JP2642065B2 - コンピュータ・システム - Google Patents

コンピュータ・システム

Info

Publication number
JP2642065B2
JP2642065B2 JP6187033A JP18703394A JP2642065B2 JP 2642065 B2 JP2642065 B2 JP 2642065B2 JP 6187033 A JP6187033 A JP 6187033A JP 18703394 A JP18703394 A JP 18703394A JP 2642065 B2 JP2642065 B2 JP 2642065B2
Authority
JP
Japan
Prior art keywords
user
access
temporarily
users
logon
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP6187033A
Other languages
English (en)
Other versions
JPH0784960A (ja
Inventor
シドニー・ジョージ・チャップマン
マイケル・ジョージ・テイラー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH0784960A publication Critical patent/JPH0784960A/ja
Application granted granted Critical
Publication of JP2642065B2 publication Critical patent/JP2642065B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、ネットワーク化された
コンピュータ・システムに関し、具体的には、そのよう
なシステムへのアクセスの一時制限に関する。
【0002】
【従来の技術】コンピュータ・ネットワークでは、単一
のシステムが、ネットワークを介してそのシステムに接
続された複数のユーザに資源を供給できる。時折、その
システムの負荷が高くなり過ぎ、一人または複数のユー
ザが効率的に操作できなくなる場合があり、また、ある
時間の間一部またはすべてのユーザによるシステム資源
へのアクセスを制限する必要が生じる場合がある。
【0003】複数ユーザ・システムの大半では、有効な
ユーザ名またはユーザ名とパスワードの有効な組合せを
リストした1つまたは複数のファイルが保持され、ユー
ザは、ログ・オン時にその名前とパスワードを供給する
ことによってそのシステムへのアクセスを得る。
【0004】一時的にユーザがシステム資源をアクセス
できないようにするための従来技術の単純な方法の1つ
が、(必要な場合に)ユーザをログ・オフさせ、そのユ
ーザのログオン・パスワードをリセットして、そのユー
ザがアクセスを再取得できなくすることである。しか
し、この方法は、管理と安全保護上の理由から、一般に
望ましくない。多くのシステムでは、ユーザの元のパス
ワードを再発行できなくなっており、その結果、そのユ
ーザがアクセスを再取得するためにはそのユーザに新し
いパスワードを通知する必要が生じる。
【0005】ユーザがログ・オンできないようにするた
めの従来技術のもう1つの方法が、許可ユーザをリスト
したファイルからそのユーザのユーザ名を削除すること
である(これは、システムから1ユーザを永久的に削除
するための標準的な方法に類似しているが、永久削除の
場合、さらに、ユーザのデータ・ファイルが存在するな
らば、システム資源を解放するためにそれらのファイル
も削除される)。通常のアクセスは、許可ユーザのリス
トにそのユーザの名前を復元することによって復元され
るはずである。この方法の短所は、特に、ユーザ名を含
むファイルに他のクリティカルなデータが含まれ、それ
らのデータも削除される場合に、データ消失の可能性が
あることである。
【0006】上の方法でアクセスの復元を簡単にするた
めに、ログオン時に検査される活動コピー内のユーザの
項目を削除する前に、許可ユーザをリストしたファイル
をバックアップする(すなわち、安全な位置にコピーす
る)ことができる。システムを元の状態に復元するため
には、バックアップしたファイルを、元の位置にコピー
する。しかし、元のコピーが失われた場合、アクセス権
の復元が困難になる可能性がある。明らかに、ユーザ名
やパスワードを含むファイルを変更する必要がないこと
が好ましい。
【0007】たとえば、UNIXオペレーティング・システ
ムの一種であるIBM社のAIXオペレーティング・システム
では、"/etc/passwd"という名前のファイルに、ユーザ
名と、暗号化されたパスワードを含む別のファイルの参
照とが含まれる。このファイルがなくなると、そのシス
テムには「全く」ログオンできなくなる。回復するため
には、オペレーティング・システムを導入し直す必要が
ある。UNIXオペレーティング・システムの詳細について
は、W.R.Stevens著"UNIX Network Programming", Prent
ice-Hall 1990を参照されたい。
【0008】この方法には他の欠陥もある。たとえば、
アクセス制限の期間中に、新規ユーザの追加や既存ユー
ザの永久削除が行われると、活動状態のシステム・ファ
イルとそのバックアップの両方にこれを反映する必要が
頻繁に発生するはずである。さらに、ログ・オンを試み
た際にこの方法によってアクセスを一時的に拒否された
通常の許可ユーザは、永久的に許可されていないユーザ
に提示される物と同一の「無効ログオン」メッセージを
受け取るはずである。
【0009】システムによっては、ログオン・セッショ
ンではなく、特定のファイルへのアクセスを制限できる
ものがある。たとえばAIXの場合、ユーザが自分自身の
データ・ファイル(そのユーザの「ホーム・ディレクト
リ」)をアクセスすることを一時的に禁止できる。これ
は、そのディレクトリに対する「アクセス・モード」を
変更し、後程復元することによって実行できる。AIXの
場合、これによってそのデータに対するすべてのユーザ
のアクセスが必ず除去され、第2のユーザが第1のユー
ザのディレクトリへのアクセスに頼っているならば、第
2のユーザも所望のタスクを実行できなくなる可能性が
ある。さらに、データ・アクセスを拒否しても、第1の
ユーザが別の場所に記憶されたプログラムを実行するこ
とができ、したがってプロセッサ時間を占有できるの
で、必ず所望の結果を達成できるとは限らない。また、
自分のファイルをアクセスしようとした際の第1のユー
ザへのメッセージは、役に立たないであろう。というの
は、このメッセージによって、彼が自分のファイルをア
クセスできないことは伝えられるが、一時アクセス制限
が有効であることは伝えられないからである。
【0010】
【発明が解決しようとする課題】本発明の目的は、たと
えばシステム・オーナーが資源集中タスクを完了できる
ようにするために、アクセスを一時的に制限でき、簡単
に復元でき、従来技術の解決の短所を軽減するシステム
を提供することである。
【0011】
【課題を解決するための手段】本発明によれば、この目
的は、ログオン時にユーザの識別を許可ユーザの第1定
義と比較するユーザ確認手順を含む、システムへのユー
ザ・アクセスを制限するための、通常アクセス制御手段
と、ログオン時にシステムの全ユーザによって参照され
る、システム全域プロファイル手段と、ログオン時にシ
ステム全域プロファイル手段によって参照される、一時
的に許可されていないユーザの第2定義を、システムの
特権ユーザが作成できるようにする、一人または複数の
通常の許可ユーザによるシステムへのアクセスを一時的
に防止するための一時アクセス制御簡便化手段とを含
む、ネットワークを介して複数のユーザに接続可能なコ
ンピュータ・システムによって達成される。
【0012】本発明は、システム・オーナーなどの特権
ユーザーが、システムに対するユーザ・アクセスを制御
できるようにし、その結果、必要な時に必要に応じてア
クセスを制限できるようにする。特権ユーザだけが実行
できるアクセス制御プログラムなどの一時アクセス制御
簡便化手段によって、通常はシステムにアクセスできる
が現在はログ・オフしているユーザが、一時的にアクセ
スを取得できないようにする。そのシステムにすでにロ
グ・オンしている一時的に許可されていないユーザも、
おそらくは猶予期間または警告の後に、ログ・オフさせ
ることができる。しかし、現ユーザをログ・オフさせる
手段は、本発明にとって本質的ではない。本発明を従来
技術から区別する主要な特徴は、通常の許可ユーザの定
義と別の一時的な許可ユーザの定義を設け、その結果、
ユーザ・アカウント情報を修正する必要がなくなること
である。
【0013】本発明によれば、特権ユーザが、一時的
に、アクセスを部分的に制限するか、他のすべてのユー
ザによるアクセスを禁止できるようになり、この特権ユ
ーザは、システムの性能と資源のすべてを使用できるよ
うになる。
【0014】この解決策を用いると、システムのアクセ
スを簡単に復元でき、指定された時刻に自動的に復元す
ることもできる。さらに、ユーザには、どのような理由
で、誰によって、どれだけの時間の間アクセスを拒否さ
れているかなど、適切な情報を与えることができる。
【0015】これより、UNIXシステムに関して本発明の
好ましい実施例を説明する。UNIXは、複数ユーザ、多重
タスク処理オペレーティング・システムであり、その流
行は、強力で柔軟なインターフェースと、多数のベンダ
のプラットフォームにまたがる標準化から生じたもので
ある。UNIXのIBM版がAIXであるが、UNIXの標準化のおか
げで、下記の説明の詳細の多くが、他の版のUNIXにも同
様にあてはまる。
【0016】
【実施例】図1は、4つのシステム2、4、6および8
がケーブル接続10によって互いに接続される、小規模
で非常に単純なコンピュータ・ネットワークを示す図で
ある。これらのシステムは、リング構成で互いに接続さ
れるものとして図示されているが、他の構成も同様に可
能であり、周知であり、たとえばより遠隔地と接続でき
るようにするために、物理ケーブル接続を他のデータ伝
送手段に置き換えることも可能である。システム2、
4、6および8のそれぞれに、1つまたは複数のダム端
末である端末12、14、16、18、20、22およ
び24を接続するための備えがある。ユーザは、ある端
末で、通常はネットワーク上の資源へのアクセスを得る
ためのユーザ名とパスワードを含むデータを入力する。
図示の例では、システム2、4および6が、IBM社のRIS
Cシステム/6000シリーズのシステムであり、第4
のシステムであるシステム8が、IBM社のPS/2シリーズ
のシステムになっている。これらのシステムは、IBM社
のAIXオペレーティング・システムを走行させるのに一
般的に使用されるシステムである(AIX、RISCシステム
/6000およびPS/2は、インターナショナル・ビジネ
ス・マシーンズ・コーポレーションの商標である)。RI
SCシステム/6000システムは、比較的強力であり、
複数のユーザによって使用することができる。たとえ
ば、そのようなシステムの1つであるシステム2が、3
台の直接接続(または「局所」)端末12、14および
16を有し、さらに、ネットワークを介して接続される
他の(「遠隔」)端末18、20、22および24を介
してその資源を使用できるようにセットアップすること
も可能である。PS/2であるシステム8は、通常は能力が
劣り、端末24の直接接続された1ユーザのみによって
使用される。このユーザは、ネットワーク上の他の資源
を使用する権限を得ることができ、このPS/2のシステム
8を、主に遠隔資源との通信の処理に使用することさえ
可能である。本発明の目的のためには、システムの局所
ユーザと遠隔ユーザを区別する必要がなく、その結果、
「ネットワークを介する接続」は、両方のタイプの接続
を含むと解釈される。
【0017】UNIXシステムでは一般に、ネットワークを
介して1システムに接続された複数のユーザが、システ
ムにログオンしてその資源を使用できる。時折、このた
めにシステムの負荷が重くなり過ぎ、システム・オーナ
ー(局所ユーザである場合が多いが、遠隔ユーザである
可能性もある)などの一人または複数のユーザが、効率
的に操作できなくなる可能性がある。この、システム資
源に対する需要を制限する能力のなさは、オーナーが資
源集中タスクのためにシステムを使用したい時や、ある
タスクの性能特性を正確に測定したい時に特に問題にな
る可能性がある。
【0018】したがって、システム・オーナーなどの特
権ユーザが、ある時間の間システム資源に対する需要を
制限できることが必要である。
【0019】どのUNIXシステムにも、「スーパーユー
ザ」という概念がある(スーパーユーザは、「スーパー
ユーザ権限」を有するとも称する)。スーパーユーザ
は、この実施例では特権ユーザである。スーパーユーザ
は、別のユーザが所有する資源(たとえばファイル)を
アクセスできるという点で、通常ユーザより大きい権限
を有する。スーパーユーザは、ユーザをシステムに追加
でき、システムからユーザを削除でき、他のユーザのア
クセス権を変更できる。また、スーパーユーザは、UNIX
の"kill"コマンドを使用することによって、どのユーザ
が所有する「プロセス」(走行中のプログラム)であっ
ても打ち切ることができる。これに対して通常のユーザ
は、自分自身のプロセスしかkillできない。
【0020】好ましい実施例の理解を助けるために、関
連するUNIXシステムの特徴の一部を説明する。
【0021】UNIXシステムに新規ユーザを追加したい時
には、「ユーザ・アカウント」を作成する。ユーザ・ア
カウントは、2つの部分から構成されるとみなすことが
できる。まず、どのUNIXシステムにも、ユーザ・アカウ
ントとその特徴を定義するファイル、AIXの場合は/etc/
passwdファイル30があり、その1項目によって、ユー
ザが、パスワードによる確認の後にシステムへのアクセ
スを許可される。次に、ユーザがそのユーザ自身のプロ
グラムとデータを記憶することのできる、ユーザのホー
ム・ディレクトリがある。
【0022】図2に、3人のユーザ、Mike、SydおよびF
redを含むAIXシステムの/etc/passwdファイル30の例
を示す。/etc/passwdファイル30には、1ユーザごと
に1レコードが含まれ、その構造は、次のとおりであ
る。
【0023】最初のフィールドであるusername(ユーザ
名)31は、'mike'など、ユーザのユニークな識別子ま
たは名前を示し、この名前を、ユーザがシステムに対し
て自分自身を識別するためにログオン時に供給する。第
2のフィールドであるpassword(パスワード)32は、
ログオン時にユーザを確認するためのフィールドであ
る。IBM社のAIXバージョン3では、このフィールドに感
嘆符が含まれ、これによって、別の(より安全な)ファ
イルにそのユーザの暗号化されたパスワードが含まれる
ことが示される。UNIXの他の版やAIXの初期バージョン
では、このフィールドに実際に暗号化されたパスワード
が含まれる。確認方法の正確な性質は、本発明には関係
なく、多数の代替案が可能である。第3のフィールドで
あるuser number(ユーザ番号)33には、ユーザをさ
らに識別するユーザ番号が含まれる。これは、しばしば
(必ずではない)ユーザごとに独自である。AIXの場
合、スーパーユーザは、0のユーザ番号によって表さ
れ、複数のスーパーユーザが存在してよい。第4のフィ
ールド34は、そのユーザが属するグループを識別する
番号である。通常、複数のユーザがこのフィールドに同
一の項目を有するが、これは、たとえば部署番号とする
ことができる。第5のフィールド35は、テキスト・フ
ィールドであり、その内容は本質的でない。このフィー
ルドは、たとえば、システム管理者がユーザの完全な氏
名を示すのに使用することができる。第6のフィールド
であるhome directory(ホーム・ディレクトリ)36
は、ログオンが成功裡に完了した時にそのユーザが居る
ディレクトリである、そのユーザのホーム・ディレクト
リを指定する。最後の第7のフィールドであるinitial
program(初期プログラム)37には、初期プログラム
または「シェル」が含まれる。ユーザの初期プログラム
は、ユーザがログ・オンした時、ユーザの環境を初期設
定し、ホーム・ディレクトリに移動した後に走行する
(UNIXの場合、シェルは、コマンド・インタープリタで
あり、ユーザが対話式ログオン・セッションを有するた
めに走行していなければならないプログラムである)。
ユーザの初期プログラムに関しては、ログオン手順の説
明で解説する。
【0024】また、どのUNIXシステムにも、システムの
全ユーザの各ログオン・セッションの間に走行し、した
がって、「システム全域」と表現することのできる初期
設定手順がある。IBM社のAIXオペレーティング・システ
ムの場合、このプログラムは、/etc/profileという名前
のファイルに記憶されている。これは、システム・オー
ナーや管理者などの特権ユーザが、ログオン時にすべて
のユーザに提供される追加機能を指定するために設けら
れたファイルである。このファイルが事故によって失わ
れたり、修正中に損傷を受けても、通常は悲惨な結果に
はならない(たとえば、ログオンできなくなったりはし
ない)。しかし、通常は、多くのユーザがこのファイル
をアクセスする権限を有することは望ましくない。とい
うのは、このファイルを修正することによって、他のユ
ーザのデータを破壊できるからである。このシステム全
域プロファイルを修正するには、通常はスーパーユーザ
であるか、スーパーユーザ権限を有する必要がある。
【0025】本発明の好ましい実施例では、一時的に許
可されていないユーザが、ログオンを試みた時にアクセ
スを拒否されるようにし、そのユーザにアクセス制限に
関する情報を与えるメッセージを表示できるようにする
コードが、システム全域プロファイルに追加される。
【0026】UNIXのログオン・シーケンス UNIXのログオン・シーケンスについてさらに説明すれ
ば、本発明の好ましい実施例の理解に役立つであろう。
この説明は、AIXのログオン・シーケンスに基づくもの
であり、図3がその概略図である。
【0027】活動状態のUNIXシステムであるシステム2
に直接接続された端末12、14および16は、通常
は、ログイン・プロンプトを有する。また、遠隔端末で
ある端末18、20、22および24の場合には、共通
して理解されるプロトコルを使用して、遠隔システムで
あるシステム2に関するセッションをオープンし、ログ
イン・プロンプトを取得することができる。AIXの場
合、ユーザがログイン・プロンプトに対して文字列を入
力した時に、ステップ40で"login"(ログイン)コマ
ンドが起動され、このコマンドが、ステップ42でアカ
ウントの詳細を検査し、ステップ50でユーザの環境を
セットアップし、ステップ60でユーザをそのホーム・
ディレクトリに置き、ステップ62でユーザの初期プロ
グラムを始動し、ステップ70でプロファイルを走ら
せ、ステップ80でプロンプトを表示し、この時点でユ
ーザがコマンドを入力できるようになる。これらのステ
ップを、以下で詳細に説明する。
【0028】ステップ42のアカウント詳細の検査に
は、/etc/passwdファイル30を参照して、アクセス取
得を試みているユーザの供給したユーザ名と一致するユ
ーザ名31が存在するかどうかを検査する、ユーザのア
カウントを検査するステップ44、検査済みのユーザ名
31に対応する暗号化された真のパスワード32を、ア
クセス取得を試みているユーザの供給したパスワードを
暗号化したものと比較することによってユーザの識別を
検査する、ユーザを確認するステップ46、および、ユ
ーザ・データベースに記憶され、ユーザの責任能力とシ
ステム2上のファイルに対するアクセス権を定義する、
信用証明を確立するステップ48が含まれる。
【0029】したがって、アカウント詳細を検査するス
テップ42は、通常は、あるユーザがシステム2へのア
クセスを許可され、ログオン・シーケンスの後のステッ
プに進めるか否かを判定するステップである。下で述べ
るように、本発明の好ましい実施例では、この後の段階
でユーザのアクセスを拒否できる。
【0030】ユーザの環境をセットアップするステップ
50は、本発明には特に関係ない。簡単に述べると、こ
のステップは、ユーザ・データベースからユーザ環境を
初期設定するステップ52と、/etc/environmentという
名前の構成ファイルからユーザ環境を初期設定するステ
ップ54からなる。これによって、ユーザにそのユーザ
の望みの、ある個数のシステム変数によって指定される
環境が提供される。たとえば、ある変数が、そのユーザ
の言語を決定する。
【0031】その後、ステップ60で、ユーザが、/etc
/passwdファイル30内でそのユーザのホーム・ディレ
クトリとして指定されたホーム・ディレクトリ36に置
かれ、ステップ62で、そのディレクトリ内から、やは
り/etc/passwdファイル30で指定されるそのユーザの
初期プログラム37を走らせる。AIXの場合、初期プロ
グラム37は、ファイル/etc/security/login.cfgの"sh
ells"にリストされたプログラムのいずれかに制限され
る。初期プログラム37は、ユーザにコマンド行インタ
ーフェースを提供し、このインターフェースが、ユーザ
の入力したコマンドを解釈する。次に、ステップ70
で、プロファイルと称するプログラムを走らせる。ま
ず、ステップ72で、前に述べたシステム全域プロファ
イルである/etc/profileを走らせる。そのユーザのホー
ム・ディレクトリ36内に.profileという名前のファイ
ルがある場合、ステップ74でそれを走らせる。このフ
ァイルには、ユーザ自身が指定でき、各ログオンの間に
提供されることを望む機能が含まれる。
【0032】最後に、ステップ80で、「シェル・プロ
ンプト」を提供し、ここでユーザがコマンドを入力でき
るようになる。これで、図3のAIXログオン・シーケン
スの説明を終える。
【0033】アクセスの一時制限 必要な背景を提供し終えたので、本発明の好ましい実施
例の方法を、図4の概略図を参照しながらAIXシステム
の場合に関して詳細に説明する。
【0034】これらのステップは、マウスまたは他の適
当な手段によって、1つまたは複数のメニュー画面上
で、たとえば下記のようにコマンド行またはプロンプト
で、特権ユーザが必要なデータを入力できるようにし、
アクセスを制限しようとしているシステム上で走行す
る、アクセス制御プログラムの制御下で実行されること
が好ましい。
【0035】この方法は、下記の諸ステップからなる。
【0036】1)ステップ81で、アクセス制御プログ
ラムを呼び出す。ここでは、アクセス制御プログラム
が、複数のパラメータまたは引数を有するコマンドの入
力によって始動されると仮定する。
【0037】2)ステップ82で、このプログラムのユ
ーザが、その権限を与えられていることを検査し、そう
でなければステップ83で脱出する。
【0038】UNIX用語では、特権ユーザはスーパーユー
ザ権限を有する必要がある。AIXの場合、ユニークなユ
ーザ番号33が0の場合がこれにあてはまる。複数のユ
ーザがスーパーユーザ権限を有することも可能である。
【0039】3)ステップ84で、供給されたコマンド
行引数を整列し、 a)アクセスを許可されるユーザと、 b)アクセス制限の持続時間(不定でもよい)と、 c)ユーザが作業を完了するための猶予期間と、 d)アクセスを制限するのか復元するのかと を示すパラメータをセットし、明示的に供給されなかっ
たパラメータや無効にされるパラメータについては省略
時値をセットする。たとえば、最少の猶予期間またはア
クセス制限の最大の持続時間を確保する省略時値が望ま
しい場合がある。
【0040】4)ステップ85で、d)を検査して、ア
クセスを制限するのか、前のアクセス制限に従ってアク
セスを復元するのかを確定する。アクセスを復元する場
合については、後で説明する。
【0041】5)ステップ86で、c)を検査して、猶
予期間が定義されているかどうかを確定し、定義されて
いる場合、ステップ87で、差し迫ったアクセス制限に
ついてユーザに通知する警告をユーザに発行し、猶予期
間だけ待つ。
【0042】この通知には、アクセス制限を開始した特
権ユーザの名前、影響を受けるユーザ、猶予期間、アク
セス制限の持続時間または制限の理由など、プログラム
から入手可能か特権ユーザが供給する有用な情報のどれ
でも含めることができる。
【0043】6)ステップ88で、システム全域プロフ
ァイル(/etc/profile)のバックアップ・コピーを作
る。
【0044】7)ステップ89で、a)を検査し、適当
な方法によって、一時的に許可されていないユーザの定
義を作成する。
【0045】たとえば、一時的に許可されていないユー
ザまたは一時的な許可ユーザのユーザ名のリストを作成
できるはずであり(ログオン・シーケンスのユーザのア
カウントを検査するステップ44によって、無効なユー
ザ名が認められないことが保証されるので、後者のリス
トには無効なユーザ名を含めることも可能である)、さ
もなければ、ユーザ番号33が指定された範囲内にある
ことを要求することも可能である。このプログラムを実
行している特権ユーザは、必ず含まれるはずである。
【0046】8)ステップ90で、システム全域プロフ
ァイル/etc/profileを修正する。
【0047】この修正には、ログ・オン中のユーザが定
義によって一時的に許可されなくなるかどうかを検査す
るステップと、そうである場合に、メッセージを表示
し、そのユーザをログ・オフさせる(次のステップで説
明する"kill"コマンドを使用する)ステップをもたらす
コードを、/etc/profileに追加することが含まれる可能
性がある。明らかに、/etc/profileは、空であったり必
ずしも存在するとは限らない定義を探索するように永久
的に適合させることもできる。
【0048】システム全域プロファイルは、ログオン時
にすべてのユーザが参照するので、このような修正によ
って、現在そのシステムからログ・オフしている一時的
に許可されていないユーザは、アクセスを取得できなく
なる。
【0049】9)すでにシステムにログ・オンしている
一時的に許可されていないユーザをログ・オフさせる。
【0050】AIXでは、一人のユーザが、1つまたは複
数の「プロセス」またはプログラムを同時に走行させる
ことができ、そのそれぞれが、ユーザ名31とユーザ番
号33に関連するプロセス識別番号(PID)を有する。
ユーザのログ・オフには、そのユーザのプロセスのすべ
てを打ち切ることが含まれる。"ps"コマンドは、既存の
プロセスとそれに関連するユーザ名31とユーザ番号3
3をリストするコマンドである。したがって、一時的に
許可されないと定義されたユーザの所有するプロセスを
識別できる。打切りは、"kill"コマンドにPIDを渡すこ
とによって達成される。前に述べたように、スーパーユ
ーザ権限を有するユーザだけが、他のユーザのプロセス
をkillできる。
【0051】10)ステップ92で、b)を検査して、
アクセス制限に関して一定の持続時間が指定されたかど
うかを確定する。一定の持続時間が指定されている場
合、ステップ94で、バッチ・ジョブを実行要求して、
適当な時刻にアクセスを復元し(AIXの"at"コマンドを
使用する)、ステップ95で、アクセス制御プログラム
から脱出する。持続時間が不定の場合、ステップ93
で、バッチ・ジョブの実行要求を行わずにアクセス制御
プログラムから脱出する。
【0052】アクセスの復元 一時的制限の後にシステムへのアクセスを復元するため
には、ログオンを試みる通常の許可ユーザに対するアク
セス拒否を、システム全域プロファイルがそれ以降に引
き起こさないことを保証する必要がある。これによっ
て、アクセス制御プログラムによってログ・オフされた
ユーザが、アクセスを再取得できることも保証される。
【0053】復元を最も簡単に行うには、ステップ90
のシステム全域プロファイルの修正を逆転する、すなわ
ち、修正されたプロファイルをステップ88で作ったバ
ックアップ・コピーに置換する。その代わりに、一時的
に許可されていないユーザの定義を修正または削除する
か、システム全域プロファイルがその定義をアクセスで
きないようにすることも可能である。望むならば、一時
的に許可されていないユーザのより小さな集合を指定す
るように定義を修正することによって、アクセスを部分
的に復元することもできる。
【0054】この実施例では、ステップ81で、特権ユ
ーザが"restore"(復元)パラメータを用いてアクセス
制御プログラムをもう一度呼び出すことができ、この場
合、ステップ96に進んで、修正されたシステム全域プ
ロファイルをきれいなバックアップ・コピーと置換す
る。アクセスの制限に関して一定の時間が指定されてい
た場合には、特権ユーザがもう一度介入する必要はな
い。ステップ94で、アクセス制御プログラムが、バッ
チ・ジョブを実行依頼して、指定された時刻にシステム
全域プロファイルを自動的に置換するからである。
【0055】あるユーザの初期プログラム37を、その
ユーザをログ・オフさせるプログラム(これは/etc/sec
urity/login.cfgにリストされなければならない)に置
換することによっても、ユーザのアクセスを拒否できる
ことに留意されたい。しかし、これは望ましくないと思
われる。というのは、ユーザの初期プログラムは、通常
はシステム全域ではないからであり、また、この方法で
は、クリティカルな/etc/passwdファイルを修正する
か、たとえば/bin/kshの内容をそのユーザをログ・オフ
させるプログラムと交換する必要があるからだ。しか
し、この方法によれば、より有用なメッセージを与える
ことができるはずである。
【0056】本明細書に記載の好ましい実施例では、ア
クセス制御プログラムを使用して必要な動作を実行する
が、当業者であれば他の代替案を想像できるであろう。
たとえば、アクセスの制限と復元に別々のプログラムを
使用することが可能であり、実際に特権ユーザがこの動
作の一部を手動で実行することも可能である。他の代替
案には、一時的に許可されていないユーザの単一の定義
を、2つの定義すなわち、現在ログ・オンしているユー
ザ用とすでにログ・オフしているユーザ用の2つに交換
することが含まれるであろう。
【0057】また、諸機能を1つの大きなプロファイル
に組み込むのではなく、一時アクセス制限だけのために
別のシステム全域プロファイルを設け、所望の場合にそ
のプロファイルを通常のアクセス制御手順より優先させ
ることも可能である。
【0058】さらに、UNIXシステムに関して好ましい実
施例を説明してきたが、通常の許可ユーザの定義を参照
するアクセス制御手段によってユーザ・アクセスが普通
に制限され、通常のアクセス制御手段を満足するすべて
のユーザが、少なくともログオン時に共用プロファイル
または共通プロファイルを参照できるシステムであれ
ば、どのシステムでも一時アクセス制御手段を設けるこ
とができる。
【0059】まとめとして、本発明の構成に関して以下
の事項を開示する。
【0060】(1)ログオン時にユーザの識別を許可ユ
ーザの第1定義と比較するユーザ確認手順を含む、シス
テムへのユーザ・アクセスを制限するための、通常アク
セス制御手段と、ログオン時にシステムの全ユーザによ
って参照される、システム全域プロファイル手段と、ロ
グオン時にシステム全域プロファイル手段によって参照
される、一時的に許可されていないユーザの第2定義
を、システムの特権ユーザが作成できるようにする、一
人または複数の通常の許可ユーザによるシステムへのア
クセスを一時的に防止するための一時アクセス制御簡便
化手段とを含む、ネットワークを介して複数のユーザに
接続可能なコンピュータ・システム。 (2)簡便化手段が、システム全域プロファイルに一時
的に許可されていないユーザの第2定義を参照させるた
め、システム全域プロファイル手段を修正するように適
合されていることを特徴とする、上記(1)に記載のシ
ステム。 (3)簡便化手段が、システム全域プロファイルに、一
時的にアクセスを拒否されるユーザに一時アクセス制限
に関する情報を提供させることを特徴とする、上記
(1)または(2)に記載のシステム。 (4)簡便化手段が、第2定義に従って一時的に許可さ
れていない、すでにシステムにログ・オンしているユー
ザをログ・オフさせる手段を含むことを特徴とする、上
記(1)ないし(3)のいずれかに記載のシステム。 (5)簡便化手段が、猶予期間を定義し、すでにシステ
ムにログ・オンしているユーザに、猶予期間の満了時に
システム・アクセスが制限されることの警告を発行する
ように適合されていることを特徴とする、上記(4)に
記載のシステム。 (6)簡便化手段が、指定された時刻に、一時的に許可
されていないユーザの一部またはすべてのアクセスを自
動的に復元するように動作可能であることを特徴とす
る、上記(1)ないし(5)のいずれかに記載のシステ
ム。 (7)システムがUNIXシステムであることを特徴とす
る、上記(1)ないし(6)のいずれかに記載のシステ
ム。 (8)ログオン時にユーザの識別を許可ユーザの第1識
別と比較するユーザ確認手順を含む、システムへのユー
ザ・アクセスを制限するための通常アクセス制御手段を
有し、さらに、ログオン時にシステムの全ユーザによっ
て参照されるシステム全域プロファイル手段を有する、
ネットワークを介して複数のユーザと接続可能なシステ
ムへのアクセスを一時的に防止する方法において、シス
テム全域プロファイル手段から一時的に許可されていな
いユーザの第2定義を参照するステップと、第2定義に
従って一時的に許可されていないユーザにアクセスを拒
否するステップとを含む方法。
【0061】
【発明の効果】本発明により、アクセスを一時的に制限
でき、簡単に復元でき、従来技術の短所を軽減するシス
テムを提供することができる。
【図面の簡単な説明】
【図1】非常に単純なコンピュータ・ネットワークの例
を示す図である。
【図2】ユーザのアカウント・データを含むAIXファイ
ルの例を示す図である。
【図3】AIXログオン・シーケンスの概略図である。
【図4】本発明の方法の概略図である。
【符号の説明】
2 システム 4 システム 6 システム 8 システム 10 ケーブル接続 12 端末 14 端末 16 端末 18 端末 20 端末 22 端末 24 端末 30 /etc/passwdファイル 31 username(ユーザ名) 32 password(パスワード) 33 user number(ユーザ番号) 34 第4のフィールド 35 第5のフィールド 36 home directory(ホーム・ディレクトリ) 37 initial program(初期プログラム)
───────────────────────────────────────────────────── フロントページの続き (72)発明者 マイケル・ジョージ・テイラー イギリス エス03 7ビー・ディー ハ ンプシャー州サウサンプトン パーク・ ゲート セイント・エルモ ダンカン・ ロード(番地なし) (56)参考文献 特開 平3−265060(JP,A) 特開 昭63−249254(JP,A) 特公 昭63−25736(JP,B2)

Claims (4)

    (57)【特許請求の範囲】
  1. 【請求項1】ログオン時にユーザの識別を許可ユーザの
    第1定義と比較するユーザ確認手順を含む、システムへ
    のユーザ・アクセスを制限するための、通常アクセス制
    御手段と、 ログオン時にシステムの全ユーザによって参照される、
    システム全域プロファイル手段と、 ログオン時にシステム全域プロファイル手段によって参
    照される、一時的に許可されていないユーザの第2定義
    を、システムの特権ユーザが作成できるようにする、一
    人または複数の通常の許可ユーザによるシステムへのア
    クセスを一時的に防止するための一時アクセス制御簡便
    化手段とを含む、ネットワークを介して複数のユーザに
    接続可能なコンピュータ・システム。
  2. 【請求項2】簡便化手段が、システム全域プロファイル
    に一時的に許可されていないユーザの第2定義を参照さ
    せるため、システム全域プロファイル手段を修正するよ
    うに適合されていることを特徴とする、請求項1に記載
    のシステム。
  3. 【請求項3】簡便化手段が、システム全域プロファイル
    に、一時的にアクセスを拒否されるユーザに一時アクセ
    ス制限に関する情報を提供させることを特徴とする、請
    求項1または請求項2に記載のシステム。
  4. 【請求項4】簡便化手段が、第2定義に従って一時的に
    許可されていない、すでにシステムにログ・オンしてい
    るユーザをログ・オフさせる手段を含むことを特徴とす
    る、請求項1ないし3のいずれかに記載のシステム。
JP6187033A 1993-09-03 1994-08-09 コンピュータ・システム Expired - Lifetime JP2642065B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB9318331.7 1993-09-03
GB9318331A GB2281645A (en) 1993-09-03 1993-09-03 Control of access to a networked system

Publications (2)

Publication Number Publication Date
JPH0784960A JPH0784960A (ja) 1995-03-31
JP2642065B2 true JP2642065B2 (ja) 1997-08-20

Family

ID=10741489

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6187033A Expired - Lifetime JP2642065B2 (ja) 1993-09-03 1994-08-09 コンピュータ・システム

Country Status (4)

Country Link
US (1) US5774650A (ja)
EP (1) EP0647901A2 (ja)
JP (1) JP2642065B2 (ja)
GB (1) GB2281645A (ja)

Families Citing this family (108)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8352400B2 (en) 1991-12-23 2013-01-08 Hoffberg Steven M Adaptive pattern recognition based controller apparatus and method and human-factored interface therefore
US7743248B2 (en) * 1995-01-17 2010-06-22 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
US6584568B1 (en) 1995-07-31 2003-06-24 Pinnacle Technology, Inc. Network provider loop security system and method
US6061795A (en) * 1995-07-31 2000-05-09 Pinnacle Technology Inc. Network desktop management security system and method
US7444394B2 (en) 1997-02-03 2008-10-28 Canon Kabushiki Kaisha Network data base control device and method thereof
US7821926B2 (en) * 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US7580919B1 (en) 1997-03-10 2009-08-25 Sonicwall, Inc. Query interface to policy server
US6408336B1 (en) 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US6105027A (en) * 1997-03-10 2000-08-15 Internet Dynamics, Inc. Techniques for eliminating redundant access checking by access filters
US8914410B2 (en) 1999-02-16 2014-12-16 Sonicwall, Inc. Query interface to policy server
US7272625B1 (en) 1997-03-10 2007-09-18 Sonicwall, Inc. Generalized policy server
US7912856B2 (en) * 1998-06-29 2011-03-22 Sonicwall, Inc. Adaptive encryption
US5925126A (en) * 1997-03-18 1999-07-20 Memco Software, Ltd. Method for security shield implementation in computer system's software
US5944825A (en) * 1997-05-30 1999-08-31 Oracle Corporation Security and password mechanisms in a database system
US7778877B2 (en) 2001-07-09 2010-08-17 Linkshare Corporation Enhanced network based promotional tracking system
US7020622B1 (en) * 1997-06-10 2006-03-28 Linkshare Corporation Transaction tracking, managing, assessment, and auditing data processing system and network
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US6023762A (en) * 1997-07-09 2000-02-08 Northern Telecom Limited Multi-view personalized communications agent
US5894552A (en) * 1997-08-15 1999-04-13 The United States Of America As Represented By The Secretary Of The Navy Method and apparatus for manually switching to a secured network
US6202156B1 (en) * 1997-09-12 2001-03-13 Sun Microsystems, Inc. Remote access-controlled communication
JPH11143827A (ja) 1997-11-04 1999-05-28 Toshiba Corp 計算機資源割り当てシステム、携帯端末及び計算機資源管理方法
US6112263A (en) * 1997-12-15 2000-08-29 Intel Corporation Method for multiple independent processes controlling access to I/O devices in a computer system
JPH11265544A (ja) * 1998-03-16 1999-09-28 Fujitsu Ltd 記憶装置及びそのパスワード制御方法
US6470454B1 (en) * 1998-03-31 2002-10-22 International Business Machines Corporation Method and apparatus for establishing computer configuration protection passwords for protecting computer configurations
US6243816B1 (en) 1998-04-30 2001-06-05 International Business Machines Corporation Single sign-on (SSO) mechanism personal key manager
US6275944B1 (en) 1998-04-30 2001-08-14 International Business Machines Corporation Method and system for single sign on using configuration directives with respect to target types
US6178511B1 (en) 1998-04-30 2001-01-23 International Business Machines Corporation Coordinating user target logons in a single sign-on (SSO) environment
US6240512B1 (en) 1998-04-30 2001-05-29 International Business Machines Corporation Single sign-on (SSO) mechanism having master key synchronization
US6202083B1 (en) * 1998-05-18 2001-03-13 Micron Electronics, Inc. Method for updating wallpaper for computer display
WO1999066383A2 (en) * 1998-06-15 1999-12-23 Dmw Worldwide, Inc. Method and apparatus for assessing the security of a computer system
US6826692B1 (en) * 1998-12-23 2004-11-30 Computer Associates Think, Inc. Method and apparatus to permit automated server determination for foreign system login
US7966078B2 (en) 1999-02-01 2011-06-21 Steven Hoffberg Network media appliance system and method
FR2789536B1 (fr) * 1999-02-08 2001-03-09 Bull Sa Dispositif et procede d'authentification d'un utilisateur a distance
US6668323B1 (en) 1999-03-03 2003-12-23 International Business Machines Corporation Method and system for password protection of a data processing system that permit a user-selected password to be recovered
US6601175B1 (en) 1999-03-16 2003-07-29 International Business Machines Corporation Method and system for providing limited-life machine-specific passwords for data processing systems
US6542994B1 (en) 1999-04-12 2003-04-01 Pinnacle Technologies, Inc. Logon authentication and security system and method
US6629246B1 (en) * 1999-04-28 2003-09-30 Sun Microsystems, Inc. Single sign-on for a network system that includes multiple separately-controlled restricted access resources
FI110565B (fi) 1999-06-08 2003-02-14 Nokia Corp Menetelmä ja järjestelmä puhelinkeskusjärjestelmässä
US7877492B2 (en) * 1999-10-12 2011-01-25 Webmd Corporation System and method for delegating a user authentication process for a networked application to an authentication agent
US7350071B1 (en) * 1999-11-08 2008-03-25 Avaya Technology Corp. Encrypted and non-encrypted communication of message data
US6766397B2 (en) * 2000-02-07 2004-07-20 Emc Corporation Controlling access to a storage device
US7444368B1 (en) * 2000-02-29 2008-10-28 Microsoft Corporation Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis
US20070033252A1 (en) * 2000-03-30 2007-02-08 Combest Ricky F Dynamic virtual network and method
US7007174B2 (en) * 2000-04-26 2006-02-28 Infoglide Corporation System and method for determining user identity fraud using similarity searching
US20010054153A1 (en) * 2000-04-26 2001-12-20 Wheeler David B. System and method for determining user identity fraud using similarity searching
JP2002044345A (ja) * 2000-07-27 2002-02-08 Murata Mach Ltd ネットワークファクシミリ装置
US7251610B2 (en) * 2000-09-20 2007-07-31 Epic Systems Corporation Clinical documentation system for use by multiple caregivers
US8050944B2 (en) * 2000-09-20 2011-11-01 Epic Systems Corporation Intelligent patient visit information management and navigation system
GB2368151A (en) * 2000-10-19 2002-04-24 One Zone Networks Determining access privilege to electronic data
US20020055918A1 (en) * 2000-11-08 2002-05-09 Patrick Hlathein Operating room resource management system incorporating an interactive, visual method for coordinating multiple, interdependent
EP1211588B1 (de) * 2000-12-04 2005-09-21 Siemens Aktiengesellschaft Verfahren zum Nutzen einer Datenverarbeitungsanlage abhängig von einer Berechtigung, zugehörige Datenverarbeitungsanlage und zugehöriges Programm
US20020120472A1 (en) * 2000-12-22 2002-08-29 Dvorak Carl D. System and method for integration of health care records
US7043752B2 (en) 2001-01-12 2006-05-09 Siemens Medical Solutions Health Services Corporation System and user interface supporting concurrent application initiation and interoperability
US7334031B2 (en) 2001-01-12 2008-02-19 Siemens Medical Solutions Health Services Corporation System and user interface supporting processing and activity management for concurrently operating applications
US7272848B1 (en) 2001-02-13 2007-09-18 Network Appliance, Inc. Method for device security in a heterogeneous storage network environment
US20020129285A1 (en) * 2001-03-08 2002-09-12 Masateru Kuwata Biometric authenticated VLAN
US20020138636A1 (en) * 2001-03-23 2002-09-26 Mark Buttner Method for automatically mass generating personalized data report outputs
US6981144B2 (en) * 2001-04-06 2005-12-27 International Business Machines Corporation System console device authentication in a network environment
US7020645B2 (en) 2001-04-19 2006-03-28 Eoriginal, Inc. Systems and methods for state-less authentication
US20020165898A1 (en) * 2001-05-03 2002-11-07 Joe Duffy Recipient-determined method for sharing tasks in an advanced electronic messaging/workflow system
US20030061073A1 (en) * 2001-08-01 2003-03-27 Khiang Seow Method and system for displaying patient information
US20030154110A1 (en) * 2001-11-20 2003-08-14 Ervin Walter Method and apparatus for wireless access to a health care information system
US20030130872A1 (en) * 2001-11-27 2003-07-10 Carl Dvorak Methods and apparatus for managing and using inpatient healthcare information
US7194762B2 (en) * 2001-11-30 2007-03-20 Lenovo (Singapore) Pte. Ltd. Method of creating password list for remote authentication to services
US7243853B1 (en) 2001-12-04 2007-07-17 Visa U.S.A. Inc. Method and system for facilitating memory and application management on a secured token
US7093284B2 (en) 2002-02-12 2006-08-15 International Business Machines Corporation Method, system, and storage medium for preventing recurrence of a system outage in a computer network
US8966081B1 (en) 2002-02-13 2015-02-24 Netapp, Inc. Method for device security in a heterogeneous storage network environment
US6829606B2 (en) * 2002-02-14 2004-12-07 Infoglide Software Corporation Similarity search engine for use with relational databases
US20030216945A1 (en) * 2002-03-25 2003-11-20 Dvorak Carl D. Method for analyzing orders and automatically reacting to them with appropriate responses
US20030220815A1 (en) * 2002-03-25 2003-11-27 Cathy Chang System and method of automatically determining and displaying tasks to healthcare providers in a care-giving setting
US20030220816A1 (en) * 2002-04-30 2003-11-27 Andy Giesler System and method for managing interactions between machine-generated and user-defined patient lists
US20030220821A1 (en) * 2002-04-30 2003-11-27 Ervin Walter System and method for managing and reconciling asynchronous patient data
US20030220817A1 (en) * 2002-05-15 2003-11-27 Steve Larsen System and method of formulating appropriate subsets of information from a patient's computer-based medical record for release to various requesting entities
US20040010465A1 (en) * 2002-05-20 2004-01-15 Cliff Michalski Method and apparatus for exception based payment posting
US20040010422A1 (en) * 2002-05-20 2004-01-15 Cliff Michalski Method and apparatus for batch-processed invoicing
US7979294B2 (en) * 2002-07-31 2011-07-12 Epic Systems Corporation System and method for providing decision support to appointment schedulers in a healthcare setting
US20040172520A1 (en) * 2002-09-19 2004-09-02 Michael Smit Methods and apparatus for visually creating complex expressions that inform a rules-based system of clinical decision support
US20040139021A1 (en) 2002-10-07 2004-07-15 Visa International Service Association Method and system for facilitating data access and management on a secure token
DE10350174A1 (de) * 2002-11-29 2004-06-24 Siemens Ag Verfahren zum Anmelden von Nutzern an Datenverarbeitungseinrichtungen
US20040267910A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. Single-point management system for devices in a cluster
US20050015621A1 (en) * 2003-07-17 2005-01-20 International Business Machines Corporation Method and system for automatic adjustment of entitlements in a distributed data processing environment
US20050080897A1 (en) * 2003-09-29 2005-04-14 Capital One Financial Corporation Remote management utility
US8214875B2 (en) * 2004-02-26 2012-07-03 Vmware, Inc. Network security policy enforcement using application session information and object attributes
US9584522B2 (en) * 2004-02-26 2017-02-28 Vmware, Inc. Monitoring network traffic by using event log information
US8166554B2 (en) 2004-02-26 2012-04-24 Vmware, Inc. Secure enterprise network
US8024779B2 (en) * 2004-02-26 2011-09-20 Packetmotion, Inc. Verifying user authentication
US7941827B2 (en) * 2004-02-26 2011-05-10 Packetmotion, Inc. Monitoring network traffic by using a monitor device
AU2005218070B2 (en) * 2004-03-05 2013-01-17 Secure Systems Limited Partition access control system and method for controlling partition access
CA2558309A1 (en) 2004-03-05 2005-09-15 Secure Systems Limited Partition access control system and method for controlling partition access
JP4585213B2 (ja) * 2004-03-24 2010-11-24 株式会社日立製作所 データ保護方法及び認証方法並びにプログラム
US7644285B1 (en) * 2004-04-08 2010-01-05 Intuit Inc. Recovery access to secure data
US20060004605A1 (en) * 2004-06-21 2006-01-05 Epic Systems Corporation System and method for a comprehensive interactive graphical representation of a health care facility for managing patient care and health care facility resources
US8140370B2 (en) * 2005-01-20 2012-03-20 Epic Systems Corporation System and method for reducing the steps involved in searching for available appointment times and scheduling appointments in a health care environment
JP4630691B2 (ja) * 2005-03-03 2011-02-09 株式会社リコー データベース装置とその処理方法
US7779452B2 (en) * 2005-04-05 2010-08-17 International Business Machines Corporation Computer access security
US8230487B2 (en) 2005-12-21 2012-07-24 International Business Machines Corporation Method and system for controlling access to a secondary system
US20070157019A1 (en) * 2005-12-30 2007-07-05 Intel Corporation Location-based network access
US8126438B2 (en) * 2006-05-19 2012-02-28 Broadcom Corporation Method and system for using a mobile terminal as a location-based reminder
US8433726B2 (en) * 2006-09-01 2013-04-30 At&T Mobility Ii Llc Personal profile data repository
US20080133726A1 (en) * 2006-12-01 2008-06-05 Microsoft Corporation Network administration with guest access
DE102006057400B4 (de) * 2006-12-04 2011-06-16 Mobotix Ag Zugriffskontrollsteuerung
WO2008098710A1 (en) * 2007-02-12 2008-08-21 Zequr Technologies A/S Method of managing passwords using a master password
US7822841B2 (en) * 2007-10-30 2010-10-26 Modern Grids, Inc. Method and system for hosting multiple, customized computing clusters
US20090125564A1 (en) * 2007-11-13 2009-05-14 Walsh Robert E Method of controlling user access to multiple systems
US9767268B2 (en) * 2011-04-20 2017-09-19 International Business Machines Corporation Optimizing a compiled access control table in a content management system
US9047323B2 (en) * 2011-07-27 2015-06-02 Emc Corporation System and method for reviewing role definitions
CN102833782A (zh) * 2012-08-23 2012-12-19 中兴通讯股份有限公司 一种错误码信息获取方法、装置及系统
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4135240A (en) * 1973-07-09 1979-01-16 Bell Telephone Laboratories, Incorporated Protection of data file contents
US4087856A (en) * 1976-06-30 1978-05-02 International Business Machines Corporation Location dependence for assuring the security of system-control operations
US4218738A (en) * 1978-05-05 1980-08-19 International Business Machines Corporation Method for authenticating the identity of a user of an information system
US4672572A (en) * 1984-05-21 1987-06-09 Gould Inc. Protector system for computer access and use
US4677434A (en) * 1984-10-17 1987-06-30 Lotus Information Network Corp. Access control system for transmitting data from a central station to a plurality of receiving stations and method therefor
US4719566A (en) * 1985-10-23 1988-01-12 International Business Machines Corporation Method for entrapping unauthorized computer access
US4805222A (en) * 1985-12-23 1989-02-14 International Bioaccess Systems Corporation Method and apparatus for verifying an individual's identity
US4771461A (en) * 1986-06-27 1988-09-13 International Business Machines Corporation Initialization of cryptographic variables in an EFT/POS network with a large number of terminals
GB2247964A (en) * 1990-09-13 1992-03-18 John Robert Devany Controlling access to a keyboard-operated computer system
US5249230A (en) * 1991-11-21 1993-09-28 Motorola, Inc. Authentication system
US5276901A (en) * 1991-12-16 1994-01-04 International Business Machines Corporation System for controlling group access to objects using group access control folder and group identification as individual user
US5402490A (en) * 1992-09-01 1995-03-28 Motorola, Inc. Process for improving public key authentication
US5469576A (en) * 1993-03-22 1995-11-21 International Business Machines Corporation Front end for file access controller
US5564016A (en) * 1993-12-17 1996-10-08 International Business Machines Corporation Method for controlling access to a computer resource based on a timing policy

Also Published As

Publication number Publication date
EP0647901A2 (en) 1995-04-12
GB2281645A (en) 1995-03-08
US5774650A (en) 1998-06-30
GB9318331D0 (en) 1993-10-20
JPH0784960A (ja) 1995-03-31

Similar Documents

Publication Publication Date Title
JP2642065B2 (ja) コンピュータ・システム
US6029246A (en) Network distributed system for updating locally secured objects in client machines
US7380267B2 (en) Policy setting support tool
AU658720B2 (en) Computer system security
US6584568B1 (en) Network provider loop security system and method
US5680547A (en) Method and apparatus for controlling network and workstation access prior to workstation boot
US5359660A (en) Local area network peripheral lock method and system
US6061795A (en) Network desktop management security system and method
US5655077A (en) Method and system for authenticating access to heterogeneous computing services
US7975289B2 (en) Program, client authentication requesting method, server authentication request processing method, client and server
US7580933B2 (en) Resource handling for taking permissions
US20050080898A1 (en) System and method for managing computer usage
JP2002517854A (ja) 制限付きのトークンを使用したセキュリティモデル
JP2005275775A (ja) データ保護方法及び認証方法並びにプログラム
JPH06223040A (ja) ソフトウェアライセンス管理システム
US7203697B2 (en) Fine-grained authorization using mbeans
WO1996013002A1 (en) Method and apparatus for controlling network and workstation access prior to workstation boot
JP2000502825A5 (ja)
CN114861160A (zh) 提升非管理员账户权限的方法及装置、设备、存储介质
JP4174692B2 (ja) コンピュータシステム、およびその管理方法、記録媒体
JPH0789351B2 (ja) セキュリティ管理処理方式
US20030065795A1 (en) Computer system and method for managing remote access of user resources
JPH10177524A (ja) 情報処理システム
JPH07134696A (ja) 機密保護機能切り替え方式
JP2003058266A (ja) ライセンス管理方法とライセンス管理プログラム