![下一主题: ch[x]grp 命令 - 更改组属性](573.png)
|
|
|
在 AC 环境中有效
使用 chfile、editfile 和 newfile 命令可以处理 FILE 类中的记录。 这些命令结构相同,仅在以下方面有所不同:
注意:该命令还存在于本地环境中,但运行方式不同。
要添加或更改属于 FILE 类的某个文件的记录,您必须对该文件拥有足够的权限。 CA Access Control 将进行下列检查,直到满足下列条件之一为止:
{{chfile|cf}|{editfile|ef}|{newfile|nf}} filename... \
[audit{none|all|success|failure}] \
[category[-](categoryName)] \
[comment(string)|comment‑] \
[defaccess(accessAuthority)] \
[label(labelName)|label‑] \
[level(number)|level‑] \
[notify(mailAddress)|notify‑] \
[gowner(groupName)] \
[owner({userName|groupName})] \
[restrictions( \
[days({anyday|weekdays|{[mon] [tue] [wed] \
[thu] [fri] [sat] [sun]}})] \
[time({anytime|startTime:endTime}) \
|restrictions‑] \ [warning|warning‑]
指定记录哪些访问事件。 访问类型包括:
注意:要使用 audit 参数,您必须具有 AUDITOR 属性。
定义要分配给文件的安全类别记录的列表(用空格或逗号分隔)(在 CATEGORY 类中定义)。
如果在 CATEGORY 类不活动时指定 category 参数,CA Access Control 将更新数据库中的文件定义;但是,在再次激活 CATEGORY 类之前,更新的类别分配不会生效。
注意:有关安全类别检查的详细信息,请参阅适用于您的操作系统的《端点管理指南》。
从资源记录删除一个或多个安全类别。 删除多个安全类别时,请用空格或逗号分隔安全类别名称。
将从资源记录中删除指定的安全类别,无论 CATEGORY 类是否是活动的。
注意:此参数仅在修改记录时有效。
将最多包含 255 个字符的字母数字字符串添加到文件记录中。 如果字符串中包含任何空格,请用单引号将整个字符串引起。 字符串将替换先前定义的任何现有注释。
从文件记录中删除注释字符串。
注意:此参数仅在修改记录时有效。
指定文件的默认访问权限。 默认访问权限是授予请求文件访问权限的任何访问者的权限,但它并不在文件的 Access Control 列表中。 默认访问权限也适用于未在数据库中定义的用户。
定义文件记录的名称。 必须至少指定一个文件名。
如果使用通用文件名将记录添加到 FILE 类中或在其中更改记录,请使用在 selang 中允许的通配符表达式。 定义或更改多个记录时,请使用括号括起文件名列表,并用空格或逗号分隔文件名。
注意:如果指定了多个文件名,CA Access Control 将根据指定的参数分别处理每个文件记录。 如果处理文件时发生错误,CA Access Control 将发出一条消息,并继续处理列表中的下一个文件。
将 CA Access Control 组指定为文件记录的所有者。 如果文件记录的组所有者的安全级别、安全标签和安全类别权限使其足以能够访问文件,则该组所有者对该文件拥有不受限制的访问权限。 文件的组所有者始终可以更新和删除文件记录。
将在 SECLABEL 类中定义的安全标签分配给文件。 安全标签代表特定安全级别与零个或多个安全类别之间的关联。 如果资源记录当前包含一个安全标签,在此处指定的安全标签将替换当前的安全标签。
注意:有关安全标签的详细信息,请参阅适用于您的操作系统的《端点管理指南》。
删除在文件记录中定义的安全标签。
注意:此参数仅在修改记录时有效。
为资源记录指定安全级别。 请输入介于 1 和 255 之间的正整数。 如果以前为资源记录指定了安全级别,则新值将替换当前值。
注意:有关安全级别的详细信息,请参阅适用于您的操作系统的《端点管理指南》。
阻止 CA Access Control 对资源执行安全级别检查。
注意:此参数仅在修改记录时有效。
只要该资源记录代表的资源被成功访问,便指示 CA Access Control 发送通知消息。 请输入用户名、用户的电子邮件地址或邮件组的电子邮件地址(如果指定了别名)。
只有在日志路由系统活动时,才进行通知。 通知消息将发送到屏幕上或用户的邮箱,具体取决于日志路由系统的设置。
每次发送通知消息时,都会在审核日志中写入审核记录。
通知消息的接收者应该经常登录,以对每个消息中所描述的未经授权的访问尝试做出响应。
范围:30 个字符。
注意:有关筛选和查看审核记录的信息,请参阅适用于您的操作系统的《端点管理指南》。
指定在 CA Access Control 授予对记录所代表的文件的访问权限时不通知任何人。
注意:此参数仅在修改记录时有效。
将 CA Access Control 用户或组指定为文件记录的所有者。 如果文件记录所有者的安全级别、安全标签和安全类别权限使其足以能够访问文件,则该所有者对该文件拥有不受限制的访问权限。 文件的所有者始终可以更新和删除文件记录。
指定用户可以在一周的哪几天以及一天的哪几个小时访问文件。
如果省略 days 参数而指定 time 参数,则时间限制将应用于记录中已经指出的任何“工作日”限制。 如果省略 time 而指定 days,则日期限制将应用于记录中已经指出的任何时间限制。 如果同时指定了 days 和 time,则用户只能在指定日期的指定时间段内访问系统。
指定用户可以访问文件的日期。 days 参数可使用下列子参数:
指定用户可以访问文件的时间段。 time 参数可使用下列子参数:
删除限制文件访问能力的所有限制。
注意:此参数仅在修改记录时有效。
将文件置于“警告”模式。
使文件退出“警告”模式。
示例:将对文件的访问权限限制为除超级用户之外的所有用户
要将对 /etc/passwd 文件的访问权限限制为除超级用户之外的所有用户的读取权限,请输入以下命令:
chfile /etc/passwd defaccess(read) owner(root)
必须符合以下条件:
示例:将对文件的访问权限限制为按时间
要阻止对 /home/bob/secrets 文件的访问权限,且只允许所有者在工作日的 08:00 到 18:00 访问文件,请输入以下命令:
newfile /home/bob/secrets defac(none) restrictions(d(weekdays) t(0800:1800))
必须符合以下条件:
示例:阻止对您主目录的访问
要阻止其他所有用户访问您主目录 (/home/bob) 中的任何文件,请在 UNIX 上输入以下命令:
newfile /home/bob/* defaccess(none)
您可以使用以下命令在 Windows 上执行相同的操作:
newfile %userprofile%\* defaccess(none)
必须符合以下条件:
| 版权所有 © 2012 CA。 保留所有权利。 | 就该主题发送电子邮件至 CA Technologies |