agent_
[agent]セクションは、さまざまな UNAB パラメータを制御するトークンを含んでいます。
cminder140jp
[agent]セクションは、さまざまな UNAB パラメータを制御するトークンを含んでいます。
- working_threadsエージェントで実行するスレッドの数を指定します。デフォルト: 64
- agent_receive_timeoutエージェントから受信するタイムアウト(ミリ秒単位)を指定します。デフォルト: 20
- use_time_sync = noクロック同期オプションを指定します。値: no (手動同期)、yes (自動同期)デフォルト:no
- ntp_server使用する NTP サーバのホスト名または IP アドレスを指定します。デフォルト: none
- time_sync_intervalクロック同期間隔を秒数で指定します。デフォルト: 8371
- tgt_renew_lifetimeエージェントの TGT (発券許可証)の有効期間を指定します。LDAP 接続が中断されないように、エージェントは有効期限までに TGT を更新します。チケットの有効期間は、AD の Kerberos ポリシーによって定義されている値より小さくなる場合があります。有効期間は、Kerberos 形式の時間の長さで指定されます。たとえば、2h は 2 時間を意味します。サフィックスなしの数は、秒と見なされます。デフォルト: 593m
- tgt_renewable_lifetimeエージェントの TGT (発券許可証)の最大更新期間を指定します。有効期間は、Kerberos 形式の時間の長さで指定されます。たとえば、3d は 3 日を意味します。サフィックスなしの数は、秒と見なされます。デフォルト: 30d
- tgt_validate_intervalエージェントが TGT (発券許可証)を検証する間隔を指定します。サフィックスなしの間隔は、秒と見なされます。デフォルト: 613 秒
- tgt_renew_before_intervalTGT の有効期限前に、エージェントがその TGT を更新する間隔を指定します。間隔は Kerberos 形式の時間の長さで指定され、たとえば、30m は 30 分を意味します。デフォルト: 33m
- computer_password_change_intervalエージェントが Active Directory のエンドポイント パスワードをリセットする頻度を指定します。間隔は、Kerberos 形式の時間の長さで指定する必要があり、たとえば、20d は 20 日を意味します。値が 0 の場合は、パスワードの更新メカニズムを無効にします。コンピュータのパスワードを変更するたびに発生する余分な処理のオーバーヘッドを避けるために、EP 登録では 、この値の最小値が「1d」に設定されます。注: AD のパスワード変更を許可するために、エンドポイントの登録時にパスワードのリセットを有効にする必要があります。デフォルト: 0d
- user_ticket_cleanup_interval失効したユーザ チケットを削除するクリーンアップ間隔を秒単位で指定します。デフォルト: 4137
- ldap_bind_timeoutLDAP 認証の最大試行期間を秒単位で指定します。デフォルト:15
- ldap_connection_lifetime使用されていない LDAP 接続を開いたままにしておく最大期間を秒単位で指定します。0 に設定すると、LDAP の操作後に接続がすぐに解除されます。デフォルト: 70
- dcs_refresh_intervalActive Directory ドメイン コントローラのリフレッシュ間隔を分単位で指定します。デフォルト: 53 分
- connpool_backup_lifetime接続プール(信頼できるドメイン)の情報が最新であると判断するための UNAB のシャットダウンとそれ以降の起動の間の時間を秒単位で指定します。これにより、正常なシャットダウン中にファイル .uxauthd_connpool.bk に保存されたデータを使用することで、エージェントの起動中に信頼できるドメインを検出する手順をスキップできます。正の値でない場合、永続的な信頼できるドメイン データへの依存は完全に無効になります。デフォルト: 0
- offline_monitor_intervalオフライン Active Directory ドメイン コントローラのリフレッシュ間隔を秒単位で指定します。デフォルト: 307 秒
- unix_shellsActive Directory ユーザ シェルをサポートされる UNIX シェルに変換するためのルールを定義します。一致するものが存在しない場合、「other」に定義されたシェル タイプが使用されます。デフォルト: sh=/bin/sh,csh=/bin/csh,bash=/bin/bash,ksh=/bin/ksh,tcsh=/bin/tcsh,; false=/bin/false,nologin=/sbin/nologin,other=/bin/false
- offline_logonActive Directory が利用できない場合に、ユーザが UNIX ホストにアクセスできることを指定します。値: yes、noデフォルト:yes
- offline_logon_period成功した最後のオンライン認証の後、オフライン認証が許可される最大期間を指定します。デフォルト: 30 日
- offline_logon_max_fail = 5失敗したオフライン ログイン試行の最大数を指定します。デフォルト: 5
- group_membership_typeクエリされるグループ メンバシップのタイプを指定します。値: 0 - ドメイン ローカル、1 - クロス ドメイン、2 - クロス フォレストデフォルト: 0
- nss_cache_update_startupエージェント起動時に NSS ユーザおよびグループ キャッシュを更新する方法を指定します。値: 0 - 更新なし、1 - 増分更新、2 - 完全更新デフォルト:1
- nss_cache_update_usr_modeNSS ユーザ キャッシュ更新モード方法を指定します。値: 0 - 更新なし、1 - 増分更新、2 - 完全更新デフォルト:1
- nss_cache_update_grp_modeグループ キャッシュの更新方法を指定します。値: 0 - 更新なし、1 - 増分更新、2 - 完全更新デフォルト:1
- nss_cache_update_intervalユーザおよびグループのキャッシュの更新間隔を指定します。最小の間隔は 10 分です。デフォルト: 233 分
- nss_cache_update_usr_loginNSS ユーザ キャッシュがログインのたびに更新されるように指定します。値: yes、noデフォルト:yes
- nss_cache_update_grp_loginNSS グループ キャッシュがログインのたびに更新されるように指定します。ログイン中の NSS グループ キャッシュの更新は、別のフォレストまたはドメインからのグループ メンバを許可する設定(token group_membership_type > 0)の場合は無視されます。値: yes、noデフォルト:yes
- ac_registration_intervalPrivileged Access Manager Server Controlの登録間隔を秒単位で指定します(0 - 登録しない)。デフォルト: 61
- login_name_typeマップされたユーザのログインに使用する名前を指定します。値: 1 - UNIX ログイン名、2 - エンタープライズ ログイン名デフォルト:1
- ad_user_minimal_uidログイン可能な Active Directory ユーザの最小 UID を定義します。デフォルト: -1
- ad_user_deny_uid_listログイン不可能な Active Directory ユーザの UID を(カンマ区切りで)定義します。例: ad_user_deny_uid_list = 12,37デフォルト: none
- ad_group_minimal_gidログイン可能な Active Directory グループの最小 GID を定義します。デフォルト: -1
- ad_group_deny_gid_listログイン不可能な Active Directory グループの GID を(カンマ区切りで)定義します。例: ad_group_deny_gid_list = 11,14デフォルト: none
- default_login_accessユーザまたはグループに特定のルールがない場合のデフォルトのログイン アクセスを決定します。値: 1 - ログイン アクセス許可、0 - ログイン アクセス拒否デフォルト: 0
- use_local_policyログイン ポリシー オプションを指定します。値: no - エンタープライズ ログイン ポリシーのみを使用、yes - エンタープライズ ログイン ポリシーが定義されていない場合のみローカル ログイン ファイルを使用。デフォルト:no
- partial_user_login_policy部分ユーザのログイン ポリシー オプションを指定します。値: no - 部分ユーザは常にログインが許可されます。yes - 部分ユーザは、対応するログイン ポリシーが存在する場合のみログインが許可されます。デフォルト:no
- users_allow_fileユーザ許可ファイルを指定します。デフォルト: /opt/CA/uxauth/etc/users.allow
- users_deny_fileユーザ拒否ファイルを指定します。デフォルト: /opt/CA/uxauth/etc/users.deny
- groups_allow_fileグループ許可ファイルを指定します。デフォルト: /opt/CA/uxauth/etc/groups.allow
- groups_deny_fileグループ拒否ファイルを指定します。デフォルト: /opt/CA/uxauth/etc/groups.deny
- message_read_intervalPrivileged Access Manager Server Controlポリシー キューの読み取り間隔を秒単位で指定します。デフォルト:60
- message_read_timeoutUNAB がタイムアウト前にPrivileged Access Manager Server Controlポリシー キューの読み取りに使用する最大時間をミリ秒単位で定義します。デフォルト:1
- heartbeat_send_interval分散ホストにハートビートを送信する間隔を秒単位で指定します。デフォルト: 3600
- use_wingrpWindows グループ データベースの作成を指定します。UNAB が特定の統合モードで動作するように設定され、Privileged Access Manager Server Controlと統合されていない場合は、Windows グループ データベースの作成を無効にできます。値: yes、noデフォルト:yes
- wingrp_update_startupエージェントの起動時に Windows グループ データベースを更新する方法を指定します。値: 0 - 更新なし、1 - 増分更新、2 - 完全更新デフォルト:1
- wingrp_update_modeWindows グループ データベース更新モード方法を指定します。値: 0 - 更新なし、1 - 増分更新、2 - 完全更新デフォルト:1
- wingrp_update_intervalWindows グループ データベースを更新する間隔を指定します。最小の間隔は 20 分です。デフォルト: 101 分
- wingrp_update_loginログインのたびに、Windows グループ データベースを更新することを指定します。ログイン中の Windows グループの更新は、特にグループ数が多い場合は時間がかかります。ログイン プロセスのパフォーマンスを改善するには、このオプションを無効にします。ログイン中の Windows グループの更新は、別のフォレストまたはドメインからのグループ メンバを許可する設定(token group_membership_type > 0)の場合は無視されます。値: yes、noデフォルト:yes
- use_nested_group_aclネストされたグループがユーザ ログイン ACL で使用されるかどうかを指定します。値: no (ネストされたグループは使用されません)、yes (ネストされたグループが使用されます)デフォルト:yes
- health_check_intervalUNAB エージェントの内部セルフ テストの実行間隔を秒単位で指定します。値: 正の整数、またはセルフ テストをキャンセルするには -1デフォルト:300
- agent_restart_delay重大な問題から回復するために、UNAB エージェントに対して自動的な再起動を許可する頻度を指定します。この時間間隔は分単位で指定します。値: 正の整数、または UNAB エージェントの再起動を無効にする場合は -1デフォルト:60
- agent_vmemory_maxUNAB エージェントが使用可能な仮想メモリの最大サイズを MB 単位で指定します。この値を超過すると、UNAB エージェントは自動再起動をスケジュールします。デフォルト:300
- agent_open_files_maxUNAB エージェントが使用できる、開かれたファイルの最大数を指定します。この値を超過すると、UNAB エージェントは再起動する場合があります。デフォルト: 100
- agent_scheduler_skew_max許可される最大のスケジューラ時間スキューを指定します。この値を超過すると、UNAB エージェントは再起動する場合があります。デフォルト:600
- watchdog_enabledエージェント デーモンを保護するために UNAB Watchdog を使用するかどうかを指定します。UNAB Watchdog は、UNAB がPrivileged Access Manager Server Controlなしにインストールされ、デーモンとして起動された場合に実行できます。デフォルト:yes
- watchdog_check_intervalUNAB Watchdog が uxauthd の存在を確認する時間間隔を指定します。デフォルト: 60 秒
- debug_fileUNAB がデバッグ メッセージを書き込むファイル名を定義します。ファイルのフルパス名を指定しない場合、UNAB はディレクトリ /opt/CA/uxauth/log/debug/ にこのファイルを作成します。デフォルト: agent_debug
- debug_backupデバッグ メッセージ ファイルをバックアップするかどうかを指定します。値: yes、noデフォルト:yes
- debug_backup_fileUNAB がデバッグ メッセージを書き込むバックアップ ファイル名を定義します。ファイルのフルパス名を指定しない場合、UNAB はディレクトリ /opt/CA/uxauth/log/debug/ にこのファイルを作成します。デフォルト: agent_debug.back
- debug_sizeデバッグ メッセージ ファイルの最大サイズを MB 単位で指定します。デフォルト: 512MB
- debug_levelデバッグ ファイル内のデバッグ メッセージのレベルを指定します。値: disabled、high、medium、low
- disabled - デバッグ メッセージをファイルに書き込みません。
- high: 「高」レベルのデバッグ メッセージをファイルに書き込みます
- medium: 「高」および「中」レベルのデバッグ メッセージをファイルに書き込みます
- low: 「高」、「中」、「低」レベルのデバッグ メッセージをファイルに書き込みます
デフォルト: disabled - debug_zonesサブ モジュール(ゾーン)のデバッグ メッセージをログに記録するかどうかを指定します。複数のゾーンのデバッグを書き込むには、ゾーン値の合計を設定します。例: サブ ゾーン「General」と「Scheduler」をデバッグするには、debug_zones = 5 に設定します。値: -1、1、2、4、8、16 または正の値の合計。
- ゾーン -1: すべてのゾーンのデバッグ メッセージを書き込みます。
- ゾーン 1: General ゾーンのデバッグ メッセージを書き込みます。
- ゾーン 2: Entire 通信ゾーンのデバッグ メッセージを書き込みます。
- ゾーン 4: Scheduler ゾーンのデバッグ メッセージを書き込みます。
- ゾーン 8: PAM 通信ゾーンのデバッグ メッセージを書き込みます。
- ゾーン 16: NSS 通信ゾーンのデバッグ メッセージを書き込みます。
デフォルト: -1 - report_user_mapped_nameマップ済みユーザについて、監査およびレポートに使用するユーザ名を定義します。値: no - レポート ユーザの UNIX 名、yes - レポート ユーザの Active Directory でマップされている名前デフォルト:no
- alternative_ep_nameエンドポイントを表すプリンシパルで使用されるエンドポイントの代替名を定義します。これらは、Active Directory KDC に、サービス プリンシパル名(SPN)およびユーザ プリンシパル名(UPN)として保存されます。デフォルトでは、エンドポイントはホストベース サービスの Kerberos 規則に従って登録されます(host/FQDN@realm)。ここで、FQDN はエンドポイントの完全修飾ドメイン名を表し、realm は登録ドメインの大文字の名前です。代替名は、Kerberos および LDAP によって、それぞれの制限および制約に対してチェックされ、SPN と UPN の構文が正しいことが確認されます。いくつかの代替名の例: cluster1、old_box.fake.netデフォルト: none