selang 参考指南 › 类和属性 › AC 环境中的类 › XUSER 类

XUSER 类

XUSER 类中的每个记录定义数据库中的一个企业用户 企业用户是在操作系统的其中一个企业用户存储中定义的用户，例如，在 UNIX 的 /etc/passwd 中或 Windows 的 Active Directory 中定义的用户。。

XUSER 记录的关键字是用户的名称 - 用户在登录系统时输入的名称。

可以从 CA ControlMinder 端点管理 或通过使用 selang 命令 chxusr 更改其中大多数属性。

注意：在多数情况下，除非明确指出使用 chxusr 更改属性，否则请将属性名称用作命令参数。

可以从 CA ControlMinder 端点管理 或通过使用 selang 命令 showxusr 查看所有属性。

APPLIST

由 eTrust SSO 使用。

APPLIST_TIME

由 eTrust SSO 使用。

APPLS

（信息性）显示授权访问者访问的应用程序列表。 由 eTrust SSO 使用。

AUDIT_MODE

定义 CA ControlMinder 在审核日志中记录的活动。 可以指定下列活动的任何组合：

• 无登录
• 在跟踪文件中记录的所有活动
• 登录尝试失败
• 登录成功
• 对 CA ControlMinder 保护的资源进行的失败访问尝试
• 对 CA ControlMinder 保护的资源进行的成功访问
• 交互式登录

注意：该属性与 ch[x]usr 和 ch[x]grp 命令的审核参数相对应。

AUTHNMTHD

（信息性）显示用于组记录的身份验证方法，从方法 1 到方法 32，或无。 由 eTrust SSO 使用。

BADPASSWD

由 eTrust SSO 使用。

CALENDAR

表示 CA ControlMinder 中的用户、组和资源限制的 Unicenter TNG 日历对象。 CA ControlMinder 按指定的时间间隔引出 Unicenter TNG 活动日历。

CATEGORY

定义分配给用户或资源的一个或多个安全类别 安全类别是 CATEGORY 类中记录的名称。 可以向访问者和资源分配安全类别。 只有当将访问者分配给向资源分配的所有安全类别时，访问者才能访问该资源。。

COMMENT

定义希望包含在记录中的其他信息。 CA ControlMinder 不使用此信息进行授权。

范围：255 个字符。

COUNTRY

指定用户所在国家/地区描述符的字符串。 该字符串是 X.500 命名方案的一部分。 CA ControlMinder 不使用该信息进行授权。

CREATE_TIME

（信息性）显示创建记录的日期和时间。

DAYTIME

定义管理访问者何时可以访问资源的日期和时间限制。

在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数可以修改该属性。

日期时间限制的解决方案为一分钟。

EMAIL

定义用户的电子邮件地址，最多为 128 个字符。

FULLNAME

定义与访问者相关联的全名。 CA ControlMinder 使用全名标识审核日志消息中的访问者，但不用于授权。

FULLNAME 是字母数字字符串。 对于组，最大长度为 255 个字符。 对于用户，最大长度为 47 个字符。

GAPPLS

（信息性）指出用户有权访问的应用程序组的列表。 由 eTrust SSO 使用。

GRACELOGIN

定义用户在密码到期后的宽限登录次数。 当超过宽限登录次数时，用户就会被拒绝访问系统并且必须向系统管理员申请新密码。

宽限登录次数必须介于 0 和 255 之间。 如果该值为0，用户就不能登录。

USER 记录中的 GRACELOGIN 属性值会覆盖 GROUP 记录中 NGRACE 的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。

注意：该属性与 ch[x]usr 命令的 grace 参数相对应。

GROUPS

（信息性）显示用户所属的用户组列表。 该属性中还包含任何组权限，如组管理权限 (GROUP‑ADMIN)，分配给用户所属的每个组的用户。

该属性中包含的组列表可能与本机环境 GROUPS 属性中的组列表不同。

注意：该属性不能通过 ch[x]usr 命令修改。 而使用 join[-] 或 joinx[-] 命令可以修改该属性。

INACTIVE

定义不活动天数，在该天数后系统会将用户的状态更改为不活动。 如果帐户状态为不活动，则用户无法登录。

USER 记录中的 INACTIVE 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 INACT 属性。

注意：CA ControlMinder 不存储状态，而是动态地计算状态。 要标识不活动用户，必须将 INACTIVE 值与用户的 LAST_ACC_TIME 值进行比较。

LAST_ACC_TERM

显示执行上次登录的终端。

LAST_ACC_TIME

显示上次登录的日期和时间。

LOCALAPPS

由 eTrust SSO 使用。

LOCATION

定义用户位置。 CA ControlMinder 不使用此信息进行授权。

LOGININFO

定义用户登录到特定应用程序和审核数据所需的信息。 对于用户得到授权可以访问的每个应用程序，LOGININFO 中都包含了一个单独的列表。 由 eTrust SSO 使用。

LOGSHIFT

指出是否允许在班次时间外登录。 CA ControlMinder 会为该事件在审核日志中写入一条审核记录。

MAXLOGINS

定义允许用户进行的并发登录 并发登录是由同一用户从多个终端同时de登录至系统的多个会话。的最大数目。 值为零表示用户可以进行任意数量的并发登录。

用户记录中的 MAXLOGINS 属性值会覆盖组记录中的值。 这二者都会覆盖 SEOS 类记录中的 MAXLOGINS 值。

MIN_TIME

定义用户两次更改密码之间允许的最短时间。

USER 记录中的 MIN_TIME 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。

注意：该属性与 ch[x]usr 命令的 min_life 参数相对应。

NOTIFY

定义资源或用户生成审核事件时要通知到的用户。 CA ControlMinder 可将审核记录通过电子邮件发送给特定用户。

范围：30 个字符。

OBJ_TYPE

指定用户权限属性。 这些属性中的每个属性均与 ch[x]usr 命令中的同名参数相对应。 用户可以具有以下一个或多个权限属性：

ADMIN

指定用户是否可以执行管理功能，与 UNIX 环境中的 root 用户类似。

AUDITOR

指定用户是否可以监控系统、列出数据库中的信息以及为现有记录设置审核模式。

IGN_HOL

指定用户是否可以在 HOLIDAY 记录定义的任何时间段内登录。

LOGICAL

指定该用户仅供 CA ControlMinder 内部使用，而不能用于真实用户登录。

例如，您可用作资源所有者的用户 nobody 甚至可以防止资源所有者访问资源，该用户在默认情况下是逻辑用户。 这意味着，没有用户可以使用该帐户登录。

OPERATOR

指定用户是否可以列出数据库中的所有内容及是否可以使用 secons 实用程序。

PWMANAGER

指定用户是否可以修改其他用户的密码设置及是否可以启用已经被 serevu 实用程序禁用的用户帐户。

SERVER

指定进程是否可以请求用户进行授权及是否可以发出 SEOSROUTE_VerifyCreate API 调用。

OIDCRDDATA

由 eTrust SSO 使用。

OLD_PASSWD

包含用户的以前密码的加密列表。 用户不能从该列表中选择新密码。 OLD_PASSWD 中保存的密码最大数目由 setoptions 命令决定。

ORG_UNIT

用于存储有关用户工作所在组织机构的信息的字符串。 该字符串是 X.500 命名方案的一部分。 CA ControlMinder 不使用该信息进行授权。

ORGANIZATION

定义用户工作的组织。 该字符串是 X.500 命名方案的一部分。 CA ControlMinder 不使用该信息进行授权。

PASSWD_A_C_W

指出上次更改该记录的用户密码的 ADMIN 用户。

PASSWD_INT

定义用户两次更改密码之间允许的最长时间。

USER 记录中的 PASSWD_INT 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。

注意：该属性与 ch[x]usr 命令的 interval 参数相对应。

PASSWD_L_A_C

显示管理员上次更新密码的日期和时间。

PASSWD_L_C

显示用户上次更新密码的日期和时间。

PHONE

定义用户的电话号码。 不使用该信息进行授权。

PUPM_FLAGS

指定终端集成属性。 当您将 CA ControlMinder 端点上的特权帐户与 SAM 相集成时，可使用终端集成。 特权帐户可以有以下一个或两个终端集成属性：

use_original_identity

指定当 CA ControlMinder 作出授权决策时，使用签出帐户的用户的名称，而不是特权帐户的名称。 该会话的审核记录列出了真实用户名称字段中的最初用户和有效用户名称字段中的特权帐户。

required_checkout

指定必须在 SAM 中签出帐户，用户才能使用它登录到端点。

PWD_AUTOGEN

显示用户密码是否是自动生成。 由 eTrust SSO 使用。

默认值为 no。

PWD_SYNC

显示所有用户应用程序的用户密码是否都自动保持一致。 由 eTrust SSO 使用。

默认值为 no。

RESUME_DATE

定义挂起的 USER 帐户变为取消挂起的日期。

RESUME_DATE 与 SUSPEND_DATE 配合工作。

注意：该属性与 ch[x]usr 和 ch[x]grp 命令的 resume[-] 参数相对应。

REVACL

显示访问者的 Access Control 列表。

REVOKE_COUNT

由 eTrust SSO 使用。

SCRIPT_VARS

由 eTrust SSO 使用，定义变量列表，该列表中列出了每个应用程序保存的应用程序脚本的变量值。

SECLABEL

定义用户或资源的安全级别 安全标签是 SECLABEL 类中记录的名称。 安全标签将安全级别和一组安全类别捆绑在一起。 将安全标签分配给访问者或资源，会授予该访问者或资源与该安全标签相关联的组合的安全级别和安全类别。 安全标签会覆盖访问者或资源中任何特定的安全级别和类别分配。。

注意：SECLABEL 属性对应 chres 和 ch[x]usr 命令的 label[-] 参数。

SECLEVEL

定义访问者或资源的安全级别 安全级别是可以分配给访问者和资源的 0 到 255 之间的整数。 如果访问者的安全级别小于分配给资源的安全级别，即使在资源的 Access Control 列表中向用户授予了访问权限，访问者也不能访问资源。。

注意：该属性对应 ch[x]usr 和 chres 命令的 level[-] 参数。

SESSION_GROUP

为用户定义 SSO 会话组。 SESSION_GROUP 属性是最长为 16 个字符的字符串。

在 Windows 中，管理员可以在首选名称不在下拉列表中的情况下输入会话组的新名称。

由 eTrust SSO 使用。

SHIFT

由 eTrust SSO 使用。

SUSPEND_DATE

定义用户帐户因挂起而变为无效的日期。

如果记录的挂起日期在其恢复日期之前，用户就可以在挂起日期前和恢复日期后工作。

如果用户的恢复日期早于挂起日期，则记录也会在该恢复日期之前无效。 用户仅可以在恢复日期和挂起日期之间进行工作。

用户记录中的 SUSPEND_DATE 属性值会覆盖组记录中的值。

注意：该属性与 ch[x]usr 和 ch[x]grp 命令的 suspend[-] 参数相对应。

SUSPEND_WHO

显示激活挂起日期的管理员。

UALIAS

显示针对一个或多个身份验证主机定义的特定用户的别名。 由 eTrust SSO 使用。

UPDATE_TIME

（信息性）显示上次修改记录的日期和时间。

UPDATE_WHO

（通知）显示执行更新的管理员。