sepmdadm ユーティリティ - PMDB 定義の作成
UNIX で該当
capamsc141
UNIX で該当
sepmdadm ユーティリティは、PMDB を実行するための定義を作成します。sepmdadm ユーティリティは、PMDB の定義、PMDB とその上位および下位にある PMDB との関係の定義、およびサブスクライバ端末の定義に必要な
CA Privileged Access Manager
と UNIX のコマンドで構成されるスクリプトです。デフォルトでは、root ユーザは、PMDB の管理者および監査担当者として定義されます。Sepmdadm ユーティリティはローカルで実行します。リモート シェルから実行することができます。sepmdadm を使用して PMDB を作成する場合、サブスクライバが PMDB を参照するようにし、UID と GID を同期します。このユーティリティは、対話モードまたは非対話モードのいずれでも実行できます。
- 非対話モードでは、コマンド ラインで引数を入力します。指定された値に従って、PMDB とその階層が作成されます。
- 対話モードでは、コマンド ラインで引数を入力しません。対話モードで実行するかどうかの確認を求めるメッセージが表示されます。「y」と応答すると、オプション値の入力を求めるメッセージが表示されます。
sepmdadm で PMDB を作成する場合は、Policy Model のサブスクライバとなる端末を指定します。各サブスクライバの seos.ini ファイルにある parent_pmd トークンを、その端末をサブスクライブした PMDB の名前で更新します。これを行わないと、サブスクライバは PMDB からの更新情報を受け取りません。
複数の端末を同じ PMDB にサブスクライブし、ある PMDB 端末を別の PMDB 端末にサブスクライブすることによって、PMDB の階層を作成できます。
このコマンドの形式は以下のようになります。
sepmdadm options
- --adminnamePMDB のCA Privileged Access Manager管理者を定義します。
- --auditornamePMDB のCA Privileged Access Manager監査者を定義します。
- -c | --cleanpmdbName指定した Policy Model を削除します。Policy Model デーモンを停止し、データベースからファイル保護を削除して、Policy Model のディレクトリとその内容をすべて削除します。このオプションは、--noconfirm オプションと同時に指定できません。
- --desktophostname管理者がローカル ホスト上の PMDB を管理できる端末を指定します。端末を指定しない場合、管理者はローカル ホストからのみ PMDB を管理できます。
- --group_fnamefileNameNIS のグループ ファイルの場所を定義します。
- -h | --helpヘルプ画面を表示します。
- -i | --interactive対話モードで sepmdadm を実行します。
- -lsepmdadm をローカル モードで実行するように指定します。つまり、CA Privileged Access Managerが実行されていないときに PMDB を作成できます。このオプションを指定しない場合は、sepmdadm を使用するときにCA Privileged Access Managerが実行中である必要があります。
- --nis | --NISPolicy Model で NIS の設定を実行します。PMDB が NIS サーバにインストールされている場合は、このオプションを使用します。
- --noconfirmユーザに応答の確認を求めないように指定します。このオプションは、非対話モードでシェル スクリプト内から sepmdadmを 起動するときに便利です。
- --parentpmdpmdbNameこの PMDB をサブスクライブする親 PMDB の名前を指定します。このパラメータを -subsconfig パラメータと同時に指定すると、seos.ini ファイルの parent_pmd トークンが更新されます。このパラメータを --subsconfig パラメータなしで指定すると、pmd.ini ファイルの parent_pmd トークンが更新されます。複数の親 Policy Model を定義する場合は、引用符を使用する必要があります。たとえば、Policy Model を作成し、その親を定義する場合、以下のコマンドを使用します。sepmdadm --pmdname subs2 --admin abc123 --admin root --auditors abc123 --desktop pcp36949 \ --parentpmd "aa@pcp36949,bb@pcp36949"
- --passwd_fnamefileNameNIS のパスワード ファイルの場所を定義します。
- --passwdpmdpmdbNamesepass によるパスワードの更新情報の送信先となる PMDB を指定します。このオプションによって、seos.ini ファイルの [seos] セクションにある passwd_pmd トークンが更新されます。このパラメータは、-subsconfig スイッチを指定した場合にのみ使用できます。複数の階層から成るPolicy Modelを作成する場合は、このパラメータを最上位の階層にある PMDB に設定して、パスワード変更が PMDB システムのすべての階層に伝達されるようにします。
- --pmdnamepmdbName作成する PMDB の名前を指定します。
- --pwmanagernamePMDB のCA Privileged Access Managerパスワード マネージャを指定します。
- --seosdirdirectoryCA Privileged Access Managerのインストール ディレクトリを指定します。このオプションは、CA Privileged Access Managerがデフォルトのディレクトリにインストールされていない場合にのみ使用します。
- --subsconfigローカル端末がサブスクライバになるように指定します。このパラメータを使用する場合、seos.ini ファイル内の関連トークンを更新するには、--parentpmdpmdbNameパラメータおよび --passwdpmdpmdbNameパラメータを指定する必要があります。サブスクライバの設定時に、これらのパラメータを -subsconfig オプションの後に指定する必要があります。
- --subscribernameこの PMDB のサブスクライバを指定します。サブスクライバには、PMDB または端末を指定できます。
- --xadminnamePMDB のエンタープライズ ユーザ管理者を定義します。
- --xauditornamePMDB のエンタープライズ ユーザ監査担当者を定義します。
- --xpwmanagernamePMDB のエンタープライズ ユーザ パスワード マネージャを指定します。
例: コマンド ラインを使用した PMDB の作成
bigcentral という端末で、他の端末がサブスクライブする PMDB を管理するとします。bigcentral で PMDB を作成するには、この端末で sepmdadm を実行します。このユーティリティは、
ACInstallDir
/bin ディレクトリにあります。bigcentral で pmdb1 という名前の PMDB を作成し、サブスクライバとして workstat1 および workstat2 を指定して、管理者としてエンタープライズ ユーザ adm1 および adm2 を指定するとします。以下のコマンドを bigcentral から実行します。
sepmdadm --pmdname pmdb1 --subscriber workstat1 --subscriber workstat2 \
--xadmin adm1 --xadmin adm2
例: サブスクライバ端末からの PMDB の参照
端末を PMDB のサブスクライバとして設定するには、サブスクライバ名を PMDB の端末に指定するだけでは不十分です。サブスクライバ端末でも特定の手順を実行する必要があります。
コマンド ラインを使用してローカル端末を PMDB にサブスクライブするには、--subsconfig パラメータだけでなく、--parentpmd パラメータおよび --passwdpmd パラメータも使用します。
たとえば、ローカル端末を HOST2 にある pmdb2 という PMDB および HOST1 にある master1 というパスワード PMDB にサブスクライブするには、以下のコマンドを入力します。
sepmdadm --subsconfig --parentpmd pmdb2@HOST2 --passwdpmd master1@HOST1