CA IT Client Manager encutilcmd-befehlsreferenz Version 12.8
Diese Dokumentation, die eingebettete Hilfesysteme und elektronisch verteilte Materialien beinhaltet (im Folgenden als "Dokumentation bezeichnet), dient ausschließlich zu Informationszwecken des Nutzers und kann von CA jederzeit geändert oder zurückgenommen werden. Diese Dokumentation darf ohne vorherige schriftliche Genehmigung von CA weder vollständig noch auszugsweise kopiert, übertragen, vervielfältigt, veröffentlicht, geändert oder dupliziert werden. Diese Dokumentation enthält vertrauliche und firmeneigene Informationen von CA und darf vom Nutzer nicht weitergegeben oder zu anderen Zwecken verwendet werden als zu denen, die (i) in einer separaten Vereinbarung zwischen dem Nutzer und CA über die Verwendung der CA-Software, auf die sich die Dokumentation bezieht, zugelassen sind, oder die (ii) in einer separaten Vertraulichkeitsvereinbarung zwischen dem Nutzer und CA festgehalten wurden. Ungeachtet der oben genannten Bestimmungen ist der Benutzer, der über eine Lizenz für das bzw. die in dieser Dokumentation berücksichtigten Software-Produkt(e) verfügt, berechtigt, eine angemessene Anzahl an Kopien dieser Dokumentation zum eigenen innerbetrieblichen Gebrauch im Zusammenhang mit der betreffenden Software auszudrucken, vorausgesetzt, dass jedes Exemplar diesen Urheberrechtsvermerk und sonstige Hinweise von CA enthält. Dieses Recht zum Drucken oder anderweitigen Anfertigen einer Kopie der Dokumentation beschränkt sich auf den Zeitraum der vollen Wirksamkeit der Produktlizenz. Sollte die Lizenz aus irgendeinem Grund enden, bestätigt der Lizenznehmer gegenüber CA schriftlich, dass alle Kopien oder Teilkopien der Dokumentation an CA zurückgegeben oder vernichtet worden sind. SOWEIT NACH ANWENDBAREM RECHT ERLAUBT, STELLT CA DIESE DOKUMENTATION IM VORLIEGENDEN ZUSTAND OHNE JEGLICHE GEWÄHRLEISTUNG ZUR VERFÜGUNG; DAZU GEHÖREN INSBESONDERE STILLSCHWEIGENDE GEWÄHRLEISTUNGEN DER MARKTTAUGLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN. IN KEINEM FALL HAFTET CA GEGENÜBER IHNEN ODER DRITTEN GEGENÜBER FÜR VERLUSTE ODER UNMITTELBARE ODER MITTELBARE SCHÄDEN, DIE AUS DER NUTZUNG DIESER DOKUMENTATION ENTSTEHEN; DAZU GEHÖREN INSBESONDERE ENTGANGENE GEWINNE, VERLORENGEGANGENE INVESTITIONEN, BETRIEBSUNTERBRECHUNG, VERLUST VON GOODWILL ODER DATENVERLUST, SELBST WENN CA ÜBER DIE MÖGLICHKEIT DIESES VERLUSTES ODER SCHADENS INFORMIERT WURDE. Die Verwendung aller in der Dokumentation aufgeführten Software-Produkte unterliegt den entsprechenden Lizenzvereinbarungen, und diese werden durch die Bedingungen dieser rechtlichen Hinweise in keiner Weise verändert. Diese Dokumentation wurde von CA hergestellt. Zur Verfügung gestellt mit Restricted Rights (eingeschränkten Rechten) geliefert. Die Verwendung, Duplizierung oder Veröffentlichung durch die US-Regierung unterliegt den in FAR, Absätze 12.212, 52.227-14 und 52.227-19(c)(1) bis (2) und DFARS, Absatz 252.227-7014(b)(3) festgelegten Einschränkungen, soweit anwendbar, oder deren Nachfolgebestimmungen. Copyright 2013 CA. Alle Rechte vorbehalten. Alle Marken, Produktnamen, Dienstleistungsmarken oder Logos, auf die hier verwiesen wird, sind Eigentum der entsprechenden Rechtsinhaber.
CA Technologies-Produktreferenzen Diese Dokumentation bezieht sich auf die folgenden CA-Produkte: CA Advantage Data Transport (CA Data Transport) CA ARCserve Backup for Laptops and Desktops CA Asset Intelligence CA Asset Portfolio Management (CA APM) CA Common Services CA Desktop Migration Manager (CA DMM) CA Embedded Entitlements Manager (CA EEM) CA Network and Systems Management (CA NSM) CA Patch Manager CA Process Automation CA Mobile Device Management (CA MDM) CA Service Desk Manager CA WorldView CleverPath Reporter Technischer Support Kontaktinformationen Wenn Sie technische Unterstützung für dieses Produkt benötigen, wenden Sie sich an den Technischen Support unter http://www.ca.com/worldwide. Dort finden Sie eine Liste mit Standorten und Telefonnummern sowie Informationen zu den Bürozeiten.
Inhalt Kapitel 1: Verwenden von encutilcmd 7 auditapi Überprüft die lokale ENC-Audit-Konfiguration... 8 certimport Importiert Zertifikate in den Zertifikatsspeicher des lokalen Computers... 12 certverify Prüft, ob die erforderlichen Zertifikate verfügbar sind... 14 create Erstellt einen Satz von Autorisierungsregeln... 15 export Exportiert einen Satz von Autorisierungsregeln aus dem Konfigurationsspeicher... 17 import Importiert einen Satz von Autorisierungsregeln in den Konfigurationsspeicher... 18 importdb Importiert einen Satz von Autorisierungsregeln in die Datenbank... 21 client Legt die ENC-Client-Konfiguration fest.... 24 netdiag - Stellt einen Satz spezifischer ENC-Diagnosen zur Verfügung.... 27 updateconfig ENC-Konfiguration aktualisieren... 28 verify Einen Satz von Autorisierungsregeln laden und überprüfen... 29 Skriptbefehle... 33 Ereignistypen... 35 Format der Regeldatei... 38 server Anzeige des Status des ENC-Gateway-Servers... 44 Inhalt 5
Kapitel 1: Verwenden von encutilcmd encutilcmd ist ein Befehlszeilen-Hilfsprogramm für die ENC-Infrastruktur. Das Hilfsprogramm bietet die folgende Funktionalität: Auditing Auditing [Befehl: auditapi] Autorisierung Ermöglicht den Zugriff auf die ENC-Auditing-Konfigurationsdatenbank. Regelsatz erstellen [Befehl: create] Erstellt einen leeren Satz von Autorisierungsregeln. Export [Befehl: export] Lesen der aktuellen Autorisierungsregeln aus dem gemeinsamen Speicher und Schreiben in eine strukturierte Textdatei. Import [Befehl: import] Lesen der Autorisierungsregeln aus einer strukturierten Textdatei und Schreiben in den gemeinsamen CMS-Speicher. Datenbankimport [Befehl: importdb] Lesen der Autorisierungsregeln aus einer strukturierten Textdatei und Schreiben in die CMS CCNF-Datenbank. Überprüfung [Befehl: verify] Testet Autorisierungsregeln auf der Grundlage des Inhalts einer Autorisierungsregeldatei und der Kundeneingabe. Authentifizierung Zertifikatsimport [Befehl: certimport] Importiert Zertifikate und PKCS#12-signierte Schlüssel zur Verwendung durch ENC in den Microsoft-Zertifikatsspeicher. Verifizierung [Befehl: certverify] Testet installierte Zertifikate und führt sie auf: Verfügbarkeit und Gültigkeit. Kapitel 1: Verwenden von encutilcmd 7
auditapi Überprüft die lokale ENC-Audit-Konfiguration Verschiedenes Client [Befehl: client] Hiermit können Sie ENC-Gateway-Client aktivieren oder deaktivieren. Netdiag [Befehl: netdiag] Stellt einen Satz spezifischer ENC-Diagnosen zur Verfügung. Serverstatus [Befehl: server] Zeigt den Status eines ENC-Gateway-Servers an. Updateconfig [Befehl: updateconfig] Kopiert Richtlinien automatisch aus dem Richtlinien- oder gemeinsamen Speicher in die ENC-Komponenten. auditapi Überprüft die lokale ENC-Audit-Konfiguration Kurzform 'au' Dieser Befehl bietet Zugriff auf die ENC-Auditing-Konfigurationsdatenbank auf dem lokalen Computer. Obwohl empfohlen wird, für die Konfiguration des Auditing die grafische Benutzeroberfläche zu verwenden, können Sie mit diesem Befehl einige Auditing-Elemente steuern, die über die Benutzeroberfläche nicht zugänglich sind. Verwendung von auditapi: encutilcmd auditapi-argumente [Optionen] Optionen: -c Kategorien Zeigt alle Audit-Kategorien an. -cd Kategorie deaktivieren Deaktiviert eine oder mehrere Kategorien und lässt zur Musterübereinstimmung reguläre Ausdrücke zu. -ce Kategorie aktivieren Aktiviert eine oder mehrere Kategorien und lässt zur Musterübereinstimmung reguläre Ausdrücke zu. 8 encutilcmd-befehlsreferenz
auditapi Überprüft die lokale ENC-Audit-Konfiguration -da Alle löschen Gibt alle Audit-Datensätze aus. -dc Dump-Kategorie Gibt die Audit-Datensätze der angegebenen Kategorie aus. -e Aktiviert Zeigt an, ob die Meldung aktiviert ist. -f Filter Wendet Filter mit Hilfe von regulären Ausdrücken an (Audit-Datensätze). -ggs Globalen Status abrufen Zeigt den aktuellen globalen Auditing-Status an. -md Meldung deaktivieren Deaktiviert eine oder mehrere Meldungen und lässt zur Musterübereinstimmung reguläre Ausdrücke zu. -me Meldung aktivieren -mgr Aktiviert eine oder mehrere Meldungen und lässt zur Musterübereinstimmung reguläre Ausdrücke zu. Manager Erzwingt Manager-Zugriff zum Überschreiben. -sgs Globalen Status festlegen -test Gibt den aktuellen globalen Auditing-Status an. Testdurchlauf Zeigt nur die passenden Kategorien oder Meldungen an, die während des Vorgangs der Musterübereinstimmung gefunden wurden, ohne dass die Änderungen in der Konfigurationsdatenbank festgeschrieben werden. Dabei gilt: -c Kategorien [keine Argumente] Zeigt alle Audit-Kategorien an. Dabei werden die Kategorien der obersten Ebene und ihre zugehörigen Statuswerte angezeigt. Kapitel 1: Verwenden von encutilcmd 9
auditapi Überprüft die lokale ENC-Audit-Konfiguration -cd Kategorie deaktivieren [Muster] Deaktiviert eine oder mehrere Kategorien. Das Argument gibt eine Teilzeichenfolge des gesuchten Kategorienamens an. Zum Beispiel stimmt "-cd er" mit dem Fehler und mit dem Server überein. Wenn nur die Übereinstimmung mit dem Fehler gefunden werden soll, können Sie den vollqualifizierten Ausdruck '-cd "^Fehler$"' angeben. Hinweis: Das Symbol "^" ist ein Sonderzeichen für den Windows- Befehlsprozessor und muss in geschweifte Klammern gesetzt werden, um an den Hilfsprogrammbefehl übergeben werden zu können. -ce Kategorie aktivieren [Muster] Aktiviert eine oder mehrere Kategorien. Das Argument gibt eine Teilzeichenfolge wie bei der Option "Kategorie deaktivieren" an. -da Alle löschen Gibt alle Audit-Datensätze auf der Konsole aus. Diese Option listet alle Audit- Datensatzidentitäten zusammen mit ihren zugehörigen Kategorien und den einzelnen Datensatz-Statuswerten (aktiviert oder deaktiviert) auf. Wenn nur ein Teil der Audit-Datensätze angezeigt werden soll, kombinieren Sie diese Option mit den Optionen "-f" und "-dc". -dc Kategorie ausgeben [Kategorie] Gibt nur die Audit-Datensätze der angegebenen Kategorie aus. Hinweis: Verwenden Sie diese Option in Verbindung mit dem -da-switch. Beispiel: encutilcmd au -da -dc Zeigt nur die Audit-Datensätze in der Fehlerkategorie. -e Aktiviert [Meldungs-ID] Zeigt an, ob eine Meldung aktiviert ist. Das Argument für diese Option ist die vollständige Audit-Datensatzidentität wie z. B. "IDS_CLI_NO_CERTS". Das Hilfsprogramm zeigt daraufhin den aktuellen Status des Audit-Datensatzes, seine Kategorie und die Ursache für den Status des Datensatzes an. 10 encutilcmd-befehlsreferenz
auditapi Überprüft die lokale ENC-Audit-Konfiguration -f Filter [Muster] Wendet Filter mit Hilfe von regulären Ausdrücken an (Audit-Datensätze). Diese Option kann mit der -da-option kombiniert werden, um nur die Datensätze anzuzeigen, die dem angegebenen regulären Ausdruck entsprechen. -ggs Globalen Status abrufen Zeigt den aktuellen globalen Status der Auditing-Konfiguration an. Mögliche Statuswerte sind "Alle", "Keine" oder "Kategorie". Verwenden Sie die -sgs-option, um den globalen Status festzulegen. -md Meldung deaktivieren [Muster] Deaktiviert eine oder mehrere Meldungen und lässt zur Musterübereinstimmung reguläre Ausdrücke zu. Diese Option deaktiviert einen einzelnen Datensatz. -me Meldung aktivieren -mgr Aktiviert eine oder mehrere Meldungen und lässt zur Musterübereinstimmung reguläre Ausdrücke zu. Mit dieser Option wird ein einzelner Datensatz aktiviert, obwohl sein aktueller Status möglicherweise durch seine übergeordnete Kategorie deaktiviert ist. Verwenden Sie die Option "-e", um den aktuellen Status eines einzelnen Datensatzes anzuzeigen. Manager Erzwingt den Manager-Zugriff zum Überschreiben und erlaubt das Ändern der lokalen Auditing-Konfiguration, auch wenn die Konfiguration zentral von der DSM-Sicherheitsrichtlinie verwaltet wird. Hinweis: Diese Option setzt Administratorrechte voraus. Kapitel 1: Verwenden von encutilcmd 11
certimport Importiert Zertifikate in den Zertifikatsspeicher des lokalen Computers -sgs -test Globalen Status festlegen Gibt den aktuellen globalen Auditing-Status an. Die Statuswerte lauten wie folgt: Keine - Das Auditing ist deaktiviert. Alle - Das Auditing ist aktiviert. Kategorie - Meldungen werden über Kategorie und individuellen Status gesteuert. Hinweis: Wenn der Status "Kategorie" lautet, verwenden Sie die Option "-e", um zu sehen, warum eine Meldung aktiviert oder deaktiviert ist. Testdurchlauf Zeigt nur die passenden Kategorien oder Meldungen an, die während des Vorgangs der Musterübereinstimmung gefunden wurden, ohne dass die Änderungen in der Konfigurationsdatenbank festgeschrieben werden. Sie können diese Option verwenden, um zunächst zu prüfen, was sich ändern würde, ohne die Änderungen festzuschreiben. certimport Importiert Zertifikate in den Zertifikatsspeicher des lokalen Computers Kurzform: 'certi' Mit dem Befehl zum Zertifikatsimport können Sie Zertifikate zur Verwendung durch ENC in den Microsoft-Zertifikatsspeicher des lokalen Computers importieren. Stammzertifikate werden im Ordner "Trusted Root Certification Authorities" und PKCS#12-Zertifikatsschlüsselpaare im Ordner "Personal" abgelegt. Die Ausgabe der Verwendung sehen Sie hier: certimport - Prüft, ob die erforderlichen Zertifikate auf dem aktuellen Rechner verfügbar sind. 12 encutilcmd-befehlsreferenz
certimport Importiert Zertifikate in den Zertifikatsspeicher des lokalen Computers Verwendung von "certverify": encutilcmd certimport-argumente [Optionen] Optionen: -a Admin überspringen Überspringt die Administratorprüfung. -i PKCS#12 Gibt ein zu importierendes PKCS#12-signiertes Zertifikat und einen Schlüssel an. Die Option -i kann mehrfach angegeben werden, es müssen jedoch übereinstimmende -p-einträge vorhanden sein. -p Kennwort Gibt das Eingabe-Kennwort für eine PKCS#12-Datei an. -r Root Gibt ein zu importierendes Stammzertifikat an. Die Option -r kann mehrfach angegeben werden. -v Ausführlich Dabei gilt: Führt den Befehl mit maximaler Ausgabe aus. -a Admin überspringen Standardmäßig führt der Befehl eine Prüfung durch, ob Sie ein aktives Mitglied der Administratorengruppe sind, bevor die Import-Befehle ausgeführt werden. Mit dieser Option können Sie diese Prüfung überspringen, wenn Sie über ausreichende Berechtigungen verfügen, um die Importvorgänge durchzuführen, ohne Mitglied der Administratorengruppe zu sein. -i PKCS#12 Gibt den Pfad zur PKCS#12-Eingabedatei an. Die Option '-i' kann mehrfach angegeben werden, für jede '-i'-option muss jedoch eine dazugehörige '-p'- Option vorhanden sein. Beim Import von PKCS#12-Dateien sind deren private Schlüssel als nicht exportierbar gekennzeichnet. -p Kennwort Diese Option gibt ein Kennwort an, das bei der Entschlüsselung der PKCS#12- signierten Datei verwendet werden soll. -r Stammzertifikat Diese Option gibt ein Stammzertifikat an, das in den Microsoft-Systemspeicher importiert werden soll. Kapitel 1: Verwenden von encutilcmd 13
certverify Prüft, ob die erforderlichen Zertifikate verfügbar sind -v Ausführlich Wenn die Optionen für die ausführliche Ausgabe angegeben werden, werden mehr Informationen zu den ablaufenden Importvorgängen ausgegeben. certverify Prüft, ob die erforderlichen Zertifikate verfügbar sind Kurzform: 'certv' Mit dem Befehl für die Zertifikatsprüfung "certverify" können Sie überprüfen, ob die erforderlichen Zertifikate auf dem aktuellen Computer verfügbar sind. Die Ausgabe der Verwendung sehen Sie hier: Verwendung von "certverify": encutilcmd certverify-argumente [Optionen] Optionen: -a Admin überspringen Überspringt die Administratorprüfung. -l Loopback Versucht, eine lokale Loopback-Verbindung herzustellen, und erstellt einen Bericht über die verwendeten Identitäten. -t Ziel Gibt den lokalen FQDN für Rechner an, die nicht vollständig zur Verwendung in Loopback konfiguriert sind. -v Ausführlich Dabei gilt: Führt den Befehl mit maximaler Ausgabe aus. -a Admin überspringen Standardmäßig führt der Befehl eine Prüfung durch, ob Sie ein aktives Mitglied der Administratorengruppe sind, bevor die Import-Befehle ausgeführt werden. Mit dieser Option können Sie diese Prüfung überspringen, wenn Sie über ausreichende Berechtigungen verfügen, um die entsprechenden Befehle zum Laden von Zertifikaten auszuführen, ohne Mitglied der Administratorengruppe zu sein. 14 encutilcmd-befehlsreferenz
create Erstellt einen Satz von Autorisierungsregeln -l Loopback Wenn diese Option angegeben ist, erstellt das Hilfsprogramm einen Client- und einen Server-Sicherheitskontext und führt eine Loopback-Authentifizierung durch, um sicherzustellen, dass die Zertifikate gültig sind. Die verwendeten Zertifikatsidentitäten werden angezeigt. Diese Option ist nur erfolgreich, wenn die installierten Zertifikate zur Verwendung für die Client- und Server- Authentifizierung vorgesehen sind. -t Ziel Wenn die Loopback-Option verwendet wird, kann es erforderlich sein, den DSN-Namen mit dieser Option anzugeben, wenn das Hilfsprogramm den vollständig qualifizierten Domänennamen des lokalen Computers nicht automatisch ermitteln kann. -v Ausführlich Wenn die Optionen für die ausführliche Ausgabe angegeben werden, werden mehr Informationen zu den ablaufenden Importvorgängen ausgegeben. create Erstellt einen Satz von Autorisierungsregeln Kurzform: 'cr' Dieser Befehl erstellt einen leeren Satz von Autorisierungsregeln, einschließlich eines ENC-Infrastrukturbereichs, eines DSM-Managementbereichs und optional benannter DSM-Mitgliedsbereiche. Die Ausgabe des Befehls kann darüber hinaus für Autorisierungstests oder zum Import in den gemeinsamen Speicher oder in die Konfigurationsdatenbank verwendet werden. Die Syntax lautet wie folgt: encutilcmd create-argumente [Optionen] Optionen: -ex XML exportieren Schreibt eine XML-Version der Regeln in die angegebene Datei. -o Ausgabe Schreibt die Ausgabe in eine angegebene Datei. Bei der Standardeinstellung wird die Ausgabe in die Konsole geschrieben. -r Bereich Gibt den Namen eines zu erstellenden Bereichs an. Diese Option kann mehrfach angegeben werden. Kapitel 1: Verwenden von encutilcmd 15
create Erstellt einen Satz von Autorisierungsregeln -tb Test-Batchdatei Erstellt eine benannte ausführbare Datei zum Aufrufen und Testen des mit '-ts' erstellten Skripts. -ts Testskript Erstellt ein benanntes Testskript. Setzt voraus, dass die Option "-o" festgelegt ist. -v Ausführlich Dabei gilt: -ex Führt den Befehl mit maximaler Ausgabe aus. XML exportieren Mit diesem Befehl wird der Regelsatz im XML-Format ausgegeben. Diese Ausgabe kann als direkte Eingabe für den Befehl "ccnfregdb" verwendet werden. -o Ausgabe Diese Option gibt die Ausgabedatei an, die zum Speichern der Textversion des Regelsatzes verwendet werden soll. Bei der Standardeinstellung werden die Regeln in die Konsole geschrieben. -r Bereich -tb -ts Mit dieser Option können Sie einen benannten Bereich angeben, der in den Regelsatz aufgenommen werden soll. Mehrere Bereiche können durch Angabe von mehreren Instanzen der Option ' r' angegeben werden. Test-Batchdatei Diese Option weist das Hilfsprogramm an, eine Test-Batchdatei zum Aufrufen des Testskripts zu erstellen, das durch die Option ' ts' generiert wird. Testskript Diese Option generiert ein Testskript, mit dem der neu erstellte Regelsatz ausprobiert werden kann. -v Ausführlich Wenn die Optionen für die ausführliche Ausgabe angegeben werden, werden mehr Informationen zu den ablaufenden Regelsatzvorgängen ausgegeben. 16 encutilcmd-befehlsreferenz
export Exportiert einen Satz von Autorisierungsregeln aus dem Konfigurationsspeicher export Exportiert einen Satz von Autorisierungsregeln aus dem Konfigurationsspeicher Kurzform: 'e' Der Befehl "export" extrahiert einen aktuellen Autorisierungsregelsatz aus dem gemeinsamen DSM-Speicher und konvertiert ihn in eine Textdatei-Struktur, was an anderer Stelle in dieser Dokumentation erläutert wird. encutilcmd export-argumente [Optionen] Optionen: -ab Abkürzen Gibt einen Export-Regelsatz mit Hilfe gekürzter Ereignisse an. -al Alternativ Gibt einen alternativen Regelsatz an. -ex XML exportieren Schreibt eine XML-Version der Regeln in die angegebene Datei. -o Ausgabe Schreibt die Ausgabe in eine angegebene Datei. Bei der Standardeinstellung wird die Ausgabe in die Konsole geschrieben. -v Ausführlich Dabei gilt: -ab -al Führt den Befehl mit maximaler Ausgabe aus. Abkürzen Exportiert die Ereignisnamen in ihren abgekürzten Versionen. Beispiel: "ServerRegisterAgent" wird als "SRA" exportiert. Hinweis: Bei Verwendung des Befehls "verify" in Kombination mit der -pe-option werden die vollständigen Ereignisnamen mit ihren Abkürzungen in Klammern angezeigt. Alternativ Standardmäßig liest der Befehl "export" den Autorisierungsregelsatz aus dem Speicherort "itrm/common/enc/authz" des gemeinsamen Speichers. Um die Evaluierung von Regeln auf einem Computer zu ermöglichen, ohne dass die Arbeitsabläufe des Computers beeinträchtigt werden, kann ein alternativer Speicherort für die Regeln angegeben werden, z. B. "test1". Kapitel 1: Verwenden von encutilcmd 17
import Importiert einen Satz von Autorisierungsregeln in den Konfigurationsspeicher -ex XML exportieren Erstellt und speichert während des Exports der Regeln eine für die Verwendung durch das ccnfregdb-tool geeignete XML-Version. -o Ausgabe Gibt eine Ausgabedatei für die Textdatei-Regeln an. Standardmäßig gibt das Hilfsprogramm die Ausgabe an der Konsole aus. -v Ausführlich Führt den export-befehl im ausführlichen Modus aus. Die Verwendung der '-v'- Option ist kumulativ, d. h. sie kann in der Befehlszeile einmal oder aber mehrfach angegeben werden, um den Grad der Ausführlichkeit zu erhöhen. import Importiert einen Satz von Autorisierungsregeln in den Konfigurationsspeicher Kurzform: 'import' Der Befehl "import" liest seine Eingabe aus einer angegebenen Textdatei, validiert die Eingabe bis zu einem bestimmten Grad und schreibt dann in den angegebenen Bereich des gemeinsamen Speichers. encutilcmd import-argumente [Optionen] Obligatorische Argumente: -i Eingabedatei Optionen: Gibt die Eingabedatei an. -al Alternativ Gibt einen alternativen Regelsatz an. -ex XML exportieren -fl Schreibt eine XML-Version der Regeln in die angegebene Datei. Speicher leeren Entfernt den aktuellen Regelsatz aus dem gemeinsamen Speicher, bevor ein neuer Satz geschrieben wird. -lr Bereiche auflisten Druckt den Namen der Bereiche aus der Eingabedatei aus. 18 encutilcmd-befehlsreferenz
import Importiert einen Satz von Autorisierungsregeln in den Konfigurationsspeicher -mgr -notify Manager Erzwingt Manager-Zugriff zum Überschreiben. Setzt Administratorrechte voraus. Benachrichtigen Sendet Signal an ENC-Prozesse, um zu melden, dass die Konfiguration geändert wurde. -nw Kein Schreibzugriff Überträgt die Regeln nicht; analysiert nur die Eingabedatei. -v Ausführlich Dabei gilt: Führt den Befehl mit maximaler Ausgabe aus. -i Eingabedatei -al -ex -fl Dieses obligatorische Argument gibt den Namen der Eingabe-Textdatei an. Alternativ Standardmäßig schreibt der Befehl "import" den Autorisierungsregelsatz in den Speicherort "itrm/common/enc/authz" des gemeinsamen Speichers. Um die Evaluierung von Regeln auf einem Computer zu ermöglichen, ohne dass die Arbeitsabläufe des Computers beeinträchtigt werden, kann ein alternativer Speicherort für die Regeln angegeben werden, z. B. "test1". XML exportieren Erstellt und speichert während des Imports der Regeln eine für die Verwendung durch das ccnfregdb-tool geeignete XML-Version. Speicher leeren Wenn sich ein vorhandener Regelsatz bereits im gemeinsamen Speicher befindet, überschreibt das Hilfsprogramm den aktuellen Satz nicht, um mögliche Beschädigungen oder Konflikte zu vermeiden. Löschen Sie den vorhandenen Regelsatz mit dem Befehl '-fl', bevor Sie den neuen übergeben. Kapitel 1: Verwenden von encutilcmd 19
import Importiert einen Satz von Autorisierungsregeln in den Konfigurationsspeicher -lr -mgr Bereiche auflisten Diese Option listet die aus der Eingabedatei gelesenen Bereiche auf. Manager Wenn der aktuelle Regelsatz als zentral verwaltete Richtlinie angewendet wurde und der Richtliniensatz die Kommunikation des Computers aufgrund einer fehlerhaften Regeldefinition verhindert, ist die Verwendung des '-mgr'-schalters hilfreich, um die Anwendung der Regeln zu erzwingen, wobei die Option der zentral verwalteten Richtlinie außer Kraft gesetzt wird. Wenn der Computer das nächste Mal ein Richtlinien-Update empfängt, werden diese Regeln dann durch die zentral definierten Regeln überschrieben. -notify Benachrichtigen -nw Verwenden Sie diese Option, um sicherzustellen, dass das ENC-Gateway die neuen Konfigurationsdaten sofort liest. Das Hilfsprogramm signalisiert allen Prozessen, die es überwachen, dass die Autorisierungskonfiguration aktualisiert wurde. Kein Schreibzugriff Die Option 'Kein Schreibzugriff' verhindert, dass das Hilfsprogramm den neuen Regelsatz an den gemeinsamen Speicher übergibt. Dies ermöglicht dem Hilfsprogramm, den neuen Regelsatz zu laden, zu analysieren und zu evaluieren, ohne dass er an den gemeinsamen Speicher übergeben werden muss. Hinweis: Diese Option beendet nicht die Operation des Befehls '-fl'. Dies ermöglicht die Verwendung einer Kombination aus '-fl' und '-nw' zum Leeren des vorhandenen gemeinsamen Speichers, ohne dass ein neuer Regelsatz geschrieben werden muss. Dies kann nützlich sein, um leere Konfigurationssätze zu testen und alte Testsätze zu löschen. -v Ausführlich Führt den import-befehl im ausführlichen Modus aus. Die Verwendung der '-v'- Option ist kumulativ, d. h. sie kann in der Befehlszeile einmal oder aber mehrfach angegeben werden, um den Grad der Ausführlichkeit zu erhöhen. 20 encutilcmd-befehlsreferenz
importdb Importiert einen Satz von Autorisierungsregeln in die Datenbank importdb Importiert einen Satz von Autorisierungsregeln in die Datenbank Kurzform: 'importd' Der Befehl "importdb" liest seine Eingabe aus einer angegebenen Textdatei, validiert die Eingabe und schreibt dann mit Hilfe des ccnfregdb-tools den Regelsatz in die CCNF- Datenbank. Da die Autorisierungskonfiguration nur an ENC-Gateway-Knoten geliefert werden sollte, erstellt dieser Befehl normalerweise eine neue Richtlinie, die anschließend einer DSM-Gruppe von ENC-Knoten zugewiesen wird. Dieses Verhalten kann durch die Angabe der Standardoption zum Schreiben in die vorhandene Standardcomputerrichtlinie geändert werden. encutilcmd importdb-argumente [Optionen] Obligatorische Argumente: -i Eingabedatei Gibt die Eingabedatei an. -n Richtlinienname Optionen: Gibt den Richtliniennamen an, in den importiert werden soll. Der Name muss eindeutig sein. -def Standard -desc Schreibt in die Standardcomputerrichtlinie. Beschreibung Beschreibt die Richtlinie. -ex XML exportieren Schreibt eine XML-Version der Regeln in die angegebene Datei. -lr Bereiche auflisten Druckt den Namen der Bereiche aus der Eingabedatei aus. -m Manager CCNFREGDB: Gibt den Ziel-Managernamen an. Der Standardwert ist "localhost". -nw Kein Schreibzugriff Überträgt die Regeln nicht; analysiert nur die Eingabedatei. Kapitel 1: Verwenden von encutilcmd 21
importdb Importiert einen Satz von Autorisierungsregeln in die Datenbank -o Überschreiben CCNFREGDB. Gibt an, ob vorhandene Konfigurationsdatenbankwerte überschrieben werden sollen. Bei der Standardeinstellung werden keine Werte überschrieben. -s Automatisch überspringen CCNFREGDB. Gibt an, ob das automatische Konfigurations-Update für betroffene Computer übersprungen werden soll. Bei der Standardeinstellung wird ein sofortiges Update erzwungen. -v Ausführlich Dabei gilt: -def -desc -ex Führt den Befehl mit maximaler Ausgabe aus. Standard Diese Option gibt an, dass die Autorisierungsdaten in die Standardcomputerrichtlinie und nicht in eine neue benannte Richtlinie importiert werden sollen. Dadurch werden Autorisierungsdaten an alle DSM-Knoten verteilt, die der aktuellen DSM-Domäne zugeordnet sind. Beschreibung [Textzeichenfolge] Diese Option wendet eine vom Bediener angegebene beschreibende Zeichenfolge auf die importierte Richtlinie an. Sie wird zum Hinzufügen von Kommentaren bezüglich des Zwecks der Richtlinie verwendet. XML exportieren Erstellt und speichert während des Exports der Regeln eine für die Verwendung durch die ccnfregdb-tools geeignete XML-Version. -i Eingabedatei -lr Dieses obligatorische Argument gibt den Namen der Eingabe-Textdatei an. Bereiche auflisten Diese Option listet die aus der Eingabedatei gelesenen Bereiche auf. 22 encutilcmd-befehlsreferenz
importdb Importiert einen Satz von Autorisierungsregeln in die Datenbank -m Manager Diese Option wird als Zielmanager des Registrierungsbefehls an das ccnfregdb-tool übergeben. Standardmäßig ist das Ziel 'localhost', da erwartet wird, dass der Befehl auf dem Domänen-Manager-Host ausgeführt wird. -n Richtlinienname [Textzeichenfolge] -nw Diese Option benennt die neu importierte Richtlinie. Dieser Name sollte kurz aber beschreibend sein. Beispiel: ENC-Regelsatz-Haupt Kein Schreibzugriff Die Option 'Kein Schreibzugriff' verhindert, dass das Hilfsprogramm den neuen Regelsatz an die Datenbank übergibt. Dies ermöglicht dem Hilfsprogramm, den neuen Regelsatz zu laden, zu analysieren und zu evaluieren, ohne dass er übergeben werden muss. -o Überschreiben Diese Option wird an das ccnfregdb-tool übergeben. Es gibt an, ob vorhandene Regeln in der Konfigurationsdatenbank überschrieben werden sollen. Bei der Standardoption für das ccnfregdb-tool werden keine vorhandenen Daten überschrieben. -s Automatisch überspringen Diese Option wird an das ccnfregdb-tool übergeben. Sie gibt an, dass das automatische Konfigurations-Update für betroffene Computer übersprungen werden soll. Beim Standardverhalten wird die Richtlinie sofort an alle betroffenen Computer geliefert. -v Ausführlich Führt den importdb-befehl im ausführlichen Modus aus. Die Verwendung der '-v'- Option ist kumulativ, d. h. sie kann in der Befehlszeile einmal oder aber mehrfach angegeben werden, um den Grad der Ausführlichkeit zu erhöhen. Kapitel 1: Verwenden von encutilcmd 23
client Legt die ENC-Client-Konfiguration fest. client Legt die ENC-Client-Konfiguration fest. Kurzform: 'cl' Dieser Befehl bietet die Möglichkeit, den ENC-Gateway-Client zu aktivieren oder zu deaktivieren und andere Konfigurationselemente festzulegen, die für den Client relevant sind. Mit diesem Befehl können Sie den Ziel-ENC-Gateway-Server und seine konfigurierten Ports festlegen und/oder Proxykonfigurationsinformationen angeben. Im Rahmen der normalen Abläufe wird der ENC-Client durch eine Richtlinie konfiguriert. Dies kann den Benutzernamen und das Kennwort für das Verbinden mit einem Internet- Proxy-Server umfassen. Falls versehentlich das falsche Kennwort von der Richtlinie gesendet wird, werden die Zielcomputer möglicherweise von ENC getrennt, da sie sich nicht mehr beim Proxy authentifizieren können. Wenn die Computer durch eine Firewall vom Domänen-Manager getrennt sind, können sie kein Richtlinien-Update zur Behebung des Problems empfangen. In dieser Situation müssten Sie normalerweise die korrekten Anmeldeinformationen manuell mit Hilfe von ccnfcmda in comstore eingeben. Dies ist jedoch unzulänglich, da das Kennwort verschlüsselt ist. Encutilcmd bietet eine Möglichkeit zur Eingabe verschlüsselter Kennwörter. Die Syntax lautet wie folgt: Encutilcmd client [Optionen] Obligatorische Optionen: -proxy_http Legt die Anmeldeinformationen für einen HTTP-Proxy fest - -proxy_socks -state Legt die Anmeldeinformationen für einen SOCKS5-Proxy fest. Legt den Status des ENC-Clients fest. 24 encutilcmd-befehlsreferenz