UNIX용 끝점 관리 안내서 › 정책 모델 관리 › 자동 규칙 기반 정책 업데이트 › 이중 제어

이중 제어

이중 제어는 PMDB 업데이트 과정을 다음 두 단계로 나누는 작업 방법입니다.

• 하나 이상의 명령으로 구성된 트랜잭션 작성.

  ADMIN 특성을 가진 사용자인 maker가 PMDB를 업데이트하는 하나 이상의 명령을 입력합니다. 트랜잭션은 고유한 ID 번호를 받고 실행되기 전에 파일에서 처리되기를 기다립니다.

• 트랜잭션에 실행을 위한 권한 부여.

  ADMIN 특성을 가진 다른 사용자인 checker가 트랜잭션 중에 명령을 잠그고 명령을 확인하며 이 명령에 권한을 부여하거나 거부합니다. 트랜잭션에 권한이 부여되면 PMDB에서 명령이 실행됩니다. 트랜잭션이 거부되면 트랜잭션은 삭제되고 PMDB는 업데이트되지 않습니다. Checker는 트랜잭션 중에 일부 명령에 권한을 부여할 수 없으며 다른 일부 권한을 거부할 수 없습니다. 트랜잭션은 전체로 처리되어야 합니다.

  참고: find 및 show 명령만 checker의 권한 부여가 필요하지 않습니다.

sepmd 유틸리티의 매개 변수를 사용하면 maker는 처리되지 않은 트랜잭션을 나열, 검색, 편집 또는 삭제할 수 있습니다. 또한 checker는 트랜잭션을 잠가 트랜잭션에 권한을 부여하거나 거부할 수 있고 트랜잭션을 나중에 처리하거나 다른 checker가 처리하도록 트랜잭션의 잠금을 해제할 수도 있습니다.

sepmdd 데몬이 start_transaction 명령을 수신하면 고유 번호를 자식 프로세스에게 전달합니다. 자식 프로세스는 이 식별 번호를 이용하여 추가 명령에 태그를 붙이고 이 번호는 새 트랜잭션에 추가되어 sepmdd 데몬의 메모리에 보관됩니다. sepmdd가 end_transaction 명령을 수신하면 권한 부여 알고리즘이 실행됩니다. 권한 부여 알고리즘은 트랜잭션 명령이 트랜잭션의 Maker에 속해 있는지, 실행에 앞서 처리 대기 중인 다른 트랜잭션에 의해 명령 객체가 잠겨 있지 않은지를 검사합니다.

트랜잭션이 처리되기 전에는 동일한 객체를 다른 트랜잭션에서 사용할 수 없습니다. 검사를 통과하면 관련 객체는 잠기고 트랜잭션은 고유한 일련 번호를 할당 받으며 데이터는 파일에 저장됩니다. 각각의 트랜잭션은 서로 다른 파일에 저장됩니다.

참고: sepmd 유틸리티나 sepmdd 데몬에 대한 자세한 내용은 참조 안내서를 참조하십시오.