agent_

[agent]セクションは、さまざまな UNAB パラメータを制御するトークンを含んでいます。
cminder140jp
[agent]セクションは、さまざまな UNAB パラメータを制御するトークンを含んでいます。
  • working_threads
    エージェントで実行するスレッドの数を指定します。
    デフォルト
    : 64
  • agent_receive_timeout
    エージェントから受信するタイムアウト(ミリ秒単位)を指定します。
    デフォルト
    : 20
  • use_time_sync = no
    クロック同期オプションを指定します。
    : no (手動同期)、yes (自動同期)
    デフォルト:
    no
  • ntp_server
    使用する NTP サーバのホスト名または IP アドレスを指定します。
    デフォルト
    : none
  • time_sync_interval
    クロック同期間隔を秒数で指定します。
    デフォルト
    : 8371
  • tgt_renew_lifetime
    エージェントの TGT (発券許可証)の有効期間を指定します。LDAP 接続が中断されないように、エージェントは有効期限までに TGT を更新します。チケットの有効期間は、AD の Kerberos ポリシーによって定義されている値より小さくなる場合があります。有効期間は、Kerberos 形式の時間の長さで指定されます。たとえば、2h は 2 時間を意味します。サフィックスなしの数は、秒と見なされます。
    デフォルト
    : 593m
  • tgt_renewable_lifetime
    エージェントの TGT (発券許可証)の最大更新期間を指定します。有効期間は、Kerberos 形式の時間の長さで指定されます。たとえば、3d は 3 日を意味します。サフィックスなしの数は、秒と見なされます。
    デフォルト
    : 30d
  • tgt_validate_interval
    エージェントが TGT (発券許可証)を検証する間隔を指定します。
    サフィックスなしの間隔は、秒と見なされます。
    デフォルト
    : 613 秒
  • tgt_renew_before_interval
    TGT の有効期限前に、エージェントがその TGT を更新する間隔を指定します。
    間隔は Kerberos 形式の時間の長さで指定され、たとえば、30m は 30 分を意味します。
    デフォルト
    : 33m
  • computer_password_change_interval
    エージェントが Active Directory のエンドポイント パスワードをリセットする頻度を指定します。間隔は、Kerberos 形式の時間の長さで指定する必要があり、たとえば、20d は 20 日を意味します。値が 0 の場合は、パスワードの更新メカニズムを無効にします。コンピュータのパスワードを変更するたびに発生する余分な処理のオーバーヘッドを避けるために、EP 登録では 、この値の最小値が「1d」に設定されます。
    注: AD のパスワード変更を許可するために、エンドポイントの登録時にパスワードのリセットを有効にする必要があります。
    デフォルト
    : 0d
  • user_ticket_cleanup_interval
    失効したユーザ チケットを削除するクリーンアップ間隔を秒単位で指定します。
    デフォルト
    : 4137
  • ldap_bind_timeout
    LDAP 認証の最大試行期間を秒単位で指定します。
    デフォルト:
    15
  • ldap_connection_lifetime
    使用されていない LDAP 接続を開いたままにしておく最大期間を秒単位で指定します。0 に設定すると、LDAP の操作後に接続がすぐに解除されます。
    デフォルト
    : 70
  • dcs_refresh_interval
    Active Directory ドメイン コントローラのリフレッシュ間隔を分単位で指定します。
    デフォルト
    : 53 分
  • connpool_backup_lifetime
    接続プール(信頼できるドメイン)の情報が最新であると判断するための UNAB のシャットダウンとそれ以降の起動の間の時間を秒単位で指定します。これにより、正常なシャットダウン中にファイル .uxauthd_connpool.bk に保存されたデータを使用することで、エージェントの起動中に信頼できるドメインを検出する手順をスキップできます。正の値でない場合、永続的な信頼できるドメイン データへの依存は完全に無効になります。
    デフォルト
    : 0
  • offline_monitor_interval
    オフライン Active Directory ドメイン コントローラのリフレッシュ間隔を秒単位で指定します。
    デフォルト
    : 307 秒
  • unix_shells
    Active Directory ユーザ シェルをサポートされる UNIX シェルに変換するためのルールを定義します。一致するものが存在しない場合、「other」に定義されたシェル タイプが使用されます。
    デフォルト
    : sh=/bin/sh,csh=/bin/csh,bash=/bin/bash,ksh=/bin/ksh,tcsh=/bin/tcsh,; false=/bin/false,nologin=/sbin/nologin,other=/bin/false
  • offline_logon
    Active Directory が利用できない場合に、ユーザが UNIX ホストにアクセスできることを指定します。
    : yes、no
    デフォルト:
    yes
  • offline_logon_period
    成功した最後のオンライン認証の後、オフライン認証が許可される最大期間を指定します。
    デフォルト
    : 30 日
  • offline_logon_max_fail = 5
    失敗したオフライン ログイン試行の最大数を指定します。
    デフォルト
    : 5
  • group_membership_type
    クエリされるグループ メンバシップのタイプを指定します。
    : 0 - ドメイン ローカル、1 - クロス ドメイン、2 - クロス フォレスト
    デフォルト
    : 0
  • nss_cache_update_startup
    エージェント起動時に NSS ユーザおよびグループ キャッシュを更新する方法を指定します。
    : 0 - 更新なし、1 - 増分更新、2 - 完全更新
    デフォルト:
    1
  • nss_cache_update_usr_mode
    NSS ユーザ キャッシュ更新モード方法を指定します。
    : 0 - 更新なし、1 - 増分更新、2 - 完全更新
    デフォルト:
    1
  • nss_cache_update_grp_mode
    グループ キャッシュの更新方法を指定します。
    : 0 - 更新なし、1 - 増分更新、2 - 完全更新
    デフォルト:
    1
  • nss_cache_update_interval
    ユーザおよびグループのキャッシュの更新間隔を指定します。最小の間隔は 10 分です。
    デフォルト
    : 233 分
  • nss_cache_update_usr_login
    NSS ユーザ キャッシュがログインのたびに更新されるように指定します。
    : yes、no
    デフォルト:
    yes
  • nss_cache_update_grp_login
    NSS グループ キャッシュがログインのたびに更新されるように指定します。ログイン中の NSS グループ キャッシュの更新は、別のフォレストまたはドメインからのグループ メンバを許可する設定(token group_membership_type > 0)の場合は無視されます。
    : yes、no
    デフォルト:
    yes
  • ac_registration_interval
    Privileged Access Manager Server Control
    の登録間隔を秒単位で指定します(0 - 登録しない)。
    デフォルト
    : 61
  • login_name_type
    マップされたユーザのログインに使用する名前を指定します。
    : 1 - UNIX ログイン名、2 - エンタープライズ ログイン名
    デフォルト:
    1
  • ad_user_minimal_uid
    ログイン可能な Active Directory ユーザの最小 UID を定義します。
    デフォルト
    : -1
  • ad_user_deny_uid_list
    ログイン不可能な Active Directory ユーザの UID を(カンマ区切りで)定義します。例: ad_user_deny_uid_list = 12,37
    デフォルト
    : none
  • ad_group_minimal_gid
    ログイン可能な Active Directory グループの最小 GID を定義します。
    デフォルト
    : -1
  • ad_group_deny_gid_list
    ログイン不可能な Active Directory グループの GID を(カンマ区切りで)定義します。
    例: ad_group_deny_gid_list = 11,14
    デフォルト
    : none
  • default_login_access
    ユーザまたはグループに特定のルールがない場合のデフォルトのログイン アクセスを決定します。
    : 1 - ログイン アクセス許可、0 - ログイン アクセス拒否
    デフォルト
    : 0
  • use_local_policy
    ログイン ポリシー オプションを指定します。
    : no - エンタープライズ ログイン ポリシーのみを使用、yes - エンタープライズ ログイン ポリシーが定義されていない場合のみローカル ログイン ファイルを使用。
    デフォルト:
    no
  • partial_user_login_policy
    部分ユーザのログイン ポリシー オプションを指定します。
    : no - 部分ユーザは常にログインが許可されます。yes - 部分ユーザは、対応するログイン ポリシーが存在する場合のみログインが許可されます。
    デフォルト:
    no
  • users_allow_file
    ユーザ許可ファイルを指定します。
    デフォルト
    : /opt/CA/uxauth/etc/users.allow
  • users_deny_file
    ユーザ拒否ファイルを指定します。
    デフォルト
    : /opt/CA/uxauth/etc/users.deny
  • groups_allow_file
    グループ許可ファイルを指定します。
    デフォルト
    : /opt/CA/uxauth/etc/groups.allow
  • groups_deny_file
    グループ拒否ファイルを指定します。
    デフォルト
    : /opt/CA/uxauth/etc/groups.deny
  • message_read_interval
    Privileged Access Manager Server Control
    ポリシー キューの読み取り間隔を秒単位で指定します。
    デフォルト:
    60
  • message_read_timeout
    UNAB がタイムアウト前に
    Privileged Access Manager Server Control
    ポリシー キューの読み取りに使用する最大時間をミリ秒単位で定義します。
    デフォルト:
    1
  • heartbeat_send_interval
    分散ホストにハートビートを送信する間隔を秒単位で指定します。
    デフォルト
    : 3600
  • use_wingrp
    Windows グループ データベースの作成を指定します。UNAB が特定の統合モードで動作するように設定され、
    Privileged Access Manager Server Control
    と統合されていない場合は、Windows グループ データベースの作成を無効にできます。
    : yes、no
    デフォルト:
    yes
  • wingrp_update_startup
    エージェントの起動時に Windows グループ データベースを更新する方法を指定します。
    : 0 - 更新なし、1 - 増分更新、2 - 完全更新
    デフォルト:
    1
  • wingrp_update_mode
    Windows グループ データベース更新モード方法を指定します。
    : 0 - 更新なし、1 - 増分更新、2 - 完全更新
    デフォルト:
    1
  • wingrp_update_interval
    Windows グループ データベースを更新する間隔を指定します。最小の間隔は 20 分です。
    デフォルト
    : 101 分
  • wingrp_update_login
    ログインのたびに、Windows グループ データベースを更新することを指定します。ログイン中の Windows グループの更新は、特にグループ数が多い場合は時間がかかります。ログイン プロセスのパフォーマンスを改善するには、このオプションを無効にします。ログイン中の Windows グループの更新は、別のフォレストまたはドメインからのグループ メンバを許可する設定(token group_membership_type > 0)の場合は無視されます。
    : yes、no
    デフォルト:
    yes
  • use_nested_group_acl
    ネストされたグループがユーザ ログイン ACL で使用されるかどうかを指定します。
    : no (ネストされたグループは使用されません)、yes (ネストされたグループが使用されます)
    デフォルト:
    yes
  • health_check_interval
    UNAB エージェントの内部セルフ テストの実行間隔を秒単位で指定します。
    : 正の整数、またはセルフ テストをキャンセルするには -1
    デフォルト:
    300
  • agent_restart_delay
    重大な問題から回復するために、UNAB エージェントに対して自動的な再起動を許可する頻度を指定します。この時間間隔は分単位で指定します。
    : 正の整数、または UNAB エージェントの再起動を無効にする場合は -1
    デフォルト:
    60
  • agent_vmemory_max
    UNAB エージェントが使用可能な仮想メモリの最大サイズを MB 単位で指定します。この値を超過すると、UNAB エージェントは自動再起動をスケジュールします。
    デフォルト:
    300
  • agent_open_files_max
    UNAB エージェントが使用できる、開かれたファイルの最大数を指定します。この値を超過すると、UNAB エージェントは再起動する場合があります。
    デフォルト
    : 100
  • agent_scheduler_skew_max
    許可される最大のスケジューラ時間スキューを指定します。この値を超過すると、UNAB エージェントは再起動する場合があります。
    デフォルト:
    600
  • watchdog_enabled
    エージェント デーモンを保護するために UNAB Watchdog を使用するかどうかを指定します。UNAB Watchdog は、UNAB が
    Privileged Access Manager Server Control
    なしにインストールされ、デーモンとして起動された場合に実行できます。
    デフォルト:
    yes
  • watchdog_check_interval
    UNAB Watchdog が uxauthd の存在を確認する時間間隔を指定します。
    デフォルト
    : 60 秒
  • debug_file
    UNAB がデバッグ メッセージを書き込むファイル名を定義します。ファイルのフルパス名を指定しない場合、UNAB はディレクトリ /opt/CA/uxauth/log/debug/ にこのファイルを作成します。
    デフォルト
    : agent_debug
  • debug_backup
    デバッグ メッセージ ファイルをバックアップするかどうかを指定します。
    : yes、no
    デフォルト:
    yes
  • debug_backup_file
    UNAB がデバッグ メッセージを書き込むバックアップ ファイル名を定義します。ファイルのフルパス名を指定しない場合、UNAB はディレクトリ /opt/CA/uxauth/log/debug/ にこのファイルを作成します。
    デフォルト
    : agent_debug.back
  • debug_size
    デバッグ メッセージ ファイルの最大サイズを MB 単位で指定します。
    デフォルト
    : 512MB
  • debug_level
    デバッグ ファイル内のデバッグ メッセージのレベルを指定します。
    : disabled、high、medium、low
    • disabled - デバッグ メッセージをファイルに書き込みません。
    • high: 「高」レベルのデバッグ メッセージをファイルに書き込みます
    • medium: 「高」および「中」レベルのデバッグ メッセージをファイルに書き込みます
    • low: 「高」、「中」、「低」レベルのデバッグ メッセージをファイルに書き込みます
    デフォルト
    : disabled
  • debug_zones
    サブ モジュール(ゾーン)のデバッグ メッセージをログに記録するかどうかを指定します。複数のゾーンのデバッグを書き込むには、ゾーン値の合計を設定します。例: サブ ゾーン「General」と「Scheduler」をデバッグするには、debug_zones = 5 に設定します。
    : -1、1、2、4、8、16 または正の値の合計。
    • ゾーン -1: すべてのゾーンのデバッグ メッセージを書き込みます。
    • ゾーン 1: General ゾーンのデバッグ メッセージを書き込みます。
    • ゾーン 2: Entire 通信ゾーンのデバッグ メッセージを書き込みます。
    • ゾーン 4: Scheduler ゾーンのデバッグ メッセージを書き込みます。
    • ゾーン 8: PAM 通信ゾーンのデバッグ メッセージを書き込みます。
    • ゾーン 16: NSS 通信ゾーンのデバッグ メッセージを書き込みます。
    デフォルト
    : -1
  • report_user_mapped_name
    マップ済みユーザについて、監査およびレポートに使用するユーザ名を定義します。
    : no - レポート ユーザの UNIX 名、yes - レポート ユーザの Active Directory でマップされている名前
    デフォルト:
    no
  • alternative_ep_name
    エンドポイントを表すプリンシパルで使用されるエンドポイントの代替名を定義します。これらは、Active Directory KDC に、サービス プリンシパル名(SPN)およびユーザ プリンシパル名(UPN)として保存されます。デフォルトでは、エンドポイントはホストベース サービスの Kerberos 規則に従って登録されます(host/FQDN@realm)。ここで、FQDN はエンドポイントの完全修飾ドメイン名を表し、realm は登録ドメインの大文字の名前です。代替名は、Kerberos および LDAP によって、それぞれの制限および制約に対してチェックされ、SPN と UPN の構文が正しいことが確認されます。いくつかの代替名の例: cluster1、old_box.fake.net
    デフォルト
    : none