端点管理指南：用于 UNIX › 控制登录命令 › 识别登录事件

识别登录事件

CA ControlMinder 不会将更改进程用户 ID 的所有尝试视为登录事件。 通常，程序使用 setuid 系统调用来尝试更改其用户 ID。 SURROGATE 类控制这些事件，从 CA ControlMinder 角度而言，不必将这些事件视为登录事件，也不需要更改用户身份。

CA ControlMinder 始终保留原始用户身份，即用户最初登录时使用的身份。 普通 setuid 系统调用不会使 CA ControlMinder 注册用户身份的更改。

CA ControlMinder 要识别身份更改，必须将该事件识别为登录事件。 它使用下列规则识别登录事件：

• 尝试更改身份的程序被定义为登录程序。 LOGINAPPL 类中的所有程序都是登录程序。
• 该程序执行与 LOGINAPPL 类中其定义相对应的一系列系统调用。

当通过 selang 或 CA ControlMinder 端点管理 开始管理会话时，CA ControlMinder 执行虚拟登录事件。 这不是真实的登录；而是 CA ControlMinder 执行与登录检查类似的一些内部检查。

注意：有关详细信息，请参阅《selang 参考指南》中 LOGINAPPL 类的 SEQUENCE 属性。

管理会话启动时，将在要管理的计算机中检查用户名。 只有当您对执行会话所在的终端拥有写入访问权限时，才能获取对该计算机的访问权限以进行管理。

例如，如果登录到主机 Minerva 并且希望在主机 Artemis 上管理 CA ControlMinder，则需要满足下列两个条件：

• 名为 Minerva（或相关的完全限定名）的 TERMINAL 对象位于 Artemis 的数据库记录中。
• 您在该对象的 ACL 中被列出，并且您拥有 WRITE 权限。

在进行任何其他用户权限检查前，会检查这些条件。 注意，您还需要数据库的管理权限。