参考指南 › 实用程序 › sepmd 实用程序 › sepmd 实用程序－管理订户和更新文件

sepmd 实用程序－管理订户和更新文件

sepmd 实用程序可创建、删除并分配订户。

此命令格式如下：

sepmd {-C|-de|-l|-L|-p|-R} pmd

sepmd {-n|-r|-u} pmd subscriber

sepmd -s pmd subscriber offset

sepmd -sm pmd mf_subscriber mf_type mf_sysid mf_admin offset

sepmd -smq pmd <-predefined> <ACMQ queue> [-destination <destination>}

sepmd -t pmd {auto|offset}

‑C

显示更新文件中的所有命令及其偏移量。 偏移量表示文件中更新的位置，您可能要指定订阅其他数据库或 PMDB 的时间。

‑de

（仅限于 UNIX）对加密的 updates.dat 文件中的信息进行解密。 将 UseEncryption PMDB 配置设置设为 yes 时，该文件的数据加密就会发生。

‑l

列出策略模型的订户。

‑L

列出策略模型和其状态，包括错误数、可用性、偏移量、同步模式和要传播的下一命令。 更新文件包含必须（或已经）通过策略模型传播的所有更新。 偏移量表示必须发送给订户的下一更新的位置。 初始和最新的偏移量也都会出现。

‑n

创建新的订户，然后追溯地将其更新到策略模型。 有关适用于更新订户的常规规则的信息，请参阅 -s 选项的说明。

注意：此选项将整个 PMDB 的内容（包括 LOGINAPPL（仅 UNIX）和 SPECIALPGM 对象）发送到新的订户。 如果订户的对象不同于父级的对象，您可以筛选出这些对象。

-n 选项不会替换目标订户数据库定义上的策略模型数据库定义，而是将其添加到现有策略模型。 如果目标数据库包含其他资源或属性，则新的策略模型不会在订阅完成之后删除它们。

将使用 -n 添加的订户标记为 sync，表示它现在是同步模式且收到所有 PMDB 规则。 在订户已经收到所有规则时，它从同步模式释放，并成为常规订户。 -n 选项可能会花费一些时间进行处理。 如果有多个或相互矛盾的更新，则使用最后一个更新。

重要说明！ 在您将 CA ControlMinder 端点或 PMDB 订阅到使用 sepmd -n 的其他的 PMDB 时，新的父级 PMDB 不应包含已经存在于新订户的任何策略（POLICY 对象名）。 在为订户订阅新的父 PMDB 之前，先从该订户取消部署每个现有策略，然后从该订户删除 POLICY 对象和链接的 RULESET 对象。

在 UNIX 中，如果将 seos.ini 文件的 send_unix_env 标记设置为 yes，那么 -n 选项也发送策略模型密码的内容和组文件。 建议使用 dbmgr ‑export ‑l 查看数据库，以确定被转发的命令。

‑p

列出驻留的策略模型及其状态。

‑r

从 sepmdd 维护的不可用订户列表中删除订户，使订户可用于立即更新。 通常，如果订户关闭且无法从策略模型接收更新，那么 sepmdd 仅在特定时间段之后尝试将更新发送到该订户。 然而，如果您指定此选项，sepmdd 跳过等候期间，并尝试立即将更新发送到订户。

-R

使用实际偏移量更新所有订户。

‑s

将其他数据库或 PMDB 订阅到策略模型。 将主机订阅到策略模型时，该主机必须启动，CA ControlMinder 必须正在该主机上运行。 此外，PMDB 必须是订阅主机的父 PMDB。 您建立与 parent_pmd 订户的配置设置的关系，必须包含将主机订阅到的 PMDB 名称。

将策略模型订阅给其他策略模型时，

• 已订阅策略模型的 pmd.ini 文件中的标记 parent_pmd 必须包含正在订阅（其父策略模型）到的策略模型的名称。
• CA ControlMinder 必须在订阅策略驻留的主机上运行。

PMDB 只能有一个父级。 如果您决定与多个父级建立策略模型，请给 parent_pmd 标记提供包括父策略模型列表的文件名称。 但是建议不要建立多个父，这非常冒险，因为数据库将会充斥着来自多个源的大量不可靠指令。

‑sm

将大型机订户分配给策略模型。

-smq

将预定义消息队列订户订阅到策略模型。

<ACMQ queue>

指定以下预定义消息队列的队列：

• ServerToServer
• ServerToServerBroadcast
• ServerToEndpointBroadcast
• EndpointToServer
• ServeryoEndpoint

-destination

指定 CA ControlMinder 组件的目标，这些组件从订户接收消息。

‑t

通过从更新文件删除条目来截短更新文件。

注意：在 UNIX 上，如果 force_auto_truncate PMDB 配置设置被设置为 no，则 sepmd ‑t 不会截断更新文件。 如果将标记设置为 yes，即使没有订户到策略模型，命令也会截短更新文件。

• 如果使用 offset（手工剪切），可以通过运行带 ‑L 选项的 sepmd 找到偏移量。

  注意：必须使用 ‑L 参数所提供的确切偏移量来截断文件，而不是使用通过对起始偏移量进行减法运算而得出的偏移量。

• 如果您正在使用 auto，sepmd 计算出第一个未传播条目的偏移量，并在它之前删除所有条目。 使用 auto 可省去运行带 ‑L 参数的此实用程序的步骤。

如果订户在指定偏移量之前收到少于所有的更新，sepmd 则显示错误消息，且不会截短文件。 无论怎样，您就是想截短文件，请执行下列操作：

• 取消订阅未更新的主机
• 截短文件
• 重新将主机订阅到策略模型

如果执行此操作，订户将无法从策略模型接收一个或多个更新。 订户的偏移量就会更改直到更新文件的最后偏移量。

‑u

从策略模型订阅列表中删除订户。

auto

指示 sepmd 计算出第一个未传播条目的偏移量，并在它之前删除所有条目。

offset

使用 -s 或 -sm 选项，指定更新文件内的点，从该点新添加的订户开始接收更新。

使用 -t 选项，指定从更新文件开始到特定订户位置的距离。

使用 ‑C 选项可查看有效的更新偏移量。 如果您指定更新中间的偏移量，则将偏移量移到下次更新的开始。 如果您指定无效的偏移量（比第一个偏移量小或比最后一个大），则会出现错误消息。

pmd

指定策略模型的名称。

-predefined

指定用于预定义消息队列订户

subscriber?

指定订户工作站或订户 PMDB 的主机。