![이전 항목: ch[x]grp 명령-그룹 속성 변경](574.png)
![다음 항목: ch[x]usr 명령-사용자 속성 변경](573.png)
|
|
|
AC 환경에 해당
CA Access Control 클래스에 속한 리소스 레코드로 작업하려면 chres, editres 및 newres 명령을 사용하십시오. 이러한 명령은 구조가 동일하며, 다음의 내용만 다릅니다.
참고: 이 명령은 네이티브 Windows 환경에도 있지만 작동 방식이 다릅니다.
newres 명령을 사용하여 리소스를 추가하려면 최소한 다음 조건 중 하나를 충족해야 합니다.
chres 또는 editres 명령을 사용하여 리소스를 추가 또는 변경하려면 리소스에 대한 충분한 권한이 있어야 합니다. CA Access Control은 이러한 조건 중 하나에 대해 다음 순서에 따라 검사합니다.
참고: 리소스 이름의 최대 길이는 255자(싱글 바이트)입니다.
다음 표에는 chres, editres 및 newres 명령을 사용하여 관리할 수 있는 각 클래스에 적용되는 명령 매개 변수가 나열되어 있습니다.
|
클래스 |
속성 |
|||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|
audit |
calendar |
category |
comment |
defaccess |
label |
level |
notify |
owner |
restrictions[‑] |
warning |
other |
|
ACVAR |
|
|
|
X |
|
|
|
|
X |
|
|
VARIABLE_ TYPE, VARIABLE_ VALUE |
|
ADMIN |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
|
CALENDAR |
|
|
|
X |
|
|
|
|
X |
|
|
|
|
CATEGORY |
|
|
|
X |
|
|
|
|
X |
|
|
|
|
CONNECT |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
|
CONTAINER |
X |
X |
|
X |
|
|
|
|
X |
|
X |
MEM |
|
DOMAIN |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
MEM |
|
FILE |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
|
GFILE |
X |
X |
|
X |
|
|
|
X |
X |
|
X |
MEM |
|
GHOST |
X |
X |
|
X |
|
|
|
|
X |
X |
X |
MEM |
|
GSUDO |
|
X |
|
X |
X |
|
|
|
X |
|
|
MEM |
|
GTERMINAL |
X |
X |
|
X |
X |
|
|
|
X |
X |
|
MEM |
|
HNODE |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
SUBSCRIBER, POLICY |
|
HOLIDAY |
X |
|
X |
X |
X |
X |
X |
X |
X |
X |
X |
DATES |
|
HOST |
X |
X |
|
X |
|
|
|
|
X |
X |
X |
|
|
HOSTNET |
X |
X |
|
X |
|
|
|
|
X |
|
X |
MASK, MATCH |
|
HOSTNP |
X |
X |
|
X |
|
|
|
|
X |
X |
X |
|
|
LOGINAPPL |
X |
X |
|
X |
X |
|
|
X |
X |
X |
X |
LOGINFLAGS, LOGINMETHOD, LOGINPATH, LOGINSEQUENCE |
|
MFTERMINAL |
X |
X |
X |
X |
|
X |
X |
X |
X |
|
X |
DAYTIME |
|
POLICY |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
SIGNATURE, RULESET |
|
PROCESS |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
|
PROGRAM |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
TRUST |
|
PWPOLICY |
|
|
|
X |
|
|
|
|
X |
|
|
|
|
REGKEY |
X |
X |
|
X |
X |
|
|
X |
X |
|
X |
DAYTIME |
|
REGVAL |
X |
X |
|
X |
X |
|
|
X |
X |
|
X |
DAYTIME |
|
RULESET |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
SIGNATURE, CMD, UNDOCMD |
|
SECFILE |
|
|
|
X |
|
|
|
|
X |
|
|
TRUST, FLAGS |
|
SECLABEL |
|
|
X |
X |
|
|
X |
|
X |
|
|
|
|
SEOS |
|
X |
X |
X |
|
X |
X |
|
|
|
|
HOST |
|
SPECIALPGM |
|
|
|
X |
|
|
|
|
X |
|
|
|
|
SUDO |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
TARGUID, PASSWORD |
|
SURROGATE |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
|
TCP |
X |
|
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
|
TERMINAL |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
|
UACC |
X |
|
X |
X |
X |
|
|
|
X |
|
|
|
|
USER‑ATTR |
|
|
|
|
|
|
|
|
X |
|
X |
|
|
USER‑DIR |
X |
|
|
X |
|
|
|
|
X |
|
|
|
{{chres|cr}|{editres|er}|{newres|nr}} className resourceName \
[ac_id(id)] \
[audit({none|all|success|failure})] \
[calendar[-](calendarName)] \
[category[-](categoryName)] \
[cmd+(selang_command_string)|cmd-] \
[comment(string)|comment‑] \
[container[-](containerName)] \
[dates(time‑period)] \
[dh_dr{-|+}(dh_dr)] \
[disable|disable-] \
[defaccess(accessAuthority)] \
[filepath(filePaths)] \
[flags[-|+](flagName)] \
[gacc(access‑value)] \
[gowner(groupName)] \
[host(host-name)|host-] \
[label(labelName)|label‑] \
[level(number)|level‑] \
[mask(inetAddress)|match(inetAddress)] \
[mem(resourceName)|mem‑(resourceName)] \
[node_alias{-|+}(alias)] \
[node_ip{-|+}(ip)] \
[notify(mailAddress)|notify‑] \
[of_class(className)] \
[owner({userName | groupName})] \
[{password | password‑}] \
[policy(name(policy-name) {{deviation+|dev+}|{deviation-|dev-}})] \
[policy(name(policy-name) status(policy-status) {updator|updated_by}(user-name))] \
[{restrictions([days({anyday|weekdays|{[mon] [tue] [wed] \
[thu] [fri] [sat] [sun]}})] \
[time({anytime|startTime:endTime}) \
|restrictions‑}] \
[targuid(userName)] \
[trust | trust‑] \
[value{+|-}(value)] \
[warning | warning‑]
로컬 CA Access Control 데이터베이스 및 DMS에 저장된 끝점(HNODE 개체)에 대해 고유한 ID를 정의합니다. CA Access Control은 이 ID를 사용하여 HNODE를 식별합니다. 따라서 끝점의 IP 주소 또는 이름을 변경해도 고급 정책 관리 기능이 영향을 받지 않으며, CA Access Control은 여전히 끝점을 추적할 수 있습니다.
기록되는 액세스 이벤트를 나타냅니다. 다음 특성 중 하나를 지정합니다.
Unicenter TNG에서 시간 제한을 나타내는 Unicenter NSM 달력 레코드를 정의합니다. CA Access Control은 이러한 개체 목록을 관리 용도로만 유지하며 보호하지는 않습니다. 둘 이상의 달력을 할당하려면 달력 이름을 공백 또는 쉼표로 구분하십시오.
리소스 레코드에서 하나 이상의 Unicenter NSM 달력 레코드를 삭제합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
리소스 레코드에 하나 이상의 보안 범주를 할당합니다.
CATEGORY 클래스가 활성화되어 있지 않을 때 category 매개 변수를 지정하는 경우 CA Access Control은 데이터베이스의 리소스 정의를 업데이트합니다. 그러나 업데이트된 범주 할당은 CATEGORY 클래스가 다시 활성화될 때까지 적용되지 않습니다.
리소스 레코드에서 하나 이상의 보안 범주를 삭제합니다.
지정된 보안 범주가 CATEGORY 클래스의 활성 여부에 상관 없이 리소스 레코드에서 삭제됩니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
리소스가 속한 클래스의 이름을 지정합니다. CA Access Control에 정의된 리소스 클래스를 나열하려면 find 명령을 사용하십시오.
정책을 정의하는 selang 명령의 목록을 지정합니다. 이러한 명령은 정책 배포에 사용됩니다. 예를 들면 다음과 같습니다.
editres RULESET IIS5#02 cmd+("nr FILE /inetpub/* defaccess(none) owner(nobody)")
RULESET 개체에서 정책 배포 명령 목록을 제거합니다.
최대 255자로 구성된 영숫자 문자열을 리소스 레코드에 추가합니다. 문자열이 공백을 포함하는 경우, 작은 따옴표를 전체 문자열 앞뒤에 입력하십시오. 이 문자열은 이전에 정의한 기존의 모든 문자열을 대체합니다.
참고: SUDO 클래스의 경우 이 문자열은 특별한 의미를 가지고 있습니다. SUDO 레코드 정의에 대한 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오.
리소스 레코드에서 설명을 삭제합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
포괄적인 그룹 설정 클래스인 CONTAINER 객체를 나타냅니다.
containerName은 CONTAINER 클래스에 정의된 하나 이상의 CONTAINER 레코드 이름입니다. 둘 이상의 CONTAINER를 할당하려면 이름을 공백 또는 쉼표로 구분하십시오.
리소스 레코드에서 하나 이상의 CONTAINER 레코드를 삭제합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
휴일과 같이 사용자가 로그인할 수 없는 하나 이상의 기간을 정의합니다. 둘 이상의 기간을 지정하려면, 공백으로 각 기간을 구분하십시오. 다음 형식을 사용합니다.
mm/dd[/yy[yy]][@hh:mm][-mm/dd]/[/yy[yy]][@hh:mm]
연도를 지정하지 않은 경우(또는 1990년 전의 연도를 지정하는 경우) 그 기간이나 휴일이 해마다 적용됨을 의미합니다. 연도는 98 또는 1998과 같이 두 자리 또는 네 자리 숫자로 지정할 수 있습니다.
시작 시간을 지정하지 않은 경우, 그 날의 시작 시간(자정)이 사용됩니다. 종료 시간을 지정하지 않은 경우, 그 날의 종료 시간(자정)이 사용됩니다. 시간과 분의 형식은 모두 hh:mm이며, 여기서 hh는 24시간 표기(00 - 23) 시간이고 mm은 분(00 - 59)입니다.
시간 간격을 지정하지 않고(예를 들어, 12/25@14:00‑12/25@17:00) 월과 일(12/25)만 지정하는 경우, 휴일은 하루 종일 계속됩니다.
휴일이 발생하는 다른 시간대에 명령을 작성하는 경우, 해당 기간을 지역 시간으로 변환합니다. 예를 들어, 현재 위치가 뉴욕이고 LA에 반나절 휴일이 있는 경우 09/14/98@18:00‑09/14/98@20:00을 입력해야 합니다. 이렇게 하면 LA에서 오후 3시부터 오후 5시까지 사용자가 로그인할 수 없습니다.
리소스에 대한 기본 액세스 권한을 정의합니다. 기본 액세스 권한은 리소스 액세스 요청자 중에서 리소스 액세스 제어 목록에 없는 접근자에게 부여되는 권한입니다. 기본 액세스는 데이터베이스에 정의되지 않은 사용자에게도 적용됩니다. 유효한 액세스 권한 값은 클래스에 따라 다릅니다.
accessAuthority를 생략하면 CA Access Control은 UACC 클래스에서 리소스의 클래스를 나타내는 레코드의 UACC 속성에 지정된 암시적 액세스 권한을 할당합니다.
이 끝점이 재해 복구를 위해 사용할 배포 호스트를 정의합니다.
하나 이상의 절대 파일 경로를 정의합니다. 각 경로는 유효한 커널 모듈을 구성합니다. 여러 파일 경로는 콜론(:)으로 구분합니다.
리소스가 트러스트되는 방법과 리소스의 트러스트된 상태를 확인하는 방법에 대해 정의합니다. 사용 가능한 플래그는 Ctime, Mtime, Mode, Size, Device, Inode, Crc 및 Own/All/None입니다.
자주 사용하는 보호되는 파일을 프로그램이 다른 방법보다 훨씬 더 빠르게 액세스할 수 있게 해 줍니다.
CA Access Control 그룹을 리소스 레코드의 소유자로 할당합니다. 소유자의 보안 수준, 보안 레이블 및 보안 범주 권한이 리소스에 액세스할 수 있을 만큼 충분한 경우 리소스 레코드의 소유자는 리소스에 제한 없이 액세스할 수 있습니다. 리소스의 그룹 소유자는 항상 리소스 레코드를 업데이트 및 삭제할 수 있는 권한을 가집니다. 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오.
리소스 레코드에 보안 레이블을 할당합니다.
리소스 레코드에서 보안 레이블을 삭제합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
리소스 레코드에 보안 수준을 할당합니다. 1-255 사이의 양의 정수를 입력합니다.
리소스에서 모든 보안 수준을 제거합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
mask 및 match 매개 변수는 HOSTNET 레코드에만 적용할 수 있습니다. HOSTNET 레코드를 작성할 때는 이 두 매개 변수가 필수 사항이며 레코드를 수정할 때는 선택 사항입니다.
HOSTNET 레코드에 의해 정의된 호스트의 그룹을 정의하려면 mask와 match를 함께 사용하십시오. mask 주소가 있는 호스트 IP 주소의 AND가 match 주소를 생성하는 경우 호스트는 HOSTNET 레코드 그룹의 구성원입니다.
예를 들어 mask(255.255.255.0)와 match(192.16.133.0)를 지정할 경우, 호스트 IP 주소의 범위가 192.16.133.0 ~ 192.16.133.255이면 호스트는 그룹의 구성원이 됩니다.
mask 및 match 매개 변수에는 IPv4 주소가 필요합니다.
구성원 리소스를 리소스 그룹에 추가합니다. 둘 이상의 구성원 리소스를 추가하는 경우 쉼표로 각 이름을 구분하십시오.
다음 클래스의 리소스 레코드에 대해서만 mem 매개 변수를 사용할 수 있습니다.
GFILE 클래스의 리소스 그룹에 FILE 레코드를 추가하는 것과 같이 적절한 유형의 레코드를 리소스 그룹에 추가하려면 mem 매개 변수를 사용하십시오.
참고: CONTAINER 리소스에 mem 매개 변수를 사용하는 경우 of_class 매개 변수도 포함해야 합니다.
그러나 구성원 리소스와 리소스 그룹은 이미 CA Access Control에 정의되어 있어야 합니다. 리소스 그룹을 작성하려면 원하는 클래스의 리소스를 작성하십시오. 예를 들어, 다음 명령을 사용하면 GFILE 리소스 그룹이 작성됩니다.
newres GFILE myfiles
리소스 그룹에서 구성원 리소스를 제거합니다. 둘 이상의 구성원 리소스를 제거하는 경우 리소스 이름을 공백 또는 쉼표로 구분하십시오. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
끝점 별칭을 정의합니다.
끝점에 대해 별칭을 정의하면 CA Access Control은 별칭을 기반으로 실제 끝점에 고급 정책 관리 명령을 전송할 수 있습니다.
호스트의 IP 주소를 정의합니다. 고급 정책 관리는 끝점의 이름과 함께 IP 주소를 사용하여 필요한 끝점을 찾습니다.
리소스 레코드로 표시되는 리소스에 액세스할 때마다 알림 메시지를 전송하도록 CA Access Control에 지시합니다. 사용자 이름이나 전자 메일 주소를 입력하거나 별칭이 지정된 경우 메일 그룹의 전자 메일 주소를 입력하십시오.
통지는 로그 라우팅 시스템이 활성 상태인 경우에만 발생합니다. 통지 메시지는 로그 라우팅 시스템의 설정에 따라 화면 또는 사용자의 사서함으로 전송됩니다.
통지 메시지가 전송될 때마다 감사 레코드가 감사 로그에 기록됩니다. 감사 레코드의 필터링 및 보기에 대한 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오.
통지 메시지의 수신인은 자주 로그인하여 각 메시지에서 설명하고 있는 무단 액세스 시도에 응답해야 합니다.
제한: 30자
리소스 레코드로 표시된 리소스를 성공적으로 액세스하면 누구에게도 통지하지 않게 지정합니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
mem 매개 변수를 사용하여 컨테이너(CONTAINER) 클래스에 추가하는 레코드의 리소스 유형을 지정합니다.
CA Access Control 사용자 또는 그룹을 리소스 레코드의 소유자로 할당합니다. 소유자의 보안 수준, 보안 레이블 및 보안 범주 권한이 리소스에 액세스할 수 있을 만큼 충분한 경우 리소스 레코드의 소유자는 리소스에 제한 없이 액세스할 수 있습니다. 리소스 소유자는 항상 리소스 레코드를 업데이트 및 삭제할 수 있습니다. 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오.
SUDO 클래스에 sesudo 명령을 사용하려면 원래 사용자의 암호를 요구하도록 지정합니다.
password 매개 변수를 취소하여 sesudo 명령을 사용할 때 더 이상 원래 사용자의 암호가 필요하지 않습니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다. password 매개 변수를 이전에 사용하지 않은 경우 이 매개 변수는 필요하지 않습니다.
전파 트리에서 노드의 구독자를 추가하고 그 상태를 지정합니다. 또는 정책 위반의 존재 여부를 지정하기 위해 기존의 정책 버전을 업데이트합니다. 정책 상태를 업데이트할 때는 updated_by 속성을 업데이트해야 합니다. 이것은 정책 상태를 변경한 사용자의 이름을 나타내는 문자열입니다.
정책 상태는 전송됨, 배포됨, 배포 취소, 실패, 서명 실패, 큐에 추가됨, 배포 취소 실패 또는 전송 실패 중 하나가 될 수 있습니다.
지정된 정책 버전을 노드에서 제거합니다. 정책을 지정하지 않으면 이 노드에 배포된 모든 정책이 제거됩니다.
수정 또는 추가할 리소스 레코드의 이름을 정의합니다. 둘 이상의 리소스를 변경 또는 추가할 경우 리소스 이름 목록을 괄호로 묶고 공백이나 쉼표로 리소스 이름을 구분합니다. 최소한 하나 이상이 리소스 이름을 지정해야 합니다.
CA Access Control은 지정된 매개 변수에 따라 각 리소스 레코드를 독립적으로 처리합니다. 리소스를 처리할 때 오류가 발생하면 CA Access Control은 메시지를 작성하고 목록의 다음 리소스를 계속 처리합니다.
참고: 리소스 이름에 변수를 사용하는 경우 다음 구문을 사용하여 변수를 참조하십시오: <!variable>. 예: <!AC_ROOT_PATH>\bin. 정책의 selang 규칙에서만 변수를 사용할 수 있습니다.
사용자가 파일에 액세스할 수 있는 요일 및 시간을 지정합니다.
days 인수를 생략하고 time 인수를 지정할 경우, 시간 제한은 레코드에 이미 표시된 요일 제한에 적용됩니다. time을 생략하고 days를 지정할 경우 요일 제한은 레코드에 이미 표시된 시간 제한에 적용됩니다. days와 time을 모두 지정할 경우, 사용자는 지정된 요일에 지정된 시간 동안에만 시스템에 액세스할 수 있습니다.
사용자의 파일 액세스 권한을 제한하는 모든 제한을 삭제합니다.
정책과 연결할 규칙 집합을 지정합니다.
정책에서 규칙 집합을 삭제합니다. 규칙 집합을 지정하지 않으면 정책에서 모든 규칙 집합이 제거됩니다.
해시 값을 지정합니다. 정책에서 이 값은 정책과 연결된 RULESET 개체의 서명을 기반으로 합니다. 규칙 집합에서 이 값은 정책 배포 명령 목록 및 정책 배포 취소(제거) 명령 목록을 기반으로 합니다.
전파 트리에서 노드의 구독자를 추가하고 그 상태를 지정합니다. 상태는 unknown, available, unavailable 또는 sync 중 하나가 될 수 있습니다.
노드에서 구독자 데이터베이스를 제거합니다. 구독자를 지정하지 않으면 모든 구독자가 제거됩니다.
SUDO 클래스의 경우, 이 명령을 실행할 수 있는 권한을 빌려주는 사용자의 이름을 지정합니다. 기본값은 root입니다.
리소스가 트러스트되었음을 지정합니다. trust 매개 변수는 PROGRAM 클래스와 SECFILE 클래스의 리소스에만 적용됩니다. 사용자는 프로그램이 트러스트된 상태를 유지하는 한 프로그램을 실행할 수 있습니다. 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
리소스가 언트러스트되었음을 지정합니다. trust‑ 매개 변수는 PROGRAM 클래스와 SECFILE 클래스의 리소스에만 적용됩니다. 사용자는 언트러스트된 프로그램을 실행할 수 없습니다. 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
정책 배포 취소를 정의하는 selang 명령의 목록을 지정합니다. 이러한 명령은 배포된 정책을 제거(배포 취소)하는 데 사용됩니다. 예:
editres RULESET IIS5#02 undocmd+("rr FILE /inetpub/*")
RULESET 개체에서 정책 제거 명령 목록을 제거합니다.
지정된 변수(ACVAR 개체)에 지정된 값을 추가합니다.
지정된 변수(ACVAR 개체)에서 지정된 값을 제거합니다.
접근자의 권한이 리소스에 액세스하기에 충분하지 않더라도 CA Access Control에서 리소스에 대한 액세스를 허용하도록 지정합니다. 단, CA Access Control은 감사 로그에 경고 메시지를 기록합니다.
참고: 경고 모드에서는 CA Access Control이 리소스 그룹에 대한 경고 메시지를 작성하지 않습니다.
접근자의 권한이 리소스에 액세스하기에 충분하지 않으면 CA Access Control은 리소스에 대한 사용자의 액세스를 거부하고 경고 메시지를 기록하지 않습니다. 이 매개 변수는 chres 또는 editres 명령과 함께만 사용합니다.
예제
chres TERMINAL tty30 owner(admin1) defaccess(read) restrictions \ (days(weekdays)time(0800:1800))
chres FILE /account.txt group() owner()
속성이 문자열에 의해 정의된 경우 레코드 속성을 제거하려면 "‑" 기호 또는 빈 괄호 "()"와 함께 속성을 입력하십시오.
chres TERMINAL tty190 comment‑ notify(Bob@athena)
chres SURROGATE USER.root category(OPERATOR)
newres PROGRAM /bin/su defaccess(x) trust
newres SURROGATE GROUP.system defaccess(n) owner(nobody)
newres GTERMINAL ProjATerms mem(T1,T8,T11) owner(PROJECTA) \ restrictions(days(weekdays) time(0800:1800)) defaccess(n)
| Copyright © 2012 CA. All rights reserved. | 이 주제에 대해 CA Technologies에 전자 메일 보내기 |