SUDO 클래스
SUDO 클래스의 각 레코드는 한 사용자가 sesudo 명령을 사용하여 다른 사용자로부터 사용 권한을 빌려 올 수 있는 명령을 식별합니다.
cminder12902kr
SUDO 클래스의 각 레코드는 한 사용자가 sesudo 명령을 사용하여 다른 사용자로부터 사용 권한을 빌려 올 수 있는 명령을 식별합니다.
SUDO 클래스 레코드의 키는 SUDO 레코드 이름입니다. 이 이름은 사용자가 SUDO 레코드에서 명령을 실행할 때 명령 이름 대신 사용됩니다.
참고:
대화형 Windows 응용 프로그램에 대해 SUDO 레코드를 만드는 경우 SUDO 레코드에 대한 대화형 플래그를 설정해야 합니다. 대화형 플래그를 설정하지 않는 경우 응용 프로그램이 백그라운드로 실행되고 사용자가 응용 프로그램과 상호 작용할 수 없습니다. 자세한 내용은 문제 해결 안내서
를 참조하십시오.다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은
정보
로 표시되어 있습니다.- ACL리소스에 대해 액세스가 허용된 접근자(사용자 및 그룹) 목록 및 접근자의 액세스 유형을 정의합니다.ACL(액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
- CALACL리소스에 대한 액세스가 허용되는 접근자(사용자 및 그룹) 목록 및 해당 액세스 유형을 Unicenter NSM 일정 상태에 따라 정의합니다.CALACL(일정 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- CalendarUnicenter TNG의 일정에 대한 참조를 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
일정 ACL에 정의된 액세스에 따라 사용자 또는 그룹에게 리소스에 대한 액세스를 허용하려면 calendar 매개 변수와 함께 권한 부여 명령을 사용하십시오. - CALENDAR사용자, 그룹 및 리소스 제한을 위한 Unicenter TNG 일정 개체를 나타냅니다. 지정된 시간 간격으로 Unicenter TNG 활성 일정을 가져올 수 있습니다.
- CATEGORY사용자 또는 리소스에 할당된 하나 이상의 보안 범주를 정의합니다.
- COMMENTsesudo가 실행하는 명령입니다.영숫자 문자열에는 명령과 허용 및 금지된 매개 변수를 포함하여 최대 255자가 들어갈 수 있습니다.예를 들어, 다음 프로필 정의는 COMMENT 속성을 적절하게 사용합니다.newres SUDO profile_name comment('command;;NAME')참고:COMMENT 속성의 이 사용법은 다른 클래스의 경우와 다릅니다. SUDO 레코드 정의에 대한 자세한 내용은 해당 OS의끝점 관리 안내서를 참조하십시오. 이 속성은Privileged Identity Manager의 이전 버전에서 DATA라고 했습니다.제한:255자이 속성을 수정하려면 chres, editres 및 newres 명령과 함께 comment[-] 매개 변수를 사용합니다.
- CREATE_TIME(정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
- DAYTIME접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.이 속성을 수정하려면 chres, ch[x]usr 또는 ch[x]grp 명령과 함께 restrictions 매개 변수를 사용하십시오.daytime restrictions의 확인은 1분입니다.
- GROUPS리소스 레코드가 속해 있는 GSUDO 또는 CONTAINER 레코드의 목록입니다.SUDO 클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 또는 GSUDO 레코드에서 MEMBERS 속성을 변경해야 합니다.이 속성을 수정하려면 mem+ 또는 mem- 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- INTERACTIVE(Windows 전용) sesudo를 통해 실행하려는 응용 프로그램이 서비스 응용 프로그램이 아니라 notepad.exe나 cmd.exe 등의 대화형 Windows 응용 프로그램인 경우 이 스위치를 표시해야 합니다. sesudo를 사용하여,interactive로 표시되지 않은 대화형 응용 프로그램을 실행하려고 하면 해당 응용 프로그램은 대화형 기능 없이 배경에서 실행됩니다.참고:일부 Windows 응용 프로그램은 Windows 제한으로 인해 포그라운드에서 실행할 수 없습니다.
- NACL
리소스의
NACL
속성은 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의하는 액세스 제어 목록입니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.- 접근자
접근자를 정의합니다.
- 액세스접근자에게 거부되는 액세스 유형을 정의합니다.
이 속성을 수정하려면 authorize deniedaccess 명령 또는 authorize- deniedaccess- 명령을 사용하십시오.
- NOTIFY
리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다. 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다.
제한:
30자.- OWNER
레코드를 소유하는 사용자 또는 그룹을 정의합니다.
PACL
특정 프로그램(또는 이름 패턴이 일치하는 프로그램)이 액세스를 요청할 때 리소스에 대한 액세스가 허용되는 접근자 목록 및 해당 액세스 유형을 정의합니다. PACL(프로그램 액세스 제어 목록)의 각 요소는 다음 정보를 포함합니다.
- 접근자접근자를 정의합니다.
- ProgramPROGRAM 클래스의 레코드에 대한 참조를 명시적으로 정의하거나 와일드카드 패턴 일치를 사용하여 정의합니다.
- 액세스접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
참고:
PACL의 리소스를 지정하기 위해 와일드카드 문자를 사용할 수 있습니다.PACL에 프로그램, 접근자 및 해당 액세스 유형을 추가하려면 selang 권한 부여 명령과 함께 via(
pgm
) 매개 변수를 사용하십시오. PACL에서 접근자를 제거하려면 authorize- 명령을 사용할 수 있습니다.- PASSWORD
(UNIX 전용) 실행하기 전에 sesudo 명령이 원래 사용자 암호를 요청하는지 여부를 나타냅니다.
이 속성을 수정하려면 password 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- POLICYMODEL
sepass 유틸리티로 사용자 암호를 변경할 때 새 암호를 수신하는 PMDB를 지정합니다. 이 속성에 대한 값을 입력하는 경우 암호는 parent_pmd 또는 passwd_pmd 구성 설정에 의해 정의된 정책 모델로 전송되지
않습니다
.참고:
이 속성은 ch[x]usr 및 ch[x]grp 명령의 pmdb[-] 매개 변수에 해당합니다.- SECLABEL
사용자나 리소스의 보안 레이블을 정의합니다.
참고:
SECLABEL 속성은 chres 및 ch[x]usr 명령의 label[-] 매개 변수에 해당합니다.- SECLEVEL
접근자 또는 리소스의 보안 수준을 정의합니다.
참고:
이 속성은 ch[x]usr 및 chres 명령의 level[-] 매개 변수에 해당합니다.- TARGUSR
(UNIX 전용) 명령을 실행하기 위해 권한을 빌리는 사용자를 표시하는 대상 uid를 나타냅니다. 기본값은 root입니다.
이 속성을 수정하려면 targuid 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- UACC
리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은
Privileged Identity Manager
에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 허용된 액세스를 나타냅니다.이 속성을 수정하려면 defaccess 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
- UPDATE_TIME
(정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
- UPDATE_WHO
(정보) 업데이트를 수행한 관리자를 표시합니다.
- WARNING
경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 활성화되면 해당 리소스에 대한 모든 액세스 요청이 허용되고 액세스 요청이 액세스 규칙을 위반하는 경우 감사 로그에 레코드가 기록됩니다.