selang 参考指南 › 类和属性 › AC 环境中的类 › GROUP 类

GROUP 类

GROUP 类中的每个记录都定义数据库中的一个用户组。

每个 GROUP 类记录的关键字是组的名称。

注意：配置文件组的属性适用于与配置文件组相关的每个用户。 但是，如果在用户（USER 或 XUSER）记录中指定了同一属性，则该用户记录会覆盖配置文件组记录中的那些属性。

可以从 CA ControlMinder 端点管理 或通过使用 selang 命令 chgrp 更改其中大多数属性。

注意：在多数情况下，除非明确指出使用 ch[x]grp 更改属性，否则请将属性名称用作命令参数。

可以从 CA ControlMinder 端点管理 或通过使用 selang 命令 showgrp 查看所有属性。

APPLS

（信息性）显示授权访问者访问的应用程序列表。 由 eTrust SSO 使用。

AUDIT_MODE

定义 CA ControlMinder 在审核日志中记录的活动。 可以指定下列活动的任何组合：

• 无登录
• 在跟踪文件中记录的所有活动
• 登录尝试失败
• 登录成功
• 对 CA ControlMinder 保护的资源进行的失败访问尝试
• 对 CA ControlMinder 保护的资源进行的成功访问
• 交互式登录

注意：该属性与 ch[x]usr 和 ch[x]grp 命令的审核参数相对应。 您可以使用 GROUP 或 XGROUP 的 AUDIT_MODE 为组中所有成员设置审核模式。 然而，如果用户的审核模式定义为 USER 记录、XUSER 记录或配置文件组时，您不得使用 AUDIT_MODE 为组成员设置审核模式。

AUTHNMTHD

（信息性）显示用于组记录的身份验证方法，从方法 1 到方法 32，或无。 由 eTrust SSO 使用。

CALENDAR

表示 CA ControlMinder 中的用户、组和资源限制的 Unicenter TNG 日历对象。 CA ControlMinder 按指定的时间间隔引出 Unicenter TNG 活动日历。

COMMENT

定义希望包含在记录中的其他信息。 CA ControlMinder 不使用此信息进行授权。

范围：255 个字符。

CREATE_TIME

（信息性）显示创建记录的日期和时间。

DAYTIME

定义管理访问者何时可以访问资源的日期和时间限制。

在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数可以修改该属性。

日期时间限制的解决方案为一分钟。

EXPIRE_DATE

定义访问者变为无效的日期。 用户记录中的 EXPIRE_DATE 属性值会覆盖组记录中的值。

注意：该属性与 ch[x]usr 和 ch[x]grp 命令的 expire[-] 参数相对应。

FULLNAME

定义与访问者相关联的全名。 CA ControlMinder 使用全名标识审核日志消息中的访问者，但不用于授权。

FULLNAME 是字母数字字符串。 对于组，最大长度为 255 个字符。 对于用户，最大长度为 47 个字符。

GAPPLS

定义向组授予了访问权限的应用程序组的列表。 由 eTrust SSO 使用。

GROUP_MEMBER

定义属于此组成员的组。

GROUP_TYPE

指定组权限属性。 这些属性中的每个属性均与 ch[x]grp 命令中的同名参数相对应。 一个组可以具有以下一个或多个权限属性：

ADMIN

指定属于该组的用户是否可以执行管理功能，类似于 UNIX 环境中的 root 用户。

AUDITOR

指定属于该组的用户是否可以监控系统、列出数据库中的信息以及为现有记录设置审核模式。

OPERATOR

指定属于该组的用户是否可以列出数据库中的所有内容并使用 secons 实用程序。

PWMANAGER

指定属于该组的用户是否可以修改其他用户的密码设置，以及是否可以启用已经被 serevu 实用程序禁用的用户帐户。

SERVER

指定进程是否可以请求属于该组的用户进行授权，以及是否可以发出 SEOSROUTE_VerifyCreate API 调用。

HOMEDIR

定义分配给新组成员的主目录的路径。

在 chgrp、editgrp 或 newgrp 命令中使用 homedir 参数可以修改该属性。

限制：255 个字母数字字符。

INACTIVE

定义不活动天数，在该天数后系统会将用户的状态更改为不活动。 如果帐户状态为不活动，则用户无法登录。

USER 记录中的 INACTIVE 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 INACT 属性。

注意：CA ControlMinder 不存储状态，而是动态地计算状态。 要标识不活动用户，必须将 INACTIVE 值与用户的 LAST_ACC_TIME 值进行比较。

INACTIVE 是配置文件功能的一部分。

MAXLOGINS

定义允许用户进行的并发登录 并发登录是由同一用户从多个终端同时de登录至系统的多个会话。的最大数目。 值为零表示用户可以进行任意数量的并发登录。

用户记录中的 MAXLOGINS 属性值会覆盖组记录中的值。 这二者都会覆盖 SEOS 类记录中的 MAXLOGINS 值。

MAXLOGINS 是配置文件功能的一部分。

MEMBER_OF

定义此组所属的组。

OWNER

定义拥有记录的用户或组。

PASSWDRULES

指定密码规则。 此属性中包含许多用于确定 CA ControlMinder 如何处理密码保护的字段。 有关规则的完整列表，请参阅 USER 类的可修改属性 PROFILE。

在 setoptions 命令中使用 password 参数以及 rules 或 rules‑ 选项可以修改该属性。

PASSWDRULES 是配置文件功能的一部分。

POLICYMODEL

指定当您使用 sepass 实用程序更改用户密码时接收新密码的 PMDB 策略模型数据库 (PMDB) 是独立的 CA ControlMinder 数据库，其包含的规则类型与特定主机系统相关 CA ControlMinder 数据库的规则类型相同。 当规则应用于 master PMDB 时，这些规则将传播到为该 master PMDB 定义的所有已订阅数据库上。。 如果为该属性输入了值，则密码就不发送到由 parent_pmd 或 passwd_pmd 配置设置定义的策略模型。

注意：该属性与 ch[x]usr 和 ch[x]grp 命令的 pmdb[-] 参数相对应。

POLICYMODEL 是配置文件功能的一部分。

PROFUSR

显示与此配置文件组关联的用户列表。

PWD_AUTOGEN

指出组密码是否是自动生成。 默认设置为 no。由 eTrust SSO 使用。

PWD_SYNC

指出所有组应用程序的组密码是否都自动保持一致。 默认设置为 no。由 eTrust SSO 使用。

PWPOLICY

定义组密码策略的记录名称。 密码策略是一组规则，用于检查新密码的有效性和定义密码到期时间。 默认值为 no validity check。 由 eTrust SSO 使用。

RESUME_DATE

定义挂起的 USER 帐户变为取消挂起的日期。

RESUME_DATE 与 SUSPEND_DATE 配合工作。

注意：该属性与 ch[x]usr 和 ch[x]grp 命令的 resume[-] 参数相对应。

RESUME_DATE 是配置文件功能的一部分。

REVACL

显示访问者的 Access Control 列表。

SHELL

（仅适用于 UNIX）当新的 UNIX 用户是此组的成员时，会为该用户分配 shell 程序。

在 chxgrp 命令中使用 shellprog 参数可以修改该属性。

SUBGROUP

显示以该组为父组的组的列表。

SUPGROUP

定义父组（“超越”组）的名称。

在 ch[x]grp 命令中使用 parent[-] 参数可以修改该属性。

SUSPEND_DATE

定义用户帐户因挂起而变为无效的日期。

如果记录的挂起日期在其恢复日期之前，用户就可以在挂起日期前和恢复日期后工作。

如果用户的恢复日期早于挂起日期，则记录也会在该恢复日期之前无效。 用户仅可以在恢复日期和挂起日期之间进行工作。

用户记录中的 SUSPEND_DATE 属性值会覆盖组记录中的值。

注意：该属性与 ch[x]usr 和 ch[x]grp 命令的 suspend[-] 参数相对应。

SUSPEND_WHO

显示激活挂起日期的管理员。

UPDATE_TIME

（信息性）显示上次修改记录的日期和时间。

UPDATE_WHO

（通知）显示执行更新的管理员。

USERLIST

定义属于组的用户。

该属性中包含的用户列表可能与本机环境 USERS 属性中的用户列表不同。

使用 join[x][-] 命令可以修改该属性。