selang 参考指南 › 类和属性 › AC 环境中的类 › SUDO 类

SUDO 类

SUDO 类中的每个记录标识一个用户可以从使用 sesudo 命令的另一个用户借用权限的一个命令。

SUDO 类记录的关键字是 SUDO 记录的名称。 当用户执行 SUDO 记录中的命令时，会使用该名称来代替命令名称。

注意：如果创建交互式 Windows 应用程序的 SUDO 记录，您必须设置 SUDO 记录的交互式标记。 如果不设置交互式标志，应用程序会在后台运行，而您无法与其进行交互。 有关详细信息，请参阅《疑难解答指南》。

以下定义说明了此类记录所具有的属性。 大部分属性均可修改，还可使用 selang 或管理界面控制这些属性。 不可修改的属性标记为“信息性”。

ACL

定义可以访问资源的访问者（用户和组）及其访问类型的列表。

Access Control列表 (ACL) 中的每个元素均包含下列信息：

访问者

定义访问者。

访问

定义访问者对资源的访问权限。

在 authorize 或 authorize- 命令中使用 access 参数修改 ACL。

CALACL

根据 Unicenter NSM 日历状态定义可以访问资源的访问者（用户和组）及其访问类型的列表。

日历 Access Control 列表 (CALACL) 中的每个元素均包含下列信息：

访问者

定义访问者。

日历

定义对 Unicenter TNG 中的日历的引用。

访问

定义访问者对资源的访问权限。

只有日历为 ON 时才允许访问， 其他所有情况下都拒绝访问。

可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。

CALENDAR

表示 CA ControlMinder 中的用户、组和资源限制的 Unicenter TNG 日历对象。 CA ControlMinder 按指定的时间间隔引出 Unicenter TNG 活动日历。

CATEGORY

定义分配给用户或资源的一个或多个安全类别 安全类别是 CATEGORY 类中记录的名称。 可以向访问者和资源分配安全类别。 只有当将访问者分配给向资源分配的所有安全类别时，访问者才能访问该资源。。

COMMENT

sesudo 执行的命令。

由字母数字组成的字符串，最多可包含 255 个字符，它包含命令以及准许和禁止的参数。

例如，以下配置文件定义正确地使用了 COMMENT 属性：

newres SUDO profile_name comment('command;;NAME')

注意：COMMENT 属性的这种用法与在其他类中不同。 有关定义 SUDO 记录的详细信息，请参阅适用于您的操作系统的《端点管理指南》。 该属性在 CA ControlMinder 的早期版本中还称为 DATA。

范围：255 个字符。

在 chres、editres 和 newres 命令中使用 comment[-] 参数可以修改该属性。

CREATE_TIME

（信息性）显示创建记录的日期和时间。

DAYTIME

定义管理访问者何时可以访问资源的日期和时间限制。

在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数可以修改该属性。

日期时间限制的解决方案为一分钟。

GROUPS

资源记录所属的 GSUDO 或 CONTAINER 记录的列表。

要修改 SUDO 类记录中的该属性，必须在相应的 CONTAINER 或 GSUDO 记录中更改 MEMBERS 属性。

在 chres、editres 或 newres 命令中使用 mem+ 或 mem‑ 参数可以修改该属性。

INTERACTIVE

（仅适用于 Windows）。 如果您要通过 sesudo 运行的应用程序是互动式 Windows 应用程序（例如，notepad.exe 或 cmd.exe）而不是服务应用程序，则应标记该开关参数。 如果您尝试使用 sesudo 运行未标记为互动式的互动式应用程序，则该应用程序会在后台运行且无法与其交互。

注意：由于 Windows 限制，某些 Windows 应用程序无法在前台运行。

NACL

资源的 NACL 属性是一个 Access Control 列表，可定义被拒绝访问资源的访问者及拒绝的访问类型（例如：写入）。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目均包含下列信息：

访问者

定义访问者。

访问

定义拒绝授权访问者的访问类型。

使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令修改该属性。

NOTIFY

定义资源或用户生成审核事件时要通知到的用户。 CA ControlMinder 可将审核记录通过电子邮件发送给特定用户。

范围：30 个字符。

OWNER

定义拥有记录的用户或组。

PACL

定义由特定程序（或符合某种名称模式的程序）发出访问请求时被允许访问资源的访问者的列表及其访问类型。 程序 Access Control 列表 (PACL) 中的每个元素均包含下列信息：

访问者

定义访问者。

程序

定义对 PROGRAM 类中的记录的引用，方式为专门指定，或者按照通配符模式匹配。

访问

定义访问者对资源的访问权限。

注意：可以使用通配符 CA ControlMinder 可识别某些名称的通配符字符。 在这种情况下，CA ControlMinder 可识别的通配符为 * 和 ?。 * 字符代表任意数量的任意字符，包括无字符；? 字符代表一个任意字符实例。指定 PACL 中的资源。

在 selang authorize 命令中使用 via(pgm) 参数可向 PACL 中添加程序、访问者及其访问类型；可以使用 authorize- 命令从 PACL 中删除访问者。

PASSWORDREQ

（仅适用于 UNIX）指出 sesudo 命令是否在执行前请求最初用户的密码。

在 chres、editres 或 newres 命令中使用 password 参数可以修改该属性。

POLICYMODEL

指定当您使用 sepass 实用程序更改用户密码时接收新密码的 PMDB 策略模型数据库 (PMDB) 是独立的 CA ControlMinder 数据库，其包含的规则类型与特定主机系统相关 CA ControlMinder 数据库的规则类型相同。 当规则应用于 master PMDB 时，这些规则将传播到为该 master PMDB 定义的所有已订阅数据库上。。 如果为该属性输入了值，则密码就不发送到由 parent_pmd 或 passwd_pmd 配置设置定义的策略模型。

注意：该属性与 ch[x]usr 和 ch[x]grp 命令的 pmdb[-] 参数相对应。

SECLABEL

定义用户或资源的安全级别 安全标签是 SECLABEL 类中记录的名称。 安全标签将安全级别和一组安全类别捆绑在一起。 将安全标签分配给访问者或资源，会授予该访问者或资源与该安全标签相关联的组合的安全级别和安全类别。 安全标签会覆盖访问者或资源中任何特定的安全级别和类别分配。。

注意：SECLABEL 属性对应 chres 和 ch[x]usr 命令的 label[-] 参数。

SECLEVEL

定义访问者或资源的安全级别 安全级别是可以分配给访问者和资源的 0 到 255 之间的整数。 如果访问者的安全级别小于分配给资源的安全级别，即使在资源的 Access Control 列表中向用户授予了访问权限，访问者也不能访问资源。。

注意：该属性对应 ch[x]usr 和 chres 命令的 level[-] 参数。

TARGUSR

（仅 UNIX）指出标识被借用以执行命令的用户的目标 uid。 默认值为 root。

在 chres、editres 或 newres 命令中使用 targuid 参数可以修改该属性。

UACC

定义对资源的默认访问权限，它指明向未定义到 CA ControlMinder 或未出现在资源 ACL 中的访问者授予的访问权限。

在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改该属性。

UPDATE_TIME

（信息性）显示上次修改记录的日期和时间。

UPDATE_WHO

（通知）显示执行更新的管理员。

WARNING

指明是否启用警告模式。 在资源上启用警告模式后，允许对该资源的所有访问请求；如果某个访问请求违反某条访问规则，将在审核日志中写入一条记录。

更多信息：

任务指派因交互式应用程序而挂起