권한 부여 명령-리소스에 대한 액세스 권한 설정

selang 참조 안내서 › selang 명령 › AC Windows 환경의 selang 명령 › 권한 부여 명령-리소스에 대한 액세스 권한 설정

권한 부여 명령-리소스에 대한 액세스 권한 설정

AC 환경에 해당

접근자의 access authorities를 리소스로 변경하려면 권한 부여 명령을 사용하십시오.

이 명령은 리소스와 연결된 액세스 제어 목록을 수정합니다. 이 명령은 액세스 제어 목록의 항목을 한 번에 하나만 변경합니다.

접근자가 리소스에 액세스하려고 시도하면 CA ControlMinder은 해당 액세스 제어 목록을 검사하여 액세스 권한을 확인합니다. 이러한 액세스 제어 목록은 리소스 레코드에 있는 목록을 포함하며, 리소스 그룹 레코드에 있는 액세스 제어 목록도 포함할 수 있습니다. 리소스가 속한 NACL에서 접근자의 액세스 권한이 거부되면, 다른 ACL에서 권한이 승인되더라도 해당 접근자의 권한은 거부됩니다.

리소스 소유자는 항상 리소스에 대해 모든 액세스 권한을 갖습니다. 소유자인 사용자의 액세스 권한을 변경하려면 새로운 소유자(예: 사용자 nobody)를 갖도록 리소스를 변경하십시오.

참고: 이 명령은 Windows 환경에도 있지만 작동 방식이 다릅니다.

권한 부여 명령을 사용하려면 충분한 권한이 있어야 합니다. 즉, 다음 중 하나 이상이 충족되어야 합니다.

사용자가 ADMIN 특성을 가집니다.
리소스가 구성원으로 속한 리소스 그룹에 대해 GROUP‑ADMIN 특성을 가집니다.
사용자가 리소스의 소유자입니다.
리소스에 해당하는 ADMIN 클래스 레코드에서 사용자가 수정 액세스 권한을 가집니다.

권한 부여 명령의 형식은 클래스 집합에 따라 다릅니다. 이러한 집합은 다음과 같습니다.

TCP
HOST, GHOST, HOSTNET, HOSTNP
모든 다른 클래스

TCP 클래스에 대한 이 명령의 형식은 다음과 같습니다.

{authorize|auth} TCP tcpServiceName \

[{access|deniedaccess}(accessType)] \
{[ghost(ghostName [,ghostName]...)] | \
[host(hostName [,hostName]...)] | \
[hostnet(hostNetName [,hostNetName]...)] | \
[hostnp(hostNamePattern [,hostNamePattern]...)]} \
[{gid|uid|xgid|xuid}(accessor [,accessor]...])] ...

HOST, GHOST, HOSTNET 및 HOSTNP 클래스에 대한 이 명령의 형식은 다음과 같습니다.

{authorize|auth} {HOST|GHOST|HOSTNET|HOSTNP} stationName

[{access|deniedaccess}(accessType)] \
service({serviceName|serviceNumber|serviceNumberRange}) \
{ gid | uid | xgid | xuid}(accessor [,accessor...]) ...

다른 모든 클래스에 대한 이 명령의 형식은 다음과 같습니다.

{authorize|auth} className resourceName \

[{access|deniedaccess}(accessType)] \
[calendar(calendarName)] \
[{unix|nt}]\
[via (pgm ( program [,program]...))] \
{ gid | uid | xgid | xuid}(accessor [,accessor...]) ...

access (accessType)

리소스 ACL 액세스 제어 목록에서 액세스 권한 항목을 정의합니다. 이 ACL은 접근자에게 허용할 액세스 권한을 지정합니다.

accessType

리소스 ACL에서 액세스 유형(예: 읽기 또는 쓰기)을 정의합니다.

참고: 권한 부여 명령에서 액세스(accessType) 옵션과 거부된 액세스(accessType) 옵션을 모두 생략하면 CA ControlMinder은 리소스 클래스의 UACC 클래스에서(예: 리소스가 파일인 경우 UACC 파일에서) 레코드의 암시적 액세스 속성에 의해 지정된 액세스를 할당합니다.

calendar(calendarName)

액세스 권한 결정에 사용할 달력을 지정합니다.

className

resourceName이 속해 있는 클래스를 정의합니다.

deniedaccess(accessType)

NACL 리소스에서 액세스 권한을 변경합니다. NACL은 접근자에 대해 거부되는 액세스 유형을 지정합니다.

accessType: 거부할 액세스 유형(예: 읽기 또는 쓰기)을 지정합니다.

gid (accessor [,accessor...])

액세스 권한을 설정할 하나 이상의 내부 그룹을 정의합니다.

ghost(ghostName [,ghostName]...)

TCP/IP 서비스에 대한 액세스 권한을 설정할 하나 이상의 그룹 호스트를 정의합니다.

host(hostName [,hostName]...)

TCP/IP 서비스에 대한 액세스 권한을 설정할 하나 이상의 호스트를 정의합니다.

hostnet(hostNetName [,hostNetName]...)

TCP/IP 서비스에 대한 액세스 권한을 설정할 하나 이상의 HOSTNET 레코드를 정의합니다.

hostnp(hostNamePattern [,hostNamePattern]...)

TCP/IP 서비스에 대한 액세스 권한을 설정할 하나 이상의 HOSTNP 레코드를 정의합니다.

nt

Windows에서 시스템 ACL에 값을 추가할지 여부를 지정합니다.

FILE 클래스에만 해당.

resourceName

액세스 제어 목록을 수정하고 있는 리소스 레코드를 정의합니다.

service(serviceName|serviceNumber|serviceNumberRange)

로컬 호스트가 원격 호스트에 제공하도록 허용되는 서비스를 정의합니다.

serviceNumber |serviceNumberRange

서비스 번호 또는 범위를 정의합니다.

범위는 -(하이픈)으로 구분된 두 개의 정수(예: 1-99)로 지정하십시오.

제한: 정수의 범위는 0 ~ 65535입니다.

stationName

표시된 클래스 내의 레코드 이름을 다음과 같이 지정합니다.

HOST-단일 스테이션의 이름
GHOST-ghost 명령으로 데이터베이스에 정의된 호스트의 그룹 이름
HOSTNET-IP 주소의 mask 값과 match 값의 집합으로 정의된 호스트 그룹의 이름
HOSTNP-이름 패턴으로 정의된 호스트 그룹의 이름
확인할 수 없는 호스트의 경우 IPv4 형식으로 IP 주소 범위를 지정하십시오.

tcpServiceName

액세스 권한을 설정 중인 CA ControlMinder TCP 서비스 레코드를 지정합니다.

uid (accessor [,accessor...])

액세스 권한을 설정할 하나 이상의 내부 사용자를 정의합니다.

모든 내부 사용자를 나타내려면 *를 사용할 수 있습니다.

unix

UNIX에서 시스템 ACL에 값을 추가할지 여부를 지정합니다.

ACL을 지원하는 UNIX 환경 및 FILE 클래스의 레코드에만 해당됩니다.

via(pgm(programName [,programName]...))

조건부 프로그램 액세스를 위한 하나 이상의 프로그램을 정의합니다. via 매개 변수는 리소스의 PACL에 항목을 지정합니다. programName은 리소스에 액세스할 수 있는 프로그램을 지정합니다. programName에는 와일드카드 문자를 포함할 수 있습니다. 하나의 프로그램이 PACL의 여러 항목과 일치하면, 와일드카드 이외의 일치 중 가장 긴 일치가 있는 항목이 우선권을 갖습니다.

programName이 PROGRAM 클래스에 정의되지 않은 프로그램이나 셸 스크립트를 지정하는 경우, CA ControlMinder은 자동으로 PROGRAM 레코드를 만들어서 프로그램이나 셸 스크립트를 보호합니다.

xgid (accessor [,accessor...])

액세스 권한을 설정할 하나 이상의 엔터프라이즈 그룹을 정의합니다.

xuid (accessor [,accessor...])

액세스 권한을 설정할 하나 이상의 엔터프라이즈 사용자를 정의합니다.

예: Angela에게 파일 읽기 권한 부여

다음의 selang 명령은 엔터프라이즈 사용자 Angela에게 FILE 리소스 /projects/secrets로 보호된 파일을 읽을 수 있는 권한을 부여합니다.

auth FILE /projects/secrets xuid(Angela) access(read)

예: Angela에게만 파일 읽기 권한 부여

다음의 selang 명령은 다른 사용자가 아닌 오직 엔터프라이즈 사용자 Angela에게만 FILE 리소스 /projects/secrets로 보호된 파일을 읽을 수 있는 권한을 부여합니다.

auth FILE /projects/secrets xuid(Angela) access(read)
auth FILE /projects/secrets defaccess (none)
chres FILE /projects/secrets owner(nobody)

참고: UNIX에서 사용자가 파일에 대한 정보를 얻는 작업(예: ls -l)을 수행할 수 있는지 여부를 제어하기 위해 read 권한이 필요한 경우, STAT_intercept 구성 설정을 1로 설정하십시오. 자세한 내용은 Reference Guide(참조 안내서)를 참조하십시오.

예: 그룹의 모든 사용자에게 터미널이 로그인할 권한 부여

다음의 selang 명령은 엔터프라이즈 그룹 RESEARCH의 모든 구성원에게 TERMINAL 리소스 tty10으로 보호되는 터미널에 로그인할 권한을 부여합니다.

auth TERMINAL tty10 xgid(RESEARCH) access(read)

예: Joe에게 파일 백업 권한 부여

다음의 selang 명령은 엔터프라이즈 사용자 Joe에게 GFILE 리소스 secret_files로 보호되는 파일의 백업 권한을 부여합니다.

auth GFILE secret_files xuid(Joe) \
via(pgm(/bin/backup)) access(read)

Windows 끝점에서 사용할 수 있는 이와 동일한 명령은 다음과 같습니다.

auth GFILE secret_files xuid(Joe) \
via(pgm(C:\WINDOWS\system32\ntbackup.exe)) access(read)

Joe의 액세스 권한이 리소스의 ACL 또는 NACL에 의해 결정되지 않은 경우에만 이러한 명령이 효과가 있습니다.

추가 정보:

authorize- 명령-리소스에서 액세스 권한 제거

권한 부여 명령-Windows 리소스에 액세스하기 위한 접근자의 권한 설정

ch[x]grp 명령-그룹 속성 변경

chres 명령-리소스 레코드 수정

ch[x]usr 명령-사용자 속성 변경

authorize- 명령-Windows 리소스에 액세스하는 접근자의 권한 제거