test

Sun Enterprise Authentication Mechanism 1.0.1 のインストール

第 2 章 SEAM のインストール

この章では、SEAM 製品のインストールに必要な手順を説明します。インストールを行う場合は、この手順に従ってください。この章には、SEAM の事前構成手順とインストールの手順について記載されています。この事前構成の手順に従えば、サイト固有のほとんどのデータを事前構成で行うことができます。そうすれば、インストールの過程でファイルを手動で編集する必要はありません。ローカルインストールの方法も記述されています。インストール手順では、事前構成情報を使って、すべての SEAM ソフトウェアを実際に追加する方法を説明しています。

この章では、次の項目について説明します。

SEAM パッケージの内容

SEAM ソフトウェアは、クライアント、KDC スレーブサーバー、KDC マスターサーバーのいずれかにインストールできます。それ以外のサーバー (SEAM アプリケーションサーバーや SEAM NFS サーバーなど) は、クライアントソフトウェアパッケージをインストールした後で構成します。インストールの種類によって、1 つまたは複数のパッケージが追加されます。パッケージの中には、システムセキュリティにとって重要なファイルを変更するものがあります。

SEAM クライアントパッケージ

このクライアントパッケージでは、SEAM マニュアルページ、管理アプリケーション (kadmingkadmin など)、それに Kerberos 化されたデーモンや ftpftpd などのユーティリティがインストールされます。インストール時に、ファイル/etc/inetd.conf/etc/services/etc/pam.conf/etc/krb5/krb5.conf が更新されます。これらのファイルにサイト固有の変更をしている場合は、インストール後にファイル内容を確認してください。

スレーブ KDC パッケージ

スレーブ KDC インストール手順では、すべてのクライアントパッケージに加え、KDC サーバーによって必要となるユーティリティを含む追加パッケージがインストールされます。スレーブ KDC デーモンを起動する起動スクリプトが /etc/init.d/kdc にインストールされます。さらに、/etc/krb5/kdc.conf/etc/inetd.conf ファイルが編集されます。

マスター KDC パッケージ

マスター KDC インストールの過程で、すべてのクライアントパッケージ、スレーブ KDC パッケージ、および、マスター KDC サーバーだけで必要なファイルやユーティリティを含むパッケージがインストールされます。この過程では、rootcrontab ファイルが編集され、起動スクリプトが /etc/init.d/kdc.master にインストールされます。KDC へのアクセスを制御するファイル /etc/krb5/kadm5.acl と KDC データベースの伝達を制御するファイル /etc/krb5/kpropd.acl が追加されます。KDC データベースのセキュリティには、これらのファイルのセキュリティを確保することが重要です。

パッチ

SEAM 1.0 リリースに含まれていたパッチはすべて、Solaris 2.6、Solaris 7 リリース用のものです。SEAM 1.0.1 リリース用のパッチはありません。

SEAM インストール作業マップ

SEAM を最大限に使用するには、製品を特定の順序でインストールする必要があります。必要ならこの順序を変えることもできますが、その場合一部の手順を繰り返したり、構成ファイルを手動で変更する必要が生ずることもあります。

表 2-1 最初の手順: SEAM の構成順序

作業 

説明 

参照箇所 

1. SEAM のインストール計画を作成する 

 ソフトウェアのインストールを始める前に、構成に関する諸問題を検討し、決定を行うSun Enterprise Authentication Mechanism 1.0.1 ガイド』の「SEAM の計画」

2. (省略可能) NTP をインストールする 

 SEAM が正しく動作するには、同じレルムにあるすべてのシステムのクロックが同期していなければならないSun Enterprise Authentication Mechanism 1.0.1 ガイド』の「KDC と SEAM クライアント間のクロックの同期」

3. (省略可能) SEAM 事前構成手順を実行する 

 多数のホストがあるサイトのインストールを簡単にするには、この手順を実行すればインストール情報の多くを NFS サーバーに格納できます。この情報は、インストール時に使用される「SEAM インストールを事前構成するには」

4. SEAM ソフトウェアのインストール手順を実行する 

 SEAM ソフトウェアパッケージをクライアントまたはサーバーにインストールする「GUI を使って SEAM ソフトウェアをインストールするには」

5. マスター KDC サーバーを構成する 

 あるレルムのマスター KDC サーバーとデータベースを構成および構築する手順Sun Enterprise Authentication Mechanism 1.0.1 ガイド』の「KDC サーバーの構成」

6. SEAM の構成に必要なその他の手順 

 スレーブ KDC、SEAM クライアント、SEAM NFS サーバーを構成する手順、およびその他の有益な作業Sun Enterprise Authentication Mechanism 1.0.1 ガイド』の「SEAM 構成の作業マップ」

SEAM ソフトウェアのインストール

インストール処理は次の手順で行います。最初の手順では、構成処理で使用するファイルを置くための書き込み可能領域を設定します。この書き込み可能ファイルシステムと SEAM パッケージのイメージは、SEAM をインストールする必要があるすべてのシステムにエクスポートできなければなりません。次のどちらかを選択します。

  1. エクスポート可能な NFS サーバーのローカルディスクに SEAM CD をコピーする。- 「SEAM イメージをローカルファイルシステムにコピーするには」を参照してください。

  2. 書き込み可能ファイルシステムをこの CD にマウントし、両方をエクスポートする。- 「書き込み可能ファイルシステムを Admin Pack CD にマウントするには」を参照してください。

書き込み可能領域の用意ができたら、次の手順で、構成ファイルに必要な情報を定義します。この事前構成手順を行えば、後でこの情報を手入力する必要はありません。最後の手順では、事前構成情報がある場合、それを使って SEAM ソフトウェアをインストールします。

マスター KDC、スレーブ KDC、SEAM クライアントの構成ファイルを設定する手順は省略可能ですが、サイトに多数のシステムがある場合には、構成ファイルを使用すると、多くの利点があります。

  1. データは一度だけ入力すればよいため、インストールが短時間で終ります。

  2. 構成ファイルはすべてのインストール処理で共有されるため、インストールでエラーを起こす可能性が低くなります。

この処理で使用するツールにより、レルム名、KDC サーバー名など、重要な情報を収集し、格納することができます。

次の手順では、SEAM 製品をインストールします。インストールを行う前に、必要なシステムタイプを決めておく必要があります。インストール処理では、マスター KDC のインストール、スレーブ KDC のインストール、SEAM クライアントのインストールから 1 つを選択します。マスター KDC インストールパッケージは KDC マスターサーバーだけにインストールします。同じように、スレーブ KDC パッケージは KDC スレーブサーバーだけにインストールします (「GUI を使って SEAM ソフトウェアをインストールするには」を参照)。

SEAM を必要とするホストには、SEAM クライアントパッケージをインストールする必要があります。このようなホストには、ネットワークアプリケーションサーバー、NFS サーバー、すべてのクライアントなどがあります。事前構成手順が用意されていれば、SEAM クライアントをインストールする手順は簡単になります (「GUI を使用せずに SEAM クライアントをインストールするには」を参照)。

この節の最後の手順では、事前構成手順が終了する前にシステムにすべてのソフトウェアがインストールされている場合、このシステムをどのように修正するかを説明します。事前構成を行わずにデフォルトで Solaris 8 Admin Pack をインストールすると、修正が必要になります。詳細は、「未構成のシステムを修正するには」を参照してください。

SEAM イメージをローカルファイルシステムにコピーするには

SEAM をインストールしている間に Solaris 8 Admin Pack CD をサーバーからアンマウントしておきたい場合は、SEAM イメージを使用できるようにするために、Admin Pack CD からパッケージをコピーします。これらのパッケージには約 50M バイトが必要です。この手順では、サーバーで Admin Pack CD を使用する必要があります。

  1. NSF サーバーでスーパーユーザーになります。

  2. Admin Pack CD から SEAM イメージをローカルファイルシステムにコピーします。


    # cd /export
# mkdir SEAM
# cd /cdrom
# find .install products/Sun_Enterprise_Authentication_Mechanism -print|
        cpio -dump /export/SEAM
    注 -

    最後の行は見やすいように 2 行に分割されていますが、1 つのコマンドとして入力する必要があります。

  3. ファイシステムをエクスポートします。

    すべてのインストール処理で構成ファイルを使用するには、すべてのホストで /export または /export/SEAM が NFS マウント可能である必要があります。

    1. /etc/dfs/dfstab ファイルを編集します。

      /export または /export/SEAM のエントリがない場合、追加します。


      share -f nfs -ro /export/SEAM

    2. NFS サービスを起動します。

      share コマンド (または一連の share コマンド) を初めて起動する場合には、NFS デーモンはおそらく動作していません。次のコマンドを実行すると、デーモンが終了し、再起動されます。


      # /etc/init.d/nfs.server stop
# /etc/init.d/nfs.server start

次の手順

構成ファイルを格納する場所が確保できたら、「SEAM インストールを事前構成するには」の次の手順に従ってください。

書き込み可能ファイルシステムを Admin Pack CD にマウントするには

SEAM をインストールする間、サーバーに Solaris 8 Admin Pack CD を残しておく場合は、この CD に書き込み可能なファイルシステムをマウントし、事前構成情報を格納する場所を用意しなければなりません。この手順では、サーバーに Admin Pack CD が必要です。

  1. NSF サーバーでスーパーユーザーになります。

  2. 事前構成ファイルのファイルシステムを作成します。


    # cd /export
# mkdir SEAM_preconfig

  3. ファイルシステムを Admin Pack CD にマウントします。


    # SEAM=/cdrom/products/Sun_Enterprise_Authentication_Mechanism/¥
> .install/pkgutil/siteconfig_response
# mount -F lofs /export/SEAM_preconfig $SEAM

  4. ファイルシステムをエクスポートします。

    すべてのインストール処理で構成ファイルを使用するには、すべてのホストで /export または /export/SEAM が NFS マウント可能である必要があります。

    1. /etc/dfs/dfstab ファイルを編集します。

      /cdrom のエントリと新しいディレクトリ /export/SEAM_preconfig のエントリがなければ、それを追加します。


      share -f nfs -ro /cdrom
share -f nfs -ro /export/SEAM_preconfig

    2. NFS サービスを起動します。

      share コマンド (または一連の share コマンド) を初めて起動する場合には、NFS デーモンはおそらく動作していません。次のコマンドを実行すると、デーモンが終了し、再起動されます。


      # /etc/init.d/nfs.server stop
# /etc/init.d/nfs.server start

次の手順

構成ファイルを格納する場所が確保できたら、「SEAM インストールを事前構成するには」の次の手順に従ってください。

SEAM インストールを事前構成するには

この手順を行えば、KDC や SEAM クライアントを構成するのに必要な情報の多くを事前に構成できます。事前構成が必要な場合は、事前構成情報を格納する書き込み可能ファイルシステムが必要です (「SEAM イメージをローカルファイルシステムにコピーするには」または 「書き込み可能ファイルシステムを Admin Pack CD にマウントするには」を参照)。NFS ファイルシステムに格納された情報は、インストール手順中に、同じレルムにある各ホストからアクセスされます。この手順は省略可能ですが、大きなサイトには非常に有益です。

注 -

この手順では、事前構成情報を使って SEAM を NFS サーバーにインストールしますが、少なくとも KDC マスターをインストールするまでは、SEAM アプリケーションはどれも動作しません。

この手順では、次の構成パラメータを使用します。

  1. NSF サーバーでスーパーユーザーになります。

  2. インストールを開始します。


    # cd /export/SEAM/products/Sun_Enterprise_Authentication_Mechanism
# ./installer
    注 -

    パッケージのインストールに NFS サーバーではなく CD を使用する場合には、 

    /net/denver/cdrom/products/SUN_Enterprise_Authentication_Mechanism
    にある Installer を使用してください。

  3. 「ようこそ (Welcome)」画面の「次へ (Next)」をクリックします。

  4. インストールタイプを選択します。

    この画面ではデフォルトインストールかカスタムインストールを選択できますが、ここではカスタムインストールを選択して事前構成画面を表示します。次に「次へ (Next)」をクリックします。

  5. 「ロケールを選択 (Locale Selection)」画面で必要な言語 (たとえば日本語) をチェックし、「次へ (Next)」をクリックします。

  6. インストールするソフトウェア構成要素を選択します。

    NFS サーバーを SEAM クライアントとして使用しない場合や、事前構成情報を収集しているだけなら、構成要素を選択する必要はありません。5.8 Kerberos 対応の NFS サポートを提供する Solaris 8 NFS サーバーの場合は、構成要素として「Kernel Module」と「SEAM Client」だけを選択します。「次へ (Next)」をクリックして次に進みます。

  7. サイト構成情報を定義します。

    この画面では、構成手順を選択し、構成情報を入力します。

    1. 構成手順を選択します。

      画面上部で、マシンをどのように構成するのかを選択します。この手順では「サイト情報を再構成する (Re-configure site information)」を選択しますが、選択肢には次のものがあります。

      • 事前に設定されたサイト情報を使用する - 事前構成処理がすでに終っているときに使用します。

      • サイト情報を再設定する - 新しい情報を入力するときに使用します。

      • このマシンだけで設定する - このホストの情報を新しく入力するときに使用します。

      • あとでこのマシンを設定する - 全部の構成パラメータについては確信をもてないが、とにかくパッケージをインストールしたいときに使用します。

    2. サイト構成ディレクトリを指定します。

      これは、SEAM のインストールが必要なすべてのシステムからマウント可能なファイルシステムへのパスにします。

    3. レルム名を指定します。

      慣習的に、レルム名は他のドメイン名と区別するために大文字で表します。たとえば、この例の場合、ドメイン名は ACME.COM です。

    4. マスター KDC サーバーとスレーブ KDC サーバーの名前を指定します。

      ホスト名には完全指定パスを使用します。たとえば、この例の場合、マスターのホスト名は kdc1.acme.com、スレーブのホスト名は kdc2.acme.com です。スレーブは、必要に応じて追加できます。

    5. この領域の DNS ドメイン名を入力します。

    6. オンラインヘルプの URL を指定します。

      この URL は SEAM 管理ツールによって使用されるため、適切に定義しないと「ヘルプの目次 (Help Contents)」メニューが正しく動作しません。このマニュアルの Web 版は、適切な AnswerBook2 サーバーであればどのサーバーにでもインストールできます。localhost エントリを変更し、アドレスの SEAM 部分の後に情報を追加する必要があります。

      この例の場合、URL は、もっと適切なロケーションがなければ、http://denver:8888/ab2/coll.384.2/SEAM/@AB2PageView/6685 とします。『Sun Enterprise Authentication Mechanism 1.0.1 ガイド』の「プリンシパルとポリシーの管理」の章の「SEAM 管理ツール」を参照してください。

      URL を確認するには、任意の Web ブラウザにこの URL を入力し、このページを表示します。URL を確認する前に、Solaris 8 Admin Pack 文書を必ずインストールしてください。

      注 -

      日本語版の文書を指定するには、http://denver:8888/ab2/coll.529.2/SEAM となります。

    7. チケットの最大有効期間を指定します。

      デフォルト値を使用する場合は、変更しないでください。

    8. 更新可能チケットの最大有効期間を指定します。

      デフォルト値を使用する場合は、変更しないでください。

    9. これまでに設定した定義を見直します。

      定義が正しければ、「次へ (Next)」をクリックして次へ進みます。「次へ (Next)」をクリックすると、事前構成情報が構成ディレクトリに保存されます。

      Graphic
    注 -

    この手順の後でディスク容量の検査が行われます。十分な容量がある場合は、何もする必要はありません。

  8. 「インストールを開始 (Install Now)」をクリックしてインストールを開始します。

    選択済みの構成要素が画面に表示されます。事前構成情報を収集しているだけで、構成要素を選択していない場合は、「終了 (Exit)」をクリックすることができます。

  9. インストール処理の要約が表示されます。「次へ (Next)」をクリックして次へ進みます。

  10. 次の画面にその他の情報が表示されます。「終了 (Exit)」をクリックして手順を終ります。

    リブートするかどうかをたずねるメッセージがウィンドウに表示されます。サーバーが SEAM を使用するときまで、リブートは必要ありません。

GUI を使って SEAM ソフトウェアをインストールするには

この例では SEAM のマスターサーバーのインストールを選択しますが、スレーブやクライアントのインストール手順もほとんど同じです。SEAM パッケージは /net/denver/export/SEAM にインストールされています。これは、ローカルファイルシステムにインストールすることも、Admin Pack CD を使ってインストールすることもできます。

「GUI を使用せずに SEAM クライアントをインストールするには」の手順を使うと、SEAM クライアントのインストール時間が短くなります。

  1. インストールスクリプトを起動します。


    # cd /net/denver/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism
# ./installer

  2. 「ようこそ (Welcome)」画面の「次へ (Next)」をクリックします。

  3. インストールタイプを選択します。

    この画面ではデフォルトインストールかカスタムインストールを選択できますが、ここではカスタムインストールを選択します。次に「次へ (Next)」をクリックします。

  4. 「ロケールを選択 (Locale Selection)」画面で必要な言語 (たとえば日本語) をチェックし「次へ (Next)」をクリックします。

  5. インストールするソフトウェア構成要素を選択します。

    マスターには Mater Server パッケージを、スレーブには Slave Server パッケージを選択します。必要に応じて他のパッケージを追加してください。「次へ (Next)」をクリックして次に進みます。

  6. 構成手順とディレクトリを選択します。

    この画面では、構成手順を選択し、構成ファイルへのパスを指定します。サイト情報がすでに事前構成されている場合は、「以前に構成したサイト情報を使用する (Use previously configured site information)」を選択し、構成ファイルへのディレクトリパスを指定します。

    Graphic
    注 -

    この手順の後でディスク容量の確認が行われます。十分な容量がある場合は、何もする必要はありません。

  7. 「インストールを開始 (Install Now)」をクリックしてインストールを開始します。

    選択済みの構成要素が画面に表示されます。

  8. インストール処理の要約が表示されます。「次へ (Next)」をクリックして次へ進みます。

  9. 次の画面にその他の情報が表示されます。「終了 (Exit)」をクリックして手順を終ります。

次の手順

SEAM ソフトウェアをインストールした後に行う作業については、『Sun Enterprise Authentication Mechanism 1.0.1 ガイド』を参照してください。

GUI を使用せずに SEAM クライアントをインストールするには

SEAM クライアントは、事前構成後に、GUI を使わずにインストールできます。GUI を使わないので、インストール画面は表示されません。したがって、インストール時間は短くなります。画面を使わないので、クライアントパッケージだけが追加されます。

必要なら、事前構成処理を行う前にすべてのクライアントをインストールし、「未構成のシステムを修正するには」に記述されているスクリプトを使って構成を行うこともできます。

  1. クライアントでスーパーユーザーになります。

  2. 事前構成領域のディレクトリに移動します。


    # cd /net/denver/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism
    注 -

    CD からパッケージをインストールする場合には、パスは 

    /net/denver/cdrom/products/Sun_Enterprise_Authentication_Mechanism
    です。

  3. Installer を起動します。


    # ./installer -nodisplay

未構成のシステムを修正するには

事前構成を行わずにすべてのインストールを行なった場合は、システムを次の手順で修正できます。

  1. システムでスーパーユーザーになります。

  2. 次のスクリプトを実行して構成を修正します。


    # cd /net/denver/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism
# ./sparc/Tools/seamfixconfig
    注 -

    Admin Pack CD を使用する場合には、パスは 

    /net/denver/cdrom/products/Sun_Enterprise_Authentication_Mechanism
    です。

SEAM のアンインストール

Solaris 8 Admin Pack リリースの他の製品と同じように、SEAM は、prodreg を使ってアンインストールできます。このユーティリティの詳細は、『Solaris 8 Admin Pack のインストール』の「Solaris Product Registry からの製品のアンインストール」を参照してください。

prodregまたは pkgrm を使用して、SEAM パッケージを削除すると、インストール中に行なったファイルの変更が反映されない場合があります。この場合、SEAM パッケージの削除処理を完了するには、 /etc/pam.conf/etc/krb5/warn.conf/etc/krb5/krb5.conf、および /etc/inet/inetd.conf を編集する必要があります。

Solaris 管理コンソールに関連する追加情報

SEAM のインストールが終ったら、SEAM 管理ツールを Solaris 管理コンソール (SMC) から起動できます。この GUI を起動するには、SMC ウィンドウの左の枠で「セキュリティ (security)」カテゴリをダブルクリックして、右の枠で SEAM アイコンをダブルクリックします。