GHOST 类中的每个记录都定义一组主机。 在将每个主机添加到 GHOST 记录之前,必须为其创建一个 HOST 类记录。 服务必须使用 /etc/services 文件(对于 UNIX)、\system32\drivers\etc\services 文件(对于 Windows)或其他文件名解析方法定义到系统。 当授权服务时,您可以根据它们在 TCP/IP 协议中的端口号而不是它们的名称来确定服务。 当添加服务时,您可以根据它们在 TCP/IP 协议中的端口号而不是它们的名称来确定服务。 然后,必须显式地将 HOST 类的记录连接到 GHOST 记录以便将它们组合在一起。
GHOST 记录定义访问规则,这些访问规则控制在使用 Internet 通讯时属于主机组的工作站(主机)拥有的对本地主机的访问权限。 对于每个客户端组(GHOST 记录),INETACL 属性都列出服务规则,用于控制本地主机可以为属于客户端组的主机提供的服务。
GHOST 类记录的关键字是 GHOST 记录的名称。
以下定义说明了此类记录所具有的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性标记为“信息性”。
表示 CA ControlMinder 中的用户、组和资源限制的 Unicenter TNG 日历对象。 CA ControlMinder 按指定的时间间隔引出 Unicenter TNG 活动日历。
定义希望包含在记录中的其他信息。 CA ControlMinder 不使用此信息进行授权。
范围:255 个字符。
(信息性)显示创建记录的日期和时间。
定义管理访问者何时可以访问资源的日期和时间限制。
在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数可以修改该属性。
日期时间限制的解决方案为一分钟。
资源记录所属的 CONTAINER 记录的列表。
要修改类记录中的该属性,必须在相应的 CONTAINER 记录中更改 MEMBERS 属性。
在 chres、editres 或 newres 命令中使用 mem+ 或 mem‑ 参数可以修改该属性。
定义允许本地主机向一组客户端主机提供的服务以及这些客户端主机的访问类型。 访问控制列表中的每个元素均包含下列信息:
对服务的引用(端口号或名称)。 要指定所有服务,请输入星号 (*) 作为服务引用。
CA ControlMinder 支持 /etc/rpc 文件(对于 UNIX)或 \etc\rpc 文件(对于 Windows)中指定的动态端口名称。
定义访问者对资源的访问权限。
在 authorize[-] 命令中使用 access(type‑of‑access)、service 和 stationName 参数可以修改 INETACL 属性中的访问者及其访问类型。
指定本地主机向一组客户端主机提供的服务的范围。
执行与 INETACL 属性相似的功能。
使用 service(serviceRange) 参数及 authorize[-] 命令可以修改 INSERVRANGE 属性中的访问者及其访问类型。
HOST 类中属于组的对象列表。
在 chres、editres 和 newres 命令中使用 mem+ 或 mem‑ 参数可以修改该属性。
定义拥有记录的用户或组。
定义在审核日志中 CA ControlMinder 记录的访问事件的类型。 RAUDIT 可从 Resource AUDIT 中派生出它的名称。 有效值包括:
所有访问请求。
已授权的访问请求。
拒绝的访问请求(默认)。
无访问请求。
CA ControlMinder 可记录有关对资源的每个尝试访问事件,不记录是否将访问规则直接应用到资源,或应用到将资源作为成员的组或类。
使用 chres 和 chfile 命令的审核参数来修改审核模式。
(信息性)显示上次修改记录的日期和时间。
(通知)显示执行更新的管理员。
指明是否启用警告模式。 在资源上启用警告模式后,允许对该资源的所有访问请求;如果某个访问请求违反某条访问规则,将在审核日志中写入一条记录。
|
版权所有 © 2013 CA。
保留所有权利。
|
|