在 [seosd] 部分中,标记确定授权后台进程和缓存实用程序的行为,从而提高它们的性能。
指定包含要从 seos 事件中免除的文件名列表的文件。
例如:bypass_filenames = /opt/CA/AccessControl /bin/bypass_filenames
默认值:标记未设置
指定是否为 CONNECT 跳过由 nfs 使用的端口(端口 2049)。 跳过该端口的目的是让 NFS 能够正确运行。
如果将此标记的值更改为 no,则不跳过该端口。 确保过后提供所需的 CA ControlMinder 规则以替换此跳过。 下面是此类规则的一个示例(不能按原样使用):
nr hostnet all mask (0.0.0.0) match(0.0.0.0) nr TCP 2049 owner(nobody) defaccess(none) authorize TCP 2049 hostnet(all) access(w) uid(root) nr TCP nfsd owner(nobody) defaccess(none) authorize TCP nfsd hostnet(all) access(w) uid(root)
注意:如果将此标记的值设置为 no,但未提供正确的 CA ControlMinder 规则,NFS 将停止运行。
默认值:yes
定义以逗号分隔的端口列表,seos_syscall 不会将这些端口的传出连接事件传递给 seosd。
默认值:标记未设置
指定应对其忽略 dummy SUID 系统调用的登录程序的路径。
此标记将在某些登录程序(例如:samba)中使用,这些程序将生成大量的虚拟 SUID 系统调用。 这些系统调用可能会影响对登录用户的正确识别。
默认值:无
允许多个 su 命令。 在某些平台上,系统的 su 二进制文件以非标准方式运行:当请求对非 root 用户执行 su 命令时,它会先对 root 用户执行 su,然后再对请求的用户执行 su。
如果 CA ControlMinder 为该 root 用户设置了代理保护,它可能也会阻止对非 root 用户成功执行 su。
要想在此类平台上对 root 用户使用 surrogate 保护,并且仍旧可以不中断地对非 root 用户执行 su,请将 bypass_suid_program 内标识设置为包含系统的 su 二进制文件的真实路径。
默认值:无
确定 CA ControlMinder 授权引擎是否应跳过对 /etc/passwd 和 /etc/group 系统文件的读取访问。
有效值包括:
yes-跳过对系统文件的读取访问权限。
no-不跳过对系统文件的读取访问权限。
默认值:yes
允许您添加 seos_syscall 无法通过其将事件传递给 seosd 的一个或多个端口(以逗号分隔)。
语法为 bypass_TCPIP=port1[,port2,portx]
默认值:标记未设置
是否为 CONNECT 跳过由 XDM 使用的端口(端口 6000-6010)。 跳过该端口的目的是让 xdm 能够正确运行。
如果将此标记的值更改为 no,则不跳过这些端口。 确保过后提供所需的 CA ControlMinder 规则以替换此跳过。 下面是此类规则的一个示例(不能按原样使用):
nr hostnet all mask (0.0.0.0) match(0.0.0.0) nr TCP X-Win owner(nobody) defaccess(none) authorize TCP X_Win hostnet(all) access(r) authorize TCP X_Win hostnet(all) access(w) uid(root) authorize TCP X_Win hostnet(all) access(w) gid(mygroup) nr TCP 6000 owner(nobody) defaccess(none) authorize TCP 6000 hostnet(all) access(r) authorize TCP 6000 hostnet(all) access(w) uid(root) authorize TCP 6000 hostnet(all) access(w) gid(mygroup)
注意:如果将此标记的值设置为 no,但未提供正确的 CA ControlMinder 规则,xdm 将停止运行。 如果此标记的值为 yes,且通过端口 6000-6010 进行传出连接,则相应审核记录中的类名为 TERMINAL。
默认值:yes
改进 seosd 中的 cron 登录的检查。
将 cron_program 内标识设置为包含系统的 cron 二进制文件的真实路径。
默认值:无
指定 CA ControlMinder 数据库的位置。
默认值:ACInstallDir/seosdb
指定是否扫描 /dev 中的所有设备。
如果将此标记的值设置为 Yes,并且在标准列表中找不到 tty,则 CA ControlMinder 将扫描位于 /dev 中的所有设备。
(qplib 从标准设备中解析 tty 名称。)
注意:您可以将设备添加到 tty 名称列表中。
默认值:no
指定DNS 服务器名,它用来将主机解析从默认服务器更改为另一台服务器。
此内标识通常在启用 DNS 缓存选项时使用。
默认值:无
指定为进行授权,seosd 向所接收的短主机名附加的域名列表(目的是创建完全限定名称),因此可以在有关的 HOST、CONNECT 或 TERMINAL 类中对这些名称进行授权。
为标识全名,seosd 会尝试在短名称中附加 domain_names 列表中的域名,从而进行授权。
seosd 首先会仅使用短名称在其数据库中寻找有关的规则。 如果找不到与短名称匹配的记录,则它会逐个附加在 domain_names 标记中指定的每个域名,直到找到匹配的记录为止。
例如:假设您为 domain_names 指定以下列表:
domain_names= market.com, journey.com, total.com
以下是当订户 acme(未在数据库中定义为规则)的请求进入时 seosd 处理匹配进程的方式:
acme(在数据库中找不到)
acme.market.com(找不到)
acme.journey.com(找不到)
acme.total.com(已找到)
seosd 将使用匹配的第一个记录(在本例中为 acme.total.com)执行授权。
默认值:如 /etc/resolv.conf 中所定义
确定是否应该使用运行时表来存储授权所需要的数据库值。 运行时表是在 seosd 启动时加载到内存中的。 这样就避免了连接数据库,因此可以缩短授权时间。
有效值包括 yes 和 no。
默认值:no
确定 seosd 是否向 Unicenter NSM Event Notification Facility (ENF) 注册。
有效值包括以下各项:
yes-seosd 向 ENF 注册。
no-seosd 不向 ENF 注册。
默认值:no
如果启用缓存,则应指定授权池中的记录数。 可缓存的最大授权记录数为 800。
默认值:80
指定清除文件缓存的频率(分钟)。
默认值:60
如果启用缓存,则应指定文件池中的记录数。 可缓存的最大文件记录数为 200。
默认值:20
指定缓存表中的新记录的初始优先级值。
默认值:10
如果启用缓存,则应指定在缓存表中重新计算优先级的频率。 每次保存一个新记录就会计入一
默认值:1
如果启用缓存,则应指定用户池中的记录数。 可缓存的最大用户记录数为 500。
默认值:50
确定 seosd 是否尝试通过另一种方式查找登录程序的对等地址。 它对于诸如 ssh 等的连接非常有用。
有效值包括 yes 和 no。
默认值:yes
确定管理员更改用户密码时设置的宽限登录的次数。
默认值:标记未设置 (1)
确定 CA ControlMinder 将 GID 号解析为组名的方式。
有效值包括以下各项:
system-CA ControlMinder 使用系统调用来转换 GID 号。 该值可用于单机、DNS 客户端和 DNS 服务器站。‑ (另请参阅此表中的 resolve_timeout 标记。)
cache-GID 号和组名都将缓存在 seosd 中。 这是最快、最简单的转换方法,但是运行时无法对缓存进行更新。
ladb-CA ControlMinder 使用后备数据库来转换 GID 号。 每次更新相关事务表时,都必须运行 sebuildla 实用程序来重新创建 lookaside 数据库。
对于 NIS 和 NIS+ 服务器,您可以使用 cache 或 ladb。
对于 Sun Solaris 2.5 及更高版本和 HP-UX 11.x,您同样可以使用 cache 或 ladb。
对于所有的工作站,将首选值 ladb。
默认值:标记未设置 (system)
确定 CA ControlMinder 将 IP 地址解析为主机名的方式。
有效值包括以下各项:
system-CA ControlMinder 使用系统调用来转换 IP 地址。 该值可用于单机、NIS/NIS+ 客户端和 DNS 客户端站。‑ (另请参阅此表中的 resolve_timeout 标记。)
cache-主机名及其 IP 地址全部缓存在 seosd 中。 这是最快、最简单的转换方法,但是运行时无法对缓存进行更新。
ladb-CA ControlMinder 使用后备数据库来转换 IP 地址。 每次更新相关事务表时,都必须运行 sebuildla 实用程序来重新创建 lookaside 数据库。
对于 NIS、NIS+ 及 DNS 服务器,您可以使用 cache 或 ladb;值 ladb 是首选设置。
默认值:标记未设置 (system)
确定 seosd 是否在文件描述符 stdin、stdout 和 stderr 成为后台进程时关闭它们。
有效值包括以下各项:
yes-seosd 会在文件描述符变成后台进程时关闭它们。
no-seosd 不会在文件描述符变成后台进程时关闭它们。
默认值:no
指定 seosd 是否忽略(拒绝)定向到三个主要 CA ControlMinder 后台进程之一的“kill ‑9”命令。 有效值包括以下各项:
yes-忽略 kill 命令。 这是默认值。
no-kill 命令将终止 seosd。
默认值:yes
指定父进程应该继续(一旦子进程已登录)登录序列,还是放弃该序列并继承子进程的登录。
有效值包括 0 和 1。
如果该值为 0,则父进程将继续登录序列。
如果该值为 1,则父进程将放弃登录序列并继承子进程的登录。
默认值:标记未设置 (0)
确定 sebuildla 是否注册重复的 UID
有效值:
yes-注册重复的 UID
no-在出现重复的 UID 时,只注册一个 UID
注意:重复的 UID 可能会在 UNIX 操作系统上造成不一致
默认值:no
指定后备数据库所在的目录。 请在运行 sebuildla 实用程序之前创建此目录。
注意:后备数据库文件是使用 sebuildla 实用程序创建和更新的。
默认值:ACInstallDir/ladb
定义最多登录用户人数。
注意:该值决定着其中一个内部内存表的大小。 表越大,其占用的内存越多。
限制:4096-20480
默认值:8192
定义执行多次登录的程序的名称和完整路径。 此标记用于为这些特殊的登录应用程序检测正确的登录顺序。
MultiLoginPgm 是带有完整路径的登录应用程序的名称。
默认值:none
指定在使用网络缓存的情况下,网络每隔多长时间缓存一次表清除(分钟)。 使用此标记可以为存储的已接受传入 TCP 请求设置时间限制。
注意:有关使用网络缓存的详细信息,请参阅《适用于 UNIX 的端点管理指南》。
默认值:10
指定包含 NFS 主设备号的文件的名称和路径。 指定完整的文件路径。
如果 CA ControlMinder 无法使用设备和 inode 号获取程序,也无法使用程序的名称获取程序,则将使用此文件。 此文件包含每个平台的主设备号的 NFS 默认值。 在不同的系统中,此值可能会有所差异。 为找到您所用系统的编号,请使用包含 UNIX getmajor() 函数的小程序。 然后编辑 nfsdevs.init 文件(或使用此标记命名的文件)以包含要查找的编号。
注意:每次挂接和取消挂接 NFS 系统时,您都应该更新 nfsdevs.init 文件。 您还可以仅使用该设备的前四位数字。 这些编号将保留不变(即使您取消挂接并重新挂接该系统,也是一样)。
默认值:ACInstallDir/etc/nfsdevs.init
指定 seosd 是否保护 CA ControlMinder 二进制文件。 指定以下值之一:
yes-seosd 将保护 CA ControlMinder 二进制文件,除非定义允许此类访问的规则。
注意:当 FILE 记录的 _default 访问权限为 none 时,请不要指定 yes,因为那样的话,除非所有的 /opt/CA/AccessControl /bin 文件都包含 FILE 记录,否则文件的不可访问性可能会导致 CA ControlMinder 不能用。
no-seosd 不保护 CA ControlMinder 二进制文件。
默认值:no
指定 seosd 在出现超时故障后是否重新与 NIS 服务器建立连接。‑
强烈建议您不要更改默认值。
默认值:yes
指定 seosd 尝试将 IP 解析为地址、将用户 ID 解析为用户名、将组 ID 解析为组名,或将服务端口号解析为服务名的最大秒数。
该值在以下两种情况下生效:
当 seosd 使用系统解析时。 (请参阅 HostResolution、ServiceResolution、UseridResolution 及 GroupidResolution 标记。)
将 under_NIS_server 内标识设置为 no 时。
如果指定时间过后没有任何解析,seosd 会假定指定的 IP、ID 或端口没有解析。
如果将该值设置为 0,则没有超时。
默认值:5
确定 seosd 是否具有实时优先级。
有效值包括 yes 和 no
如果将此内标识设置为 yes,seosd 将具有实时优先级。
默认值:yes
确定 CA ControlMinder 将 TCP 端口号转换为服务名的方式。
有效值包括以下各项:
system-CA ControlMinder 使用系统调用来转换 TCP 端口号。 此值可用于单机、NIS/NIS+ 客户端、DNS 客户端以及 DNS 服务器站。‑ (另请参阅此表中的 resolve_timeout 标记。)
cache-服务名及其 TCP 端口号都将缓存在 seosd 中。 这是最快、最简单的转换方法,但是运行时无法对缓存进行更新。
ladb-CA ControlMinder 使用后备数据库来转换 TCP 端口号。 每次更新相关事务表时,都必须运行 sebuildla 实用程序来重新创建 lookaside 数据库。
对于 NIS 和 NIS+ 服务器,请使用 cache 或 ladb。
默认值:system
定义 CA ControlMinder 从 Accessor Element Entry 表 (ACEE) 中删除未使用的模拟登录用户条目之前的超时时间(分钟)。
当 CA ControlMinder 需要访问可在 ACEE 中找到的信息时,它会执行模拟登录以创建 ACEE 条目。
默认值:60
指定是否在内核模块加载时启用文件路径检查。 如果启用,CA ControlMinder 将检查要加载的内核模块是否与 KMODULE 记录的文件路径属性相匹配(对于非 Linux 系统),或者是否与 KMODULE 记录的签名相匹配(对于 Linux 系统)。
默认值:no
确定在授权管理访问权限时,是否考虑 _default TERMINAL 和特定 TERMINAL 记录的 defaccess 值。
有效值包括 yes 和 no。
yes-管理权限将忽略 _default 和任何特定 TERMINAL 记录的 defaccess 值。 在这种情况下,对于相关的特定 TERMINAL 记录,管理权限需要显示授权规则。
no-管理权限将考虑所有相关的 TERMINAL 记录的 defaccess 值,而无论它是 _default 记录还是特定记录。
默认值:yes
指定 seosd 是否尝试先按名称再按 IP 地址来检查所定义的 TERMINAL。
有效值包括:
name-先按名称再按 IP 地址来检查 TERMINAL。
ip-先按 IP 地址再按名称来检查 TERMINAL。
注意:TERMINAL 类支持由通配符定义的一般规则(IP 地址或主机名模式匹配)。 始终先检查特定(全名)规则,然后再检查一般规则。 例如:如果将此设置为 ip,seosd 将按照以下顺序查找 TERMINAL 资源:完整 IP 地址匹配、完整主机名匹配、IP 地址模式匹配、主机名模式匹配。
默认值:name
指定将跟踪消息发送到的文件名称(如果请求跟踪消息)。
默认值:ACInstallDir/log/seosd.trace
确定跟踪文件是采用二进制格式还是文本格式写入的。
有效值包括以下各项:
二进制-跟踪文件应该采用二进制格式写入。 此选项将减少此文件占据的空间。
文本-跟踪文件应以文本格式写入。
后台进程 seosd 将检查此标记的值,并将其与跟踪文件的内容进行比较。 如果该标记的值与跟踪文件的格式不匹配,则 seosd 会将跟踪文件保存在其名称下并添加扩展名 .backup。
默认值:text
指定包含用于筛选跟踪消息的筛选数据的文件的名称和路径。
默认值:ACInstallDir/data/language/etc/trcfilter.init
指定要在文件系统中保留的可用空间量(MB)。 当可用空间量小于此数量时,CA ControlMinder 将禁用跟踪。
注意:即使以后会有更多的可用空间,也不会自动启用跟踪。
默认值:512
指定跟踪消息的目标。
有效值包括以下各项:
file-CA ControlMinder 会将跟踪消息发送至 trace_file 标记指定的文件中。 要禁用跟踪,请使用 secons -t- 命令。 有关详细信息,请参阅此表中的 trace_file 标记。
file,stop-CA ControlMinder 将在初始化后台进程期间生成跟踪消息。 初始化后台进程之后,将停止生成跟踪消息。
none-CA ControlMinder 不发出跟踪消息。 这是安装并实施 CA ControlMinder 后的正常设置。
注意:如果将此标记设置为 file 或 file,stop,则可以使用带有 -t 选项的 secons 命令来切换 CA ControlMinder 跟踪。
默认值:file,stop
指定 CA ControlMinder 是否在代理登录时更新用户的最后访问时间。
有效值包括:
1-CA ControlMinder 将在代理登录时更新用户的最后访问时间。
0-CA ControlMinder 将在代理登录时不更新用户的最后访问时间。
确定当 PACL 中的访问者名称包含星号 (*) 时,seosd 是否检查未定义的用户。
有效值包括以下各项:
1-seosd 不包括 PACL 中带星号的未定义用户。
0-seosd 包括 PACL 中带星号的未定义用户。
默认值:0
确定 seosd 是否使用内部名称解析替代系统名称解析。
有效值包括以下各项:
yes-seosd 将在启动过程中把所有用户、组、主机和端口信息存储在内存或后备数据库中(请参阅 use_lookaside 标记)。
对于 NIS、NIS+ 和 DNS 服务器计算机,以及以下操作系统,此内标识是必需的:Sun Solaris 2.5 及更高版本、HP-UX 11.x、IBM AIX 4.3.x 及 IRIX 6.5。
重要说明! 如果使用的是 NIS 服务器或上述操作系统之一,关闭此标记可能会导致计算机挂起。
no-seosd 将使用系统名称解析,并且 resolve_timeout 标记将生效。
注意:安装期间自动为此内标识指定值。
该内标识仅具备向后兼容的作用。 如果您具有新安装的 CA ControlMinder,或者安装的是版本 2 或更高版本,请使用 HostResolution、ServiceResolution、UseridResolution 和 GroupidResolution 标记。
默认值:在安装期间指定
确定 seosd 将用户、组、主机和端口信息存储在 lookaside 数据库中,还是存储在内存中。
注意:此标记与 under_NIS_server 标记一起使用,并且,除非将 under_NIS_server 标记设置为 yes,否则它没有任何实际意义。
有效值包括以下各项:
yes-seosd 将使用后备数据库存储用户、组、主机和服务详细信息。 后备数据库是通过 sebuildla 实用程序构建的,而且可以使用它随时进行刷新。
lookaside 数据库的位置是由 lookaside_path 内标识设置的。
no-seosd 会在启动期间缓存所有用户、组、主机和服务信息,以便可以在内存中完成所有转换。 建议您每天都重新启动 seosd 以刷新该缓存。
该内标识仅具备向后兼容的作用。 如果您具有新安装的 CA ControlMinder,或者安装的是版本 2 或更高版本,请使用 HostResolution、ServiceResolution、UseridResolution 和 GroupidResolution 标记。
默认值:no
(适用于安装了 CA ControlMinder 和 UNAB 的环境)指定 seosd 是否在审核记录中使用用户企业名称。
值:yes、no
默认值:no
确定是否使用 NFS 设备。 有效值包括 yes 或 no。
默认值:Yes
确定 NIS 环境中的 sebuildla 检索用户的方式:通过调用标准系统函数 getpwent,或通过分析 ypcat passwd 和 cat/etc/passwd 命令的输出。
有效值包括:
yes-使用标准系统函数 getpwent
no-分析 ypcat passwd 和 cat/etc/passwd 命令的输出。
默认值:yes
指定 seosd 是否使用受信任的脚本机制。
使用受托脚本机制时,从 shell 脚本调用的程序将在内部 CA ControlMinder 表中保留 shell 脚本的名称。
这意味着如果在 PACL 中使用了某个脚本,则这些程序将继承该权限。 这还意味着您无法通过 CA ControlMinder 保护这些程序。
受托脚本的第一行 以 #! 开头。
在不使用受托脚本机制时,这些程序将在内部 CA ControlMinder 表中各自的名称下注册。
默认值:yes
(适用于安装了 CA ControlMinder 和 UNAB 的环境)指定 seosd 是否使用 UNAB 数据库来解析用户和组名称(如果当前方法无法实现)。 此标记与以下标记一致:use_lookaside、UseridResolution、GroupidResolution。
值:yes、no
默认值:no
指定是否使用文件记录缓存工具来提高性能。
默认值:yes
确定 CA ControlMinder 是否缓存接受的传入 TCP 请求。
注意:有关使用网络缓存的详细信息,请参阅《适用于 UNIX 的端点管理指南》。
有效值包括 yes 和 no。
默认值:no
指定 CA ControlMinder 将 UID 号转换为用户名的方式。
有效值包括以下各项:
system-CA ControlMinder 使用系统调用来转换 UID 号。 此值可用于单机、NIS/NIS+ 客户端、DNS 客户端以及 DNS 服务器站。‑
cache-用户名及其 UID 号都将缓存在 seosd 中。 这是最快、最简单的转换方法,但是运行时无法对缓存进行更新。
ladb-CA ControlMinder 使用后备数据库来转换 UID 号。 每次更新相关事务表时,都必须运行 sebuildla 实用程序来重新创建 lookaside 数据库。
对于 NIS 和 NIS+ 服务器、Sun Solaris 2.5 及更高版本或 HP-UX 11.x 操作系统,您必须使用 cache 或 ladb。
默认值:system
确定 seosd 是否将刷新 Watchdog 以在特权程序和安全文件中扫描每个文件句柄。
有效值包括以下各项:
yes-seosd 将刷新 Watchdog。
no-seosd 将不刷新 Watchdog。
默认值:no
|
版权所有 © 2013 CA。
保留所有权利。
|
|