pmd (pmd.ini)
[pmd] 部分包含 sepmdd 后台进程在构建和维护 PMDB 时所使用的属性。
cminder12901cn
[pmd] 部分包含 sepmdd 后台进程在构建和维护 PMDB 时所使用的属性。
- _min_retries_指定 sepmdd 至少应尝试向不可用订户重新发送下一个排队更新的次数。 sepmdd 将遍历订户列表以寻找未完成的更新,并在每次无法将更新重新发送到不可用订户时,使计数器递增。 在达到此标记中指定的最少尝试次数后,会将订户标记不可用状态。默认值:4
- _QD_timeout_指定 sepmdd 后台进程在第一次扫描其订户列表期间,尝试更新订户数据库时等待的最长时间(秒)。 如果超出此时间而该后台进程仍无法成功更新某个订户,则会忽略该特定订户,并尝试更新列表中的其余订户。完成订户列表的首次扫描后,sepmdd 会接着执行第二次扫描,在这次扫描期间,它会尝试更新在第一次扫描期间未成功更新的订户。 在第二次扫描期间,它会尝试更新订户,直到连接系统调用超时(大约 90 秒)。默认值:3
- _retry_timeout_在 _min_retries_ 中指定尝试的最少次数后,指定尝试向不可用订户重新发送更新之前等待的时间(分钟)。 在超过此标记所定义的分钟数后,它将订户标记为可用状态。直到发生以下情况,订户才会标记为不可用状态:
- 手动释放该订户。
- 手动关闭并重新启动了 sepmdd。 在以下情况下会重新启动 sepmdd:
- 如果有语言工具尝试连接该程序。
- 如果父 PMDB 要发送更新。
- pull 选项由订户触发。 CA ControlMinder 在该订户上启动时,这可能会发生。
- pull 选项由不可用订户触发。
注意:过于频繁地关闭 sepmdd 不可取,因为重新启动后台进程需要花费时间,这会导致整个传播过程变慢。 将该程序始终处于运行状态也不可取,因为这样可能引发一些稳定性问题,但这仅仅是推测。默认值:30 - _shutoff_time_指定 sepmdd 退出之前的活动时间(分钟)。 如果标记值为零,sepmdd 永不退出。默认值:0
- always_propagate如果将此标记设置为 no,策略模型无法执行的命令不会传播给订户。默认值:none
- exclude_file指定排除文件。排除文件包含应排除接收策略模型更新的主机名(每行一个)。默认值:none
- exclude_localhost让 pmdb 将本地主机排除作为订户接收更新。可能值:yes、no。默认值:no
- exclude_method启用/禁用排除订户时更新文件中的提升偏移量。值:"pmdwaitdo not promote offset否则为“bypass”默认值:pmdwait
- filter指定筛选文件的名称。
- force_auto_truncate指定 CA ControlMinder 是否截短更新文件,即使策略模型没有订户。您可以手动截短更新文件 (sepmd -t) 和 CA ControlMinder 还会根据定义触发自动截短的事件的单独配置设置 (trigger_auto_truncate) 自动截短文件。注意:如果策略模型的所有订户都“不同步”,则策略模型实际上没有订户。默认值:Yes
- group_file_name指定新的 UNIX 组的组文件的名称。 sepmdd 会将新 UNIX 组的组条目保存在该文件中。默认值:group
- is_maker_checker指定是否使用双控制。 此标记的有效值是 yes 和 no。如果选择了yes,PMDB 将不能直接更新,只能通过事务更新;在 PMDB 上实施这些命令之前,一个管理员输入的每个事务都必须由其他管理员处理。默认值:no
- password_file_name指定新 UNIX 用户的密码文件的名称。 sepmdd 会将新 UNIX 用户的密码条目存储在该文件。默认值:passwd
- send_unix_env表示 sepmd 是否发送策略模型密码文件和组文件的内容。如果将此标记设置为yes,那么sepmd -n选项将发送策略模型密码和组文件的内容。如果将此标记设置为no,则sepmd -n选项将不发送策略模型密码文件和组文件的内容。默认值:yes
- synch_uid确定 sepmdd 是否尝试在策略模型和其订户之间同步 UID。 此标记的有效值是 yes 和 no。如果该标记为no,sepmdd 不会尝试同步 UID。 会为用户分配每个订户主机上的第一个可用 UID。如果此标记为yes,则 sepmdd 会尝试同步 UID。 例如:如果使用 UID 1000 在 PMDB 上新建一个 UNIX 用户,则 sepmdd 会将该 UID 传输给所有订户。 如果 UID 1000 已在其中一个订户上使用,则该订户上的更新将失败。只有发送给 PMDB 的原始命令没有为该用户指定 UID 时,sepmdd 才会尝试同步 UID。 如果原始命令指定了 UID,指定的 UID 会发送给所有订户。默认值:yes
- TNG_Environment指定是否使用特殊 Unicenter TNG 类和资源创建数据库。有效值为:“0” - 不使用特殊 Unicenter TNG 类创建数据库“1” - 使用所有特殊 Unicenter TNG 类创建数据库默认值:0
- transaction_lib指定制定者-检查者策略的路径。默认值:/opt/CA/eTrustAccessControl/policies/maker
- trigger_auto_truncate定义触发更新文件自动截短功能的策略模型更新文件大小(兆字节)。如果使用小于下限的值,CA ControlMinder 会使用默认值。 如果使用大于上限的值,CA ControlMinder 将使用上限值。限制:1-2000 MB默认值:1024 MB
- update_while_processing定义策略模型在处理传入事件时将命令传播给订户的频率。频率是 updates_in_chunk 设置中的系数,并确定 PMD 在按顺序向下一个订户发送一组命令之前会处理多少命令。 例如:如果将此设置为 3 且 updates_in_chunk 设置为 10,在一次将命令集 (10) 按顺序发送给下一订户之前,PMD 将会处理 30 个命令。 值为 0 表示 PMD 在处理传入事件时不传播命令。默认值:1
- updates_in_chunk确定策略模型在每次循环中最多向每个订户发送的命令数。默认值:20
- UseEncryption指定是否对保存到 updates.dat 文件的更新信息进行加密。默认值:no
- UseShadow确定是否在引用 PMDB 本机环境时使用 shadow 文件。默认值:no
- YpServerSecure指定用于构建 NIS 密码映射的密码 shadow 文件(NIS 服务器上的安全文件)的名称。 只有将 UseShadow 设置为 yes 时,此标记才有意义。默认值:/etc/shadow