|
|
|
SEOS クラスは、CA Access Control 権限付与システムの動作を制御します。
クラスには、SEOS というレコードが 1 つだけ含まれます。このレコードは、一般的なセキュリティと権限のオプションを指定します。 SEOS クラス プロパティのステータスを表示または変更するには、setoptions コマンドを使用します。
以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「情報のみ」と記載されます。
認証プロセスで UACC(defaccess)および PACL のリストをスキャンする順序を指定します。
ACCPACL がアクティブであり、ユーザのアクセス権が ACL で明示的に指定されている場合は、そのアクセサが許可されたアクセス権となります。 アクセス権が ACL ではなく PACL で明示的に指定されている場合は、PACL アクセス権が許可されたアクセス権となります。 ACL と PACL のいずれにも明示的なアクセス権が指定されていない場合は、defaccess のアクセス定義がチェックされます。
ACCPACL がアクティブでない場合は、最初に ACL の明示的なアクセス権がチェックされます。 ACL にチェック対象リソースに関する明示的なアクセス権が定義されていない場合は、次に defaccess 定義がチェックされます。 defaccess に明示的なアクセス権が定義されていない場合は、次に PACL アクセス権の定義がチェックされます。
CA Access Control のインストール時に、このプロパティの値は yes に設定されます。
このプロパティを変更するには、setoptions コマンドの accpacl パラメータまたは accpacl‑ パラメータを使用します。
ADMIN クラスをアクティブにするかどうかを指定します。 通常、ADMIN クラスはアクティブで、セキュリティ管理タスクの実行許可を制御します。 ADMIN クラスがアクティブでない場合は、すべてのユーザが CA Access Control 管理者と同様の作業を行うことができます。
APPL クラスをアクティブにするかどうかを指定します。
AUTHHOST クラスをアクティブにするかどうかを指定します。
CALENDAR クラスをアクティブにするかどうかを指定します。
CATEGORY クラスをアクティブにするかどうかを指定します。
PWMANAGER 属性を持つユーザが selang を使用して ADMIN ユーザのパスワードを変更できるかどうかを指定します。 デフォルトは yes です。
このプロパティをアクティブまたは非アクティブにするには、setoptions コマンドの class+ パラメータまたは class- パラメータおよび cng_adminpwd オプションを使用します。
ユーザが selang を使用して自分のパスワードを変更できるかどうかを指定します。
このプロパティをアクティブまたは非アクティブにするには、setoptions コマンドの class+ パラメータまたは class- パラメータおよび cng_ownpwd オプションを使用します。
レコードに含める追加情報を定義します。 この情報が権限付与に使用されることはありません。
制限: 255 文字。
CONNECT クラスをアクティブにするかどうかを指定します。 CONNECT クラスがアクティブな場合、このクラスのレコードは外部への接続を保護します。
HOST クラスがアクティブな場合、CONNECT クラスは、アクティブであってもアクティブなクラスとして使用されません。
TCP クラスがアクティブな場合、CONNECT クラスはアクティブなクラスとして使用されません。
(情報のみ)レコードが作成された日時が表示されます。
(UNIX のみ)CA Access Control でリソースの日時制限をチェックするかどうかを指定します。
このデータベースによる通知の送信先 DMS サーバのリストです。
(Windows のみ)DOMAIN クラスをアクティブにするかどうかを指定します。
(情報のみ)。 データベース ファイルが通常の方法で最後に閉じられた日時です。
FILE クラスをアクティブにするかどうかを指定します。 FILE クラスがアクティブな場合、このクラスのレコードはファイルおよびディレクトリを保護します。
累積グループ権限オプション(ACCGRR)では、CA Access Control がリソースの ACL をチェックする方法を制御します。 ACCGRR が有効な場合、CA Access Control は、ACL で、ユーザが属するすべてのグループで許可されている権限をチェックします。 ACCGRR が無効な場合、CA Access Control は、ACL で適用可能なエントリのいずれかに値 none が含まれているかどうかをチェックします。 none が含まれている場合、アクセスは拒否されます。 none が含まれていない場合、CA Access Control は、ACL 内の最初の適用可能なグループ エントリを除くすべてのグループ エントリを無視します。
このプロパティを有効または無効にするには、setoptions ACCGRR コマンドを使用します。
HOLIDAY クラスをアクティブにするかどうかを指定します。 HOLIDAY クラスがアクティブな場合、定義された休日期間中にユーザがログインするには特別な許可が必要となります。
HOST クラスをアクティブにするかどうかを指定します。 HOST クラスがアクティブな場合、CA Access Control は、リモート ホストから受信する TCP/IP サービス要求を保護します。
HOST クラスがアクティブな場合、TCP クラスおよび CONNECT クラスは、アクティブであってもアクティブなクラスとして使用されません。
HOST クラスは、デフォルトではアクティブです。
ユーザ ログインを一時停止するまでの非アクティブ状態の日数を指定します。 非アクティブ状態の日とは、ユーザがログインしていない日を指します。
USER クラスのレコードの INACTIVE プロパティの値は、GROUP クラスのレコードの値より優先されます。 このどちらのプロパティ値も、SEOS クラスのレコードの INACT プロパティより優先されます。
このプロパティを更新するには、setoptions コマンドの inactive パラメータまたは inactive‑ パラメータを使用します。
PMDB が DMS として機能している場合に true です。
(UNIX のみ)LOGINAPPL クラスをアクティブにするかどうかを指定します。
ユーザに許可される同時ログインの最大数(端末セッション数)です。この値を超えると、ユーザのアクセスは拒否されます。 値 0 は最大数を設定しないことを意味します。ユーザは任意の数の端末セッションに同時にログインできます。 CA Access Control では、ログイン、selang、GUI などの個々のタスクが 1 つの端末セッションと見なされます。そのため、ユーザがログインして selang を実行するか、またはデータベースを管理する場合は、0 を指定するか、1 より大きい値を指定する必要があります。
USER クラスのレコードの MAXLOGINS プロパティの値は、GROUP クラスのレコードの値より優先されます。 このどちらのプロパティ値も、SEOS クラスのレコードの MAXLOGINS プロパティより優先されます。 SEOS クラスのレコードの値は、アクセサ レコードに明示値の指定がない場合に使用されるデフォルト値です。
SEOS クラスのこのプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの maxlogins パラメータを使用します。
MFTERMINAL クラスをアクティブにするかどうかを指定します。
パスワード ルールを指定します。 このプロパティには、CA Access Control でのパスワード保護の処理方法を決定する多くのフィールドが含まれています。 ルールの一覧については、USER クラスの変更可能なプロパティである PROFILE を参照してください。
このプロパティを変更するには、setoptions コマンドの password パラメータおよび rules オプションまたは rules‑ オプションを使用します。
パスワード チェックをアクティブにするかどうかを指定します。
このプロパティをアクティブまたは非アクティブにするには、setoptions コマンドの class+ パラメータまたは class- パラメータおよび PASSWORD オプションを使用します。
PROCESS クラスをアクティブにするかどうかを指定します。 PROCESS クラスがアクティブな場合、このクラスのレコードは、定義されているプロセスが(kill コマンドによって)強制終了されないように保護します。
ファイルは、FILE クラスにも定義されている必要があります。
PROGRAM クラスをアクティブにするかどうかを指定します。 PROGRAM クラスがアクティブな場合、このクラスのレコードは、trusted のマークを付加して定義されたプログラムを保護します。
PWPOLICY クラスをアクティブにするかどうかを指定します。
(Windows のみ)REGKEY クラスをアクティブにするかどうかを指定します。
(Windows のみ)REGVAL クラスをアクティブにするかどうかを指定します。
RESOURCE_DESC クラスをアクティブにするかどうかを指定します。
RESPONSE_TAB クラスをアクティブにするかどうかを指定します。
SECLABEL クラスをアクティブにするかどうかを指定します。
SECLEVEL クラスをアクティブにするかどうかを指定します。
(情報のみ)。 データベース ファイルが最後に開かれた日時です。
sesudo で使用する SUDO クラスをアクティブにするかどうかを指定します。
ユーザおよびエンタープライズ ユーザのデフォルト監査モード(システム全体の監査モード)を指定します。
デフォルト: Failure LoginSuccess LoginFailure
SURROGATE クラスをアクティブにするかどうかを指定します。 SURROGATE クラスがアクティブな場合、CA Access Control は代理要求を保護します。
TCP クラスをアクティブにするかどうかを指定します。 TCP クラスがアクティブな場合、CA Access Control は、メール、ftp、http などの TCP サービスの送受信を保護します。
HOST クラスがアクティブな場合、TCP クラスは、アクティブであってもアクティブなクラスとして使用されません。
TCP クラスがアクティブな場合、CONNECT クラスはアクティブなクラスとして使用されません。
TERMINAL クラスをアクティブにするかどうかを指定します。 TERMINAL クラスがアクティブな場合、CA Access Control では、サインオン時に端末アクセス チェックを行い、X Window セッションを保護します。
USER_ATTR クラスをアクティブにするかどうかを指定します。
USER_DIR クラスをアクティブにするかどうかを指定します。
(情報のみ)レコードが最後に変更された日時を示します。
(情報のみ)更新を実行した管理者を示します。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |