seos
[seos] セクションのトークンは、 で使用されるグローバル設定を指定します。
cminder140jp
[seos] セクションのトークンは、
Privileged Access Manager Server Control
で使用されるグローバル設定を指定します。- admin_dataPrivileged Access Manager Server ControlSecurity Administrator のルールおよびその他の環境設定ファイルが保存されるディレクトリを指定します。デフォルト:ACInstallDir/data
- auth_loginログイン権限方法を決定します。有効な値は以下のとおりです。native- ログイン時に、UNIX のパスワードまたはシャドウ ファイルと照合して、ユーザのパスワードをチェックします。eTrust- ネイティブ環境にユーザが存在していないときに、Privileged Access Manager Server Controlデータベースと照合して、ユーザのパスワードをチェックします。PAM- ネイティブ環境にユーザが存在していないときに、PAM モジュールを使用してログインをチェックします。これは、PAM がサポートされているマシンでのみサポートされます。PAM は LDAP 定義のユーザなどのユーザを検証するために使用されます。デフォルト:native
- auth_module_namesネイティブ認証以外の認証が許可されている言語クライアント モジュールを定義します。このトークンは、認証前に lca API 呼び出しでクライアントによって設定されます。このトークンを変更すると、非ネイティブ モードで認証する他のクライアントに影響する可能性があります。デフォルト値なし
- fast_create_dbPMDB が高速なデータベース コピー デバイスを使用するかどうかを指定します。有効な値は以下のとおりです。no- 古いデバイスを使用します。yes- 高速データベース コピー デバイスを使用します。デフォルト:yes
- full_year4 桁または下 2 桁で年を表示する形式を指定します。たとえば、このトークンを yes に設定すると、年は 00 ではなく 2000 と表示されます。以下の値が有効です。yes- 4 桁no- 2 桁このトークンは、secons -tv、dbmgr -d、および seaudit ユーティリティで生成される出力に影響します。デフォルト:yes (4 桁)
- ldap_basePrivileged Access Manager Server Controlの LDAP 対応ユーティリティ(sebuildla など)によって、LDAP ディレクトリ情報ツリー(DIT)のユーザ データ クエリの検索ベースの識別名を定義します。たとえば、以下の形式を使用して、独自の入力内容に置換します。o=organization_name,c=country_nameデフォルト:トークンは設定されていません
重要:
sebuildla および必要な LDAP 設定をセットアップするには、LDAP をよく理解していて、ldapsearch コマンドを実行できる必要があります。ldap(1)、ldapsearch(1)についての man ページ、および LDAP クライアント用のマニュアルでセットアップの説明を参照することをお勧めします。- ldap_hostnamePrivileged Access Manager Server Controlの LDAP 対応ユーティリティに対して LDAP サーバが実行されているホスト名のリストを、スペース区切り形式で定義します。デフォルト:トークンは設定されていません(localhost)。
- ldap_certdb_pathNetscape スタイルの証明書データベースが格納されるディレクトリを定義します。このトークンは、SSL を介した LDAP に Netscape LDAP SDK API を使用するプラットフォーム(Solaris)での sebuildla に必要です。sebuildla が機能するには、証明書データベースに、LDAP サーバの有効な証明書が含まれている必要があります。注:sebuildla は、サーバ認証(すなわち、クライアントなし認証)に LDAP over SSL を使用します。安全なサービスのセットアップの詳細については、PKI ツールキットのドキュメントを参照してください。デフォルト:/.netscape
- ldap_keydbキー データベース ファイルの名前を定義します。注:AIX のキー データベースには任意の名前を付けることができるため、この設定は AIX 用のみです。対照的に、Netscape セキュリティ データベースには、実装バージョンに応じて、certX.db や keyY.db などの名前が付けられるため、検索には ldap_certdb_path のみが必要です。デフォルト:トークンは設定されていません
- ldap_methodPrivileged Access Manager Server Controlが LDAP サービスにアクセスするために LDAP 対応ユーティリティに使用するバインド方法を指定します。デフォルトでは、sebuildla は、すべてのセキュリティ メカニズムと共に簡単な認証を使用します。簡単な認証では、ldap_userdn および対応するクレデンシャルが LDAP サーバに渡されます。sebuildla は、ACInstallDir/etc にある ldapcred.dat に、暗号化された形式でユーザ クレデンシャルを格納します。これらの 2 つのパラメータは、LDAP サーバに必要なアカウントとパスワードの組み合わせの近似値です。注:SASL または TLSv.1/SSL については、LDAP サーバのマニュアルを参照してください。特定の ldap_method 設定を有効にするには、sebuildla が実行されているコンピュータにデプロイされているネイティブ LDAP クライアントで、対応するメカニズムがサポートおよび設定されている必要があります。つまり、TLS/SSL 操作では、有効な証明書が、サーバとクライアントの両方にインストールされている必要があります。有効な値は以下のとおりです。0- 標準 LDAP1- SASL (RFC 2222)2- LDAPS(SSL を介した LDAP - サーバ認証のみ)注:ここで使用する方法により、ldap_userdn トークン、および(seldapcred ユーティリティを使用して)対応するクレデンシャルをどのように設定するかが決まります。デフォルト:0
- ldap_portPrivileged Access Manager Server Controlの LDAP 対応ユーティリティに対して LDAP サーバのポートを定義します。このトークンは、LDAP サーバが標準 LDAP ポート(389)を使用していない場合に変更します。デフォルト:トークンは設定されていません(389)
- ldap_query_sizesebuildla が各バッチ クエリで取得する LDAP エントリの最大数を定義します。このトークンは、LDAP サーバ側のサイズ制限パラメータを変更しない場合に使用します。通常、sebuildla は 1 つのインスタンスのすべてのデータを取得しようとします。多数のユーザ エントリがある場合は、データの量がサーバのサイズ制限を超えて LDAP 操作が失敗する可能性があります。ldap_query_size を設定した場合、sebuildla はすべてのエントリを取得する必要がないため、操作は成功します。ユーザ エントリの合計数が、ldap_query_size とサーバ側のサイズ制限のいずれかより大きい場合、取得されるエントリ数はこれら 2 つの設定値の低い方に対応します。重要:バッチ クエリを有効にすると、sebuildla のパフォーマンスに影響が生じることがあります。この設定の使用は、LDAP 環境で、DIT(ディレクトリ情報ツリー)に大量のユーザ データ(数千以上の規模のエントリ)がある場合にのみ検討してください。注:OpenLDAP サーバ(slapd)の sizelimit パラメータなど、サーバ側の LDAP 制御の詳細については、LDAP サーバのマニュアルを参照してください。デフォルト: トークンは設定されていません(空白)
- ldap_timeoutPrivileged Access Manager Server Controlの LDAP 対応ユーティリティが、LDAP サービスにバインドして LDAP 検索結果を取得するときに待機する最大時間(秒単位)を定義します。この時間を超えると、接続が終了します。LDAP サービスから情報を取得する際にかかる時間は、LDAP サービスの実行速度、および DIT に格納されているユーザ データ量によって異なります。このトークンを使用するときには、これらの点を考慮してください。注:検索結果が切り捨てられないようにするには、サーバ側の LDAP 制御の調整が必要になる場合もあります。たとえば、OpenLDAP サーバ(slapd)の場合、sizelimit パラメータを調整します。詳細については、LDAP サーバのマニュアルを参照してください。デフォルト:トークンは設定されていません(15 秒)
- ldap_uid_attrLDAP DIT のユーザ名を含む属性の名前を定義します。RFC 2307(LDAP をネットワーク情報サービスとして使用するためのアプローチ)では、この属性としてuidが定められ、それがこのトークンのデフォルト値となります。このトークンを変更すると、Privileged Access Manager Server Controlの LDAP 対応ユーティリティは、標準以外のスキーマを使用して、LDAP DIT に対して操作できます。デフォルト:トークンは設定されていません(uid)。
- ldap_uidNumber_attrLDAP DIT の UID 番号を含む属性の名前を定義します。RFC 2307 では、この属性としてuidNumberが規定され、それがこのトークンのデフォルト値になります。このトークンを変更すると、Privileged Access Manager Server Controlの LDAP 対応ユーティリティは、標準以外のスキーマを使用して、LDAP DIT に対して操作できます。デフォルト:トークンは設定されていません(uidNumber)。
- ldap_user_classLDAP DIT のユーザ データを含むオブジェクト クラスの名前を定義します。RFC 2307 では、このオブジェクト クラスとしてposixAccountが定められ、それがこのトークンのデフォルト値となります。このトークンを変更すると、Privileged Access Manager Server Controlの LDAP 対応ユーティリティは、標準以外のスキーマを使用して、LDAP DIT に対して操作できます。デフォルト:トークンは設定されていません(posixAccount)。
- ldap_userdnPrivileged Access Manager Server Controlの LDAP 対応ユーティリティが LDAP DIT からユーザ データを取得するときに使用する、LDAP ユーザの識別名(DN)を定義します。RFC 2307 に基づき、Privileged Access Manager Server Controlは DIT で、ou=People レベルの属性がuidおよびuidNumberのユーザ データを検索しようとします。セキュリティ上の理由から、このユーザ(ldap_userdn)にのみ、このデータへのアクセス権を付与することをお勧めします。DIT に対する匿名アクセスが許可されている場合は、このトークンを空のままにしておくことができます。匿名アクセスが許可されていない場合は、このトークンを設定し、Privileged Access Manager Server Controlの LDAP 対応ユーティリティに seldapcred ユーティリティを実行して、LDAP サービスに対して認証する必要があります(seldapcred は、暗号化されたクレデンシャルを再利用できるようにファイルに格納するため、この操作が必要なのは一度のみです)。たとえば、このトークンを以下のように設定します。ldap_userdn = uid=user1,ou=People,dc=myCompany,dc=comデフォルト:トークンは設定されていません
- ldap_userinfo_ladbLDAP ディレクトリ情報ツリー(DIT)からユーザ情報を取得するかどうか指定します。制限:yes、noデフォルト:no
- ldap_verbosesebuildla でのユーザ データ取得に関して、LDAP 操作の詳細なアカウントを有効にするかどうかを指定します。この設定は、sebuildla で LDAP データ取得を設定するとき、またはトラブルシューティングを行うときに使用します。有効な値は、0(無効)、およびゼロ以外の整数(有効)です。デフォルト:0
- localePrivileged Access Manager Server Controlのデーモンおよびユーティリティに使用する言語を指定します。Privileged Access Manager Server Controlは、複数の言語で機能します。対応する言語には、C、日本語、中国語(簡体字)、中国語(繁体字)などがあります。対応するすべての言語の一覧については、/etc/ca/localeX/calocmap.txt を参照してください。Linux の場合は、/opt/CA/SharedComponents/cawin/locale/を参照してください。デフォルト:C
- pam_enabledSOLARIS、HP-UX、および LINUX でのみ有効。LDAP データベースでの認証およびパスワード変更のために、ローカル ホストで PAM を使用できるようにするかどうかを指定します。そのために、PAM ライブラリが動的にロード可能であるかどうかを確認します(そのライブラリがシステムに存在している必要があります)。有効な値は、「no」および「yes」です。デフォルト:yes
- parent_pmdこのコンピュータが更新を受け入れる Policy Model データベース(PMDB)のカンマ区切りリストを定義します。ローカルのPrivileged Access Manager Server Controlデータベースは、このリストに指定されていない PMDB からの更新情報を拒否します。PMDB の行区切りリストを含むファイル パスを指定することもできます。ローカルのPrivileged Access Manager Server Controlデータベースが PMDB からの更新情報を受け入れるようにするには、このトークンを「_NO_MASTER_」に設定します。このトークンを設定しない場合、ローカルのPrivileged Access Manager Server Controlデータベースはどの PMDB からも更新情報を受け入れません。各 PMDB は pmd_name@hostname の形式で指定します。以下に例を示します。parent_pmd = pmd1@host1,pmd2@host1,pmd3@host2 parent_pmd = /opt/CA/AccessControl/parent_pmdbs_fileデフォルト:トークンは設定されていません(データベースはどの PMDB からも更新情報を受け入れません)注:sepass は、parent_pmd トークン上の複数の送信先をサポートしません。
- passwd_pmdsepass によるパスワードの更新情報の送信先となる PMDB を指定します。このトークンを設定しない場合、parent_pmd トークンの値が継承されます。形式はpmd_name@hostnameです。parent_pmd トークンと passwd_pmd トークンに同じ値を指定できます。parent_pmd トークンと passwd_pmd トークンの値が異なる場合、passwd_pmd データベースは更新を parent_pmd データベースに送信し、更新内容を伝達します。したがって、parent_pmd データベースは passwd_pmd データベースの子(サブスクライバ)である必要があります。デフォルト値なし注:sepass は、passwd_pmd トークン上の複数の送信先をサポートしません。
- ReverseIpLookup接続するクライアントを seagent が識別する方法を制御します。有効な値を以下に示します。yes- クライアントの開いているソケットの IP アドレスを調べます。no- クライアントから受け取ったホスト名を使用しますが、ホスト名は解決されません (TERMINAL クラスを無効にすることにより、同じ結果を得られます)。デフォルト:yes
- secondary_pmd最初のターゲット(passwd_pmd)に定義されていないユーザ用に、パスワード変更の第 2 のターゲットとして使用される PMDB を指定します。形式はpmd_name@hostnameです。デフォルト値なし
- SEOSPATHPrivileged Access Manager Server Controlのインストール ディレクトリを指定します。NFS がマウントされているファイル システム以外であれば、Privileged Access Manager Server Controlは任意のディレクトリにインストールできます。デフォルト:ACInstallDir
- SyncUnixFilePermsPrivileged Access Manager Server Controlの ACL 権限と、ネイティブ UNIX システムの ACL およびその他の権限(存在する場合)を同期させるかどうかを指定します。有効な値を以下に示します。no- UNIX のファイル権限とPrivileged Access Manager Server ControlACL の同期をとりません。warn- ACL 権限の同期はとりませんが、Privileged Access Manager Server Controlと UNIX の権限が競合する場合は警告を発行します。traditional-Privileged Access Manager Server ControlACL に従ってグループおよび所有者の rwx 権限を変更して、その他すべての場合に警告を発行します。acl- (ACL をサポートするプラットフォーム上で)Privileged Access Manager Server ControlACL に従ってネイティブ ファイル システムの ACL を変更します。force- (ACL をサポートするプラットフォーム上で)traditional または acl と同様に機能するだけでなく、「他の」権限に対して defaccess を強制的にマッピングします。注:HP-UX および Sun Solaris 2.5 (以上)では、ACL ファイル システムがサポートされます。その他のプラットフォームおよびオペレーティング システムのバージョンでは、traditional 権限モードのファイルのみがサポートされます。デフォルト:no
- TRUEPATHPrivileged Access Manager Server Controlが物理的に格納されているディレクトリを指定します。Privileged Access Manager Server Controlディレクトリは別の物理的な場所へのシンボリック リンクとなる場合があります。このトークンは、Privileged Access Manager Server Controlがインストールされている実際の物理的な場所を参照します。デフォルト:ACInstallDir
- use_rpc_protocolRPC portmapper が必要かどうかを指定します。古い(1.43)Privileged Access Manager Server Controlのプロトコルを使用する場合は、RPC portmapper が必要です。古いプロトコルは、NIS+ パスワードの変更をサポートするために必要です。このトークンは、old_protocol トークンに代わるものです。有効な値を以下に示します。yes- RPC portmapper を使用して、ポートを割り当てます。no- ServicePort トークンで指定されるポートを使用します。デフォルト:no