seosd
[seosd]セクションのトークンは、パフォーマンスを向上させるために、認証デーモンおよびキャッシュ ユーティリティの動作を指定します。
capamsc141
[seosd]セクションのトークンは、パフォーマンスを向上させるために、認証デーモンおよびキャッシュ ユーティリティの動作を指定します。
- allow_exec_loginExec ログインシェル スクリプト コマンドをログイン イベントとして認識します。値:0 と 1デフォルト:0
- autobypass_level自動的なプログラム バイパスのレベルを指定します。値は以下のとおりです。
- disabled: 自動バイパスは無効です
- info: 実行時テーブルに情報を保存します
- bypass: info + 次の再起動まで自動バイパスを有効にします
デフォルト:bypass - bypass_filenames
- seos イベントから除外されるファイル名のリストを含むファイルを指定します。たとえば、bypass_filenames =/opt/CA/PAMSC/bin/bypass_filenames と指定します。デフォルト:トークンは設定されていません
- bypass_nfs_portCONNECT のために NFS が使用するポート(ポート 2049)をバイパスするかどうかを指定します。このバイパスが存在することで、NFS が正常に機能します。このトークンの値をnoに変更すると、このポートではバイパスは行われません。このバイパスを置き換えるために必要なPrivileged Access Managerルールを忘れずに指定してください。そのようなルールの例を以下に示します(例のとおりには使用できません)。nr hostnet all mask (0.0.0.0) match(0.0.0.0)nr TCP 2049 owner(nobody) defaccess(none)authorize TCP 2049 hostnet(all) access(w) uid(root)nr TCP nfsd owner(nobody) defaccess(none)authorize TCP nfsd hostnet(all) access(w) uid(root)このトークンの値をnoに指定しても、正しいPrivileged Access Managerルールを指定しない場合、NFS は機能を停止します。デフォルト:yes
- bypass_outgoing_TCPIPカンマで区切られたポートのリストを定義します。このポートに対して、seos_syscall は seosd への送信接続イベントを渡しません。デフォルト:トークンは設定されていません
- bypass_suid_for_loginダミーの SUID システム コールを無視する必要のあるログイン プログラムのパスを指定します。ダミーの SUID システム コールを大量に生成する一部のログイン プログラム(samba など)の場合に使用します。これらのシステム コールにより、ログインしているユーザの正しい認識が妨げられる可能性があります。デフォルト:none
- bypass_suid_program複数の su コマンドを許可します。一部のプラットフォームでは、システムの su プログラムの動作が標準とは異なります。root 以外のユーザに対して su コマンドが要求された場合は、要求されたユーザに対して su が実行される前に、root ユーザに対して su が実行されます。root ユーザに対してPrivileged Access Managerの代理要求保護が設定されている場合は、root 以外のユーザに対して su コマンドを正常に実行できない可能性もあります。このようなプラットフォームで root ユーザに対して代理要求保護を使用し、さらに割り込みなしで root 以外のユーザに su を実行できるようにするには、bypass_suid_program トークンにシステムの su プログラムの実在パスを含めるように設定します。デフォルト:none
- bypass_system_filesPrivileged Access Managerの認証エンジンが、/etc/passwd や /etc/group などのシステム ファイルでは、読み取りアクセスをバイパスするかどうかを指定します。有効な値は以下のとおりです。yes- システム ファイルに対する読み取りアクセスをバイパスします。no- システム ファイルに対する読み取りアクセスをバイパスしません。デフォルト:yes
- bypass_TCPIPseos_syscall が seosd にイベントを渡さないようにカンマで区切り、1 つ以上のポートを追加できるようにします。構文は bypass_TCPIP=port1[,port2,portx] です。デフォルト:トークンは設定されていません
- bypass_whoisPrivileged Access Managerがバイパスするユーティリティを定義します。値:ACInstallDir/PAMSC/binのユーティリティデフォルト:none
- bypass_xdm_portsCONNECT のために XDM が使用するポート(ポート 6000 ~ 6010)をバイパスするかどうかを指定します。このバイパスが存在することで、XDM が正常に機能します。このトークンの値をnoに変更すると、これらのポートではバイパスは行われません。このバイパスを置き換えるために必要なPrivileged Access Managerルールを忘れずに指定してください。そのようなルールの例を以下に示します(例のとおりには使用できません)。nr hostnet all mask (0.0.0.0) match(0.0.0.0)nr TCP X-Win owner(nobody) defaccess(none)authorize TCP X_Win hostnet(all) access(r)authorize TCP X_Win hostnet(all) access(w) uid(root)authorize TCP X_Win hostnet(all) access(w) gid(mygroup)nr TCP 6000 owner(nobody) defaccess(none)authorize TCP 6000 hostnet(all) access(r)authorize TCP 6000 hostnet(all) access(w) uid(root)authorize TCP 6000 hostnet(all) access(w) gid(mygroup)このトークンの値をnoに指定しても、正しいPrivileged Access Managerルールを指定しない場合、XDM は機能を停止します。このトークンの値がyesで送信接続がポート 6000 ~ 6010 経由で行われている場合、対応する監査レコード内のクラス名は TERMINAL です。デフォルト:yes
- cron_programseosd での cron ログインに対するチェックを強化します。cron_program トークンにシステムの cron プログラムの実在パスを含めるように設定します。デフォルト:none
- core_if_watchdog_signalwatchdog プロセスがシグナルを送信したときにコア ファイルを作成するかどうかを指定します。値:yes、noデフォルト:no
- dbdirPrivileged Access Managerデータベースの場所を指定します。デフォルト:ACInstallDir/seosdb
- debug_backup_dirバックアップ デバッグ ファイルの場所を指定します。デフォルト:Privileged Access Manager製品のログ ディレクトリ
- debug_backup_num保存するバックアップ デバッグ ファイルの数を定義します。値:正の数デフォルト:2
- debug_fileseagent デバッグ メッセージ ファイルの場所を指定します。デフォルト:ACInstallDir/log/seagent_debug
- debug_level保存するデバッグ メッセージの最下位レベルを定義します。設定された値以上のレベルがすべて保存されます。値:Disabled (メッセージは保存されません)、Critical、Very High、High、Normal、Lowデフォルト:Critical
- debug_sizeデバッグ メッセージ ファイルの最大サイズを MB 単位で定義します。値:正の数デフォルト:256
- debug_zoneデバッグ メッセージを生成する seosd サブモジュール(ゾーン)を定義します。値:-1 (すべてのゾーン)、1 (SKI)、2 (QP)、4 (RESOLV)、8 (SEOSD)、10 (AUXFALLBACK)、20 (AUTH)デフォルト:-1
- device_file/dev ですべてのデバイスをスキャンするかどうかを指定します。このトークンの値が Yes に設定され、tty が標準のリストで見つからない場合、Privileged Access Managerは /dev にあるすべてのデバイスをスキャンします(qplib は、標準デバイスから tty 名を解決します)。tty 名のリストにデバイスを追加できます。デフォルト:no
- dns_serverDNS サーバ名を指定します。この名前は、デフォルト サーバから別のサーバにホスト名解決を変更するために使用します。このトークンは、通常、DNS キャッシュ オプションが有効な場合に使用します。デフォルト:none
- domain_names完全修飾名を作成するために、承認の目的で受け取る短いホスト名に対して、seosd が追加するドメイン名のリストを指定します。その結果、これらの名前には、関連する HOST クラス、CONNECT クラス、TERMINAL クラスで権限が与えられます。完全名を識別するために、seosd は短い名前に domain_names リストのドメイン名を追加して承認に使用します。seosd はまずショート ネームのみを使用して、データベース内で関連するルールを検索します。短い名前に一致するレコードが見つからない場合、domain_names トークンで指定された各ドメイン名を 1 つずつ追加して、一致するレコードが見つかるまで検索を続けます。たとえば、次のリストを domain_names に割り当てるとします。domain_names = market.com, journey.com, total.comデータベースにルールとして定義されていないacmeというサブスクライバから要求を受け取った場合、seosd は一致プロセスを以下のように処理します。acme (データベイスに見つからない) acme.market.com (見つからない)acme.journey.com (見つからない) acme.total.com (見つかった)seosd は一致した最初のレコード(この例では acme.total.com)を承認に使用します。デフォルト:/etc/resolv.conf に定義されているとおり
- EnablePolicyCache許可に必要なデータベース値を格納するために、実行時テーブルを使用するかどうかを指定します。この実行時テーブルは、seosd を起動したときにメモリにロードされます。これにより、データベースに接続しなくなるため、権限付与に要する時間が短縮されます。有効な値は、yes および no です。デフォルト:no
- FileCache_authsキャッシュが有効になっている場合、権限プールのレコード数を指定します。キャッシュできる権限レコードの最大数は 800 です。デフォルト:80
- FileCache_CleanIntファイル キャッシュを削除する頻度(分単位)を指定します。デフォルト:60
- FileCache_filesキャッシュが有効になっている場合、ファイル プールのレコード数を指定します。キャッシュできるファイル レコードの最大数は 200 です。デフォルト:20
- FileCache_InitPrioキャッシュ テーブル内にある新規レコードの優先順位の初期値を指定します。デフォルト:10
- FileCache_PriorIntキャッシュが有効になっている場合、キャッシュ テーブル内の優先順位を再計算する頻度を指定します。新しいレコードが保存されるたび、1 つとして数えます。デフォルト:1
- FileCache_usersキャッシュが有効になっている場合、ユーザ プールのレコード数を指定します。キャッシュできるユーザ レコードの最大数は 500 です。デフォルト:50
- ftp_data_portFTP サービスがデータ転送に使用するポート番号を指定します。注:seos.ini ファイルと /etc/services ファイルで ftp_data_port 番号が同じであることを確認します。デフォルト:20
- ftp_portFTP サービスが通信に使用するポート番号を指定します。注:seos.ini ファイルと /etc/services ファイルで、ftp_port 番号が同じであることを確認します。デフォルト:21
- get_login_terminalseosd が別の方法でログイン プログラムのピア アドレスの検索を試みるかどうかを指定します。これは、ssh などの接続に有用です。有効な値は、yes および no です。デフォルト:yes
- grace_admin管理者がユーザのパスワードを変更する際に設定される猶予ログイン回数を指定します。デフォルト:トークンは設定されていません(1)
- GroupidResolutionPrivileged Access Managerで GID 番号をグループ名に変換する方法を指定します。有効な値は以下のとおりです。system-Privileged Access Managerは、システム コールを使用して gid 番号を変換します。この値はスタンドアロン端末、DNSクライアント端末、およびDNSサーバ端末に使用できます(この表の resolve_timeout トークンも参照してください)。cache- gid 番号およびグループ名を seosd にキャッシュします。これは最も速く簡単な変換方法ですが、実行時にはキャッシュを更新できません。ladb-Privileged Access Managerは、lookaside データベースを使用して gid 番号を変換します。関連するトランザクション テーブルが更新されるたびに、sebuildla ユーティリティを実行して lookaside データベースを再作成する必要があります。NIS サーバおよび NIS+ サーバの場合は、cache または ladb を指定できます。Sun Solaris 2.5 以降、および HP-UX 11.x の場合は、cache または ladb を使用できます。どの端末の場合も、ladb を使用することをお勧めします。デフォルト:トークンは設定されていません(system)
- HostResolutionPrivileged Access Managerで IP アドレスをホスト名に変換する方法を指定します。有効な値は以下のとおりです。system-Privileged Access Managerは、システム コールを使用して IP アドレスを変換します。この値はスタンドアロン端末、NIS/NIS+クライアント端末、およびDNSクライアント端末に使用できます(この表の resolve_timeout トークンも参照してください)。cache- ホスト名およびその IP アドレスを seosd にキャッシュします。これは最も速く簡単な変換方法ですが、実行時にはキャッシュを更新できません。ladb-Privileged Access Managerは、lookaside データベースを使用して IP アドレスを変換します。関連するトランザクション テーブルが更新されるたびに、sebuildla ユーティリティを実行して lookaside データベースを再作成する必要があります。NIS サーバ、NIS+ サーバ、および DNS サーバの場合は、cache または ladb を使用できますが、ladb を使用することをお勧めします。デフォルト:トークンは設定されていません(system)
- IsolatedDaemonファイル記述子(stdin、stdout、および stderr)がデーモンになるときに、seosd がこれらのファイル記述子を閉じるかどうかを指定します。有効な値は以下のとおりです。yes- ファイル記述子がデーモンになるときに、seosd はこれらのファイル記述子を閉じます。no- ファイル記述子がデーモンになるときに、seosd はこれらのファイル記述子を閉じません。デフォルト:no
- kill_ignorePrivileged Access Managerの 3 つの主なデーモンのいずれかに対して実行された「kill 9」コマンドを無視(拒否)するかどうかを指定します。有効な値は以下のとおりです。yes- kill コマンドを無視します。デフォルト値です。no- kill コマンドによって seosd が終了します。デフォルト:yes
- login_parent_check(子プロセスがログインした後)親プロセスがログイン シーケンスを続行するか、そのシーケンスを中止して子からログインを継承するかを指定します。有効な値は 0 または 1 です。0 の場合は、親プロセスがログイン シーケンスを続行します。1 の場合は、親プロセスがログイン シーケンスを中止して子からログインを継承します。デフォルト:トークンは設定されていません(0)
- lookaside_allowdupuidsebuildla で重複する UID を登録するかどうかを指定します。有効な値は以下のとおりです。yes- 重複する UID を登録します。no- UID が重複している場合は、その UID を 1 つだけ登録します。UID が重複していると、UNIX OS で整合性が失われる場合があります。デフォルト:no
- lookaside_pathルックアサイド データベースが格納されるディレクトリを指定します。このディレクトリを作成した後に、sebuildla ユーティリティを実行します。注:ルックアサイド データベース ファイルは、sebuildla ユーティリティを使用して作成および更新されます。デフォルト:ACInstallDir/ladb
- max_loggedin_usersログイン ユーザの最大数を定義します。注:この値によって、内部メモリ テーブルのうちの 1 つのサイズが決定します。テーブルが大きいほど、より多くのメモリを消費します。制限:4096 ~ 20480デフォルト:8192
- MultiLoginPgm複数のログインを実行するプログラムの名前および完全パスを定義します。このトークンは、これらの特殊なログイン アプリケーションの正しいログイン シーケンスを検出するために使用されます。MultiLoginPgm は、完全パスを含むログイン アプリケーション名です。デフォルト:none
- network_cache_timeoutネットワーク キャッシュを使用する場合に、ネットワーク キャッシュ テーブルを空にする時間間隔(分単位)を指定します。このトークンは、格納されて受け入れられた TCP 着信要求に時間制限を設定するために使用します。ネットワーク キャッシュの使用の詳細については、「UNIX 版エンドポイント管理者ガイド」を参照してください。デフォルト:10
- nfs_devicesNFS メジャー デバイス番号が格納されるファイルの名前およびパスを指定します。ファイルは、完全パスで指定します。Privileged Access Managerでは、デバイスおよび i-node を使用し、さらに名前を使用しても、プログラムを取得することに失敗した場合にこのファイルを使用します。このファイルには、各プラットフォームの NFS メジャー デバイス番号のデフォルト値が格納されます。この値はシステムによって異なる場合があります。ご使用のシステムでの番号を確認するには、UNIX getmajor() 機能を含む小規模なプログラムを使用してください。次に、nfsdevs.init ファイル(またはこのトークンにちなんだ名前を付けたファイル)を編集して、確認した番号を格納します。NFS システムをマウントおよび再マウントするたびに、nfsdevs.init ファイルを更新する必要があります。また、デバイスの最初の 4 桁の数字のみを使用することができます。これらの数値は、システムをマウント解除し、再度マウントした場合でも変更されません。デフォルト:ACInstallDir/etc/nfsdevs.init
- protect_binseosd でPrivileged Access Managerのバイナリ ファイルを保護するかどうかを指定します。以下のいずれかの値を指定します。yes- このようなアクセスを許可するルールが定義されていない限り、Privileged Access Managerのバイナリ ファイルを保護します。FILE クラスのレコードの _default アクセス権が none のときは、yes を指定しないでください。指定した場合、すべての /opt/CA/PAMSC/bin ファイルに FILE クラスのレコードがあるとき以外はファイルにアクセスできず、Privileged Access Managerを使用できなくなります。no-Privileged Access Managerのバイナリ ファイルを保護しません。デフォルト:no
- resolve_rebindタイムアウト障害後に seosd で NIS サーバへの接続を再度確立するかどうかを指定します。デフォルト値は変更しないことを強くお勧めします。デフォルト:yes
- resolve_timeoutIP をアドレスに、ユーザ ID をユーザ名に、グループ ID をグループ名に、サービス ポート番号をサービス名にそれぞれ変換することを seosd が試みる最長時間(秒単位)を指定します。この値は以下の 2 つの場合に有効になります。seosd がシステム解決を使用している場合(HostResolution トークン、ServiceResolution トークン、UseridResolution トークン、および GroupidResolution トークンを参照してください)。under_NIS_server トークンが no に設定されている場合。指定された時間が経過しても解決できない場合、seosd は指定された IP、ID、またはポートに解決の手段が存在しないとみなします。この値を 0(ゼロ)に設定すると、タイムアウトは設定されません。デフォルト:5
- rt_priorityseosd にリアルタイムの優先順位があるかどうかを指定します。有効な値は、yes および no です。このトークンが yes に設定された場合、seosd にはリアルタイムの優先順位が与えられます。デフォルト:yes
- ServiceResolutionPrivileged Access Managerで TCP ポート番号をサービス名に変換する方法を指定します。有効な値は以下のとおりです。system-Privileged Access Managerは、システム コールを使用して TCP ポート番号を変換します。この値はスタンドアロン端末、NIS/NIS+クライアント端末、DNSクライアント端末、およびDNSサーバ端末に使用できます。(この表の resolve_timeout トークンも参照してください)。cache- サービス名およびその TCP ポート番号を seosd にキャッシュします。これは最も速く簡単な変換方法ですが、実行時にはキャッシュを更新できません。ladb-Privileged Access Managerは、lookaside データベースを使用して TCP ポート番号を変換します。関連するトランザクション テーブルが更新されるたびに、sebuildla ユーティリティを実行して lookaside データベースを再作成する必要があります。NIS サーバおよび NIS+ サーバの場合は、cache または ladb を指定します。デフォルト:system
- sim_login_timeoutアクセサ エレメント エントリ テーブル(ACEE)から、未使用の仮想ログイン ユーザ エントリをPrivileged Access Managerが削除するまでのタイムアウト(分単位)を定義します。Privileged Access Managerは、ACEE に格納されている情報にアクセスする必要があるときに、仮想ログインを実行して ACEE エントリを作成します。デフォルト:60
- special_checkカーネル モジュールのロード時に、ファイル パスのチェックを有効にするかどうかを指定します。有効にした場合、Privileged Access Managerは、ロードするカーネル モジュールが、Linux 以外のシステムでは KMODULE レコードの filepath プロパティと一致しているかどうかをチェックし、Linux システムでは KMODULE レコードのシグネチャと一致しているかどうかをチェックします。デフォルト:no
- terminal_default_ignore管理アクセスを許可するときに、_default TERMINAL レコードおよび特定の TERMINAL レコードの defaccess 値を考慮するかどうかを指定します。有効な値は、yes および no です。yes- 管理アクセスでは、_default TERMINAL レコードおよび特定の TERMINAL レコードの defaccess 値を無視します。この場合、管理アクセスでは、関連する特定の TERMINAL レコードの明示的な権限ルールが必要です。no- 管理アクセスでは、_default か特定かに関係なく、関連するすべての TERMINAL レコードの defaccess 値を考慮します。デフォルト:yes
- terminal_search_order定義済みの TERMINAL を、IP アドレスよりも前に名前でチェックするかどうかを指定します。有効な値は以下のとおりです。name- TERMINAL は、IP アドレスよりも前に名前でチェックされます。ip- TERMINAL は、名前よりも前に IP アドレスでチェックされます。TERMINAL クラスは、ワイルドカードで定義された包括的なルールをサポートしています(IP アドレスまたはホスト名のパターンの一致)。包括的なルールは常に、特定(フルネーム)のルールの後にチェックされます。たとえば、これをipに設定した場合、IP アドレスの完全一致、ホスト名の完全一致、IP アドレスのパターン一致、ホスト名のパターン一致の順で seosd は TERMINAL リソースを探します。デフォルト:name
- trace_backup設定されたファイル サイズ制限に達したとき、トレース メッセージ ファイルをバックアップするかどうかを指定します。値: yes、notrace_backup トークンを yes に設定すると、トレース ファイルのバックアップが保存され、トレース ファイルが作成されます。デフォルト:yes
- trace_file_backupトレース メッセージ バックアップ ファイルの場所を指定します。デフォルト:ACInstallDir/log/seosd.trace.bak
- trace_fileトレース メッセージが要求される場合、トレース メッセージの送信先ファイルの名前を指定します。デフォルト:ACInstallDir/log/seosd.trace
- trace_file_sizeトレース メッセージ ファイルの最大サイズを定義します。デフォルト:512 MB
- trace_file_typeトレース ファイルにバイナリ フォーマットで書き込むか、テキスト フォーマットで書き込むかを指定します。有効な値は以下のとおりです。binary- トレース ファイルはバイナリ フォーマットで書き込まれます。このオプションにより、このファイルが占有する領域は小さくなります。text- トレース ファイルはテキスト フォーマットで書き込まれます。seosd デーモンは、このトークンの値をチェックして、トレース ファイルの内容と比較します。トークンの値がトレース ファイルのフォーマットと一致しない場合は、トレース ファイル名に拡張子 .backup が付加されて保存されます。デフォルト:text
- trace_filterフィルタ データを保存するファイルの名前およびパスを指定します。フィルタ データは、トレース メッセージのフィルタ処理に使用されます。デフォルト:ACInstallDir/data/language/etc/trcfilter.init
- trace_space_saverファイル システムに確保する空き容量(MB 単位)を指定します。空き容量がこの数値を下回ると、Privileged Access Managerではトレースは無効になります。使用可能な容量が後で増えた場合でも、トレースは自動的には有効になりません。デフォルト:512
- trace_toトレース メッセージの送信先を指定します。有効な値は以下のとおりです。file-Privileged Access Managerは、trace_file トークンによって指定されたファイルにトレース メッセージを送信します。トレースを無効にするには、secons -t-コマンドを使用します。詳細については、この表の trace_file トークンの説明を参照してください。file,stop-Privileged Access Managerは、デーモンの初期化時にトレース メッセージを生成します。デーモンが初期化された後は、トレース メッセージの生成は停止します。none-Privileged Access Managerは、トレース メッセージを発行しません。これはPrivileged Access Managerをインストールして実装した後の標準設定です。トークンをfileまたはfile,stopに設定した場合、Privileged Access Managerのトレースは、-t オプションを指定した secons コマンドで切り替えることができます。デフォルト:file, stop
- update_dev_trusted_pgm信頼できるプログラムの起動時に seosd が信頼できるプログラムのデバイス番号を更新するかどうかを指定します。値: yes、noデフォルト:yes
- UpdSurrogLogin代理ログインにおいて、Privileged Access Managerがユーザの最終アクセス日時を更新するかどうかを指定します。有効な値は以下のとおりです。1- 代理ログインにおいて、Privileged Access Managerがユーザの最終アクセス日時を更新するように指定します。0- 代理ログインにおいて、Privileged Access Managerがユーザの最終アクセス日時を更新しないように指定します。
- Undef_ForPaclPACL でアクセサの名前にアスタリスク(*)が含まれている場合、未定義のユーザを seosd でチェックするかどうかを指定します。有効な値は以下のとおりです。1- seosd は、アスタリスクが付いた未定義のユーザを PACL に含めません。0- seosd は、アスタリスクが付いた未定義のユーザを PACL に含めます。デフォルト:0
- under_NIS_serverseosd がシステムの名前解決ではなく、内部の名前解決を使用するかどうかを指定します。有効な値は以下のとおりです。yes- seosd は、起動時にすべてのユーザ、グループ、およびポート番号の情報をメモリまたはルックアサイド データベースに格納します(user_lookaside トークンを参照してください)。この値は、NIS、NIS+、DNS サーバ マシンの場合、およびオペレーティング システムが Sun Solaris 2.5 以上、HP-UX 11.x、IBM AIX 4.3.x、IRIX 6.5 の場合に必要です。NIS サーバまたは上記オペレーティング システムのいずれかの場合、トークンを無効にするとコンピュータが停止することがあります。no- seosd は、システムの名前解決を使用して resolve_timeout トークンを有効にします。このトークンには、インストール時に値が自動的に割り当てられます。このトークンは、旧バージョンとの互換性を維持するためにのみ残されています。初めてPrivileged Access Managerをインストールするか、またはバージョン 2 以上をインストールする場合は、このトークンではなく、HostResolution トークン、ServiceResolution トークン、UseridResolution トークン、および GroupidResolution トークンを使用してください。デフォルト:インストール時に割り当てられます
- use_lookasideseosd がユーザ、グループ、ホスト、およびポート番号をルックアサイド データベースまたはメモリのどちらに格納するかを指定します。このトークンは、under_NIS_server トークンと組み合わせて使用します。under_NIS_server トークンを yes に設定しない限り、有効になりません。有効な値は以下のとおりです。yes- seosd は、ユーザ、グループ、ホスト、およびサービスの詳細にルックアサイド データベースを使用します。lookaside データベースは、sebuildla ユーティリティによって作成され、このユーティリティを使用していつでも更新できます。ルックアサイド データベースの場所は、lookaside_path トークンで指定します。no- seosd は、起動時にすべてのユーザ、グループ、ホスト、およびサービスの情報をキャッシュします。そのため、すべての変換はメモリ内で実行できます。seosd を毎日再起動してキャッシュを更新することをお勧めします。このトークンは、旧バージョンとの互換性を維持するためにのみ残されています。初めてPrivileged Access Managerをインストールするか、またはバージョン 2 以上をインストールする場合は、このトークンではなく、HostResolution トークン、ServiceResolution トークン、UseridResolution トークン、および GroupidResolution トークンを使用してください。デフォルト:no
- use_mapped_user_name(Privileged Access Managerと UNAB の両方がインストールされている場合、有効) seosd が監査レコード内でユーザ エンタープライズ名を使用するかどうかを指定します。値: yes、noデフォルト:no
- use_nfs_devicesNFS デバイスを使用するかどうかを指定します。有効な値は、yes および no です。デフォルト:Yes
- use_standard_functionsNIS 環境での sebuildla によるユーザの取得を、標準のシステム機能 getpwent を呼び出して行うか、または ypcat passwd コマンドおよび cat /etc/passwd コマンドの出力を解析して行うかを指定します。有効な値は以下のとおりです。yes- 標準のシステム機能 getpwent を使用します。no- ypcat passwd コマンドおよび cat /etc/passwd コマンドの出力の解析を使用します。デフォルト:yes
- use_trusted_scriptseosd が trusted スクリプト メカニズムを使用するかどうかを指定します。trusted スクリプト メカニズムを使用すると、シェル スクリプト内から呼び出されたプログラムは、Privileged Access Managerの内部テーブルにシェル スクリプトの名前を保持します。つまり、スクリプトが PACL で使用された場合、これらのプログラムはその権限を継承します。また、Privileged Access Managerを使用してこれらのプログラムを保護することはできません。trusted スクリプトは最初の行の #! から始まります。trusted スクリプト メカニズムを使用しない場合、これらのプログラムは、Privileged Access Managerの内部テーブルに独自の名前で登録されます。デフォルト:yes
- use_unab_db(Privileged Access Managerと UNAB の両方がインストールされている場合、有効)現在の方法でユーザおよびグループ名を解決できない場合、seosd が UNAB データベースを使用して解決するかどうかを指定します。このトークンは次のトークンと一致します。use_lookaside、UseridResolution、GroupidResolution。値:yes、noデフォルト:no
- UseFileCacheパフォーマンス向上のために、ファイル レコードに対してキャッシュ ツールを使用するかどうかを指定します。デフォルト:yes
- UseNetworkCachePrivileged Access Managerで受け入れた TCP 着信要求をキャッシュするかどうかを指定します。ネットワーク キャッシュの使用の詳細については、「UNIX 版エンドポイント管理者ガイド」を参照してください。有効な値は、yes および no です。デフォルト:no
- UseridResolutionPrivileged Access Managerで UID 番号をユーザ名に変換する方法を指定します。有効な値は以下のとおりです。system-Privileged Access Managerは、システム コールを使用して uid 番号を変換します。この値はスタンドアロン端末、NIS/NIS+クライアント端末、DNSクライアント端末、およびDNSサーバ端末に使用できます。cache- ユーザ名およびその uid 番号は seosd にキャッシュされます。これは最も速く簡単な変換方法ですが、実行時にはキャッシュを更新できません。ladb-Privileged Access Managerは、lookaside データベースを使用して uid 番号を変換します。関連するトランザクション テーブルが更新されるたびに、sebuildla ユーティリティを実行して lookaside データベースを再作成する必要があります。オペレーティング システムが NIS サーバ、NIS+ サーバ、Sun Solaris 2.5 以上、または HP-UX 11.x の場合は、cache または ladb を指定する必要があります。デフォルト:system
- watchdog_refreshファイル ハンドルごとに特権プログラムと保護対象ファイルをスキャンするために、Watchdog の更新を seosd が実行するかどうかを指定します。有効な値は以下のとおりです。yes- seosd は、Watchdog を更新します。no- seosd は、Watchdog を更新しません。デフォルト:no