参考指南 › 实用程序 › sepmdadm 实用程序－创建 PMDB 定义

sepmdadm 实用程序－创建 PMDB 定义

在 UNIX 上有效

sepmdadm 实用程序可创建运行 PMDB 所需的定义。 sepmdadm 实用程序是一个脚本，包括定义 PMBD、定义该 PMDB 与它上方和下方的 PMDB 的关系，以及定义其订户工作站所需的 CA ControlMinder 和 UNIX 命令。 默认情况下，会将 root 用户定义为 PMDB 的管理员和审核员。 虽然也可以通过远程 shell 运行 sepmdadm 实用程序，但您必须在本地运行它。 使用 sepmdadm 创建新的 PMDB 后，接下来可能需要将订户指向该 PMDB 以及将 UID 和 GID 同步。

可以在交互模式或非交互模式下运行此实用程序：‑

• 在非交互模式下，在命令行中输入参数。‑ 该实用程序根据它收到的值构建 PMDB 及其层级结构。
• 在交互模式下，无需在命令行中输入参数。 sepmdadm 实用程序会询问用户是否希望使用交互模式。 如果用户回答“y”，则该实用程序会继续要求用户提供选项值。

使用 sepmdadm 创建新的 PMDB 时，需识别作为策略模型订户的工作站。 但是，还必须使用工作站订阅的 PMDB 的名称更新每个订户的 seos.ini 文件中的 parent_pmd 标记。 如果不执行此操作，则订户将不接受来自 PMDB 的更新。

通过为多个工作站订阅同一 PMDB，以及通过为一个 PMDB 工作站订阅另一个 PMDB 工作站，可以创建 PMDB 的层次结构。

此命令格式如下：

sepmdadm options

-‑admin name

定义 PMDB 的 CA ControlMinder 管理员。

-‑auditor name

定义 PMDB 的 CA ControlMinder 审核员。

‑c | -‑clean pmdbName

删除指定的策略模型。 此选项可关闭策略模型后台进程、移除数据库中的文件保护，以及删除策略模型目录及其所有内容。

不能将此选项与 -‑noconfirm 选项一起使用。

-‑desktop hostname

指定管理员可用于管理位于本地主机上的 PMDB 的工作站。 如果不指定任何工作站，则管理员只能通过本地主机管理 PMDB。

-‑group_fname fileName

定义组文件在 NIS 下的位置。

‑h | -‑help

显示帮助屏幕。

‑i | ‑-interactive

以交互模式运行 sepmdadm。

-l

指定在本地模式下运行 sepmdadm，这意味着您可以在 CA ControlMinder 未运行时创建 PMDB。

注意：除非您指定此选项，否则必须让 CA ControlMinder 运行才能使用 sepmdadm。

-‑nis | --NIS

在策略模型上执行 NIS 安装。 如果 NIS 服务器上安装了 PMDB，则必须使用此选项。

-‑noconfirm

指定不要求用户确认回答。 此选项可用于在非交互模式下从 shell 脚本调用 sepmdadm。‑

-‑parentpmd pmdbName

指定该 PMDB 订阅的父 PMDB 的名称。 如果将此参数与 ‑subsconfig 参数一起使用，sepmdadm 会更新 seos.ini 文件中的 parent_pmd 标记。 如果使用此参数但不使用 ‑‑subsconfig 参数，sepmdadm 会更新 pmd.ini 文件中的 parent_pmd 标记。

注意：如果您要定义多个父策略模型，则必须使用引号。 例如：要创建一个“策略模型”并定义其父项，请使用以下命令：

sepmdadm --pmdname subs2 --admin abc123 --admin root --auditors abc123 --desktop pcp36949 \
--parentpmd "aa@pcp36949,bb@pcp36949"

-‑passwd_fname fileName

定义 passwd 文件在 NIS 下的位置。

-‑passwdpmd pmdbName

指定 sepass 将密码更新发送至的 PMDB。 此选项可更新 seos.ini 文件 [seos] 部分中的 passwd_pmd 标记。

注意：仅当同时使用 -‑subsconfig 开关参数时，才能使用此参数。

创建多级别策略模型时，在最顶层将此参数设置为 PMDB，以便可以将密码更改传播到 PMDB 系统中的所有级别。‑

-‑pmdname pmdbName

指定要创建的 PMDB 的名称。

-‑pwmanager name

指定 PMDB 的 CA ControlMinder 密码管理员。

-‑seosdir directory

指定 CA ControlMinder 的安装目录。 仅当 CA ControlMinder 未安装在默认目录中时，才使用此选项。

-‑subsconfig

指定本地工作站为订户。 使用此参数时，必须指定参数 --parentpmd pmdbName 和 --passwdpmd pmdbName ，以更新 seos.ini 文件中的相关标记。

注意：配置订户时，这些参数应跟在 ‑subsconfig 选项之后。

-‑subscriber name

指定此 PMDB 的订户。 它们可以是 PMDB 或工作站。

-‑xadmin name

定义 PMDB 的企业用户管理员。

-‑xauditor name

定义 PMDB 的企业用户审核员。

-‑xpwmanager name

指定 PMDB 的企业用户密码管理员。

示例：使用命令行创建 PMDB

假设您有一个名为 bigcentral 的工作站，您要在其中维护一个其他工作站要订阅的 PMDB。 要在 bigcentral 中创建 PMDB，请在此处运行 sepmdadm。 此实用程序位于目录 ACInstallDir/bin 中。

要在 bigcentral 中创建名为 pmdb1 的 PMDB，并将 workstat1 和 workstat2 作为订户，将企业用户 adm1 和 adm2 作为管理员，请通过 bigcentral 运行以下命令：

sepmdadm --pmdname pmdb1 --subscriber workstat1 --subscriber workstat2 \

--xadmin adm1 --xadmin adm2

示例：将订户工作站指向 PMDB

要将某个工作站建立为 PMDB 的订户，只在 PMDB 的工作站中指定订户的名称是不够的，还必须在订户工作站中执行一个程序。

要使用命令行为本地工作站订阅 PMDB，必须使用参数 --parentpmd 和 --passwdpmd 以及参数 --subsconfig。

例如：要为本地工作站订阅位于 HOST2 的名为 pmdb2 的 PMDB，以及位于 HOST1 的名为 master1 的密码 PMDB，请输入以下命令：

sepmdadm --subsconfig --parentpmd pmdb2@HOST2 --passwdpmd master1@HOST1

更多信息：

UID/GID 同步

策略模型更新订户的方式