selang リファレンス ガイド › クラスとプロパティ › AC 環境のクラス › HNODE クラス

HNODE クラス

HNODE クラスには、組織の CA Access Control ホストに関する情報が含まれます。 クラスの各レコードは、組織内のノードを表します。

このクラスは、さまざまな PMDB やエンドポイントからアップロードされて DMS に格納される情報を管理するために使用されます。

HNODE クラスのレコードのキーは、エンドポイントの具体的なホスト名（myHost.ca.com など）または Policy Model ノードの PMDB 名（myPMD@myHost.ca.com）です。

以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「情報のみ」と記載されます。

ACL

リソースへのアクセスを許可されているアクセサ（ユーザおよびグループ）、およびアクセサのアクセス タイプのリストを定義します。

アクセス制御リスト（ACL）の各要素には、以下の情報が含まれます。

アクセサ

アクセサを定義します。

アクセス

アクセサに与えられる、リソースに対するアクセス権限を定義します。

ACL プロパティを変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。

ATTRIBUTES

ホストをホスト グループに自動的に追加するかどうか評価するために DMS 使用するカスタム基準を定義します。

注： DMS はまた、以下の HNODE プロパティを確認して、任意のホストがホスト グループに自動的に追加されるべきかどうか評価します。 COMMENT、HNODE_INFO、HNODE_IP、HNODE_VERSION、NODE_TYPE

CALACL

リソースへのアクセスが許可されるアクセサ（ユーザおよびグループ）およびそれぞれの Unicenter NSM カレンダ ステータスに基づくアクセス タイプのリストを定義します。

カレンダ アクセス制御リスト（CALACL）の各要素には、以下の情報が含まれます。

アクセサ

アクセサを定義します。

Calendar

Unicenter TNG のカレンダへの参照を定義します。

アクセス

アクセサに与えられる、リソースに対するアクセス権限を定義します。

カレンダが有効な場合のみアクセスが許可されます。 その他の場合はすべてのアクセスが拒否されます。

ACL プロパティに定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。

CALENDAR

CA Access Control のユーザ、グループ、およびリソース制限事項の Unicenter TNG カレンダ オブジェクトを表します。 CA Access Control により、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。

カテゴリ

ユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリ セキュリティ カテゴリは、CATEGORY クラスにあるレコードの名前です。 セキュリティ カテゴリは、アクセサとリソースに割り当てることができます。 リソースに割り当てられているすべてのセキュリティ カテゴリにアクセサが割り当てられている場合のみ、そのアクセサはリソースにアクセスできます。を定義します。

COMMENT

レコードに含める追加情報を定義します。 この情報が権限付与に使用されることはありません。

制限： 255 文字。

COMPLIANT

自動的に計算された HNODE の準拠ステータスを表示します。 値は以下のとおりです。

• はい - CA Access Control がインストールされ、有効なポリシーがすべて正常にデプロイされています。
• いいえ - CA Access Control がインストールされているが、有効なポリシーが全くデプロイされていません。
• 偏差 - CA Access Control はインストールされているが、有効なポリシーの一部は正常にデプロイされていません。
• 不明 - CA Access Control がインストールされておらず、デプロイできる有効なポリシーがありません。

  注： UNAB ポリシー（ログイン ポリシーおよび環境設定ポリシー）は準拠ステータスの値に割り当てられません。

COMPLIANT_UPDATE_TIME

（情報のみ）ステータスが最後に変更された日時を表示します。

CREATE_TIME

（情報のみ）レコードが作成された日時が表示されます。

DAYTIME

アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。

このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。

日時の制約の単位は 1 分です。

EFFECTIVE_POLICIES

このオブジェクトにデプロイする必要があるポリシー バージョンのリストを指定します。

表示名： 有効なポリシー

GHNODES

このオブジェクトが属するホスト グループのリストを指定します。

表示名： ノード グループ

GROUPS

リソース レコードが属する CONTAINER クラスのレコードのリストを定義します。

クラス レコードのこのプロパティを変更するには、適切な CONTAINER クラスのレコードの MEMBERS プロパティを変更する必要があります。

このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem‑ パラメータを使用します。

HNODE_IP

ホストの IP アドレスです。

表示名： IP

HNODE_KEEP_ALIVE

前回 HNODE がハートビートを分散ホストに送信した時刻を指定します。

表示名： 最後のハートビート

LOGIN

ホストに対するデフォルト アクセス タイプを定義します。

表示名： LOGIN

NACL

リソースの NACL プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ（write など）と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。

アクセサ

アクセサを定義します。

アクセス

アクセサに対して拒否されるアクセス タイプを定義します。

このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。

NODE_INFO

（情報のみ）ノード OS の詳細を指定します。

NODE_TYPE

（情報のみ）ホスト上の CA Access Control インストールのタイプを定義します。 有効な値は以下のとおりです。

• ACU - CA Access Control for UNIX
• ACW - CA Access Control for Windows
• UNAB - UNIX 認証ブローカ（UNAB）

  注： HNODE レコードは、NODE_TYPE プロパティとして ACU および UNAB の両方の値を持つことができます。

NODE_VERSION

（情報のみ）ホストにインストールされる CA Access Control のバージョンを定義します。 NODE_TYPE はバージョン番号に先行します。

例ACU{12.50><00.647}

NOTIFY

リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。 CA Access Control では、指定したユーザ宛に監査レコードを電子メールで送信できます。

制限： 30 文字。

OWNER

レコードを所有するユーザまたはグループを定義します。

PACL

アクセス要求が特定のプログラム（または名前パターンに一致するプログラム）とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト（PACL）の各要素には、以下の情報が含まれます。

アクセサ

アクセサを定義します。

Program

指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。

アクセス

アクセサに与えられる、リソースに対するアクセス権限を定義します。

注： PACL のリソースの指定にはワイルドカード文字 CA Access Control は、一部の名前についてワイルドカード 文字を認識します。 その場合、CA Access Control が認識するワイルドカードは * および ? です。 * 文字は、文字なしを含め、任意の数の任意の文字を表します。 ? 文字は、任意の文字の 1 つのインスタンスを表します。を使用できます。

プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(pgm) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。

PARENTS

（情報のみ）。 伝達ツリー内でそのノードの親である PMDB のリストです（parent_pmd 環境設定によっても定義される）。

POLICYASSIGN

このオブジェクトに割り当てられるポリシーのリストを定義します。

表示名： 割り当てられたポリシー

POLICY_STATUS

POLICIES プロパティにリストされた各ポリシーのステータスです。 このプロパティの値は、以下のフィールドを持つ構造体です。

oidPolicy

POLICY オブジェクトのオブジェクト ID です。 POLICIES プロパティの値と同じです。

policy_status

以下のいずれかを表す整数です。

• デプロイされました - ポリシーはエンドポイントに正常にデプロイされました。
• デプロイされましたがエラーがあります - ポリシーはデプロイされましたが、エンドポイントでデプロイ スクリプトに含まれている 1 つ以上のルールの実行が失敗しました。
• デプロイ解除されました - ポリシーはエンドポイントから正常にデプロイ解除されました。

  注： ポリシーがデプロイ解除されると、ホストのステータスが表示されなくなります（ステータスなし）。

• デプロイ解除されましたがエラーがあります - ポリシーはデプロイ解除されましたが、エンドポイントでデプロイ解除スクリプトに含まれている 1 つ以上のルールの実行に失敗しました。
• デプロイに失敗しました - デプロイ スクリプトでエラーが発生したため、ポリシーのデプロイが失敗しました。

  注： ポリシー検証が有効な場合にのみ、このステータスが現れます。 それ以外の場合、policyfetcher はポリシーにエラーが含まれていてもポリシーをデプロイします（「デプロイされましたがエラーがあります」ステータス）。

• 不明 - ポリシー ステータスは不明です。
• 展開する必須のポリシー用の Pending-Waiting を展開します。そうしないと、ポリシーは不確定か未決着の変数を含んでいます。
• デプロイ解除の一時停止中 - 依存しているポリシーがデプロイ解除されるのを待機しています。
• Out of Sync - ポリシーには、エンドポイントで変更された変数および変数の値が含まれています。
• 実行されていません - ポリシーの検証によって、ポリシーに 1 つまたは複数のエラーが見つかりました。
• キューに入っています - 使用されなくなりました（後方互換性維持のためにのみ残されています）
• 送信されました - 使用されなくなりました（後方互換性維持のためにのみ残されています）
• 送信が失敗しました - 使用されなくなりました（後方互換性維持のためにのみ残されています）
• シグネチャが失敗しました - 使用されなくなりました（後方互換性維持のためにのみ残されています）

deviation

このノードにポリシー偏差があるかどうかを表す値です。 有効な値は以下のとおりです。

• はい
• いいえ
• Unset

dev_time

偏差ステータスの最終更新時刻です。

ptime

ポリシー ステータスの最終更新時刻です。

updator

ポリシーをデプロイまたは削除したユーザの名前です。

RAUDIT

CA Access Control の監査ログに記録されるアクセス イベントのタイプを定義します。 RAUDIT という名前は Resource AUDIT の短縮形です。 有効な値は以下のとおりです。

all

すべてのアクセス要求

success

許可されたアクセス要求

failure

拒否されたアクセス要求（デフォルト）

none

アクセス要求を記録しない

CA Access Control では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたか、については記録されません。

監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。

SECLABEL

ユーザまたはリソースのセキュリティ ラベル セキュリティ ラベルは、SECLABEL クラスにあるレコードの名前です。 セキュリティ ラベルによって、セキュリティ ラベルと複数のセキュリティ カテゴリを 1 つにまとめることができます。 セキュリティ ラベルをアクセサまたはリソースに割り当てると、そのセキュリティ ラベルに関連付けられたセキュリティ レベルとセキュリティ カテゴリの組み合わせが、アクセサまたはリソースに設定されます。 セキュリティ ラベルは、アクセサまたはリソースに設定された特定のセキュリティ レベルおよびセキュリティ カテゴリよりも優先されます。を定義します。

注： SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。

SECLEVEL

アクセサまたはリソースのセキュリティ レベル セキュリティ レベルは、ユーザおよびリソースに割り当てることのできる 0 から 255 までの整数です。 リソースのアクセス制御リストでユーザにアクセス権限が付与されていても、アクセサのセキュリティ レベルがリソースのセキュリティ レベルより低い場合、そのアクセサはそのリソースにアクセスできません。を定義します。

注： このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。

SUBSCRIBER_STATUS

親ごとのノードのステータスです。 このプロパティの値は、以下のフィールドを持つ構造体です。

oidSubs

HNODE オブジェクトのオブジェクト ID です。 SUBSCRIBERS プロパティの値と同じです。

status

以下のいずれかのステータスを表す値です。

• 利用可能
• 利用不可
• 同期（同期中）
• 不明

stime

ステータスの最終更新時刻です。

SUBSCRIBERS

伝達ツリー内のそのノードのサブスクライバのリストです。 このプロパティを更新すると、PARENTS プロパティが HNODE オブジェクト名の値で暗黙に更新されます。

UACC

リソースに対するデフォルトのアクセス権限を定義します。CA Access Control に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに与えるアクセス権限を指定します。

このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの defaccess パラメータを使用します。

UNAB_ID

（情報のみ） UNAB ホスト ID をレポート用に表示します。

UPDATE_TIME

（情報のみ）レコードが最後に変更された日時を示します。

UPDATE_WHO

（情報のみ）更新を実行した管理者を示します。

WARNING

警告モードを有効にするかどうかを指定します。 リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。