可以将属性值分组并使用在 rules 文件中的单一值表示它们。 这些属性值分组在 WLM 配置目录中的 groupings 文件中定义。
缺省情况下,配置不具有 groupings 文件。 没有可以创建这样一个文件的命令或管理界面。 要创建和使用属性值分组,请使用以下过程:
- 借助 root 用户权限,更改到适当的配置目录,如以下示例中所示:
- 使用收藏夹编辑器来创建和编辑名为 groupings的文件。
- 使用以下格式定义属性及其关联的值:
属性 = value, value, ...
所有值都必须由逗号隔开。 空格是没有意义的。 允许范围和通配符。 例如:
trusted = user[0-9][0-9], admin*
nottrusted = user23, user45
shell = /bin/?sh, \
/bin/sh, \
/bin/tcsh
rootgroup=system,bin,sys,security,cron,audit
- 保存文件。
- 要在类的选择条件中使用属性分组,请编辑 rules 文件。
属性分组名称必须以美元符号 ($) 开头以包含相应的值,或以惊叹号 (!) 来排除这些值。 惊叹号不能在组的成员中使用 (步骤
3) ,它是可以在此规则文件中的分组前面使用的唯一修饰符。 在以下示例中,星号(*)表示注释行:
*class resvd user group application type tag
classA - $trusted,!$nottrusted - - - -
classB - - - $shell,!/bin/zsh - -
classC - - $rootgroup - - -
- 保存文件。
此时,您的分类规则包括属性值分组。 当分析这些规则时,如果元素与 $ 在一起,那么系统在 groupings 文件中查找元素。 如果元素在语法上无效,或者如果 groupings 文件不存在,那么系统显示警告消息并继续处理其他规则。