TERMINAL 클래스
TERMINAL 클래스의 각 레코드는 로컬 호스트의 터미널, 네트워크의 다른 호스트 또는 로그인 세션이 작성될 수 있는 X 터미널을 정의합니다. 또한 레코드는 와일드카드를 사용하여 터미널 이름 또는 IP 주소 패턴과 일치하는 터미널을 정의합니다. 사용자 로그인 프로시저 중 터미널 권한을 확인하여 사용자가 사용할 수 있는 권한이 없는 터미널에서 로그인할 수 없도록 합니다.
cminder12902kr
TERMINAL 클래스의 각 레코드는 로컬 호스트의 터미널, 네트워크의 다른 호스트 또는 로그인 세션이 작성될 수 있는 X 터미널을 정의합니다. 또한 레코드는 와일드카드를 사용하여 터미널 이름 또는 IP 주소
패턴
과 일치하는 터미널을 정의합니다. 사용자 로그인 프로시저 중 터미널 권한을 확인하여 사용자가 사용할 수 있는 권한이 없는 터미널에서 로그인할 수 없도록 합니다.TERMINAL 클래스는 관리 액세스도 제어합니다. 적절한 액세스 권한을 가진 터미널에서
Privileged Identity Manager
를 관리할 수 있는 사용자는 ADMIN 사용자뿐입니다.새 TERMINAL 레코드를 정의하면
Privileged Identity Manager
는 사용자가 제공하는 이름을 정규화된 이름으로 변환하려고 시도합니다. 변환이 되면 데이터베이스에 정규화된 이름을 저장합니다. 변환이 실패하면 지정된 이름을 저장합니다. 이 레코드를 참조하는 후속 명령(chres
, showres
, rmres
, authorize 등)을 실행할 때 데이터베이스에 나타나는 이름을 사용하십시오.TERMINAL 레코드의 키는 터미널의 이름입니다. 이 이름은
Privileged Identity Manager
에서 터미널을 식별합니다.다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.- ACL리소스에 대해 액세스가 허용된 접근자(사용자 및 그룹)와 접근자 액세스 유형의 목록을 정의합니다. ACL(액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
- RAUDITPrivileged Identity Manager가 감사 로그에 기록하는 액세스 이벤트의 유형을 정의합니다. RAUDIT의 이름은ResourceAUDIT에서 온 것입니다. 유효한 값:
- all모든 액세스 요청
- success허용된 액세스 요청
- failure거부된 액세스 요청(기본값).
- none액세스 요청 없음
Privileged Identity Manager는 리소스에 액세스하려는 각 시도에 대한 이벤트를 기록합니다. 그러나 액세스 규칙이 리소스에 직접 적용되었는지 아니면 구성원으로서 리소스를 가지고 있던 그룹이나 클래스에 적용되었는지는 기록되지 않습니다.감사 모드를 수정하려면chres및chfile명령의 audit 매개 변수를 사용하십시오. - CALACL리소스에 대한 액세스가 허용되는 접근자(사용자 및 그룹) 목록 및 해당 액세스 유형을 Unicenter NSM 달력 상태에 따라 정의합니다.CALACL(일정 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- CalendarUnicenter TNG의 일정에 대한 참조를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
일정 ACL에 정의된 액세스에 따라 사용자 또는 그룹에게 리소스에 대한 액세스를 허용하려면 calendar 매개 변수와 함께 권한 부여 명령을 사용하십시오. - CALENDARPrivileged Identity Manager에서의 사용자, 그룹 및 리소스 제한을 위한 Unicenter TNG 달력 개체를 나타냅니다.Privileged Identity Manager는 지정된 시간 간격으로 Unicenter TNG 활성 달력을 가져옵니다.
- CATEGORY사용자 또는 리소스에 할당된 하나 이상의 보안 범주를 정의합니다.
- COMMENT레코드에 포함할 추가 정보를 정의합니다.Privileged Identity Manager은 권한 부여를 위해 이 정보를 사용하지 않습니다.제한:255자
- CREATE_TIME(정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
- DAYTIME접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다. 이 속성을 수정하려면chres,ch[x]usr또는ch[x]grp명령과 함께 restrictions 매개 변수를 사용하십시오.daytime restrictions의 확인은 1분입니다.
- GROUPS리소스 레코드가 속하는 GTERMINAL 또는 CONTAINER 레코드 목록입니다.TERMINAL 클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 또는 GTERMINAL 레코드에서 MEMBERS 속성을 변경하십시오.이 속성을 수정하려면chres,editres, or또는newres명령과 함께mem+또는mem-매개 변수를 사용하십시오.
- NACL리소스의NACL속성은 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의하는 액세스 제어 목록입니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자에게 거부되는 액세스 유형을 정의합니다.
deniedaccess명령이나 authorize-deniedaccess-명령을 사용하십시오. - NOTIFY리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다.Privileged Identity Manager은 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다.제한:30자
- OWNER레코드를 소유하는 사용자 또는 그룹을 정의합니다.
- PACL
- 특정 프로그램(또는 이름 패턴이 일치하는 프로그램)이 액세스를 요청할 때 리소스에 대한 액세스가 허용되는 접근자 목록 및 해당 액세스 유형을 정의합니다. PACL(프로그램 액세스 제어 목록)의 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- ProgramPROGRAM 클래스의 레코드에 대한 참조를 명시적으로 정의하거나 와일드카드 패턴 일치를 사용하여 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.참고:PACL의 리소스를 지정하기 위해 와일드카드 문자를 사용할 수 있습니다.
PACL에 프로그램, 접근자 및 해당 액세스 유형을 추가하려면 selang 권한 부여 명령과 함께 via(
pgm
) 매개 변수를 사용하십시오. PACL에서 접근자를 제거하려면 authorize- 명령을 사용하면 됩니다.- SECLABEL사용자나 리소스의 보안 레이블을 정의합니다.참고:SECLABEL 속성은
및chres
명령의 label[-] 매개 변수에 해당합니다.ch[x]usr
- SECLEVEL접근자 또는 리소스의 보안 수준을 정의합니다.참고:이 속성은
및ch[x]usr
명령의 level[-] 매개 변수에 해당합니다.chres - UACC리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은Privileged Identity Manager에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 액세스가 허용됨을 나타냅니다.이 속성을 수정하려면chres,editres또는newres명령과 함께defaccess매개 변수를 사용하십시오.
- UPDATE_TIME(정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
- UPDATE_WHO(정보) 업데이트를 수행한 관리자를 표시합니다.
- WARNING경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 설정되어 있으면 리소스에 대한 모든 액세스 요청이 허가됩니다. 액세스 요청이 액세스 규칙을 위반하는 경우 레코드가 감사 로그에 기록됩니다.
예 1:
이 예에서는 Unix/Linux 끝점에서 TERMINAL 클래스를 사용하여 로컬 호스트의 터미널에서 Selang에 액세스할 수 있는 권한을 사용자에게 부여하는 방법을 보여 줍니다. 1 단계
: 사용자 "John"을 생성합니다.AC> eu John password(John_Pwd)(localhost)Successfully updated USER John(localhost)Native:===Successfully created USER John
2 단계
: 동일한 로컬 호스트의 서로 다른 터미널에 "John" 사용자로 로그인하고 Selang 명령 실행을 시도합니다. 기본적으로 모든 사용자는 Selang에 액세스할 수 있는 권한이 없기 때문에 John은 Selang에 액세스하지 못합니다.ERROR: Initialization failed, EXITING!(localhost)ERROR: Login procedure failedERROR: You are not allowed to administer this site from terminal MyLocalHost.sample.com
3 단계
: 슈퍼 사용자(root)가 TERMINAL 클래스를 사용하여 로컬 호스트의 터미널에서 Selang에 액세스할 수 있는 권한을 "John"에게 부여하는 정책을 생성합니다.AC> authorize TERMINAL MyLocalHost.sample.com uid(John) access(r w) (localhost)Successfully added John to MyLocalHost.sample.com's ACL
4 단계
: John이 로컬 호스트의 터미널에서 Selang에 액세스를 시도하여 성공합니다.MyLocalHost.sample.com:~> /opt/CA/AccessControl/bin/selangCA ControlMinder selang v12.81.0.2606 - CA ControlMinder command line interpreterCopyright (c) 2013 CA. All rights reserved.
예 2:
이 예에서는 Unix/Linux 끝점에서 TERMINAL 클래스를 사용하여 네트워크에 있는 다른 호스트의 터미널에서 Selang에 액세스할 수 있는 권한을 사용자에게 부여하는 방법을 보여 줍니다. MyLocalHost.sample.com:~> ssh root@ AnotherHost.sample.com[email protected]'s password:# iduid=0(root) gid=0(system) groups=2(bin),3(sys),7(security),8(cron),10(audit),11(lp)# hostname
2 단계
: root 사용자가 Selang에 액세스하고, 네트워크의 다른 호스트(AnotherHost.sample.com)에서 사용자 "John"을 생성합니다.# ./opt/CA/AccessControl/bin/selangAC> eu John password(John_pwd)(localhost)Successfully created USER John(localhost)Native:===Successfully updated USER John
3 단계
: 로컬 호스트(MyLocalHost.sample.com)에서 John 사용자가 터미널을 열고 네트워크의 다른 호스트(AnotherHost.sample.com)에 로그인한 후 Selang에 액세스를 시도하지만 실패합니다.MyLocalHost.sample.com:~> ssh John@ AnotherHost.sample.com[email protected]'s password:$ iduid=203(John) gid=1(staff)$ hostname$ /opt/CA/AccessControl/bin/selangERROR: Initialization failed, EXITING!(localhost)ERROR: Login procedure failedERROR: You are not allowed to administer this site from terminal AnotherHost.sample.com
4 단계
: root 사용자가 John에게 네트워크의 다른 터미널에서 Selang 명령을 실행할 수 있는 권한을 부여합니다.AC> authorize terminal AnotherHost.sample.com uid(John) access(r w) (localhost)Successfully added John to AnotherHost.sample.com 's ACL
5 단계
: 이제 John이 네트워크의 다른 터미널에서 Selang 명령을 실행할 수 있습니다.$ /opt/CA/AccessControl/bin/selangCA ControlMinder selang v12.81.0.2690 - CA ControlMinder command line interpreterCopyright (c) 2013 CA. All rights reserved.