SUDO 클래스의 각 레코드는 한 사용자가 sesudo 명령을 사용하여 다른 사용자로부터 사용 권한을 빌려 올 수 있는 명령을 식별합니다.
SUDO 클래스 레코드의 키는 SUDO 레코드 이름입니다. 이 이름은 사용자가 SUDO 레코드에서 명령을 실행할 때 명령 이름 대신 사용됩니다.
참고: 대화형 Windows 응용 프로그램에 대해 SUDO 레코드를 만드는 경우 SUDO 레코드에 대한 대화형 플래그를 설정해야 합니다. 대화형 플래그를 설정하지 않는 경우 응용 프로그램이 백그라운드로 실행되고 사용자가 응용 프로그램과 상호 작용할 수 없습니다. 자세한 내용은 문제 해결 안내서를 참조하십시오.
다음 정의는 이 클래스 레코드에 포함된 속성을 설명합니다. 대부분의 속성은 수정 가능하며 selang 또는 관리 인터페이스를 사용하여 조작할 수 있습니다. 수정할 수 없는 속성은 정보로 표시되어 있습니다.
리소스에 대해 액세스가 허용된 접근자(사용자 및 그룹) 목록 및 접근자의 액세스 유형을 정의합니다.
ACL(액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
접근자를 정의합니다.
접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
ACL을 수정하려면 authorize 또는 authorize- 명령과 함께 access 매개 변수를 사용하십시오.
리소스에 대한 액세스가 허용되는 접근자(사용자 및 그룹) 목록 및 해당 액세스 유형을 Unicenter NSM 달력 상태에 따라 정의합니다.
CALACL(달력 액세스 제어 목록)에 있는 각 요소는 다음 정보를 포함합니다.
접근자를 정의합니다.
Unicenter TNG의 달력에 대한 참조를 정의합니다.
접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
액세스는 달력이 ON일 때만 허용되고, 다른 모든 경우에는 액세스가 거부됩니다.
달력 ACL에 정의된 액세스에 따라 사용자 또는 그룹에게 리소스에 대한 액세스를 허용하려면 calendar 매개 변수와 함께 권한 부여 명령을 사용하십시오.
CA ControlMinder의 사용자, 그룹 및 리소스 제한을 위한 Unicenter TNG 달력 개체를 나타냅니다. CA ControlMinder은 지정된 시간 간격으로 Unicenter TNG 활성 달력을 가져옵니다.
사용자 또는 리소스에 할당된 하나 이상의 보안 범주를 정의합니다.
sesudo가 실행하는 명령입니다.
영숫자 문자열에는 명령과 허용 및 금지된 매개 변수를 포함하여 최대 255자가 들어갈 수 있습니다.
예를 들어, 다음 프로필 정의는 COMMENT 속성을 적절하게 사용합니다.
newres SUDO profile_name comment('command;;NAME')
참고: COMMENT 속성의 이 사용법은 다른 클래스의 경우와 다릅니다. SUDO 레코드 정의에 대한 자세한 내용은 해당 OS의 끝점 관리 안내서를 참조하십시오. 이 속성은 CA ControlMinder 이전 버전에서 DATA로도 알려졌습니다.
제한: 255자
이 속성을 수정하려면 chres, editres 및 newres 명령과 함께 comment[-] 매개 변수를 사용합니다.
(정보) 레코드가 작성된 날짜 및 시간을 표시합니다.
접근자가 리소스에 액세스할 수 있는 시기를 관리하는 날짜 및 시간 제한을 정의합니다.
이 속성을 수정하려면 chres, ch[x]usr 또는 ch[x]grp 명령과 함께 restrictions 매개 변수를 사용하십시오.
daytime restrictions의 확인은 1분입니다.
리소스 레코드가 속하는 GSUDO 또는 CONTAINER 레코드 목록입니다.
SUDO 클래스 레코드에서 이 속성을 수정하려면 해당 CONTAINER 또는 GSUDO 레코드에서 MEMBERS 속성을 변경해야 합니다.
이 속성을 수정하려면 mem+ 또는 mem‑ 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
(Windows 전용) sesudo를 통해 실행하려는 응용 프로그램이 서비스 응용 프로그램이 아니라 notepad.exe나 cmd.exe 등의 대화형 Windows 응용 프로그램인 경우 이 스위치를 표시해야 합니다. sesudo를 사용하여, interactive로 표시되지 않은 대화형 응용 프로그램을 실행하려고 하면 해당 응용 프로그램은 대화형 기능 없이 배경에서 실행됩니다.
참고: 일부 Windows 응용 프로그램은 Windows 제한으로 인해 전경에서 실행할 수 없습니다.
리소스의 NACL 속성은 리소스에 대한 권한이 거부되는 접근자를 거부되는 액세스 유형(예: 쓰기)과 함께 정의하는 액세스 제어 목록입니다. ACL, CALACL, PACL을 참조하십시오. NACL의 각 항목은 다음 정보를 포함합니다.
접근자를 정의합니다.
접근자에게 거부되는 액세스 유형을 정의합니다.
이 속성을 수정하려면 authorize deniedaccess 명령 또는 authorize- deniedaccess- 명령을 사용하십시오.
리소스 또는 사용자가 감사 이벤트를 생성할 때 알림을 받을 사용자를 정의합니다. CA ControlMinder은 지정된 사용자에게 감사 레코드를 전자 메일로 보낼 수 있습니다.
제한: 30자
레코드를 소유하는 사용자 또는 그룹을 정의합니다.
특정 프로그램(또는 이름 패턴이 일치하는 프로그램)이 액세스를 요청할 때 리소스에 대한 액세스가 허용되는 접근자 목록 및 해당 액세스 유형을 정의합니다. PACL(프로그램 액세스 제어 목록)의 각 요소는 다음 정보를 포함합니다.
접근자를 정의합니다.
PROGRAM 클래스의 레코드에 대한 참조를 명시적으로 정의하거나 와일드카드 패턴 일치를 사용하여 정의합니다.
접근자가 리소스에 대해 갖는 액세스 권한을 정의합니다.
참고: PACL의 리소스를 지정하기 위해 와일드카드 문자를 사용할 수 있습니다.
PACL에 프로그램, 접근자 및 해당 액세스 유형을 추가하려면 selang 권한 부여 명령과 함께 via(pgm) 매개 변수를 사용하십시오. PACL에서 접근자를 제거하려면 authorize- 명령을 사용할 수 있습니다.
(UNIX 전용) 실행하기 전에 sesudo 명령이 원본 사용자 암호를 요청하는지 여부를 나타냅니다.
이 속성을 수정하려면 password 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
sepass 유틸리티로 사용자 암호를 변경할 때 새 암호를 수신하는 PMDB를 지정합니다. 이 속성에 대한 값을 입력하는 경우 암호는 parent_pmd 또는 passwd_pmd 구성 설정에 의해 정의된 정책 모델로 전송되지 않습니다.
참고: 이 속성은 ch[x]usr 및 ch[x]grp 명령의 pmdb[-] 매개 변수에 해당합니다.
사용자나 리소스의 보안 레이블을 정의합니다.
참고: SECLABEL 속성은 chres 및 ch[x]usr 명령의 label[-] 매개 변수에 해당합니다.
접근자 또는 리소스의 보안 수준을 정의합니다.
참고: 이 속성은 ch[x]usr 및 chres 명령의 level[-] 매개 변수에 해당합니다.
(UNIX 전용) 명령을 실행하기 위해 권한을 빌리는 사용자를 표시하는 대상 uid를 나타냅니다. 기본값은 root입니다.
이 속성을 수정하려면 targuid 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
리소스에 대한 기본 액세스 권한을 정의합니다. 이 액세스 권한은 CA ControlMinder에 정의되어 있지 않거나 리소스 ACL에 나타나지 않는 접근자에게 허용된 액세스를 나타냅니다.
이 속성을 수정하려면 defaccess 매개 변수를 chres, editres 또는 newres 명령과 함께 사용하십시오.
(정보) 레코드를 마지막으로 수정한 날짜와 시간을 표시합니다.
(정보) 업데이트를 수행한 관리자를 표시합니다.
경고 모드의 활성화 여부를 지정합니다. 리소스에 대해 경고 모드가 활성화되면 리소스에 대한 모든 액세스 요청이 허용됩니다. 액세스 요청이 액세스 규칙을 위반하는 경우 감사 로그에 레코드가 기록됩니다.
|
Copyright © 2013 CA.
All rights reserved.
|
|