seos

在 [seos] 部分中,标记确定由 CA ControlMinder 使用的全局设置。
cminder12901cn
在 [seos] 部分中,标记确定由 CA ControlMinder 使用的全局设置。
  • admin_data
    指定存储 CA ControlMinder 安全管理员规则和其他配置文件的目录。
    默认值:
    ACInstallDir
    /data
  • auth_login
    确定登录权限方法。 有效值为:
    native
    -登录时,将对照 UNIX 密码或 shadow 文件来检查用户密码。
    eTrust
    -当用户在本地环境中不存在时,对照 CA ControlMinder 数据库检查用户密码。
    PAM
    -当用户在本地环境中不存在时,通过 PAM 模块检查登录。 这仅在支持 PAM 的计算机上得到支持。 PAM 用于验证用户,例如:LDAP 定义的用户。
    默认值:
    native
  • auth_module_names
    定义允许在本地身份验证之外进行验证的语言客户端模块。 此标记在身份验证前由 Ica API 调用内的客户端设置。 更改此标记可以影响非本地模式的其他客户端验证。
    无默认值。
  • fast_create_db
    指定 PMDB 是否使用快速数据库复制设备。
    有效值为:
    no
    -使用旧设备。
    yes
    -使用快速数据库复制设备。
    默认值
    :yes
  • full_year
    指定使用四位数字或后两位数字显示年份的格式。
    例如:如果将该标记设置为 yes,则将显示 2000,而不是 00。
    有效值包括:
    yes
    -四位数字
    no
    -两位数字
    该标记影响由 secons -tv、dbmgr -d 以及 seaudit 实用程序产生的输出。
    默认值:
    yes(四位数字)
  • ldap_base
    定义搜索库的辨别名称,该搜索库用于通过启用了 LDAP 的 CA ControlMinder 实用程序(例如 sebuildla)在 LDAP 目录信息树 (DIT) 中查询用户数据。
    例如:您可以使用以下格式,并使用您自己的内容来替换输入内容:
    o=organization_name,c=country_name
    默认值:
    不设置标记
重要信息!
要设置 sebuildla 和所需的 LDAP 配置设置,必须熟悉 LDAP 并能够执行 ldapsearch 命令。 建议您阅读 ldap(1) 和 ldapsearch(1) 的手册页,以及有关在您的 LDAP 客户端的文档中设置的信息。
  • ldap_hostname
    定义正在为启用 LDAP 的 CA ControlMinder 实用程序运行 LDAP 服务器的主机名的空格分隔列表。
    默认值:
    不设置标记 (localhost)。
  • ldap_certdb_path
    定义 Netscape 样式证书数据库所在的目录。
    在平台(使用 LDAP over SSL (Solaris) 的 Netscape LDAP SDK API)上,sebuildla 需要该标记。 要使 sebuildla 工作,证书数据库必须包含 LDAP 服务器的有效证书。
    注意:
    sebuildla 将结合使用 LDAP over SSL 和服务器身份验证,即不进行客户端身份验证。 请参阅 PKI 工具包文档,以了解设置安全服务的详细信息。
    默认值:
    /.netscape
  • ldap_keydb
    定义密钥数据库文件的名称。
    注意:
    此设置仅针对 AIX,因为 AIX 密钥数据库可以有任意名称(与 Netscape 安全数据库相反,根据实施版本,有像 certX.db 和 keyY.db 一样的名称,因此仅需要 ldap_certdb_path 用于查找他们)。
    默认值:
    不设置标记
  • ldap_method
    指定 CA ControlMinder 为了让启用 LDAP 的实用程序访问 LDAP 服务而使用的绑定方法。
    默认情况下,sebuildla 将
    简单
    身份验证用于所有安全机制。 在简单身份验证中,ldap_userdn 和相应凭据被传送到 LDAP 服务器。 sebuildla 以加密形式将用户凭据存储在
    ACInstallDir
    /etc 下的 ldapcred.dat 中。 这两个参数与 LDAP 服务器要求的帐户和密码组合近似。
    注意:
    对于 SASL 或 TLSv.1/SSL,请参阅 LDAP 服务器文档。 对于要生效的特殊 ldap_method 设置,相应的机制必须在执行 sebuildla(即,具有 TLS/SSL 操作,有效证书应安装在服务器和客户端上)的计算机上部署的本地 LDAP 客户端中得到支持并进行配置。
    有效值为:
    0
    -标准 LDAP
    1
    -SASL (RFC 2222)
    2
    -LDAPS(LDAP over SSL-仅服务器身份验证。)
    注意:
    您使用的方法确定您设置 ldap_userdn 标记和其相应凭据的方式(通过 seldapcred 实用程序)。
    默认值:
    0
  • ldap_port
    为启用 LDAP 的 CA ControlMinder 实用程序定义 LDAP 服务器端口。 如果 LDAP 服务器未使用标准的 LDAP 端口 (389),则更改此标记。
    默认值:
    不设置标记 (389)。
  • ldap_query_size
    定义 sebuildla 在每个批处理查询中检索的 LDAP 条目的最大数。
    不想更改 LDAP 服务器端大小限制参数时,请使用此标记。 通常,sebuildla 尝试检索一个实例中的所有数据,如果有无数用户条目,就有可能超过服务器的大小限制,且可能导致 LDAP 操作失败。 如果设置 ldap_query_size,sebuildla 不需针对未失败的操作检索所有条目。 如果用户条目的总数大于 ldap_query_size 或服务器端大小限制,那么检索到的条目数与这两个设置的下限数目相符。
    重要信息!
    启用批处理查询会影响 sebuildla 的性能。 考虑仅在 LDAP 环境在 DIT(目录信息树)中有无数的用户数据(数千条目)的地方使用此设置。
    注意:
    有关服务器端 LDAP 控制的信息,例如:OpenLDAP 服务器 (slapd) sizelimit 参数,请参阅 LDAP 服务器文档。默认值:不设置标记 (空)
  • ldap_timeout
    定义在终止连接前启用了 LDAP 的 CA ControlMinder 实用程序在绑定到 LDAP 服务并获得 LDAP 搜索结果时等待的最长时间(秒)。 从 LDAP 服务检索信息所需的时间取决于 LDAP 服务的速度以及存储在 DIT 中的用户数据量。 使用此标记对这些方面进行说明。
    注意:
    您也可能需要调整服务器端 LDAP 控件,以避免截短搜索结果。 例如:对于 OpenLDAP 服务器 (slapd),您需要调整大小限制参数。 有关详细信息,请参阅 LDAP 服务器文档。
    默认值:
    不设置标记 (15 秒)
  • ldap_uid_attr
    定义在 LDAP DIT 中包含用户名的属性名称。 RFC 2307(使用 LDAP 作为网络信息服务的方法)指定
    uid
    作为属性,这是该标记的默认值。 更改此标记以允许启用 LDAP 的 CA ControlMinder 实用程序按照具有非标准架构的 LDAP DIT 运行。
    默认值:
    不设置标记 (uid)。
  • ldap_uidNumber_attr
    定义在 LDAP DIT 中包含 UID 号的属性名称。 RFC 2307 指定
    uidNumber
    作为属性,这是该标记的默认值。 更改此标记以允许启用 LDAP 的 CA ControlMinder 实用程序按照具有非标准架构的 LDAP DIT 运行。
    默认值:
    不设置标记 (uidNumber)。
  • ldap_user_class
    定义在 LDAP DIT 中包含用户数据的对象类名称。 RFC 2307 指定
    posixAccount
    作为对象类,这是该标记的默认值。 更改此标记以允许启用 LDAP 的 CA ControlMinder 实用程序按照具有非标准架构的 LDAP DIT 运行。
    默认值:
    不设置标记 (posixAccount)。
  • ldap_userdn
    定义启用 LDAP 的 CA ControlMinder 实用程序用于从 LDAP DIT 检索用户数据的 LDAP 用户的可分辨名称 (DN)。 基于 RFC 2307,CA ControlMinder 预期在 DIT 的
    ou=People
    级别的
    uid
    uidNumber
    属性中找到用户数据。 由于安全原因,建议您仅授予此用户 (ldap_userdn) 访问此数据的权限。
    如果允许匿名访问 DIT,您可以将此标记保留为空。 否则,您必须设置此标记,并必须为启用 LDAP 的 CA ControlMinder 实用程序允许 seldapcred 实用程序,以便验证到 LDAP 服务(您只需要操作一次,因为 seldapcred 将加密的凭据存储在一个文件中以备再次使用)。
    例如:按如下所示设置此标记:
    ldap_userdn = uid=user1,ou=People,dc=myCompany,dc=com
    默认值:
    不设置标记
  • ldap_userinfo_ladb
    指定是否从 LDAP 目录信息树 (DIT) 检索用户信息。
    限制:
    yes、no
    默认值:
    no
  • ldap_verbose
    指定是否启用涉及 sebuildla 获取用户数据的 LDAP 操作的详细帐户信息。
    请在 sebuildla 中设置 LDAP 数据检索或疑难解答时使用此设置。
    有效值禁用
    0
    ;启用非零整数。
    默认值:
    0
  • locale
    确定 CA ControlMinder 后台进程和实用程序的语言。 CA ControlMinder 可以使用多种语言运行。
    支持的语言包括:C、日语、简体中文、繁体中文
    有关语言的完整列表,请参阅 /etc/ca/localeX/calocmap.txt;在 Linux 中,请参阅
    /opt/CA/SharedComponents/cawin/locale/
    默认值:
    C
  • pam_deny_login_kill
    指定如何处理未经授权的登录。
    有效值:
    yes
    - CA ControlMinder 将向登录进程发送终止信号。
    no
    - 登录拒绝返回给 PAM 模块。
    默认值:
    yes
  • pam_enabled
    仅在 SOLARIS、HP-UX 和 LINUX 上有效。
    指定本地主机是否启用 PAM 在 LDAP 数据库中进行身份验证和密码更改。
    要进行操作,它会检查是否可以动态加载 PAM 库(该库必须在系统中存在)。
    有效值是:“no”、“yes”。
    默认值:
    yes
  • parent_pmd
    定义此计算机接受更新的策略模型数据库 (PMDB) 的以逗号分隔列表。 本地 CA ControlMinder 数据库拒绝来自未在该列表中指定的任何 PMDB 的更新。
    也可以指定一个包含行分隔 PMDB 列表的文件路径。
    将此标记设置为“_NO_MASTER_”以让本地 CA ControlMinder 数据库接受来自任何 PMDB 的更新。
    如果您不设置此标记,本地 CA ControlMinder 数据库不接受来自任何 PMDB 的更新。
    按 pmd_name@hostname 格式指定每个 PMDB
    例如:
    parent_pmd = pmd1@host1,pmd2@host1,pmd3@host2 parent_pmd = /opt/CA/AccessControl/parent_pmdbs_file
    默认值:
    不设置标记(数据库不接受 PMDB 的更新)。
    注意:
    sepass 不在 parent_pmd 标记上支持多个目标。
  • passwd_pmd
    指定 sepass 将密码更新发送到的 PMDB。
    如果不设置此标记,它将继承 parent_pmd 标记的值。
    格式为
    pmd_name
    @
    hostname
    parent_pmd 和 passwd_pmd 标记可具有相同的值。 如果 parent_pmd 和 passwd_pmd 标记中的值不相同,那么 passwd_pmd 数据库将其更新发送到 parent_pmd 数据库用于分发。 因此,parent_pmd 数据库必须是 passwd_pmd 数据库的子项(订户)。
    无默认值。
    注意:
    sepass 不在 passwd_pmd 标记上支持多个目标。
  • ReverseIpLookup
    控制 seagent 识别连接客户端的方式。
    有效值包括:
    yes
    -seagent 查找开放客户端套接字的 IP 地址。
    no
    -seagent 使用从客户端接收的主机名;seagent 不解析任何主机名。 (通过禁用 TERMINAL 类可以达到同样的效果。)
    默认值
    :yes
  • secondary_pmd
    指定用作针对用户(不在主要目标 (passwd_pmd) 中定义)密码替换的次要目标的 PMDB。
    格式为
    pmd_name@hostname
    无默认值。
  • SEOSPATH
    指定 CA ControlMinder 的安装目录。
    您可以将 CA ControlMinder 安装在任何目录中,
    只要
    不是
    NFS 挂接文件系统上。
    默认值:
    ACInstallDir
  • SyncUnixFilePerms
    指定 CA ControlMinder 是否应将其 ACL 权限与本地 UNIX 系统的 ACL 和其他权限同步(如果它们存在)。
    有效值包括:
    no
    -不将 UNIX 文件权限与 CA ControlMinder ACL 进行同步。
    warn
    -不同步 ACL 权限,但是如果 CA ControlMinder 与 UNIX 中的权限发生冲突,则发出警告。
    traditional
    -根据 ControlMinder ACL 更改组和所有者的 rwx 权限,并在所有其他情况下发出警告。
    acl
    -根据 ControlMinder ACL 更改本地文件系统 ACL(在支持 ACL 的平台上)。
    force
    -函数与 traditional 或 acl 相同(在支持 ACL 的平台上),但是也强制将 defaccess 映射到“其他”权限。
    注意:
    在 HP-UX 和 Sun Solaris 2.5(及以上版本)中,为文件系统 ACL 提供支持。 在其他平台和操作系统版本上,只支持文件的传统权限模式。
    默认值:
    no
  • TNG_Environment
    指定是否使用特殊的 Unicenter TNG 类和资源创建数据库。
    有效值包括:
    0
    -在不使用特殊 Unicenter TNG 类的情况下创建数据库。
    1
    -使用所有特殊的 Unicenter TNG 类创建数据库。
    默认值:
    0
  • TNGDir
    指定 Unicenter TNG 的安装目录。
    有效值是基础 Unicenter TNG 目录(或 .uniprodloc)。
    无默认值
  • TRUEPATH
    指定 CA ControlMinder 所在的物理目录。 CA ControlMinder 目录可能是其他物理位置的符号链接。 此标记指向安装该产品的实际物理位置。
    默认值:
    ACInstallDir
  • use_rpc_protocol
    确定是否需要 RPC portmapper。 如果想使用旧的 CA ControlMinder 协议 (1.43),需要有 RPC 端口映射程序。 需要旧协议来支持 NIS+ 密码更改。
    此标记替换old_protocol 标记。
    有效值包括:
    yes
    -使用 RPC portmapper 来指定端口。
    no
    -使用由 ServicePort 标记指定的端口。
    默认值:
    no