条件 Access Control 列表 (CACL) 提供了 ACL 的扩展。 当访问者尝试访问资源时,如果资源的 ACL 和 NACL 未为该用户定义访问权限,则 CA ControlMinder 将检查条件 Access Control 列表。
条件 Access Control 列表以一种特定方式指定对所访问资源的访问权限,例如通过使用指定的程序。
例如,您可以使用条件 Access Control 列表定义程序通路规则。
CA ControlMinder 允许使用以下条件 Access Control 列表:
要在条件 Access Control 列表条目中定义一个条目,可以使用 selang authorize 命令的 via 选项。
与其他 Access Control 列表一样,条件 Access Control 列表中的每个条目指定被授予访问资源权限的访问者及其被授予的访问权限的类型。 此外,条件 Access Control 列表中的条目还指定分配权限的条件。 对于 PACL,条件是程序的名称,访问者需要运行该程序才能具有访问权限。
示例:使用 PACL
要使企业用户 sysadm1 仅可通过运行程序 secured_su 成为超级用户,您可以使用以下 selang 命令指定相应的条件访问规则:
authorize SURROGATE user.root xuid(sysadm1) via(pgm(secured_su))
|
版权所有 © 2013 CA。
保留所有权利。
|
|