|
|
|
AC 環境で有効
chgrp、chxgrp、editgrp、editxgrp、newgrp、および newxgrp の各コマンドは、グループのプロパティを変更するため、および必要に応じて CA Access Control データベースにグループを作成するために使用します。
各コマンドには以下のような省略形があります。
これらのコマンドの構造は同じで、機能だけが以下のように異なっています。
注: このコマンドはネイティブ環境にもありますが、動作が異なります。
必要な権限
新しい CA Access Control グループを作成するには、以下の条件が少なくとも 1 つ満たされている必要があります。
グループを追加または変更するには、以下の条件が少なくとも 1 つ満たされている必要があります。
{{chgrp|cg}|{chxgrp|cxg}|{editgrp|eg}|{editxgrp|exg}|{newgrp|ng}|{newxgrp|nxg}} groupName ...
[{admin | admin‑}] ¥
[audit(none|all|success|failure|loginsuccess|loginfail|trace|interactive)|audit-] ¥
[{auditor | auditor‑}] ¥
[comment(string)|comment‑] ¥
[expire[(mm/dd/yy[yy[@hh:mm])]|expire‑] ¥
[gowner(groupName)] ¥
[homedir(fullPath|nohomedir)] ¥
[inactive(numInactiveDays)|inactive‑] ¥
[maxlogins(maximumNumberOfLogins)|maxlogins‑] ¥
[mem(groupName)|mem+(groupName)|mem‑(groupName)]¥
[name('fullName')] ¥
[nt[(comment(comment))]
[{operator | operator‑}] ¥
[owner(userName|groupName)] ¥
[parent(groupName)|parent‑] ¥
[password( ¥
[history(numberStoredPasswords)|history‑] ¥ [interval(maximumPasswordChangeInterval)|interval‑] ¥ [min_life(minimumPasswordChangeInterval)|min_life‑] ¥ [rules( ¥ [alpha(minimumAlphaCharacters)] ¥ [alphanum(minimumAlphanumericCharacters)] ¥ [bidirectional|bidirectional‑] ¥ [grace(numberOfGraceLogins)] ¥ [min_len(minimumPasswordLength)] ¥ [max_len(maximumPasswordLength)] ¥ [lowercase(minimumLowercaseCharacters)] ¥ [max_rep(maxRepetitiveCharacters)] ¥ [namechk|namechk‑] ¥ [numeric(minimumNumericCharacters)] ¥ [oldpwchk|oldpwchk‑] ¥ [special(minimumSpecialCharacters)] ¥ [uppercase(minimumUppercaseCharacters)] ¥ [use_dbdict|use_dbdict‑] ¥ )|rules‑] ¥ )] ¥
[pmdb(PolicyModelName)|pmdb‑] ¥
[{pwmanager | pwmanager‑}] ¥
[restrictions( ¥
[days({anyday|weekdays|{[mon] [tue] [wed] ¥
[thu] [fri] [sat] [sun]}})] ¥
[time(anytime|startTime:endTime) ¥
|restrictions‑] ¥
[resume[(mm/dd/yy[yy][@hh:mm])]|resume‑] ¥
[{server | server‑}] ¥
[shellprog(fullPath)] ¥
[supgroup(superiorGroup)|supgroup-] ¥
[suspend[(mm/dd/yy[yy][@hh:mm])]|suspend‑] ¥
[unix[( ¥
[appl(quotedString)] ¥ [groupid(groupidNumber)] ¥ [userlist(userName...)] ¥
)]] ¥
文字列でプロパティが定義されているレコード プロパティを削除するには、プロパティに続けて、‑ (マイナス記号)または ()(空の丸かっこ)を入力します。
注: 一部のパラメータは、グループがプロファイル グループとして機能する場合のみ有効です。 プロファイル グループはエンタープライズ グループにはなれません。
グループに ADMIN 属性を割り当てます。 ADMIN 属性を持つグループのメンバであるユーザは、audit パラメータ以外のすべてのパラメータを使用して selang のすべてのコマンドを発行できます。 admin パラメータを使用するには ADMIN 属性が必要です。
グループから ADMIN 属性を削除します。 (CA Access Control は少なくとも 1 人のユーザが ADMIN 属性を持つようにします)。
このパラメータは、new[x]grp コマンドでは使用できません。
このコマンドのトレース監査を有効にします。 監査モードには、none、all、success、failure、loginsuccess、loginfail、trace、および interactive があります。
このコマンドのトレース監査を無効にします。
グループに AUDITOR 属性を割り当てます。 AUDITOR 属性を持つグループのメンバであるユーザは、システム リソースの使用状況を監査できます。また、CA Access Control の権限チェックで検出された CA Access Control の保護対象であるすべてのリソースへのアクセス、およびデータベースへのアクセスに対するログの記録を制御できます。 AUDITOR 属性を持つユーザに与えられる権限の詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
グループ レコードから AUDITOR 属性を削除します。
このパラメータは、new[x]grp コマンドでは使用できません。
最大 255 文字の英数字(シングル バイト文字)から成るコメント文字列をグループ レコードに追加します。 文字列にスペースが含まれる場合は、文字列全体を一重引用符で囲みます。 以前に追加した既存の文字列がある場合、この文字列に置き換えられます。
注: ドイツ語の場合は、128 文字しか記録されません。
グループ レコードからコメント文字列(ある場合)を削除します。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。
グループ メンバのアカウントが失効する日付を設定します。 date を指定しなかった場合、現在ログインしていないユーザのユーザ アカウントはただちに失効します。 ユーザがログインしていた場合、アカウントはユーザがログアウトすると失効します。 このパラメータは、プロファイル グループにのみ適用されます。
失効の日付と時刻は、以下の形式で指定します。時刻は省略可能です。
mm/dd/yy [yy][@HH:MM] 年は、下 2 桁または 4 桁のどちらでも指定できます。
注: 失効したユーザ レコードは、resume パラメータに再開日を指定しても有効にできません。 失効したユーザ レコードを有効にするには、expire‑ パラメータを使用します。
newgrp コマンドの場合は、有効期限のないユーザ アカウントを定義します。 chgrp コマンドおよび editgrp コマンドの場合は、ユーザ アカウントから有効期限を削除します。 このパラメータは、プロファイル グループにのみ適用されます。
グループ レコードの所有者として CA Access Control ユーザまたはグループを割り当てます。 複数のグループ名を指定する場合は、グループ名を丸かっこで囲み、各グループ名をスペースまたはカンマで区切ります。 このパラメータを省略した場合、データベースにグループを追加したユーザがグループ レコードの所有者になります。
ユーザのアカウントが一時停止になるまでにログインできる最大回数を設定します。 猶予ログイン回数には、0 ~ 255 の値を指定する必要があります。 猶予ログイン回数に達すると、ユーザはシステムへのアクセスを拒否されるため、システム管理者に連絡して新しいパスワードを設定する必要があります。 猶予回数が 0 に設定されている場合、ユーザはログインできません。 このパラメータは、プロファイル グループにのみ適用されます。
グループの猶予ログイン設定を削除します。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。 このパラメータは、プロファイル グループにのみ適用されます。
作成するグループの名前またはプロパティの変更対象のグループの名前を指定します。 new[x]grp コマンドの場合、データベースに存在しない一意なグループ名を指定する必要があります。 ただし、グループとユーザには重複する名前を使用できます。
保存するパスワードの数を指定します。 history‑ を使用して履歴ファイルを削除できます。
ユーザのホーム ディレクトリの完全パスを指定します。 指定するパスの末尾にスラッシュを指定すると、groupName が指定されたパスに追加されます。 nohomedir を指定すると、ホーム ディレクトリは自動的には設定されません。
ユーザのステータスがシステムによって非アクティブに変更されるまでの必要経過日数を指定します。 指定した日数が経過すると、ユーザはログインできなくなります。 このパラメータは、プロファイル グループにのみ適用されます。
numInactiveDays には正の整数または 0 を入力します。 inactive を 0 に設定すると、inactive‑ パラメータを使用した場合と同じ結果になります。
注: ユーザ レコードには、アクティブでないユーザのマークが設定されません。 アクティブでないユーザを識別するには、Inactive Days 値と Last Accessed Time 値を比較する必要があります。
ユーザのステータスを非アクティブからアクティブに変更します。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。 このパラメータは、プロファイル グループにのみ適用されます。
パスワードの設定または変更後、ユーザに対して新しいパスワードの入力を促すメッセージを表示するまでの経過日数を設定します。 正の整数または 0 を入力します。 interval に 0 を設定すると、グループに対するパスワード期間のチェックが無効になり、パスワードが失効しません。 setoptions コマンドで設定したデフォルト値は使用されません。 interval を 0 に設定するのは、セキュリティ要件が厳しくないユーザに限定してください。
指定した日数が経過すると、CA Access Control は、現在のパスワードが期限切れになったことをユーザに通知します。 通知を受けたユーザは、ただちにパスワードを更新するか、猶予ログイン回数に達するまで古いパスワードを引き続き使用することができます。 猶予ログイン回数に達するとユーザはシステムへのアクセスを拒否されるため、システム管理者に連絡して新しいパスワードを設定する必要があります。 このパラメータは、プロファイル グループにのみ適用されます。
グループに対するパスワード期間の設定を取り消します。 この設定を取り消すと、ユーザ レコードの任意の値が使用されます。 それ以外の場合は、setoptions コマンドで設定したデフォルト値が使用されます。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ入力できます。 このパラメータは、プロファイル グループにのみ適用されます。
ユーザが同時にログインできる端末の最大数を設定します。 値 0(ゼロ)は、ユーザが任意の数の端末から同時にログインできることを意味します。 このパラメータを指定しない場合は、ユーザ レコードの任意の値が使用されます。 それ以外の場合は、グローバルに設定されているログインの最大数が使用されます。 このパラメータは、プロファイル グループにのみ適用されます。
注: maxlogins を 1 に設定すると、selang を実行できません。 この場合、CA Access Control を停止し、maxlogins の設定を 2 以上の値に変更し、CA Access Control を再起動する必要があります。
グループの最大ログイン数の設定を削除します。 このパラメータを指定しない場合は、ユーザ レコードの任意の値が使用されます。 それ以外の場合は、グローバルに設定されているログインの最大数が使用されます。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。 このパラメータは、プロファイル グループにのみ適用されます。
CA Access Control のグループにメンバ グループ(子グループ)を追加します。 メンバ グループ(GroupName)は、CA Access Control にあらかじめに定義しておく必要があります。 複数のメンバ グループを追加する場合は、各グループ名をカンマで区切ります。 グループ名にスペースが含まれている場合は、一重引用符で囲みます。
注: 内部グループにユーザを追加するには、join[x] コマンドを使用します。
このオプションは、内部グループにのみ適用されます。
指定のグループからメンバ グループを削除します。 メンバ グループ(GroupName)は、CA Access Control にあらかじめに定義しておく必要があります。 複数のメンバ グループを削除する場合は、各グループ名をカンマで区切ります。 グループ名にスペースが含まれている場合は、一重引用符で囲みます。
注: 内部グループからユーザを削除するには、join[x]- コマンドを使用します。
このオプションは、内部グループにのみ適用されます。
ユーザが再びパスワードを変更できるようになるまでの最短経過日数を指定します。 このパラメータは、プロファイル グループにのみ適用されます。
グループの min_life 設定を削除します。 min_life- パラメータが指定されてなく、min_life パラメータがユーザ レコードに設定されている場合は、ユーザ レコードの値が使用されます。 それ以外の場合は、グローバルに設定されている min_life が使用されます。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。 このパラメータは、プロファイル グループにのみ適用されます。
グループのフル ネームを指定します。 最大 47 文字の英数字から成る文字列を入力します。 文字列に空白が含まれる場合は、文字列を一重引用符で囲みます。
(Windows のみ)ローカル Windows システムにグループ定義を追加するか、ローカル Windows システムのグループ定義を変更します。
コメント文字列をネイティブ レコードに追加します。 レコードにすでにコメント文字列が追加されている場合、既存の文字列はここで指定した新しい文字列で置き換えられます。
comment は、最大 255 文字の英数字から成る文字列です。 文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
グループに OPERATOR 属性を割り当てます。 OPERATOR 属性を持つグループのメンバであるユーザは、データベースのすべてのリソース レコードを一覧表示できます。また、このユーザには CA Access Control で定義されたすべてのファイルに対する読み取り権限が与えられます。
この属性をもつグループのメンバであるユーザは、secons コマンドのオプションをすべて使用することもできます。 secons ユーティリティの詳細については、「リファレンス ガイド」を参照してください。
グループ レコードから OPERATOR 属性を削除します。
このパラメータは、new[x]grp コマンドでは使用できません。
グループ レコードの所有者として CA Access Control ユーザまたはグループを割り当てます。 このパラメータを省略した場合、データベースにグループを追加したユーザが所有者になります。 詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
既存の CA Access Control グループをグループ レコードの親グループとして割り当てます。 親子関係の詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
グループとその親グループの間のリンクを削除します。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。
指定されたグループにパスワードを割り当てます。
このグループのパスワードの入力を不要にします。
グループ内のユーザが sepass ユーティリティを使用してパスワードを変更した場合に、指定された Policy Model に新しいパスワードを伝達するように指定します。 PMDB の完全修飾名を入力します。
パスワードは、seos.ini の [seos] セクションの parent_pmd トークンまたは passwd_pmd トークンに定義されている Policy Model には送信されません。 このパラメータは、プロファイル グループにのみ適用されます。
グループ レコードから PMDB 属性を削除します。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。 このパラメータは、プロファイル グループにのみ適用されます。
グループに PWMANAGER 属性を割り当てます。 この属性をもつグループのメンバであるユーザは、データベース内のユーザのパスワードを変更できます。 詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
グループ レコードから PWMANAGER 属性を削除します。
このパラメータは、new[x]grp コマンドでは使用できません。
グループのメンバがシステムにログインできる曜日と時間帯を指定します。
ユーザがログイン中にログイン期間が過ぎたとしても、CA Access Control がユーザをシステムから強制ログオフすることはありません。 また、このログイン制限はバッチ ジョブには適用されません。ユーザはいつでもバックグラウンド プロセスを実行することができます。 このパラメータは、プロファイル グループにのみ適用されます。
days 引数を指定せずに time 引数を指定した場合、レコード内にすでに設定されている曜日制限に対して、指定した時間帯制限が適用されます。 time 引数を指定せずに days 引数を指定した場合、レコード内にすでに設定されている時間帯制限に対して、指定した曜日制限が適用されます。 days 引数と time 引数の両方を指定した場合、指定した曜日の指定した時間帯にのみグループのメンバはシステムへのアクセスを許可されます。
ユーザがシステムにログインできる曜日を指定します。 days 引数には次のサブ引数があります。
ユーザがシステムにログインできる時間帯を指定します。 time 引数には次のサブ引数があります。
注: CA Access Control では、プロセッサのタイム ゾーンを使用します。 プロセッサと異なるタイム ゾーンの端末にログインする際には注意が必要です。
システムにログインするユーザの権限を限定する、すべての曜日および時間帯の制限を、グループ レコードから削除します。 restrictions- パラメータが指定されてなく、restrictions パラメータがユーザ レコードに設定されている場合は、ユーザ レコードの値が使用されます。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。 このパラメータは、プロファイル グループにのみ適用されます。
suspend パラメータを指定して無効にしたユーザ レコードを有効にします。 日付と時刻は、mm/dd/yy[@HH:MM] 形式で指定します。時刻は省略可能です。
suspend パラメータと resume パラメータの両方を指定する場合、再開日を一時停止日より後に設定する必要があります。 date を省略すると、chgrp コマンドの実行直後にユーザが有効になります。 詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。 このパラメータは、プロファイル グループにのみ適用されます。
再開日および再開時間(指定されている場合)をグループ レコードから消去します。 これにより、ユーザのステータスがアクティブ(有効)から一時停止に変更されます。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。 このパラメータは、プロファイル グループにのみ適用されます。
パスワードのルールを以下のように指定します。
最低英文字数です。
最低文字数です。
双方向パスワード暗号化を使用するかどうかを指定します。 双方向パスワード暗号化が有効の場合、パスワードは新しくなるたび暗号化され、解読してクリア テキストに戻すことができます。 この暗号化により、新しいパスワードと古いパスワードを幅広く比較できるようになります(パスワード履歴)。 双方向パスワード暗号化が無効の場合、一方向パスワード履歴暗号化が有効になり、古いパスワードを解読することはできなくなります。
注: この機能を使用するには、history を 1 より大きい値に設定する必要があります。
注: UNIX でこの機能を使用する場合は、passwd_format 環境設定を NT に設定する必要もあります。
重要: seos.ini ファイルのトークン「passwd_format」([passwd] セクション)を「NT」に設定している場合、selang でユーザを作成するには、「native」オプション(「unix」ではなく)を使用する必要があります。 例:
nu uSr_1026 native password(uSr_1026)
または、以下のように、作業環境がネイティブ環境(UNIX 環境ではなく)であることを確認します。
env native chusr usr_1 password(mypassword)
パスワードの最小文字数です。
パスワードの最大文字数です。
小文字の最低数です。
文字の繰り返しの最大数です。
パスワードと名前を照合して確認します。
数字の最低数です。
パスワードと古いパスワードを照合して確認します。
注: Unix と Linux のオペレーティング システム上でのみ有効です。
特殊文字の最低数です。
大文字の最低数です。
パスワード辞書を設定します。 use_dbdict はトークンを db に設定し、パスワードを CA Access Control データベースの単語と照合して比較します。 use_dbdict- トークンを file に設定し、UNIX の場合は seos.ini ファイル、Windows の場合は Windows レジストリに指定されたファイルとパスワードを照合して比較します。
SERVER 属性を設定します。 現在のユーザが SERVER 属性を持つグループのメンバである場合、現在のユーザの名前で実行されているプロセスによって他のユーザの権限を確認することができるようにします。 詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
SERVER 属性の設定を解除します。
このパラメータは、new[x]grp コマンドでは使用できません。
ユーザが login コマンドまたは su コマンドを起動した後に実行される初期プログラムまたはシェルの完全パスを指定します。 FullPath は文字列です。
スーパーグループ(親グループ)を指定します。
ユーザ レコードを無効にします。ただし、データベースには定義を残します。 日付と時刻は、mm/dd/yy[@HH:MM] 形式で指定します。時刻は省略可能です。
ユーザは一時停止されたユーザ アカウントを使用してシステムにログインすることはできません。 date を指定すると、指定した日にユーザ レコードが一時停止されます。 date を省略すると、chgrp コマンドの実行直後にユーザ レコードが一時停止されます。 このパラメータは、プロファイル グループにのみ適用されます。
suspend‑
一時停止日をユーザ レコードから消去し、ユーザのステータスを無効からアクティブ(有効)に変更します。 このパラメータは chgrp コマンドまたは editgrp コマンドにのみ使用できます。 このパラメータは、プロファイル グループにのみ適用されます。
(UNIX のみ)UNIX のグループ属性を設定するか、グループがまだ存在していない場合はグループを作成します。
groupidNumber は 10 進数です。 グループ ID に 0 を指定することはできません。 この数値を省略すると、その時点で最大のグループ ID が検出され、その値がグループの ID として設定されます。 一度に複数のグループを追加または変更する場合も、同様の方法でグループ ID の番号が生成されます。 seos.ini ファイルのトークン AllowedGidRange を使用して、特定の番号を利用できないようにすることができます。
グループにメンバを割り当てます。 userName は、1 人以上の UNIX ユーザのユーザ名を表します。 複数のユーザを割り当てる場合は、各ユーザ名をスペースまたはカンマで区切ります。 chgrp コマンドまたは editgrp コマンドで使用する場合、グループにすでに定義されているメンバ リストはすべて、ここで指定したメンバ リストに置き換えられます。
例
chxgrp Sales parent(PAYROLL) owner(PAYROLL)
Admin1 には ADMIN 属性があるとします。
chxgrp projectB parent(divisionB) owner(RESEARCH)
Sally は NewEmployee の所有者だとします。
editgrp NewEmployee homedir() shellprog()
Admin1 には ADMIN 属性があるとします。
デフォルトは owner(Admin1) です。
newgrp ProjectA parent(RESEARCH)
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |