変数を定義するポリシーを作成しデプロイすると、多くのエンドポイントで同じ変数を定義できます。
変数を定義するポリシーの作成方法
editres ACVAR ("variable_name") value("variable_value")
注: ポリシーの後続ルールで変数を参照する前に、ポリシーで各変数を定義する必要があります。 変数の参照は、以下の形式で指定します。"<!変数>"
例: 変数を定義するポリシーの作成
この例では、以下のポリシーで、「/opt/jboss」という値を持つ「jboss_home」という名前の変数を定義し、ユーザ Mark に、JBoss を使用してアクセスする /opt ディレクトリ内の任意のリソースへのアクセスを許可するルールを作成します。
editres ACVAR ("jboss_home") value("/opt/jboss")
authorize FILE /opt/* uid(Mark) access(all) via(pgm("<!jboss_home>/jboss"))
エンドポイントがポリシーをコンパイルすると、以下のルールを作成します。
authorize FILE /opt/* uid(Mark) access(all) via(pgm(/opt/jboss/jboss))
例: 複数の変数値を定義するポリシーの作成
以下のポリシーは、「C:¥JBoss」という値を持つ「jboss_home」という名前の変数を定義し、C:¥Program Files¥JBoss 値を jboss_home 変数に追加し、アクセス ルールを作成します。
editres ACVAR ("jboss_home") value("C:¥JBoss")
editres ACVAR ("jboss_home") value+("C:¥Program Files¥JBoss")
editres FILE ("<!jboss_home>¥bin") defacc(none) audit(a)
エンドポイントがポリシーをコンパイルすると、以下のルールを作成します。
editres FILE ("C:¥JBoss¥bin") defacc(none) audit(a)
editres FILE ("C:¥Program Files¥JBoss¥bin") defacc(none) audit(a)
例: 変数を使用した、Windows と UNIX の両方のエンドポイントへの同じポリシーのデプロイ
以下の例では、Windows と UNIX で JBoss のインストール場所が異なっている場合でも、変数を使用して、同じ JBoss ポリシーを Windows と UNIX の両方のエンドポイントにデプロイする方法について説明します。 この例は、各オペレーティング システムで JBoss のインストール場所を定義する 2 つの jboss_home 変数を定義します。
editres ACVAR ("jboss_home") value("C:¥JBoss")
editres ACVAR ("jboss_home") value("/opt/jboss")
editres FILE "<!jboss_home>" defacc(none) audit(all)
editres FILE "C:¥JBoss" defacc(none) audit(all)
editres FILE "/opt/jboss" defacc(none) audit(all)
|
Copyright © 2013 CA.
All rights reserved.
|
|