seos
[seos] 섹션의 토큰은 이 사용하는 전역 설정을 결정합니다.
cminder140kr
[seos] 섹션의 토큰은
Privileged Access Manager Server Control
이 사용하는 전역 설정을 결정합니다.- admin_dataPrivileged Access Manager Server ControlSecurity Administrator ruler 및 기타 구성 파일을 저장할 디렉터리를 지정합니다.기본값:ACInstallDir/data
- auth_login로그인 권한 방법을 결정합니다. 유효한 값:native -로그인 시 UNIX 암호 또는 섀도 파일과 비교하여 사용자 암호를 검사합니다.eTrust- 네이티브 환경에 사용자가 없을 경우Privileged Access Manager Server Control데이터베이스와 비교하여 사용자 암호를 검사합니다.PAM- 네이티브 환경에 사용자가 없을 경우 PAM 모듈을 통해 로그인을 검사합니다. 이것은 PAM을 지원하는 컴퓨터에서만 지원됩니다. LDAP 정의 사용자와 같은 사용자를 확인하는 데 PAM을 사용합니다.기본값:native
- auth_module_names네이티브 인증 외부에서 인증을 받을 수 있는 언어 클라이언트 모듈을 정의합니다. 인증 전에 lca API 호출 내부에서 클라이언트가 이 토큰을 설정합니다. 이 토큰을 변경하면 네이티브 모드 이외의 모드에서 인증되는 다른 클라이언트에 영향을 줄 수 있습니다.기본값 없음.
- fast_create_dbPMDB가 고속 데이터베이스 복사 장치를 사용하는지 여부를 지정합니다.유효한 값:no- 기존 장치를 사용합니다.yes- 고속 데이터베이스 복사 장치를 사용합니다.기본값:yes
- full_year4자리 또는 마지막 2자리를 사용하여 연도를 표시하는 형식을 지정합니다.예를 들어 토큰을 yes로 설정하면 00 대신 2000이 표시됩니다.다음 값을 사용할 수 있습니다.yes-4자리 숫자no-2자리 숫자이 토큰은 secons -tv, dbmgr -d 및 seaudit 유틸리티에 의해 생성되는 출력에 영향을 줍니다.기본값:yes(4자리 숫자)
- ldap_basePrivileged Access Manager Server ControlLDAP 사용 유틸리티(예: sebuildla)에서 사용하는 사용자 데이터 쿼리를 위한 검색 기준의 고유 이름을 LDAP DIT(디렉터리 정보 트리)에서 정의합니다.예를 들어, 다음 형식을 사용하십시오. 이때 입력은 실제 정보로 대체하십시오.o=organization_name,c=country_name기본값:토큰이 설정되지 않음
중요!
sebuildla 및 필수 LDAP 구성 설정을 설정하려면 LDAP에 대해 잘 알고 있고 ldapsearch 명령을 실행할 수 있어야 합니다. ldap(1), ldapsearch(1)에 대한 man 페이지와 LDAP 클라이언트 설명서에서 설정 정보를 검토하는 것이 좋습니다.- ldap_hostnamePrivileged Access Manager Server ControlLDAP 사용 유틸리티를 위해 LDAP 서버가 실행되고 있는 호스트 이름의 목록을 공백으로 구분하여 정의합니다.기본값:토큰이 설정되지 않음(localhost)
- ldap_certdb_pathNetscape 스타일의 인증서 데이터베이스가 있는 디렉터리를 정의합니다.이 토큰은 SSL을 통한 LDAP용 Netscape LDAP SDK API(Solaris)를 사용하는 플랫폼에서 sebuildla에 필요합니다. sebuildla가 작동하려면 유효한 LDAP 서버용 인증서가 인증서 데이터베이스에 반드시 포함되어 있어야 합니다.참고:sebuildla는 서버 인증을 사용하여 SSL을 통해 LDAP를 사용합니다(즉, 클라이언트 인증 없음). 보안 서비스를 설정하는 방법에 대한 자세한 내용은 PKI Toolkit 설명서를 참조하십시오.기본값:/.netscape
- ldap_keydb키 데이터베이스 파일의 이름을 정의합니다.참고:AIX 키 데이터베이스는 임의의 이름을 가질 수 있으므로 이 설정은 AIX 전용입니다. 반대로, Netscape 보안 데이터베이스는 구현 버전에 따라 certX.db 및 keyY.db와 같은 이름을 가지므로 이름 검색에 ldap_certdb_path만 필요합니다.기본값:토큰이 설정되지 않음
- ldap_methodPrivileged Access Manager Server Control이 LDAP 서비스에 액세스하기 위해 LDAP 사용 유틸리티에 대해 사용하는 바인딩 방법을 지정합니다.기본적으로 sebuildla는 모든 보안 메커니즘과 함께간단한인증을 사용합니다. 간단한 인증에서는 ldap_userdn 및 해당 자격 증명이 LDAP 서버로 전달됩니다. sebuildla는 사용자 자격 증명을ACInstallDir/etc의 ldapcred.dat에 암호화된 형식으로 저장합니다. 이 두 매개 변수는 LDAP 서버에 필요한 계정 및 암호 조합과 유사합니다.참고:SASL 또는 TLSv.1/SSL에 대해서는 해당 LDAP 서버 설명서를 참조하십시오. 특정 ldap_method 설정을 적용하려면 sebuildla가 실행되는 컴퓨터에 배포된 네이티브 LDAP 클라이언트에서 해당 메커니즘이 지원 및 구성되어야 합니다. 즉, TLS/SSL 작업과 함께 유효한 인증서가 서버 측과 클라이언트 측에 설치되어 있어야 합니다.유효한 값:0- 표준 LDAP1- SASL(RFC 2222)2-LDAPS(LDAP over SSL - 서버 인증 전용.)참고:사용 방법에 따라 ldap_userdn 토큰 및 해당 자격 증명의 설정 방법이 (seldapcred 유틸리티를 통해) 결정됩니다.기본값:0
- ldap_portPrivileged Access Manager Server ControlLDAP 사용 유틸리티에 대한 LDAP 서버 포트를 정의합니다. LDAP 서버가 표준 LDAP 포트(389)를 사용하지 않는 경우에만 이 토큰을 변경하십시오.기본값:토큰이 설정되지 않음(389)
- ldap_query_size각 배치 쿼리에서 sebuildla가 검색할 LDAP의 최대 수를 정의합니다.LDAP 서버 측 크기 제한 매개 변수를 변경하고 싶지 않은 경우 이 토큰을 사용하십시오. 일반적으로 sebuildla는 한 인스턴스에서 모든 데이터를 검색하려고 시도합니다. 사용자 항목이 많은 경우에는 데이터 양이 서버의 크기 제한을 초과하여 LDAP 작업이 실패할 수 있습니다. ldap_query_size를 설정하면 sebuildla가 모든 항목을 검색할 필요가 없으므로 작업에 성공합니다. 총 사용자 항목 수가 ldap_query_size 또는 서버 측 크기 제한보다 큰 경우, 검색되는 항목 수는 이 두 설정 중 낮은 숫자와 일치합니다.중요!배치 쿼리를 활성화하면 sebuildla 성능에 영향을 줄 수 있습니다. LDAP 환경의 DIT(디렉터리 정보 트리)에 많은 사용자 데이터(수천 개의 항목)가 있는 경우에만 이 설정을 사용하는 것이 좋습니다.참고:서버 측 LDAP 컨트롤(예: OpenLDAP 서버(slapd) sizelimit 매개 변수)에 대한 자세한 내용은 해당 LDAP 서버 설명서를 참조하십시오. 기본값: 토큰이 설정되지 않음(비어 있음)
- ldap_timeoutLDAP 서비스에 바인딩하고 LDAP 검색 결과를 가져올 때 연결이 종료되기 전에Privileged Access Manager Server ControlLDAP 사용 유틸리티가 기다리는 최대 시간(초)을 정의합니다. LDAP 서비스에서 정보를 검색하는 데 걸리는 시간은 LDAP 서비스의 속도 및 DIT에 저장된 사용자 데이터 양에 따라 다릅니다. 이러한 부분을 설명하려면 이 토큰을 사용하십시오.참고:검색 결과가 잘리지 않도록 서버 측 LDAP 컨트롤을 조정해야 할 수 있습니다. 예를 들어 OpenLDAP 서버(slapd)의 경우 sizelimit 매개 변수를 조정하십시오. 자세한 내용은 해당 LDAP 서버 설명서를 참조하십시오.기본값:토큰이 설정되지 않음(15초)
- ldap_uid_attrLDAP DIT에서 사용자 이름을 포함하고 있는 특성의 이름을 정의합니다. RFC 2307(LDAP를 네트워크 정보 서비스로 사용하기 위한 접근법)에서는uid를 이 특성으로 미리 지정하는데, 이것이 이 토큰의 기본값입니다.Privileged Access Manager Server ControlLDAP 사용 유틸리티가 비표준 스키마를 사용하는 LDAP DIT에 대해 작동하도록 하려면 이 토큰을 변경하십시오.기본값:토큰이 설정되지 않음(uid)
- ldap_uidNumber_attrLDAP DIT에서 UID 번호를 포함하고 있는 특성의 이름을 정의합니다. RFC 2307에서는uidNumber를 이 특성으로 미리 지정하는데, 이것이 이 토큰의 기본값입니다.Privileged Access Manager Server ControlLDAP 사용 유틸리티가 비표준 스키마를 사용하는 LDAP DIT에 대해 작동하도록 하려면 이 토큰을 변경하십시오.기본값:토큰이 설정되지 않음(uidNumber)
- ldap_user_classLDAP DIT에서 사용자 데이터를 포함하고 있는 개체 클래스의 이름을 정의합니다. RFC 2307에서는posixAccount를 이 개체 클래스로 미리 지정하는데, 이것이 이 토큰의 기본값입니다.Privileged Access Manager Server ControlLDAP 사용 유틸리티가 비표준 스키마를 사용하는 LDAP DIT에 대해 작동하도록 하려면 이 토큰을 변경하십시오.기본값:토큰이 설정되지 않음(posixAccount)
- ldap_userdnPrivileged Access Manager Server ControlLDAP 사용 유틸리티가 LDAP DIT에서 사용자 데이터를 검색하기 위해 사용하는 LDAP 사용자의 DN(고유 이름)을 정의합니다. RFC 2307을 기반으로,Privileged Access Manager Server Control은 DIT에 있는 ou=People 수준의uid및uidNumber특성에서 사용자 데이터를 찾고자 합니다. 보안상의 이유로, 이 사용자(ldap_userdn)에게는 이 데이터에 대한 액세스 권한만 부여하는 것이 좋습니다.DIT에 대한 익명 액세스가 허용되는 경우 이 토큰을 비워 둘 수 있습니다. 그렇지 않은 경우 LDAP 서비스에 대해 인증을 받으려면Privileged Access Manager Server ControlLDAP 사용 유틸리티에 대해 이 토큰을 설정하고 seldapcred 유틸리티를 실행해야 합니다. seldapcred가 재사용을 위해 암호화된 자격 증명을 파일에 저장하므로 이 작업은 한 번만 수행하면 됩니다.예를 들면 이 토큰을 다음과 같이 설정하십시오.ldap_userdn = uid=user1,ou=People,dc=myCompany,dc=com기본값:토큰이 설정되지 않음
- ldap_userinfo_ladbLDAP 디렉터리 정보 트리(DIT)에서 사용자 정보를 검색할지 여부를 지정합니다.제한: yes, no기본값: no
- ldap_verbosesebuildla의 사용자 데이터 입수와 관련된 LDAP 작업의 자세한 설명 표시를 활성화할지 여부를 지정합니다.sebuildla에서 LDAP 데이터 검색을 설정하거나 문제 해결을 수행할 때 이 설정을 사용하십시오.유효한 값은 0-비활성,0이외의 정수-활성입니다.기본값:0
- localePrivileged Access Manager Server Control데몬 및 유틸리티의 언어를 결정합니다.Privileged Access Manager Server Control은 여러 가지 언어에서 작동할 수 있습니다.지원되는 언어는 C, 일본어, 중국어 간체, 중국어 번체입니다.전체 언어 목록은 /etc/ca/localeX/calocmap.txt를 참조하십시오. Linux에서는/opt/CA/SharedComponents/cawin/locale/를 참조하십시오.기본값:C
- pam_enabledSOLARIS, HP-UX 및 LINUX에만 해당.로컬 호스트가 인증 및 암호 변경을 위해 LDAP 데이터베이스에서 PAM 사용을 활성화할지 여부를 지정합니다.이를 위해 로컬 호스트는 PAM 라이브러리가 동적으로 로드되는지를 확인합니다(시스템에 라이브러리가 있어야 함).유효한 값은 'no'와 'yes'입니다.기본값:yes
- parent_pmd이 컴퓨터에서 업데이트를 허용하는 PMDB(정책 모델 데이터베이스)의 목록을 쉼표로 구분하여 정의합니다. 로컬Privileged Access Manager Server Control데이터베이스는 이 목록에 지정되지 않은 PMDB에서 오는 업데이트를 거부합니다.줄로 구분된 PMDB 목록이 포함된 파일 경로를 지정할 수도 있습니다.로컬Privileged Access Manager Server Control데이터베이스가 모든 PMDB에서 오는 업데이트를 허용하도록 하려면 이 토큰을 "_NO_MASTER_"로 설정하십시오.이 토큰을 설정하지 않으면 로컬Privileged Access Manager Server Control데이터베이스는 어떤 PMDB에서 오는 업데이트도 허용하지 않습니다.각 PMDB는 pmd_name@hostname 형식으로 지정됩니다.예를 들면 다음과 같습니다.parent_pmd = pmd1@host1,pmd2@host1,pmd3@host2 parent_pmd = /opt/CA/AccessControl/parent_pmdbs_file기본값:토큰이 설정되지 않음(데이터베이스는 어떤 PMDB에서 오는 업데이트도 허용하지 않음).참고: sepass는 parent_pmd 토큰에서 여러 대상을 지원하지 않습니다.
- passwd_pmdsepass가 암호 업데이트를 보내는 PMDB를 지정합니다.이 토큰을 설정하지 않으면 parent_pmd 토큰 값을 상속합니다.형식은pmd_name@hostname입니다.parent_pmd와 passwd_pmd 토큰은 동일한 값을 가질 수 있습니다. parent_pmd 및 passwd_pmd 토큰의 값이 동일하지 않으면 passwd_pmd 데이터베이스는 자신의 업데이트를 parent_pmd 데이터베이스로 보내 배포되도록 합니다. 따라서 parent_pmd 데이터베이스는 passwd_pmd 데이터베이스의 자식(구독자)이어야 합니다.기본값 없음.참고: sepass는 passwd_pmd 토큰에서 여러 대상을 지원하지 않습니다.
- ReverseIpLookupseagent가 연결된 클라이언트를 식별하는 방법을 제어합니다.유효한 값은 다음과 같습니다.yes- seagent가 열려 있는 클라이언트의 소켓 IP 주소를 조회합니다.no- seagent가 클라이언트에서 받은 호스트 이름을 사용하고 호스트 이름을 확인하지 않습니다. TERMINAL 클래스를 비활성화해도 동일한 효과를 얻을 수 있습니다.기본값:yes
- secondary_pmd기본 대상(passwd_pmd)에 정의되지 않은 사용자의 암호 대체를 위한 보조 대상으로 사용된 PMDB를 지정합니다.형식은pmd_name@hostname입니다.기본값 없음.
- SEOSPATHPrivileged Access Manager Server Control이 설치된 디렉터리를 지정합니다.NFS 마운트된 파일 시스템에 있지 않다면 어떤 디렉터리에도Privileged Access Manager Server Control을 설치할 수 있습니다.기본값:ACInstallDir
- SyncUnixFilePermsPrivileged Access Manager Server Control이 ACL 권한을 ACL 및 네이티브 UNIX 시스템의 다른 권한(있는 경우)과 동기화해야 하는지 여부를 지정합니다.유효한 값은 다음과 같습니다.no- UNIX 파일 사용 권한을Privileged Access Manager Server ControlACL과 동기화하지 않습니다.warn- ACL 사용 권한을 동기화하지 않지만Privileged Access Manager Server Control및 UNIX의 사용 권한이 충돌하는 경우 경고를 표시합니다.traditional-Privileged Access Manager Server ControlACL에 따라 그룹 및 소유자의 rwx 사용 권한을 변경하고 다른 모든 경우에는 경고를 표시합니다.acl- ACL을 지원하는 플랫폼에서Privileged Access Manager Server ControlACL에 따라 네이티브 파일 시스템 ACL을 변경합니다.force- traditional 또는 acl(ACL을 지원하는 플랫폼의 경우)과 동일하게 작동하지만 defaccess를 "다른" 사용 권한에 강제로 매핑하기도 합니다.참고:HP-UX 및 Sun Solaris 2.5 이상에서는 파일 시스템 ACL을 지원합니다. 다른 플랫폼 및 운영 체제 버전에서는 파일의 기존 사용 권한 모드만 지원됩니다.기본값:no
- TRUEPATHPrivileged Access Manager Server Control이 실제로 있는 디렉터리를 지정합니다.Privileged Access Manager Server Control디렉터리는 다른 실제 위치에 대한 심볼 링크일 수 있습니다. 이 토큰은Privileged Access Manager Server Control이 설치된 실제 위치를 가리킵니다.기본값:ACInstallDir
- use_rpc_protocolRPC portmapper가 필요한지 여부를 결정합니다. 이전(1.43)의Privileged Access Manager Server Control프로토콜을 사용하려면 RPC 포트매퍼가 필요합니다. 기존 프로토콜은 NIS+ 암호 변경을 지원하는 데 필요합니다.토큰은 old_protocol 토큰을 교체합니다.유효한 값은 다음과 같습니다.yes- RPC 포트매퍼를 사용하여 포트를 할당합니다.no- ServicePort 토큰에 의해 지정된 포트를 사용합니다.기본값:no