setoptions 命令 -- 设置 选项
在 AC 环境中有效
cminder12901cn
在 AC 环境中有效
setoptions 命令在运行的系统中设置系统范围的
Privileged Identity Manager
选项。 例如,您可以使用 setoptions 为每个类启用或禁用安全检查,或为所有类设置密码策略,并列出 Privileged Identity Manager
选项的当前设置。注意:
此命令也存在于 Windows 环境中,但以不同的方式操作。除了您仅仅需要 AUDITOR 或 OPERATOR 属性以使用命令 setoptions list,否则您需要 ADMIN 属性来使用 setoptions 命令。
此命令格式如下:
{setoptions|so} \
[accgrr|accgrr-] \ [accpacl|accpacl-] \ [ac_id(id)] \ [class+ (className)] \ [class- (className)] \ [class (className)] \ [flags{+|-} (I|W)] \ [cng_adminpwd|cng_adminpwd-] \ [cng_ownpwd|cng_ownpwd-] \ [cwarnlist] \ [dms{+|-}(dms@hostname)] \ [inactive(nDays)|inactive-] \ [is_dms{+|-}] \ [list] \ [maxlogins(nLogins)|maxlogins-] \ [password( \[{history(nStoredPasswords) | history-}] \[(interval(nDays) | interval-)] \[(min_life(nDays) | min_life-)] \[{rules( \ [alpha(nCharacters)] \ [alphanum(nCharacters)] \ [(bidirectional) | (bidirectional-)] \ [grace(nLogins)] \ [lowercase(nCharacters)] \ [min_len(nCharacters)] [max_len(nCharacters)] \ [max_rep(nCharacters)] \ [{namechk|namechk-}] [numeric(nCharacters)] \ [{oldpwchk|oldpwchk-}] [prohibited(prohibitedCharacters)] \ [special(nCharacters)] \ [sub_str_len(nCharacters)] \ [uppercase(nCharacters)] \ [use_dbdict|use_dbdict-] \)|rules-}] \ )] \
- accgrr启用累积组权限 (ACCGRR) 选项。默认值为启用。
- accgrr-禁用累积组权限 (ACCGRR) 选项。
- accpacl在所有资源中启用 PACL 的使用。
- accpacl-禁用 PACL。
- ac_id(id)定义将保存在本地Privileged Identity Manager数据库和 DMS 上的端点的唯一 ID(HNODE 对象)。 此 ID 可帮助标识 HNODE,以便对端点 IP 地址或名称所做的更改不会影响高级策略管理功能;它仍可跟踪端点。
- class (className)为一个类进行设置或清除设置。
- class+(className)启用一个或多个类。 必须启用一个类以保护该类的资源。 只有在已定义必要的记录,以便允许访问属于该类的资源之后,才应激活类。 有关随Privileged Identity Manager提供的资源类的详细信息,请参阅《适用于 UNIX 的端点管理指南》。请使用以下值之一:
- 类名
- SECLEVEL。 这可启用安全级别检查。
- PASSWORD。 这可激活密码规则。 在 Windows 上,还可启用任意长度的密码。
- class-(className)禁用一个或多个类。 属于禁用类的资源不受保护。 请使用以下值之一:
- 类名
- SECLEVEL。 这可禁用安全级别检查。
- PASSWORD。 这可禁用密码规则。 在 Windows 上,还可禁用长密码。
- cng_adminpwd启用具有 PWMANAGER 属性的用户更改 ADMIN 用户的密码。
- cng_adminpwd-禁用具有 PWMANAGER 属性的用户更改 ADMIN 用户的密码。 这是默认设置。
- cng_ownpwd通过 selang 启用用户更改自己的密码。
- cng_ownpwd-通过 selang 禁用用户更改自己的密码。 这是默认设置。
- cwarnlist显示有关处于警告模式类的数据表。
- dms{+|-}(dms@hostname)向该数据库的 DMS 数据库列表添加 DMS 数据库或从列表中删除。
- flags{+|-} (I|W)设置或清除与类关联的功能。 有效值为:
- I指定类中的对象区分大小写。注意:请验证在设置 I 标志之前存在具有相同名称的资源。 如果有多个大写或小写资源,则会在重新启动时出现数据库错误。 重新启动Privileged Identity Manager以使 I 标志更改生效。
- W指定类的警告模式。
注意:标志区分大小写;请使用大写字符。 - history(NStoredPasswords)指定在历史记录列表中存储的先前使用的密码数量。 密码更改时,前一个密码即被添加到列表,必要时,最旧的密码从列表中丢弃。Privileged Identity Manager防止用户将他们的密码更改为列表中的一个。输入从 1 到 24 的整数。 如果指定为零,将不保存密码。在 Windows 上,历史选项可启用长于 8 个字符的密码。 存储密码由 setoptions bidirectional 或 bidirectional- 选项确定时使用加密形式。在 UNIX 上,历史记录选项不会影响是否启用长密码。 使用 passwd_local_encryption_method 配置设置以确定是否启用长密码。
- history-禁用密码历史检查。在 Windows 上,该选项可禁用长密码。
- inactive(nDays)指定非活动天数,在此之后用户的登录会挂起。 非活动天数是指用户不登录的日子。 输入正整数。 如果将 inactive 设置为零,效果与使用 inactive- 参数相同。
- inactive-禁用非活动登录检查。
- interval(nDays)定义设置或更改密码之后到系统提示用户输入新密码之前必须间隔的天数。 输入正整数或零。 如果时间间隔为零,则禁用对用户的密码时间间隔检查。 如果不想让密码过期,请将时间间隔设置为零。如果实用工具 segrace 是用户登录脚本的一部分,则会在到达指定的天数时通知用户当前的密码已到期。 然后,用户可立即续订密码,或继续使用旧密码,直到达到宽限登录次数。 达到宽限登录次数后,将拒绝用户访问系统,用户必须与系统管理员联系以选择新密码。
- interval-取消密码时间间隔设置。
- is_dms+将当前数据库指定为 DMS。
- is_dms-删除将当前数据库指定为 DMS。
- list在屏幕上显示当前设置。
- maxlogins(nLogins)设置用户可同时登录的最多终端数。 0(零)值表示用户可同时从任意数量的终端登录。 通过在用户的用户记录中分配值,可以覆盖该值。注意:如果将 maxlogins 设置为 1,则无法运行 selang。 必须关闭Privileged Identity Manager,将 maxlogins 设置更改为大于 1 的值,然后重新启动Privileged Identity Manager。注意:仅在 Unix 和 Linux 操作系统上有效。
- maxlogins-禁用全局最大登录检查。 用户可登录的终端数为无限,除非用户的登录在用户的用户记录上受到限制。
- min_life(NDays)设置两次密码更改间隔的最少天数。 输入正整数。
- password设置密码选项。
- rules设置用于检查新密码质量的一个或多个密码规则。 这些规则为:
- alpha(nCharacters)设置新密码必须包含的最少字母字符数。 输入一个整数。
- alphanum(nCharacters)设置新密码必须包含的最少字母数字字符数。 输入一个整数。
- bidirectional指定将密码作为 PMDB 的一部分发送到其他系统时以明文形式(在加密消息中)分发。在 UNIX 上,此选项相当于设置 passwd 部分的以下设置值:Passwd_distribution_encryption_mode=bidirectional注意:我们建议您对配置设置进行设置,而不是使用 setoptions 命令。在 Windows 上,密码以在注册表值中指定的加密方式存储在历史记录列表中:HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Encryption Package
- bidirectional-指定将密码以其哈希加密形式发送。在 Windows 上,使用的哈希函数是 SHA-1。在 UNIX 上,此选项相当于设置 passwd 部分的以下设置值:Passwd_distribution_encryption_mode=compatibility注意:我们建议您对配置设置进行设置,而不是使用 setoptions 命令。如果指定了该选项,则将无法在不同种类的操作系统之间分发长密码。
- grace(nLogins)设置在挂起用户之前所允许的宽限登录的最大次数。 宽限登录次数必须介于 0 和 255 之间(包含 0 和 255)。
- lowercase(nCharacters)设置新密码必须包含的最少小写字符数。 输入一个整数。
- min_len(nCharacters)设置最小密码长度。 输入新密码必须包含的最少字符总数。
- max_len(nCharacters)设置最大密码长度。 输入新密码必须包含的最大字符总数。
- max_rep(nCharacters)设置新密码必须包含的最大重复字符数。 输入一个整数。
- namechk检查密码是否包含用户名或被用户名包含。 默认情况下,会发生这种检查。
- namechk-关闭 namechk 检查。
- numeric(nCharacters)设置新密码必须包含的最少数字字符数。 输入一个整数。
- oldpwchk检查新密码是否包含要替换的密码或被要替换的密码包含。 默认情况下,会发生这种检查。注意:仅在 Unix 和 Linux 操作系统上有效。
- oldpwchk-关闭 oldpwchk。
- prohibited(prohibitedCharacters)指定用户不能在密码中使用的字符。 输入禁止字符。注意:我们建议您验证控制字符“\”和“t”都在 prohibitedCharacters 列表中被指定,阻止使用 Tab 键。
- special(nCharacters)设置新密码必须包含的最少特殊字符数。 输入一个整数。
- sub_str_len(nCharacters)设置新密码与旧密码最多的共用字符数。 输入一个整数。
- uppercase(nCharacters)设置新密码必须包含的最少大写字符数。 输入一个整数。
- use_dbdict | use_dbdict-指定密码字典。 use_dbdict 将标记设置为 db,并且将密码与Privileged Identity Manager数据库中的词进行比较。 use_dbdict- 将标记设置为文件,并针对 UNIX 或 Windows registry for Windows 在 seos.ini 文件中指定的文件检查密码。
- rules-禁用密码质量检查。 rules 参数指定的规则均不会用于密码质量检查。
示例:设置
Privileged Identity Manager
选项- 用户 John 希望激活 OpsAct 类,这是一个安装定义的类,用于保护操作员的操作。用户 John 拥有 ADMIN 属性。setoptions class+(OpsAct)
- 用户 Mike 希望设置密码策略,强制用户提供长度至少为 6 个字符的密码。 Mike 还希望激活密码策略实施。用户 Mike 具有有 ADMIN 属性。setoptions class+(PASSWORD) setoptions password(rules(min_len(6)))
- 用户 SecAdmin 希望启用安全级别检查。用户 SecAdmin 具有 ADMIN 属性。setoptions class+(SECLEVEL)
- 用户 Janani 希望为该数据库设置一个将通知发送到的 DMS。用户 Janani 具有 ADMIN 属性。setoptions dms+(apache@myHost)
示例:将类置于警告模式
通过对类设置 Warning 属性将类置于警告模式。 您可以使用 setoptions selang 命令执行,如下所示:
setoptions class(classname) flags+ (W)
- classname定义您要置于警告模式的类名称。
注意:
W 标志区分大小写,该标志必须为大写。要清除类的警告模式,您还可以使用 setoptions 命令,如下所示:
setoptions class(classname) flags- (W)