있습니다.예를 들어 setgroups 이벤트가 하나 있고 세번째 setuid 호출만 대상 사용자를 설정하는 경우 LOGINSEQUENCE를 SGRP,SUID,FUID,N3UID로 설정해야 합니다. 이러한 플래그는 임의 순서로 지정할 수 있습니다.SETGRPS : P=565302 to 0,2,3,7,8,10,11,250,220,221,230 SUID > P=565302 U=0 (R=0 E=0 S=0 ) to (R=0 E=0 S=0 ) () BYPASS SUID > P=565302 U=0 (R=0 E=0 S=0 ) to (R=0 E=0 S=-1 ) () BYPASS LOGIN : P=565302 User=target Terminal=mercuryThe SETGRPS process indicates the trigger.The first SUID command should be discounted because you can see that the root simply changed back to root, not the trigger user. (This is the SUID in the sequence.)The second SUID command should be discounted as well because you can see that the root changed back to root, not the trigger user. (This is the FUID in the sequence.)The LOGIN event is the actual SETUID event causing the login. (Because it is the third event, it is the N3UID flag in the sequence.)이 속성을 수정하려면 loginsequence 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오. - NACL
리소스의
NACL
속성은 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의하는 액세스 제어 목록입니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.접근자
접근자를 정의합니다.
- 액세스접근자에게 거부되는 액세스 유형을 정의합니다.
이 속성을 수정하려면 authorize deniedaccess 명령 또는 authorize- deniedaccess- 명령을 사용하십시오.
NOTIFY
리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다. 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다.
제한:
30자.OWNER
레코드를 소유하는 사용자 또는 그룹을 정의합니다.
RAUDIT
감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은
R
esource AUDIT
에서 온 것입니다. 유효한 값:- all모든 액세스 요청.
- success허용된 액세스 요청.
- failure거부된 액세스 요청(기본값).
- none액세스 요청 없음.
Privileged Identity Manager
은 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지, 아니면 구성원으로서 리소스를 가지고 있던 그룹이나 클래스에 적용되었는지는 기록하지 않습니다.chres 및 chfile 명령의 audit 매개 변수를 사용하여 감사 모드를 수정하십시오.
UACC
리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은
Privileged Identity Manager
에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 허용된 액세스를 나타냅니다.이 속성을 수정하려면 defaccess 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
UPDATE_TIME
(정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
UPDATE_WHO
(정보) 업데이트를 수행한 관리자를 표시합니다.
WARNING
경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 활성화되면 해당 리소스에 대한 모든 액세스 요청이 허용되고 액세스 요청이 액세스 규칙을 위반하는 경우 감사 로그에 레코드가 기록됩니다.