[seos] セクションのトークンは、CA ControlMinder で使用されるグローバル設定を指定します。
CA ControlMinder Security Administrator のルールおよびその他の環境設定ファイルが保存されるディレクトリを指定します。
デフォルト: ACInstallDir/data
ログイン権限方法を決定します。 有効な値は以下のとおりです。
Native - ログイン時に、UNIX のパスワードまたはシャドウ ファイルと照合して、ユーザのパスワードをチェックします。
eTrust - ネイティブ環境にユーザが存在していないときに、CA ControlMinder データベースと照合して、ユーザのパスワードをチェックします。
PAM - ネイティブ環境にユーザが存在していないときに、PAM モジュールを使用してログインをチェックします。 これは、PAM がサポートされているマシンでのみサポートされます。 PAM は LDAP 定義のユーザなどのユーザを検証するために使用されます。
デフォルト: native
ネイティブ認証以外の認証が許可されている言語クライアント モジュールを定義します。 このトークンは、認証前に lca API 呼び出しでクライアントによって設定されます。 このトークンを変更すると、非ネイティブ モードで認証する他のクライアントに影響する可能性があります。
デフォルト値なし
PMDB が高速なデータベース コピー デバイスを使用するかどうかを指定します。
有効な値は以下のとおりです。
no - 古いデバイスを使用します。
yes - 高速データベース コピー デバイスを使用します。
デフォルト: yes
4 桁または下 2 桁で年を表示する形式を指定します。
たとえば、このトークンを yes に設定すると、年は 00 ではなく 2000 と表示されます。
有効な値は以下のとおりです。
yes - 4 桁
no - 2 桁
このトークンは、secons -tv、dbmgr -d、および seaudit ユーティリティで生成される出力に影響します。
デフォルト: yes (4 桁)
CA ControlMinder の LDAP 対応ユーティリティ(sebuildla など)によって、LDAP ディレクトリ情報ツリー(DIT)のユーザ データ クエリの検索ベースの識別名を定義します。
たとえば、以下の形式を使用して、独自の入力内容に置換します。
o=organization_name,c=country_name
デフォルト: トークンは設定されていません
重要: sebuildla および必要な LDAP 設定をセットアップするには、LDAP をよく理解していること、および ldapsearch コマンドを実行できることが必要です。 ldap(1)、ldapsearch(1)についての man ページ、および LDAP クライアント用のマニュアルでセットアップの説明を参照することをお勧めします。
CA ControlMinder の LDAP 対応ユーティリティに対して LDAP サーバが実行されているホスト名のリストを、スペース区切り形式で定義します。
デフォルト: トークンは設定されていません(localhost)。
Netscape スタイルの証明書データベースが格納されるディレクトリを定義します。
このトークンは、SSL を介した LDAP に Netscape LDAP SDK API を使用するプラットフォーム(Solaris)での sebuildla に必要です。 sebuildla が機能するには、証明書データベースに、LDAP サーバの有効な証明書が含まれている必要があります。
注: sebuildla は、サーバ認証(すなわち、クライアントなし認証)に LDAP over SSL を使用します。 安全なサービスのセットアップの詳細については、PKI ツールキットのドキュメントを参照してください。
デフォルト: /.netscape
キー データベース ファイルの名前を定義します。
注: AIX のキー データベースには任意の名前を付けることができるため、この設定は AIX 用のみです(これに対し、Netscape セキュリティ データベースには、実装バージョンに応じて、certX.db や keyY.db などの名前が付けられるため、検索には ldap_certdb_path のみが必要です)。
デフォルト: トークンは設定されていません
CA ControlMinder が LDAP サービスにアクセスするために LDAP 対応ユーティリティに使用するバインド方法を指定します。
デフォルトでは、sebuildla は、すべてのセキュリティ メカニズムと共に簡単な認証を使用します。 簡単な認証では、ldap_userdn および対応するクレデンシャルが LDAP サーバに渡されます。 sebuildla は、ACInstallDir/etc にある ldapcred.dat に、暗号化された形式でユーザ クレデンシャルを格納します。これらの 2 つのパラメータは、LDAP サーバに必要なアカウントとパスワードの組み合わせの近似値です。
注: SASL または TLSv.1/SSL については、LDAP サーバのマニュアルを参照してください。 特定の ldap_method 設定を有効にするには、sebuildla が実行されているコンピュータにデプロイされているネイティブ LDAP クライアントで、対応するメカニズムがサポートおよび設定されている必要があります(つまり、TLS/SSL 操作では、有効な証明書が、サーバとクライアントの両方にインストールされている必要があります)。
有効な値は以下のとおりです。
0 - 標準 LDAP
1 - SASL(RFC 2222)
2 - LDAPS(SSL を介した LDAP - サーバ認証のみ)
注: ここで使用する方法により、ldap_userdn トークン、および(seldapcred ユーティリティを使用して)対応するクレデンシャルをどのように設定するかが決まります。
デフォルト: 0
CA ControlMinder の LDAP 対応ユーティリティに対して LDAP サーバのポートを定義します。 このトークンは、LDAP サーバが標準 LDAP ポート(389)を使用していない場合に変更します。
デフォルト: トークンは設定されていません(389)
sebuildla が各バッチ クエリで取得する LDAP エントリの最大数を定義します。
このトークンは、LDAP サーバ側のサイズ制限パラメータを変更しない場合に使用します。 通常、sebuildla は 1 つのインスタンスですべてのデータを取得しようとしますが、ユーザ エントリの数が多いと、サーバのサイズ制限を超えて LDAP 操作が失敗する場合があります。 ldap_query_size を設定した場合、sebuildla はすべてのエントリを取得する必要がないため、操作が失敗することはありません。 ユーザ エントリの合計数が、ldap_query_size とサーバ側のサイズ制限のいずれかより大きい場合、取得されるエントリ数はこれら 2 つの設定値の低い方に対応します。
重要: バッチ クエリを有効にすると、sebuildla のパフォーマンスに影響を与える可能性があります。 この設定の使用は、LDAP 環境で、DIT(ディレクトリ情報ツリー)に大量のユーザ データ(数千以上の規模のエントリ)がある場合にのみ検討してください。
注: OpenLDAP サーバ(slapd)の sizelimit パラメータなど、サーバ側の LDAP 制御の詳細については、LDAP サーバのマニュアルを参照してください。
デフォルト: トークン未設定(空)
CA ControlMinder の LDAP 対応ユーティリティが、LDAP サービスにバインドして LDAP 検索結果を取得するときに待機する最大時間(秒単位)を定義します。この時間を超えると、接続が終了します。 LDAP サービスから情報を取得する際にかかる時間は、LDAP サービスの実行速度、および DIT に格納されているユーザ データ量によって異なります。 このトークンを使用するときには、これらの点を考慮してください。
注: 検索結果が切り捨てられないようにするには、サーバ側の LDAP 制御の調整が必要になる場合もあります。 たとえば、OpenLDAP サーバ(slapd)の場合、sizelimit パラメータを調整する必要があります。 詳細については、LDAP サーバのマニュアルを参照してください。
デフォルト: トークンは設定されていません(15 秒)
LDAP DIT のユーザ名を含む属性の名前を定義します。 RFC 2307(LDAP をネットワーク情報サービスとして使用するためのアプローチ)では、この属性として uid が定められ、それがこのトークンのデフォルト値となります。 このトークンを変更すると、CA ControlMinder の LDAP 対応ユーティリティは、標準以外のスキーマを使用して、LDAP DIT に対して操作できます。
デフォルト: トークンは設定されていません(uid)。
LDAP DIT の UID 番号を含む属性の名前を定義します。 RFC 2307 では、この属性として uidNumber が規定され、それがこのトークンのデフォルト値になります。 このトークンを変更すると、CA ControlMinder の LDAP 対応ユーティリティは、標準以外のスキーマを使用して、LDAP DIT に対して操作できます。
デフォルト: トークンは設定されていません(uidNumber)。
LDAP DIT のユーザ データを含むオブジェクト クラスの名前を定義します。 RFC 2307 では、このオブジェクト クラスとして posixAccount が定められ、それがこのトークンのデフォルト値となります。 このトークンを変更すると、CA ControlMinder の LDAP 対応ユーティリティは、標準以外のスキーマを使用して、LDAP DIT に対して操作できます。
デフォルト: トークンは設定されていません(posixAccount)。
CA ControlMinder の LDAP 対応ユーティリティが LDAP DIT からユーザ データを取得するときに使用する、LDAP ユーザの識別名(DN)を定義します。 RFC 2307 に基づき、CA ControlMinder は DIT で、ou=People レベルの属性が uid および uidNumber のユーザ データを検索しようとします。 セキュリティ上の理由から、このユーザ(ldap_userdn)にのみ、このデータへのアクセス権を付与することをお勧めします。
DIT に対する匿名アクセスが許可されている場合は、このトークンを空のままにしておくことができます。 匿名アクセスが許可されていない場合は、このトークンを設定し、CA ControlMinder の LDAP 対応ユーティリティに seldapcred ユーティリティを実行して、LDAP サービスに対して認証する必要があります(seldapcred は、暗号化されたクレデンシャルを再利用できるようにファイルに格納するため、この操作が必要なのは一度のみです)。
たとえば、このトークンを以下のように設定します。
ldap_userdn = uid=user1,ou=People,dc=myCompany,dc=com
デフォルト: トークンは設定されていません
LDAP ディレクトリ情報ツリー(DIT)からユーザ情報を取得するかどうか指定します。
制限: yes、no
デフォルト: no
sebuildla でのユーザ データ取得に関して、LDAP 操作の詳細なアカウントを有効にするかどうかを指定します。
この設定は、sebuildla で LDAP データ取得を設定するとき、またはトラブルシューティングを行うときに使用します。
有効な値は、0(無効)、およびゼロ以外の整数(有効)です。
デフォルト: 0
CA ControlMinder のデーモンおよびユーティリティに使用する言語を指定します。 CA ControlMinder は、複数の言語で機能します。
対応する言語には、C、日本語、中国語(簡体字)、中国語(繁体字)などがあります。
対応するすべての言語の一覧については、/etc/ca/localeX/calocmap.txt を参照してください。Linux の場合は、/opt/CA/SharedComponents/cawin/locale/ を参照してください。
デフォルト: C
SOLARIS、HP-UX、および LINUX でのみ有効。
LDAP データベースでの認証およびパスワード変更のために、ローカル ホストで PAM を使用できるようにするかどうかを指定します。
そのために、PAM ライブラリが動的にロード可能であるかどうかを確認します(そのライブラリがシステムに存在している必要があります)。
有効な値は、「no」および「yes」です。
デフォルト: yes
このコンピュータが更新を受け入れる Policy Model データベース(PMDB)のカンマ区切りリストを定義します。 ローカルの CA ControlMinder データベースは、このリストに指定されていない PMDB からの更新情報を拒否します。
PMDB の行区切りリストを含むファイル パスを指定することもできます。
ローカルの CA ControlMinder データベースが PMDB からの更新情報を受け入れるようにするには、このトークンを「_NO_MASTER_」に設定します。
このトークンを設定しない場合、ローカルの CA ControlMinder データベースはどの PMDB からも更新情報を受け入れません。
各 PMDB は pmd_name@hostname の形式で指定します。
以下に例を示します。
parent_pmd = pmd1@host1,pmd2@host1,pmd3@host2 parent_pmd = /opt/CA/AccessControl/parent_pmdbs_file
デフォルト: トークンは設定されていません(データベースはどの PMDB からも更新情報を受け入れません)
注: sepass は、parent_pmd トークン上の複数の送信先をサポートしません。
sepass によるパスワードの更新情報の送信先となる PMDB を指定します。
このトークンを設定しない場合、parent_pmd トークンの値が継承されます。
形式は pmd_name@hostname です。
parent_pmd トークンと passwd_pmd トークンに同じ値を指定できます。 parent_pmd トークンと passwd_pmd トークンの値が異なる場合、passwd_pmd データベースは更新を parent_pmd データベースに送信し、更新内容を伝達します。 したがって、parent_pmd データベースは passwd_pmd データベースの子(サブスクライバ)である必要があります。
デフォルト値なし
注: sepass は、passwd_pmd トークン上の複数の送信先をサポートしません。
接続するクライアントを seagent が識別する方法を制御します。
有効な値は以下のとおりです。
yes - クライアントの開いているソケットの IP アドレスを調べます。
no - クライアントから受け取ったホスト名を使用しますが、ホスト名は解決されません (TERMINAL クラスを無効にすることにより、同じ結果を得られます)。
デフォルト: yes
最初のターゲット(passwd_pmd)に定義されていないユーザ用に、パスワード変更の第 2 のターゲットとして使用される PMDB を指定します。
形式は pmd_name@hostname です。
デフォルト値なし
CA ControlMinder のインストール ディレクトリを指定します。
NFS がマウントされているファイル システム以外であれば、CA ControlMinder は任意のディレクトリにインストールできます。
デフォルト: ACInstallDir
CA ControlMinder の ACL 権限と、ネイティブ UNIX システムの ACL およびその他の権限(存在する場合)を同期させるかどうかを指定します。
有効な値は以下のとおりです。
no - UNIX のファイル権限と CA ControlMinder ACL の同期をとりません。
warn - ACL 権限の同期はとりませんが、CA ControlMinder と UNIX の権限が競合する場合は警告を発行します。
traditional - CA ControlMinder ACL に従ってグループおよび所有者の rwx 権限を変更して、その他すべての場合に警告を発行します。
acl - (ACL をサポートするプラットフォーム上で)CA ControlMinder ACL に従ってネイティブ ファイル システムの ACL を変更します。
force - (ACL をサポートするプラットフォーム上で)traditional または acl と同様に機能するだけでなく、「他の」権限に対して defaccess を強制的にマッピングします。
注: HP-UX および Sun Solaris 2.5(以上)では、ACL ファイル システムがサポートされます。 その他のプラットフォームおよびオペレーティング システムのバージョンでは、traditional 権限モードのファイルのみがサポートされます。
デフォルト: no
特別な Unicenter TNG クラスおよびリソースを使用してデータベースを作成するかどうかを指定します。
有効な値は以下のとおりです。
0 - 特別な Unicenter TNG クラスを使用せずにデータベースを作成します。
1 - 特別な Unicenter TNG クラスをすべて使用してデータベースを作成します。
デフォルト: 0
Unicenter TNG のインストール ディレクトリを指定します。
有効な値は、Unicenter TNG の基本ディレクトリ(または .uniprodloc)です。
デフォルト値なし
CA ControlMinder が物理的に格納されているディレクトリを指定します。 CA ControlMinder ディレクトリは別の物理的な場所へのシンボリック リンクとなる場合があります。 このトークンは、CA ControlMinder がインストールされている実際の物理的な場所を参照します。
デフォルト: ACInstallDir
RPC portmapper が必要かどうかを指定します。 古い(1.43)CA ControlMinder のプロトコルを使用する場合は、RPC portmapper が必要です。 古いプロトコルは、NIS+ パスワードの変更をサポートするために必要です。
このトークンは、old_protocol トークンに代わるものです。
有効な値は以下のとおりです。
yes - RPC portmapper を使用して、ポートを割り当てます。
no - ServicePort トークンで指定されるポートを使用します。
デフォルト: no
|
Copyright © 2013 CA.
All rights reserved.
|
|