SEOS 类控制 CA ControlMinder 授权系统的行为。
该类中只包含一个记录,名为 SEOS,指定一般的安全和授权选项。 要查看或更改 SEOS 类属性的状态,请使用 setoptions 命令。
以下定义说明了此类记录所具有的属性。 大部分属性均可修改,还可使用 selang 或管理界面控制这些属性。 不可修改的属性标记为“信息性”。
指出在授权期间 UACC (defaccess) 和 PACL 列表的扫描顺序。
当 ACCPACL 处于活动状态而且通过 ACL 为用户提供了显式访问时,该访问就是准许的访问。 如果没有通过 ACL 提供显式访问,而是通过 PACL 定义了显式访问,则 PACL 访问就是准许的访问。 如果 ACL 或 PACL 都不包含显式访问,就会检查 defaccess 中是否有访问定义。
如果 ACCPACL 未被激活,则仍会首先检查 ACL 中是否有显式访问。 如果 ACL 中不包含正被检查的资源的显式访问定义,就会接着检查 defaccess 定义。 如果在 defaccess 中没有定义显式访问,就会检查 PACL 访问定义。
当安装 CA ControlMinder 时,该属性的值设置为 yes。
在 setoptions 命令中使用 accpacl 或 accpacl‑ 参数可以修改该属性。
指出 ADMIN 类是否处于活动状态。 通常,ADMIN 类处于活动状态并控制执行安全管理任务的权限。 如果 ADMIN 类处于不活动状态,则所有用户都能够以 CA ControlMinder 管理员身份工作。
指出 APPL 类是否处于活动状态。
指出 AUTHHOST 类是否处于活动状态。
指出 CALENDAR 类是否处于活动状态。
指出 CATEGORY 类是否处于活动状态。
指出具有 PWMANAGER 属性的用户是否可以使用 selang 更改 ADMIN 用户密码。 默认值是 yes。
在 setoptions 命令中使用 class+ 或 class- 参数以及 cng_adminpwd 选项,可以激活或停用该属性。
指出用户是否可以使用 selang 更改自己的密码。
在 setoptions 命令中使用 class+ 或 class- 参数以及 cng_ownpwd 选项,可以激活或停用该属性。
定义希望包含在记录中的其他信息。 CA ControlMinder 不使用此信息进行授权。
范围:255 个字符。
指出 CONNECT 类是否处于活动状态。 当 CONNECT 类处于活动状态时,类中的记录会保护传出的连接。
如果 HOST 类处于活动状态,CONNECT 类就不用作活动类,即使被激活时也是如此。
如果 TCP 类处于活动状态,CONNECT 类就不用作活动类。
(信息性)显示创建记录的日期和时间。
(仅适用于 UNIX)指出 CA ControlMinder 是否检查对资源的日间限制。
此数据库应将通知发送到的 DMS 服务器的列表。
(仅适用于 Windows)指出 DOMAIN 类是否处于活动状态。
(信息性)。 上次按顺序关闭数据库文件的日期和时间。
指出 FILE 类是否处于活动状态。 当 FILE 类处于活动状态时,类中的记录会保护文件和目录。
累积组权限选项 (ACCGRR) 影响 CA ControlMinder 检查资源的 ACL 的方式。 如果启用 ACCGRR,则 CA ControlMinder 会检查 ACL 以获得用户所属的所有组授予的权限。 如果禁用 ACCGRR,则 CA ControlMinder 会检查 ACL 以查看是否有任何可应用的条目包含值 none。 如果有,则会拒绝访问。 否则 CA ControlMinder 将忽略所有组条目,Access Control 列表中的第一个可应用的条目除外。
使用命令 setoptions ACCGRR 命令来启用或禁用此属性。
指出 HOLIDAY 类是否处于活动状态。 当 HOLIDAY 类处于活动状态时,在定义的假日时间段内,用户需要拥有额外的权限才能登录。
指出 HOST 类是否处于活动状态。 当 HOST 类处于活动状态时,CA ControlMinder 保护来自远程主机的传入 TCP/IP 服务请求。
如果 HOST 类处于活动状态,TCP 和 CONNECT 类就不用作活动类,即使被激活时也是如此。
默认情况下,HOST 类处于活动状态。
指出用户登录被挂起后的不活动天数。 非活动日是指用户不登录的日子。
USER 记录中的 INACTIVE 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 INACT 属性。
在 setoptions 命令中使用 inactive 或 inactive‑ 参数可以更新该属性。
如果 PMDB 用作 DMS 则为真。
(仅适用于 UNIX)指出 LOGINAPPL 类是否处于活动状态。
允许用户进行的并发登录(终端会话)的最大数目,超过此数目后用户被拒绝访问。 值为 0 表示没有最大数量限制,用户可以并发登录任何数量的终端会话。 该值必须为零或大于 1(如果用户希望登录并运行 selang 或者管理数据库),因为 CA ControlMinder 认为每个任务(登录、selang、GUI 等)都是终端会话。
USER 记录中的 MAXLOGINS 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 MAXLOGINS 属性。 当访问者记录中没有显式值时,SEOS 记录中的值便用作默认值。
在 chres、editres 和 newres 命令中使用 maxlogins 参数可以修改 SEOS 类的该属性。
指出 MFTERMINAL 类是否处于活动状态。
指出密码规则。 此属性中包含许多用于确定 CA ControlMinder 如何处理密码保护的字段。 有关规则的完整列表,请参阅 USER 类的可修改属性 PROFILE。
在 setoptions 命令中使用 password 参数以及 rules 或 rules‑ 选项可以修改该属性。
指出密码检查是否处于活动状态。
在 setoptions 命令中使用 class+ 或 class- 参数以及 PASSWORD 选项,可以激活或停用该属性。
指出 PROCESS 类是否处于活动状态。 当 PROCESS 类处于活动状态时,类中的记录会保护定义的进程不受终止尝试的影响。
另外,相关的文件也必须在 FILE 类中定义。
指出 PROGRAM 类是否处于活动状态。 当 PROGRAM 类处于活动状态时,类中的记录会保护标记为受信任的已定义进程。
指出 PWPOLICY 类是否处于活动状态。
(仅适用于 Windows)指出 REGKEY 类是否处于活动状态。
(仅适用于 Windows)指出 REGVAL 类是否处于活动状态。
指出 RESOURCE_DESC 类是否处于活动状态。
指出 RESPONSE_TAB 类是否处于活动状态。
指出 SECLABEL 类是否处于活动状态。
指出 SECLEVEL 类是否处于活动状态。
(信息性)。 上次打开数据库文件的日期和时间。
指出由 sesudo 使用的 SUDO 类是否处于活动状态。
为用户和企业用户指定默认审核模式(系统范围的审核模式)。
默认值:Failure LoginSuccess LoginFailure
指出 SURROGATE 类是否处于活动状态。 当 SURROGATE 类处于活动状态时,CA ControlMinder 会保护代理请求。
指出 TCP 类是否处于活动状态。 当 TCP 类处于活动状态时,CA ControlMinder 会保护传入和传出 TCP 服务,例如邮件、ftp 和 http。
如果 HOST 类处于活动状态,TCP 类就不用作活动类,即使被激活时也是如此。
如果 TCP 类处于活动状态,CONNECT 类就不用作活动类。
指出 TERMINAL 类是否处于活动状态。 当 TERMINAL 类处于活动状态时,CA ControlMinder 会在登录期间执行终端访问检查并保护 X‑window 会话。
指出 USER_ATTR 类是否处于活动状态。
指出 USER_DIR 类是否处于活动状态。
(信息性)显示上次修改记录的日期和时间。
(通知)显示执行更新的管理员。
|
版权所有 © 2013 CA。
保留所有权利。
|
|