setoptions コマンド - CA ControlMinder オプションの設定

selang リファレンスガイド › selang コマンド › AC 環境の selang コマンド › setoptions コマンド - CA ControlMinder オプションの設定

setoptions コマンド - CA ControlMinder オプションの設定

AC 環境で有効

setoptions コマンドを使用すると、実行中のシステムでシステム全体の CA ControlMinder オプションを設定します。たとえば、setoptions を使用して、個別のクラスまたはすべてのクラスのセキュリティチェックの有効化と無効化、パスワードポリシーの設定、および CA ControlMinder オプションの現在の設定の一覧表示を行うことができます。

注：このコマンドは Windows 環境にもありますが、動作が異なります。

setoptions コマンドを使用するには ADMIN 属性が必要です。ただし、setoptions list コマンドは AUDITOR 属性または OPERATOR 属性があれば使用できます。

このコマンドの形式は以下のようになります。

{setoptions|so} ¥

[accgrr|accgrr‑] ¥
[accpacl|accpacl‑] ¥
[class+ (className)] ¥
[class‑ (className)] ¥
[class (className)] ¥
[flags{+|-} (I|W)] ¥
[cng_adminpwd|cng_adminpwd‑] ¥
[cng_ownpwd|cng_ownpwd‑] ¥
[cwarnlist] ¥
[dms{+|-}(dms@hostname)] ¥
[inactive(nDays)|inactive‑] ¥
[is_dms{+|-}] ¥
[list] ¥
[maxlogins(nLogins)|maxlogins‑] ¥
[password( ¥

[{history(nStoredPasswords) | history‑}] ¥
[(interval(nDays) | interval‑)] ¥
[(min_life(nDays) | min_life‑)] ¥
[{rules( ¥
	[alpha(nCharacters)] ¥
	[alphanum(nCharacters)] ¥
	[(bidirectional) | (bidirectional-)] ¥
	[grace(nLogins)] ¥
	[lowercase(nCharacters)] ¥
	[min_len(nCharacters)]
	[max_len(nCharacters)] ¥
	[max_rep(nCharacters)] ¥
	[{namechk|namechk‑}]
	[numeric(nCharacters)] ¥
	[{oldpwchk|oldpwchk‑}]
	[prohibited(prohibitedCharacters)] ¥
	[special(nCharacters)] ¥
	[sub_str_len(nCharacters)] ¥
	[uppercase(nCharacters)] ¥
	[use_dbdict|use_dbdict-] ¥
)|rules‑}] ¥

)] ¥

accgrr

累積グループ権限（ACCGRR）オプションを有効にします。

デフォルト値は enabled です。

accgrr‑

累積グループ権限（ACCGRR）オプションを無効にします。

accpacl

すべてのリソースでの PACL の使用を有効にします。

accpacl‑

PACL の使用を無効にします。

class (className)

CA ControlMinderクラスを設定またはクリアします。

class+(className)

1 つ以上の CA ControlMinder クラスを有効にします。 CA ControlMinder でそのクラスのリソースを保護するためには、クラスが有効である必要があります。クラスの有効化は、クラスに属するリソースへのアクセスを許可するために必要なレコードを定義した後に行う必要があります。 CA ControlMinder で提供されるリソースクラスの詳細については、「UNIX エンドポイント管理ガイド」を参照してください。

以下のいずれかの値を使用します。

CA ControlMinder クラスの名前
SECLEVEL。これにより、セキュリティレベルチェックが有効になります。
PASSWORD。パスワードルールが有効になります。 Windows では、任意の長さのパスワードを使用できるようになります。

class‑(className)

1 つ以上の CA ControlMinder クラスを無効にします。無効なクラスに属するリソースは保護されません。以下のいずれかの値を使用します。

CA ControlMinder クラスの名前
SECLEVEL。セキュリティレベルチェックを無効にします。
PASSWORD。パスワードルールが無効になります。 Windows では、長いパスワードも無効になります。

GROUP、SECFILE、SEOS、UACC、および USER の各クラスを無効にすることはできません。

cng_adminpwd

PWMANAGER 属性を持つユーザが ADMIN ユーザのパスワードを変更できるようにします。

cng_adminpwd‑

PWMANAGER 属性を持つユーザが ADMIN ユーザのパスワードを変更できないようにします。これがデフォルトの設定です。

cng_ownpwd

ユーザが selang を使用してパスワードを変更できるようにします。

cng_ownpwd‑

ユーザが selang を使用してパスワードを変更できないようにします。これがデフォルトの設定です。

cwarnlist

警告モードのクラスに関するデータのテーブルを表示します。

dms{+|-}(dms@hostname)

このデータベースの DMS データベースリストに対する DMS データベースを追加または削除します。

flags{+|-} (I|W)

クラスに対して関連する機能を設定またはクリアします。有効な値は以下のとおりです。

I

指定したクラスで、オブジェクトの大文字と小文字を区別するかどうか。

注： I フラグを設定する前に、同じ名前のリソースが存在することを確認します。大文字または小文字のリソースが複数存在する場合、CA ControlMinder は再起動時にデータベースエラーを表示します。 CA ControlMinder を再起動して I フラグの変更を有効にします。

W

指定したクラスの警告モード。

注：フラグは大文字と小文字を区別します。大文字を使用してください。

history(NStoredPasswords)

履歴リストに保存するパスワード履歴の数を指定します。パスワードが変更されると、前回のパスワードがリストに追加され、必要に応じて最も古いパスワードがリストから削除されます。 CA ControlMinder では、ユーザがリストに含まれているパスワードを変更できないようにします。

1 から 24 までの整数を入力します。 0 を指定すると、パスワードは保存されません。

Windows の場合、history オプションを使用すると、8 文字より長いパスワードを使用できるようになります。パスワード格納時に使用される暗号方式は、setoptions bidirectional または bidirectional- オプションで決まります。

UNIX の場合、長いパスワードが有効かどうかに history オプションは影響しません。長いパスワードを有効にするかどうかには、passwd_local_encryption_method 環境設定を使用します。

history‑

パスワード履歴のチェックを無効にします。

Windows では、このオプションにより長いパスワードが使用できなくなります。

inactive(nDays)

ユーザのログインを一時停止するまでの非アクティブ状態の日数を指定します。非アクティブ状態の日とは、ユーザがログインできない日を指します。正の整数を入力します。 inactive を 0 に設定すると、inactive‑ パラメータを使用した場合と同じ結果になります。

inactive‑

非アクティブログインチェックを無効にします。

interval(nDays)

パスワードの設定または変更後、ユーザに対して新しいパスワードの入力を促すメッセージを表示するまでの経過日数を設定します。正の整数または 0 を入力します。 interval を 0 に設定すると、ユーザに対するパスワード期間のチェックは無効になります。パスワードに有効期限を設定しない場合は、interval を 0 に設定します。

ユーザのログインスクリプトに segrace ユーティリティが含まれている場合は、指定された日数が経過すると、現在のパスワードが期限切れになったことがユーザに通知されます。通知を受けたユーザは、ただちにパスワードを更新するか、猶予ログイン回数に達するまで古いパスワードを引き続き使用することができます。猶予ログイン回数に達すると、ユーザはシステムへのアクセスを拒否されるため、システム管理者に連絡して新しいパスワードを設定する必要があります。

interval‑

パスワード期間の設定を取り消します。

is_dms+

現在のデータベースを DMS に指定します。

is_dms-

現在のデータベースの DMS としての指定を解除します。

list

CA ControlMinder の現在の設定を画面に表示します。

maxlogins(nLogins)

ユーザが同時にログインできる端末台数の最大値を設定します。値 0（ゼロ）は、同時に任意の数の端末からログインできることを意味します。ユーザのユーザレコードに値を指定すると、この値より優先されます。

注： maxlogins を 1 に設定すると、selang を実行できません。この場合、CA ControlMinder を停止し、maxlogins の設定を 2 以上の値に変更し、CA ControlMinder を再起動する必要があります。

注： Unix と Linux のオペレーティングシステム上でのみ有効です。

maxlogins‑

グローバルな最大ログイン回数のチェックを無効にします。ユーザレコードでログインが制限されていない限り、ユーザがログインできる端末台数は無制限となります。

min_life(NDays )

変更したパスワードを再度変更できるようになるまでの最短日数を設定します。正の整数を入力します。

password

パスワードオプションを設定します。

rules

新しいパスワードの品質をチェックする際に使用される 1 つ以上のパスワードルールを設定します。ルールは以下のとおりです。

alpha(nCharacters)

新しいパスワードで使用する必要がある英字の最小文字数を設定します。整数を入力します。

alphanum(nCharacters)

新しいパスワードで使用する必要がある英数字の最小文字数を設定します。整数を入力します。

bidirectional

パスワードが他のシステムに PMDB の一部として送信されるときに、クリアテキスト形式で（暗号化されたメッセージ内で）配信するように指定します。

UNIX の場合、このオプションは passwd セクションに以下の値を設定することに相当します。

Passwd_distribution_encryption_mode=bidirectional

注： setoptions コマンドを使用するのではなく、環境設定を行うことをお勧めします。

Windows の場合、パスワードは以下のレジストリ値で指定された暗号方式を使用して履歴リストに格納されます。

HKEY_LOCAL_MACHINE¥SOFTWARE¥ComputerAssociates¥AccessControl¥Encryption Package

bidirectional-

パスワードがハッシュ暗号化形式で送信されるように指定します。

Windows の場合、使用されるハッシュ関数は SHA-1 です。

UNIX の場合、このオプションは passwd セクションに以下の値を設定することに相当します。

Passwd_distribution_encryption_mode=compatibility

注： setoptions コマンドを使用するのではなく、環境設定を行うことをお勧めします。

このオプションを指定すると、長いパスワードを異種オペレーティングシステム間で送信できなくなります。

grace(nLogins)

ユーザのアカウントが一時停止になるまでに猶予ログインできる最大回数を設定します。猶予ログイン回数には、0 ～ 255 の値を指定する必要があります。

lowercase(nCharacters)

新しいパスワードで使用する必要がある文字の小文字の最小数を指定します。整数を入力します。

min_len(nCharacters)

パスワードの最小文字数を設定します。新しいパスワードで使用する必要がある文字の合計最小数を指定します。

max_len(nCharacters)

パスワードの最大文字数を設定します。新しいパスワードで使用する必要がある文字の合計最大数を指定します。

max_rep(nCharacters)

新しいパスワードで使用する必要がある同じ文字の最大繰り返し回数を設定します。整数を入力します。

namechk

パスワードにユーザ名の一部または全部が含まれているかどうかをチェックします。デフォルトでは、このチェックが実行されます。

namechk‑

namechk チェックをオフにします。

numeric(nCharacters)

新しいパスワードで使用する必要がある数字の合計最小数を指定します。整数を入力します。

oldpwchk

新しいパスワードに古いパスワードの一部または全部が含まれているかどうかをチェックします。デフォルトでは、このチェックが実行されます。

注： Unix と Linux のオペレーティングシステム上でのみ有効です。

oldpwchk‑

oldpwchk をオフにします。

prohibited(prohibitedCharacters)

ユーザがパスワードで使用できない文字を指定します。使用を禁止する文字を入力してください。

注： Tab キーの使用をブロックするために、「¥」および「t」両方の制御文字が禁止文字リストに指定されていることを確認するようにお勧めします。

special(nCharacters)

新しいパスワードで使用する必要がある特殊文字の最小数を指定します。整数を入力します。

sub_str_len(nCharacters)

新しいパスワードと古いパスワードとで共通する文字の最大数を指定します。整数を入力します。

uppercase(nCharacters)

新しいパスワードで使用する必要がある英字の大文字の最小数を設定します。整数を入力します。

use_dbdict | use_dbdict-

パスワード辞書を設定します。 use_dbdict はトークンを db に設定し、パスワードを CA ControlMinder データベースの単語と照合して比較します。 use_dbdict- トークンを file に設定し、UNIX の場合は seos.ini ファイル、Windows の場合は Windows レジストリに指定されたファイルとパスワードを照合して比較します。

rules‑

パスワード品質のチェックを無効にします。 rules 引数で指定したルールは、パスワード品質のチェックに使用されません。

例： CA ControlMinder オプションの設定

ユーザ John が、オペレータアクションの保護に使用される導入先定義のクラスである OpsAct クラスを有効にするとします。
ユーザ John に ADMIN 属性が割り当てられているとします。
```
setoptions class+(OpsAct)
```
ユーザ Mike が、6 文字以上のパスワードをユーザに選択させるパスワードポリシーを設定します。さらに、パスワードポリシーの適用を有効にします。
ユーザ Mike に ADMIN 属性が割り当てられているとします。
```
setoptions class+(PASSWORD)
setoptions password(rules(min_len(6)))
```
ユーザ SecAdmin がセキュリティレベルチェックを有効にします。
ユーザ SecAdmin には ADMIN 属性が割り当てられているとします。
```
setoptions class+(SECLEVEL)
```
ユーザ Janani が、このデータベースの通知の送信先 DMS を設定します。
ユーザ Janani に ADMIN 属性が割り当てられているとします。
```
setoptions dms+(apache@myHost)
```

例：クラスを警告モードに設定する

クラスを警告モードに設定するには、そのクラスの Warning プロパティを設定します。このためには、以下のように setoptions の selang コマンドを実行します。

setoptions class(classname) flags+ (W)

classname: 警告モードに設定するクラスの名前を定義します。

注： W フラグは大文字と小文字の区別があるので、大文字で指定する必要があります。

クラスの警告モードをオフにするには、以下のように setoptions コマンドを使用します。

setoptions class(classname) flags- (W)

詳細情報：

setoptions コマンド - CA ControlMinder Windows オプションの設定

警告モード