|
|
|
TCP クラスの各レコードは、メール、FTP、http などの TCP/IP サービスを定義します。 TCP クラスが認証に使用されている場合、TCP リソースがアクセスを許可する場合のみ、ホストはローカル ホストからサービスを取得することができます。 また、ローカル ホスト上のユーザまたはグループは、TCP リソースがアクセスを許可する場合のみ、TCP/IP サービスを使用してリモート ホストにアクセスすることができます。
TCP レコード内の ACL には、ホストのアクセス タイプ(HOST)、ホストのグループ(GHOST)、ネットワーク(HOSTNET)、およびホストのセット(HOSTNP)を指定することができます。
TCP レコード内の CACL には、ホストのアクセス タイプ(HOST)、ホストのグループ(GHOST)、ネットワーク(HOSTNET)、およびホストのセット(HOSTNP)を指定することができるほか、ユーザやグループのアクセス タイプも指定することができます。
ホスト名だけではなく、IPv4 アドレスにも基づいてルールを設定することができます。 つまり、ドメイン名変更に対応することができます。
注: IP 通信用の CA Access Control アクセス ルールは IPv4 にのみ適用されます。 CA Access Control は IPv6 によるアクセスを管理しません。
注: CONNECT クラスがアクセスの基準として使用されている場合、TCP クラスは事実上アクティブにできません。 接続を保護するには、TCP クラスと CONECT クラスのどちらかを使用します。両方は使用しません。
TCPレコードのキーは、TCP/IPサービスの名前です。 TCP クラスは、送信サービスおよび受信サービスの両方を制御します。
以下の定義では、TCP クラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「情報のみ」と記載されます。
ローカル ホストによるサービスの提供先ホストと許可されるアクセス タイプを定義します。
アクセス制御リストの各要素には、以下の情報が含まれます。
HOST レコード、GHOST レコード、HOSTNET レコード、または HOSTNP レコードを定義します。
参照ホストに与えられる、リソースに対するアクセス権限です。 有効なアクセス権限は以下のとおりです。
このプロパティを変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
リソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)、およびアクセサがアクセスできるホストのリストを定義します。 条件付きアクセス制御リスト(CACL)の各要素には、以下の情報が含まれます。
アクセサを定義します。
HOST レコード、GHOST レコード、HOSTNET レコード、または HOSTNP レコードを定義します。
アクセサに与えられる、リソースに対するアクセス権限を定義します。 有効なアクセス タイプは以下のとおりです。
このプロパティを変更するには、authorize コマンドまたは authorize- コマンドを使用します。
リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)およびそれぞれの Unicenter NSM カレンダ ステータスに基づくアクセス タイプのリストを定義します。
カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
アクセサを定義します。
Unicenter TNG のカレンダへの参照を定義します。
アクセサに与えられる、リソースに対するアクセス権限を定義します。
カレンダが有効な場合のみアクセスが許可されます。 その他の場合はすべてのアクセスが拒否されます。
ACL プロパティに定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
CA Access Control のユーザ、グループ、およびリソース制限事項の Unicenter TNG カレンダ オブジェクトを表します。 CA Access Control により、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
レコードに含める追加情報を定義します。 この情報が権限付与に使用されることはありません。
制限: 255 文字。
(情報のみ)レコードが作成された日時が表示されます。
アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。
日時の制約の単位は 1 分です。
リソース レコードが属する CONTAINER クラスのレコードのリストを定義します。
クラス レコードのこのプロパティを変更するには、適切な CONTAINER クラスのレコードの MEMBERS プロパティを変更する必要があります。
このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem‑ パラメータを使用します。
リソースの NACL プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。
アクセサを定義します。
アクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。 CA Access Control では、指定したユーザ宛に監査レコードを電子メールで送信できます。
制限: 30 文字。
レコードを所有するユーザまたはグループを定義します。
アクセス要求が特定のプログラム(または名前パターンに一致するプログラム)とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト(PACL)の各要素には、以下の情報が含まれます。
アクセサを定義します。
指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。
アクセサに与えられる、リソースに対するアクセス権限を定義します。
注: PACL のリソースの指定にはワイルドカード文字を使用できます。
プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(pgm) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。
CA Access Control の監査ログに記録されるアクセス イベントのタイプを定義します。 RAUDIT という名前は Resource AUDIT の短縮形です。 有効な値は以下のとおりです。
すべてのアクセス要求
許可されたアクセス要求
拒否されたアクセス要求(デフォルト)
アクセス要求を記録しない
CA Access Control では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたか、については記録されません。
監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
リソースに対するデフォルトのアクセス権限を定義します。CA Access Control に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに与えるアクセス権限を指定します。
このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの defaccess パラメータを使用します。
(情報のみ)レコードが最後に変更された日時を示します。
(情報のみ)更新を実行した管理者を示します。
警告モードを有効にするかどうかを指定します。 リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |