agent_
[agent] 섹션에는 다양한 UNAB 매개 변수를 제어하는 토큰이 포함되어 있습니다.
cminder140kr
[agent] 섹션에는 다양한 UNAB 매개 변수를 제어하는 토큰이 포함되어 있습니다.
- working_threads에이전트의 작업 스레드 수를 지정합니다.기본값: 64
- agent_receive_timeout에이전트로부터 수신할 때의 만료 시간(밀리초)을 지정합니다.기본값: 20
- use_time_sync = no시계 동기화 옵션을 지정합니다.값: no(수동 동기화), yes(자동 동기화)기본값: no
- ntp_server사용할 NTP 서버의 호스트 이름 또는 IP 주소를 지정합니다.기본값: none
- time_sync_interval시계 동기화 간격(초)을 지정합니다.기본값: 8371
- tgt_renew_lifetime에이전트의 TGT(Ticket Granting Ticket) 수명을 지정합니다. 무중단 LDAP 연결을 보장하기 위해 에이전트는 TGT를 만료 전에 갱신합니다. AD Kerberos 정책으로 인해 티켓 수명은 정의된 것보다 짧을 수 있습니다. 수명은 시간 길이에 대한 Kerberos 형식으로 지정됩니다. 예를 들어 2h는 2시간을 의미합니다. 접미사 없는 숫자는 초로 간주됩니다.기본값: 593m
- tgt_renewable_lifetime에이전트의 TGT(Ticket Granting Ticket) 최대 갱신 기간을 지정합니다. 수명은 시간 길이에 대한 Kerberos 형식으로 지정됩니다. 예를 들어 3d는 3일을 의미합니다. 접미사 없는 숫자는 초로 간주됩니다.기본값: 30d
- tgt_validate_interval에이전트가 TGT(Ticket Granting Ticket)의 유효성을 검사하는 간격을 지정합니다.접미사 없는 간격은 초로 간주됩니다.기본값: 613초
- tgt_renew_before_intervalTGT가 만료되기 전에 에이전트가 TGT를 갱신하는 간격을 지정합니다.간격은 시간 길이에 대한 Kerberos 형식입니다. 예를 들어 30m은 30분을 의미합니다.기본값: 33m
- computer_password_change_interval에이전트가 Active Directory에서 끝점 암호를 다시 설정하는 빈도를 지정합니다. 간격은 시간 길이에 대한 Kerberos 형식으로 지정되어야 합니다. 예를 들어 20d는 20일을 의미합니다. 값이 0이면 암호 업데이트 메커니즘이 비활성화됩니다. 컴퓨터 암호가 변경될 때마다 발생하는 추가 처리의 오버헤드를 방지하기 위해 EP 등록 시 이 값에 대해 최소값 '1d'가 적용됩니다.참고: 끝점이 AD에서 해당 암호를 변경할 수 있도록 하려면 암호 다시 설정 기능이 활성화된 상태로 끝점을 등록해야 합니다.기본값: 0d
- user_ticket_cleanup_interval만료된 사용자 티켓을 삭제할 정리 간격(초)을 지정합니다.기본값: 4137
- ldap_bind_timeoutLDAP 인증 시도의 최대 기간(초)을 지정합니다.기본값: 15
- ldap_connection_lifetime사용이 없는 LDAP 연결을 유지할 최대 기간(초)을 지정합니다. 0으로 설정하면 LDAP 작업 후 연결이 즉시 끊깁니다.기본값: 70
- dcs_refresh_intervalActive Directory 도메인 컨트롤러의 새로 고침 간격(분)을 지정합니다.기본값: 53분
- connpool_backup_lifetime연결 풀(트러스트된 도메인) 정보가 최신인 것으로 간주할 UNAB 종료와 이후 시작 사이의 시간(초)을 지정합니다. 이 설정을 사용하면 정상적인 종료 중에 .uxauthd_connpool.bk 파일에 저장된 데이터를 사용할 수 있으므로 에이전트 시작 시 트러스트된 도메인 검색 단계를 건너뛸 수 있습니다. 값이 양수가 아니면 저장된 트러스트된 도메인 데이터가 전혀 사용되지 않습니다.기본값: 0
- offline_monitor_interval오프라인 Active Directory 도메인 컨트롤러의 새로 고침 간격(초)을 지정합니다.기본값: 307초
- unix_shellsActive Directory 사용자 셸을 지원되는 UNIX 셸로 변환하는 규칙을 정의합니다. 일치하는 항목이 없으면 "other"로 정의된 셸 유형이 사용됩니다.기본값: sh=/bin/sh,csh=/bin/csh,bash=/bin/bash,ksh=/bin/ksh,tcsh=/bin/tcsh,false=/bin/false,nologin=/sbin/nologin,other=/bin/false
- offline_logonActive Directory를 사용할 수 없을 때 사용자가 UNIX 호스트에 액세스할 수 있도록 지정합니다.값: yes, no기본값: yes
- offline_logon_period마지막으로 성공한 온라인 인증 이후 오프라인 인증이 허용되는 최대 기간을 지정합니다.기본값: 30일
- offline_logon_max_fail = 5오프라인 로그온 시도의 최대 실패 횟수를 지정합니다.기본값: 5
- group_membership_type쿼리된 그룹 구성원 자격의 유형을 지정합니다.값: 0 - 도메인 로컬, 1 - 크로스 도메인, 2 - 크로스 포리스트기본값: 0
- nss_cache_update_startup에이전트 시작 시 NSS 사용자 및 그룹 캐시를 업데이트하는 방법을 지정합니다.값: 0 - 업데이트 안 함, 1 - 증분 업데이트, 2 - 전체 업데이트기본값: 1
- nss_cache_update_usr_modeNSS 사용자 캐시 업데이트 모드 방법을 지정합니다.값: 0 - 업데이트 안 함, 1 - 증분 업데이트, 2 - 전체 업데이트기본값: 1
- nss_cache_update_grp_mode그룹 캐시 업데이트 방법을 지정합니다.값: 0 - 업데이트 안 함, 1 - 증분 업데이트, 2 - 전체 업데이트기본값: 1
- nss_cache_update_interval사용자 및 그룹 캐시를 업데이트하는 간격을 지정합니다. 최소 간격은 10분입니다.기본값: 233분
- nss_cache_update_usr_login로그인 시마다 NSS 사용자 캐시가 업데이트되도록 지정합니다.값: yes, no기본값: yes
- nss_cache_update_grp_login로그인 시마다 NSS 그룹 캐시가 업데이트되도록 지정합니다. 다른 포리스트 또는 도메인의 그룹 구성원을 허용하는 구성(group_membership_type 토큰 > 0)의 경우에는 로그인 시 NSS 그룹 캐시 업데이트가 무시됩니다.값: yes, no기본값: yes
- ac_registration_intervalPrivileged Access Manager Server Control등록 간격(초)을 지정합니다(0 - 등록 안 함).기본값: 61
- login_name_type매핑된 사용자 로그인에 사용되는 이름을 지정합니다.값: 1 - UNIX 로그인 이름, 2 - 엔터프라이즈 로그인 이름기본값: 1
- ad_user_minimal_uid로그인할 수 있는 Active Directory 사용자의 최소 UID를 정의합니다.기본값: -1
- ad_user_deny_uid_list로그인할 수 없는 Active Directory 사용자의 UID를 쉼표로 구분하여 정의합니다. 예: ad_user_deny_uid_list = 12,37기본값: none
- ad_group_minimal_gid로그인할 수 있는 Active Directory 그룹의 최소 GID를 정의합니다.기본값: -1
- ad_group_deny_gid_list로그인할 수 없는 Active Directory 그룹의 GID를 쉼표로 구분하여 정의합니다.예: ad_group_deny_gid_list = 11,14기본값: none
- default_login_access사용자 또는 그룹에 대한 특정 규칙이 없는 경우의 기본 로그인 액세스를 결정합니다.값: 1 - 로그인 액세스 허용, 0 - 로그인 액세스 거부기본값: 0
- use_local_policy로그인 정책 옵션을 지정합니다.값: no - 엔터프라이즈 로그인 정책만 사용, yes - 엔터프라이즈 로그인 정책이 정의되지 않은 경우에만 로컬 로그인 파일 사용기본값: no
- partial_user_login_policy부분 사용자에 대한 로그인 정책 옵션을 지정합니다.값: no - 부분 사용자의 로그인 항상 허용, yes - 해당 로그인 정책이 있는 경우에만 부분 사용자의 로그인 허용기본값: no
- users_allow_file사용자 허용 파일을 지정합니다.기본값: /opt/CA/uxauth/etc/users.allow
- users_deny_file사용자 거부 파일을 지정합니다.기본값: /opt/CA/uxauth/etc/users.deny
- groups_allow_file그룹 허용 파일을 지정합니다.기본값: /opt/CA/uxauth/etc/groups.allow
- groups_deny_file그룹 거부 파일을 지정합니다.기본값: /opt/CA/uxauth/etc/groups.deny
- message_read_intervalPrivileged Access Manager Server Control정책 큐를 읽는 간격(초)을 지정합니다.기본값: 60
- message_read_timeout시간이 만료되기 전에 UNAB가Privileged Access Manager Server Control정책 큐를 읽는 데 소요할 수 있는 최대 시간(밀리초)을 정의합니다.기본값: 1
- heartbeat_send_interval배포 호스트로 하트비트를 보내는 간격(초)을 지정합니다.기본값: 3600
- use_wingrpWindows 그룹 데이터베이스를 만들지 여부를 지정합니다. UNAB가 부분 통합 모드에서 작동하도록 구성되고Privileged Access Manager Server Control과 통합되어 있지 않으면 Windows 그룹 데이터베이스를 만들지 않도록 설정할 수 있습니다.값: yes, no기본값: yes
- wingrp_update_startup에이전트 시작 시 Windows 그룹 데이터베이스를 업데이트하는 방법을 지정합니다.값: 0 - 업데이트 안 함, 1 - 증분 업데이트, 2 - 전체 업데이트기본값: 1
- wingrp_update_modeWindows 그룹 데이터베이스 업데이트 모드 방법을 지정합니다.값: 0 - 업데이트 안 함, 1 - 증분 업데이트, 2 - 전체 업데이트기본값: 1
- wingrp_update_intervalWindows 그룹 데이터베이스를 업데이트하는 간격을 지정합니다. 최소 간격은 20분입니다.기본값: 101분
- wingrp_update_login로그인 시마다 Windows 그룹 데이터베이스가 업데이트되도록 지정합니다. 로그인 시 Windows 그룹 업데이트는 시간이 오래 걸리는 작업이며, 그룹 수가 많으면 특히 더 오래 걸릴 수 있습니다. 로그인 프로세스의 성능을 높이려면 이 옵션을 비활성화하십시오. 다른 포리스트 또는 도메인의 그룹 구성원을 허용하는 구성(group_membership_type 토큰 > 0)의 경우에는 로그인 시 Windows 그룹 업데이트가 무시됩니다.값: yes, no기본값: yes
- use_nested_group_acl사용자 로그인 ACL에 중첩된 그룹이 사용되는지 여부를 지정합니다.값: no(중첩된 그룹이 사용되지 않음), yes(중첩된 그룹이 사용됨)기본값: yes
- health_check_intervalUNAB 에이전트 내부 자체 테스트 사이의 간격(초)을 지정합니다.값: 양의 정수 또는 -1(자체 테스트 취소)기본값: 300
- agent_restart_delay중요 문제로부터 복구하기 위해 UNAB 에이전트가 다시 시작될 수 있는 빈도를 지정합니다. 시간 간격은 분 단위로 간주됩니다.값: 양의 정수 또는 -1(UNAB 에이전트 다시 시작 안 함)기본값: 60
- agent_vmemory_maxUNAB 에이전트가 사용할 수 있는 최대 가상 메모리 크기(MB)를 지정합니다. 이 설정을 초과하면 UNAB 에이전트가 자동 재시작을 예약합니다.기본값: 300
- agent_open_files_maxUNAB 에이전트가 사용할 수 있는 열린 파일의 최대 개수를 지정합니다. 이 설정을 초과하면 UNAB 에이전트가 다시 시작될 수 있습니다.기본값: 100
- agent_scheduler_skew_max허용되는 최대 스케줄러 시간 차이를 지정합니다. 이 설정을 초과하면 UNAB 에이전트가 다시 시작될 수 있습니다.기본값: 600
- watchdog_enabledUNAB Watchdog을 사용하여 에이전트 데몬을 보호할지 여부를 지정합니다. UNAB Watchdog은 UNAB가Privileged Access Manager Server Control없이 설치되고 데몬으로 시작되는 경우에 실행됩니다.기본값: yes
- watchdog_check_intervalUNAB Watchdog이 uxauthd가 있는지 검사하는 시간 간격을 지정합니다.기본값: 60초
- debug_fileUNAB가 디버그 메시지를 기록하는 파일 이름을 정의합니다. 파일에 대한 전체 경로 이름을 사용하지 않으면 UNAB는 /opt/CA/uxauth/log/debug/ 디렉터리에 이 파일을 만듭니다.기본값: agent_debug
- debug_backup디버그 메시지 파일을 백업할지 여부를 지정합니다.값: yes, no기본값: yes
- debug_backup_fileUNAB가 디버그 메시지를 기록하는 백업 파일 이름을 정의합니다. 파일에 대한 전체 경로 이름을 사용하지 않으면 UNAB는 /opt/CA/uxauth/log/debug/ 디렉터리에 이 파일을 만듭니다.기본값: agent_debug.back
- debug_size디버그 메시지 파일의 최대 크기(MB)를 지정합니다.기본값: 512MB
- debug_level디버그 파일의 디버그 메시지 수준을 지정합니다.값: disabled, high, medium, low
- disabled: 파일에 디버그 메시지를 기록하지 않음
- high: 파일에 HIGH 수준의 디버그 메시지를 기록
- medium: 파일에 HIGH 및 MEDIUM 수준의 디버그 메시지를 기록
- low: 파일에 HIGH, MEDIUM 및 LOW 수준의 디버그 메시지를 기록
기본값: disabled - debug_zones하위 모듈(영역) 디버그 메시지를 로깅할지 여부를 지정합니다. 여러 영역의 디버그를 기록하려면 영역 값의 합계를 설정하십시오. 예를 들어 하위 영역 "General" 및 "Scheduler"를 디버그하려면 debug_zones = 5로 설정하십시오.값: -1, 1, 2, 4, 8, 16, 또는 양수 값의 합계
- zone -1: 모든 영역에 대한 디버그 메시지를 기록
- zone 1: General 영역에 대한 디버그 메시지를 기록
- zone 2: Entire 통신 영역에 대한 디버그 메시지를 기록
- zone 4: Scheduler 영역에 대한 디버그 메시지를 기록
- zone 8: PAM 통신 영역에 대한 디버그 메시지를 기록
- zone 16: NSS 통신 영역에 대한 디버그 메시지를 기록
기본값: -1 - report_user_mapped_name매핑된 사용자의 경우에 감사 및 보고서에 사용되는 사용자 이름을 정의합니다.값: no - 사용자의 UNIX 이름 보고, yes - 사용자의 Active Directory 매핑 이름 보고기본값: no
- alternative_ep_name끝점을 나타내는 프린서펄에 사용되는 끝점 대체 이름을 정의합니다. 이러한 이름은 Active Directory KDC에 SPN(서비스 프린서펄 이름) 및 UPN(사용자 프린서펄 이름)으로 저장됩니다. 기본적으로 끝점은 호스트 기반 서비스에 대한 Kerberos 규칙(host/FQDN@realm)에 따라 등록됩니다. 여기서 FQDN은 끝점의 정규화된 도메인 이름이고, realm은 등록 도메인의 대문자 이름입니다. Kerberos와 LDAP는 해당 제한 및 제약 조건을 기준으로 대체 이름을 검사하여 SPN 및 UPN의 구문이 올바른지 확인합니다. 예를 들어 cluster1, old_box.fake.net과 같은 이름이 대체 이름이 됩니다.기본값: none