UNIX 安装参数文件-自定义 UNIX 安装

实施指南 › 安装和自定义 UNIX 端点 › 开始之前 › UNIX 安装参数文件-自定义 UNIX 安装

UNIX 安装参数文件-自定义 UNIX 安装

UNIX 参数文件包含可以根据要求进行自定义的安装参数。参数文件包含 CA Control Minder 包特定区域的可自定义参数。对于要使特定参数生效，必须设置相应的 shell 变量。

参数文件符合 shell 语法且必须包含键=值对。使用要安装的包的参数文件。

此文件格式如下：

ADMIN_USERS

将用户定义为安全管理员。

注意：安全管理员可以将访问权限分配给授权用户，管理特权用户密码，并报告用户活动情况。

值：以空格分隔的用户 ID 列表，none

默认值：none（仅将 root 定义为安全管理员）

API_INSTALL

指定是否安装 API 包。

值：yes、no

默认值：no

APMS_ADMIN_USERS

定义除本地主机之外的高级策略管理服务器组件的管理员。

值：以空格分隔的用户列表，none

默认值：none

APMS_DESKTOP

定义除本地主机之外的高级策略管理服务器组件的管理计算机。

值：以空格分隔的计算机列表，none

默认值：none

APMS_DIST_MODE

定义高级策略管理服务器是否正在以分布模式运行。

值：yes、no

默认值：no

AUDIT_BK

指定是否要保留审核文件的带有时间戳的备份。

注意：

指定“yes”以将审计数据发送到报告服务器。
到达指定的大小限制时，CA Control Minder 会备份审核文件。

值：yes、no

默认值：no

AUDIT_GROUP

指定读取 CA Control Minder 审核文件的组的名称。

值：任何现有组名，none。

默认值：none（仅 root 可以读取审核文件）

注意：除非您使用 CA Control Minder 访问规则拒绝访问，否则 root 用户可以读取审核文件。

CLIENT_INSTALL

指定是否安装客户端包。

值：yes、no

默认值：yes

DH_NAME

定义高级策略管理服务器组件主机上端点的分发主机 (DH) 名称。

值：以空格分隔的 DH 列表，采用格式 dh1@host1 dh2@host1，none

默认值：none

DIST_SRV_HOST

定义消息队列主机名。

值：以逗号分隔的有效主机名列表，none

默认值：none

DIST_SRV_PORT

定义消息队列端口。

值：7243（对于 ssl 协议），7222（对于非 ssl 协议）

默认值：7243

DIST_SRV_PROTOCOL

定义消息队列通信协议。

值：ssl、tcp

默认值：ssl

DRDH_NAME

定义端点灾难恢复分发主机 (DR DH) 的名称。

值：以空格分隔的 DR DH 列表，采用格式 dr_dh1@drhost dr_dh2@drhost，none

默认值：none

ENABLE_ELM

指定 CA Control Minder 是否将端点审核数据发送给报告服务器。

注意：如果您指定“yes”，则将 CA Control Minder 设置为保留审核备份 (AUDIT_BK=yes)。

值：yes、no

默认值：no

ENABLE_KBL

指定 CA Control Minder 是否启用 KBL 审核记录管理器。

值：yes、no

默认值：no

ENCRYPTION_METHOD_SET

定义是否使用对称加密、不对称加密（公钥），或两种加密。

值：1（对称密钥），2（公钥），3（公钥和对称密钥）

默认值：1

注意：

对于公钥加密，您需要根证书。
对于对称加密，要选择加密方法（TRIPLEDES、DES 或 AES）。
要仅配置 FIPS 加密，请将 FIPS_ONLY 参数设置为“yes”。

重要说明！ 加密方法在所有 CA Control Minder 主机上必须相同。早期版本的 CA Control Minder 在默认情况下配置简单的对称加密方法。

ETC_SEOS_SYMLINK

定义是否在指向 CA Control Minder 安装目录的 /etc 目录中创建链接。

值：yes、no

默认值：yes

FIPS_ONLY

指定 CA Control Minder 是否以仅 FIPS 模式工作。

注意：在此模式下，已禁用所有非 FIPS 功能，仅将加密方法设置为 FIPS。

值：yes、no

默认值：no

FORCE_ENCRYPT

指定安装是否警告关于使用非默认加密密钥。

注意：升级完成后，您的加密密钥将设置为默认值。

值：yes、no

默认值：no

FORCE_INSTALL

指定是否针对相同 CA Control Minder 版本的现有安装实施强制安装。 FORCE_INSTALL 也指定安装目录是否不同于在新 CA Control Minder 包中设置的安装目录。

值：yes、no

默认值：no

FORCE_KERNEL

指定安装是否警告何时无法卸载旧的内核模块。

注意：如果您指定“no”，在升级完成之后会重新启动系统。

值：yes、no

默认值：no

INST_PHASE1

指定是否安装基准安全包。

注意：

基准安全包定义保护操作系统的基本规则。
使用 install_baseline.sh 实用工具安装后，您可以安装基准安全包。
要在安装测试时段（建议）后激活规则保护，请禁用警告模式。

值：yes、no

默认值：no

INSTALL_ACCOUNT_MNG

指定是否要配置 JCS 代理

注意：要配置 AccountManager，请设置分发服务器参数。

值：yes、no

默认值：no

INSTALL_APMC

指定是否为高级策略管理配置端点。

注意：必须将每个 CA Control Minder 端点配置为从高级策略管理服务器组件接收更新。

值：yes、no

默认值：yes

INSTALL_APMS

指定是否安装高级策略管理服务器组件，以便集中管理策略部署。

注意：我们建议在中央计算机上安装高级策略管理服务器组件。

值：yes、no

默认值：no

INSTALL_PUPM

指定是否要配置 PUPM 代理。

值：yes、no

默认值：no

INSTALL_RA

指定是否要配置端点消息队列。

值：yes、no

默认值：no

JAVA_HOME

定义到已安装 Java 环境的路径。

注意：Java 环境路径取决于版本和平台。例如，Linux390 上安装的 IBM J2SE 版本 5.0，JAVA_HOME=/opt/ibm/java2-s390-50/jre 。

值：已安装 Java 环境的路径

默认值：java_home（accommon.ini 的值在安装期间设置）

JCS_SERVER_DN

指定 JCS 服务器可分辨名称 (DN)。

值：有效的 DN 格式字符串

默认值：dc=im，dc=etasa

JCS_SERVER_PORT

指定 JCS 端口。

值：端口号

默认值：20411

JCS_SSL

定义 JCS 通讯协议。

值：yes（对于 SSL 连接），no

默认值：yes

JCS_USER_DN

指定 JCS 管理用户可分辨名称 (DN)。

值：任何有效的 DN 格式字符串

默认值：cn=root,dc=etasa

JCS_USER_PSSWD

指定 JCS 管理用户密码。

注意：通配符 (*) 在安装后替换 JCS_USER_PSSWD。

值：任何有效的 DN 格式字符串

默认值：无默认值

LANG

定义 CA Control Minder 安装语言。

示例：要安装支持日语 EUC 的 CA Control Minder，LANG=ja_JP。有关支持语言的完整列表，请使用命令 locale -a。

注意：

要安装本地化的 Hp-ux 包，请设置此标记。
如果您指定此参数，则会忽略安装程序 LANG 环境变量。

值：支持的语言字符串

默认值：English

LIB_ENCRYPTION

定义用于保护 <eCA> 程序和 CA Control Minder 已安装主机之间通讯的加密方法。

注意：

加密方法在相互通讯的所有 CA Control Minder 主机上必须相同。
此选项要求将 SET_SYMMETRIC 设置为“yes”。

值：99 (AES2526)、1 (SCRAMBLE)、2 (DES)、3 (TRIPLEDES)、4 (AES128)、5 (AES192)

默认值：99

LIC_CMD

定义接受许可协议的命令。

注意：

可在方括号的许可协议内找到此命令。
许可协议文件是：eACLicenseAgreementUNIX_english_cp1252.txt

重要说明！ 安装 CA Control Minder 要求 LIC_CMD 命令。

LIC_INTALL_DIR

定义 CA 许可安装位置。

值：任何绝对路径名。

默认值：/opt/CA/SharedComponents（与 lic98 默认值相同）

LOG_FILE_NAME

定义在 $SEOSDIR 中创建的安装日志文件名。

值：任何有效的文件名。

默认值：AccessControl_install.log

MFSD_INSTALL

指定是否安装大型机同步支持后台进程。

值：yes、no

默认值：no

NO_TNG_INT

指定是否设置 selogrd/TNG 集成。

值：yes（尝试设置 selogrd/TNG 集成），no（selogrd/TNG 集成不发生）

默认值：no

OS_USERS

指定操作系统数据库管理员。

值：以空格分隔的用户列表，none

默认值：none

PARENT_PMD

定义此计算机接受更新的策略模型数据库 (PMDB) 列表。

注意：本地 CA Control Minder 数据库拒绝未在该列表中指定的任何 PMDB 的更新。

值：_NO_MASTER_ （本地数据库接受任何 PMDB 的更新），以逗号分隔的 PMDB 列表，采用格式 pmd1@host1, pmdb2@host1 ，到文件（包含以行分隔的 PMDB）的路径，none（本地数据库不接受任何 PMDB 的更新）。

默认值：none

PASSWD_PMD

指定 sepass 发送密码更新的策略模型数据库 (PMDB)。

值：采用格式 pmd_name@hostname 的 PMDB，none

默认值：none

注意：

密码更新支持密码历史记录检查。
如果您不设置 PASSWD_PMD，则会继承 PARENT_PMD 的值。
PARENT_PMD 和 PASSWORD_PMD 标记可具有相同的值。
如果 PARENT_PMD 和 PASSWORD_PMD 的值不相同，那么 PARENT_PMD 数据库必须是 PASSWORD_PMD 数据库的子项（订户）。

POSTEXIT

定义在运行后安装脚本之后，要执行的完整程序或脚本路径名。

值：yes，路径名

默认值：no

PREINSTALL

定义在运行后安装脚本之前，要执行的完整程序或脚本路径名。

值：yes，路径名

默认值：no

PRIMARY_ENTM_NAME

定义主要企业管理服务器主机名。

值：字符串，none

默认值：none

PROVIDE_OR_GEN_CERT

指定您是否生成新的主题证书和密钥，还是提供现有主题证书和密钥。

注意：

要设置 SSL，请提供证书和密钥和根证书。
根证书必须在使用 SSL 通讯的所有计算机中通用。
您可以自动从默认证书或您提供的证书生成主题证书和密钥。您还可以将 CA Control Minder 指向现有证书。

值：1 （生成主题证书和密钥），2（提供现有证书和[密钥）

默认值：1

PWFORCE

在 PMDB 更新正在进行时，定义升级行为。

注意：

如果您升级 CA Control Minder，也会升级策略模型更新文件。
如果 sepmd -n 命令正在运行，包安装则会中止以便使 sempd 完成处理。您可以将此参数设置为“yes”以便强制安装继续，但是正在进行的 sepmd 可能不会正常完成。

值：yes、no

默认值：no

REPORT_SHARED_SECRET

定义消息队列 SSL 身份验证的共享密钥。

注意：通配符 (*) 在安装后替换共享密钥。

值：任何字符串

默认值：空值

REPORT_SRV_QNAME

定义发送报告的队列名称。

值：表示队列名的字符串

默认值：queue/snapshots

REPORT_SRV_SCHEDULE

定义生成报告并将其发送到服务器的时间。

值：采用格式 time@day, day 表示时间和日期的字符串

示例：19:22@Sun, Mon. （此示例在每个周日和周一的 19:22 生成报告）。

默认值：00:00@Sun, Mon, Tue, Wed, Thu, Fri, Sat

ROOT_CERT_KEY

指定用于主题密钥生成的公钥。

值：主题证书文件的完整路径名，默认值

默认值：默认值（与安装软件包一起提供的密钥）

ROOT_CERT_PATH

指定用于主题证书生成的根证书。

值：主题证书文件的完整路径名，默认值

默认值：默认值（与安装软件包一起提供的根证书）

SELINUX_POLICY

指定 UNIX 身份验证代理是否在安装期间激活 SELinux 策略。

值：yes、no

默认值：no

SEOS_GROUP

定义拥有 CA Control Minder 文件的组的名称。

值：任何现有组名。

默认值：root

SERIAL_NUM

定义主题证书序列号。

注意：要定义主题证书序列号，CA Control Minder 使用默认值或接受您的输入。

值：有效的序列号，0003ba39cc23

限制： 3-247 个字符

默认值：0003ba39cc23

SERVER_INSTALL

指定是否安装服务器包。

值：no、yes

默认值：yes

SET_SYMMETRIC

指定是否更改默认对称加密方法。

注意：

加密保护 CA Control Minder 程序和 CA Control Minder 已安装主机之间的通讯。
建议（默认）的加密方法是公钥和对称方式的组合。
为了配置对称加密，请设置 LIB ENCRYPTION。

值：yes、no

默认值：yes

SUBJECT_CERT_KEY_PATH

指定公钥位置。

值：主题证书文件的完整路径名

默认值：SEOSDIR>/data/crypto/sub.key

SUBJECT_CERT_PATH

指定主题证书位置。

注意：要生成主题证书，请指定文件位置。

值：主题证书文件的完整路径名

默认值：SEOSDIR>/data/crypto/sub.pem

SUBJECT_EXP_DATE

定义主题证书截止日期。

注意：要定义主题证书截止日期，CA Control Minder 会使用默认值或接受您的输入。

值：采用格式 mm/dd/yy 的日期

默认值：12/31/35

SUBJECT_NAME

定义主题证书名称。

注意：要定义主题证书名称，CA Control Minder 会使用默认值或接受您的输入。

值：LDAP 格式名称，cn=any.string

限制：3-63 个字符

默认值：c=any.string

TNG_INSTALL

指定是否安装 Unicenter 集成和迁移软件包。

注意：此包使用 CAUTIL，工作负荷管理和 Unicenter 的事件管理组件来支持 CA Control Minder 集成和迁移。

值：yes、no

默认值：no

UPDATE_ENCRYPT

指定是否更改在 CA Control Minder 程序和 CA Control Minder 已安装主机之间保护通讯的默认加密方法。

值：yes、no

默认值：yes

UPDATE_PROFILE

定义 CA_LIC 是否使用 profile.ca loading 更新文件 /etc/profile。

值：yes、no

默认值：yes

UPGRADE_KERNEL_UNLOAD

指定安装程序是否在安装不同版本的 CA Control Minder 时将尝试停止和卸载现有版本 CA Control Minder。

值：yes、no

默认值：yes

USE_OSUSER

启用操作系统用户支持。

注意：操作系统用户在操作系统存储库中定义，而非 CA Control Minder 数据库中。如果启用操作系统用户支持，您可以引用在 CA Control Minder 数据库中未定义的用户。

值：yes、no

默认值：yes

USE_STOP

指定是否启用 CA Control Minder 的 STOP（堆栈溢出保护）功能。

值：yes、no

默认值：no

USE_UXIMPORT

指定 CA Control Minder 是否将本机用户和组导入数据库。

值：yes、no

默认值：no

注意：导入过程使用本地主机文件或本地的 NIS 映射作为信息来源。需要导入用户和组的时间取决于定义的用户、组和主机的数量。您在使用 UxImport 实用工具安装之后，也可以将此数据导入 CA Control Minder 数据库。

UserBrandZone

（仅 Solaris 10）指定 CA Control Minder 安装在标记区域上，或安装在已配置已安装 CA Control Minder 的标记区域上。

注意：如果您将此值设置为“yes”，那么安装会更改内核通讯模式以便使用 iotcl，而不是 sysscall。

值：yes、no

默认值：no

WITH_DNS

指定是否使用 DNS 在安装期间创建主机相似数据库。

值：yes、no

默认值：yes