|
|
|
APPL クラスの各レコードは、eTrust SSO で使用されるアプリケーションを定義します。
APPLクラスのレコードのキーは、アプリケーションの名前です。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「情報のみ」と記載されます。
リソースへのアクセスを許可されているアクセサ(ユーザおよびグループ)、およびアクセサのアクセス タイプのリストを定義します。
アクセス制御リスト(ACL)の各要素には、以下の情報が含まれます。
アクセサを定義します。
アクセサに与えられる、リソースに対するアクセス権限を定義します。
ACL プロパティを変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。
eTrust SSO で使用されます。
権限 ACL を定義します。 これは、リソースの説明に基づいてリソースへのアクセスを許可する ACL です。 説明は、オブジェクトではなく認証エンジンに送信されます。 一般に、AZNACL が使用される場合、オブジェクトはデータベースにありません。
リソースへのアクセスが許可されるアクセサ(ユーザおよびグループ)およびそれぞれの Unicenter NSM カレンダ ステータスに基づくアクセス タイプのリストを定義します。
カレンダ アクセス制御リスト(CALACL)の各要素には、以下の情報が含まれます。
アクセサを定義します。
Unicenter TNG のカレンダへの参照を定義します。
アクセサに与えられる、リソースに対するアクセス権限を定義します。
カレンダが有効な場合のみアクセスが許可されます。 その他の場合はすべてのアクセスが拒否されます。
ACL プロパティに定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。
CA Access Control のユーザ、グループ、およびリソース制限事項の Unicenter TNG カレンダ オブジェクトを表します。 CA Access Control により、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。
デスクトップのアプリケーション アイコンの下に表示されるテキストです。 デフォルトは APPL クラスのレコードの名前です。
制限: 47 文字の英数字。
アプリケーション実行可能ファイルのファイル名です。 eTrust SSO で使用されます。
制限: 255 文字。
レコードに含める追加情報を定義します。 この情報が権限付与に使用されることはありません。
制限: 255 文字。
レコードがコンテナである場合に、コンテナに含まれるアプリケーションのレコード名です。
このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの item[-](applName) パラメータを使用します。
レコードが他のアプリケーションに含まれている場合は、コンテナ アプリケーションのレコード名です。
(情報のみ)レコードが作成された日時が表示されます。
アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。
このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。
日時の制約の単位は 1 分です。
アプリケーションのログイン シーケンスを含むディレクトリ内の eTrust SSO スクリプトの名前です。 デフォルトのディレクトリの場所は、/usr/sso/scripts です。 デフォルト値は「no script」です。
このプロパティを変更するには、chres、editres、newres の各コマンドで、script[‑](fileName) パラメータを使用します。
アプリケーションの使用を許可されているユーザ グループのリストです。
アプリケーションが存在するホストの名前です。
このプロパティを変更するには、chres、editres、newres の各コマンドで、host[‑](hostName) パラメータを使用します。
デスクトップに表示するアプリケーションのアイコンが保存されているファイルのファイル名または完全パスです。 CA Access Control では、エンド ユーザのワークステーションにアイコン ファイルが存在することを前提としています。 ファイル名のみを入力した場合は、次の順序でファイルが検索されます。
デフォルトは、ワークステーションのデフォルト アイコンです。
アイコン ファイル内のアイコンの(必要に応じた) ID 番号です。 ICONID が指定されていない場合は、デフォルト アイコンが使用されます。
アプリケーションがコンテナかどうかを指定します。 デフォルトは「no」です。
このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの container[-] パラメータを使用します。
アプリケーションが無効化された状態かどうかを指定します。 アプリケーションが無効化された状態である場合、ユーザはアプリケーションにログインできません。 この機能は、ユーザがアプリケーションを変更しているときに、他のユーザがアプリケーションにログインできないようにする場合に便利です。 無効化された状態のアプリケーションはアプリケーション メニュー リストに表示されますが、ユーザがそのアプリケーションを選択すると、メッセージが表示され、ログインは中止されます。 デフォルトは「not disabled」です。
アプリケーションを起動できるユーザのデスクトップにもアプリケーション アイコンを表示するかどうかを指定します。 たとえば、他のアプリケーションにパスワードを提供する目的のみを果たすアプリケーションなどのマスタ アプリケーションを非表示にすることができます。 デフォルトは「not hidden」です。
このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの hidden[-] パラメータを使用します。
事前設定された時間が経過した後にユーザがアプリケーションを開いた場合に、再認証が必要かどうかを指定します。 デフォルトは「not sensitive」です。
このプロパティを変更するには、chres、editres、newres の各コマンドで、sensitive[‑] パラメータを使用します。
ユーザ パスワードの指定方法です。 値は、pwd(平文パスワード)、otp(ワンタイム パスワード)、appticket(メインフレーム アプリケーション認証専用チケット)、none(パスワード不要)、または passticket(IBM が開発したワンタイム パスワード置換フォーマット。メインフレームのセキュリティ パッケージで使用される)です。 デフォルトは pwd です。
このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの login_type(value) パラメータを使用します。
他のアプリケーションにパスワードを提供するアプリケーションのレコード名です。 デフォルトは「no master」です。
このプロパティを変更するには、chres、editres、newres の各コマンドで、master[‑](applName) パラメータを使用します。
リソースの NACL プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ(write など)と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。
アクセサを定義します。
アクセサに対して拒否されるアクセス タイプを定義します。
このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。
リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。 CA Access Control では、指定したユーザ宛に監査レコードを電子メールで送信できます。
制限: 30 文字。
レコードを所有するユーザまたはグループを定義します。
アプリケーションの実行可能ファイルが格納されているディレクトリまたはディレクトリのリストです。 eTrust SSO で使用されます。
アプリケーション パスワードを eTrust SSO で自動的に生成するかどうかを指定します。 デフォルトは no です。
アプリケーション パスワードを自動的に他のアプリケーションのパスワードと同一にするかどうかを指定します。 デフォルトは no です。
アプリケーションに適用するパスワード ポリシーのレコード名です。 パスワード ポリシーは、新しいパスワードの妥当性をチェックし、パスワードの有効期限を定義する一連のルールです。 デフォルトでは、妥当性チェックは行われません。
CA Access Control の監査ログに記録されるアクセス イベントのタイプを定義します。 RAUDIT という名前は Resource AUDIT の短縮形です。 有効な値は以下のとおりです。
すべてのアクセス要求
許可されたアクセス要求
拒否されたアクセス要求(デフォルト)
アクセス要求を記録しない
CA Access Control では、リソースへのアクセス試行が発生するたびにイベントが記録されます。ただし、アクセス ルールがそのリソースに直接適用されたか、またはそのリソースをメンバとするグループまたはクラスに適用されたか、については記録されません。
監査モードを変更するには、chres コマンドおよび chfile コマンドの audit パラメータを使用します。
ログイン スクリプトの後に 1 つ以上のコマンドを実行するかどうかを指定します。
ログイン スクリプトの前に 1 つ以上のコマンドを実行するかどうかを指定します。
eTrust SSO で使用されます。アプリケーションごとに保存されるアプリケーション スクリプトの変数値を含む変数リストです。
eTrust SSO でのみ使用されます。
eTrust SSO でのみ使用されます。
リソースに対するデフォルトのアクセス権限を定義します。CA Access Control に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに与えるアクセス権限を指定します。
このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの defaccess パラメータを使用します。
(情報のみ)レコードが最後に変更された日時を示します。
(情報のみ)更新を実行した管理者を示します。
警告モードを有効にするかどうかを指定します。 リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |