上一主题: 最初如何将策略发送到迁移端点下一主题: 迁移层级 PMDB

升级指南将 PMD 迁移到高级策略管理环境迁移过程的工作原理CA ControlMinder 如何将筛选文件应用于密码 PMD

CA ControlMinder 如何将筛选文件应用于密码 PMD

高级策略管理不支持使用密码管理命令的策略。 使用密码 PMD 在各端点之间同步密码以及分发密码管理规则。 在将密码 PMD 迁移到高级策略管理环境时,需要将筛选文件应用于密码 PMD,以便其仅将密码规则部署到其订户。

以下过程说明了 CA ControlMinder 如何将筛选文件应用于密码 PMD:

  1. CA ControlMinder 创建名为 filter.flt 的文本文件并在其中添加以下行: 
    #------------------------------------------------------------------------------
# access  	env	class	objects	properties           	pass/nopass
#------------------------------------------------------------------------------
  *      	*  	USER	*      	OLD_PASSWD;CLR_PASSWD	PASS
  *      	*  	*   	*      	*                    	NOPASS
#------------------------------------------------------------------------------
  2. CA ControlMinder 将 filter.flt 保存在密码 PMD 目录中。
  3. CA ControlMinder 将 filter.flt 的完整路径添加到下列位置中的 filter 配置设置中:

如何迁移到高级策略管理

通过迁移到高级策略管理环境,您可以部署和取消部署策略,以及查看策略的部署和偏差状态。

注意:高级策略管理不支持使用密码管理命令的策略。 必须使用密码 PMD 同步端点之间的密码以及分发密码管理规则。 不能将密码 PMD 迁移到高级策略管理环境。

在开始迁移过程之前,验证:

重要说明! 强烈建议在开始迁移过程之前备份 PMDB。

要从 PMD 环境迁移到高级策略管理环境,请执行以下操作:

  1. 安装企业管理服务器组件。

    高级策略管理环境的设置是企业管理安装过程的一部分。

  2. 将 PMD 主机升级到 CA ControlMinder r12.5 或更高版本。
  3. 迁移端点。
  4. 迁移 PMDB。

更多信息:

迁移过程的工作原理

迁移端点

迁移端点是从 PMD 环境迁移到高级策略管理环境这一过程的第三步。 在之前的步骤中,您已经:

在此步骤中,请迁移订阅迁移的 PMDB 的端点。

迁移端点

  1. 将端点升级到 CA ControlMinder r12.0 或更高版本。
  2. 在端点上运行以下命令以配置高级策略管理客户端组件: 
    dmsmgr -config -endpoint
dmsmgr -config -dh dh_name@host_name

    端点升级到高级策略管理环境。

更多信息:

dmsmgr -config 函数-配置高级策略管理

unsubs 命令 — 删除订阅者

迁移 PMDB

在迁移 PMDB 之前,建议您先了解在整个迁移过程的每个阶段中必须执行的步骤。 迁移 PMDB 只是将 CA ControlMinder 的企业部署迁移到高级策略管理环境这一过程中的一个步骤。

迁移 PMDB 是从 PMD 环境迁移到高级策略管理环境这一过程的最后一步。 在之前的步骤中,您已经:

在此步骤中,使用 CA ControlMinder 企业管理 从 PMDB 中的规则创建策略,为迁移的 PMDB 创建主机组,并将与 PMDB 订户相对应的主机加入到该主机组。 还可以选择将新策略分配给该主机组。

重要说明! 每次单击“下一步”按钮时,CA ControlMinder 企业管理 都会完成 DMS 或 PMDB 中的某个操作。 撤消这些操作的结果可能很困难。

迁移 PMDB

  1. 在 CA ControlMinder 企业管理 中,单击“策略管理”选项卡,单击“策略”子选项卡,展开策略树,然后单击“PMDB 迁移”。

    将显示“PMDB 主机登录”页面。

  2. 键入有权访问 PMDB 的用户名和密码以及要迁移的 PMDB 的名称,然后单击“登录”。

    格式PMDBname@host,例如,master_pmdb@example

    此时,“PMDB 迁移过程”页面将显示在“常规”任务阶段中。

  3. 填写以下字段,然后单击“下一步”:
    名称

    定义策略的名称。 此名称在 DMS 上必须是唯一的(强制性),在企业中也必须唯一(非强制性,但如果已存在相同名称的策略,您将无法将策略部署到主机)。

    说明

    (可选)定义策略的业务说明(自由文本)。 使用此字段记录该策略的用途,以及有助于您识别该策略的任何其他信息。

    策略类

    指定要导出其规则的类,以包含在策略中。 如果在“选定列表”列中未指定任何类,将导出所有类并包含在策略中。

    导出依存类

    指定以导出依赖于在“选定列表”列中指定类的所有类。 如果您不选择该选项,CA ControlMinder 仅导出您在“选定列表”列中指定的类。

    将显示“策略脚本”任务阶段。

  4. 查看导出的规则,并根据需要进行修改,然后单击“下一步”。

    CA ControlMinder 企业管理 将从这些规则创建策略。 将显示“主机组”任务阶段。

  5. 按如下方式填写该对话框,然后单击“下一步”:
    主机组

    指定要添加主机的主机组的名称。 可以指定现有主机组,或创建新的主机组。

    注意:在您将主机添加到现有主机组中时,CA ControlMinder 会将分配给主机组的任何策略自动部署到该主机。

    分配策略

    (可选)指定将策略分配给主机组。

    分配的主机

    指定要添加到主机组的主机。

    注意:默认情况下,此表包含您有权访问的迁移 PMDB 的所有订户。 您可以在“分配的主机”列表中添加和删除主机;但是,如果您无权访问某主机,则无法将该主机添加到主机组中。

    CA ControlMinder 企业管理 会将这些主机添加到主机组中,如果已指定,还会将策略分配给主机组。 “PMD 选项”任务阶段随即出现。

  6. 选择要应用到迁移 PMDB 的以下任何选项:
    取消订阅在第 3 步(“主机组”步骤)中指定的主机

    指定从迁移的 PMDB 取消订阅在前一个任务阶段中选择的端点。

    取消订阅所有 PMDB 订户

    指定取消订阅迁移的 PMDB 的所有订户。

    删除 PMD

    指定删除迁移的 PMDB。

    重要说明! 如果您使用 PMDB 来传播用户密码命令,请不要删除它。

    添加 PMD 筛选文件

    指定将筛选文件添加到迁移的 PMDB 中,以便 PMDB 只将用户密码命令传播到其订户。 如果您选择该选项,迁移的 PMDB 会成为密码 PMDB。

  7. 单击“下一步”。

    CA ControlMinder 将执行您指定的操作。 将显示“迁移操作摘要”任务阶段,迁移过程随即完成。

更多信息:

如何创建和分配策略

policydeploy -migrate 函数-将 PMD 迁移到高级策略管理

类依存关系

从 PMDB 导出指定类的规则时,可以选择还同时导出依存类的规则。 如果指定 CA ControlMinder 应该导出依存类,CA ControlMinder 将导出以下内容:

DMS 中显示重复的 HNODE

症状:

在将 PMD 迁移到高级策略管理环境后,DMS 中创建了两个代表同一端点的 HNODE。

解决方案:

端点的完全限定主机名在 DMS 与端点上有所不同。 要修复此问题,请删除 DMS 中的其中一个 HNODE 对象。

注意:有关 HNODE 对象和 DMS 的详细信息,请参阅《企业管理指南》