上一主题: UACC 类下一主题: USER_ATTR 类

selang 参考指南类和属性AC 环境中的类USER 类

USER 类

USER 类中的每个记录在 CA ControlMinder 数据库中定义用户。

USER 记录的键是用户的名称 - 登录到系统时,用户输入的名称。

您可以从 CA ControlMinder 端点管理 或通过使用 selang 命令 chusr 来更改多数的 USER 属性。 使用 chusr 无法更改的属性标记为信息

注意:在大多数情况下,除非另有说明,使用 chusr 更改属性,否则您使用属性名作为命令参数。

可以从 CA ControlMinder 端点管理 或通过使用 selang 命令 showxusr 查看所有属性。

APPLIST

由 eTrust SSO 使用。

APPLIST_TIME

由 eTrust SSO 使用。

APPLS

(信息性)显示授权访问者访问的应用程序列表。 由 eTrust SSO 使用。

AUDIT_MODE

定义 CA ControlMinder 在审核日志中记录的活动。 可以指定下列活动的任何组合:

注意:该属性与 ch[x]usr 和 ch[x]grp 命令的审核参数相对应。

AUTHNMTHD

(信息性)显示用于组记录的身份验证方法,从方法 1 到方法 32,或无。 由 eTrust SSO 使用。

BADPASSWD

由 eTrust SSO 使用。

CALENDAR

表示 CA ControlMinder 中的用户、组和资源限制的 Unicenter TNG 日历对象。 CA ControlMinder 按指定的时间间隔引出 Unicenter TNG 活动日历。

CATEGORY

定义分配给用户或资源的一个或多个安全类别

COMMENT

定义希望包含在记录中的其他信息。 CA ControlMinder 不使用此信息进行授权。

范围:255 个字符。

COUNTRY

指定用户所在国家/地区描述符的字符串。 该字符串是 X.500 命名方案的一部分。 CA ControlMinder 不使用该信息进行授权。

CREATE_TIME

(信息性)显示创建记录的日期和时间。

DAYTIME

定义管理访问者何时可以访问资源的日期和时间限制。

在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数可以修改该属性。

日期时间限制的解决方案为一分钟。

EMAIL

定义用户的电子邮件地址,最多为 128 个字符。

EXPIRE_DATE

定义访问者变为无效的日期。 用户记录中的 EXPIRE_DATE 属性值会覆盖组记录中的值。

注意:该属性与 ch[x]usr 和 ch[x]grp 命令的 expire[-] 参数相对应。

FULLNAME

定义与访问者相关联的全名。 CA ControlMinder 使用全名标识审核日志消息中的访问者,但不用于授权。

注意:FULLNAME 是字母数字字符串。 组和用户的最大长度是 255 个字符。

GAPPLS

(信息性)指出用户有权访问的应用程序组的列表。 由 eTrust SSO 使用。

GRACELOGIN

定义用户在密码到期后的宽限登录次数。 当超过宽限登录次数时,用户就会被拒绝访问系统并且必须向系统管理员申请新密码。

宽限登录次数必须介于 0 和 255 之间。 如果该值为0,用户就不能登录。

USER 记录中的 GRACELOGIN 属性值会覆盖 GROUP 记录中 NGRACE 的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。

注意:该属性与 ch[x]usr 命令的 grace 参数相对应。

GROUPS

(信息性)显示用户所属的用户组列表。 该属性中还包含任何组权限,如组管理权限 (GROUP‑ADMIN),分配给用户所属的每个组的用户。

该属性中包含的组列表可能与本机环境 GROUPS 属性中的组列表不同。

注意:该属性不能通过 ch[x]usr 命令修改。 而使用 join[-] 或 joinx[-] 命令可以修改该属性。

HOMEDIR

(仅 UNIX)定义用户的主目录。 由 eTrust SSO 使用。

INACTIVE

定义不活动天数,在该天数后系统会将用户的状态更改为不活动。 如果帐户状态为不活动,则用户无法登录。

USER 记录中的 INACTIVE 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 INACT 属性。

注意:CA ControlMinder 不存储状态,而是动态地计算状态。 要标识不活动用户,必须将 INACTIVE 值与用户的 LAST_ACC_TIME 值进行比较。

LAST_ACC_TERM

显示执行上次登录的终端。

LAST_ACC_TIME

显示上次登录的日期和时间。

LOCALAPPS

由 eTrust SSO 使用。

LOCATION

定义用户位置。 CA ControlMinder 不使用此信息进行授权。

LOGININFO

定义用户登录到特定应用程序和审核数据所需的信息。 对于用户得到授权可以访问的每个应用程序,LOGININFO 中都包含了一个单独的列表。 由 eTrust SSO 使用。

LOGSHIFT

指出是否允许在班次时间外登录。 CA ControlMinder 会为该事件在审核日志中写入一条审核记录。

MAXLOGINS

定义允许用户进行的并发登录的最大数目。 值为零表示用户可以进行任意数量的并发登录。

用户记录中的 MAXLOGINS 属性值会覆盖组记录中的值。 这二者都会覆盖 SEOS 类记录中的 MAXLOGINS 值。

MIN_TIME

定义用户两次更改密码之间允许的最短时间。

USER 记录中的 MIN_TIME 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。

注意:该属性与 ch[x]usr 命令的 min_life 参数相对应。

NOTIFY

定义资源或用户生成审核事件时要通知到的用户。 CA ControlMinder 可将审核记录通过电子邮件发送给特定用户

范围:30 个字符。

OBJ_TYPE

指定用户权限属性。 这些属性中的每个属性均与 ch[x]usr 命令中的同名参数相对应。 用户可以具有以下一个或多个权限属性:

ADMIN

指定用户是否可以执行管理功能,与 UNIX 环境中的 root 用户类似。

AUDITOR

指定用户是否可以监控系统、列出数据库中的信息以及为现有记录设置审核模式。

IGN_HOL

指定用户是否可以在 HOLIDAY 记录定义的任何时间段内登录。

LOGICAL

指定该用户仅供 CA ControlMinder 内部使用,而不能用于真实用户登录。

例如,您可用作资源所有者的用户 nobody 甚至可以防止资源所有者访问资源,该用户在默认情况下是逻辑用户。 这意味着,没有用户可以使用该帐户登录。

OPERATOR

指定用户是否可以列出数据库中的所有内容及是否可以使用 secons 实用程序。

PWMANAGER

指定用户是否可以修改其他用户的密码设置及是否可以启用已经被 serevu 实用程序禁用的用户帐户。

SERVER

指定进程是否可以请求用户进行授权及是否可以发出 SEOSROUTE_VerifyCreate API 调用。

OIDCRDDATA

由 eTrust SSO 使用。

OLD_PASSWD

包含用户的以前密码的加密列表。 用户不能从该列表中选择新密码。 OLD_PASSWD 中保存的密码最大数目由 setoptions 命令决定。

ORG_UNIT

用于存储有关用户工作所在组织机构的信息的字符串。 该字符串是 X.500 命名方案的一部分。 CA ControlMinder 不使用该信息进行授权。

ORGANIZATION

定义用户工作的组织。 该字符串是 X.500 命名方案的一部分。 CA ControlMinder 不使用该信息进行授权。

OWNER

定义拥有记录的用户或组。

PASSWD_A_C_W

指出上次更改该记录的用户密码的 ADMIN 用户。

PASSWD_INT

定义用户两次更改密码之间允许的最长时间。

USER 记录中的 PASSWD_INT 属性值会覆盖 GROUP 记录中的值。 这二者都会覆盖 SEOS 类记录中的 PASSWDRULES 属性。

注意:该属性与 ch[x]usr 命令的 interval 参数相对应。

PASSWD_L_A_C

显示管理员上次更新密码的日期和时间。

PASSWD_L_C

显示用户上次更新密码的日期和时间。

PGMINFO

定义由 CA ControlMinder 自动生成的程序信息。

监视程序会自动验证该属性中存储的信息。 如果它已被更改,则 CA ControlMinder 会将程序定义为未受托。

可以选择下列任一标志,以便从该验证过程中排除关联信息:

crc

循环冗余检查和 MD5 签名。

ctime

(仅适用于 UNIX)上次更改文件状态的时间。

device

UNIX 中文件所在的逻辑磁盘。 Windows 中包含文件的磁盘的驱动器号。

group

拥有程序文件的组。

inode

UNIX 中程序文件的文件系统地址。 在 Windows 中,这没有任何意义

事务模式

程序文件的相关安全保护模式。

mtime

上次修改程序文件的时间。

owner

拥有程序文件的用户。

sha1

SHA1 签名。 称为安全散列算法的数字签名方法,可应用于程序或敏感文件。

大小

程序文件的大小。

在 chres、editres 或 newres 命令中使用 flags、flags+ 或 flags- 参数,可以修改该属性的标志。

PHONE

定义用户的电话号码。 不使用该信息进行授权。

POLICYMODEL

指定当您使用 sepass 实用程序更改用户密码时接收新密码的 PMDB。 如果为该属性输入了值,则密码就发送到由 parent_pmd 或 passwd_pmd 配置设置定义的策略模型。

注意:该属性与 ch[x]usr 和 ch[x]grp 命令的 pmdb[-] 参数相对应。

PROFILE

定义用户的配置文件的路径。 该字符串可以包括本地绝对路径或 UNC 路径。

PUPM_FLAGS

指定终端集成属性。 当您将 CA ControlMinder 端点上的特权帐户与 SAM 相集成时,可使用终端集成。 特权帐户可以有以下一个或两个终端集成属性:

use_original_identity

指定当 CA ControlMinder 作出授权决策时,使用签出帐户的用户的名称,而不是特权帐户的名称。 该会话的审核记录列出了真实用户名称字段中的最初用户和有效用户名称字段中的特权帐户。

required_checkout

指定必须在 SAM 中签出帐户,用户才能使用它登录到端点。

PWD_AUTOGEN

显示用户密码是否是自动生成。 由 eTrust SSO 使用。

默认为“no”。

PWD_SYNC

显示所有用户应用程序的用户密码是否都自动保持一致。 由 eTrust SSO 使用。

默认为“no”。

RESUME_DATE

定义挂起的 USER 帐户变为取消挂起的日期。

RESUME_DATE 与 SUSPEND_DATE 配合工作。

注意:该属性与 ch[x]usr 和 ch[x]grp 命令的 resume[-] 参数相对应。

REVACL

显示访问者的访问控制列表。

REVOKE_COUNT

由 eTrust SSO 使用。

SCRIPT_VARS

由 eTrust SSO 使用,定义具有每个应用程序所保存的应用程序脚本的变量值的变量列表。

SECLABEL

定义用户或资源的安全级别

注意:SECLABEL 属性对应 chres 和 ch[x]usr 命令的 label[-] 参数。

SECLEVEL

定义访问者或资源的安全级别

注意:该属性对应 ch[x]usr 和 chres 命令的 level[-] 参数。

SESSION_GROUP

为用户定义 SSO 会话组。 SESSION_GROUP 属性是具有最多 16 个字符长度的字符串。

在 Windows 中,管理员可以在首选名称不在下拉列表中的情况下输入会话组的新名称。

由 eTrust SSO 使用。

SHIFT

由 eTrust SSO 使用。

SUSPEND_DATE

定义用户帐户因挂起而变为无效的日期。

如果记录的挂起日期在其恢复日期之前,用户就可以在挂起日期前和恢复日期后工作。

时间线显示了恢复日期在挂起日期之后时会出现什么情况

如果用户的恢复日期早于挂起日期,则记录也会在该恢复日期之前无效。 用户仅可以在恢复日期和挂起日期之间进行工作。

时间线显示了恢复日期在挂起日期之前时会出现什么情况

用户记录中的 SUSPEND_DATE 属性值会覆盖组记录中的值。

注意:该属性与 ch[x]usr 和 ch[x]grp 命令的 suspend[-] 参数相对应。

SUSPEND_WHO

显示激活挂起日期的管理员。

注意:此属性相当于 ch[x]usr 命令的 suspend[-] 参数。

UALIAS

显示一个或多个身份验证主机的用户定义的特定别名。 由 eTrust SSO 使用。

UPDATE_TIME

(信息性)显示上次修改记录的日期和时间。

UPDATE_WHO

(通知)显示执行更新的管理员。