|
|
|
您可以指定对文件的访问必须以使用用于访问该文件的特定程序为条件。 这种设置条件的操作称为程序通路。
注意:如果指定的访问文件的程序为 shell 脚本,则 shell 脚本必须以 #!/bin/sh 作为其首行。
下列代码示例允许任何在密码更改程序 /bin/passwd 的控制下更新文件 /etc/passwd 的过程。 对于 /etc/passwd 文件,任何非源自 /bin/passwd 的访问尝试都将被阻止。
newres FILE /etc/passwd owner(nobody) defaccess(R) authorize FILE /etc/passwd gid(users) access(U) via(pgm(/bin/passwd))
newres 命令将文件 /etc/passwd 定义到 CA Access Control,并允许任何用户(包括文件的所有者)读取该文件。 如果访问源自程序 /bin/passwd,authorize 命令将允许所有用户访问该文件。 以这种方式保护密码文件时,如果用户未使用 /bin/passwd 程序,则将阻止任何在 /etc/passwd 文件中插入条目的特洛伊木马,并阻止“users”组的用户对密码文件进行任何更新。
条件访问权限列表还用于控制对数据库管理系统 (DBMS) 文件的访问。 通常,您应仅允许用户通过数据库提供商提供的程序和实用程序访问此类文件。 请考虑下列命令:
authorize FILE /usr/dbms/xyz uid(*) via(pgm(/usr/dbms/bin/pgm1)) access(U) authorize FILE /usr/dbms/xyz uid(*) via(pgm(/usr/dbms/bin/pgm2)) access(U)
通过这组 authorize 命令,如果访问是源自程序 pgm1 或程序 pgm2(属于 DBMS 二进制目录),则所有 CA Access Control 用户均可以访问 DBMS 系统的文件 xyz。 注意星号在用户操作数中的使用。 星号指定定义到 CA Access Control 的所有用户。 从概念上说,使用星号与默认访问权限相似,只是默认访问权限还适用于未定义到 CA Access Control 的用户。 注意,您可以为 CA Access Control 数据库中未定义的用户使用 _undefined 组。
您还可以根据 Unicenter TNG 日历的状态,使用 Unicenter TNG 日历 ACL 属性来允许或拒绝特定用户和组对当前资源的访问。 ACL Unicenter TNG 日历有两类 ACL 属性,分别为常规属性和限制性属性。
例如,以下命令将名为 george 的用户添加到名为 basecalendar 的常规日历的条件访问控制列表中:
auth file file1 uid(george) calendar(basecalendar) access(rw)
以下命令从 Unicenter TNG 日历中删除名为 george 的用户:
auth- file file2 uid(george) calendar(basecalendar)
| 版权所有 © 2012 CA。 保留所有权利。 | 就该主题发送电子邮件至 CA Technologies |