selang リファレンス ガイド › クラスとプロパティ › AC 環境のクラス › SUDO クラス

SUDO クラス

SUDO クラスの各レコードは、あるユーザが sesudo コマンドを使用して別のユーザの権限を借用できるようにするためのコマンドを識別します。

SUDO クラス レコードのキーは、SUDO レコードの名前です。 この名前は、ユーザが SUDO レコードでコマンドを実行する際に、コマンド名の代わりに使用されます。

注： 対話型の Windows アプリケーション用の SUDO レコードを作成する場合、SUDO レコード用の対話型のフラグを設定する必要があります。 対話型のフラグを設定しない場合、アプリケーションはバックグラウンドで実行されるため、ユーザは操作できません。 詳細については、「トラブルシューティング ガイド」を参照してください。

以下の定義では、このクラス レコードに含まれるプロパティについて説明します。 ほとんどのプロパティは変更可能で、selang インターフェースまたは管理インターフェースを使用して操作することができます。 変更できないプロパティには、「情報のみ」と記載されます。

ACL

リソースへのアクセスを許可されているアクセサ（ユーザおよびグループ）、およびアクセサのアクセス タイプのリストを定義します。

アクセス制御リスト（ACL）の各要素には、以下の情報が含まれます。

アクセサ

アクセサを定義します。

アクセス

アクセサに与えられる、リソースに対するアクセス権限を定義します。

ACL プロパティを変更するには、authorize コマンドまたは authorize- コマンドの access パラメータを使用します。

CALACL

リソースへのアクセスが許可されるアクセサ（ユーザおよびグループ）およびそれぞれの Unicenter NSM カレンダ ステータスに基づくアクセス タイプのリストを定義します。

カレンダ アクセス制御リスト（CALACL）の各要素には、以下の情報が含まれます。

アクセサ

アクセサを定義します。

Calendar

Unicenter TNG のカレンダへの参照を定義します。

アクセス

アクセサに与えられる、リソースに対するアクセス権限を定義します。

カレンダが有効な場合のみアクセスが許可されます。 その他の場合はすべてのアクセスが拒否されます。

ACL プロパティに定義されているアクセスに基づいて、リソースへのアクセスをユーザまたはグループに許可するには、authorize コマンドで calendar パラメータを使用します。

CALENDAR

CA ControlMinder のユーザ、グループ、およびリソース制限事項の Unicenter TNG カレンダ オブジェクトを表します。 CA ControlMinder により、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。

カテゴリ

ユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリ セキュリティ カテゴリは、CATEGORY クラスにあるレコードの名前です。 セキュリティ カテゴリは、アクセサとリソースに割り当てることができます。 リソースに割り当てられているすべてのセキュリティ カテゴリにアクセサが割り当てられている場合のみ、そのアクセサはリソースにアクセスできます。を定義します。

COMMENT

sesudo が実行するコマンドです。

最大 255 文字の英数字から成る文字列です。この文字列には、コマンドが含まれます。さらに、許可されているパラメータおよび禁止されているパラメータも含まれます。

たとえば、以下のプロファイル定義では、COMMENT プロパティが正しく使用されています。

newres SUDO profile_name comment('command;;NAME')

注： このクラスでの COMMENT プロパティの使用法は、その他のクラスでの使用法とは異なります。 SUDO レコードの定義の詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。 このプロパティは、CA ControlMinder の旧バージョンで使用されていた DATA パラメータとして知られていたものです。

制限： 255 文字。

このプロパティを変更するには、chres コマンド、editres コマンド、および newres コマンドの comment[-] パラメータを使用します。

CREATE_TIME

（情報のみ）レコードが作成された日時が表示されます。

DAYTIME

アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。

このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。

日時の制約の単位は 1 分です。

GROUPS

リソース レコードが属する GSUDO クラスまたは CONTAINER クラスのレコードのリストです。

SUDO クラスのレコードのこのプロパティを変更するには、適切な CONTAINER クラスまたは GSUDO クラスのレコードの MEMBERS プロパティを変更する必要があります。

このプロパティを変更するには、chres コマンド、editres コマンド、またはnewres コマンドの mem+ または mem‑ パラメータを使用します。

INTERACTIVE

（Windows のみ） このスイッチは、sesudo 使用して実行する予定のアプリケーションが、対話式 Windows アプリケーション（notepad.exe や cmd.exe）などであり、サービス アプリケーションではない場合にマークする必要があります。 対話式アプリケーションの実行に interactive とマークされていない sesudo を使用すると、アプリケーションは対話する手段なしにバックグラウンドで実行されます。

注： 一部の Windows アプリケーションは、Windows の制約によりフォアグラウンドでは実行できません。

NACL

リソースの NACL プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセス タイプ（write など）と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。 NACL の各エントリには、以下の情報が含まれます。

アクセサ

アクセサを定義します。

アクセス

アクセサに対して拒否されるアクセス タイプを定義します。

このプロパティを変更するには、authorize deniedaccess コマンドまたは authorize- deniedaccess- コマンドを使用します。

NOTIFY

リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。 CA ControlMinder では、指定したユーザ宛に監査レコードを電子メールで送信できます。

制限： 30 文字。

OWNER

レコードを所有するユーザまたはグループを定義します。

PACL

アクセス要求が特定のプログラム（または名前パターンに一致するプログラム）とそのアクセス タイプを使用して行われる場合に、リソースへのアクセスが許可されるアクセサのリストを定義します。 プログラム アクセス制御リスト（PACL）の各要素には、以下の情報が含まれます。

アクセサ

アクセサを定義します。

Program

指定またはワイルドカード パターン一致によって、PROGRAM クラスのレコードへの参照を定義します。

アクセス

アクセサに与えられる、リソースに対するアクセス権限を定義します。

注： PACL のリソースの指定にはワイルドカード文字 CA ControlMinder は、一部の名前についてワイルドカード 文字を認識します。 その場合、CA ControlMinder が認識するワイルドカードは * および ? です。 * 文字は、文字なしを含め、任意の数の任意の文字を表します。 ? 文字は、任意の文字の 1 つのインスタンスを表します。を使用できます。

プログラム、アクセサ、およびそのアクセス タイプを PACL に追加するには、selang の authorize コマンドで via(pgm) パラメータを使用します。アクセサを PACL から削除するには、authorize- コマンドを使用します。

PASSWORDREQ

（UNIX のみ）sesudo コマンドが実行前に元のユーザのパスワードを要求するかどうかを指定します。

このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの password パラメータを使用します。

POLICYMODEL

sepass ユーティリティを使用してユーザ パスワードを変更したときに新しいパスワードを受け取る PMDB Policy Model データベース（PMDB）はスタンド アロンの CA ControlMinder データベースで、特定のホスト システムに関連付けられている CA ControlMinder データベースと同じタイプのルールを保持します。 マスタ PMDB にルールを適用すると、そのルールは、マスタ PMDB に対して定義されたすべてのサブスクライバ データベースに伝達されます。 を指定します。 このプロパティの値を入力した場合、parent_pmd または passwd_pmd 環境設定で定義されている Policy Model にパスワードは送信されませんv

注： このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの pmdb[-] パラメータに相当します。

SECLABEL

ユーザまたはリソースのセキュリティ ラベル セキュリティ ラベルは、SECLABEL クラスにあるレコードの名前です。 セキュリティ ラベルによって、セキュリティ ラベルと複数のセキュリティ カテゴリを 1 つにまとめることができます。 セキュリティ ラベルをアクセサまたはリソースに割り当てると、そのセキュリティ ラベルに関連付けられたセキュリティ レベルとセキュリティ カテゴリの組み合わせが、アクセサまたはリソースに設定されます。 セキュリティ ラベルは、アクセサまたはリソースに設定された特定のセキュリティ レベルおよびセキュリティ カテゴリよりも優先されます。を定義します。

注： SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。

SECLEVEL

アクセサまたはリソースのセキュリティ レベル セキュリティ レベルは、ユーザおよびリソースに割り当てることのできる 0 から 255 までの整数です。 リソースのアクセス制御リストでユーザにアクセス権限が付与されていても、アクセサのセキュリティ レベルがリソースのセキュリティ レベルより低い場合、そのアクセサはそのリソースにアクセスできません。を定義します。

注： このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。

TARGUSR

（UNIX のみ）ターゲット UID を指定します。この UID は、コマンドを実行するためのアクセス許可の借用先ユーザを指定します。 デフォルトは root です。

このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの targuid パラメータを使用します。

UACC

リソースに対するデフォルトのアクセス権限を定義します。CA ControlMinder に定義されていないアクセサ、またはリソースの ACL に登録されていないアクセサに与えるアクセス権限を指定します。

このプロパティを変更するには、chres コマンド、editres コマンド、または newres コマンドの defaccess パラメータを使用します。

UPDATE_TIME

（情報のみ）レコードが最後に変更された日時を示します。

UPDATE_WHO

（情報のみ）更新を実行した管理者を示します。

WARNING

警告モードを有効にするかどうかを指定します。 リソースの警告モードを有効にすると、そのリソースに対するアクセス要求はすべて許可され、アクセス要求がアクセス ルールに違反した場合、監査ログにレコードが記録されます。

詳細情報：

対話式アプリケーションに関するタスク委任がハングする