策略依存关系
内容
cminder12901cn
内容
高级策略管理可用于实施部署和取消部署策略的顺序。
使用策略依存关系,您可以将依存于一个或多个其他策略的策略定义为直至所有先决条件策略均部署后,才可进行部署。 同样,如果一个或多个依存性策略仍为部署状态,则不能取消部署先决条件策略。
在创建或修改策略时,您可以定义策略依存关系。
策略验证
启用策略验证时,
Privileged Identity Manager
会在部署策略之前检查此策略是否包含错误。 如果 Privileged Identity Manager
在策略部署脚本中发现错误,则不会在端点上执行策略脚本。 这确保策略部署不会出现错误,并让您可以跟踪端点上的脚本错误。 默认情况下禁用策略验证。如果不启用策略验证而您部署策略出现错误,某些策略命令可能仍然执行而不管其他命令中的错误。
策略验证仅检查
Privileged Identity Manager
数据库命令,即 AC 环境下的 selang 命令。 策略验证不检查本机、配置或策略模型环境中的命令。 如果某策略同时包含 AC 环境和其他环境的命令,策略验证仅检查 AC 环境中的命令。策略验证无法检查取消部署脚本。
策略部署的工作原理
策略验证确认策略可以在没有错误的情况下部署,然后再将其实际部署到端点上。
注意:
默认情况下不启用策略验证。以下过程说明了策略验证的工作原理:
- 将某策略分配到主机或主机组。
- 在每个端点上,Privileged Identity Manager企业控制台会验证策略。
- 会出现以下情况之一:
- 如果策略不包含错误,Privileged Identity Manager企业控制台会将该策略部署到端点。端点会更新策略状态为已部署的 DMS。
- 如果策略脚本包含错误,Privileged Identity Manager企业控制台不会将该策略部署到端点。端点会更新策略状态为未执行的 DMS。 DMS 也会将与具有脚本错误的策略相对应的每个部署任务的状态更新为失败。注意:您可以使用Privileged Identity Manager企业控制台中的“部署审核”功能来查看出现错误的脚本。
启用策略验证
策略验证确保策略可以在没有错误的情况下部署,然后再将其实际部署到端点上。
要启用策略验证,请将 policyfetcher 部分中 policy_verification 配置的值设为 1。
策略验证随即启用。
创建定义变量的策略
创建和部署定义变量的策略可用于在多个端点上定义相同的变量。
创建定义变量的策略
- 使用定义变量的 selang 部署命令创建脚本文件。 使用以下 selang 命令定义每个变量:editres ACVAR ("variable_name") value("variable_value")
- (可选)将使用变量的 selang 命令添加到脚本文件中。注意:您必须定义策略中的每个变量,然后才能在该策略的后续规则中引用这些变量。 使用以下格式引用变量:"<!variable>"
- 在 DMS 上存储策略。
示例:创建定义变量的策略
在该示例中,下列策略定义了名为 jboss_home 且具有 /opt/jboss 值的变量,并且创建规则来授权用户 Mark 访问 /opt 目录中的任何资源(该目录是通过 JBoss 访问的)。
editres ACVAR ("jboss_home") value("/opt/jboss") authorize FILE /opt/* uid(Mark) access(all) via(pgm("<!jboss_home>/jboss"))
当端点编译该策略时,会创建以下规则:
authorize FILE /opt/* uid(Mark) access(all) via(pgm(/opt/jboss/jboss))
示例:创建定义多个变量值的策略
下列策略定义了名为 jboss_home 且具有 C:\JBoss 值的变量,将 C:\Program Files\JBoss 值添加到 jboss_home 变量中,并创建访问规则:
editres ACVAR ("jboss_home") value("C:\JBoss") editres ACVAR ("jboss_home") value+("C:\Program Files\JBoss") editres FILE ("<!jboss_home>\bin") defacc(none) audit(a)
当端点编译该策略时,会创建以下规则:
editres FILE ("C:\JBoss\bin") defacc(none) audit(a) editres FILE ("C:\Program Files\JBoss\bin") defacc(none) audit(a)
示例:使用变量将相同的策略部署到 Windows 和 UNIX 端点。
下列示例说明了虽然 JBoss 在每个操作系统上的安装位置不同,但是仍可使用变量将相同的 JBoss 策略部署到 Windows 和 UNIX 端点。 该示例定义了两个 jboss_home 变量,这些变量定义每个操作系统的 JBoss 安装位置:
- 定义两个 jboss_home 变量,这些变量定义每个操作系统的 JBoss 安装位置。
- 创建定义 Windows 上的 JBoss 安装位置的策略,并将该策略部署到 Windows 端点:editres ACVAR ("jboss_home") value("C:\JBoss")
- 创建定义 UNIX 上的 JBoss 安装位置的策略,并将该策略部署到 UNIX 端点:editres ACVAR ("jboss_home") value("/opt/jboss")
- 创建使用 jboss_home 变量保护 JBoss 安装位置的策略,并将该策略部署到 Windows 和 UNIX 端点:editres FILE "<!jboss_home>" defacc(none) audit(all)
- 当 Windows 端点编译策略时,会创建以下规则:editres FILE "C:\JBoss" defacc(none) audit(all)
- 当 UNIX 端点编译策略时,会创建以下规则:editres FILE "/opt/jboss" defacc(none) audit(all)
查看与策略关联的规则
一旦策略存储在 DMS 上,您就可以在部署中查看规则,并为每个策略版本取消部署脚本。
查看与策略关联的规则
- 在Privileged Identity Manager企业控制台中,依次单击“策略管理”、“策略”子选项卡,然后在左侧的任务菜单中展开“策略”树。将显示“策略”任务。
- 单击“查看策略”。此时将显示“查看策略: 策略搜索”屏幕。
- 定义搜索范围,然后单击“搜索”。将显示与定义的搜索范围匹配的策略列表。
- 选择要查看的策略,然后单击“选择”。此时出现“查看策略:policyName”页面。 在不同的选项卡上,您可以查看该策略的属性,包括其名称和说明、最新版本的部署和取消部署脚本、此策略的现有全部策略版本列表、所有策略依存关系,以及有关该策略的创建和更新事件的一般信息。
- 单击“版本历史记录”选项卡。策略版本的列表出现,每个都配有部署和取消部署脚本的链接。
- 请执行以下操作之一:
- 单击“部署脚本”链接。将显示带有部署脚本的弹出窗口。
- 单击“取消部署脚本”链接。将显示带有取消部署脚本的弹出窗口。
注意:
您也可以使用 policydeploy 实用工具来执行该任务。 有关 policydeploy 实用工具的详细信息,请参阅《参考指南
》。导入策略
导入策略时,
Privileged Identity Manager
企业控制台从本地 Privileged Identity Manager
数据库或 PMDB 导出 selang 规则,并在 DMS 上创建和存储包含规则的策略。 这允许您将保护一个端点的规则转换为可以保护许多端点的策略,并且帮助您将 PMDB 迁移到高级策略管理。注意:
您从其中导出规则的端点或 PMDB 必须位于安装了 Privileged Identity Manager
r12.0 或更高版本的主机上。 要从更早的 Privileged Identity Manager
版本导入策略,请首先升级端点。导入策略
- 在Privileged Identity Manager企业控制台中,请执行如下操作:
- 单击“策略管理”。
- 单击“策略”子选项卡。
- 在左侧的任务菜单中展开策略树。此时“策略导入”任务会显示在可用任务列表中。
- 单击“策略导入”。此时将显示“主机登录”页面。
- 键入用户名、密码和您要从其中导出规则的 PMDB 或主机的名称,然后单击“登录”。注意:以PMDBname@host格式指定 PMDB 名称,例如 master_pmdb@example“策略导入过程”向导将显示在“常规”任务阶段中。
- 填写以下字段,然后单击“下一步”。
- 名称定义策略的名称。 此名称在 DMS 上必须是唯一的(强制性),在企业中也必须唯一(非强制性,但如果已存在相同名称的策略,您将无法将策略部署到主机)。
- 说明(可选)定义策略的业务说明(自由文本)。 使用此字段记录策略的目的和有助于您识别策略的其他信息。
- 策略类指定要导出其规则的类,以包含在策略中。 如果在“选定列表”列中未指定任何类,将导出所有类并包含在策略中。
- 导出依存类指定以导出依赖于在“选定列表”列中指定类的所有类。 如果您不选择此选项,Privileged Identity Manager仅导出您在“选定列表”列中指定的类。
- 检查导出的规则,并根据需要进行修改,然后单击“下一步”。将显示“摘要”阶段。
- 单击完成。该策略即已创建。