在 AC 环境中有效
使用命令 chusr、chxusr、editusr、editxusr、newusr 和 newxusr 可更改用户属性,并可在 CA ControlMinder 数据库中定义用户记录(如有必要)。
这些命令均具有同义词,具体如下:
这意味着,例如,命令 cu 与命令 chusr 相同。
所有这些命令的结构相同,只是范围有所不同。 按如下所述使用这些命令:
注意:这些命令同样存在于本地环境中,但操作方式有所不同。
USER 和 XUSER 类记录的所有属性都相同,除了在企业用户存储中定义的属性,XUSER 记录不会重新定义它们。
执行这些命令时,您所做的更改将立即修改用户记录,即使用户当前已登录系统。
所需授权
要创建 CA ControlMinder 用户,至少必须满足下列条件之一:
要添加或修改用户,至少必须满足下列条件之一:
{{chusr|cu}|chxusr|cxu}|{editusr|eu}|{editxusr|eu}|{newusr|nu}| {newxusr|nxu}} \
{userName|(userName [,userName...])} \
[{admin | admin‑}] \
[audit({none | all | {[success][failure][loginsuccess]|[loginfail]|[trace]|[interactive]}})] \
[{auditor | auditor‑}] \
[{category(categoryName) | category‑(categoryName)}] \
[{comment(string) | comment‑}] \
[country(string)] \
[email(emailAddress)] \
[enable] \
epwasown(password) \
[{expire[(date)] | expire‑}] \
[fullname (fullName)]
[{gowner(groupName)] \
[{grace(nLogins) | grace‑}] \
[{ign_hol | ign_hol‑}] \
[{inactive(nDays) | inactive‑}] \
[{interval(nDays) | interval‑}] \
[{label(labelName) | label‑}] \
[{level(number) | level‑}] \
[location(string)] \
[{logical|logical-}] \
[{maxlogins(nLogins) | maxlogins‑}] \
[{min_life(nDays) | min_life‑}] \
[{notify(mailAddress) | notify‑}] \
[{operator | operator‑}] \
[organization(string)] \
[org_unit(string) \
[owner({userName | groupName})] \
[password(string)] \
[phone(string)] \
[{pmdb(pmdbName) | pmdb‑}] \
[{profile(groupName) | profile‑}] \
[pwasown(string)] \
[{pwmanager | pwmanager‑}] \
[regular] \
[{restrictions( \
[days({anyday|weekdays|[mon] [tue] [wed] [thu] [fri] [sat] [sun]})] \
[time({anytime|startTime:endTime})]
) |restrictions‑}] \
[{resume[(date)] | resume‑}] \
[{server | server‑}] \
[{suspend[(date)] | suspend‑}] \
[nt|nt( ] \
[admin|admin-] \
[comment('comment')|comment- ] \
[country('country-name')] \
[expire|expire(mm/dd/yy[@hh:mm])|expire-] \
[flags({account-flags)|-account-flags})] \
[homedir(any-string)] \
[homedrive(home-drive)] \
[location(any-string)] \
[logonserver(server-name)] \
[name(full_name)] \
[organization(name)] \
[org_unit(name)] \
[password(user's temporary password)] \
[pgroup(primary-group)] \
[phone(any-string)] \
[privileges(privilege-list)] \
[restrictions(days(day-data) time(hhmm:hhmm|anytime) )] \
[script(logon-script-path)] \
[workstations(workstations-list)] )] \
[unix({ [gecos(string)] \
[homedir(path)] \ [pgroup(groupName)] \ [shellprog(fileName)] \ [userid(number)]}]
为用户分配 ADMIN 属性。 具有 ADMIN 属性的用户可以发出带有除 audit 以外的所有参数的所有 selang 命令。 您必须具有 ADMIN 属性才能使用 admin 参数。
删除用户的 ADMIN 属性。 (CA ControlMinder 验证至少一个用户具有 ADMIN 属性。)
不能将此参数与 new[x]usr 命令一起使用。
指定将受 CA ControlMinder 保护的资源上的哪些用户活动记录到审核日志中。 要指定多个事件类型,请用空格或逗号分隔事件类型名称。 audit 属性如下所示:
为用户分配 AUDITOR 属性。 具有 AUDITOR 属性的用户可以审核系统资源的使用,并且能够控制是否记录在 CA ControlMinder 授权检查过程中检测到的对任何受 CA ControlMinder 保护资源的访问以及对数据库的访问。 有关授予具有 AUDITOR 属性的用户权限的详细信息,请参阅适用于您的操作系统的《端点管理指南》。
从用户记录中删除 AUDITOR 属性。
不能将此参数与 new[x]usr 命令一起使用。
指定身份验证方法。
只能由 SSO 使用。
不能将该参数用于企业用户。
为用户分配一个或多个安全类别。
从用户记录中删除一个或多个安全类别。
不能将此参数与 new[x]usr 命令一起使用。
为用户记录分配注释。
Specifies the comment. commentString 是字母数字字符串,最多为 255 个字符。 如果 commentString 包含空格,请用单引号将它引起。
从用户记录中删除注释。
不能将此参数与 new[x]usr 命令一起使用。
指定用户所在的国家/地区。 授权过程中不使用该国家/地区。
定义国家/地区。 该参数是最多为 19 个字符的字母数字字符串。 如果字符串中包含任何空格,请用单引号将整个字符串引起。
定义用户的电子邮件地址。
定义用户的电子邮件地址。
限制:最多为 128 个字符
启用因任何原因而禁用的用户登录。
不能将此参数与 new[x]usr 命令一起使用。
更改用户密码,就如同用户更改其自己的密码一样。 该密码更改不是管理更改,因此不会自动使该密码到期。
注意:该命令仅供内部使用。 该命令在纯文本中设置密码,指定为 /etc/shadow 或 passwd 文件的参数。
设置用户帐户的到期日期。 如果未指定日期或用户已登录,则当用户注销时帐户将立即到期。
如果用户记录具有该属性的值,该值将覆盖 GROUP 记录中的值。
注意:使用 expire‑ 参数可以启用到期的用户记录;不需要使用 resume 参数执行该操作。
定义日期,也可定义时间。 它具有以下格式:
mm/dd/[yy]yy[@HH:MM]
可以使用两位数或四位数指定年份。
对于 new[x]usr 命令,可定义没有到期日期的用户帐户。
对于 ch[x]usr 和 edit[x]usr 命令,可从用户帐户中删除到期日期。
指定用户帐号的特定属性。 有关有效标志值的列表,请参阅附录“Windows 值”。
要从用户记录中删除标志,请在 accountFlags 前面添加减号 (-)。
指定用户的全名。
定义全名。 这是一个字母数字字符串,最多为 255 个字符。 如果 fullName 包含空格,请用单引号将整个字符串引起。
为用户指定注释字符串。 用单引号将字符串引起。
将 CA ControlMinder 组指定为用户记录的所有者。 如果组所有者的安全级别和安全类别权限足够,则用户记录的组所有者对其拥有不受限制的访问权限。 用户记录的组所有者始终可以更新和删除用户记录。
定义用户可以执行的宽限登录次数。
达到宽限登录次数后,用户无法访问系统,用户必须与系统管理员联系以选择新密码。 如果将 grace 设置为零,则用户无法登录。
如果用户记录具有该参数的值,该值将覆盖 GROUP 记录中的值。
如果未指定该参数,并且用户所具有的配置文件组包含该参数的值,则使用 GROUP 记录中的值。 如果 USER 和 GROUP 记录都不包含值,则使用 CA ControlMinder 全局宽限登录设置。
定义宽限登录的次数。 输入 0 到 255 之间的整数。
注意:在宽限值达到 0 之前,该用户应更改密码。 如果已达宽限登录值,则请联系系统管理员选择新的密码。
删除用户的宽限登录设置。 改为使用 CA ControlMinder 全局宽限登录设置。
不能将此参数与 newusr 命令一起使用。
指定用户主目录的完整路径。 如果路径的结尾是斜线,CA ControlMinder 会将 userName 与路径连接。
指定用户主目录的驱动器。
为用户分配 IGN_HOL 属性。 具有 IGN_HOL 属性的用户可在假日记录中定义的任何时间段内登录。
删除用户的 IGN_HOL 属性。
指定在系统将用户更改为非活动状态之前必须经过的天数。 达到该天数时,用户无法登录。
注意:用户记录中不标记不活动用户。 要识别非活动用户,必须将“上次访问时间”值与“空闲日”值进行比较。
定义天数。 nDays 为零或正整数。 如果 nDays 为零,则效果与使用 inactive‑ 参数相同。
将用户的状态从不活动更改为活动。
不能将此参数与 newusr 命令一起使用。
定义在设置或更改密码之后而系统提示用户输入新密码之前必须经过的天数。 输入零或正整数。 如果 nDays 为零,CA ControlMinder 将禁用密码间隔检查且密码不会到期。 这意味着将不使用 setoptions 命令设置的默认值。 仅为安全要求较低的用户将 nDays 设置为零。
达到 nDays 后,CA ControlMinder 将通知用户密码已到期。 用户可继续使用该密码,直到达到宽限登录次数。 达到宽限登录次数后,将拒绝用户访问系统,用户必须与系统管理员联系以获得新密码。
取消用户的密码时间间隔设置。 如果该用户所具有的配置文件组具有该参数的值,则使用该值。 否则,将使用 setoptions 命令设置的默认值。
不能将此参数与 new[x]usr 命令一起使用。
为用户分配安全标签。
从用户记录中删除安全标签。
不能将此参数与 new[x]usr 命令一起使用。
为用户记录分配安全级别。
levelNumber 为 0 到 255 之间的整数。
从用户记录中删除安全级别。
不能将此参数与 newusr 命令一起使用。
由 eTrust SSO 使用。
指定用户的位置。 授权过程中不使用该位置。
定义位置。 locationString 是字母数字字符串,最多为 47 个字符。 如果 locationString 包含空格,请用单引号将它引起。
为用户分配 LOGICAL 属性。 具有 LOGICAL 属性的用户无法登录,且仅可用于内部 CA ControlMinder 使用。
例如,您可用作资源所有者的用户 nobody 甚至可以防止资源所有者访问资源,该用户在默认情况下是逻辑用户。 这意味着,没有用户可以使用该帐户登录。
删除用户的 LOGICAL 属性。
指定验证用户的登录信息的服务器。 当用户登录到域工作站时,CA ControlMinder 会将登录信息传输到服务器,该服务器将为该用户授予工作所需的工作站权限。
为用户设置并发登录的最大次数。 0(零)值表示用户可同时从任意数量的终端登录。 如果未指定该参数,将使用全局最大登录设置。
注意:如果将 maxlogins 设置为 1,则无法运行 selang。 必须关闭 CA ControlMinder,将 maxlogins 设置更改为大于 1(例如通过使用 setpropadm 实用程序),然后再次启动 CA ControlMinder。
删除用户的最大登录设置。 改为使用全局设置。
不能将此参数与 new[x]usr 命令一起使用。
在允许用户再次更改密码之前必须经过的最少天数。 请输入正整数。
删除用户的 min_life 设置。 如果该用户所具有的配置文件组具有该参数的值,则使用该值。 否则,将使用 setoptions 命令设置的默认值。
不能将此参数与 new[x]usr 命令一起使用。
指定不允许该用户更改其他用户的密码。
每次用户登录时,向 notifyAddress 发送电子邮件。 通知消息的接收者应该经常登录,以对每个消息中所描述的未经授权的访问尝试做出响应。
CA ControlMinder 发送通知消息时,都会在审核日志中写入一条审核记录。
定义用户名或电子邮件地址。
范围:30 个字符。
指定在用户登录时不通知任何人。
不能将此参数与 new[x]usr 命令一起使用。
对于 chusr 和 editusr 命令,该参数可更改本地 Windows 系统中的用户定义。
对于 newusr 命令,该参数会将用户添加到本地 Windows 系统中。
如果指定了多个参数,请使用空格将这些参数分隔开。
有关如何在 CA ControlMinder 中的本地 Windows 系统上操作的详细信息,请参阅环境命令。
nt 选项下的 nt 选项和子选项对企业用户无效。
为用户分配 OPERATOR 属性。 具有 OPERATOR 属性的用户可以列出数据库中的所有资源记录,并对 CA ControlMinder 定义的所有文件拥有读取权限。
具有该属性的用户还可以使用 secons 命令的所有选项。 有关 secons 实用程序的详细信息,请参阅《参考指南》。
将 OPERATOR 属性从用户记录中删除。
不能将此参数与 newusr 命令一起使用。
指定用户组织。 授权过程中不使用该组织。
定义组织。 organizationString 是字母数字字符串,最多为 255 个字符。 如果 organizationString 包含空格,请用单引号将其引起。
指定用户的组织部门。 授权过程中不使用该组织部门。
定义组织部门。 org_unitString 是字母数字字符串,最多为 255 个字符。 如果 organizationString 包含空格,请用单引号将其引起。
将 CA ControlMinder 用户或组指定为用户记录的所有者。 有关详细信息,请参阅适用于您的操作系统的《端点管理指南》。
为用户分配密码。 指定除空格或逗号之外的任何字符。 如果启用了密码检查,那么该密码只对于一次登录有效。 用户下次登录系统时,必须设置新密码。
要更改自己的密码,您需要使用 setoptions cng_ownpwd 或使用 sepass 设置 selang 选项。
设置用户的主组 ID。 groupName 是 UNIX 组的名称。
定义用户的电话号码。 授权过程中不使用该电话号码。
定义电话号码。 phoneString 是字母数字字符串,最多为 19 个字符。 如果 phoneString 包含空格,请用单引号将它引起。
指定在用户使用 sepass 实用程序更改密码时,将新密码传播给指定 PMDB。 输入 PMDB 的完全限定名称。 密码将发送到在 seos.ini 的 [seos] 部分的 parent_pmd 或 passwd_pmd 标记中定义的策略模型。
不能对企业用户使用此选项。
从用户记录中删除 PMDB 属性。
不能将此参数与 new[x]usr 命令一起使用。
向 Windows 用户记录添加特定权限,或者,如果 privList 前面带有减号 (-),则可删除指定权限。
不能将此参数与 newusr 命令一起使用。
将用户指定给配置文件组。 可从配置文件组获得下列值:
从配置文件组中删除用户。
不能将此参数与 new[x]usr 命令一起使用。
为用户分配 PWMANAGER 属性。 具有该属性的用户可以更改数据库中用户的密码。 有关详细信息,请参阅适用于您的操作系统的《端点管理指南》。
从用户记录中删除 PWMANAGER 属性。
不能将此参数与 new[x]usr 命令一起使用。
像用户更改密码一样替换密码。 指定该参数可更新上一次在数据库中进行更改的时间和日期。 宽限登录将终止。
重置记录的 OBJ_TYPE 属性,以删除用户的权限属性。
指定用户可以在一周的哪几天以及一天的什么时间登录。 这些限制存储在 [X]USER 记录的 DAYTIME 属性中。
如果省略 Days 而指定 Time,则时间限制将应用于记录中已经定义的任何“工作日”限制。
如果忽略 Time 而指定 Days,则 Days 限制将应用于已在记录中定义的任何时间限制。
如果同时指定了 Days 和 Time,则用户只能在指定日期的指定时间段内访问系统。
指定用户可以登录的日期。 指定 Days 时可以使用以下关键字:
指定用户可以登录的时间段。 time 参数可使用下列子参数:
startTime 和 endTime 的格式均为 hhmm,其中 hh 是小时(00 至 23),而 mm 是分钟(00 至 59)。 请注意,2400 是无效的时间值;请改为使用 0000。
StartTime 必须小于 endTime。
注意:CA ControlMinder 使用处理器所在位置的时区。 如果用户在处于与处理器不同时区的终端上登录,您必须将此因素考虑在内。
删除限制用户登录能力的任何限制。
启用通过指定挂起参数禁用的用户记录。 如果同时指定 suspend 参数和 resume 参数,恢复日期必须在挂起日期之后。 如果忽略 dateTime,则执行 chusr 命令时,将立即恢复用户记录。 有关详细信息,请参阅适用于您的操作系统的《端点管理指南》。
以 [m]m/[d]d/yy[@HH:MM] 格式输入 dateTime。
从用户记录中清除恢复日期和时间(如果已使用)。 因此,用户的状态将从活动(启用)更改为挂起。
不能将此参数与 new[x]usr 命令一起使用。
指定用户登录时自动运行的文件的位置。 该参数是可选的。 通常,该登录脚本可配置工作环境。 还可以使用 profile 参数设置用户的工作环境。
将 SERVER 属性设置为“on”。 该属性允许代表当前用户运行的进程要求其他用户的授权。 有关详细信息,请参阅适用于您的操作系统的《端点管理指南》。
将 SERVER 属性设置为“off”。
不能将此参数与 new[x]usr 命令一起使用。
指定在用户调用 login 或 su 命令后执行的初始程序或 shell 的完整路径。 fileName 是字符字符串。
不能对企业用户使用此选项。
禁用用户记录,但将其保留在数据库进行定义。 用户不能使用禁用的用户帐户登录系统。
如果指定 dateTime,将在指定日期禁用用户记录。 如果忽略 dateTime,则执行 ch[x]usr 命令时,将立即禁用用户记录。
以 mm/dd/yy[@HH:MM] 格式输入 dateTime。
从用户记录中清除挂起日期,并将用户的状态从禁用更改为启用(活动)。
不能将此参数与 new[x]usr 命令一起使用。
对于 chusr 和 editusr 命令,该参数可更改本地 UNIX 系统中的用户定义。
对于 newusr 命令,该参数会将用户添加到本地 UNIX 系统中。
如果指定了多个参数,请使用空格将这些参数分隔开。
有关如何在 CA ControlMinder 中的本地 UNIX 系统上操作的详细信息,请参阅本章中的环境命令。
unix 选项下的 unix 选项和子选项对企业用户无效。
设置用户的唯一数字 ID (UID),用于唯一的自由访问控制。 数字是小数数字。 默认情况下,不接受小于 100 的数字。 有关不包括的数字的详细信息,请参阅附录《参考指南》中的“AllowedGidRange 标记”。
定义用户的名称。 每个用户名必须唯一。
使用 newusr 命令时,userName 向 CA ControlMinder 标识新用户。 如果要使用 newusr 命令且用户已定义到本地环境,则 CA ControlMinder 会将该用户名用作与该用户对应的 USER 记录。 但是,通常应利用 CA ControlMinder 使用企业用户的能力,而不使用 newusr 为已存在于本地环境中的用户名创建 USER 记录。 改为使用 chgxusr 命令更改该用户的 CA ControlMinder 属性。
有时,可能会需要不是本地登录名的 CA ControlMinder 用户名。 (这种情况下,登录命令无法让该用户工作,但是另一个命令 [如 sesu] 则可以。)
注意:在 UNIX 中,如果用户名中包含反斜线,则在指定 userName 时,请使用两个反斜线。
示例
chuxsr Jim category(FINANCIAL) level(155) restrictions \ (days(weekdays)time(0800:2000))
chxusr Joel suspend(8/5/95) resume(8/26/95)
chxusr Bill auditor audit(all)
chxusr Mary comment ('Administrator of the SALES group')
chxusr Jared country() location()
newusr (Peter Joe)
newusr Jane owner(payroll) name('J.G. Harris')
newusr JohnD name('John Doe') category(NewEmployee) level(3) \
restrictions(days(weekdays) time(0800:1800))
|
版权所有 © 2013 CA。
保留所有权利。
|
|