CA ControlMinder 代理 seagent 会启动 sepmdd;无需显式运行 sepmdd。 sepmdd 后台进程使用逻辑用户 id“_seagent”在 CA ControlMinder 中运行,使用用户 id root 在 UNIX 中运行。 您无法指定用于运行 sepmdd 的其他逻辑用户。
PMDB 存储在公用目录中。 在策略模型所在的站上,使用 seos.ini 文件 [pmd] 部分中的 _pmd_directory_ 标记,可指定公用目录的名称。 每个策略模型位于该公用目录的子目录中。 策略模型的名称是它所在的子目录的名称。
sepmdd 启动时,它会检查是否有任何订户数据库需要更新,并在必要时进行更新。 在此启动过程之后,sepmdd 会等待用户请求,这些请求由策略模型管理程序 sepmd 以及 selang 实用程序使用 seagent 发送。
sepmdd 接收到请求时,它会将请求应用到 PMDB 并将结果发回给用户。 如果需要传播该请求,sepmdd 会将更新传播给它的订阅者数据库。
sepmdd 后台进程将在 _QD_timeout_ 标记中指定的时间段内尝试更新订户数据库。 如果超出最长等待时间,但该后台进程无法成功更新某个订户,则它会忽略该订户,并尝试更新列表中的其余订户。 完成订户列表的首次扫描后,sepmdd 会接着执行第二次扫描,在这次扫描期间,它会尝试更新在第一次扫描期间未成功更新的订户。 第二次扫描期间,它将尝试更新订阅者,直到连接系统调用超时(大约 90 秒)。
注意:_QD_timeout_ 标记可以同时存在于 seos.ini 文件和 pmd.ini 文件中。 如果是这样,sepmdd 会使用 pmd.ini 文件中的值。
如果某个订阅者在第二次扫描期间不可用,sepmdd 会尝试每隔 30 分钟向它发送一次更新。 要修改此时间间隔,请设置 _retry_timeout_ 标记。 由于必须按照接收更新的顺序发送更新,因此 sepmdd 不会将后续更新发送给该订阅者数据库,直到它变为可用。
如果将订户数据库的 seos.ini 文件 [pmd] 部分中的 pull_option 标记设置为 yes,则会尽快更新该订户数据库。 seagent 会通知父策略模型:主机已为计算机上的每个策略模型启动,其订户 PMDB 已启动,sepmdd 会立即发送更新。
只要 sepmdd 无法更新订户数据库,它就会在策略模型错误日志中写入一条警告消息。 有关策略模型错误日志的详细信息,请参阅《适用于 UNIX 的端点管理指南》。
在向策略模型中添加或删除订户时,CA ControlMinder 会尝试完全限定订户。
要从不可用订阅者列表中删除某个订阅者,请输入以下命令:
sepmd ‑r policyModel subscriber
如果订阅者数据库拒绝某个更新(如果订阅者数据库不同于 PMDB,可能会发生这种情况),sepmdd 会在策略模型错误日志中写入一条错误消息并继续。
要查看错误日志,请在 PMDB 所在的主机上输入以下命令:
sepmd ‑e policyModel
您可以让 sepmdd 在一段时间不活动后自动关闭。 但在默认情况下,sepmdd 不会自行关闭。 如果希望 sepmdd 自行关闭,可将 _shutoff_time_ 标记设置为大于 0 的值。 该值表明在 sepmdd 自行关闭前所允许的不活动时间(分钟)。 要手动关闭 sepmdd,请输入:
sepmd ‑k policyModel
重要说明! 请勿使用 UNIX 命令 kill ‑9 手动关闭 sepmdd;这样会损坏 PMDB。
|
版权所有 © 2013 CA。
保留所有权利。
|
|