Capitolo 2 Installazione di SEAM

Questo capitolo descrive le procedure necessarie per installare il prodotto SEAM, e si rivolge a tutti gli utenti che debbano eseguire un'installazione. Descrive inoltre le procedure da seguire per preconfigurare e installare SEAM. La prima procedura consente la preconfigurazione di buona parte dei dati relativi al sito, in modo da evitare la modifica manuale di questi dati nell'ambito del processo di installazione, e descrive un'installazione locale. La seconda procedura riguarda l'aggiunta effettiva del software SEAM sulla base delle informazioni preconfigurate.

In questo capitolo sono trattati i seguenti argomenti:

• "Contenuto dei package di SEAM"

• "Installazione di SEAM"

• "Disinstallazione di SEAM"

Contenuto dei package di SEAM

Il software SEAM può essere installato su un client, su un KDC slave o su un KDC master. Tutti gli altri tipi di server (ad esempio i server di applicazioni SEAM o i server NFS SEAM) vengono configurati dopo l'installazione dei package del software client. Ogni tipo di installazione aggiunge uno o più package, alcuni dei quali modificano file importanti per la sicurezza del sistema.

Package per i client SEAM

I package client installano le pagine man di SEAM, le applicazioni Kerberos (come klist), le applicazioni amministrative (kadmin e gkadmin) e i daemon e le utility basate su Kerberos (ftp e ftpd, ad esempio). Durante il processo di installazione vengono modificati i seguenti file: /etc/inetd.conf, /etc/services, /etc/pam.conf e /etc/krb5/krb5.conf. Se questi file sono stati modificati con dati relativi al proprio sito, controllare il contenuto dei file dopo l'installazione.

Inoltre, solo sui client Solaris 2.6, vengono installati i file che forniscono il supporto per il framework GSS_API e per RPCSEC_GSS. Questi file fanno già parte di Solaris 7, perciò vengono aggiunti solo ai client che utilizzano Solaris 2.6. I nuovi file installati per le funzioni di sicurezza sono /etc/gss/gsscred.conf, /etc/gss/mech, /etc/gss/qop e /etc/nfssec.conf. Vengono inoltre modificati il file crontab di root e il file /etc/inetd.conf. Anche in questo caso, se i file contengono modifiche relative al proprio sito, si consiglia di controllare il contenuto dei file dopo l'installazione.

Package per il KDC slave

Il processo di installazione del KDC slave installa tutti i package del client e un package aggiuntivo che include le utility necessarie per tutti i server KDC. Viene installato uno script di avvio in /etc/init.d/kdc, che avvia i daemon del KDC slave. Vengono inoltre modificati i file /etc/krb5/kdc.conf e /etc/inetd.conf.

Package per il KDC master

Il processo di installazione del KDC master installa tutti i package dei client, i package per il KDC slave e un package che include i file e le utility richiesti solo per il KDC master. Il processo modifica il file crontab di root e installa uno script di avvio in /etc/init.d/kdc.master. Vengono aggiunti un file per il controllo degli accessi al KDC, /etc/krb5/kadm5.acl, e un file per il controllo della propagazione del database del KDC, /etc/krb5/kpropd.acl. La protezione di questi file è importante per la sicurezza del database del KDC.

Patch

Tutte le patch fornite con SEAM sono destinate a sistemi Solaris^TM 2.6 SPARC^TM e Intel. Alcune di queste patch incorporano correzioni che non riguardano SEAM. La ragione è che sia le correzioni relative a SEAM che quelle non relative a SEAM hanno effetto sullo stesso file binario; tutte le patch incluse sono ufficiali.

Queste patch sono tutte necessarie se si desidera utilizzare il sistema di sicurezza Kerberos V5 con le esportazioni e i file system NFS. Se non si desidera usare SEAM per la protezione dei file system NFS, le patch non sono necessarie.

Le patch di Solaris sono numerate come XXXXXX-VV, dove XXXXXX è l'identificativo (ID) di base della patch e VV è il numero di versione. In genere, l'ID di base delle patch i386 è uguale all'ID di base per la versione SPARC più uno.

Qui di seguito sono elencate le patch incluse in SEAM 1.0. Gli ID delle patch per SPARC sono elencati per primi.

105472-04 / 105473-04 -- Senza questa patch, l'automounter va in crash quando accede ai file system NFS attivati con il sistema di sicurezza Kerberos V5 (cioè quando il server NFS condivide il file system con sec= krb5, krb5i o krb5p).

105564-03 / 105565-03 -- Senza questa patch, il comando chgrp non funziona sui file system NFS che sono attivati con il sistema di sicurezza Kerberos V5.

105615-04 / 105616-04 -- Senza questa patch, non è possibile esportare correttamente i file system NFS dai server con un comando come: share -o sec=krb5,rw=mpk16-labnets,ro=engineering /export/krb5. È invece possibile, con o senza la patch, usare comandi meno complessi come: share -o sec=krb5 /export/krb5.

106639-01 / 106640-01 -- Questa patch corregge un difetto di memoria che si verifica quando si utilizzano file system NFS che usano il sistema di sicurezza Kerberos V5.

107228-01 / 107281-01 -- Questa patch corregge XFN per consentirne la scalabilità con le tabelle di grandi dimensioni adatte al comando gsscred. Se si sceglie di non usare XFN, questa patch non è necessaria.

Mappa delle operazioni di installazione di SEAM

Per utilizzare SEAM in modo ottimale, l'installazione del prodotto dovrebbe essere effettuata in un ordine specifico. Questo ordine può essere all'occorrenza modificato, ma in tal caso potrà essere necessario ripetere alcune operazioni o effettuare modifiche manuali ai file di configurazione.

Tabella 2-1 Prime operazioni: Ordine di configurazione di SEAM

Operazione	Descrizione	Per istruzioni, vedere...
1. Pianificare l'installazione di SEAM	Considerare i problemi di configurazione e prendere decisioni a riguardo prima di iniziare il processo di installazione.	"" in Manuale di Sun Enterprise Authentication Mechanism
2. (Opzionale) Installare NTP	Perché SEAM funzioni correttamente, è necessario che tutti gli orologi dei sistemi del settore siano sincronizzati.	"Sincronizzazione degli orologi tra i KDC e i client SEAM" nel Manuale di Sun Enterprise Authentication Mechanism
3. (Opzionale) Eseguire la procedura di preconfigurazione di SEAM	Per facilitare l'installazione di un sito con molti host, è possibile eseguire una procedura per memorizzare buona parte delle informazioni di installazione su un server NFS. Queste informazioni potranno quindi essere usate durante l'installazione.	"Preconfigurare le installazioni SEAM"
4. Eseguire la procedura di installazione di SEAM	Installare i package di SEAM su un client o su un server	"Installare il software SEAM con l'interfaccia grafica"
5. Configurare il KDC master	Procedura per configurare e creare il KDC master e il database per un settore.	"" in Manuale di Sun Enterprise Authentication Mechanism
6. Altre operazioni di configurazione di SEAM	Procedure per la configurazione di KDC slave, client SEAM, server NFS SEAM e altre operazioni utili.	"" in Manuale di Sun Enterprise Authentication Mechanism

Installazione di SEAM

Il processo di installazione dovrebbe essere eseguito con le procedure descritte qui di seguito. Il primo passo consiste nel designare un'area scrivibile in cui collocare i file utilizzati durante il processo di configurazione. Questo file system scrivibile e un'immagine dei package di SEAM dovrebbero essere esportabili su tutti i sistemi che richiedano l'installazione di SEAM. È possibile procedere in uno di questi modi:

1. Copiare il CD di SEAM in un disco locale su un server NFS che possa essere esportato, vedere "Copiare l'immagine di SEAM su un file system locale".

2. Attivare un file system scrivibile sul CD ed esportare entrambi, vedere "Attivare un file system scrivibile sul CD di SEAS".

Una volta predisposta un'area scrivibile, il passo successivo consiste nel definire le informazioni necessarie per i file di configurazione, in modo da non dover specificare queste informazioni manualmente. Questa procedura viene detta di preconfigurazione. L'ultima procedura installa il software SEAM usando le informazioni di preconfigurazione (se disponibili).

La procedura per la creazione dei file di configurazione per il KDC master, i KDC slave e i client SEAM è opzionale, ma presenta molti vantaggi nei siti con molti sistemi:

1. I dati possono essere inseriti una sola volta, perciò l'installazione può avvenire più velocemente

2. Poiché i file di configurazione vengono condivisi da tutte le installazioni, si riduce il rischio di commettere errori durante l'installazione.

Lo strumento usato in questo processo raccoglie e memorizza il nome del settore, i nomi dei server KDC e altre informazioni importanti.

Il passo successivo consiste nell'installare SEAM. Prima di procedere all'installazione, è necessario determinare quale tipo di sistema è necessario. Il processo di installazione permette di selezionare un KDC master, un KDC slave o un client SEAM. I package per il KDC master dovrebbero essere installati solo su questo server; allo stesso modo, i package dei KDC slave dovrebbero essere installati solo su questi server (vedere "Installare il software SEAM con l'interfaccia grafica").

I package per i client SEAM dovrebbero essere installati su tutti gli host che richiedano SEAM. Questi host possono essere server di applicazioni di rete, server NFS o qualunque client. La procedura di installazione dei client SEAM può risultare più semplice eseguendo il processo di preconfigurazione (vedere "Installare i client SEAM senza l'interfaccia grafica").

L'ultima procedura di questa sezione spiega come correggere la configurazione di un sistema su cui il software sia stato installato prima di eseguire la preconfigurazione. Questo può accadere quando si esegue un'installazione predefinita di SEAS 3.0 senza prima eseguire il processo di preconfigurazione. Per una spiegazione completa, vedere "Correggere la configurazione di un sistema non preconfigurato".

Copiare l'immagine di SEAM su un file system locale

Se non si desidera lasciare il CD di SEAS 3.0 attivato su un server durante l'installazione di SEAM, è consigliabile copiare i package del software dal CD di SEAS per creare un'immagine del prodotto. I package richiedono circa 50 MB. Questa procedura richiede che il CD di SEAS 3.0 sia disponibile sul server.

1. Diventare root su un server NFS.

2. Copiare l'immagine di SEAM dal CD di SEAS 3.0 su tutti i file system locali.

   # cd /export # mkdir SEAM # cd /cdrom # find .install products/Sun_Enterprise_Authentication_Mechanism_1.0 -print| cpio -dump /export/SEAM

   ---

   Nota -

   Nell'esempio l'ultima riga è spezzata per ragioni di leggibilità, ma deve essere intesa come un solo comando.

   ---

3. Esportare il file system.

   Per rendere disponibili i file di configurazione per tutte le installazioni, tutti gli host devono poter attivare /export o /export/SEAM via NFS.

   1. Aprire con un editor il file /etc/dfs/dfstab.

      Aggiungere una riga per /export o /export/SEAM.

      share -f nfs -ro /export/SEAM

   2. Avviare i servizi NFS.

      Se questo è il primo comando share o la prima serie di comandi share ad essere eseguita, è probabile che i daemon NFS non siano in esecuzione. I comandi seguenti permettono di arrestare e riavviare i daemon.

      # /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

Come procedere

Dopo aver predisposto un'area per la memorizzazione dei file di configurazione, passare a "Preconfigurare le installazioni SEAM".

Attivare un file system scrivibile sul CD di SEAS

Se si desidera lasciare il CD di SEAS su un server durante l'installazione di SEAM, è necessario attivare un file system scrivibile sul CD per disporre di un'area in cui memorizzare le informazioni di preconfigurazione. Questa procedura richiede che il CD di SEAS 3.0 sia disponibile sul server.

1. Diventare root su un server NFS.

2. Creare un file system per i file di preconfigurazione.

   # cd /export # mkdir SEAM_preconfig

3. Attivare il file system sul CD di SEAS.

   # SEAM=/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0/\ > .install/pkgutil/siteconfig_response # mount -F lofs /export/SEAM_preconfig $SEAM

4. Esportare il file system.

   Per rendere i file di configurazione disponibili per tutte le installazioni, tutti gli host devono poter attivare /export o /export/SEAM via NFS.

   1. Aprire con un editor il file /etc/dfs/dfstab.

      Aggiungere una riga per /cdrom e per la nuova directory /export/SEAM_preconfig.

      share -f nfs -ro /cdrom share -f nfs -ro /export/SEAM_preconfig

   2. Avviare i servizi NFS.

      Se questo è il primo comando share o la prima serie di comandi share ad essere eseguita, è probabile che i daemon NFS non siano in esecuzione. I comandi seguenti permettono di arrestare e riavviare i daemon.

      # /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

Come procedere

Dopo avere predisposto un'area in cui memorizzare il file di configurazione, passare a "Preconfigurare le installazioni SEAM".

Preconfigurare le installazioni SEAM

Questa procedura permette di preconfigurare buona parte delle informazioni necessarie per la configurazione dei KDC o dei client SEAM. Se è richiesta una preconfigurazione, deve essere disponibile un file system scrivibile per le informazioni di preconfigurazione (vedere "Copiare l'immagine di SEAM su un file system locale" o "Attivare un file system scrivibile sul CD di SEAS"). Le informazioni memorizzate nel file system NFS possono essere consultate da tutti gli host del settore durante la procedura di installazione. Questo processo è facoltativo, ma può rivelarsi molto utile nei siti di grandi dimensioni.

---

Nota -

Questa procedura installerà SEAM sul server NFS usando le informazioni di preconfigurazione, ma nessuna delle applicazioni SEAM potrà funzionare finché non verrà installato almeno un KDC master.

---

In questa procedura verranno usati i seguenti parametri di configurazione:

configurazione hardware = SPARC




nome del settore = SPA.IT




nome del dominio DNS = spa.it




KDC master = kdc1.spa.it




KDC slave = kdc2.spa.it




server answerbook = milano




URL della guida in linea = http://milano:8888/ab2/coll.384.1/SEAM/@AB2PageView/8897




file system in cui risiedono i package di SEAM = /export/SEAM

1. Diventare root su un server NFS.

2. Avviare il processo di installazione.

   # cd /export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./installer

   ---

   Nota -

   Se invece di usare un server NFS si utilizza il CD per l'installazione dei package, il programma di installazione si trova in: /net/milano/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0.

   ---

3. Fare clic su Avanti nella videata iniziale.

4. Selezionare il tipo di installazione.

   La videata successiva chiederà di selezionare un'installazione predefinita o un'installazione personalizzata. Per accedere alle finestre di preconfigurazione, selezionare l'installazione personalizzata. Fare clic su Avanti per continuare.

5. Fare clic su Avanti nella videata di selezione della lingua.

6. Selezionare i componenti software da installare.

   Se il server NFS non dovrà essere utilizzato come client SEAM, o se si stanno solo raccogliendo le informazioni di preconfigurazione, non sarà necessario selezionare nessuno dei componenti. Per un server NFS Solaris 7 che debba fornire un supporto NFS basato su Kerberos, gli unici componenti che dovranno essere selezionati sono "5.6 Kernel Module" e "SEAM Client". Per un server NFS Solaris 2.6 che debba fornire un supporto NFS basato su Kerberos, selezionare gli stessi componenti con l'aggiunta di "5.6 Patches" e della GSS-API. Fare clic su Avanti per continuare.

   ---

   Nota -

   Dopo questa operazione viene eseguito un controllo dello spazio su disco. Se vi è spazio sufficiente, non sarà richiesta nessuna operazione.

   ---

7. Definire le informazioni di configurazione del sito.

   La videata successiva permette di selezionare la procedura di configurazione e di inserire le informazioni di configurazione.

   1. Selezionare la procedura di configurazione.

      La parte superiore della videata permette di selezionare il metodo di configurazione del sistema. Per questa procedura, selezionare "Riconfigura informazioni del sito". Le opzioni disponibili sono le seguenti:

      • Usa informazioni precedentemente configurate per il sito -- Usare questa opzione al termine del processo di preconfigurazione

      • Riconfigura informazioni del sito -- Usare questa opzione per inserire nuove informazioni

      • Configura solo questo sistema -- Usare questa opzione per inserire nuove informazioni per l'host corrente

      • Rinvia configurazione del sistema -- Usare questa opzione quando non si è certi sui valori di tutti i parametri di configurazione ma si desidera installare ugualmente i package

   2. Identificare la directory di configurazione del sito.

      Il percorso dovrebbe essere un file system attivabile da tutti i sistemi che richiedono l'installazione di SEAM.

   3. Specificare il nome del settore.

      Per convenzione, il nome del settore viene scritto a lettere maiuscole per differenziarlo dagli altri nomi di dominio. In questo esempio, il nome del dominio è SPA.IT.

   4. Identificare i nomi del KDC master e dei KDC slave.

      Usare nomi host pienamente qualificati. In questo esempio, i nomi host sono kdc1.spa.it per il master e kdc2.spa.it per lo slave. È possibile aggiungere il numero di slave necessari.

   5. Inserire il nome del dominio DNS per il settore.

   6. Specificare l'URL per la guida in linea.

      Questo URL viene usato dall'Amministrazione SEAM, perciò deve essere definito correttamente per consentire il funzionamento del menu "Indice della guida". La versione Web di questo manuale può essere installata su qualsiasi server AnswerBook2 appropriato. Sarà necessario cambiare la voce localhost e aggiungere informazioni dopo la parte SEAM dell'indirizzo.

      In questo esempio, l'URL dovrebbe puntare a http://milano:8888/ab2/coll.384.1/SEAM/@AB2PageView/6685, a meno che non vi sia un'altra posizione più appropriata. Si consiglia di usare la sezione intitolata "Amministrazione SEAM" del capitolo "Amministrazione dei nomi principali e dei criteri" del Manuale di Sun Enterprise Authentication Mechanism.

      Per verificare l'URL, inserirlo in un Web browser e verificare che la pagina sia disponibile. Prima di procedere, verificare che la documentazione di SEAS sia stata installata.

   7. Identificare la durata massima dei ticket.

      Se il valore predefinito è accettabile, non modificarlo.

   8. Identificare la durata massima per i ticket rinnovabili.

      Se il valore predefinito è accettabile, non modificarlo.

   9. Rivedere le definizioni impostate.

      Se le definizioni sono corrette, fare clic su Avanti per procedere. Facendo clic su Avanti, le informazioni di preconfigurazione verranno salvate nella directory di configurazione.

      

8. Fare clic su "Installa ora" per avviare l'installazione.

   Verranno presentati i componenti selezionati. Se non vi sono componenti selezionati e si stanno solo raccogliendo le informazioni di preconfigurazione, è possibile fare clic su Esci.

9. Verrà presentato un riepilogo del processo di installazione; fare clic su Avanti per continuare.

10. Nella videata successiva verranno presentate informazioni aggiuntive; fare clic su Esci per terminare la procedura.

    Verrà aperta una finestra che chiederà se si desidera riavviare il sistema. Il riavvio non sarà necessario finché il server non dovrà utilizzare SEAM.

Installare il software SEAM con l'interfaccia grafica

In questo esempio viene selezionata l'installazione del server master SEAM, ma il processo è pressoché uguale anche per le installazioni degli slave e dei client. I package di SEAM sono stati installati in /net/milano/export/SEAM, ma potrebbero essere installati su un file system locale o lasciati sul CD di SEAS durante l'installazione.

L'installazione dei client SEAM può essere svolta più velocemente seguendo le istruzioni riportate in "Installare i client SEAM senza l'interfaccia grafica".

1. Avviare lo script di installazione.

   # cd /net/milano/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./installer

2. Fare clic su Avanti nella videata iniziale.

3. Selezionare il tipo di installazione.

   La videata successiva chiederà di selezionare un'installazione predefinita o un'installazione personalizzata. Selezionare l'installazione personalizzata. Fare clic su Avanti per continuare.

4. Fare clic su Avanti nella videata di selezione della lingua.

   Attualmente non vi sono lingue disponibili per la selezione in SEAS.

5. Fare clic su Avanti nella videata di selezione della directory di installazione.

   SEAM installerà i file in diverse directory. Lasciare il percorso impostato su "/".

6. Selezionare i componenti del software da installare.

   Per un server master, selezionare il package SEAM Master KDC. Per un server slave, selezionare il package SEAM Slave KDC. Aggiungere eventualmente gli altri package richiesti. Fare clic su Avanti per continuare.

   ---

   Nota -

   Dopo questa operazione viene eseguito un controllo dello spazio su disco. Se vi è spazio sufficiente, non sarà richiesta nessuna operazione.

   ---

7. Fare clic su "Installa ora" per avviare l'installazione.

   Verranno mostrati i componenti selezionati.

8. Selezionare la procedura e la directory di configurazione.

   La videata successiva permetterà di selezionare la procedura di configurazione e di identificare il percorso dei file di configurazione. Se sono state preconfigurate le informazioni sul sito, selezionare "Usa informazioni precedentemente configurate per il sito" e specificare la directory dei file di configurazione.

   

9. Verrà presentato un riepilogo del processo di installazione; fare clic su Avanti per continuare.

10. La videata successiva presenterà informazioni aggiuntive; fare clic su Esci per terminare la procedura.

Come procedere

Il Manuale di Sun Enterprise Authentication Mechanism include un elenco delle operazioni che è possibile eseguire dopo aver installato il software SEAM.

Installare i client SEAM senza l'interfaccia grafica

I client SEAM possono essere installati anche senza utilizzare l'interfaccia grafica, al termine del processo di preconfigurazione. Se non si utilizza l'interfaccia grafica, con le relative schermate per la selezione delle opzioni, il processo di installazione può essere eseguito più velocemente. Senza l'uso delle schermate, è possibile solo aggiungere i package per i client.

Se necessario, è possibile installare tutti i client prima di eseguire il processo di preconfigurazione e usare lo script citato in "Correggere la configurazione di un sistema non preconfigurato" per completare la configurazione.

1. Diventare root sul client.

2. Spostarsi nella directory dell'area di preconfigurazione.

   # cd /net/milano/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0

   ---

   Nota -

   Per caricare i package dal CD, usare il percorso: /net/milano/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0.

   ---

3. Avviare il programma di installazione.

   # ./installer -nodisplay

Correggere la configurazione di un sistema non preconfigurato

Se si è eseguita un'installazione completa senza prima creare i file di preconfigurazione, è possibile correggere il sistema usando la seguente procedura.

1. Diventare root sul sistema.

2. Eseguire lo script per correggere la configurazione.

   # cd /net/milano/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./sparc/Tools/seamfixconfig

   ---

   Nota -

   Se si utilizza il CD di SEAS 3.0, usare il percorso seguente: /net/milano/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0.

   ---

Disinstallazione di SEAM

Come altri prodotti della release Sun Easy Access Server 3.0, SEAM può essere disinstallato usando prodreg. Per maggiori informazioni su questa utility, vedere "" in Guida all'installazione di Solaris Easy Access Server 3.0.

Aggiunte alla Solaris Management Console

Dopo avere installato SEAM, è possibile avviare lo strumento Amministrazione SEAM dalla Solaris Management Console (SMC). Per avviare l'interfaccia grafica, fare doppio clic sulla categoria "sicurezza" nella parte sinistra della finestra di SMC, e fare doppio clic sull'icona SEAM nella parte destra.