selang リファレンス ガイド › クラスとプロパティ › AC 環境のクラス › USER クラス

USER クラス

USER クラスの各レコードは、CA ControlMinder データベース内でユーザを定義します。

USER クラスのレコードのキーは、ユーザがシステムへのログイン時に入力したユーザ名です。

USER プロパティのほとんどは、CA ControlMinder エンドポイント管理 か selang の chusr コマンドを使用して変更できます。 chusr で変更できないプロパティには「情報のみ」と記載されます。

注： ほとんどの場合、および特に記載がなければ、chusr を使用してプロパティを変更するには、コマンド パラメータとしてプロパティ名を使用します。

CA ControlMinder エンドポイント管理 または selang の showusr コマンドを使用すると、すべてのプロパティを表示できます。

APPLIST

eTrust SSO で使用されます。

APPLIST_TIME

eTrust SSO で使用されます。

APPLS

（情報）アクセサがアクセスを許可されるアプリケーションのリストを表示します。 eTrust SSO で使用されます。

AUDIT_MODE

CA ControlMinder が監査ログに記録するアクティビティを定義します。 以下のアクティビティの任意の組み合わせを指定できます。

• ログへの記録を行わない
• トレース ファイルに記録されたすべてのアクティビティ
• 失敗したログインの試み
• 成功したログイン
• CA ControlMinder によって保護されているリソースに対する失敗したアクセスの試み
• CA ControlMinder によって保護されているリソースに対する成功したアクセス
• 対話式ログイン

注： このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの audit パラメータに相当します。

AUTHNMTHD

（情報のみ）グループ レコードに対して使用する 1 つ以上の認証方法（method 1 ～ method 32、または none）を表示します。 eTrust SSO で使用されます。

BADPASSWD

eTrust SSO で使用されます。

CALENDAR

CA ControlMinder のユーザ、グループ、およびリソース制限事項の Unicenter TNG カレンダ オブジェクトを表します。 CA ControlMinder により、指定された時間間隔で Unicenter TNG のアクティブなカレンダが取得されます。

カテゴリ

ユーザまたはリソースに割り当てる 1 つ以上のセキュリティ カテゴリ セキュリティ カテゴリは、CATEGORY クラスにあるレコードの名前です。 セキュリティ カテゴリは、アクセサとリソースに割り当てることができます。 リソースに割り当てられているすべてのセキュリティ カテゴリにアクセサが割り当てられている場合のみ、そのアクセサはリソースにアクセスできます。を定義します。

COMMENT

レコードに含める追加情報を定義します。 この情報が権限付与に使用されることはありません。

制限： 255 文字。

COUNTRY

ユーザの国記述子を指定する文字列です。 この文字列は、X.500 ネーミング スキーマの一部です。 この情報が権限付与に使用されることはありません。

CREATE_TIME

（情報のみ）レコードが作成された日時が表示されます。

DAYTIME

アクセサがリソースにアクセスできる日時を規定する、曜日と時間帯の制限を定義します。

このプロパティを変更するには、chres コマンド、ch[x]usr コマンド、または ch[x]grp コマンドで restrictions パラメータを使用します。

日時の制約の単位は 1 分です。

EMAIL

最大 128 文字のユーザの電子メール アドレスを指定します。

EXPIRE_DATE

アクセサが無効になる日付を指定します。 ユーザ レコードの EXPIRE_DATE プロパティの値は、グループ レコードの値より優先されます。

注： このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの expire[-] パラメータに相当します。

FULLNAME

アクセサに関連付けられるフル ネームを定義します。 フル ネームは、監査ログ メッセージでアクセサを識別するために使用されますが、権限付与に使用されることはありません。

注： FULLNAME は英数字の文字列です。 グループとユーザの最大長は 255 文字です。

GAPPLS

（情報）ユーザがアクセスを許可されているアプリケーション グループのリストを示します。 eTrust SSO で使用されます。

GRACELOGIN

パスワードの有効期限が切れた後の猶予ログイン回数を指定します。 指定された猶予ログイン回数を超えるとユーザはシステムへのアクセスを拒否されるため、システム管理者に連絡して新しいパスワードを取得する必要があります。

猶予ログイン回数には、0 ～ 255 の値を指定する必要があります。 この値が 0 の場合、ユーザはログインできません。

USER クラスのレコードの GRACELOGIN プロパティの値は、GROUP クラスのレコードの NGRACE の値より優先されます。 このどちらのプロパティ値も、SEOS クラスのレコードの PASSWDRULES プロパティより優先されます。

注： このプロパティは、ch[x]usr コマンドの grace パラメータに相当します。

GROUPS

（情報）ユーザが属するユーザ グループのリストを表示します。 このプロパティには、グループ管理者権限（GROUP‑ADMIN）など、ユーザが属するグループ単位でユーザに割り当てられるグループ権限も含まれます。

このプロパティで設定するグループ リストは、ネイティブ環境の GROUPS プロパティで設定するユーザ リストとは異なる場合があります。

注： このプロパティは、ch[x]usr コマンドでは変更されません。 変更するには、join[-] コマンドまたは joinx[-] コマンドを使用します。

HOMEDIR

（UNIX のみ）ユーザのホーム ディレクトリを定義します。 eTrust SSO で使用されます。

INACTIVE

ユーザのステータスが非アクティブに変更されるまでの、ユーザのアクティビティがない状態の経過日数を指定します。 アカウント ステータスが非アクティブの場合、ユーザはログインできません。

USER クラスのレコードの INACTIVE プロパティの値は、GROUP クラスのレコードの値より優先されます。 このどちらのプロパティ値も、SEOS クラスのレコードの INACT プロパティより優先されます。

注： CA ControlMinder はステータスを格納しません。動的に計算します。 非アクティブ ユーザを特定するためには、INACTIVE 値をユーザの LAST_ACC_TIME 値と比較します。

LAST_ACC_TERM

最後にログインが実行された端末を示します。

LAST_ACC_TIME

前回のログインの日時を示します。

LOCALAPPS

eTrust SSO で使用されます。

LOCATION

ユーザの所在地を定義します。 この情報が権限付与に使用されることはありません。

LOGININFO

レコードで、ユーザが特定のアプリケーションおよび監査データにログインするために必要な情報を定義します。 LOGININFO には、ユーザがアクセスを許可されているアプリケーションごとに、個別にリストが保存されています。 eTrust SSO で使用されます。

LOGSHIFT

シフト時間枠外にログインを許可するかどうかを示します。 CA ControlMinder は、このイベントに関する監査レコードを監査ログに書き込みます。

MAXLOGINS

ユーザに許可される同時ログイン 同時ログインとは、1 人のユーザが複数の端末から同時に 1 つのシステムにログインして開始した複数のセッションのことです。の最大数を示します。 値 0 は、同時ログイン数の制限がないことを示します。

ユーザ レコードの MAXLOGINS プロパティの値は、グループ レコードの値より優先されます。 このどちらのプロパティ値も、SEOS クラスのレコードの MAXLOGINS プロパティの値より優先されます。

MIN_TIME

ユーザのパスワード変更間隔として許可する最短期間（日数）を定義します。

USER クラスのレコードの MIN_TIME プロパティの値は、GROUP クラスのレコードの値より優先されます。 このどちらのプロパティ値も、SEOS クラスのレコードの PASSWDRULES プロパティより優先されます。

注： このプロパティは、ch[x]usr コマンドの min_life パラメータに相当します。

NOTIFY

リソースまたはユーザによって監査イベントが生成されたときに通知されるユーザを定義します。 CA ControlMinder では、指定したユーザ宛に監査レコードを電子メールで送信できます。

制限： 30 文字。

OBJ_TYPE

ユーザ権限属性を指定します。 各属性は、ch[x]usr コマンドの同じ名前のパラメータに相当します。 ユーザは以下の 1 つ以上の権限属性を持つことができます。

ADMIN

UNIX 環境の root ユーザと同様に、ほとんどの管理機能の実行をユーザに許可するかどうかを指定します。

AUDITOR

システムの監視、データベース情報の一覧表示、および既存のレコードに対する監査モードの設定をユーザに許可するかどうかを指定します。

IGN_HOL

休日レコードによって定義された期間中にユーザがログインできるかどうかを指定します。

LOGICAL

ユーザが CA ControlMinder 内部でのみ使用され、実際のユーザのログインには使用できないことを示します。

たとえば、リソースの所有者であってもリソースへのアクセスを妨げるために、リソースの所有者として使用するユーザ nobody は、デフォルトの論理ユーザです。 これは、ユーザがこのアカウントを使用してログインすることができないことを意味します。

OPERATOR

データベース内のすべての情報の一覧表示と secons ユーティリティの使用をユーザに許可するかどうかを指定します。

PWMANAGER

他のユーザのパスワード設定の変更、および serevu ユーティリティによって無効化されたユーザ アカウントの有効化を、ユーザに許可するかどうかを指定します。

SERVER

ユーザへの権限のクエリ、および SEOSROUTE_VerifyCreate API コールの発行を、プロセスに許可するかどうかを指定します。

OIDCRDDATA

eTrust SSO で使用されます。

OLD_PASSWD

ユーザの以前のパスワードの暗号化されたリストが格納されます。 ユーザは、このリストから新しいパスワードを選択することはできません。 OLD_PASSWD に保存されるパスワードの最大数は、setoptions コマンドで指定します。

ORG_UNIT

ユーザが所属する組織単位に関する情報を格納する文字列です。 この文字列は、X.500 ネーミング スキーマの一部です。 この情報が権限付与に使用されることはありません。

ORGANIZATION

ユーザが所属する組織を指定します。 この文字列は、X.500 ネーミング スキーマの一部です。 この情報が CA ControlMinder による権限付与に使用されることはありません。

OWNER

レコードを所有するユーザまたはグループを定義します。

PASSWD_A_C_W

このレコードのユーザ パスワードを最後に変更した ADMIN ユーザを示します。

PASSWD_INT

ユーザのパスワード変更間隔として許可する最長期間（日数）を指定します。

USER クラスのレコードの PASSWD_INT プロパティの値は、GROUP クラスのレコードの値より優先されます。 このどちらのプロパティ値も、SEOS クラスのレコードの PASSWDRULES プロパティより優先されます。

注： このプロパティは、ch[x]usr コマンドの interval パラメータに相当します。

PASSWD_L_A_C

管理者が最後にパスワードを更新した日時を示します。

PASSWD_L_C

ユーザが最後にパスワードを更新した日時を示します。

PGMINFO

CA ControlMinder によって自動生成されるプログラム情報を定義します。

Watchdog 機能は、このプロパティに格納されている情報を自動的に検証します。 情報が変更されている場合、プログラムは CA ControlMinder により untrusted として定義されます。

以下のフラグを選択すると、この検証プロセスから関連情報を除外できます。

crc

CRC（Cyclic Redundant Check）および MD5 シグネチャ。

ctime

（UNIX のみ）ファイル ステータスが最後に変更された時間。

device

UNIX の場合は、ファイルが存在する論理ディスク。 Windows の場合は、ファイルが存在するディスクのドライブ番号。

group

プログラム ファイルを所有するグループ。

inode

UNIX の場合は、プログラム ファイルのファイル システム アドレス。 Windows の場合は、意味はありません。

mode

プログラム ファイルに関連付けられているセキュリティ保護モード。

mtime

プログラムが最後に変更された時間。

owner

プログラム ファイルを所有するユーザ。

sha1

SHA1 シグネチャ。 SHA は Secure Hash Algorithm の略で、プログラム ファイルや機密ファイルに適用できるデジタル署名方式です。

size

プログラム ファイルのサイズ。

このプロパティのフラグを変更するには、chres コマンド、editres コマンド、または newres コマンドの flags パラメータ、flags+ パラメータ、または flags- パラメータを使用します。

PHONE

ユーザの電話番号を入力します。 この情報が権限付与に使用されることはありません。

POLICYMODEL

sepass ユーティリティを使用してユーザ パスワードを変更したときに新しいパスワードを受け取る PMDB Policy Model データベース（PMDB）はスタンド アロンの CA ControlMinder データベースで、特定のホスト システムに関連付けられている CA ControlMinder データベースと同じタイプのルールを保持します。 マスタ PMDB にルールを適用すると、そのルールは、マスタ PMDB に対して定義されたすべてのサブスクライバ データベースに伝達されます。 を指定します。 このプロパティの値を入力した場合、parent_pmd または passwd_pmd 環境設定で定義されている Policy Model にパスワードは送信されませんv

注： このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの pmdb[-] パラメータに相当します。

PROFILE

ユーザのプロファイルのパスを定義します。 この文字列には、ローカルの絶対パスまたは UNC パスを含めることができます。

PUPM_FLAGS

端末の統合属性を指定します。 SAM で CA ControlMinder エンドポイント上の特権アカウントを統合するとき、端末統合を使用します。 特権アカウントは以下の端末統合属性のうちどちらか、または両方を持つことができます。

use_original_identity

CA ControlMinder は許可に関する決定を行う際、特権アカウント名ではなくアカウントをチェック アウトしたユーザ名を使用することを指定します。 セッションの監査レコードは、実ユーザ名フィールドの元のユーザおよび有効なユーザ名フィールドの特権アカウントを一覧表示します。

required_checkout

ユーザがアカウントを使用してエンドポイントにログインする前に、アカウントが SAM でチェックアウトされる必要があることを指定します。

PWD_AUTOGEN

ユーザ パスワードを自動的に生成するかどうかを表示します。 eTrust SSO で使用されます。

デフォルトは no です。

PWD_SYNC

すべてのユーザ アプリケーションでユーザ パスワードを自動的に同一にするかどうかを表示します。 eTrust SSO で使用されます。

デフォルトは no です。

RESUME_DATE

一時停止された USER アカウントが有効になる日付を指定します。

RESUME_DATE と SUSPEND_DATE は連携して動作します。

注： このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの resume パラメータに相当します。

REVACL

アクセサのアクセス制御リストを表示します。

REVOKE_COUNT

eTrust SSO で使用されます。

SCRIPT_VARS

eTrust SSO で使用されます。アプリケーションごとに保存されるアプリケーション スクリプトの変数値を含む変数リストを定義します。

SECLABEL

ユーザまたはリソースのセキュリティ ラベル セキュリティ ラベルは、SECLABEL クラスにあるレコードの名前です。 セキュリティ ラベルによって、セキュリティ ラベルと複数のセキュリティ カテゴリを 1 つにまとめることができます。 セキュリティ ラベルをアクセサまたはリソースに割り当てると、そのセキュリティ ラベルに関連付けられたセキュリティ レベルとセキュリティ カテゴリの組み合わせが、アクセサまたはリソースに設定されます。 セキュリティ ラベルは、アクセサまたはリソースに設定された特定のセキュリティ レベルおよびセキュリティ カテゴリよりも優先されます。を定義します。

注： SECLABEL プロパティは、chres コマンドと ch[x]usr コマンドの label[-] パラメータに相当します。

SECLEVEL

アクセサまたはリソースのセキュリティ レベル セキュリティ レベルは、ユーザおよびリソースに割り当てることのできる 0 から 255 までの整数です。 リソースのアクセス制御リストでユーザにアクセス権限が付与されていても、アクセサのセキュリティ レベルがリソースのセキュリティ レベルより低い場合、そのアクセサはそのリソースにアクセスできません。を定義します。

注： このプロパティは、ch[x]usr コマンドと chres コマンドの level[-] パラメータに相当します。

SESSION_GROUP

ユーザの SSO セッション グループを定義します。 SESSION_GROUP プロパティは、最大 16 文字の文字列です。

Windowsでは、適切な名前がドロップダウン リストに存在しない場合、管理者がセッション グループの新しい名前を入力できます。

eTrust SSO で使用されます。

SHIFT

eTrust SSO で使用されます。

SUSPEND_DATE

ユーザ アカウントが一時停止されて無効になる日付を指定します。

レコードの一時停止日が再開日より前の日付である場合、ユーザは一時停止日より前および再開日より後に操作を実行できます。

ユーザの再開日が一時停止日より前の日付である場合は、再開日の前でもユーザ レコードは無効です。 この場合、ユーザは再開日と一時停止日の間のみ操作を実行できます。

ユーザ レコードの SUSPEND_DATE プロパティの値は、グループ レコードの値より優先されます。

注： このプロパティは、ch[x]usr コマンドと ch[x]grp コマンドの suspend[-] パラメータに相当します。

SUSPEND_WHO

一時停止日をアクティブにした管理者を表示します。

注： このプロパティは、ch[x]usr コマンドの suspend[-] パラメータに相当します。

UALIAS

1 つ以上の認証ホストに個別にユーザ定義されている別名を表示します。 eTrust SSO で使用されます。

UPDATE_TIME

（情報のみ）レコードが最後に変更された日時を示します。

UPDATE_WHO

（情報のみ）更新を実行した管理者を示します。