sesu 유틸리티를 사용하기 전에 데이터베이스에 몇 가지 공통적인 사용자 전환 규칙을 설정해야 합니다. 이러한 규칙은 알 수 없는 사용자가 권한 있는 사용자 계정으로 전환하지 못하도록 방지하지만 특정 사용자 및 프로세스가 필요한 사용자 전환 작업을 수행할 수 있도록 허용합니다.
기본 사용자 전환 규칙을 설정하려면
이렇게 하면 명시적으로 권한 부여되지 않는 한 모든 사용자가 root를 대체하지 못합니다. 모든 관리자는 root를 대체하도록 명시적으로 권한 부여됩니다.
참고: 개별 관리자를 개별적으로 권한 부여하거나 관리자 그룹을 사용하여 모든 관리자를 권한 부여할 수 있습니다.
이렇게 하면 명시적으로 권한 부여되지 않는 한 모든 사용자가 root 그룹을 대체하지 못합니다. 모든 관리자는 root 그룹을 대체하도록 명시적으로 권한 부여됩니다.
참고: 대부분의 UNIX 시스템에서 root 그룹은 other 또는 sys입니다.
이렇게 하면 명시적으로 권한 부여되지 않는 한 모든 사용자가 그룹을 대체하지 못하고 명시적으로 거부되지 않는 한 사용자를 대체하도록 root 및 root 그룹에 권한 부여됩니다.
참고: dtlogin과 같은 프로그램이 세션 소유권을 root(uid=0, 기본 X Window 소유자)에서 다른 사용자로 전환하도록 허용하려면 명시적으로 root에 권한을 부여해야 합니다. 이렇게 하지 않으면 CA ControlMinder이 명시적으로 허용되지 않은 모든 사용자 전환 작업을 차단하므로 로그인 시도가 실패합니다.
이렇게 하면 명시적으로 권한 부여되지 않는 한 모든 사용자가 그룹을 대체하지 못하고 명시적으로 거부되지 않는 한 그룹을 대체하도록 root 및 root 그룹에 권한 부여됩니다.
예: selang으로 기본 사용자 대체 규칙 설정
다음 selang 명령을 사용하여 사용자 환경에서 기존 사용자 대체 규칙을 설정합니다.
nr surrogate USER.root defacc(n) own(nobody) auth surrogate USER.root gid(sys_admin_GID) acc(a) nr surrogate GROUP.other defacc(n) own(nobody) auth surrogate GROUP.other gid(sys_admin_GID) acc(a) cr surrogate USER._default defacc(n) own(nobody) cr surrogate GROUP._default defacc(n) own(nobody) auth surrogate USER._default uid(root) acc(a) auth surrogate GROUP._default uid(root) acc(a) auth surrogate USER._default gid(sys_admin_GID) acc(a) auth surrogate GROUP._default gid(sys_admin_GID) acc(a)
|
Copyright © 2013 CA.
All rights reserved.
|
|