参考指南 › 实用程序 › sepmd 实用程序 › sepmd 实用程序－管理订户和更新文件

sepmd 实用程序－管理订户和更新文件

sepmd 实用程序可创建、删除和分配订户。

此命令格式如下：

sepmd {-C|-de|-l|-L|-p|-R} pmd

sepmd {-n|-r|-u} pmd subscriber

sepmd -s pmd subscriber offset

sepmd -sm pmd mf_subscriber mf_type mf_sysid mf_admin offset

sepmd -t pmd {auto|offset}

‑C

显示更新文件中的所有命令及其偏移量。 偏移量表明更新在文件中的位置，订阅另一数据库或 PMDB 时，您可能需要指定该文件。

‑de

（仅限于 UNIX）对加密的 updates.dat 文件中的信息进行解密。 如果将 UseEncryption PMDB 配置设置设为 yes，则会为此文件进行数据加密。

‑l

列出策略模型的订户。

‑L

列出策略模型及其状态，包括错误数量、可用性、偏移量、同步模式以及要传播的下一个命令。 更新文件包含必须（或已经）通过策略模型传播的所有更新。 偏移量指明必须发送给订阅者的下一个更新的位置。 也会显示初始的偏移量和最新的偏移量。

‑n

创建新订户，然后以追溯方式根据策略模型对其进行更新。 有关适用于更新订阅者的一般规则的信息，请参阅 -s 选项的说明。

注意：此选项会将整个 PMDB 的内容（包括 LOGINAPPL [仅适用于 UNIX] 和 SPECIALPGM 对象）发送给新订户。 如果订户的对象与父订户的对象有所不同，您可能需要筛选这些对象。

-n 选项不会替换目标订户数据库定义上的策略模型数据库定义，而是将其添加到现有策略模型。 如果目标数据库包含其他资源或属性，则新的策略模型不会在订阅完成之后删除它们。

利用 -n 添加的订阅者标记为 sync，表示它现在处于同步模式并接收所有 PMDB 规则。 当订阅者接收到所有规则时，会从同步模式中释放它，它就成为一个正常的订阅者。 -n 选项可能会花费一些时间进行处理。 如果有多个更新或互相矛盾的更新，则使用最后一个更新。

重要说明！ 当你使用 sepmd -n 为 CA Access Control 端点或 PMDB 订阅另一 PMDB 时，新的父 PMDB 不应包含已存在于新订户中的任何策略（POLICY 对象名）。 在为订户订阅新的父 PMDB 之前，先从该订户取消部署每个现有策略，然后从该订户删除 POLICY 对象和链接的 RULESET 对象。

在 UNIX 上，如果 seos.ini 文件中的 send_unix_env 标记设置为 yes，则 -n 选项还会发送策略模型密码和组文件的内容。 建议使用 dbmgr ‑export ‑l 查看数据库，以确定被转发的命令。

‑p

列出驻留的策略模型用户及其状态。

‑-r

由 sepmdd 维护的不可用订户列表中删除该订户，从而可以立即更新该订户。 正常情况下，如果订阅者关闭，无法从策略模型接收更新，则 sepmdd 就尝试仅在特定时间段后将更新发送给该订阅者。 但是，如果指定了此选项，则 sepmdd 会跳过等待时间段，立即尝试将更新发送给订户。

-R

用实际偏移量更新所有订购者。

‑s

将为其他数据库或 PMDB 订阅策略模型。 为主机订阅策略模型时，主机必须已启动，且 CA Access Control 必须在该主机上运行。 此外，PMDB 必须是订阅主机的父 PMDB。 可通过 parent_pmd 订户的配置设置建立这种关系，该设置必须包含该主机所订阅的 PMDB 的名称。

当为一个策略模型订阅另一个策略模型时，

• 被订阅的策略模型的 pmd.ini 文件中的内标识 parent_pmd，必须包含它所订阅的策略模型（它的父策略模型）的名称。
• CA Access Control 必须在订阅策略模型驻留的主机上运行。

PMDB 只能有一个父级。 如果您决定建立具有多个父项的策略模型，请为 parent_pmd 标记指定包含父策略模型列表的文件的名称。 但是建议不要建立多个父，这非常冒险，因为数据库将会充斥着来自多个源的大量不可靠指令。

‑sm

为策略模型分配大型机订户。

‑t

通过从更新文件中删除条目来截短更新文件。

注意：在 UNIX 上，如果 force_auto_truncate PMDB 配置设置被设置为 no，则 sepmd ‑t 不会截断更新文件。 如果将该标记设置为 yes，即使该策略模型没有任何订户，该命令也将截短更新文件。

• 如果使用 offset（手工剪切），可以通过运行带 ‑L 选项的 sepmd 找到偏移量。

  注意：必须使用 ‑L 参数所提供的确切偏移量来截断文件，而不是使用通过对起始偏移量进行减法运算而得出的偏移量。

• 如果要使用 auto，sepmd 会计算第一个未传播条目的偏移量并删除该条目前面的所有条目。 使用 auto 可省去运行带 ‑L 参数的此实用程序的步骤。

如果订户未在指定偏移量前接收到所有更新，则 sepmd 会显示一条错误消息，不会截短文件。 如果无论如何都要截短文件，请执行以下操作：

• 取消订阅未更新的主机
• 截短文件
• 重新为主机订阅策略模型

如果这样做，订户将无法从策略模型接收一个或多个更新。 订户的偏移量会更改为更新文件的最后一个偏移量。

‑u

从策略模型订阅列表中删除订户。

auto

指示 sepmd 计算第一个未传播条目的偏移量，并删除该条目前面的所有条目。

offset

与 -s 或 -sm 选项配合使用，在更新文件内指定最新添加的订户开始接收更新的点。

与 -t 选项配合使用，指定从更新文件的开头到特定订户位置的距离。

使用 ‑C 选项可查看有效的更新偏移量。 如果指定偏移量位于更新的中间，则会将偏移量向前移至下一个更新的开头。 如果指定偏移量无效（小于第一个偏移量或者大于最后一个偏移量），则会显示一条错误消息。

pmd

指定策略模型的名称。

订户

指定订户工作站或订户 PMDB 的主机。