setoptions 명령-CA Access Control 옵션 설정

selang 참조 안내서 › selang 명령 › AC Windows 환경의 selang 명령 › setoptions 명령-CA Access Control 옵션 설정

setoptions 명령-CA Access Control 옵션 설정

AC 환경에 해당

setoptions 명령은 실행 중인 시스템에서 시스템 전체 CA Access Control 옵션을 설정합니다. 예를 들면 setoptions 명령을 사용하여 각 클래스 또는 모든 클래스에 대한 보안 검사를 활성화 또는 비활성화하고, 암호 정책을 설정하고, CA Access Control 옵션의 현재 설정을 나열할 수 있습니다.

참고: 이 명령은 Windows 환경에도 있지만 작동 방식이 다릅니다.

setoptions 명령을 사용하려면 ADMIN 특성이 필요합니다. 단, setoptions list 명령을 사용하려면 AUDITOR 또는 OPERATOR 특성만 있어도 됩니다.

이 명령의 형식은 다음과 같습니다.

{setoptions|so} \

[accgrr|accgrr‑] \
[accpacl|accpacl‑] \
[class+ (className)] \
[class‑ (className)] \
[class (className)] \
[flags{+|-} (I|W)] \
[cng_adminpwd|cng_adminpwd‑] \
[cng_ownpwd|cng_ownpwd‑] \
[cwarnlist] \
[dms{+|-}(dms@hostname)] \
[inactive(nDays)|inactive‑] \
[is_dms{+|-}] \
[list] \
[maxlogins(nLogins)|maxlogins‑] \
[password( \

[{history(nStoredPasswords) | history‑}] \
[(interval(nDays) | interval‑)] \
[(min_life(nDays) | min_life‑)] \
[{rules( \
	[alpha(nCharacters)] \
	[alphanum(nCharacters)] \
	[(bidirectional) | (bidirectional-)] \
	[grace(nLogins)] \
	[lowercase(nCharacters)] \
	[min_len(nCharacters)]
	[max_len(nCharacters)] \
	[max_rep(nCharacters)] \
	[{namechk|namechk‑}]
	[numeric(nCharacters)] \
	[{oldpwchk|oldpwchk‑}]
	[prohibited(prohibitedCharacters)] \
	[special(nCharacters)] \
	[sub_str_len(nCharacters)] \
	[uppercase(nCharacters)] \
	[use_dbdict|use_dbdict-] \
)|rules‑}] \

)] \

accgrr

ACCGRR(누적 그룹 권한) 옵션을 활성화합니다.

기본값은 enabled입니다.

accgrr‑

ACCGRR(누적 그룹 권한) 옵션을 비활성화합니다.

accpacl

모든 리소스에서 PACL의 사용을 활성화합니다.

accpacl‑

PACL의 사용을 비활성화합니다.

class (className)

CA Access Control 클래스에 대한 설정을 설정 또는 삭제합니다.

class+(className)

하나 이상의 CA Access Control 클래스를 활성화합니다. CA Access Control이 클래스의 리소스를 보호하려면 해당 클래스가 활성화되어야 합니다. 클래스에 속한 리소스에 대한 액세스를 허용하기 위해 필요한 레코드를 정의한 후에만 클래스를 활성화해야 합니다. CA Access Control과 함께 제공되는 리소스 클래스에 대한 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오.

다음 값 중 하나를 사용하십시오.

CA Access Control 클래스의 이름
SECLEVEL. 보안 수준 검사를 활성화합니다.
PASSWORD. 암호 규칙을 활성화합니다. Windows에서는 임의로 긴 암호도 활성화합니다.

class‑(className)

하나 이상의 CA Access Control 클래스를 비활성화합니다. 비활성화된 클래스에 속한 리소스는 CA Access Control에 의해 보호되지 않습니다. 다음 값 중 하나를 사용하십시오.

CA Access Control 클래스의 이름
SECLEVEL. 보안 수준 검사를 비활성화합니다.
PASSWORD. 암호 규칙을 비활성화합니다. Windows에서 이 값은 긴 암호도 비활성화합니다.
GROUP, SECFILE, SEOS, UACC 및 USER 클래스는 비활성화할 수 없습니다.

cng_adminpwd

PWMANAGER 특성이 있는 사용자가 ADMIN 사용자의 암호를 변경할 수 있도록 합니다.

cng_adminpwd‑

PWMANAGER 특성이 있는 사용자가 ADMIN 사용자의 암호를 변경할 수 없도록 합니다. 이것이 기본 설정입니다.

cng_ownpwd

사용자가 selang을 통해 자신의 암호를 변경할 수 있습니다.

cng_ownpwd‑

사용자가 selang을 통해 자신의 암호를 변경할 수 없습니다. 이것이 기본 설정입니다.

cwarnlist

클래스가 경고 모드에 있는 데이터를 포함하는 테이블을 표시합니다.

dms{+|-}(dms@hostname)

이 데이터베이스에 대한 DMS 데이터베이스의 목록에서 DMS 데이터베이스를 추가 또는 제거합니다.

flags{+|-} (I|W)

클래스와 관련된 기능을 설정 또는 삭제합니다. 유효한 값:

-I

지정된 클래스의 개체에 대한 대소문자 구분

W

지정된 클래스에 대한 경고 모드

참고: 플래그는 대소문자를 구분합니다. 대문자를 사용하십시오.

history(NStoredPasswords)

기록 목록에 저장되는 이전 암호 수를 지정합니다. 암호가 변경되면 이전 암호는 이 목록에 추가되며, 가장 오래된 암호는 필요에 따라 목록에서 제거됩니다. CA Access Control은 사용자가 자신의 암호를 이 목록에 있는 암호로 변경하지 못하게 합니다.

1 - 24 사이의 정수를 입력하십시오. 0을 지정하면 암호가 하나도 저장되지 않습니다.

Windows에서는 history 옵션이 8자보다 긴 암호 사용을 활성화합니다. 암호 저장 시 사용되는 암호화 형식은 setoptions bidirectional 또는 bidirectional- 옵션으로 결정됩니다.

UNIX에서는 history 옵션이 긴 암호의 활성화 여부에 영향을 주지 않습니다. 긴 암호의 활성화 여부를 결정하려면 passwd_local_encryption_method 구성 설정을 사용하십시오.

history‑

암호 기록 검사를 비활성화합니다.

Windows에서는 이 옵션이 긴 암호 사용을 비활성화합니다.

inactive(nDays)

사용자의 로그인이 일시 중단된 이후 비활성 기간을 지정합니다. 비활성 일은 사용자가 로그인하지 않는 날입니다. 양수를 입력합니다. inactive를 0으로 설정하면 inactive‑ 매개 변수를 사용하는 것과 결과적으로 동일합니다.

inactive‑

비활성 로그인 검사를 비활성화합니다.

interval(nDays)

사용자에게 새 암호를 묻기 전에 암호가 설정되거나 변경된 후 경과해야 하는 일 수를 설정합니다. 0 또는 양수를 입력합니다. 간격이 0이면 사용자에 대한 암호 간격 검사가 비활성화됩니다. 암호가 만료되지 않도록 하려면 간격을 0으로 설정합니다.

segrace 유틸리티가 사용자의 로그인 스크립트의 일부이면 CA Access Control은 지정된 일 수에 도달할 때 현재 암호가 만료되었음을 사용자에게 알립니다. 사용자는 암호를 즉시 갱신하거나 유예 로그인 횟수에 도달할 때까지 기존 암호를 계속 사용할 수 있습니다. 유예 로그인 횟수에 도달하면 시스템 액세스가 거부되며 시스템 관리자에게 문의하여 새 암호를 선택해야 합니다.

interval‑

암호 간격 설정을 취소합니다.

is_dms+

현재 데이터베이스를 DMS로 지정합니다.

is_dms-

현재 데이터베이스에서 DMS 지정을 제거합니다.

list

화면에 현재 CA Access Control 설정을 표시합니다.

maxlogins(nLogins)

사용자가 동시에 로그인할 수 있는 최대 터미널 수를 설정합니다. 값 0은 사용자가 터미널 수에 상관없이 동시에 로그인할 수 있음을 의미합니다. 사용자의 사용자 레코드에 값을 할당하면 이 값은 무시됩니다.

참고: maxlogins가 1로 설정되어 있으면 selang을 실행할 수 없습니다. CA Access Control을 종료하고 maxlogins 설정을 1보다 큰 수로 변경한 후 CA Access Control을 다시 시작해야 합니다.

참고: Unix 및 Linux 운영 체제에만 해당됩니다.

maxlogins‑

전역 최대 로그인 검사를 비활성화합니다. 사용자 로그인이 사용자 레코드에 제한되지 않는다면, 사용자가 로그인할 수 있는 터미널 수는 제한되지 않습니다.

min_life(NDays )

암호를 변경하는 최소 일 수를 설정합니다. 양수를 입력합니다.

password

암호 옵션을 설정합니다.

rules

CA Access Control에서 새 암호의 품질을 검사하기 위해 사용하는 하나 이상의 암호 규칙을 설정합니다. 규칙은 다음과 같습니다.

alpha(nCharacters)

새 암호에 포함해야 하는 최소 영문자 수를 설정합니다. 정수를 입력합니다.

alphanum(nCharacters)

새 암호에 포함해야 하는 최소 영숫자 수를 설정합니다. 정수를 입력합니다.

bidirectional

암호를 PMDB의 일부로 다른 시스템에 전송할 때 일반 텍스트로(암호화된 메시지 내에서) 배포되도록 지정합니다.

UNIX에서 이 옵션은 다음의 passwd 섹션 설정값을 설정하는 것과 같습니다.

Passwd_distribution_encryption_mode=bidirectional

참고: setoptions 명령을 사용하는 것보다 구성 설정을 지정하는 것이 좋습니다.

Windows에서 암호는 다음 레지스트리 값에 지정된 암호화와 함께 기록 목록에 저장됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Encryption Package

bidirectional-

암호가 해시 암호화 형식으로 전송되도록 지정합니다.

Windows에서 사용되는 해시 함수는 SHA-1입니다.

UNIX에서 이 옵션은 다음의 passwd 섹션 설정값을 설정하는 것과 같습니다.

Passwd_distribution_encryption_mode=compatibility

참고: setoptions 명령을 사용하는 것보다 구성 설정을 지정하는 것이 좋습니다.

이 옵션이 지정되어 있으면 서로 다른 운영 체제 간에 긴 암호를 배포할 수 없습니다.

grace(nLogins)

사용자에 대한 일시 중단 전에 허용되는 최대 유예 로그인 횟수를 설정합니다. 유예 로그인 횟수는 0에서 255 사이여야 합니다(0과 255 포함).

lowercase(nCharacters)

새 암호에 포함해야 하는 최소 소문자 수를 설정합니다. 정수를 입력합니다.

min_len(nCharacters)

최소 암호 길이를 설정합니다. 새 암호가 포함해야 하는 최소 문자 수를 입력합니다.

max_len(nCharacters)

최대 암호 길이를 설정합니다. 새 암호에 들어가야 하는 최대 총 문자 수를 입력합니다.

max_rep(nCharacters)

새 암호에 포함해야 하는 최대 반복 문자 수를 설정합니다. 정수를 입력합니다.

namechk

암호에 사용자 이름이 포함되어 있는지 또는 사용자 이름에 암호가 포함되어 있는지를 검사합니다. 기본적으로 CA Access Control이 이 검사를 수행합니다.

namechk‑

namechk 검사를 해제합니다.

numeric(nCharacters)

새 암호에 포함해야 하는 최소 숫자 수를 설정합니다. 정수를 입력합니다.

oldpwchk

새 암호에 교체되는 암호가 포함되어 있는지 또는 교체되는 암호에 새 암호가 포함되어 있는지를 검사합니다. 기본적으로 CA Access Control이 이 검사를 수행합니다.

참고: Unix 및 Linux 운영 체제에만 해당됩니다.

oldpwchk‑

oldpwchk를 해제합니다.

prohibited(prohibitedCharacters)

사용자가 암호에 사용할 수 없는 문자를 지정합니다. 금지된 문자를 입력합니다.

참고: 탭 키의 사용을 차단하기 위해 제어 문자 '\' 및 't'가 모두 prohibitedCharacters 목록에 지정되어 있는지 확인하는 것이 좋습니다.

special(nCharacters)

새 암호에 포함해야 하는 최소 특수 문자 수를 설정합니다. 정수를 입력합니다.

sub_str_len(nCharacters)

새 암호가 이전 암호와 공유할 수 있는 최대 문자 수를 설정합니다. 정수를 입력합니다.

uppercase(nCharacters)

새 암호에 포함해야 하는 최소 대문자 수를 설정합니다. 정수를 입력합니다.

use_dbdict | use_dbdict-

암호 사전을 설정합니다. use_dbdict는 토큰을 db로 설정하고, 암호를 CA Access Control 데이터베이스에 있는 단어와 비교합니다. use_dbdict- sets는 토큰을 file로 설정하고, seos.ini 파일에 지정된 파일(UNIX의 경우) 또는 Windows 레지스트리(Windows의 경우)에 대해 암호를 검사합니다.

rules‑

암호 품질 검사를 비활성화합니다. rules 인수에 의해 지정된 규칙은 암호 품질 검사에 사용되지 않습니다.

예: CA Access Control 옵션 설정

사용자 John은 운영자 작업을 보호하는 데 사용되는 설치 정의 클래스인 OpsAct를 활성화하려고 합니다.
사용자 John은 ADMIN 특성을 가집니다.
```
setoptions class+(OpsAct)
```
사용자 Mike는 사용자에게 6자 이상의 암호를 사용하도록 하는 암호 정책을 설정하고, 또한 암호 정책 적용 기능을 활성화하고자 합니다.
사용자 Mike가 ADMIN 특성을 가지고 있습니다.
```
setoptions class+(PASSWORD)
setoptions password(rules(min_len(6)))
```
사용자 SecAdmin은 보안 수준 검사를 활성화하려고 합니다.
사용자 SecAdmin은 ADMIN 특성을 가집니다.
```
setoptions class+(SECLEVEL)
```
사용자 Janani는 알림을 보내기 위해 이 데이터베이스에 대해 DMS를 설정하고자 합니다.
사용자 Janani는 ADMIN 특성을 가지고 있습니다.
```
setoptions dms+(apache@myHost)
```

예: 경고 모드로 클래스 사용

클래스에 대한 경고 속성을 설정하여 클래스에 경고 모드를 적용합니다. 다음과 같이 setoptions selang 명령을 사용하여 이 작업을 수행할 수 있습니다.

setoptions class(classname) flags+ (W)

classname: 경고 모드를 적용할 클래스 이름을 정의합니다.

참고: W 플래그는 대소문자를 구분하며 반드시 대문자를 사용해야 합니다.

클래스의 경고 모드를 지우려면 다음과 같이 setoptions 명령을 사용합니다.

setoptions class(classname) flags- (W)

추가 정보:

setoptions 명령-CA Access Control Windows 옵션 설정

경고 모드

이 주제에 대해 CA Technologies에 전자 메일 보내기