在 UNIX 上有效
LOGINAPPL 类中的每个记录定义一个登录应用程序,标识可以使用该程序进行登录的用户,并控制使用该登录程序的方式。
LOGINAPPL 类记录的关键字是应用程序的名称,即表示登录应用程序的逻辑名称。 该逻辑名称在 LOGINPATH 属性中与可执行文件的完整路径名称相关联。
CA ControlMinder 还可以控制和保护通用登录应用程序;这意味着您可以用通用模式保护与某一规则匹配的登录应用程序组。 要用 selang 定义通用登录应用程序,请使用与设置常规登录限制一样的命令,但不使用 LOGINPATH 参数(该参数应包括一个通用路径,由使用下列一个或多个字符的常规表达式组成:[、]、*、?)。
CA ControlMinder 为标准登录程序预设 LOGINAPPL 类中记录的属性值。 在进行任何更改之前,应该先列出并验证当前设置。
重要说明! LOGINAPPL 不使用 _default 条目。
以下定义说明了此类记录所具有的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性标记为“信息性”。
定义可以访问资源的访问者(用户和组)及其访问类型的列表。
Access Control列表 (ACL) 中的每个元素均包含下列信息:
定义访问者。
定义访问者对资源的访问权限。
在 authorize 或 authorize- 命令中使用 access 参数修改 ACL。
根据 Unicenter NSM 日历状态定义可以访问资源的访问者(用户和组)及其访问类型的列表。
日历 Access Control 列表 (CALACL) 中的每个元素均包含下列信息:
定义访问者。
定义对 Unicenter TNG 中的日历的引用。
定义访问者对资源的访问权限。
只有日历为 ON 时才允许访问, 其他所有情况下都拒绝访问。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。
表示 CA ControlMinder 中的用户、组和资源限制的 Unicenter TNG 日历对象。 CA ControlMinder 按指定的时间间隔引出 Unicenter TNG 活动日历。
定义希望包含在记录中的其他信息。 CA ControlMinder 不使用此信息进行授权。
范围:255 个字符。
(信息性)显示创建记录的日期和时间。
定义管理访问者何时可以访问资源的日期和时间限制。
在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数可以修改该属性。
日期时间限制的解决方案为一分钟。
控制登录应用程序的特殊功能,包括设备号的更改和宽限登录次数的减少。 有效值包括:
注意:CA ControlMinder 不会将 LOGINAPPL 资源名称作为前缀添加到 root 用户。
某些平台上的程序(如 rlogin)会导致 rlogin 自身触发登录并关闭登录顺序,这样会导致对超级用户计入一个实际登录。 在执行登录以后,rlogin 会派生另一个程序以执行实际登录。
如果您使用登录程序(例如 rlogin 或 telnet),并运行 seaudit -a,该问题就是显而易见的。 您将会看到同一次登录还对应其他登录记录,其 uid 是 root。
在 chres、editres 或 newres 命令中使用 loginflags 参数可以修改该属性。
指出登录应用程序是否为用于保护 CA ControlMinder 的伪登录程序。 有效值包括:
在 chres、editres 或 newres 命令中使用 loginmethod 参数可以修改该属性。
重要说明! 建议不要修改该预设属性。
登录应用程序的完整路径(或通用路径)。
在 chres、editres 或 newres 命令中使用 loginpath 参数可以修改该属性。
定义 seosd 处理 seteuid、setuid、setgid 和 setgroups 事件的顺序,以便将来自后台进程且启动登录进程的用户(通常是在 root 用户身份下的 inetd)设置为实际登录的用户。 最多可以定义八个系统事件。
登录截获顺序始终是以称为触发器的 setgid 或 setgroups 事件开始, 它以 setuid 事件结束,该事件用于将用户的身份更改为实际登录的用户。
为成功完成登录,程序需要按照从 setgroups 或 setgid 开始并以 setuid 或 seteuid 结束的顺序执行所有指定进程。
为程序设置正确的登录顺序是一项很难的任务。 大多数登录程序在默认的 SGRP、SUID 设置中运行得很好,该设置意味着程序发出 setgroups 系统调用,然后发出 setuid 命令将用户的身份更改为目标用户。
不过,如果 SGRP、SUID 设置不起作用,您就必须使用下列标志指定正确的顺序:
重要说明! 您必须使用标志来指定正确的登录顺序。 但是,您可以在 LOGINSEQUENCE 参数内按任意顺序指定标志。 例如,SGRP、SEID、FEID、N3EID 等同于 N3EID、FEID、SGRP、SEID。
注意:如果您不知道登录程序执行的系统调用的顺序,则可以查看跟踪记录并查找将用户更改为目标 uid 的 setuid 事件,然后查看以前的以第一个 setgid 或 setgroups 事件开始的跟踪事件。
例如,如果有一个 setgroups 事件,之后只有第三个 setuid 调用设置目标用户,您就必须将 LOGINSEQUENCE 设置为 SGRP、SUID、FUID、N3UID。 您可以按任何顺序指定这些标志:
SETGRPS : P=565302 to 0,2,3,7,8,10,11,250,220,221,230
SUID > P=565302 U=0 (R=0 E=0 S=0 ) to (R=0 E=0 S=0 ) () BYPASS SUID > P=565302 U=0 (R=0 E=0 S=0 ) to (R=0 E=0 S=-1 ) () BYPASS LOGIN : P=565302 User=target Terminal=mercury
在 chres、editres 或 newres 命令中使用 loginsequence 参数可以修改该属性。
资源的 NACL 属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目均包含下列信息:
定义访问者。
定义拒绝授权访问者的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令修改该属性。
定义资源或用户生成审核事件时要通知到的用户。 CA ControlMinder 可将审核记录通过电子邮件发送给特定用户。
范围:30 个字符。
定义拥有记录的用户或组。
定义在审核日志中 CA ControlMinder 记录的访问事件的类型。 RAUDIT 可从 Resource AUDIT 中派生出它的名称。 有效值包括:
所有访问请求。
已授权的访问请求。
拒绝的访问请求(默认)。
无访问请求。
CA ControlMinder 可记录有关对资源的每个尝试访问事件,不记录是否将访问规则直接应用到资源,或应用到将资源作为成员的组或类。
使用 chres 和 chfile 命令的审核参数来修改审核模式。
定义对资源的默认访问权限,它指明向未定义到 CA ControlMinder 或未出现在资源 ACL 中的访问者授予的访问权限。
在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改该属性。
(信息性)显示上次修改记录的日期和时间。
(通知)显示执行更新的管理员。
指明是否启用警告模式。 在资源上启用警告模式后,允许对该资源的所有访问请求;如果某个访问请求违反某条访问规则,将在审核日志中写入一条记录。
|
版权所有 © 2013 CA。
保留所有权利。
|
|