pmd (pmd.ini)

[pmd] 部分包含 sepmdd 后台进程在构建和维护 PMDB 时所使用的属性。
cminder12901cn
[pmd] 部分包含 sepmdd 后台进程在构建和维护 PMDB 时所使用的属性。
  • _min_retries_
    指定 sepmdd 至少应尝试向不可用订户重新发送下一个排队更新的次数。 sepmdd 将遍历订户列表以寻找未完成的更新,并在每次无法将更新重新发送到不可用订户时,使计数器递增。 在达到此标记中指定的最少尝试次数后,会将订户标记不可用状态。
    默认值:
    4
  • _QD_timeout_
    指定 sepmdd 后台进程在第一次扫描其订户列表期间,尝试更新订户数据库时等待的最长时间(秒)。 如果超出此时间而该后台进程仍无法成功更新某个订户,则会忽略该特定订户,并尝试更新列表中的其余订户。
    完成订户列表的首次扫描后,sepmdd 会接着执行第二次扫描,在这次扫描期间,它会尝试更新在第一次扫描期间未成功更新的订户。 在第二次扫描期间,它会尝试更新订户,直到连接系统调用超时(大约 90 秒)。
    默认值:
    3
  • _retry_timeout_
    在 _min_retries_ 中指定尝试的最少次数后,指定尝试向不可用订户重新发送更新之前等待的时间(分钟)。 在超过此标记所定义的分钟数后,它将订户标记为可用状态。
    直到发生以下情况,订户才会标记为不可用状态:
    • 手动释放该订户。
    • 手动关闭并重新启动了 sepmdd。 在以下情况下会重新启动 sepmdd:
      1. 如果有语言工具尝试连接该程序。
      2. 如果父 PMDB 要发送更新。
      3. pull 选项由订户触发。 CA ControlMinder 在该订户上启动时,这可能会发生。
    • pull 选项由不可用订户触发。
    注意:
    过于频繁地关闭 sepmdd 不可取,因为重新启动后台进程需要花费时间,这会导致整个传播过程变慢。 将该程序始终处于运行状态也不可取,因为这样可能引发一些稳定性问题,但这仅仅是推测。
    默认值:
    30
  • _shutoff_time_
    指定 sepmdd 退出之前的活动时间(分钟)。 如果标记值为零,sepmdd 永不退出。
    默认值:
    0
  • always_propagate
    如果将此标记设置为 no,策略模型无法执行的命令不会传播给订户。
    默认值
    :none
  • exclude_file
    指定排除文件。
    排除文件包含应排除接收策略模型更新的主机名(每行一个)。
    默认值:
    none
  • exclude_localhost
    让 pmdb 将本地主机排除作为订户接收更新。
    可能值:yes、no。
    默认值:
    no
  • exclude_method
    启用/禁用排除订户时更新文件中的提升偏移量。
    值:
    "pmdwaitdo not promote offset
    否则为“bypass”
    默认值:
    pmdwait
  • filter
    指定筛选文件的名称。
  • force_auto_truncate
    指定 CA ControlMinder 是否截短更新文件,即使策略模型没有订户。
    您可以手动截短更新文件 (sepmd -t) 和 CA ControlMinder 还会根据定义触发自动截短的事件的单独配置设置 (trigger_auto_truncate) 自动截短文件。
    注意:
    如果策略模型的所有订户都“不同步”,则策略模型实际上没有订户。
    默认值:
    Yes
  • group_file_name
    指定新的 UNIX 组的组文件的名称。 sepmdd 会将新 UNIX 组的组条目保存在该文件中。
    默认值:
    group
  • is_maker_checker
    指定是否使用双控制。 此标记的有效值是 yes 和 no。
    如果选择了
    yes
    ,PMDB 将不能直接更新,只能通过事务更新;在 PMDB 上实施这些命令之前,一个管理员输入的每个事务都必须由其他管理员处理。
    默认值:
    no
  • password_file_name
    指定新 UNIX 用户的密码文件的名称。 sepmdd 会将新 UNIX 用户的密码条目存储在该文件。
    默认值:
    passwd
  • send_unix_env
    表示 sepmd 是否发送策略模型密码文件和组文件的内容。
    如果将此标记设置为
    yes
    ,那么
    sepmd -n
    选项将发送策略模型密码和组文件的内容。
    如果将此标记设置为
    no
    ,则
    sepmd -n
    选项将不发送策略模型密码文件和组文件的内容。
    默认值:
    yes
  • synch_uid
    确定 sepmdd 是否尝试在策略模型和其订户之间同步 UID。 此标记的有效值是 yes 和 no。
    如果该标记为
    no
    ,sepmdd 不会尝试同步 UID。 会为用户分配每个订户主机上的第一个可用 UID。
    如果此标记为
    yes
    ,则 sepmdd 会尝试同步 UID。 例如:如果使用 UID 1000 在 PMDB 上新建一个 UNIX 用户,则 sepmdd 会将该 UID 传输给所有订户。 如果 UID 1000 已在其中一个订户上使用,则该订户上的更新将失败。
    只有发送给 PMDB 的原始命令没有为该用户指定 UID 时,sepmdd 才会尝试同步 UID。 如果原始命令指定了 UID,指定的 UID 会发送给所有订户。
    默认值:
    yes
  • TNG_Environment
    指定是否使用特殊 Unicenter TNG 类和资源创建数据库。
    有效值为:
    “0” - 不使用特殊 Unicenter TNG 类创建数据库
    “1” - 使用所有特殊 Unicenter TNG 类创建数据库
    默认值:
    0
  • transaction_lib
    指定制定者-检查者策略的路径。
    默认值:
    /opt/CA/eTrustAccessControl/policies/maker
  • trigger_auto_truncate
    定义触发更新文件自动截短功能的策略模型更新文件大小(兆字节)。
    如果使用小于下限的值,CA ControlMinder 会使用默认值。 如果使用大于上限的值,CA ControlMinder 将使用上限值。
    限制:
    1-2000 MB
    默认值:
    1024 MB
  • update_while_processing
    定义策略模型在处理传入事件时将命令传播给订户的频率。
    频率是 updates_in_chunk 设置中的系数,并确定 PMD 在按顺序向下一个订户发送一组命令之前会处理多少命令。 例如:如果将此设置为 3 且 updates_in_chunk 设置为 10,在一次将命令集 (10) 按顺序发送给下一订户之前,PMD 将会处理 30 个命令。 值为 0 表示 PMD 在处理传入事件时不传播命令。
    默认值:
    1
  • updates_in_chunk
    确定策略模型在每次循环中最多向每个订户发送的命令数。
    默认值:
    20
  • UseEncryption
    指定是否对保存到 updates.dat 文件的更新信息进行加密。
    默认值:
    no
  • UseShadow
    确定是否在引用 PMDB 本机环境时使用 shadow 文件。
    默认值:
    no
  • YpServerSecure
    指定用于构建 NIS 密码映射的密码 shadow 文件(NIS 服务器上的安全文件)的名称。 只有将 UseShadow 设置为 yes 时,此标记才有意义。
    默认值:
    /etc/shadow