CA ControlMinder 策略模型服务 (sepmdd)
在 Windows 上有效
cminder12901cn
在 Windows 上有效
CA ControlMinder 策略模型服务 (sepmdd) 即 PMDB 服务。 它可执行以下函数:
- 管理策略模型的 CA ControlMinder 和 Windows 数据库
- 管理订户数据库
- 将更改从 PMDB 传播到订户数据库
SeOSAgent 启动 sepmdd 服务。 无需显式运行 sepmdd。 每个策略模型的两个可能状态是“已启动”和“停止”。
PMDB 存储在公用目录中。 注册表子键 HKLM\Software\ComputerAssociates\AccessControl\Pmd 中的注册表值 _pmd_directory_ 指定公用目录的名称。 每个策略模型位于该公用目录的子目录中。 策略模型的名称是它所在的子目录名称。
当 sepmdd 启动时,它检查是否需要更新任何订户数据库,如果需要,就更新它们。 此启动过程之后,sepmdd 服务等待用户请求。 用户请求由策略模型管理实用程序 sepmd 发送,以及通过 CA ControlMinder 代理由 selang 发送。
收到请求后,sepmdd 会将其应用到 PMDB,并将结果发送回用户。 如果需要传播该请求,sepmdd 会将更新传播给其订户数据库。
sepmdd 服务尝试花费 30 秒更新订户数据库。 如果超出此时间而该服务仍无法成功更新某个订户,则会忽略该特定订户并尝试更新列表中的其余订户。 完成订户列表的首次扫描后,sepmdd 会接着执行第二次扫描,在这次扫描期间,它会尝试更新在第一次扫描期间未成功更新的订户。 在第二次扫描期间,它会尝试更新订户,直到连接系统调用超时(大约 90 秒)。
如果某个订户在第二次扫描期间不可用,sepmdd 会每 30 分钟尝试发送一次更新。
由于必须按接收的顺序来发送更新,因此 sepmdd 不会将后续更新发送到订户数据库,直到其可用。
每次 sepmdd 无法更新订户数据库时,策略模型错误日志中都会写入一条警告消息。
筛选机制
您可能希望 PMDB 有选择地更新它下面的订户工作站。 要定义发送到订户工作站的记录,请将注册表项字符串值设置为筛选文件。 这样,到订户工作站的更新仅限于通过筛选文件的记录。
下面是一个示例:
HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd\PolicyModelName\Filter
筛选文件由每行六个字段的行组成。 这些字段包含此信息:
- 允许或禁止的访问形式有效值包括:AUTHORIZE_DELETE、AUTHORIZE_MODIFY、CREATE、DELETE、DEPLOY、EDIT、FILESCAN、GET、SEOS_ACCS_READ、JOIN_DELETE、JOIN_MODIFY、MODIFY、READ、START 或 UNDEPLOY。
- 受影响的环境有效值包括:AC、CONFIG、UNIX、NT 或 NATIVE。
- 记录类有效值包括 CA ControlMinder 中的所有类,其中包含用户定义的类。
- 规则涵盖的类中的对象例如:User1、AuditGroup 或 COM2。
- 记录授予或取消的属性例如:将 GROUPS 和 FULLNAME 包括在用户记录的筛选行中意味着具有这些用户属性的任何命令都会被筛选。 您必须按每个属性显示的样子准确输入。
- 此类记录是否应该转发到订户工作站有效值包括:PASS、NOPASS
注意:
您可以在任何字段中使用星号来表示所有可能值。 如果不止一行涵盖相同的记录,则使用适用的第一行。在筛选文件的每一行中,空格分隔字段。 在具有多个值的字段中,分号分隔各个值。 任何以“#”开始的行均被视为注释行。 不允许有空行。 下面是某筛选文件中的行示例:
CREATE | AC | USER | * | FULLNAME;OBJ_TYPE | NOPASS |
form ofaccess | environment | 类 | record name ( * =all) | properties | 处理 |
例如,如果包含该行的文件名为 Printer1_Filter.flt,并且注册表项 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd\PM\Filter 包含行“C:\Program Files\CA\AccessControl\data\Printer1_Filter.flt”,则策略模型 PM-1 不会发送使用 FULLNAME 和 OBJ_TYPE(管理员、审核员等)创建新 CA ControlMinder 用户的记录。 星号表示任何名称。
以下是每个访问值相关的 selang 命令:
Access | selang 命令 |
AUTHORIZE_DELETE | authorize- |
AUTHORIZE_MODIFY | authorize |
CREATE | newres、newusr、newgrp、newfile |
DELETE | rmres、rmusr、rmgrp、rmfile、join- (UNIX) |
DEPLOY | deploy |
EDIT | editres、editusr、editgrp、editfile |
FILESCAN | search |
GET | get devcalc |
JOIN_DELETE | join- |
JOIN_MODIFY | join |
MODIFY | chres、chusr、chgrp、chfile、join (UNIX) |
READ | list |
START | start devcalc |
UNDEPLOY | deploy- (undeploy) |
注意:
CA ControlMinder 不验证规则;因此,如果您在规则中输入的值无效,该规则永远不会匹配更新事务。注册表子项
每个 PMDB 都有其自己的注册表子项:
HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd
此子项包含定义和确定 PMDB 活动的值。 如果子键尚不存在,则 sepmdd 实用程序会进行创建,并具有所需的最少项数。
- 注释
- 使用 selang 并选择某个策略模型作为目标(使用主机 pmd@hostname)时,对 sepmdd 的查询会应用到 PMDB,而不是各个订户数据库。
- 确保 PMDB 不会成为其自己的订户。 如果 PMDB 订阅它自己,策略模型可能会阻塞或者网络可能会过载,填写该过程中的磁盘。
- 在 UNIX 环境中使用 selang 更新策略模型时,无法使用 newusr 命令指定多个用户。
- 在 UNIX 环境中使用 selang 更新策略模型时,无法使用 newgrp 命令指定多个用户。
- 使用 selang 更新 UNIX 文件属性时,策略模型会生成一条消息,指出已将命令传递给其订户。
- 使用策略模型时,您无法查询 Windows 文件属性的状态。
- 在使用 -k 选项停用 sepmdd 服务之前,它将一直保持活跃状态。