APPL 类中的每个记录定义一个由 eTrust SSO 使用的应用程序。
APPL 类记录中的关键字是应用程序的名称。
以下定义说明了此类记录所具有的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性标记为“信息性”。
定义可以访问资源的访问者(用户和组)及其访问类型的列表。
Access Control列表 (ACL) 中的每个元素均包含下列信息:
定义访问者。
定义访问者对资源的访问权限。
在 authorize 或 authorize- 命令中使用 access 参数修改 ACL。
由 eTrust SSO 使用。
定义授权 ACL。 授权 ACL,即允许基于资源说明访问资源的 ACL。 说明发送到授权引擎,而不是发送到对象。 通常,使用 AZNACL 时,对象不在数据库中。
根据 Unicenter NSM 日历状态定义可以访问资源的访问者(用户和组)及其访问类型的列表。
日历 Access Control 列表 (CALACL) 中的每个元素均包含下列信息:
定义访问者。
定义对 Unicenter TNG 中的日历的引用。
定义访问者对资源的访问权限。
只有日历为 ON 时才允许访问, 其他所有情况下都拒绝访问。
可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。
表示 CA ControlMinder 中的用户、组和资源限制的 Unicenter TNG 日历对象。 CA ControlMinder 按指定的时间间隔引出 Unicenter TNG 活动日历。
桌面上应用程序图标下的文本。 默认值为 APPL 记录的名称。
限制: 47 个字母数字字符。
应用程序的可执行文件名。 由 eTrust SSO 使用。
范围:255 个字符。
定义希望包含在记录中的其他信息。 CA ControlMinder 不使用此信息进行授权。
范围:255 个字符。
所包含的应用程序的记录名称(如果记录是一个容器)。
在 chres、editres 和 newres 命令中使用 item[-](applName) 参数可以修改该属性。
容器应用程序的记录名称(如果记录包含在其他应用程序中)。
(信息性)显示创建记录的日期和时间。
定义管理访问者何时可以访问资源的日期和时间限制。
在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数可以修改该属性。
日期时间限制的解决方案为一分钟。
包含应用程序登录顺序的目录中的 eTrust SSO 脚本的名称。 默认目录位置是 /usr/sso/scripts。 默认值为 no script。
在 chres、editres 和 newres 命令中使用 script[‑](fileName) 参数可以修改该属性。
被授权使用应用程序的用户组列表。
应用程序所在的主机的名称。
在 chres、editres 和 newres 命令中使用 host[‑](hostName) 参数可以修改该属性。
包含表示桌面上应用程序图标的文件的文件名或完整路径。 CA ControlMinder 期望在最终用户的工作站上找到图标。 如果只输入文件名,则文件的搜索顺序如下:
默认值是工作站的默认图标。
图标文件中图标的数字 ID(如果需要)。 如果没有指定 ICONID,则会使用默认图标。
应用程序是否为容器。 默认值为“no”。
在 chres、editres 和 newres 命令中使用 container[-] 参数可以修改该属性。
应用程序是否被禁用。 如果应用程序被禁用,用户就不能登录它。 当您更改应用程序以及您不希望任何用户在您处理它时登录,该功能很有用。 禁用的应用程序显示在应用程序菜单列表中,但如果用户选择应用程序,登录就会终止,并随之显示相应的消息。 默认值为 not disabled。
应用程序图标是否显示在桌面上(甚至对于可以调用它的用户)。 您也许想隐藏 master 应用程序,例如,只用于向其他应用程序提供密码的应用程序。 默认值为 not hidden。
在 chres、editres 和 newres 命令中使用 hidden[-] 参数可以修改该属性。
当用户在达到预设时间后打开应用程序时,是否需要再次进行身份验证。 默认值为 not sensitive。
在 chres、editres 和 newres 命令中使用 sensitive[‑] 参数可以修改该属性。
提供用户密码的方式。 值为 pwd(纯密码)、otp(一次性密码)、appticket(大型机应用程序身份验证的专属票单)、none(不需要密码)或 passticket(由 IBM 创建、由大型机安全包使用的一次性密码替换格式)。 默认值为 pwd。
在 chres、editres 和 newres 命令中使用 login_type(value) 参数可以修改该属性。
向其他应用程序提供密码的应用程序的记录名称。 默认值为 no master。
在 chres、editres 和 newres 命令中使用 master[‑](applName) 参数可以修改该属性。
资源的 NACL 属性是一个 Access Control 列表,可定义被拒绝访问资源的访问者及拒绝的访问类型(例如:写入)。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目均包含下列信息:
定义访问者。
定义拒绝授权访问者的访问类型。
使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令修改该属性。
定义资源或用户生成审核事件时要通知到的用户。 CA ControlMinder 可将审核记录通过电子邮件发送给特定用户。
范围:30 个字符。
定义拥有记录的用户或组。
应用程序的可执行文件所在的目录或目录列表。 由 eTrust SSO 使用。
指明应用程序密码是否是由 eTrust SSO 自动生成的。 默认值为 no。
指明应用程序密码是否自动与其他应用程序的密码保持一致。 默认值为 no。
应用程序的密码策略的记录名称。 密码策略是一组规则,用于检查新密码的有效性和定义密码到期时间。 默认值为 no validity check。
定义在审核日志中 CA ControlMinder 记录的访问事件的类型。 RAUDIT 可从 Resource AUDIT 中派生出它的名称。 有效值包括:
所有访问请求。
已授权的访问请求。
拒绝的访问请求(默认)。
无访问请求。
CA ControlMinder 可记录有关对资源的每个尝试访问事件,不记录是否将访问规则直接应用到资源,或应用到将资源作为成员的组或类。
使用 chres 和 chfile 命令的审核参数来修改审核模式。
指明在登录脚本后是执行一个还是多个命令。
指明在登录脚本前是执行一个还是多个命令。
由 eTrust SSO 使用,是一个变量列表,其中含有针对每个应用程序保存的应用程序脚本的变量值。
仅供 eTrust SSO 使用。
仅供 eTrust SSO 使用。
定义对资源的默认访问权限,它指明向未定义到 CA ControlMinder 或未出现在资源 ACL 中的访问者授予的访问权限。
在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改该属性。
(信息性)显示上次修改记录的日期和时间。
(通知)显示执行更新的管理员。
指明是否启用警告模式。 在资源上启用警告模式后,允许对该资源的所有访问请求;如果某个访问请求违反某条访问规则,将在审核日志中写入一条记录。
|
版权所有 © 2013 CA。
保留所有权利。
|
|