|
|
|
在 [seos] 部分中,以下标记确定 CA Access Control 所使用的全局设置。
指定存储 CA Access Control Security Administrator ruler 和其他配置文件的目录。
默认值:ACInstallDir/data
确定登录授权方法。 有效值包括:
native-登录时,将对照 UNIX 密码或影子文件来检查用户密码。
eTrust-当用户在本地环境中不存在时,对照 CA Access Control 数据库检查用户密码。
PAM-当用户在本地环境中不存在时,通过 PAM 模块检查登录。 这仅在支持 PAM 的计算机上受支持。 PAM 用于验证用户,例如:LDAP 定义的用户。
默认值:native
定义允许在本地身份验证以外进行身份验证的语言客户端模块。 此标记在执行身份验证前由客户端在 Ica API 调用内设置。 更改此标记会影响其他客户端在非本地模式下的身份验证。
无默认值。
指定 PMDB 是否使用快速数据库复制设备。
有效值包括:
no-使用旧设备。
yes-使用快速数据库复制设备。
默认值:yes
指定使用四位数字或后两位数字显示年份的格式。
例如:如果将该内标识设置为 yes,则将显示 2000,而不是 00。
有效值包括以下各项:
yes-四位数字
no-两位数字
此内标识影响 secons -tv、dbmgr d 和 seaudit 工具生成的输出。
默认值:yes(四位数字)‑
定义搜索库的辨别名称,此名称用于通过启用了 LDAP 的 CA Access Control 实用程序(例如:sebuildla)在 LDAP 目录信息树 (DIT) 中查询用户数据。
例如:您可以使用以下格式,并使用您自己的内容来替换输入内容:
o=organization_name,c=country_name
默认值:标记未设置
重要说明! 要设置 sebuildla 和所需的 LDAP 配置设置,您必须熟悉 LDAP 并能够执行 ldapsearch 命令。 建议您阅读 ldap(1)、ldapsearch(1) 的说明页面以及 LDAP 客户端文档中关于设置的信息。
定义以空格分隔的主机名列表,该列表中 LDAP 服务器正在针对启用了 LDAP 的 CA Access Control 实用程序而运行。
默认值:标记未设置 (localhost)
定义 Netscape 样式证书数据库所在的目录。
对于 sebuildla,在使用 Netscape LDAP SDK API for LDAP over SSL(Solaris)的平台上这是必需的。 要使 sebuildla 工作,证书数据库必须包含 LDAP 服务器的有效证书。
注意:sebuildla 将结合使用 LDAP over SSL 和服务器身份验证,即不进行客户端身份验证。 请参阅 PKI 工具包文档,以了解设置安全服务的详细信息。
默认值:/.netscape
定义密钥数据库文件的名称。
注意:此设置仅用于 AIX,因为 AIX 密钥数据库可以具有任意名称(不同于具有如 certX.db 和 keyY.db 名称的 Netscape 安全数据库,Netscape 安全数据库的名称取决于实施版本,因此要查找它们只需要使用 ldap_certdb_path)。
默认值:标记未设置
指定 CA Access Control 针对启用了 LDAP 的实用程序访问 LDAP 服务所使用的绑定方法。
默认情况下,sebuildla 使用带有所有安全机制的简单身份验证。 在简单身份验证中,ldap_userdn 和相应凭据被传送到 LDAP 服务器。 sebuildla 将用户凭据以加密形式存储在位于 ACInstallDir/etc 下的 ldapcred.dat 中。这两个参数接近 LDAP 服务器所需的帐户和密码组合。
注意:对于 SASL 或 TLSv.1/SSL,请参阅 LDAP 服务器文档。 要使特定 ldap_method 设置生效,必须支持相应的机制且对正在执行 sebuildla 的计算机中部署的本地 LDAP 客户端进行配置(即使用 TLS/SSL 操作,有效证书应安装在服务器和客户端)。
有效值包括:
0-标准 LDAP
1-SASL (RFC 2222)
2-LDAPS(LDAP over SSL-仅服务器身份验证。)
注意:您使用的方法将决定您设置 ldap_userdn 标记及其相应凭据(通过 seldapcred 实用程序)需使用的方法。
默认值:0
定义启用了 LDAP 的 CA Access Control 实用程序的 LDAP 服务器端口。 您只需在 LDAP 服务器未使用标准 LDAP 端口 (389) 时更改此标记。
默认值:标记未设置 (389)
定义 sebuildla 在每个批处理查询中检索的 LDAP 条目的最大数量。
如果您不想更改 LDAP 服务器端的大小限制参数,请使用此标记。 通常,sebuildla 尝试一次检索所有数据,如果存在许多用户条目时,这样可能会超出服务器的大小限制并导致 LDAP 操作失败。 如果设置了 ldap_query_size,sebuildla 不需要检索所有条目,该操作不会失败。 如果用户条目总数超过 ldap_query_size 或服务器端的大小限制,则检索的条目数将与这两种设置中的较低数相一致。
重要说明! 启用批处理查询会影响 sebuildla 的性能。 只有在 DIT(目录信息树)中带有许多用户数据(数千个条目)的 LDAP 环境才考虑使用此设置。
注意:有关服务器端 LDAP 控制的信息,例如:OpenLDAP 服务器 (slapd)、大小限制参数,请参阅 LDAP 服务器文档。
默认值:不设置标记(空)
定义启用了 LDAP 的 CA Access Control 实用程序在绑定到 LDAP 服务并获得 LDAP 搜索结果时需等待的最长时间(秒),超过该时间即中断连接。 从 LDAP 服务检索信息所需的时间取决于 LDAP 服务的速度以及存储在 DIT 中的用户数据量。 使用此标记可说明上述各方面。
注意:您可能还需要调整服务器端 LDAP 控制以避免截短搜索结果。 例如:对于 OpenLDAP 服务器 (slapd),您需要调整大小限制参数。 有关详细信息,请参阅 LDAP 服务器文档。
默认值:标记未设置(15 秒)
定义在 LDAP DIT 中包含用户名的属性的名称。 RFC 2307(一种将 LDAP 用作网络信息服务的方法)规定了此标记的默认值 uid 作为此属性。 更改此标记可防止支持 LDAP 的 CA Access Control 实用程序使用具有非标准架构的 LDAP DIT。
默认值:标记未设置 (uid)
定义在 LDAP DIT 中包含 UID 号的属性的名称。 RFC 2307 规定了此标记的默认值 uidNumber 作为此属性。 更改此标记可防止支持 LDAP 的 CA Access Control 实用程序使用具有非标准架构的 LDAP DIT。
默认值:标记未设置 (uidNumber)
定义在 LDAP DIT 中包含用户数据的对象类的名称。 RFC 2307 规定了此标记的默认值 posixAccount 作为此对象类。 更改此标记可防止支持 LDAP 的 CA Access Control 实用程序使用具有非标准架构的 LDAP DIT。
默认值:标记未设置 (posixAccount)
定义 LDAP 用户的辨别名称 (DN),启用了 LDAP 的 CA Access Control 实用程序使用此名称从 LDAP DIT 中检索用户数据。 根据 RFC 2307,在 DIT 中,CA Access Control 应查找 ou=People 级别的 uid 和 uidNumber 属性中的用户数据。 由于安全原因,建议您仅授予此用户 (ldap_userdn) 访问此数据的权限。
如果允许匿名访问 DIT,您可以保持此标记为空。 否则,您必须设置此标记,并针对启用了 LDAP 的 CA Access Control 实用程序对 LDAP 服务进行身份验证而运行 seldapcred 实用程序(您只需执行此操作一次,因为 seldapcred 会将您的加密凭据存储在某个文件中以便重复使用)。
例如:按如下所示设置此标记:
ldap_userdn = uid=user1,ou=People,dc=myCompany,dc=com
默认值:标记未设置
指定是否启用涉及 sebuildla 获取用户数据的 LDAP 操作的详细帐户信息。
请在设置 sebuildla 中的 LDAP 数据检索或疑难解答时使用此设置。
有效值为 0(禁用);非零整数(启用)。
默认值:0
确定 CA Access Control 后台进程和实用程序所使用的语言。 CA Access Control 可以在多种语言环境中运行。
支持的语言包括:C、日语、简体中文、繁体中文‑
有关语言的完整列表,请参阅 /etc/ca/localeX/calocmap.txt;在 Linux 中,请参阅 /opt/CA/SharedComponents/cawin/locale/
默认值:C
仅在 SOLARIS、HP-UX 和 LINUX 上有效。
指定本地主机是否允许使用 PAM 在 LDAP 数据库中进行身份验证和密码更改。
为此,它将检查是否能动态加载 PAM 库(该库必须在系统上存在)。
有效值包括:“no”、“yes”。
默认值:yes
定义用逗号分隔的策略模型数据库 (PMDB) 列表,此计算机可以从这些数据库接受更新。 本地 CA Access Control 数据库拒绝来自未在此列表中指定的任何 PMDB 的更新。
也可以指定一个包含行分隔 PMDB 列表的文件路径。
将此标记设置为“_NO_MASTER_”,以使本地 CA Access Control 数据库接受来自任何 PMDB 的更新。
如果您没有设置此标记,本地 CA Access Control 数据库将不接受来自任何 PMDB 的更新。
按 pmd_name@hostname 格式指定每个 PMDB
例如:
parent_pmd = pmd1@host1,pmd2@host1,pmd3@host2 parent_pmd = /opt/CA/AccessControl /parent_pmdbs_file
默认值:标记未设置(数据库不接受来自任何 PMDB 的更新)。
指定 sepass 将密码更新发送至的 PMDB。
如果不设置此内标识,它将继承 parent_pmd 内标识的值。
格式为 pmd_name@hostname。
parent_pmd 和 passwd_pmd 标记可以拥有相同的值。 如果 parent_pmd 和 passwd_pmd 标记中的值不相同,则 passwd_pmd 数据库将其更新发送到 parent_pmd 数据库以便进行分发。 因此,此 parent_pmd 数据库必须是 passwd_pmd 数据库的子项(订户)。
无默认值。
控制 seagent 识别连接客户端的方式。
有效值包括以下各项:
yes-seagent 查找开放客户端套接字的 IP 地址。
no-seagent 使用从客户端接收的主机名;seagent 不解析任何主机名。 (通过禁用 TERMINAL 类可以达到同样的效果。)
默认值:yes
指定用作未在主要目标 (passwd_pmd) 中定义的用户的辅助密码替换目标的 PMDB。
格式为 pmd_name@hostname。
无默认值。
指定 CA Access Control 的安装目录。
如果尚未在 NFS 挂接文件系统中安装 CA Access Control,可以将其安装在任何目录中。‑
默认值:ACInstallDir
指定 CA Access Control 是否应将其 ACL 权限与本地 UNIX 系统的 ACL 权限及其他权限进行同步(如果存在这些权限)。
有效值包括以下各项:
no-不将 UNIX 文件权限与 CA Access Control ACL 进行同步。
warn-不同步 ACL 权限,但是如果 CA Access Control 中的权限与 UNIX 发生冲突,则发出警告。
traditional-根据 CA Access Control ACL 更改组和所有者的 rwx 权限,并在所有其他情况下发出警告。
acl-根据 CA Access Control ACL 更改本地文件系统 ACL(在支持 ACL 的平台上)。
force-函数与 traditional 或 acl 相同(在支持 ACL 的平台上),但是也强制将 defaccess 映射到“其他”权限。
注意:在 HP-UX 和 Sun Solaris 2.5(及更高版本)上,为文件系统 ACL 提供支持。 在其他平台和操作系统版本上,只支持传统的文件权限模式。
默认值:no
指定是否使用特殊的 Unicenter TNG 类和资源创建数据库。
有效值包括以下各项:
0-在不使用特殊 Unicenter TNG 类的情况下创建数据库。
1-使用所有特殊的 Unicenter TNG 类创建数据库。
默认值:0
指定 Unicenter TNG 的安装目录。
有效值为基本 Unicenter TNG 目录(即 .uniprodloc)。
无默认值
指定 CA Access Control 所在的物理目录。 CA Access Control 目录可以是指向另一物理位置的符号链接。 此标记指向安装 CA Access Control 的实际物理位置。
默认值:ACInstallDir
确定是否需要 RPC portmapper。 如果要使用旧的 (1.43) CA Access Control 协议,则必须显示 RPC portmapper。 支持 NIS+ 密码更改需要这一旧协议。
此内标识替换 old_protocol 内标识。
有效值包括以下各项:
yes-使用 RPC portmapper 来指定端口。
no-使用由 ServicePort 标记指定的端口。
默认值:no
| 版权所有 © 2011 CA。 保留所有权利。 | 就该主题发送电子邮件至 CA Technologies |