基于策略的高级管理的工作原理

内容
cminder12901cn
内容
基于策略的高级管理可用于存储、部署和取消部署策略版本以及后续检查部署状态、部署偏差和部署分布。
基于策略的高级管理的工作原理如下:
  1. 创建一个策略。
    每个策略都包含一对 selang 命令脚本。 第一个脚本是
    部署脚本
    ,它包含一组用于构建策略的 selang 命令。 第二个脚本是
    取消部署脚本
    ,包含从端点数据库取消部署(删除)策略所需的命令。
  2. 使用
    Privileged Identity Manager
    企业控制台或 policydeploy 实用工具将策略详细信息存储在 DMS 中,然后
    Privileged Identity Manager
    使用自动版本控制来存储策略。
    策略详细信息包括策略说明、部署脚本和取消部署脚本以及策略依存关系。
  3. 根据 DMS 上是否已存在策略,
    Privileged Identity Manager
    将执行以下操作
    之一
    • 如果 DMS 上不存在策略名称,
      Privileged Identity Manager
      会创建第一个版本的策略 (
      policy_name
      #01) 和逻辑策略对象(GPOLICY 类),然后将策略版本添加为逻辑策略的成员。
    • 如果 DMS 上已存在策略名称,
      Privileged Identity Manager
      会将找到的最高策略版本加一来创建新的策略版本,然后将该策略版本添加为逻辑策略(GPOLICY 对象)的成员。
  4. 在时机恰当时使用
    Privileged Identity Manager
    企业控制台或 policydeploy 实用工具将保存的策略部署到目标数据库。
    Privileged Identity Manager
    在 DMS 上自动创建部署任务(DEPLOYMENT 对象)。
    注意:
    Privileged Identity Manager
    将部署最新且最终确定版本的存储策略。 您创建的新策略版本不会自动发送到分配的主机。 您需要将分配的主机手动升级到最新策略版本。注意:
    Privileged Identity Manager
    企业控制台将在创建 UNIX 身份验证代理登录策略和步骤策略之后自动部署这些策略。 只能将 UNIX 身份验证代理登录策略和配置策略分配给 UNIX 身份验证代理主机。
  5. Privileged Identity Manager
    在 DMS 上自动创建部署程序包(GDEPLOYMENT 对象)。
    部署程序包对上一步中创建的所有部署任务分组。
  6. DMS 将部署任务发送到分发主机 (DH)。
  7. 端点定期检查新策略部署任务(使用 policyfetcher),从 DH 提取挂起的部署任务,并在目标数据库上执行每个规则(部署脚本中指定的 selang 命令)。
  8. 端点使用部署任务状态(失败、成功)、失败命令生成的 selang 结果消息和 HNODE 上的策略状态更新 DH。
    注意:
    如果策略部署出现错误,可以使用
    Privileged Identity Manager
    企业控制台上的部署审核来详细了解失败命令的 selang 输出。 否则,您需要查看策略部署出现错误的计算机上的日志文件。
  9. DH 将对存储此信息的 DMS 上的部署任务状态和策略状态进行更新。
注意:
UNIX 身份验证代理登录策略和 UNIX 身份验证代理配置策略与基于策略的高级管理的工作原理不同。
部署方法如何影响部署任务
将存储的策略部署到目标数据库时,
Privileged Identity Manager
将在 DMS 上自动创建部署任务。 部署任务(DEPLOYMENT 对象)是由 DMS 为了在端点上执行任务而生成的工作指令。 每个部署任务都用于一个端点,并包含有关需要部署到端点上的策略版本的信息。
注意:
Privileged Identity Manager
使用不同的部署方法来部署 Unix 身份验证代理登录策略和配置策略。
用于部署存储策略的方式会影响
Privileged Identity Manager
创建的部署任务。 以下内容显示选择不同方法的结果:
  • 将策略(GPOLICY 对象)分配到一个或多个主机
    对于每台主机,创建最新且最终确定策略版本的部署任务。
  • 将策略(GPOLICY 对象)分配到一个或多个主机组
    对于属于某一主机组成员的每台主机,创建最新且最终确定策略版本的部署任务。
  • 将主机添加到已分配存储策略(GPOLICY 对象)的主机组
    对于新主机,创建最新且最终确定策略版本的部署任务。
  • 将策略重新部署到主机
    对于主机,创建最新且最终确定策略版本的部署任务。
  • 还原 HNODE 上的策略(重新部署应部署到该主机的策略)
    对于应部署到主机上的每个策略,创建主机上有效策略版本的部署任务。
  • 升级一个或多个主机上部署的策略
    如果存储在主机上的版本比部署在主机上的版本新,将为每台主机创建最新且最终确定策略版本的部署任务。
示例:将策略分配给主机
如果将策略 IIS 分配到主机 host1.comp.com 和 host2.comp.com,
Privileged Identity Manager
将创建两个部署任务:一个任务是在 host1.comp.com 上部署最新的 IIS 策略版本,另一个任务是在 host2.comp.com 上部署最新的 IIS 策略版本。
示例:将策略分配给主机组
主机组服务器有两个成员:hostA.comp.com 和 hostB.comp.com。 如果将策略 IIS 分配到主机组服务器,
Privileged Identity Manager
将创建两个部署任务:一个任务是在 hostA.comp.com 上部署最新的 IIS 策略版本,另一个任务是在 hostB.comp.com 上部署最新的 IIS 策略版本。
示例:将主机添加到已经分配策略的主机组
主机组服务器有两个分配的策略(IIS 和 ORACLE)。 如果将主机 test.comp.com 添加到主机组,
Privileged Identity Manager
将创建两个部署任务:一个任务是在 test.comp.com 上部署最新的 IIS 策略版本,另一个任务是在 test.comp.com 上部署最新的 ORACLE 策略版本。
示例:还原主机
主机分配了两个策略:policy1 和 policy2。 如果还原主机,
Privileged Identity Manager
将创建两个部署任务:一个任务是在主机上部署最新且最终确定的 policy1 版本,另一个任务是在主机上部署最新且最终确定的 policy2 版本。
示例:升级部署的策略
策略 IIS 部署在两个主机上,host1.comp.com 和 host2.comp.com,但是最新版本的策略 IIS 没有部署到 host1.comp.com 上。 如果对两个主机上的策略 IIS 都进行升级,
Privileged Identity Manager
仅创建一个部署任务,即在 host1.comp.com 上部署最新的 IIS 策略版本。
DMS 上承载的端点数据
当您配置高级策略管理的环境时,企业中的端点将通过配置的 DH 向 DMS 通知以下三个方面的状态更改:
  • 策略部署和取消部署
    当正在部署或取消部署策略时,端点会发送通知。 然后根据操作结果更新以下详细信息:
    • 策略的详细信息
    • 部署状态(成功、 失败等)
    • 无法执行的策略命令的 selang 命令输出
    • HNODE 策略状态(已部署、部署失败等)
  • 主机检测信号
    每个端点会以固定的可配置时间间隔将检测信号发送给在线主机的帐户。
  • 偏差状态
    每个检测信号发送之后,端点将计算策略偏差,然后发送结果(找到或未找到偏差)。
    注意:
    如果 policyfetcher 发现端点和 DH 之间的部署和偏差状态冲突,将根据从端点接收的信息解决冲突。
端点更新 DMS 的方式
每个端点都通过您配置的 DH 将检测信号(主机状态)、策略状态和偏差状态通知发送到 DMS。 这些 DMS 通知的处理方式如下:
  1. DH 将通知消息存储在更新文件中。
    这些通知消息是检测信号以及来自端点的策略部署和取消部署通知。
  2. DH 联系作为其订户的 DMS:
    • 如果 DMS 不可用,DH 将尝试与 DMS 定期通信,直至所有消息成功发送。
    • 如果 DMS 可用,DH 将发送存储的通知。
  3. DMS 将从每个 DH 接收的信息进行存储以供将来使用。
    每次创建报告时,
    Privileged Identity Manager
    都会从 DMS 上检索信息。
注意:
Unix 身份验证代理端点使用不同的过程来更新 DMS。