在 [seos] 部分中,标记确定由 CA ControlMinder 使用的全局设置。
指定存储 CA ControlMinder 安全管理员 ruler 和其他配置文件的目录。
默认值:ACInstallDir/data
确定登录授权方法。 有效值为:
native-登录时,将对照 UNIX 密码或影子文件来检查用户密码。
eTrust-当用户在本地环境中不存在时,对照 CA ControlMinder 数据库检查用户密码。
PAM-当用户在本地环境中不存在时,通过 PAM 模块检查登录。 这仅在支持 PAM 的计算机上得到支持。 PAM 用于验证用户,例如:LDAP 定义的用户。
默认值:native
定义允许在本地身份验证之外进行验证的语言客户端模块。 此标记在身份验证前由 Ica API 调用内的客户端设置。 更改此标记可以影响非本地模式的其他客户端验证。
无默认值。
指定 PMDB 是否使用快速数据库复制设备。
有效值为:
no-使用旧设备。
yes-使用快速数据库复制设备。
默认值:yes
指定使用四位数字或后两位数字显示年份的格式。
例如:如果将该标记设置为 yes,则将显示 2000,而不是 00。
有效值包括:
yes-四位数字
no-两位数字
该标记影响由 secons -tv、dbmgr -d 以及 seaudit 实用程序产生的输出。
默认值:yes(四位数字)‑
定义搜索库的辨别名称,此名称用于通过启用了 LDAP 的 CA ControlMinder 实用程序(例如:sebuildla)在 LDAP 目录信息树 (DIT) 中查询用户数据。
例如:您可以使用以下格式,并使用您自己的内容来替换输入内容:
o=organization_name,c=country_name
默认值:不设置标记
重要说明! 要设置 sebuildla 和所需的 LDAP 配置设置,您必须熟悉 LDAP 并能够执行 ldapsearch 命令。 建议您阅读 ldap(1)、ldapsearch(1) 的说明页面以及 LDAP 客户端文档中关于设置的信息。
定义 LDAP 服务器正在为 CA ControlMinder 启用 LDAP 实用程序而运行的以空格分隔的主机名列表。
默认值:不设置标记 (localhost)。
定义 Netscape 样式证书数据库所在的目录。
在平台(使用 LDAP over SSL (Solaris) 的 Netscape LDAP SDK API)上,sebuildla 需要该标记。 要使 sebuildla 工作,证书数据库必须包含 LDAP 服务器的有效证书。
注意:sebuildla 将结合使用 LDAP over SSL 和服务器身份验证,即不进行客户端身份验证。 请参阅 PKI 工具包文档,以了解设置安全服务的详细信息。
默认值:/.netscape
定义密钥数据库文件的名称。
注意:此设置仅针对 AIX,因为 AIX 密钥数据库可以有任意名称(与 Netscape 安全数据库相反,根据实施版本,有像 certX.db 和 keyY.db 一样的名称,因此仅需要 ldap_certdb_path 用于查找他们)。
默认值:不设置标记
指定 CA ControlMinder 用于访问 LDAP 服务的启用 LDAP 实用程序的捆绑方法。
默认情况下,sebuildla 将简单身份验证用于所有安全机制。 在简单身份验证中,ldap_userdn 和相应凭据被传送到 LDAP 服务器。 sebuildla 以加密形式将用户凭据存储在 ACInstallDir/etc 的 ldapcred.dat 中。这两个参数与 LDAP 服务器要求的帐户和密码组合近似。
注意:对于 SASL 或 TLSv.1/SSL,请参阅 LDAP 服务器文档。 对于要生效的特殊 ldap_method 设置,相应的机制必须在执行 sebuildla(即,具有 TLS/SSL 操作,有效证书应安装在服务器和客户端上)的计算机上部署的本地 LDAP 客户端中得到支持并进行配置。
有效值为:
0-标准 LDAP
1-SASL (RFC 2222)
2-LDAPS(LDAP over SSL-仅服务器身份验证。)
注意:您使用的方法确定您设置 ldap_userdn 标记和其相应凭据的方式(通过 seldapcred 实用程序)。
默认值:0
为 CA ControlMinder 的启用 LDAP 实用程序定义 LDAP 服务器端口。 如果 LDAP 服务器未使用标准的 LDAP 端口 (389),则更改此标记。
默认值:不设置标记 (389)。
定义 sebuildla 在每个批处理查询中检索的 LDAP 条目的最大数。
不想更改 LDAP 服务器端大小限制参数时,请使用此标记。 通常,sebuildla 尝试检索一个实例中的所有数据,如果有无数用户条目,就有可能超过服务器的大小限制,且可能导致 LDAP 操作失败。 如果设置 ldap_query_size,sebuildla 不需针对未失败的操作检索所有条目。 如果用户条目的总数大于 ldap_query_size 或服务器端大小限制,那么检索到的条目数与这两个设置的下限数目相符。
重要说明! 启用批处理查询会影响 sebuildla 的性能。 考虑仅在 LDAP 环境在 DIT(目录信息树)中有无数的用户数据(数千条目)的地方使用此设置。
注意:有关服务器端 LDAP 控制的信息,例如:OpenLDAP 服务器 (slapd)、大小限制参数,请参阅 LDAP 服务器文档。
默认值:不设置标记(空)
定义启用了 LDAP 的 CA ControlMinder 实用程序在绑定到 LDAP 服务并获得 LDAP 搜索结果时需等待的最长时间(秒),超过该时间即中断连接。 从 LDAP 服务检索信息所需的时间取决于 LDAP 服务的速度以及存储在 DIT 中的用户数据量。 使用此标记对这些方面进行说明。
注意:您也可能需要调整服务器端 LDAP 控件,以避免截短搜索结果。 例如:对于 OpenLDAP 服务器 (slapd),您需要调整大小限制参数。 有关详细信息,请参阅 LDAP 服务器文档。
默认值:不设置标记 (15 秒)
定义在 LDAP DIT 中包含用户名的属性名称。 RFC 2307(使用 LDAP 作为网络信息服务的方法)指定 uid 作为属性,这是该标记的默认值。 更改此标记可防止支持 LDAP 的 CA ControlMinder 实用程序使用具有非标准架构的 LDAP DIT。
默认值:不设置标记 (uid)。
定义在 LDAP DIT 中包含 UID 号的属性名称。 RFC 2307 指定 uidNumber 作为属性,这是该标记的默认值。 更改此标记可让 CA ControlMinder 启用 LDAP 实用程序针对具有非标准架构的 LDAP DIT 进行操作。
默认值:不设置标记 (uidNumber)。
定义在 LDAP DIT 中包含用户数据的对象类名称。 RFC 2307 指定 posixAccount 作为对象类,这是该标记的默认值。 更改此标记可让 CA ControlMinder 启用 LDAP 实用程序针对具有非标准架构的 LDAP DIT 进行操作。
默认值:不设置标记 (posixAccount)。
定义 CA ControlMinder 启用 LDAP 实用程序用于从 LDAP DIT 检索用户数据的 LDAP 用户的可分辨名称 (DN)。 基于 RFC 2307,CA ControlMinder 期望在 DIT 的 ou=People 级别的 uid 和 uidNumber 属性中找到用户数据。 由于安全原因,建议您仅授予此用户 (ldap_userdn) 访问此数据的权限。
如果允许匿名访问 DIT,您可以将此标记保留为空。 否则,您必须设置此标记,并必须运行 CA ControlMinder 启用 LDAP 实用程序的 seldapcred 实用程序,以便对 LDAP 服务进行验证(您只需要操作一次,因为 seldapcred 将加密的凭据存储在文件中以备再次使用)。
例如:按如下所示设置此标记:
ldap_userdn = uid=user1,ou=People,dc=myCompany,dc=com
默认值:不设置标记
指定是否从 LDAP 目录信息树 (DIT) 检索用户信息。
限制:yes、no
默认值:no
指定是否启用涉及 sebuildla 获取用户数据的 LDAP 操作的详细帐户信息。
请在 sebuildla 中设置 LDAP 数据检索或疑难解答时使用此设置。
有效值禁用 0;启用非零整数。
默认值:0
确定 CA ControlMinder 后台进程和实用程序所使用的语言。 CA ControlMinder 可以用几种语言运行。
支持的语言包括:C、日语、简体中文、繁体中文‑
有关语言的完整列表,请参阅 /etc/ca/localeX/calocmap.txt;在 Linux 中,请参阅 /opt/CA/SharedComponents/cawin/locale/。
默认值:C
仅在 SOLARIS、HP-UX 和 LINUX 上有效。
指定本地主机是否启用 PAM 在 LDAP 数据库中进行身份验证和密码更改。
要进行操作,它会检查是否可以动态加载 PAM 库(该库必须在系统中存在)。
有效值是:“no”、“yes”。
默认值:yes
定义此计算机接受更新的策略模型数据库 (PMDB) 的以逗号分隔列表。 本地 CA ControlMinder 数据库拒绝未在该列表中指定的任何 PMDB 的更新。
也可以指定一个包含行分隔 PMDB 列表的文件路径。
针对本地 CA ControlMinder 数据库,将此标记设置为“_NO_MASTER_”接受任何 PMDB 的更新。
如果您不设置此标记,本地 CA ControlMinder 数据库不接受任何 PMDB 的更新。
按 pmd_name@hostname 格式指定每个 PMDB
例如:
parent_pmd = pmd1@host1,pmd2@host1,pmd3@host2 parent_pmd = /opt/CA/AccessControl /parent_pmdbs_file
默认值:不设置标记(数据库不接受 PMDB 的更新)。
注意: sepass 不在 parent_pmd 标记上支持多个目标。
指定 sepass 将密码更新发送到的 PMDB。
如果不设置此标记,它将继承 parent_pmd 标记的值。
格式为 pmd_name@hostname。
parent_pmd 和 passwd_pmd 标记可具有相同的值。 如果 parent_pmd 和 passwd_pmd 标记中的值不相同,那么 passwd_pmd 数据库将其更新发送到 parent_pmd 数据库用于分发。 因此,parent_pmd 数据库必须是 passwd_pmd 数据库的子项(订户)。
无默认值。
注意: sepass 不在 passwd_pmd 标记上支持多个目标。
控制 seagent 识别连接客户端的方式。
有效值包括:
yes-seagent 查找开放客户端套接字的 IP 地址。
no-seagent 使用从客户端接收的主机名;seagent 不解析任何主机名。 (通过禁用 TERMINAL 类可以达到同样的效果。)
默认值:yes
指定用作针对用户(不在主要目标 (passwd_pmd) 中定义)密码替换的次要目标的 PMDB。
格式为 pmd_name@hostname。
无默认值。
指定 CA ControlMinder 的安装目录。
如果 CA ControlMinder 未在 NFS 挂接文件系统中,则可以在任何目录中安装。‑
默认值:ACInstallDir
指定 CA ControlMinder 是否应将其 ACL 权限与 ACL 和本地 UNIX 系统的其他权限同步(如果他们存在)。
有效值包括:
no-不将 UNIX 文件权限与 CA ControlMinder ACL 进行同步。
warn-不同步 ACL 权限,但是如果 CA ControlMinder 中的权限与 UNIX 发生冲突,则发出警告。
traditional-根据 CA ControlMinder ACL 更改组和所有者的 rwx 权限,并在所有其他情况下发出警告。
acl-根据 CA ControlMinder ACL 更改本地文件系统 ACL(在支持 ACL 的平台上)。
force-函数与 traditional 或 acl 相同(在支持 ACL 的平台上),但是也强制将 defaccess 映射到“其他”权限。
注意:在 HP-UX 和 Sun Solaris 2.5(及以上版本)中,为文件系统 ACL 提供支持。 在其他平台和操作系统版本上,只支持文件的传统权限模式。
默认值:no
指定是否使用特殊的 Unicenter TNG 类和资源创建数据库。
有效值包括:
0-在不使用特殊 Unicenter TNG 类的情况下创建数据库。
1-使用所有特殊的 Unicenter TNG 类创建数据库。
默认值:0
指定 Unicenter TNG 的安装目录。
有效值是基础 Unicenter TNG 目录(或 .uniprodloc)。
无默认值
指定 CA ControlMinder 所在的物理目录。 CA ControlMinder 目录可是其他物理位置的符号链接。 此标记指向安装 CA ControlMinder 的实际物理位置。
默认值:ACInstallDir
确定是否需要 RPC portmapper。 如果在使用旧的 (1.43) CA ControlMinder 协议,需要 RPC portmapper 的存在。 需要旧协议来支持 NIS+ 密码更改。
此标记替换old_protocol 标记。
有效值包括:
yes-使用 RPC portmapper 来指定端口。
no-使用由 ServicePort 标记指定的端口。
默认值:no
|
版权所有 © 2013 CA。
保留所有权利。
|
|