seos
在 [seos] 部分中,标记确定由 CA ControlMinder 使用的全局设置。
cminder12901cn
在 [seos] 部分中,标记确定由 CA ControlMinder 使用的全局设置。
- admin_data指定存储 CA ControlMinder 安全管理员规则和其他配置文件的目录。默认值:ACInstallDir/data
- auth_login确定登录权限方法。 有效值为:native-登录时,将对照 UNIX 密码或 shadow 文件来检查用户密码。eTrust-当用户在本地环境中不存在时,对照 CA ControlMinder 数据库检查用户密码。PAM-当用户在本地环境中不存在时,通过 PAM 模块检查登录。 这仅在支持 PAM 的计算机上得到支持。 PAM 用于验证用户,例如:LDAP 定义的用户。默认值:native
- auth_module_names定义允许在本地身份验证之外进行验证的语言客户端模块。 此标记在身份验证前由 Ica API 调用内的客户端设置。 更改此标记可以影响非本地模式的其他客户端验证。无默认值。
- fast_create_db指定 PMDB 是否使用快速数据库复制设备。有效值为:no-使用旧设备。yes-使用快速数据库复制设备。默认值:yes
- full_year指定使用四位数字或后两位数字显示年份的格式。例如:如果将该标记设置为 yes,则将显示 2000,而不是 00。有效值包括:yes-四位数字no-两位数字该标记影响由 secons -tv、dbmgr -d 以及 seaudit 实用程序产生的输出。默认值:yes(四位数字)
- ldap_base定义搜索库的辨别名称,该搜索库用于通过启用了 LDAP 的 CA ControlMinder 实用程序(例如 sebuildla)在 LDAP 目录信息树 (DIT) 中查询用户数据。例如:您可以使用以下格式,并使用您自己的内容来替换输入内容:o=organization_name,c=country_name默认值:不设置标记
重要信息!
要设置 sebuildla 和所需的 LDAP 配置设置,必须熟悉 LDAP 并能够执行 ldapsearch 命令。 建议您阅读 ldap(1) 和 ldapsearch(1) 的手册页,以及有关在您的 LDAP 客户端的文档中设置的信息。- ldap_hostname定义正在为启用 LDAP 的 CA ControlMinder 实用程序运行 LDAP 服务器的主机名的空格分隔列表。默认值:不设置标记 (localhost)。
- ldap_certdb_path定义 Netscape 样式证书数据库所在的目录。在平台(使用 LDAP over SSL (Solaris) 的 Netscape LDAP SDK API)上,sebuildla 需要该标记。 要使 sebuildla 工作,证书数据库必须包含 LDAP 服务器的有效证书。注意:sebuildla 将结合使用 LDAP over SSL 和服务器身份验证,即不进行客户端身份验证。 请参阅 PKI 工具包文档,以了解设置安全服务的详细信息。默认值:/.netscape
- ldap_keydb定义密钥数据库文件的名称。注意:此设置仅针对 AIX,因为 AIX 密钥数据库可以有任意名称(与 Netscape 安全数据库相反,根据实施版本,有像 certX.db 和 keyY.db 一样的名称,因此仅需要 ldap_certdb_path 用于查找他们)。默认值:不设置标记
- ldap_method指定 CA ControlMinder 为了让启用 LDAP 的实用程序访问 LDAP 服务而使用的绑定方法。默认情况下,sebuildla 将简单身份验证用于所有安全机制。 在简单身份验证中,ldap_userdn 和相应凭据被传送到 LDAP 服务器。 sebuildla 以加密形式将用户凭据存储在ACInstallDir/etc 下的 ldapcred.dat 中。 这两个参数与 LDAP 服务器要求的帐户和密码组合近似。注意:对于 SASL 或 TLSv.1/SSL,请参阅 LDAP 服务器文档。 对于要生效的特殊 ldap_method 设置,相应的机制必须在执行 sebuildla(即,具有 TLS/SSL 操作,有效证书应安装在服务器和客户端上)的计算机上部署的本地 LDAP 客户端中得到支持并进行配置。有效值为:0-标准 LDAP1-SASL (RFC 2222)2-LDAPS(LDAP over SSL-仅服务器身份验证。)注意:您使用的方法确定您设置 ldap_userdn 标记和其相应凭据的方式(通过 seldapcred 实用程序)。默认值:0
- ldap_port为启用 LDAP 的 CA ControlMinder 实用程序定义 LDAP 服务器端口。 如果 LDAP 服务器未使用标准的 LDAP 端口 (389),则更改此标记。默认值:不设置标记 (389)。
- ldap_query_size定义 sebuildla 在每个批处理查询中检索的 LDAP 条目的最大数。不想更改 LDAP 服务器端大小限制参数时,请使用此标记。 通常,sebuildla 尝试检索一个实例中的所有数据,如果有无数用户条目,就有可能超过服务器的大小限制,且可能导致 LDAP 操作失败。 如果设置 ldap_query_size,sebuildla 不需针对未失败的操作检索所有条目。 如果用户条目的总数大于 ldap_query_size 或服务器端大小限制,那么检索到的条目数与这两个设置的下限数目相符。重要信息!启用批处理查询会影响 sebuildla 的性能。 考虑仅在 LDAP 环境在 DIT(目录信息树)中有无数的用户数据(数千条目)的地方使用此设置。注意:有关服务器端 LDAP 控制的信息,例如:OpenLDAP 服务器 (slapd) sizelimit 参数,请参阅 LDAP 服务器文档。默认值:不设置标记 (空)
- ldap_timeout定义在终止连接前启用了 LDAP 的 CA ControlMinder 实用程序在绑定到 LDAP 服务并获得 LDAP 搜索结果时等待的最长时间(秒)。 从 LDAP 服务检索信息所需的时间取决于 LDAP 服务的速度以及存储在 DIT 中的用户数据量。 使用此标记对这些方面进行说明。注意:您也可能需要调整服务器端 LDAP 控件,以避免截短搜索结果。 例如:对于 OpenLDAP 服务器 (slapd),您需要调整大小限制参数。 有关详细信息,请参阅 LDAP 服务器文档。默认值:不设置标记 (15 秒)
- ldap_uid_attr定义在 LDAP DIT 中包含用户名的属性名称。 RFC 2307(使用 LDAP 作为网络信息服务的方法)指定uid作为属性,这是该标记的默认值。 更改此标记以允许启用 LDAP 的 CA ControlMinder 实用程序按照具有非标准架构的 LDAP DIT 运行。默认值:不设置标记 (uid)。
- ldap_uidNumber_attr定义在 LDAP DIT 中包含 UID 号的属性名称。 RFC 2307 指定uidNumber作为属性,这是该标记的默认值。 更改此标记以允许启用 LDAP 的 CA ControlMinder 实用程序按照具有非标准架构的 LDAP DIT 运行。默认值:不设置标记 (uidNumber)。
- ldap_user_class定义在 LDAP DIT 中包含用户数据的对象类名称。 RFC 2307 指定posixAccount作为对象类,这是该标记的默认值。 更改此标记以允许启用 LDAP 的 CA ControlMinder 实用程序按照具有非标准架构的 LDAP DIT 运行。默认值:不设置标记 (posixAccount)。
- ldap_userdn定义启用 LDAP 的 CA ControlMinder 实用程序用于从 LDAP DIT 检索用户数据的 LDAP 用户的可分辨名称 (DN)。 基于 RFC 2307,CA ControlMinder 预期在 DIT 的ou=People级别的uid和uidNumber属性中找到用户数据。 由于安全原因,建议您仅授予此用户 (ldap_userdn) 访问此数据的权限。如果允许匿名访问 DIT,您可以将此标记保留为空。 否则,您必须设置此标记,并必须为启用 LDAP 的 CA ControlMinder 实用程序允许 seldapcred 实用程序,以便验证到 LDAP 服务(您只需要操作一次,因为 seldapcred 将加密的凭据存储在一个文件中以备再次使用)。例如:按如下所示设置此标记:ldap_userdn = uid=user1,ou=People,dc=myCompany,dc=com默认值:不设置标记
- ldap_userinfo_ladb指定是否从 LDAP 目录信息树 (DIT) 检索用户信息。限制:yes、no默认值:no
- ldap_verbose指定是否启用涉及 sebuildla 获取用户数据的 LDAP 操作的详细帐户信息。请在 sebuildla 中设置 LDAP 数据检索或疑难解答时使用此设置。有效值禁用0;启用非零整数。默认值:0
- locale确定 CA ControlMinder 后台进程和实用程序的语言。 CA ControlMinder 可以使用多种语言运行。支持的语言包括:C、日语、简体中文、繁体中文有关语言的完整列表,请参阅 /etc/ca/localeX/calocmap.txt;在 Linux 中,请参阅/opt/CA/SharedComponents/cawin/locale/。默认值:C
- pam_deny_login_kill指定如何处理未经授权的登录。有效值:yes- CA ControlMinder 将向登录进程发送终止信号。no- 登录拒绝返回给 PAM 模块。默认值:yes
- pam_enabled仅在 SOLARIS、HP-UX 和 LINUX 上有效。指定本地主机是否启用 PAM 在 LDAP 数据库中进行身份验证和密码更改。要进行操作,它会检查是否可以动态加载 PAM 库(该库必须在系统中存在)。有效值是:“no”、“yes”。默认值:yes
- parent_pmd定义此计算机接受更新的策略模型数据库 (PMDB) 的以逗号分隔列表。 本地 CA ControlMinder 数据库拒绝来自未在该列表中指定的任何 PMDB 的更新。也可以指定一个包含行分隔 PMDB 列表的文件路径。将此标记设置为“_NO_MASTER_”以让本地 CA ControlMinder 数据库接受来自任何 PMDB 的更新。如果您不设置此标记,本地 CA ControlMinder 数据库不接受来自任何 PMDB 的更新。按 pmd_name@hostname 格式指定每个 PMDB例如:parent_pmd = pmd1@host1,pmd2@host1,pmd3@host2 parent_pmd = /opt/CA/AccessControl/parent_pmdbs_file默认值:不设置标记(数据库不接受 PMDB 的更新)。注意:sepass 不在 parent_pmd 标记上支持多个目标。
- passwd_pmd指定 sepass 将密码更新发送到的 PMDB。如果不设置此标记,它将继承 parent_pmd 标记的值。格式为pmd_name@hostname。parent_pmd 和 passwd_pmd 标记可具有相同的值。 如果 parent_pmd 和 passwd_pmd 标记中的值不相同,那么 passwd_pmd 数据库将其更新发送到 parent_pmd 数据库用于分发。 因此,parent_pmd 数据库必须是 passwd_pmd 数据库的子项(订户)。无默认值。注意:sepass 不在 passwd_pmd 标记上支持多个目标。
- ReverseIpLookup控制 seagent 识别连接客户端的方式。有效值包括:yes-seagent 查找开放客户端套接字的 IP 地址。no-seagent 使用从客户端接收的主机名;seagent 不解析任何主机名。 (通过禁用 TERMINAL 类可以达到同样的效果。)默认值:yes
- secondary_pmd指定用作针对用户(不在主要目标 (passwd_pmd) 中定义)密码替换的次要目标的 PMDB。格式为pmd_name@hostname。无默认值。
- SEOSPATH指定 CA ControlMinder 的安装目录。您可以将 CA ControlMinder 安装在任何目录中,只要不是在NFS 挂接文件系统上。默认值:ACInstallDir
- SyncUnixFilePerms指定 CA ControlMinder 是否应将其 ACL 权限与本地 UNIX 系统的 ACL 和其他权限同步(如果它们存在)。有效值包括:no-不将 UNIX 文件权限与 CA ControlMinder ACL 进行同步。warn-不同步 ACL 权限,但是如果 CA ControlMinder 与 UNIX 中的权限发生冲突,则发出警告。traditional-根据 ControlMinder ACL 更改组和所有者的 rwx 权限,并在所有其他情况下发出警告。acl-根据 ControlMinder ACL 更改本地文件系统 ACL(在支持 ACL 的平台上)。force-函数与 traditional 或 acl 相同(在支持 ACL 的平台上),但是也强制将 defaccess 映射到“其他”权限。注意:在 HP-UX 和 Sun Solaris 2.5(及以上版本)中,为文件系统 ACL 提供支持。 在其他平台和操作系统版本上,只支持文件的传统权限模式。默认值:no
- TNG_Environment指定是否使用特殊的 Unicenter TNG 类和资源创建数据库。有效值包括:0-在不使用特殊 Unicenter TNG 类的情况下创建数据库。1-使用所有特殊的 Unicenter TNG 类创建数据库。默认值:0
- TNGDir指定 Unicenter TNG 的安装目录。有效值是基础 Unicenter TNG 目录(或 .uniprodloc)。无默认值
- TRUEPATH指定 CA ControlMinder 所在的物理目录。 CA ControlMinder 目录可能是其他物理位置的符号链接。 此标记指向安装该产品的实际物理位置。默认值:ACInstallDir
- use_rpc_protocol确定是否需要 RPC portmapper。 如果想使用旧的 CA ControlMinder 协议 (1.43),需要有 RPC 端口映射程序。 需要旧协议来支持 NIS+ 密码更改。此标记替换old_protocol 标记。有效值包括:yes-使用 RPC portmapper 来指定端口。no-使用由 ServicePort 标记指定的端口。默认值:no