预定义类可以分为以下类型:
|
类类型 |
用途 |
|---|---|
|
访问者 |
定义访问资源的对象,例如用户和组 |
|
定义 |
定义对安全实体(例如安全标签和类别)进行定义的对象 |
|
安装 |
定义对 CA ControlMinder 的行为进行控制的对象 |
|
资源 |
定义访问规则所保护的对象 |
下表包含所有预定义类的列表。
|
类 |
类类型 |
说明 |
|---|---|---|
|
ADMIN |
定义 |
使用该类可以将管理责任指派给不具有 ADMIN 属性的用户。 您可以为这些用户提供全局授权属性并限制他们的管理权限范围。 |
|
AGENT |
资源 |
不适用于 CA ControlMinder |
|
AGENT_TYPE |
资源 |
不适用于 CA ControlMinder |
|
APPL |
资源 |
不适用于 CA ControlMinder |
|
AUTHHOST |
访问者 |
不适用于 CA ControlMinder |
|
CALENDAR |
资源 |
使用该类可以为实施时间限制的用户、组和资源定义 Unicenter TNG 日历对象。 |
|
CATEGORY |
定义 |
使用该类可以定义安全类别。 |
|
CONNECT |
资源 |
使用该类可以保护传出连接。 该类中的记录定义哪些用户可以访问哪些 Internet 主机。 激活 CONNECT 类之前,请确保数据流模块处于活动状态。 |
|
CONTAINER |
资源 |
使用该类可以定义其他资源类中的一组对象,因此可以在某个规则适用于多个不同的对象类时简化定义访问规则的工作。 |
|
FILE |
资源 |
使用该类可以保护文件、目录或文件名掩码。 |
|
GAPPL |
资源 |
不适用于 CA ControlMinder |
|
GAUTHHOST |
定义 |
不适用于 CA ControlMinder |
|
GFILE |
资源 |
该类中的每个记录定义一组文件或目录。 与将用户连接到组的方式一样,通过将文件或目录(FILE 类的资源)显式连接到 GFILE 资源,可完成分组。 |
|
GHOST |
资源 |
该类中的每个记录定义一组主机。 与将用户连接到组的方式一样,通过将主机(HOST 类的资源)显式连接到 GHOST 资源,可完成分组。 |
|
GROUP |
访问者 |
该类中的每个记录定义一个内部组。 |
|
GSUDO |
资源 |
该类中的每个记录定义一个用户可以执行的一组命令(好像另一个用户正在执行一样)。 sesudo 命令使用该类。 |
|
GTERMINAL |
资源 |
该类中的每个记录定义一组终端。 |
|
HNODE |
定义 |
HNODE 类包含有关组织的 CA ControlMinder 主机的信息。 该类中的每个记录代表企业中的一个节点。 |
|
HOLIDAY |
定义 |
该类中的每个记录定义用户需要额外权限才能登录的一个或多个时间段。 |
|
HOST |
资源 |
该类中的每个记录定义一个主机。 主机由其名称或其 IP 地址标识。 对象包含确定本地主机是否可以从该主机接收服务的访问规则。 激活 HOST 类之前,请确保数据流模块处于活动状态。 |
|
HOSTNET |
资源 |
该类中的每个记录均由 IP 地址掩码标识,且包含访问规则。 |
|
HOSTNP |
资源 |
该类中的每个记录定义一组主机,其中,属于该组的主机都具有相同的名称模式。 每个 HOSTNP 对象的名称包含一个通配符。 |
|
LOGINAPPL |
定义 |
LOGINAPPL 类中的每个记录定义一个登录应用程序,标识可以使用该程序进行登录的用户,并控制使用该登录程序的方式。 |
|
MFTERMINAL |
定义 |
MFTERMINAL 类中的每个记录定义一个 CA ControlMinder 大型机管理计算机。 |
|
POLICY |
资源 |
POLICY 类中的每个记录定义部署和删除策略所需的信息。 它包括指向 RULESET 对象的链接,而这些对象包含用于部署和删除策略的 selang 命令列表。 |
|
PROCESS |
资源 |
该类中的每个记录定义一个可执行文件。 |
|
PROGRAM |
资源 |
该类中的每个记录定义一个可与条件访问规则一起使用的受托程序。 受托程序是 Watchdog 进行监视以确保不被篡改的 setuid/setgid 程序。 |
|
PWPOLICY |
定义 |
PWPOLICY 类中的每个记录定义一个密码策略。 |
|
RESOURCE_DESC |
定义 |
不适用于 CA ControlMinder |
|
RESPONSE_TAB |
定义 |
不适用于 CA ControlMinder |
|
RULESET |
资源 |
RULESET 类中的每个记录都定义一组用于定义策略的规则。 |
|
SECFILE |
定义 |
该类中的每个记录定义一个不能更改的文件。 |
|
SECLABEL |
定义 |
该类中的每个记录定义一个安全标签。 |
|
SEOS |
安装 |
该类中的一个记录指定活动的类和密码规则。 |
|
SPECIALPGM |
安装 |
SPECIALPGM 类中的每个记录对 Windows 中的备份、DCM、PBF 和 PBN 功能或 UNIX 中的 xdm、备份、邮件、DCM、PBF 和 PBN 程序进行注册,或将需要特殊授权保护的应用程序与逻辑用户 ID 关联。 这样便可根据所执行的操作而不是执行该操作的人员来设置访问权限。 |
|
SUDO |
资源 |
sesudo 命令使用该类来定义一个用户(如常规用户)可以执行的命令(好像另一个用户(如 root 用户)正在执行一样)。 |
|
SURROGATE |
资源 |
该类中的每个记录包含访问者的访问规则,此访问规则定义了谁可以将该访问者用作代理。 |
|
TCP |
资源 |
该类中的每个记录定义一个 TCP/IP 服务,例如邮件或者 http 或 ftp。 |
|
TERMINAL |
资源 |
该类中的每个记录定义一个终端(用户可以从其登录的设备)。 |
|
UACC |
资源 |
定义每个资源类的默认访问规则。 |
|
USER |
访问者 |
该类中的每个记录定义一个内部用户。 |
|
USER_ATTR |
定义 |
不适用于 CA ControlMinder |
|
USER_DIR |
资源 |
不适用于 CA ControlMinder |
|
XGROUP |
资源 |
该类中的每个记录在 CA ControlMinder 中定义一个企业组。 |
|
XUSER |
资源 |
该类中的每个记录在 CA ControlMinder 中定义一个企业用户。 |
注意:默认情况下,CA ControlMinder 数据库类 TCP 和 SURROGATE 处于非活动状态。
如果您从 TCP 类处于活动状态的早期版本升级,但是没有任何 TCP 记录且没有更改 _default TCP 资源,CA ControlMinder 则会在升级期间停用该类。 对于 SURROGATE 类同样如此。
如果您从 SURROGATE 类处于活动状态的早期版本升级,并且已经定义了 SURROGATE 记录或已经更改了 SURROGATE 记录的默认值,CA ControlMinder 则会在升级之后保留 SURROGATE 类配置。 该类仍然保持活动状态,而内核模式截获保持启用状态。
注意:有关 CA ControlMinder 类的详细信息,请参阅《selang 参考指南》。
|
版权所有 © 2013 CA。
保留所有权利。
|
|