|
|
|
[seos] 섹션에서 토큰은 CA Access Control이 사용하는 전역 설정을 결정합니다.
Security Administrator ruler 및 기타 구성 파일을 저장할 디렉터리를 지정합니다.
기본값: ACInstallDir/data
로그인 권한 방법을 결정합니다. 유효한 값:
ative–로그인은 UNIX 암호 또는 섀도 파일과 비교하여 사용자 암호를 검사합니다.
eTrust-네이티브 환경에 사용자가 없을 경우 CA Access Control 데이터베이스에서 사용자 암호를 확인합니다.
PAM-Native 환경에 사용자가 없을 경우 PAM 모듈을 통해 로그인을 검사합니다. 이것은 PAM을 지원하는 컴퓨터에서만 지원됩니다. LDAP 정의 사용자와 같은 사용자를 확인하는 데 PAM을 사용합니다.
기본값: native
네이티브 인증 외부에서 인증을 받을 수 있는 언어 클라이언트 모듈을 정의합니다. 이 토큰은 인증 전 lca API 호출 내부에서 클라이언트에 의해 설정됩니다. 이 토큰을 변경하면 네이티브 모드 이외의 모드에서 인증되는 다른 클라이언트에 영향을 줄 수 있습니다.
기본값 없음.
PMDB가 고속 데이터베이스 복사 장치를 사용하는지 여부를 지정합니다.
유효한 값:
no-기존 장치를 사용합니다.
yes-고속 데이터베이스 복사 장치를 사용합니다.
기본값: yes
4자리 또는 마지막 2자리를 사용하여 연도를 표시하는 형식을 지정합니다.
예를 들어 토큰을 yes로 설정하면 00 대신 2000이 표시됩니다.
올바른 값은 다음과 같습니다.
yes-4자리 숫자
no-2자리 숫자
이 토큰은 secons -tv, dbmgr -d 및 seaudit 유틸리티에 의해 생성되는 출력에 영향을 줍니다.
기본값: yes (four‑digit)
CA Access Control LDAP 사용 유틸리티(예: sebuildla)에서 사용하는 사용자 데이터 쿼리를 위한 검색 기준의 고유 이름을 LDAP DIT(디렉터리 정보 트리)에서 정의합니다.
예를 들어, 다음 형식을 사용하십시오. 이때 입력은 실제 정보로 대체하십시오.
o=organization_name,c=country_name
기본값: 토큰이 설정되지 않음
중요! sebuildla 및 필수 LDAP 구성 설정을 설정하려면 LDAP에 대해 잘 알고 있고 ldapsearch 명령을 실행할 수 있어야 합니다. ldap(1), ldapsearch(1)에 대한 man 페이지와 LDAP 클라이언트 설명서에서 설정 정보를 검토하는 것이 좋습니다.
CA Access Control LDAP 사용 유틸리티를 위해 LDAP 서버가 실행되고 있는 호스트 이름의 목록을 공백으로 구분하여 정의합니다.
기본값: 토큰이 설정되지 않음(localhost)
Netscape 스타일의 인증서 데이터베이스가 있는 디렉터리를 정의합니다.
이 토큰은 SSL을 통한 LDAP용 Netscape LDAP SDK API(Solaris)를 사용하는 플랫폼에서 sebuildla에 필요합니다. sebuildla가 작동하려면 유효한 LDAP 서버용 인증서가 인증서 데이터베이스에 반드시 포함되어 있어야 합니다.
참고: sebuildla는 서버 인증을 사용하여 SSL을 통해 LDAP를 사용합니다(즉, 클라이언트 인증 없음). 보안 서비스를 설정하는 방법에 대한 자세한 내용은 PKI Toolkit 설명서를 참조하십시오.
기본값: /.netscape
주요 데이터베이스 파일의 이름을 정의합니다.
참고: AIX 주요 데이터베이스는 임의의 이름을 가질 수 있으므로 이 설정은 AIX 전용입니다. 이는 구현 버전에 따라 certX.db 및 keyY.db와 같은 이름을 갖기 때문에 이름 검색을 위해 ldap_certdb_path만 필요한 Netscape 보안 데이터베이스와 반대됩니다.
기본값: 토큰이 설정되지 않음
CA Access Control이 LDAP 서비스에 액세스하기 위해 LDAP 사용 유틸리티에 대해 사용하는 바인딩 방법을 지정합니다.
기본적으로 sebuildla는 모든 보안 메커니즘과 함께 간단한 인증을 사용합니다. 간단한 인증에서는 ldap_userdn 및 해당 자격 증명이 LDAP 서버로 전달됩니다. sebuildla는 사용자 자격 증명을 ACInstallDir/etc의 ldapcred.dat에 암호화된 형식으로 저장합니다. 이 두 매개 변수는 LDAP 서버에 필요한 계정 및 암호 조합과 유사합니다.
참고: SASL 또는 TLSv.1/SSL에 대해서는 해당 LDAP 서버 설명서를 참조하십시오. 특정 ldap_method 설정을 적용하려면 sebuildla가 실행되는 컴퓨터에 배포된 LDAP 클라이언트에서 해당 메커니즘이 지원 및 구성되어야 합니다. 즉, TLS/SSL이 사용되고 유효한 인증서가 서버와 클라이언트에 모두 설치되어 있어야 합니다.
유효한 값:
0-표준 LDAP
1-SASL(RFC 2222)
2-LDAPS(LDAP over SSL - 서버 인증 전용.)
참고: 사용 방법에 따라 ldap_userdn 토큰 및 해당 자격 증명의 설정 방법이 (seldapcred 유틸리티를 통해) 결정됩니다.
기본값: 0
CA Access Control LDAP 사용 유틸리티에 대한 LDAP 서버 포트를 정의합니다. LDAP 서버가 표준 LDAP 포트(389)를 사용하지 않는 경우에만 이 토큰을 변경하십시오.
기본값: 토큰이 설정되지 않음(389)
각 배치 쿼리에서 sebuildla가 검색할 LDAP의 최대 수를 정의합니다.
LDAP 서버 측 크기 제한 매개 변수를 변경하고 싶지 않은 경우 이 토큰을 사용하십시오. 일반적으로 sebuildla는 한 인스턴스에서 모든 데이터를 검색하려고 시도합니다. 사용자 항목이 많을 경우 이 작업은 서버 측 크기 제한을 초과하여 LDAP 작동 오류를 일으킬 수 있습니다. ldap_query_size를 설정하는 경우 sebuildla는 모든 항목을 검색할 필요가 없으므로 작동 오류가 발생하지 않습니다. 총 사용자 항목 수가 ldap_query_size 또는 서버 측 크기 제한보다 큰 경우, 검색되는 항목 수는 이 두 설정 중 낮은 숫자와 일치합니다.
중요! 배치 쿼리를 활성화하면 sebuildla 성능에 영향을 줄 수 있습니다. LDAP 환경의 DIT(디렉터리 정보 트리)에 많은 사용자 데이터(수천 개의 항목)가 있는 경우에만 이 설정을 사용하는 것이 좋습니다.
참고: 서버 측 LDAP 컨트롤(예: OpenLDAP 서버(slapd) sizelimit 매개 변수)에 대한 자세한 내용은 해당 LDAP 서버 설명서를 참조하십시오.
기본값: 토큰이 설정되지 않음(비어 있음)
LDAP 서비스를 작성하고 LDAP 검색 결과를 얻을 때 연결이 종료되기 전에 CA Access Control LDAP 사용 유틸리티가 기다리는 최대 시간(초)을 정의합니다. LDAP 서비스에서 정보를 검색하는 데 걸리는 시간은 LDAP 서비스의 속도 및 DIT에 저장된 사용자 데이터 양에 따라 다릅니다. 이러한 부분을 설명하려면 이 토큰을 사용하십시오.
참고: 검색 결과가 잘리지 않도록 하려면 서버 측 LDAP 컨트롤을 조정해야 할 수 있습니다. 예를 들면 OpenLDAP 서버(slapd)에 대해 sizelimit 매개 변수를 조정해야 합니다. 자세한 내용은 해당 LDAP 서버 설명서를 참조하십시오.
기본값: 토큰이 설정되지 않음(15초)
LDAP DIT에서 사용자 이름을 포함하고 있는 특성의 이름을 정의합니다. RFC 2307(LDAP를 네트워크 정보 서비스로 사용하기 위한 접근법)에서는 uid를 이 특성으로 미리 지정하는데, 이것이 이 토큰의 기본값입니다. CA Access Control LDAP 사용 유틸리티가 비표준 스키마를 사용하는 LDAP DIT에 대해 작동하도록 하려면 이 토큰을 변경하십시오.
기본값: 토큰이 설정되지 않음(uid)
LDAP DIT에서 UID 번호를 포함하고 있는 특성의 이름을 정의합니다. RFC 2307에서는 uidNumber를 이 특성으로 미리 지정하는데, 이것이 이 토큰의 기본값입니다. CA Access Control LDAP 사용 유틸리티가 비표준 스키마를 사용하는 LDAP DIT에 대해 작동하도록 하려면 이 토큰을 변경하십시오.
기본값: 토큰이 설정되지 않음(uidNumber)
LDAP DIT에서 사용자 데이터를 포함하고 있는 개체 클래스의 이름을 정의합니다. RFC 2307에서는 posixAccount를 이 개체 클래스로 미리 지정하는데, 이것이 이 토큰의 기본값입니다. CA Access Control LDAP 사용 유틸리티가 비표준 스키마를 사용하는 LDAP DIT에 대해 작동하도록 하려면 이 토큰을 변경하십시오.
기본값: 토큰이 설정되지 않음(posixAccount)
CA Access Control LDAP 사용 유틸리티가 LDAP DIT에서 사용자 데이터를 검색하기 위해 사용하는 LDAP 사용자의 고유 이름(DN)을 정의합니다. RFC 2307을 기반으로, CA Access Control은 DIT에 있는 ou=People 수준의 uid 및 uidNumber 특성에서 사용자 데이터를 찾고자 합니다. 보안상의 이유로, 이 사용자(ldap_userdn)에게는 이 데이터에 대한 액세스 권한만 부여하는 것이 좋습니다.
DIT에 대한 익명 액세스가 허용되는 경우 이 토큰을 비워 둘 수 있습니다. 그렇지 않은 경우 LDAP 서비스에 대해 인증을 받으려면 CA Access Control LDAP 사용 유틸리티에 대해 이 토큰을 설정하고 seldapcred 유틸리티를 실행해야 합니다. seldapcred가 재사용을 위해 암호화된 자격 증명을 파일에 저장하므로 이 작업은 한 번만 수행하면 됩니다.
예를 들면 이 토큰을 다음과 같이 설정하십시오.
ldap_userdn = uid=user1,ou=People,dc=myCompany,dc=com
기본값: 토큰이 설정되지 않음
LDAP 디렉터리 정보 트리(DIT)에서 사용자 정보를 검색할지 여부를 지정합니다.
제한: yes, no
기본값: no
sebuildla의 사용자 데이터 입수와 관련된 LDAP 작업의 자세한 설명 표시를 활성화할지 여부를 지정합니다.
sebuildla에서 LDAP 데이터 검색을 설정하거나 문제 해결을 수행할 때 이 설정을 사용하십시오.
유효한 값은 0-비활성, 0 이외의 정수-활성입니다.
기본값: 0
CA Access Control 데몬 및 유틸리티의 언어를 결정합니다. CA Access Control은 여러 언어로 작동할 수 있습니다.
지원되는 언어는 C, 일본어, 중국어 간체, 중국어 번체가 포함됩니다.
전체 언어 목록은 /etc/ca/localeX/calocmap.txt를 참조하십시오. Linux에서는 /opt/CA/SharedComponents/cawin/locale/를 참조하십시오.
기본값: C
SOLARIS, HP-UX 및 LINUX에만 해당.
로컬 호스트가 인증 및 암호 변경을 위해 LDAP 데이터베이스에서 PAM 사용을 활성화할지 여부를 지정합니다.
이를 위해 로컬 호스트는 PAM 라이브러리가 동적으로 로드되는지를 확인합니다(시스템에 라이브러리가 있어야 함).
유효한 값은 'no'와 'yes'입니다.
기본값: yes
이 컴퓨터에서 업데이트를 허용하는 PMDB(정책 모델 데이터베이스)의 목록을 쉼표로 구분하여 정의합니다. 로컬 CA Access Control 데이터베이스는 이 목록에 지정되지 않은 PMDB에서 오는 업데이트를 거부합니다.
줄로 구분된 PMDB 목록이 포함된 파일 경로를 지정할 수도 있습니다.
로컬 CA Access Control 데이터베이스가 모든 PMDB에서 오는 업데이트를 허용하도록 하려면 이 토큰을 "_NO_MASTER_"로 설정하십시오.
이 토큰을 설정하지 않으면 로컬 CA Access Control 데이터베이스는 어떤 PMDB에서 오는 업데이트도 허용하지 않습니다.
각 PMDB는 pmd_name@hostname 형식으로 지정됩니다.
예:
parent_pmd = pmd1@host1,pmd2@host1,pmd3@host2 parent_pmd = /opt/CA/AccessControl /parent_pmdbs_file
기본값: 토큰이 설정되지 않음(데이터베이스는 어떤 PMDB에서 오는 업데이트도 허용하지 않음).
참고: sepass는 parent_pmd 토큰에서 여러 대상을 지원하지 않습니다.
sepass가 암호 업데이트를 보내는 PMDB를 지정합니다.
이 토큰을 설정하지 않으면 parent_pmd 토큰 값을 상속합니다.
형식은 pmd_name@hostname입니다.
parent_pmd와 passwd_pmd 토큰은 동일한 값을 가질 수 있습니다. parent_pmd 및 passwd_pmd 토큰의 값이 동일하지 않으면 passwd_pmd 데이터베이스는 자신의 업데이트를 parent_pmd 데이터베이스로 보내 배포되도록 합니다. 따라서 parent_pmd 데이터베이스는 passwd_pmd 데이터베이스의 자식(구독자)이어야 합니다.
기본값 없음.
참고: sepass는 passwd_pmd 토큰에서 여러 대상을 지원하지 않습니다.
seagent가 연결된 클라이언트를 식별하는 방법을 제어합니다.
올바른 값은 다음과 같습니다.
yes-seagent가 열려 있는 클라이언트 소켓의 IP 주소를 찾습니다.
no-seagent가 클라이언트에서 받은 호스트 이름을 사용하고 호스트 이름을 확인하지 않습니다. TERMINAL 클래스를 비활성화해도 동일한 효과를 얻을 수 있습니다.
기본값: yes
기본 대상(passwd_pmd)에 정의되지 않은 사용자의 암호 교체를 위한 보조 대상으로 사용된 PMDB를 지정합니다.
형식은 pmd_name@hostname입니다.
기본값 없음.
CA Access Control이 설치된 디렉터리를 지정합니다.
NFS 마운트된 파일 시스템에 있지 않다면 어떤 디렉터리에도 CA Access Control을 설치할 수 있습니다.
기본값: ACInstallDir
CA Access Control이 ACL 허용 권한을 ACL 및 네이티브 UNIX 시스템(있는 경우)의 다른 사용 권한과 동기화해야 하는지 여부를 지정합니다.
올바른 값은 다음과 같습니다.
no-UNIX 파일 사용 권한을 CA Access Control ACL과 동기화하지 않습니다.
warn-ACL 사용 권한을 동기화하지 않지만 CA Access Control 및 UNIX의 사용 권한이 충돌하는 경우 경고를 표시합니다.
traditional-CA Access Control ACL에 따라 그룹 및 소유자의 rwx 사용 권한을 변경하고 다른 모든 경우에는 경고를 표시합니다.
acl-ACL을 지원하는 플랫폼에서 CA Access Control ACL에 따라 네이티브 파일 시스템 ACL을 변경합니다.
force-traditional 또는 acl(ACL을 지원하는 플랫폼의 경우)과 동일하게 작동하지만 defaccess를 "다른" 사용 권한에 강제로 매핑하기도 합니다.
참고: HP-UX 및 Sun Solaris 2.5 이상에서는 파일 시스템 ACL을 지원합니다. 다른 플랫폼 및 운영 체제 버전에서는 파일의 기존 사용 권한 모드만 지원됩니다.
기본값: no
특수한 Unicenter TNG 클래스 및 리소스로 데이터베이스를 만드는지 여부를 지정합니다.
올바른 값은 다음과 같습니다.
0-특수한 Unicenter TNG 클래스 없이 데이터베이스를 작성합니다.
1-특수한 모든 Unicenter TNG 클래스로 데이터베이스를 작성합니다.
기본값: 0
Unicenter TNG가 설치되는 디렉터리를 지정합니다.
유효한 값은 기본 Unicenter TNG 디렉터리 또는 .uniprodloc입니다.
기본값 없음
CA Access Control이 실제로 있는 디렉터리를 지정합니다. CA Access Control 디렉터리는 다른 실제 위치에 대한 심볼 링크일 수 있습니다. 이 토큰은 CA Access Control이 설치된 실제 위치를 가리킵니다.
기본값: ACInstallDir
RPC portmapper가 필요한지 여부를 결정합니다. 이전(1.43)의 CA Access Control 프로토콜을 사용하려면 RPC 포트매퍼가 필요합니다. 기존 프로토콜은 NIS+ 암호 변경을 지원하는 데 필요합니다.
토큰은 old_protocol 토큰을 교체합니다.
올바른 값은 다음과 같습니다.
yes-RPC 포트매퍼를 사용하여 포트를 할당합니다.
no-ServicePort 토큰에 의해 지정된 포트를 사용합니다.
기본값: no
| Copyright © 2012 CA. All rights reserved. | 이 주제에 대해 CA Technologies에 전자 메일 보내기 |