selang 参考指南 › 类和属性 › AC 环境中的类 › HNODE 类

HNODE 类

HNODE 类包含有关组织的 CA ControlMinder 主机的信息。 该类中的每个记录表示企业中的一个节点。

此类用于管理从各种 PMDB 和端点上载并存储在 DMS 上的信息。

HNODE 类记录的关键在于端点的实际主机名（例如 myHost.ca.com）或策略模型节点的 PMDB 名称（例如 myPMD@myHost.ca.com）。

以下定义说明此类记录中所包含的属性。 大部分属性均可修改，还可使用 selang 或管理界面控制这些属性。 不可修改的属性将标记为信息。

ACL

定义可以访问资源的访问者（用户和组）及其访问类型的列表。

Access Control列表 (ACL) 中的每个元素均包含下列信息：

访问者

定义访问者。

访问

定义访问者对资源的访问权限。

在 authorize 或 authorize- 命令中使用 access 参数修改 ACL。

ATTRIBUTES

定义 DMS 用来评估主机是否自动被添加到主机组的自定义条件。

注意：DMS 还会检查以下 HNODE 属性，以便评估主机是否应自动被添加到主机组中：COMMENT、HNODE_INFO、HNODE_IP、HNODE_VERSION、NODE_TYPE

CALACL

根据 Unicenter NSM 日历状态定义可以访问资源的访问者（用户和组）及其访问类型的列表。

日历 Access Control 列表 (CALACL) 中的每个元素均包含下列信息：

访问者

定义访问者。

日历

定义对 Unicenter TNG 中的日历的引用。

访问

定义访问者对资源的访问权限。

只有日历为 ON 时才允许访问， 其他所有情况下都拒绝访问。

可以在 authorize 命令中使用 calendar 参数根据在日历 ACL 中定义的访问权限来允许用户或组访问资源。

CALENDAR

表示 CA ControlMinder 中的用户、组和资源限制的 Unicenter TNG 日历对象。 CA ControlMinder 按指定的时间间隔引出 Unicenter TNG 活动日历。

CATEGORY

定义分配给用户或资源的一个或多个安全类别 安全类别是 CATEGORY 类中记录的名称。 可以向访问者和资源分配安全类别。 只有当将访问者分配给向资源分配的所有安全类别时，访问者才能访问该资源。。

COMMENT

定义希望包含在记录中的其他信息。 CA ControlMinder 不使用此信息进行授权。

范围：255 个字符。

COMPLIANT

显示 HNODE 的自动计算的遵从性状态。 值为：

• yes - CA ControlMinder 已安装，并且已成功部署所有的有效策略。
• no - CA ControlMinder 已安装，但没有部署任何有效策略。
• Deviation - CA ControlMinder 已安装，但没有成功部署所有的有效策略。
• Unknown - CA ControlMinder 未安装，并且没有要部署的有效策略。

注意：UNAB 策略（登录和配置策略）没有分配给遵从性状态值。

COMPLIANT_UPDATE_TIME

（信息性）显示上次修改记录的日期和时间。

CREATE_TIME

（信息性）显示创建记录的日期和时间。

DAYTIME

定义管理访问者何时可以访问资源的日期和时间限制。

在 chres、ch[x]usr 或 ch[x]grp 命令中使用 restrictions 参数可以修改该属性。

日期时间限制的解决方案为一分钟。

EFFECTIVE_POLICIES

定义应在此对象上部署的策略版本列表。

显示名称：有效策略

GHNODES

定义此对象所属的主机组列表。

显示名称：节点组

GROUPS

资源记录所属的 CONTAINER 记录的列表。

要修改类记录中的该属性，必须在相应的 CONTAINER 记录中更改 MEMBERS 属性。

在 chres、editres 或 newres 命令中使用 mem+ 或 mem‑ 参数可以修改该属性。

HNODE_IP

主机的 IP 地址。

显示名称：IP

HNODE_KEEP_ALIVE

定义 HNODE 上次将心跳发送到分布式主机的时间。

显示名称：上次心跳

HNODE_EVENTS

显示字符串列表，这些字符串表示在端点上发生的运行状况恢复事件。 例如，由于违反关键内存阈值导致代理重新启动或跳过降低端点性能的程序为运行状况恢复事件。

HNODE_INSTALL_STATUS

显示端点的安装状态。 可以在 CA ControlMinder 企业管理 中的全局查看下按状态搜索端点。

值：成功、失败、挂起重新启动、正在升级。

显示名称：安装状态。

HNODE_BYPASS_EXIST

显示端点是否处于跳过模式（用作一种预防措施）。 在跳过模式下，CA ControlMinder 策略处理会暂时减少。 如果此值为 No，则端点是完全可以操作的。

值：Yes 或 No

显示名称：跳过存在。

LOGIN

定义主机的默认访问权限类型。

显示名称：LOGIN

NACL

资源的 NACL 属性是一个 Access Control 列表，可定义被拒绝访问资源的访问者及拒绝的访问类型（例如：写入）。 另请参阅 ACL、CALACL、PACL。 NACL 中的每个条目均包含下列信息：

访问者

定义访问者。

访问

定义拒绝授权访问者的访问类型。

使用 authorize deniedaccess 命令或 authorize- deniedaccess- 命令修改该属性。

NODE_INFO

（信息性）指定节点 OS 的详细信息。

NODE_TYPE

（信息性）定义主机上的 CA ControlMinder 安装类型。 有效值为：

• ACU－适用于 UNIX 的 CA ControlMinder
• ACW－适用于 Windows 的 CA ControlMinder
• UNAB－UNIX 身份验证代理 (UNAB)

注意：HNODE 记录可以同时有 NODE_TYPE 属性的 ACU 和 UNAB 的值。

NODE_VERSION

（信息性）定义安装在主机上的 CA ControlMinder 版本。 版本号的前面带有 NODE_TYPE。

示例：ACU:12.50-00.647

NOTIFY

定义资源或用户生成审核事件时要通知到的用户。 CA ControlMinder 可将审核记录通过电子邮件发送给特定用户。

范围：30 个字符。

OWNER

定义拥有记录的用户或组。

PACL

定义由特定程序（或符合某种名称模式的程序）发出访问请求时被允许访问资源的访问者的列表及其访问类型。 程序 Access Control 列表 (PACL) 中的每个元素均包含下列信息：

访问者

定义访问者。

程序

定义对 PROGRAM 类中的记录的引用，方式为专门指定，或者按照通配符模式匹配。

访问

定义访问者对资源的访问权限。

注意：可以使用通配符 CA ControlMinder 可识别某些名称的通配符字符。 在这种情况下，CA ControlMinder 可识别的通配符为 * 和 ?。 * 字符代表任意数量的任意字符，包括无字符；? 字符代表一个任意字符实例。指定 PACL 中的资源。

在 selang authorize 命令中使用 via(pgm) 参数可向 PACL 中添加程序、访问者及其访问类型；可以使用 authorize- 命令从 PACL 中删除访问者。

PARENTS

（信息性）。 PMDB 列表，是传播树中节点的父项（也由 parent_pmd 配置设置定义）。

POLICYASSIGN

定义分配给此对象的策略列表。

显示名称：分配的策略

POLICY

在 POLICIES 属性中列出的每个策略的状态。 该属性的值是带有以下字段的结构：

nNAME

POLICY 对象的对象 ID。 与 POLICIES 属性的值一样。

STATUS

表示以下各项之一的整数：

• 已部署－策略已在端点成功部署。
• 部署失败－已使用一个或多个规则从部署脚本部署策略，但无法在端点上执行。
• 取消部署－策略已从端点成功取消部署。

  注意：如果取消部署策略，主机未出现任何状态（即，状态为空）。

• 部署失败－已使用一个或多个规则从取消部署脚本取消部署策略，但无法在端点上执行。
• 失败部署－由于部署脚本中的错误导致策略无法部署。

  注意：只有在启用策略验证时，此状态才可出现。 否则，即使策略包含错误（部署失败状态），policyfetcher 也会部署策略。

• 未知－策略状态未知。
• 部署挂起－正在等待部署先决条件策略，或者该策略包含未定义或未解析的变量。
• 取消部署挂起－等待要取消部署的依存策略。
• 不同步－策略包含一个变量，该变量值已经在端点上更改。
• 未执行－策略验证在策略中找到一个或多个错误。
• 已排队－过时（仅针对向后兼容。）
• 已传输－过时（仅针对向后兼容。）
• 传输失败－过时（仅针对向后兼容。）
• 签名失败－过时（仅针对向后兼容。）

偏差

表示此节点上是否存在策略偏差的值。 有效值为：

• Yes
• No
• 未设置

dev_time

上次偏差状态更新时间。

ptime

上次策略状态更新时间。

updator

部署或删除策略的用户的名称。

RAUDIT

定义在审核日志中 CA ControlMinder 记录的访问事件的类型。 RAUDIT 可从 Resource AUDIT 中派生出它的名称。 有效值包括：

所有

所有访问请求。

成功

已授权的访问请求。

failure

拒绝的访问请求（默认）。

无

无访问请求。

CA ControlMinder 可记录有关对资源的每个尝试访问事件，不记录是否将访问规则直接应用到资源，或应用到将资源作为成员的组或类。

使用 chres 和 chfile 命令的审核参数来修改审核模式。

SECLABEL

定义用户或资源的安全级别 安全标签是 SECLABEL 类中记录的名称。 安全标签将安全级别和一组安全类别捆绑在一起。 将安全标签分配给访问者或资源，会授予该访问者或资源与该安全标签相关联的组合的安全级别和安全类别。 安全标签会覆盖访问者或资源中任何特定的安全级别和类别分配。。

注意：SECLABEL 属性对应 chres 和 ch[x]usr 命令的 label[-] 参数。

SECLEVEL

定义访问者或资源的安全级别 安全级别是可以分配给访问者和资源的 0 到 255 之间的整数。 如果访问者的安全级别小于分配给资源的安全级别，即使在资源的 Access Control 列表中向用户授予了访问权限，访问者也不能访问资源。。

注意：该属性对应 ch[x]usr 和 chres 命令的 level[-] 参数。

SUBSCRIBER_STATUS

每个父项的节点状态。 该属性的值是带有以下字段的结构：

oidSubs

HNODE 对象的对象 ID。 与 SUBSCRIBERS 属性的值一样。

status

表示以下其中一种状态的值：

• 可用
• 不可用
• 同步（同步）
• 未知

stime

上次状态更新时间。

SUBSCRIBERS

传播树中节点的订户列表。 更新此属性，使用 HNODE 对象名称的值隐式更新 PARENTS 属性。

UACC

定义对资源的默认访问权限，它指明向未定义到 CA ControlMinder 或未出现在资源 ACL 中的访问者授予的访问权限。

在 chres、editres 或 newres 命令中使用 defaccess 参数可以修改该属性。

UNAB_ID

（信息性）显示 UNAB 主机 ID 以便进行报告。

UPDATE_TIME

（信息性）显示上次修改记录的日期和时间。

UPDATE_WHO

（通知）显示执行更新的管理员。

WARNING

指明是否启用警告模式。 在资源上启用警告模式后，允许对该资源的所有访问请求；如果某个访问请求违反某条访问规则，将在审核日志中写入一条记录。