サポートと今すぐチャット
サポートとのチャット

Identity Manager 8.2 - Administrationshandbuch für die Anbindung Unix-basierter Zielsysteme

Verwalten von Unix-basierten Zielsystemen Synchronisieren eines Unix-basierten Zielsystems
Einrichten der Initialsynchronisation mit einem Unix Host Anpassen der Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von Unix Benutzerkonten und Personen Managen von Mitgliedschaften in Unix Gruppen Bereitstellen von Anmeldeinformationen für Unix Benutzerkonten Abbildung von Unix Objekten im One Identity Manager Behandeln von Unix Objekten im Web Portal Basisdaten für Unix-basierte Zielsysteme Konfigurationsparameter für die Verwaltung eines Unix-basierten Zielsystems Standardprojektvorlage für Unix-basierte Zielsysteme Einstellungen des Unix Konnektors

Sicherheitsrelevante Stammdaten für Benutzerkonten

Auf dem Tabreiter Sicherheit erfassen Sie folgende zusätzliche Informationen für ein Benutzerkonto in einem AIX System. Diese Daten werden in /etc/security/user abgebildet.

Tabelle 25: Zusätzliche sicherheitsrelevante Informationen für ein Benutzerkonto in einem AIX System

Eigenschaft

Beschreibung

account_locked

Gibt an, ob das Benutzerkonto gesperrt ist. (Parameter account_locked).

admin

Gibt an, ob es sich um ein administratives Benutzerkonto handelt. (Parameter admin).

admgroups

Gruppen, die ein Benutzer verwaltet. (Parameter admgroups).

auditclasses

Audit-Klassen des Benutzerkontos. (Parameter auditclasses).

auth1

Zusätzlich benötigte Methoden für die Authentifizierung des Benutzers. (Parameter auth1).

auth2

Zusätzliche optionale Methoden für die Authentifizierung des Benutzers. (Parameter auth2).

core_compress

Gibt an, ob die Komprimierung der Speicherabbilddatei aktiviert ist. (Parameter core_compress).

core_path

Gibt an, ob die Spezifikation des Pfades der Speicherabbilddatei aktiviert ist. (Parameter core_path). Ist die Option aktiviert, wird die Speicherabbilddatei im angegebenen Verzeichnis abgelegt. Anderenfalls wird die Datei im Arbeitsverzeichnis des Benutzers abgelegt.

core_naming

Namenskonventionen für die Speicherabbilddatei. Wenn die Option aktiviert ist, wird die Speicherabbilddatei mit einer Prozess ID, einer Zeit und einem Datumsstempel versehen. (Parameter core_naming).

daemon

Gibt an, ob ein Benutzer ein Programm unter Verwendung des Cron-Daemon oder des src (system resource controller) Daemon ausführen kann. (Parameter daemon).

dce_export

Gibt an, ob die DCE Registrierung die lokalen Benutzerinformationen mit den DCE Benutzerinformationen während einer DCE Exportoperation überschreiben darf. (Parameter dce_export).

expires

Ablaufdatum des Benutzerkontos. (Parameter expires).

login

Gibt an, ob sich ein Benutzer mit dem login Kommando am System anmelden kann. (Parameter login).

logintimes

Zeiten, Tage oder beides, zu denen dem Benutzer der Zugriff auf das System erlaubt ist. (Parameter logintimes).

loginretries

Anzahl der ungültigen Anmeldeversuche, die nach der letzten gültigen Anmeldung erlaubt sind, bevor das System den Benutzer sperrt. (Parameter loginretries). Null oder ein negativer Wert legen fest, dass keine Beschränkung vorhanden ist.

projects

Liste von Projekten, denen ein Benutzerprozess zugewiesen sein kann. Der Wert enthält eine kommagetrennte Liste von Projektnamen. (Parameter projects).

registry

Definiert die Authentifizierungsregistrierung, in der der Benutzer administriert wird. (Parameter registry).

rlogin

Gibt an, ob der Zugriff von einem Remote-Standort mit dem telnet oder rlogin Kommando erlaubt ist. (Parameter rlogin).

su

Gibt an, ob ein Benutzer mit dem su Kommando auf einen anderen Benutzer wechseln kann. (Parameter su).

sugroups

Gruppen, die das su Kommando zum Wechseln auf definierte Benutzer verwenden können. (Parameter sugroups).

SYSTEM

Authentifizierungsmechanismus des Systems für den Benutzer. (Parameter SYSTEM).

tpath

Status des vertrauenswürdigen Pfades eines Benutzers. (Parameter tpath).

ttys

Enthält die Terminals, auf die ein Benutzer Zugriff hat. (Parameter ttys).

umask

Bestimmt die Dateiberechtigungen. (Parameter umask). Der Standardwert ist 022.

Verwandte Themen

Stammdaten zum verschlüsselnden Dateisystem für Benutzerkonten

Auf dem Tabreiter Verschlüsselndes Dateisystem erfassen Sie folgende zusätzliche Informationen zur Nutzung des verschlüsselnden Dateisystems (EFS) für ein Benutzerkonto in einem AIX System. Diese Daten werden in /etc/security/user abgebildet.

Tabelle 26: Stammdaten eines Benutzerkontos für das verschlüsselnde Dateisystem

Eigenschaft

Beschreibung

efs_adminks_access

Ablageort des Schlüsselspeichers für den efs_admin (Parameter efs_adminks_access). Zulässige Werte:

  • file

  • ldap

efs_allowksmodechangebyuser

Gibt an, ob ein Benutzer den Modus ändern darf. (Parameter efs_allowksmodechangebyuser).

efs_file_algo

Algorithmus der zur Generierung des Dateischutzschlüssels verwendet wird. (Parameter efs_file_algo). Zulässige Werte:

  • AES_128_CBC

  • AES_192_CBC

  • AES_256_CBC

efs_initialks_mode

Initialer Modus des Schlüsselspeichers des Benutzers. (Parameter efs_initialks_mode). Zulässige Werte:

  • guard

  • admin

efs_keystore_access

Ablageort des benutzerspezifischen Schlüsselspeichers. (Parameter efs_keystore_access). Zulässige Werte:

  • none

  • file

efs_keystore_algo

Algorithmus der zur Generierung des privaten Schlüssels der Benutzers verwendet wird, wenn der Schlüsselspeicher erstellt wird. (Parameter efs_keystore_algo). Zulässige Werte:

  • RSA_1024

  • RSA_2048

  • RSA_4096

Zusatzeigenschaften an Unix Benutzerkonten zuweisen

Zusatzeigenschaften sind Meta-Objekte, für die es im One Identity Manager-Datenmodell keine direkte Abbildung gibt, wie beispielsweise Buchungskreise, Kostenrechnungskreise oder Kostenstellenbereiche.

Ausführliche Informationen zum Verwenden von Zusatzeigenschaften finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Um Zusatzeigenschaften für ein Benutzerkonto festzulegen

  1. Wählen Sie im Manager die Kategorie Unix > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Zusatzeigenschaften zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Zusatzeigenschaften zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Zusatzeigenschaften entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Zusatzeigenschaft und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

Benutzerkonten für AIX Systeme deaktivieren

HINWEIS: Das nachfolgend beschriebene Verhalten gilt nur für Benutzerkonten in einem AIX System.

Wie Sie Benutzerkonten deaktivieren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario:

Die Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte UNXAccount.AIX_account_Locked.

Szenario:

Die Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Personen verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Person deaktiviert, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Person keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu deaktivieren

  1. Wählen Sie im Manager die Kategorie Unix > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Sicherheit die Option account_locked.

  5. Speichern Sie die Änderungen.
Szenario:

Benutzerkonten sind nicht mit Personen verbunden.

Um ein Benutzerkonto zu deaktivieren, das nicht mit einer Person verbunden ist

  1. Wählen Sie im Manager die Kategorie Unix > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Sicherheit die Option account_locked.

  5. Speichern Sie die Änderungen.

Ausführliche Informationen zum Deaktivieren und Löschen von Personen und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen
関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択