端点管理指南：用于 UNIX › 控制登录命令 › 识别登录事件

识别登录事件

CA Access Control 不会将更改进程用户 ID 的所有尝试视为登录事件。 通常，程序使用 setuid 系统调用来尝试更改其用户 ID。 SURROGATE 类控制这些事件，从 CA Access Control 角度而言，不必将这些事件视为登录事件，也不需要更改用户身份。

CA Access Control 始终保留原始用户身份，即用户最初登录时使用的身份。 普通 setuid 系统调用不会使 CA Access Control 注册用户身份的更改。

CA Access Control 要识别身份更改，必须将该事件识别为登录事件。 它使用下列规则识别登录事件：

• 尝试更改身份的程序被定义为登录程序。 LOGINAPPL 类中的所有程序都是登录程序。
• 该程序执行与 LOGINAPPL 类中其定义相对应的一系列系统调用。

当通过 selang 或 CA Access Control 端点管理 开始管理会话时，CA Access Control 执行虚拟登录事件。 这不是真实的登录；而是 CA Access Control 执行与登录检查类似的一些内部检查。

注意：有关详细信息，请参阅《selang 参考指南》中 LOGINAPPL 类的 SEQUENCE 属性。

管理会话启动时，将在要管理的计算机中检查用户名。 只有当您对执行会话所在的终端拥有写入访问权限时，才能获取对该计算机的访问权限以进行管理。

例如，如果登录到主机 Minerva 并且希望在主机 Artemis 上管理 CA Access Control，则需要满足下列两个条件：

• 名为 Minerva（或相关的完全限定名）的 TERMINAL 对象位于 Artemis 的数据库记录中。
• 您在该对象的 ACL 中被列出，并且您拥有 WRITE 权限。

在进行任何其他用户权限检查前，会检查这些条件。 注意，您还需要数据库的管理权限。