参考指南 › 配置文件 › uxauth.ini 文件 › agent

agent

[agent] 部分包含用于控制各种 UNAB 参数的标记。

ac_registration_interval

定义在 CA ControlMinder 端点中注册 UNAB 的时间间隔（秒）。 值为 0 表示不注册。

默认值：60

注意：只有当 UNIX 主机上安装了 CA ControlMinder 时，UNAB 才会尝试在端点中注册。

ad_group_deny_gid_list

定义无法登录的 Active Directory 组的 GID（逗号分隔）。

示例：ad_group_deny_gid_list = 11,14

注意：此参数仅在完全集成模式下有效。

默认值：不设置标记（无默认值）

ad_group_minimal_gid

定义可以登录的 Active Directory 组的最小 GID。

注意：此参数仅在完全集成模式下有效。

默认值：不设置标记（无默认值）

ad_user_deny_uid_list

定义无法登录的 Active Directory 用户的 UID（逗号分隔）。

示例：ad_user_deny_uid_list = 12,37

注意：此参数仅在完全集成模式下有效。

默认值：不设置标记（无默认值）

ad_user_minimal_uid

定义可以登录的 Active Directory 用户的最小 UID。

注意：此参数仅在完全集成模式下有效。

默认值：不设置标记（无默认值）

agent_open_files_max

指定打开文件的最大数目，UNAB 代理可以使用。 如果超过最大值，UNAB 代理重新启动。

默认值：100

示例：agent_open_files_max = 100

agent_restart_delay

指定 uxauthd 重新启动以从关键问题恢复时的时间（以分钟为单位）。

值：正整数或 -1，取消 uxauthd 重新启动。

默认值：60

示例：agent_restart_delay = 60

agent_vmemory_max

指定最大的虚拟内存大小 (MB)，UNAB 代理可以使用。 如果超过最大值，UNAB 代理重新启动。

默认值：300

示例：agent_vmemory_max = 300

computer_password_change_interval

指定 Active Directory 计算机的密码续订间隔（以天为单位）。

值：N 天，N 为大于 1 的数字。

默认值：0 天，禁用密码更改

debug_backup

指定是否备份调试消息文件。

限制：yes、no

默认值：yes

debug_backup_file

定义备份调试消息文件的名称。 如果您不使用文件的完整路径名，UNAB 会在目录 InstallDir/log/debug/ 中创建该文件。

默认值：agent_debug.back

debug_file

定义 UNAB 将调试消息写入到的文件名。 如果您不使用文件的完整路径名，UNAB 会在目录 InstallDir/log/debug/ 中创建该文件。

默认值：agent_debug

debug_size

定义调试消息文件的最大大小 (MB)。

默认值：512

注意：文件超过最大大小时，代理重命名文件以备份并创建消息文件。

debug_level

指定调试文件中调试消息的级别。

限制：disabled、high、medium、low

• disabled：不将调试消息写入文件
• high：将级别为 HIGH 的调试消息写入文件
• medium：将级别为 HIGH 和 MEDIUM 的调试消息写入文件
• low：将级别为 HIGH、MEDIUM 和 LOW 的调试消息写入文件

默认值：disabled

debug_zones

指定是否将子模块（区域）的调试消息记入日志。 要写入多个区域的调试消息，请指定区域值的总数。

限制：-1、1、2、4、8、16 或正值的总和。

• zone -1：写入所有区域的调试消息。
• zone 1：写入 General 区域的调试消息。
• zone 2：写入整个通讯区域的调试消息。
• zone 4：写入 Scheduler 区域的调试消息。
• zone 8：写入 PAM 通讯区域的调试消息。
• zone 16：写入 NSS 通讯区域的调试消息。

示例：要将 "General" 和 "Scheduler" 区域的调试消息记入日志，请将 debug_zones 的值设置为 5。

默认值：-1

default_login_access

如果没有用来定义用户和组访问权限的规则，请指定默认访问模式。

限制：0 表示没有访问权限，1 表示授予访问权限

默认值：0

注意：此参数仅在完全集成模式下有效。

groups_allow_file

定义本地 groups.allow 文件的位置。

默认值：/opt/CA/uxauth/etc/groups.allow

注意：此参数仅在完全集成模式下有效。

groups_deny_file

定义本地 groups.deny 文件的位置。

默认值：/opt/CA/uxauth/etc/groups.deny

注意：此参数仅在完全集成模式下有效。

heartbeat_send_interval

定义向 CA ControlMinder 分发主机发送检测信号的时间间隔（秒）。

默认值：3600

health_check_interval

指定 uxauthd 内部自检之间的时间间隔（以秒为单位）。

值：正整数或 -1，取消自检。

默认值：300

示例：health_check_interval = 300

ldap_connection_lifetime

定义将未使用的 LDAP 连接保持打开状态的最长时段（秒）。 如果设为 0，UNAB 会在 LDAP 操作之后立即销毁连接。

默认值：60

LIC98Dir

定义 CA 许可库的位置。

默认值：/opt/CA/SharedComponents/ca_lic

login_name_type

指定映射用户可以使用 UNIX 用户名还是企业用户名来登录。

限制：1 表示 UNIX 登录名，2 表示企业登录名

默认值：1

message_read_interval

指定读取 CA ControlMinder 策略队列的时间间隔（秒）。

默认值：60

message_read_timeout

定义读取 CA ControlMinder 策略队列的超时期（毫秒）。

默认值：1

nss_cache_update_grp_login

指定 NSS 是否在每次用户登录之后更新组缓存。

限制：yes、no

默认值：yes

注意：此参数仅在完全集成模式下有效。

nss_cache_update_grp_mode

指定组缓存的更新方法。

限制：0 表示不更新；1 表示增量式更新；2 表示完全更新

默认值：1

注意：此参数仅在完全集成模式下有效。

nss_cache_update_interval

定义更新用户和组缓存的时间间隔（分钟）。

默认值：60

注意：此参数仅在完全集成模式下有效。

nss_cache_update_startup

指定在代理启动期间更新 NSS 用户和组缓存的方法。

限制：0 表示不更新；1 表示增量式更新；2 表示完全更新

默认值：1

注意：此参数仅在完全集成模式下有效。

nss_cache_update_usr_login

指定 NSS 是否在每次用户登录之后更新用户缓存。

限制：yes、no

默认值：yes

注意：此参数仅在完全集成模式下有效。

nss_cache_update_usr_mode

指定用户缓存的更新方法。

限制：0 表示不更新；1 表示增量式更新；2 表示完全更新

默认值：1

注意：此参数仅在完全集成模式下有效。

ntp_server

定义 NTP 服务器的名称或 IP 地址。

默认值：none

offline_logon

指定当 Active Directory 不可用时用户是否可以继续访问 UNIX 主机。

限制：no（禁用脱机连接）；yes（启用脱机连接）

默认值：yes

offline_logon_max_fail

定义最大的失败脱机登录尝试次数。

默认值：5

offline_logon_period

定义在上一次联机身份验证成功后允许进行脱机身份验证的最长时间段（天）。

默认值：30

partial_user_login_policy

定义部分用户登录是否需要对应的策略。

限制：no 表示部分用户可以登录，不需要在主机上部署对应的策略；yes 表示仅当主机上部署对应的策略时，部分用户才可登录。

默认值：no

注意：默认值为“no”以保持与早期 UNAB 版本的向后兼容性。

report_user_mapped_name

指定当用户处于映射模式时审核文件和报告中的显示用户名。

限制：no（显示报告及 UNIX 用户名）；yes（显示报告及用户映射名）。

默认值：no

tgt_renew_interval

定义续订票证授予票证 (TGT) 的时间间隔（秒）。

默认值：7200

tgt_renewable_lifetime

定义票证授予票证 (TGT) 的最长续订期限（天）。

默认值：30d

time_sync_interval

定义时钟同步间隔（秒）。

默认值：300

unix_shells

定义用于将 Active Directory 用户 shell 转化为受支持的 UNIX shell 的规则。 如果未找到匹配项，则使用定义为 other 的 shell。

默认值 (HP-UX)：sh=/sbin/sh,csh/sbin/csh,bash=/sbin/bash,ksh=/sbin/ksh,tcsh=/sbin/tcsh,other=/sbin/sh

默认值（所有其他操作系统）：sh=/bin/sh,csh/bin/csh,bash=/bin/bash,ksh=/bin/ksh,tcsh=/bin/tcsh,other=/bin/sh

注意：此参数仅在完全集成模式下有效。

use_local_policy

指定是否使用本地登录策略（.allow 和 .deny 文件）。

限制：no（仅使用企业登录策略）；yes（使用企业登录策略，然后使用本地登录策略）。

默认值：no

use_nested_group_aclshell 是 definedSpecifies，嵌套组是否用于用户 ACL。

限制：no（不使用嵌套组）；yes（使用嵌套组）。

默认值：yes

use_time_sync

指定时钟同步选项。

限制：no（手动同步）；yes（自动同步）

默认值：no

use_wingrp

指定 UNAB 是否将 Active Directory 组存储在数据库中以供 CA ControlMinder 使用。

要在不集成 CA ControlMinder 时以部分集成模式工作，请在配置 UNAB 时禁用组数据库创建。

限制：no、yes

默认值：yes

users_allow_file

定义本地 users.allow 文件的位置。

默认值：/opt/CA/uxauth/etc/users.allow

注意：此参数仅在完全集成模式下有效。

users_deny_file

定义本地 users.deny 文件的位置。

默认值：/opt/CA/uxauth/etc/users.deny

注意：此参数仅在完全集成模式下有效。

user_ticket_cleanup_interval

指定删除过期用户票证的清理时间间隔（秒）。

限制：任何正整数

默认值：3600

watchdog_check_interval

指定 UNAB watchdog 检查 uxauthd 是否存在的时间间隔。

默认值：60 秒

示例：watchdog_check_interval = 60

watchdog_enabled

指定是否使用 UNAB watchdog 来保护后台进程代理。 在安装没有 CA ControlMinder 的 UNAB 时也可将 UNAB watchdog 作为后台进程运行。

默认值：yes

示例：watchdog_enabled = yes

wingrp_update_interval

定义更新 UNAB Active Directory 组数据库的时间间隔（分钟）。

默认值：60

注意：此参数仅在完全集成模式下有效。

wingrp_update_login

指定是否在每次用户登录时更新 Windows 组数据库。

限制：yes、no

默认值：yes

注意：此参数仅在完全集成模式下有效。

windgrp_update_mode

指定更新 UNAB Active Directory 组数据库的方法。

限制：0 表示不更新；1 表示增量式更新；2 表示完全更新

默认值：1

注意：此参数仅在完全集成模式下有效。

wingrp_update_startup

指定在 UNAB 启动期间更新 Active Directory 组数据库的方法。

限制：0 表示不更新、1 表示增量式更新、2 表示完全更新

默认值：1

注意：此参数仅在完全集成模式下有效。

working_threads

定义代理中的工作线程数目。

默认值：64