test

Note sul prodotto e sull'installazione di SEAM

Contenuto dei package di SEAM

Il software SEAM può essere installato su un client, su un KDC slave o su un KDC master. Tutti gli altri tipi di server (ad esempio i server di applicazioni SEAM o i server NFS SEAM) vengono configurati dopo l'installazione dei package del software client. Ogni tipo di installazione aggiunge uno o più package, alcuni dei quali modificano file importanti per la sicurezza del sistema.

Package per i client SEAM

I package client installano le pagine man di SEAM, le applicazioni Kerberos (come klist), le applicazioni amministrative (kadmin e gkadmin) e i daemon e le utility basate su Kerberos (ftp e ftpd, ad esempio). Durante il processo di installazione vengono modificati i seguenti file: /etc/inetd.conf, /etc/services, /etc/pam.conf e /etc/krb5/krb5.conf. Se questi file sono stati modificati con dati relativi al proprio sito, controllare il contenuto dei file dopo l'installazione.

Inoltre, solo sui client Solaris 2.6, vengono installati i file che forniscono il supporto per il framework GSS_API e per RPCSEC_GSS. Questi file fanno già parte di Solaris 7, perciò vengono aggiunti solo ai client che utilizzano Solaris 2.6. I nuovi file installati per le funzioni di sicurezza sono /etc/gss/gsscred.conf, /etc/gss/mech, /etc/gss/qop e /etc/nfssec.conf. Vengono inoltre modificati il file crontab di root e il file /etc/inetd.conf. Anche in questo caso, se i file contengono modifiche relative al proprio sito, si consiglia di controllare il contenuto dei file dopo l'installazione.

Package per il KDC slave

Il processo di installazione del KDC slave installa tutti i package del client e un package aggiuntivo che include le utility necessarie per tutti i server KDC. Viene installato uno script di avvio in /etc/init.d/kdc, che avvia i daemon del KDC slave. Vengono inoltre modificati i file /etc/krb5/kdc.conf e /etc/inetd.conf.

Package per il KDC master

Il processo di installazione del KDC master installa tutti i package dei client, i package per il KDC slave e un package che include i file e le utility richiesti solo per il KDC master. Il processo modifica il file crontab di root e installa uno script di avvio in /etc/init.d/kdc.master. Vengono aggiunti un file per il controllo degli accessi al KDC, /etc/krb5/kadm5.acl, e un file per il controllo della propagazione del database del KDC, /etc/krb5/kpropd.acl. La protezione di questi file è importante per la sicurezza del database del KDC.

Patch

Tutte le patch fornite con SEAM sono destinate a sistemi SolarisTM 2.6 SPARCTM e Intel. Alcune di queste patch incorporano correzioni che non riguardano SEAM. La ragione è che sia le correzioni relative a SEAM che quelle non relative a SEAM hanno effetto sullo stesso file binario; tutte le patch incluse sono ufficiali.

Queste patch sono tutte necessarie se si desidera utilizzare il sistema di sicurezza Kerberos V5 con le esportazioni e i file system NFS. Se non si desidera usare SEAM per la protezione dei file system NFS, le patch non sono necessarie.

Le patch di Solaris sono numerate come XXXXXX-VV, dove XXXXXX è l'identificativo (ID) di base della patch e VV è il numero di versione. In genere, l'ID di base delle patch i386 è uguale all'ID di base per la versione SPARC più uno.

Qui di seguito sono elencate le patch incluse in SEAM 1.0. Gli ID delle patch per SPARC sono elencati per primi.

105472-04 / 105473-04 -- Senza questa patch, l'automounter va in crash quando accede ai file system NFS attivati con il sistema di sicurezza Kerberos V5 (cioè quando il server NFS condivide il file system con sec= krb5, krb5i o krb5p).

105564-03 / 105565-03 -- Senza questa patch, il comando chgrp non funziona sui file system NFS che sono attivati con il sistema di sicurezza Kerberos V5.

105615-04 / 105616-04 -- Senza questa patch, non è possibile esportare correttamente i file system NFS dai server con un comando come: share -o sec=krb5,rw=mpk16-labnets,ro=engineering /export/krb5. È invece possibile, con o senza la patch, usare comandi meno complessi come: share -o sec=krb5 /export/krb5.

106639-01 / 106640-01 -- Questa patch corregge un difetto di memoria che si verifica quando si utilizzano file system NFS che usano il sistema di sicurezza Kerberos V5.

107228-01 / 107281-01 -- Questa patch corregge XFN per consentirne la scalabilità con le tabelle di grandi dimensioni adatte al comando gsscred. Se si sceglie di non usare XFN, questa patch non è necessaria.