|
|
|
[seosd] 섹션에서 토큰은 권한 부여 데몬의 동작과 성능 향상을 위한 캐시 유틸리티의 동작을 결정합니다.
seos 이벤트에서 제외할 파일 이름 목록이 들어 있는 파일을 지정합니다.
예: bypass_filenames = /opt/CA/AccessControl /bin/bypass_filenames
기본값: 토큰이 설정되지 않음
nfs가 사용하는 포트(포트 2049)가 CONNECT에 대해 바이패스되는지 여부를 지정합니다. 바이패스는 NFS 기능의 올바른 작동을 위해 존재합니다.
이 토큰의 값을 no로 변경하면 이 포트에 대해 바이패스가 발생하지 않습니다. 이 경우 이러한 바이패스를 대체할 수 있는 필수 CA ControlMinder 규칙을 제공해야 합니다. 다음은 그러한 규칙의 예입니다. 아래 내용을 있는 그대로 사용해서는 안 됩니다.
nr hostnet all mask (0.0.0.0) match(0.0.0.0) nr TCP 2049 owner(nobody) defaccess(none) authorize TCP 2049 hostnet(all) access(w) uid(root) nr TCP nfsd owner(nobody) defaccess(none) authorize TCP nfsd hostnet(all) access(w) uid(root)
참고: 이 토큰의 값을 no로 설정하고도 올바른 CA ControlMinder 규칙을 제공하지 않으면 NFS 작동이 중지됩니다.
기본값: yes
seos_syscall이 seosd로 나가는 연결 이벤트를 전달하지 않을, 쉼표로 구분된 포트 목록을 정의합니다.
기본값: 토큰이 설정되지 않음
더미 SUID 시스템 호출을 무시할 로그인 프로그램의 경로를 지정합니다.
이 경로는 samba 같이 많은 더미 SUID 시스템 호출을 생성하는 일부 로그인 프로그램의 경우에 사용됩니다. 이러한 시스템 호출은 사용자 로깅의 정확한 인식을 방해할 수 있습니다.
기본값: 없음
여러 su 명령을 허용합니다. 일부 플랫폼에서 시스템의 su 바이너리는 다음과 같은 비표준 방식으로 작동합니다. root가 아닌 사용자에 대한 su 명령을 요청하면 요청된 사용자에 대해 su를 실행하기 전에 root에 대해 su를 실행합니다.
root 사용자에 대해 CA ControlMinder 서로게이트 보호 기능이 설정되어 있으면 root가 아닌 사용자에 대한 su 명령이 성공적으로 실행되지 않을 수 있습니다.
이러한 플랫폼의 root 사용자에 대한 서로게이션 보호를 사용하고 root가 아닌 사용자에 대해서도 개입 없이 su를 사용하려면 시스템의 su 바이너리에 대한 실제 경로를 포함하도록 bypass_suid_program 토큰을 설정합니다.
기본값: 없음
CA ControlMinder 권한 부여 엔진이 /etc/passwd 및 /etc/group 시스템 파일에 대한 읽기 액세스를 바이패스할지 여부를 결정합니다.
유효한 값:
yes-시스템 파일에 대한 읽기 액세스를 바이패스합니다.
no-시스템 파일에 대한 읽기 액세스를 바이패스하지 않습니다.
기본값: yes
seos_syscall이 seosd로 이벤트를 전달하지 않을 하나 이상의 포트를 쉼표로 구분하여 추가할 수 있습니다.
구문은 bypass_TCPIP=port1[,port2,portx]입니다.
기본값: 토큰이 설정되지 않음
xdm이 사용하는 포트(포트 6000-6010)가 CONNECT에 대해 바이패스되는지 여부를 지정합니다. 바이패스는 xdm 기능의 올바른 작동을 위해 존재합니다.
이 토큰의 값을 no로 변경하면 이러한 포트에 대해 바이패스가 발생하지 않습니다. 이 경우 이러한 바이패스를 대체할 수 있는 필수 CA ControlMinder 규칙을 제공해야 합니다. 다음은 그러한 규칙의 예입니다. 아래 내용을 있는 그대로 사용해서는 안 됩니다.
nr hostnet all mask (0.0.0.0) match(0.0.0.0) nr TCP X-Win owner(nobody) defaccess(none) authorize TCP X_Win hostnet(all) access(r) authorize TCP X_Win hostnet(all) access(w) uid(root) authorize TCP X_Win hostnet(all) access(w) gid(mygroup) nr TCP 6000 owner(nobody) defaccess(none) authorize TCP 6000 hostnet(all) access(r) authorize TCP 6000 hostnet(all) access(w) uid(root) authorize TCP 6000 hostnet(all) access(w) gid(mygroup)
참고: 이 토큰의 값을 no로 설정하고도 올바른 CA ControlMinder 규칙을 제공하지 않으면 xdm 작동이 중지됩니다. 이 토큰의 값이 yes이고 나가는 연결이 포트 6000-6010을 통해 설정된 경우 해당 감사 레코드의 클래스 이름은 TERMINAL입니다.
기본값: yes
seosd에서 cron 로그인 확인 기능을 향상시킵니다.
시스템의 cron 바이너리에 대한 실제 경로를 포함하도록 cron_program 토큰을 설정합니다.
기본값: 없음
CA ControlMinder 데이터베이스의 위치를 지정합니다.
기본값: ACInstallDir/seosdb
/dev에서 모든 장치를 스캔할지 여부를 지정합니다.
이 토큰의 값을 Yes로 설정한 경우 tty가 표준 목록에 없으면 CA ControlMinder은 /dev에 있는 장치를 모두 검색합니다.
qplib는 표준 장치에서 tty 이름을 확인합니다.
참고: tty 이름 목록에 장치를 추가할 수 있습니다.
기본값: no
기본 서버에서 다른 서버로 확인하는 호스트를 변경하는 데 사용되는 DNS 서버 이름을 지정합니다.
일반적으로 이 토큰은 DNS 캐싱 옵션이 활성화되면 사용됩니다.
기본값: 없음
seosd가 정규화된 이름을 작성하기 위해 권한 부여용으로 받은 짧은 호스트 이름에 추가하는 도메인 이름 목록을 지정합니다. 따라서 이러한 이름은 관련 HOST, CONNECT 또는 TERMINAL 클래스에서 권한을 부여할 수 있습니다.
seosd는 전체 이름을 식별하기 위해 domain_names 목록의 도메인 이름을 짧은 이름에 추가하여 권한을 부여합니다.
seosd는 먼저 짧은 이름만 사용하여 해당 데이터베이스에서 관련 규칙을 찾습니다. 짧은 이름에 일치하는 레코드를 찾지 못하면 일치하는 레코드를 찾을 때까지 domain_names 토큰에 지정된 각 도메인 이름을 하나씩 추가합니다.
예를 들어 domain_names에 다음 목록을 할당한다고 가정합니다.
domain_names= market.com, journey.com, total.com
다음은 데이터베이스에서 규칙으로 정의되지 않은 acme라는 구독자가 요청할 때 seosd가 일치하는 프로세스를 처리하는 방법입니다.
acme (not found in database)
acme.market.com (not found)
acme.journey.com (not found)
acme.total.com (found)
seosd는 권한 부여를 위해 일치하는 첫 번째 레코드(이 예제에서는 acme.total.com)를 사용합니다.
기본값: /etc/resolv.conf에 정의된 대로
권한 부여에 필요한 데이터베이스 값을 저장하는 데 런타임 테이블을 사용해야 하는지 여부를 결정합니다. 런타임 테이블은 seosd가 시작될 때 메모리로 로드됩니다. 이렇게 하면 데이터베이스에 연결되지 않으므로 권한 부여 시간이 줄어듭니다.
유효한 값은 yes와 no입니다.
기본값: no
seosd가 Unicenter NSM ENF(Event Notification Facility)에 등록할지 여부를 결정합니다.
유효한 값은 다음과 같습니다.
yes-seosd가 ENF에 등록합니다.
no-seosd가 ENF에 등록하지 않습니다.
기본값: no
캐싱이 활성화된 경우 권한 부여 풀의 레코드 수를 지정합니다. 캐시할 수 있는 최대 권한 부여 레코드 수는 800개입니다.
기본값: 80
파일 캐시를 지우는 간격(분)을 지정합니다.
기본값: 60
캐싱이 활성화된 경우 파일 풀의 레코드 수를 지정합니다. 캐시할 수 있는 최대 파일 레코드 수는 200개입니다.
기본값: 20
캐시 테이블에 있는 새 레코드의 초기 우선 순위 값을 지정합니다.
기본값: 10
캐싱이 활성화된 경우 캐시 테이블의 우선 순위를 다시 계산하는 빈도를 지정합니다. 새 레코드를 저장할 때마다 하나로 계산됩니다.
기본값: 1
캐싱이 활성화된 경우 사용자 풀의 레코드 수를 지정합니다. 캐시할 수 있는 최대 사용자 레코드 수는 500개입니다.
기본값: 50
seosd가 다른 방법으로 로그인 프로그램의 피어 주소를 찾으려고 하는지 여부를 결정합니다. 이 토큰은 ssh와 같은 연결에 유용합니다.
유효한 값은 yes와 no입니다.
기본값: yes
관리자가 사용자의 암호를 변경할 때 설정되는 유예 로그인 수를 결정합니다.
기본값: 토큰이 설정되지 않음(1)
CA ControlMinder이 그룹 이름에 대한 GID 번호를 확인하는 방법을 결정합니다.
올바른 값은 다음과 같습니다.
system-CA ControlMinder이 시스템 호출을 사용하여 gid 번호를 변환합니다. 이 값은 독립 실행형, DNS 클라이언트 및 DNS 서버 스테이션에 사용할 수 있습니다. 이 표의 resolve_timeout 토큰을 참조하십시오.
cache-gid 번호와 그룹 이름은 모두 seosd에 캐시됩니다. 이 방법을 사용하면 가장 빠르고 쉽게 변환할 수 있지만 런타임 중에 캐시를 업데이트할 수는 없습니다.
ladb-CA ControlMinder이 lookaside 데이터베이스를 사용하여 gid 번호를 변환합니다. 관련 트랜잭션 테이블을 업데이트할 때마다 sebuildla 유틸리티를 실행하여 lookaside 데이터베이스를 다시 만들어야 합니다.
NIS 및 NIS+ 서버의 경우 캐시 또는 ladb를 사용할 수 있습니다.
Sun Solaris 2.5 이상 및 HP-UX 11.x의 경우 캐시 또는 ladb를 사용할 수 있습니다.
모든 스테이션의 경우 ladb 값이 기본 설정됩니다.
기본값: 토큰이 설정되지 않음(system)
CA ControlMinder이 호스트 이름에 대한 IP 주소를 확인하는 방법을 결정합니다.
올바른 값은 다음과 같습니다.
system-CA ControlMinder이 시스템 호출을 사용하여 IP 주소를 변환합니다. 이 값은 독립 실행형 컴퓨터, NIS/NIS+ 클라이언트, DNS 클라이언트 스테이션에 사용할 수 있습니다. 이 표의 resolve_timeout 토큰을 참조하십시오.
cache-호스트 이름 및 해당 IP 주소는 seosd에 캐시됩니다. 이 방법을 사용하면 가장 빠르고 쉽게 변환할 수 있지만 런타임 중에 캐시를 업데이트할 수는 없습니다.
ladb-CA ControlMinder이 lookaside 데이터베이스를 사용하여 IP 주소를 변환합니다. 관련 트랜잭션 테이블을 업데이트할 때마다 sebuildla 유틸리티를 실행하여 lookaside 데이터베이스를 다시 만들어야 합니다.
NIS, NIS+ 및 DNS 서버의 경우 캐시 또는 ladb를 사용할 수 있습니다. ladb 값이 기본 설정됩니다.
기본값: 토큰이 설정되지 않음(system)
파일 설명자 stdin, stdout 및 stderr이 데몬이 되면 seosd가 이러한 파일 설명자를 닫을지 여부를 지정합니다.
올바른 값은 다음과 같습니다.
yes-이러한 파일 설명자가 데몬이 될 때 seosd가 파일 설명자를 닫습니다.
no-이러한 파일 설명자가 데몬이 될 때 seosd가 파일 설명자를 닫지 않습니다.
기본값: no
seosd가 CA ControlMinder의 주요 세 가지 데몬 중 하나로 전달된 "kill ‑9" 명령을 무시(거부)할지 여부를 지정합니다. 올바른 값은 다음과 같습니다.
yes-kill 명령을 무시합니다. 이것이 기본값입니다.
no-kill 명령이 seosd를 종료합니다.
기본값: yes
하위 프로세스가 로그인한 경우 상위 프로세스에서 로그인 시퀀스를 계속할지 시퀀스를 중지하고 하위 프로세스에서 로그인을 상속할지를 지정합니다.
유효한 값은 0과 1입니다.
0이면 상위 프로세스가 로그인 시퀀스를 계속합니다.
1이면 상위 프로세스가 로그인 시퀀스를 중단하고 하위 프로세스에서 로그인을 상속합니다.
기본값: 토큰이 설정되지 않음(0)
sebuildla가 중복된 UID를 등록할지 여부를 결정합니다.
유효한 값:
yes-중복된 UID를 등록합니다.
no-중복된 UID의 경우 하나의 UID만 등록합니다.
참고: 중복된 UID는 UNIX OS에서 변동을 일으킬 수 있습니다.
기본값: no
lookaside 데이터베이스가 위치할 디렉터리를 지정합니다. sebuildla 유틸리티를 실행하기 전에 이 디렉터리를 만듭니다.
참고: lookaside 데이터베이스 파일은 sebuildla 유틸리티를 사용하여 작성 및 업데이트됩니다.
기본값: ACInstallDir/ladb
로그인한 사용자의 최대 수를 정의합니다.
참고: 이 값은 내부 메모리 테이블 중 하나의 크기를 결정합니다. 테이블이 클수록 더 많은 메모리를 소비합니다.
제한: 4096-20480
기본값: 8192
다중 로그인을 수행하는 프로그램의 이름과 전체 경로를 정의하며, 이러한 특수 로그인 응용 프로그램에 대해 올바른 로그인 시퀀스를 검색하는 데 사용됩니다.
MultiLoginPgm은 로그인 응용 프로그램 이름 및 전체 경로입니다.
기본값: 없음
네트워크 캐시가 사용되는 경우 네트워크 캐시 테이블을 지우는 시간 간격(분)을 지정합니다. 저장 및 허용된 들어오는 TCP 요청에 대해 제한 시간을 설정하려면 이 토큰을 사용하십시오.
참고: 네트워크 캐시 사용에 대한 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오.
기본값: 10
NFS 주요 장치 번호가 있는 파일 이름과 경로를 지정합니다. 전체 파일 경로를 지정합니다.
CA ControlMinder은 장치 및 inode 번호 또는 이름을 사용하여 프로그램을 얻지 못하면 이 파일을 사용합니다. 파일에는 모든 플랫폼의 주요 장치 번호에 대한 NFS 기본값이 들어 있습니다. 이 기본값은 시스템마다 다를 수 있습니다. 시스템에 대한 번호를 찾으려면 UNIX getmajor() 함수와 함께 간단한 프로그램을 사용합니다. 그런 다음 찾은 번호를 포함하도록 nfsdevs.init 파일 또는 이 토큰으로 이름을 지정한 파일을 편집합니다.
참고: NFS 시스템을 마운트하고 다시 마운트할 때마다 nfsdevs.init 파일을 업데이트해야 합니다. 또한 장치의 처음 4자리 숫자만 사용할 수도 있습니다. 이러한 숫자는 시스템을 마운트 해제하고 다시 마운트할 때도 변경되지 않은 상태로 유지됩니다.
기본값: ACInstallDir/etc/nfsdevs.init
seosd가 CA ControlMinder 바이너리 파일을 보호할지 여부를 지정합니다. 다음 값 중 하나를 지정합니다.
yes-이러한 액세스를 허용하는 규칙이 정의되지 않은 경우 seosd가 CA ControlMinder 바이너리 파일을 보호합니다.
참고: FILE 레코드에 대한 _default 액세스가 없으면 yes를 지정하지 마십시오. 왜냐하면 모든 /opt/CA/AccessControl /bin 파일에 FILE 레코드가 없으면 파일에 액세스할 수 없어 CA ControlMinder을 사용할 수 없기 때문입니다.
no-seosd가 CA ControlMinder 바이너리 파일을 보호하지 않습니다.
기본값: no
제한 시간 오류 발생 후 seosd가 NIS 서버에 대한 연결을 다시 설정하는지 여부를 지정합니다.
기본값을 변경하지 않는 것이 좋습니다.
기본값: yes
seosd가 주소에 대한 IP, 사용자 이름에 대한 사용자 ID, 그룹 이름에 대한 그룹 ID 또는 서비스 이름에 대한 서비스 포트 번호를 확인하는 최대 시간(초)을 지정합니다.
이 값은 다음과 같은 두 가지 경우에 적용됩니다.
seosd가 시스템 확인을 사용하는 경우. HostResolution, ServiceResolution, UseridResolution 및 GroupidResolution 토큰을 참조하십시오.
under_NIS_server 토큰을 no로 설정한 경우
지정한 시간이 확인 없이 만료되면 seosd는 지정한 IP, ID 및 포트에 대한 확인이 없는 것으로 간주합니다.
값을 0으로 설정하면 제한 시간이 없습니다.
기본값: 5
seosd에 실시간 우선 순위가 있는지 여부를 결정합니다.
유효한 값은 yes와 no입니다.
이 토큰을 yes로 설정하면 seosd에 실시간 우선 순위가 있습니다.
기본값: yes
CA ControlMinder이 TCP 포트 번호를 서비스 이름으로 변환하는 방법을 결정합니다.
올바른 값은 다음과 같습니다.
system-CA ControlMinder이 시스템 호출을 사용하여 TCP 포트 번호를 변환합니다. 이 값은 독립 실행형 컴퓨터, NIS/NIS+ 클라이언트, DNS 클라이언트, DNS 서버 스테이션에 사용할 수 있습니다. 이 표의 resolve_timeout 토큰을 참조하십시오.
cache-서비스 이름 및 해당 TCP 포트 번호가 seosd에서 캐시됩니다. 이 방법을 사용하면 가장 빠르고 쉽게 변환할 수 있지만 런타임 중에 캐시를 업데이트할 수는 없습니다.
ladb-CA ControlMinder이 lookaside 데이터베이스를 사용하여 TCP 포트 번호를 변환합니다. 관련 트랜잭션 테이블을 업데이트할 때마다 sebuildla 유틸리티를 실행하여 lookaside 데이터베이스를 다시 만들어야 합니다.
NIS 및 NIS+ 서버의 경우 캐시 또는 ladb를 사용합니다.
기본값: system
CA ControlMinder이 ACEE(Accessor Element Entry) 테이블에서 사용되지 않는 시뮬레이션된 로그인 사용자 항목을 제거하기 전의 제한 시간(분)을 정의합니다.
CA ControlMinder은 ACEE에서 발견되는 정보에 액세스해야 할 경우 시뮬레이션된 로그인을 수행하여 ACEE 항목을 작성합니다.
기본값: 60
커널 모듈 로딩에 대한 파일 경로 검사의 활성화 여부를 지정합니다. 활성화되면 CA ControlMinder은 로드할 커널 모듈이 KMODULE 레코드의 filepath 속성과 일치하는지(비 Linux 시스템) 또는 KMODULE 레코드의 서명과 일치하는지(Linux 시스템)를 검사합니다.
기본값: no
관리 액세스를 인증할 때 _default TERMINAL 및 특정 TERMINAL 레코드의 defaccess 값을 고려할지 여부를 결정합니다.
유효한 값은 yes와 no입니다.
yes-관리 액세스가 _default 및 특정 TERMINAL 레코드의 defaccess 값을 무시합니다. 이런 경우에는 관리 액세스에 관련된 특정 TERMINAL 레코드에 대한 명시적 권한 부여 규칙이 필요합니다.
no-관리 액세스는 _default인지 특정 값인지에 따라 관련된 모든 TERMINAL 레코드의 defaccess 값을 고려합니다.
기본값: yes
이름으로 정의된 TERMINAL과 IP 주소로 정의된 TERMINAL 중 seosd가 어떤 것에 대한 검사를 먼저 시도할지를 지정합니다.
유효한 값:
name - IP 주소에 앞서 이름으로 TERMINAL을 검사합니다.
ip - 이름에 앞서 IP 주소로 TERMINAL을 검사합니다.
참고: TERMINAL 클래스는 와일드카드로 정의된 일반 규칙을 지원합니다(IP 주소 또는 호스트 이름 패턴 일치). 일반 규칙은 항상 특수(전체 이름) 규칙 이후에 검사됩니다. 예를 들어 이 값을 ip로 설정하면 seosd는 전체 IP 주소 일치, 전체 호스트 이름 일치, IP 주소 패턴 일치, 호스트 이름 패턴 일치 순서로 TERMINAL 리소스를 찾습니다.
기본값: name
추적 메시지를 요청한 경우 추적 메시지를 보낼 파일 이름을 지정합니다.
기본값: ACInstallDir/log/seosd.trace
추적 파일을 이진 형식으로 작성할지 텍스트 형식으로 작성할지를 결정합니다.
올바른 값은 다음과 같습니다.
binary-추적 파일을 이진 형식으로 작성합니다. 이 옵션을 지정하면 이 파일에서 사용하는 공간이 줄어듭니다.
text-추적 파일을 텍스트 형식으로 작성합니다.
seosd 데몬은 이 토큰의 값을 확인하고 추적 파일의 내용과 비교합니다. 토큰 값이 추적 파일의 형식과 일치하지 않으면 seosd는 추적 파일을 해당 이름으로 저장하고 확장명 .backup을 추가합니다.
기본값: text
추적 메시지를 필터링하는 데 사용하는 필터 데이터가 들어 있는 파일 이름과 경로를 지정합니다.
기본값: ACInstallDir/data/language/etc/trcfilter.init
파일 시스템에 남아 있는 사용 가능한 공간(MB)을 지정합니다. 사용 가능한 공간이 이 숫자보다 작으면 CA ControlMinder은 추적을 비활성화합니다.
참고: 나중에 더 많은 공간을 사용할 수 있게 되더라도 추적이 자동으로 활성화되지 않습니다.
기본값: 512
추적 메시지의 대상을 지정합니다.
올바른 값은 다음과 같습니다.
file-trace_file 토큰이 지정한 파일로 CA ControlMinder이 추적 메시지를 보냅니다. 추적을 사용하지 않으려면 secons -t- 명령을 사용합니다. 자세한 내용은 이 테이블의 trace_file 토큰을 참조하십시오.
file, stop-CA ControlMinder이 데몬 초기화 중에 추적 메시지를 생성합니다. 데몬이 초기화되면 추적 메시지 생성이 중지됩니다.
none-CA ControlMinder이 추적 메시지를 생성하지 않습니다. 이것은 CA ControlMinder을 설치 및 구현한 후의 정상적인 설정입니다.
참고: 토큰을 file이나 file,stop으로 설정하면 secons 명령을 -t 옵션과 함께 사용하여 CA ControlMinder 추적을 활성화하거나 비활성화할 수 있습니다.
기본값: file, stop
CA ControlMinder이 서로게이트 로그인에서 사용자의 마지막 액세스 시간을 업데이트할지 여부를 지정합니다.
유효한 값:
1 - CA ControlMinder이 서로게이트 로그인에서 사용자의 마지막 액세스 시간을 업데이트합니다.
0 - CA ControlMinder이 서로게이트 로그인에서 사용자의 마지막 액세스 시간을 업데이트하지 않습니다.
PACL의 접근자 이름에 별표(*)가 있을 때 seosd가 정의되지 않은 사용자를 검사할지 여부를 결정합니다.
올바른 값은 다음과 같습니다.
1-seosd는 별표가 있는 정의되지 않은 사용자를 PACL에 포함하지 않습니다.
0-seosd는 별표가 있는 정의되지 않은 사용자를 PACL에 포함합니다.
기본값: 0
seosd가 시스템 이름 확인 대신 내부 이름 확인을 사용하는지 여부를 결정합니다.
올바른 값은 다음과 같습니다.
yes-seosd는 시작 시 메모리 또는 lookaside 데이터베이스(use_lookaside 토큰 참조)에 사용자, 그룹, 호스트 및 포트 정보를 모두 보관합니다.
이 설정은 NIS, NIS+ 및 DNS 서버 컴퓨터와 Sun Solaris 2.5 이상, HP-UX 11.x, IBM AIX 4.3.x, 및 IRIX 6.5 같은 운영 체제에 필요합니다.
중요! 컴퓨터가 NIS 서버이거나 앞서 언급한 운영 체제 중 하나인 경우 이 토큰을 비활성화하면 시스템이 중지됩니다.
no-seosd가 시스템 이름 확인을 사용하며 resolve_timeout 토큰이 적용됩니다.
참고: 이 토큰에는 설치 중에 자동으로 값이 할당됩니다.
이 토큰은 이전 버전과의 호환성을 위해서만 유지됩니다. 새 CA ControlMinder을 설치하거나 버전 2 이상을 설치하는 경우에는 HostResolution, ServiceResolution, UseridResolution 및 GroupidResolution 토큰을 대신 사용하십시오.
기본값: 설치 중 할당됨
seosd가 사용자, 그룹, 호스트 및 포트 정보를 lookaside 데이터베이스나 메모리에 저장하는지 여부를 결정합니다.
참고: 이 토큰은 under_NIS_server 토큰과 함께 사용되며, under_NIS_server 토큰이 yes로 설정되지 않은 경우에는 관련이 없습니다.
올바른 값은 다음과 같습니다.
yes-seosd는 사용자, 그룹, 호스트 및 서비스 세부 사항에 대해 lookaside 데이터베이스를 사용합니다. lookaside 데이터베이스는 sebuildla 유틸리티에 의해 구축되며 언제든지 이 유틸리티를 사용하여 새로 고칠 수 있습니다.
lookaside 데이터베이스의 위치는 lookaside_path 토큰으로 설정합니다.
no-seosd는 시작 시 사용자, 그룹, 호스트 및 서비스 정보를 모두 캐시하여 모든 변환이 메모리에서 이루어질 수 있도록 합니다. 캐시를 새로 고치도록 seosd를 매일 다시 시작하는 것이 좋습니다.
이 토큰은 이전 버전과의 호환성을 위해서만 유지됩니다. 새 CA ControlMinder을 설치하거나 버전 2 이상을 설치하는 경우에는 HostResolution, ServiceResolution, UseridResolution 및 GroupidResolution 토큰을 대신 사용하십시오.
기본값: no
(CA ControlMinder 및 UNAB가 설치된 경우에 해당) seosd가 감사 레코드에서 사용자 엔터프라이즈 이름을 사용할지 여부를 지정합니다.
값: yes, no
기본값: no
NFS 장치 사용 여부를 결정합니다. 유효한 값은 yes 또는 no입니다.
기본값: Yes
NIS 환경에서 sebuildla가 사용자 검색을 위해 표준 시스템 함수 getpwent를 호출할지 ypcat passwd 및 cat /etc/passwd 명령의 출력을 구문 분석할지를 결정합니다.
유효한 값:
yes-표준 시스템 함수 getpwent를 사용합니다.
no-ypcat passwd 및 cat /etc/passwd 명령의 출력을 구문 분석합니다.
기본값: yes
seosd에서 트러스트된 스크립트 메커니즘을 사용할지 여부를 지정합니다.
트러스트된 스크립트 메커니즘을 사용할 경우 셸 스크립트 내에서 호출된 프로그램은 셸 스크립트 이름을 내부 CA ControlMinder 테이블에 보관합니다.
즉, 스크립트가 PACL에 사용된 경우에는 이러한 프로그램이 해당 권한을 상속합니다. 또한 CA ControlMinder을 통해 이러한 프로그램을 보호할 수 없습니다.
트러스트된 스크립트의 첫 번째 줄은 #!로 시작합니다.
트러스트된 스크립트 메커니즘을 사용하지 않는 경우 이들 프로그램은 원래 이름대로 내부 CA ControlMinder 테이블에 등록됩니다.
기본값: yes
(CA ControlMinder 및 UNAB가 설치된 경우에 해당) 현재 방법으로 확인할 수 없는 경우 seosd가 UNAB 데이터베이스를 사용하여 사용자 및 그룹 이름을 확인할지 여부를 지정합니다. 이 토큰은 use_lookaside, UseridResolution, GroupidResolution 토큰과 함께 사용됩니다.
값:yes, no
기본값: no
성능 향상을 위해 파일 레코드에 캐시 도구를 사용할지 여부를 지정합니다.
기본값: yes
CA ControlMinder이 들어오는 허용된 TCP 요청을 캐시할지 여부를 결정합니다.
참고: 네트워크 캐시 사용에 대한 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오.
유효한 값은 yes와 no입니다.
기본값: no
CA ControlMinder이 UID 번호를 사용자 이름으로 변환하는 방식을 지정합니다.
올바른 값은 다음과 같습니다.
system-CA ControlMinder이 시스템 호출을 사용하여 uid 번호를 변환합니다. 이 값은 독립 실행형 컴퓨터, NIS/NIS+ 클라이언트, DNS 클라이언트, DNS 서버 스테이션에 사용할 수 있습니다.
cache-사용자 이름 및 해당 uid 번호는 seosd에서 캐시됩니다. 이 방법을 사용하면 가장 빠르고 쉽게 변환할 수 있지만 런타임 중에 캐시를 업데이트할 수는 없습니다.
ladb-CA ControlMinder이 lookaside 데이터베이스를 사용하여 uid 번호를 변환합니다. 관련 트랜잭션 테이블을 업데이트할 때마다 sebuildla 유틸리티를 실행하여 lookaside 데이터베이스를 다시 만들어야 합니다.
NIS 및 NIS+ 서버, Sun Solaris 2.5 이상이나 HP-UX 11.x 운영 체제의 경우 캐시 또는 ladb를 사용해야 합니다.
기본값: system
각 파일이 처리되는 동안 권한이 있는 프로그램과 보안된 파일을 스캔하도록 seosd가 Watchdog을 새로 고치는지 여부를 결정합니다.
올바른 값은 다음과 같습니다.
yes-seosd가 Watchdog을 새로 고칩니다.
no-seosd가 Watchdog을 새로 고치지 않습니다.
기본값: no
| Copyright © 2013 CA. All rights reserved. |
|