참조 안내서 › 유틸리티 › 서비스 및 데몬 세부 사항 › CA Access Control 정책 모델 서비스(sepmdd)

CA Access Control 정책 모델 서비스(sepmdd)

Windows에 해당

CA Access Control 정책 모델 서비스(sepmdd)는 PMDB 서비스입니다. 이 서비스는 다음 기능을 수행합니다.

• 정책 모델의 CA Access Control 및 Windows 데이터베이스 관리
• 구독자 데이터베이스 관리
• 변경 내용을 PMDB에서 구독자 데이터베이스로 전파

SeOSAgent는 sepmdd 서비스를 시작합니다. sepmdd를 명시적으로 실행할 필요는 없습니다. 각 정책 모델의 두 가지 가능한 상태는 Started 및 Stopped입니다.

PMDB는 공용 디렉터리에 저장됩니다. HKLM\Software\ComputerAssociates\AccessControl\Pmd 하위 키의 _pmd_directory_ 레지스트리 값은 공용 디렉터리의 이름을 지정합니다. 각 정책 모델은 공용 디렉터리의 하위 디렉터리에 위치합니다. 정책 모델 이름은 모델이 위치하는 하위 디렉터리의 이름입니다.

sepmdd가 시작되면 구독자 데이터베이스를 업데이트해야 하는지 확인한 후 필요에 따라 업데이트합니다. 이러한 시작 프로세스 후에 sepmdd 서비스는 사용자 요청을 기다립니다. 사용자 요청은 정책 모델 관리 유틸리티 sepmd 및 CA Access Control 에이전트를 사용하는 selang에 의해 전송됩니다.

요청이 수신되면 sepmdd는 해당 요청을 PMDB에 적용하고 그 결과를 사용자에게 다시 전송합니다. 요청을 전파해야 하는 경우 sepmdd는 업데이트를 구독자 데이터베이스에 전파합니다.

sepmdd 서비스는 30초 동안 구독자 데이터베이스 업데이트를 시도합니다. 시간이 경과되더라도 서비스가 구독자 업데이트에 성공하지 못하면 해당하는 특정 구독자를 건너뛰고 목록에 있는 나머지 구독자를 업데이트합니다. 구독자 목록의 최초 검사를 완료하면 sepmdd는 두번째 검사를 수행합니다. 여기서는 첫번째 검사에서 업데이트에 실패한 구독자를 업데이트하려고 시도합니다. 두번째 검사 중에는 연결 시스템 호출 시간(약 90초)이 만료될 때까지 구독자를 업데이트합니다.

두번째 검사 동안 구독자가 유효하지 않으면 sepmdd는 30분마다 업데이트를 전송하려고 시도합니다.

업데이트를 받은 순서대로 전송해야 하므로 sepmdd는 구독자 데이터베이스가 사용 가능할 때까지 후속 업데이트를 보내지 않습니다.

sepmdd는 구독자 데이터베이스를 업데이트하는 데 실패할 때마다 정책 모델 오류 로그에 경고 메시지가 기록됩니다.

필터 메커니즘

PMDB에서 구독자 스테이션을 선택적으로 업데이트하도록 지정하려는 경우, 구독자 스테이션으로 전송되는 레코드를 정의하려면 레지스트리 키 문자열 값을 필터 파일로 설정하십시오. 구독자 스테이션의 업데이트는 필터 파일을 통과한 레코드로 제한됩니다.

다음은 그 예입니다.

HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd\PolicyModelName\Filter

필터 파일은 행마다 6개의 필드가 있는 행으로 구성되고, 필드에는 다음 정보가 있습니다.

허용되거나 금지된 액세스 형식

유효한 값: AUTHORIZE_DELETE, AUTHORIZE_MODIFY, CREATE, DELETE, DEPLOY, EDIT, FILESCAN, GET, SEOS_ACCS_READ, JOIN_DELETE, JOIN_MODIFY, MODIFY, READ, START, UNDEPLOY.

적용되는 환경

유효한 값: AC, CONFIG, UNIX, NT, NATIVE.

레코드 클래스

유효한 값은 사용자 정의 클래스를 포함한 CA Access Control의 모든 클래스입니다.

규칙이 적용되는 클래스 내 개체

예: User1, AuditGroup, COM2

레코드가 허용하거나 취소한 속성

예를 들어 사용자 레코드 필터 행에 GROUPS와 FULLNAME을 포함하는 것은 이러한 사용자 속성을 갖는 명령이 필터링됨을 의미합니다. 나타나는 대로 정확히 각 속성을 입력해야 합니다.

해당 레코드를 구독자 스테이션으로 전달할지 여부

유효한 값: PASS, NOPASS

참고: "가능한 모든 값"을 의미하는 별표를 필드에서 사용할 수 있습니다. 두 개 이상의 행이 동일한 레코드를 포함할 경우, 첫 번째 적용 가능한 행이 사용됩니다.

필터 파일의 각 행에서 공백은 필드를 구분하고, 두 개 이상의 값을 갖는 필드에서는 값을 세미콜론(;)으로 구분합니다. "#"으로 시작하는 행은 주석 행으로 간주합니다. 빈 줄은 허용되지 않습니다. 다음은 필터 파일 행의 예입니다.

예를 들어, 이 행을 가진 파일 이름이 Printer1_Filter.flt이고 레지스트리 키 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd\PM‑\Filter가 "C:\Program Files\CA\AccessControl \data\Printer1_Filter.flt" 행을 포함할 경우, 정책 모델 PM‑1은 FULLNAME 및 OBJ_TYPE(admin, auditor 등)을 가진 새 CA Access Control 사용자를 작성하는 레코드는 전송하지 않습니다. 별표는 "이름에 상관 없다"는 의미입니다.

다음은 각 액세스 값과 관련된 selang 명령입니다.

참고: CA Access Control은 규칙의 유효성을 검사하지 않으므로 규칙에 잘못된 값을 입력하면 규칙은 어떤 업데이트 트랜잭션과도 일치하지 않습니다.

레지스트리 하위 키

각 PMDB는 다음 아래에 자체 레지스트리 하위 키를 가지고 있습니다.

HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\Pmd

이 하위 키에는 PMDB의 활동을 정의하고 결정하는 값이 있습니다. sepmdd 유틸리티는 필요한 최소한의 항목으로 하위 키를 작성합니다(이전에 존재하지 않은 경우).

참고

• selang을 사용하고 정책 모델을 대상으로 선택한 경우(pmd@hostname 호스트 사용), sepmdd에 대한 쿼리는 여러 구독자의 데이터베이스가 아닌 PMDB에 적용됩니다.
• PMDB는 구독자 자신이 될 수 없습니다. PMDB가 자신으로 구독되는 경우, 정책 모델이 차단하거나 네트워크가 과부화되어 처리 중인 디스크를 채웁니다.
• selang을 사용하여 정책 모델을 업데이트하기 위해 UNIX 환경에서 작업 중일 때 newusr 명령으로 둘 이상의 사용자를 지정할 수 없습니다.
• selang을 사용하여 정책 모델을 업데이트하기 위해 UNIX 환경에서 작업 중일 때 newgrp 명령으로 둘 이상의 그룹을 지정할 수 없습니다.
• selang에서 UNIX 파일 특성을 업데이트할 때 정책 모델은 명령이 구독자에게 전달되었음을 알리는 메시지를 생성합니다.
• 정책 모델에 대한 작업을 수행할 경우, Windows 파일 특성의 상태를 쿼리할 수 없습니다.
• sepmdd 서비스는 -k 옵션으로 비활성화될 때까지 무한대로 활성 상태를 유지합니다.

추가 정보:

seagent 데몬

sepmd 유틸리티

sepmdadm 유틸리티-PMDB 정의 만들기