Kapitel 2 Installation av SEAM

Det här kapitlet innehåller instruktioner för installation av SEAM och det bör läsas av alla som ska installera produkten. Kapitlet innehåller procedurer för förkonfigurering och installation av SEAM. Med den första proceduren kan en stor del av den platsspecifika informationen förkonfigureras så att filerna inte behöver redigeras för hand som en del av installationsprocessen. Proceduren omfattar även en lokal installation. Med den andra proceduren läggs all programvara för SEAM till med hjälp av informationen för förkonfigureringen.

I det här kapitlet behandlas följande:

• "Innehåll i SEAM-paketet"

• "Installera programvara för SEAM"

• "Avinstallera SEAM"

Innehåll i SEAM-paketet

Programvaran för SEAM kan installeras på en klient, en underordnad KDC-server eller en huvud-KDC-server. Alla andra sorters servrar (t ex ett SEAM-program eller en NFS-server för SEAM) konfigureras när programvarupaketen har installerats. Varje typ av installation lägger till ett eller flera paket, varav några ändrar filer som är viktiga för systemsäkerheten.

Klientpaket för SEAM

Klientpaketen innehåller direkthjälpen för SEAM (man-sidor), Kerberos-programmen (t ex klist), administrationsprogrammen (kadmin och gkadmin), samt Kerberos-anpassade bakgrundsprogram och verktyg (t ex ftp och ftpd). Följande filer redigeras under installationsprocessen: /etc/inetd.conf, /etc/services, /etc/pam.conf och /etc/krb5/krb5.conf. Om du har gjort platsspecifika ändringar i de här filerna bör du kontrollera filinnehållet efter installationen.

Dessutom installeras filer som ger stöd för ramverket GSS_API och RPCSEC_GSS. Detta gäller dock endast Solaris 2.6-klienter. Dessa filer ingår i Solaris 7, så de läggs endast till för Solaris 2.6-klienter. Bland de nya säkerhetsrelaterade filerna som installeras finns /etc/gss/gsscred.conf, /etc/gss/mech, /etc/gss/qop och /etc/nfssec.conf. Dessutom redigeras crontab-filen för root och /etc/inetd.conf. Om du har gjort platsspecifika ändringar i de här filerna bör du kontrollera filinnehållet efter installationen.

Paket för underordnande KDC:er

Under installationsprocessen för en underordnad KDC installeras alla klientpaket samt ytterligare paket som innehåller verktyg som behövs för KDC-servern. Ett startskript installeras i /etc/init.d/kdc. Det startar bakgrundsprogrammen för den underordnade KDC:n. Dessutom redigeras filerna /etc/krb5/kdc.conf och /etc/inetd.conf.

Paket för huvud-KDC

Umder installationsprocessen för en huvud-KDC installeras alla klientpaket, paketet för underordnade KDC:er, samt ett paket som innehåller filer och verktyg endast för huvud-KDC-servern. Under processen redigeras crontab-filen för root och ett startskript installeras i /etc/init.d/kdc.master. Dessutom lägger installationen till en fil som styr åtkomsten till KDC:n, /etc/krb5/kadm5.acl, och en fil som styr överföringen av KDC-databasen, /etc/krb5/kpropd.acl. Det är viktigt för säkerheten för KDC-databasen att dessa filer säkras.

Korrigeringsfiler

De korrigeringsfiler som följer med SEAM är till för SPARC^TM- och Intel-datorer med Solaris^TM 2.6. Vissa av korrigeringsfilerna är till för fel som inte är relaterade till SEAM. Det beror på att korrigeringsfilerna för SEAM och de som inte är till för SEAM påverkar samma binärfil. Alla korrigeringsfiler som följer med är officiella.

Samtliga korrigeringsfiler är obligatoriska för att du ska kunna använda Kerberos V5-säkerhet med NFS-filsystem och exportfunktioner för NFS. Om du inte använder SEAM för att säkra NFS-filsystemet behöver du inte använda korrigeringsfilerna.

Korrigeringsfiler för Solaris är numrerade med formatet XXXXXX-VV, där XXXXXX är filens ID-nummer och VV är versionsnumret. Vanligen är ID-numret för en korrigeringsfil för i386-system samma som ID-numret för SPARC-versionen, plus ett.

Här följer en lista över alla korrigeringsfiler som följer med SEAM 1.0. ID-numret för SPARC står först i listan.

105472-04 / 105473-04 -- Utan den här korrigeringen kommer funktionen för automatisk montering att krascha vid åtkomst till NFS-filsystem som är monterade med Kerberos V5-säkerhet (NFS-servern delar filsystemet med sec= krb5, krb5i eller krb5p).

105564-03 / 105565-03 -- Utan den här korrigeringen fungerar inte kommandot chgrp på NFS-filsystem som har monterats med Kerberos V5-säkerhet.

105615-04/105616-04 -- Utan den här korrigeringen kan du inte exportera NFS-filsystem från servrar med kommandon som: share -o sec=krb5,rw=mpk16-labnets,ro=engineering /export/krb5. Mindre komplicerade kommandon som: share -o sec=krb5 /export/krb5 fungerar med eller utan korrigeringsfilen.

106639-01/106640-01 -- Den här korrigeringsfilen åtgärdar en minnesläcka som uppstår när du använder NFS-filsystem med Kerberos V5-säkerhet.

107228-01/107281-01 -- Den här korrigeringsfilen ser till att XFN kan skala om till stora tabeller som är lämpliga för användning med kommandot gsscred. Om du inte tänker använda XFN behöver du inte heller använda den här korrigeringsfilen.

Översikt över uppgifter för installation av SEAM

För bästa funktion bör du utföra installationen av SEAM i en viss ordning. Du kan ändra ordning om du vill men då kanske du måste ta om vissa steg eller så måste du ändra konfigureringsfilerna för hand.

Tabell 2-1 Första stegen: Konfigureringsordning för SEAM

Uppgift	Beskrivning	Om du vill ha instruktioner går du till ...
1. Planera för installationen av SEAM	Tänk igenom olika konfigureringsalternativ och bestäm vilka som ska gälla innan installationen påbörjas.	"" in Sun Enterprise Authentication Mechanism Guide-sv
2. (Valfritt) Installera NTP	För att SEAM ska fungera ordentligt måste alla systemklockor i användarkategorin vara synkroniserade.	"Synkronisera klockor mellan KDC:er och SEAM-klienter" i Användarhandboken för Sun Enterprise Authentication Mechanism
3. (Valfritt ) Kör förkonfigurerings-  proceduren för SEAM	Du kan använda den här här proceduren för att underlätta installation av en plats med många värdar genom att lagra en stor del av installationsinformationen på en NFS-server. Denna information kan sedan användas under installationen.	"Så förkonfigurerar du SEAM-installationer "
4. Kör proceduren för installation av programvara för SEAM	Så installerar du programvarupaket för SEAM på en klient eller server.	"Så installerar du programvara för SEAM med hjälp av det grafiska användargränssnittet"
5. Konfigurera huvud-KDC-servern	Instruktioner för hur du konfigurerar och skapar huvud-KDC-servern och en databas för en användarkategori.	"" in Sun Enterprise Authentication Mechanism Guide-sv
6. Ytterligare instruktioner för konfigurering av SEAM	Instruktioner för konfigurering av underordnade KDC:er, SEAM-klienter, NFS-servrar för SEAM och annat.	"" in Sun Enterprise Authentication Mechanism Guide-sv

Installera programvara för SEAM

Installationen fungerar bäst med följande tillvägagångssätt. Första steget är att skapa en skrivbar plats där filerna som används under konfigureringsprocessen placeras. Det bör gå att exportera det skrivbara filsystemet och en avbildning av SEAM-paketen till alla datorer där SEAM ska installeras. Du kan välja att antingen:

1. Kopiera CD-skivan för SEAM til en lokal enhet på en NFS-server som kan exporteras - se "Så kopierar du SEAM-avbildningen till ett lokalt filsystem".

2. Montera ett skrivbart filsystem på CD-skivan och exportera båda - se "Så monterar du ett skrivbart filsystem på CD-skivan för SEAS".

När du har förberett en skrivbar plats ska du definiera information som krävs för konfigureringsfilerna så att du slipper ange den för hand. Detta kallas även för proceduren för förkonfigurering. Under den sista proceduren installeras programvaran för SEAM med hjälp av informationen för förkonfigureringen, om det finns någon.

Proceduren för att upprätta konfigureringsfiler för huvud-KDC, underordnad KDC och SEAM-klienter är valfri, men om det handlar om många datorer finns det många fördelar med att använda de här konfigureringfilerna.

1. Du behöver bara ange data en gång vilket gör att installationen går snabbare.

2. Eftersom alla installationer använder samma konfigureringsfiler minskar risken för fel under installationen.

Verktyget som används under den här proceduren samlar in och lagrar information om t ex namn på användarkategorin, namnen på KDC-servrar och annan viktig information.

Nästa steg är att installera SEAM. Innan du försöker installera måste du avgöra vilken typ av system du behöver. Under installationsprocessen kan du välja en installation av en huvud-KDC, en underordnad KDC eller en SEAM-klient. Paketen för huvud-KDC bör bara installeras på servern för huvud-KDC:n och paketen för underordnad KDC bör bara installeras på servrarna för de underordnade KDC:erna (se "Så installerar du programvara för SEAM med hjälp av det grafiska användargränssnittet").

Klientpaketen för SEAM bör installeras på alla värdar som ska ha SEAM. Det kan handla om programservrar i nätverket, NFS-servrar och klienter. Om förkonfigureringen är klar går det att använda en enklare procedur för installationen av SEAM-klienter (se "Så installerar du SEAM-klienter utan det grafiska användargränssnittet").

Den sista proceduren i det här avsnittet visar hur du korrigerar ett system där all programvara har installerats utan att förkonfigureringen är klar. Det kan inträffa om standardinstallationen av SEAS 3.0 utförs utan att proceduren för förkonfigurering har klarats av först. En fullständig förklaring finns i "Så korrigerar du ett system som inte har konfigurerats".

Så kopierar du SEAM-avbildningen till ett lokalt filsystem

Om du inte vill lämna CD-skivan för SEAS 3.0 monterad på servern under SEAM-installationen kan du göra SEAM-avbildningen tillgänglig genom att kopiera paketen från CD-skivan. Paketen kräver omkring 50 MB. För den här proceduren krävs att CD-skivan för SEAS 3.0 finns tillgänglig på servern.

1. Växla till root på en NFS-server.

2. Kopiera SEAM-avbildningen från CD-skivan för SEAS 3.0 CD till ett lokalt filsystem.

   # cd /export # mkdir SEAM # cd /cdrom # find .install products/Sun_Enterprise_Authentication_Mechanism_1.0 -print| cpio -dump /export/SEAM

   ---

   Obs!

   Den sista raden är uppdelad på två rader för läsbarhetens skull, men den ska anges som ett enda kommando.

   ---

3. Exportera filsystemet.

   För att konfigureringsfilerna ska vara tillgängliga för alla installationer måste /export eller /export/SEAM vara monterbart (NFS) för all värdar.

   1. Redigera filen /etc/dfs/dfstab.

      Lägg till en post för antingen /export eller /export/SEAM, om det inte redan finns någon.

      share -f nfs -ro /export/SEAM

   2. Starta NFS-tjänsterna.

      Om det här är första gången du använder kommandot share eller en uppsättning av share-kommandon är det troligt att bakgrundsprogrammen för NFS inte körs. Följande kommandon stoppar bakgrundsprogrammen och startar om dem.

      # /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

Vidare instruktioner

Nu när du har förberett en plats för lagring av konfigurationsfilen kan du fortsätta med instruktionerna i "Så förkonfigurerar du SEAM-installationer ".

Så monterar du ett skrivbart filsystem på CD-skivan för SEAS

Om du vill ha kvar CD-skivan för SEAS på servern under installationen måste du montera ett skrivbart filsystem på CD-skivan för att skapa en plats där informationen för förkonfigureringen kan lagras. För den här proceduren krävs att CD-skivan för SEAS 3.0 finns tillgänglig på servern.

1. Växla till root på en NFS-server.

2. Skapa ett filsystem för förkonfigureringsfilerna.

   # cd /export # mkdir SEAM_preconfig

3. Montera filsystemet på CD-skivan för SEAS.

   # SEAM=/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0/\ > .install/pkgutil/siteconfig_response # mount -F lofs /export/SEAM_preconfig $SEAM

4. Exportera filsystemet.

   För att konfigureringsfilerna ska vara tillgängliga för alla installationer måste /export eller /export/SEAM vara monterbart (NFS) för all värdar.

   1. Redigera filen /etc/dfs/dfstab.

      Lägg till en post för /cdrom och för den nya katalogen /export/SEAM_preconfig, om det inte redan finns någon.

      share -f nfs -ro /cdrom share -f nfs -ro /export/SEAM_preconfig

   2. Starta NFS-tjänsterna.

      Om det här är första gången du använder kommandot share eller en uppsättning av share-kommandon är det troligt att bakgrundsprogrammen för NFS inte körs. Följande kommandon stoppar bakgrundsprogrammen och startar om dem.

      # /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

Vidare instruktioner

Nu när du har förberett en plats för lagring av konfigurationsfilen kan du fortsätta med instruktionerna i "Så förkonfigurerar du SEAM-installationer ".

Så förkonfigurerar du SEAM-installationer

Du kan använda den här proceduren för att förkonfigurera en stor del av informationen som behövs vid konfigureringen av KDC:er och SEAM-klienter. Om det krävs förkonfigurering måste det finnas ett skrivbart filsystem tillgängligt för informationen för förkonfigureringen (se "Så kopierar du SEAM-avbildningen till ett lokalt filsystem" eller "Så monterar du ett skrivbart filsystem på CD-skivan för SEAS"). Informationen som lagras i NFS-filsystemet kan kommas åt av alla värdar i användarkategorin under installationsprocessen. Den här proceduren är valfri men är mycket användbar för installation på många datorer samtidigt.

---

Obs!

Med den här proceduren installeras SEAM på NFS-servern med hjälp av informationen för förkonfigurering, men inga av SEAM-programmen kommer att fungera förrän minst en huvud-KDC installeras.

---

I den här proceduren används följande konfigureringsparametrar:

maskinvarukonfiguration = SPARC




användarkategori = ACME.COM




DNS-domän = acme.com




huvud-KDC = ACME.COM




underordnad KDC = ACME.COM




answerbook-server = denver




direkthjälps-URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/8897




filsystemet med SEAM-paket = /export/SEAM

1. Växla till root på en NFS-server.

2. Starta installationsprocessen.

   # cd /export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./installer

   ---

   Obs!

   Om du använder CD-skivan i stället för en NFS-server för installationen av paket hittar du installationsprogrammet i: /net/denver/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0.

   ---

3. Klicka på Nästa på Välkomstskärmen.

4. Välj installationstyp.

   På nästa skärm ombes du välja standardinstallation eller anpassad installation. Välj anpassad installation så att du kommer till skärmbilderna för förkonfigurering. Fortsätt genom att klicka på Nästa.

5. Klicka på Nästa på på skärmen Språkval.

6. Välj vilka programvarukomponenter som ska installeras.

   Du behöver inte välja någon komponent om NFS-servern inte ska vara en SEAM-klient eller om du håller på att samla in information för förkonfigurering. Du ska endast välja komponenterna Kärnmodul och SEAM-klient för en NFS-server med Solaris 7 som ska tillhandahålla Kerberos-anpassat NFS-stöd. För en NFS-server med Solaris 2.6 som ska tillhandahålla Kerberos-anpassat NFS-stöd väljer du samma komponenter och lägger till korrigeringsfilerna för "5.6" och komponenten GSS-API. Fortsätt genom att klicka på Nästa.

   ---

   Obs!

   Efter det här steget utförs en kontroll av hårddiskutrymmet. Om det finns tillräckligt med utrymme behöver du inte göra något mer.

   ---

7. Ange platskonfigureringsinformation.

   På nästa skärm kan du välja konfigureringsprocedur och ange konfigureringsinformation.

   1. Välj konfigureringsprocedur.

      Du kan välja hur datorn ska konfigureras i den övre delen av skärmbilden. För den här proceduren bör du välja "Konfigurera om platsinformationen". Du kan välja:

      • Använd tidigare konfigurerad platsinformation - Välj det här alternativet efter att processen för förkonfigurering är slutförd.

      • Konfigurera om platsinformationen - Välj det här alternativet för att ange ny information.

      • Konfigurera endast den här datorn - Välj det här alternativet för att ange ny information för den här värden.

      • Konfigurera den här datorn senare - Välj det här alternativet om du är osäker på en del konfigureringsparametrar, men vill installera paketen ändå.

   2. Ange katalog för platskonfigurationen.

      Sökvägen bör vara till ett filsystem som kan monteras av alla datorer där SEAM ska installeras.

   3. Ange användarkategori.

      Som standard anges namnet på användarkategorin med stora bokstäver så att det går att skilja från andra domännamn. I det här exemplet är domännamnet ACME.COM.

   4. Ange namn för servrarna för huvud-KDC och underordnad KDC.

      Använd fullständigt värdnamn. I det här exemplet är värdnamnen kdc1.acme.com för huvud-KDC:n och kdc2.acme.com för den underordnade KDC:n. Du kan lägga till valfritt antal underordnade KDC:er.

   5. Ange namnet på DNS-domänen för den här användarkategorin.

   6. Ange URL för direkthjälpen.

      Den här URL:en används av administrationsverktyget för SEAM och därför bör den anges korrekt så att menyn "Hjälpavsnitt" fungerar. Du kan installera webbversionen av den här handboken på valfri lämplig AnswerBook2-server. Du måste ändra posten localhost och lägga till information efter SEAM-delen av adressen.

      I det här exemplet är URL:en http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6685, såvida inte en annan placering av sidorna är lämpligare. Avsnittet "Administrationsverktyget för SEAM" i kapitlet "Administrera principaler och principer" i Användarhandboken för Sun Enterprise Authentication Mechanism är föreslagen plats.

      Du kan kontrollera URL:en genom att mata in den i en webbläsare och se om sidan finns tillgänglig. Kontrollera att dokumentationen för SEAS har installerats innan du försöker kontrollera URL:en.

   7. Ange maximal giltighetstid för biljetter.

      Ändra inte standardvärdet om det går att använda.

   8. Ange maximal giltighetstid för förnyelsebara biljetter.

      Ändra inte standardvärdet om det går att använda.

   9. Granska dina inställningar.

      Om de är riktiga klickar du på Nästa för att fortsätta. När du klickar på Nästa sparas informationen för förkonfigurering i konfigureringskatalogen.

      

8. Påbörja installationen genom att klicka på Installera nu.

   De komponenter du har valt visas på skärmen. Om du inte har valt några komponenter och du bara hämtar in information för förkonfigurering kan du klicka på Avsluta.

9. En sammanfattning av installationsprocessen visas. Fortsätt genom att klicka på Nästa.

10. På nästa skärm visas ytterligare information. Avsluta proceduren genom att klicka på Avsluta.

    Ett fönster visas med en fråga om du vill starta om. Du behöver inte starta om förrän SEAM ska användas på servern.

Så installerar du programvara för SEAM med hjälp av det grafiska användargränssnittet

I det här exemplet har installationen av huvudservern för SEAM valts, men proceduren är i stort sett densamma för installationer av underordnade servrar och klienter. SEAM-paketen har installerats i /net/denver/export/SEAM, men de kan även installeras i ett lokalt filsystem eller från CD-skivan för SEAS.

Instruktionerna i "Så installerar du SEAM-klienter utan det grafiska användargränssnittet" visar hur du installerar SEAM-klienter snabbare.

1. Starta installationsskriptet.

   # cd /net/denver/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./installer

2. Klicka på Nästa på Välkomstskärmen.

3. Välj installationstyp.

   På nästa skärm ombes du välja standardinstallation eller anpassad installation. Välj anpassad installation. Fortsätt genom att klicka på Nästa.

4. Klicka på Nästa på på skärmen Språkval.

   Det finns för närvarande inga platser att välja i SEAS.

5. Klicka på Nästa på skärmen Välj installationsmapp.

   Filerna installeras i flera kataloger. Sökvägen måste vara "/".

6. Välj vilka programvarukomponenter som ska installeras.

   För en huvudserver väljer du paketet Huvudserver. För en underordnad server väljer du paketet Underordnad server. Lägg till andra paket som du behöver. Fortsätt genom att klicka på Nästa.

   ---

   Obs!

   Efter det här steget utförs en kontroll av hårddiskutrymmet. Om det finns tillräckligt med utrymme behöver du inte göra något mer.

   ---

7. Påbörja installationen genom att klicka på Installera nu.

   De komponenter du har valt visas på skärmen.

8. Välj konfigureringsprocedur och katalog.

   På nästa skärm kan du välja konfigueringsprocedur och ange sökväg till konfigureringsfilerna. Om det finns förkonfigurerad platsinformation väljer du "Använd tidigare konfigurerad platsinformation" och anger sökväg till katalogen med konfigureringsfilerna.

   

9. En sammanfattning av installationsprocessen visas. Fortsätt genom att klicka på Nästa.

10. På nästa skärm visas ytterligare information. Avsluta proceduren genom att klicka på Avsluta.

Vidare instruktioner

I Användarhandboken för Enterprise Authentication Mechanism finns en lista på uppgifter som kan utföras när installationen av programvaran för SEAM är klar.

Så installerar du SEAM-klienter utan det grafiska användargränssnittet

När processen för förkonfigurering är klar går det att installera SEAM-klienter utan att använda det grafiska användargränssnittet. Det innebär att du slipper gå igenom skärmbilderna, vilket gör att installationen går snabbare. Du kan bara lägga till klientpaket eftersom du inte använder någon skärmbild.

Om det behövs kan du installera alla klienter innan processen för förkonfigurering är klar och använda skriptet som nämns i "Så korrigerar du ett system som inte har konfigurerats" för att slutföra konfigureringen.

1. Växla till root på klienten.

2. Ändra katalog till platsen för förkonfigurering.

   # cd /net/denver/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0

   ---

   Obs!

   Om du vill hämta paket från CD:n använder du sökvägen: /net/denver/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0.

   ---

3. Starta installationsprogrammet.

   # ./installer -nodisplay

Så korrigerar du ett system som inte har konfigurerats

Om du har gjort en fullständig installation utan att först skapa filerna för förkonfigurering kan du korrigera systemet med hjälp av följande procedur.

1. Växla till root på systemet.

2. Kör skriptet som korrigerar konfigurationen.

   # cd /net/denver/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./sparc/Tools/seamfixconfig

   ---

   Obs!

   Om du använder CD-skivan för SEAS 3.0 är sökvägen: /net/denver/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0.

   ---

Avinstallera SEAM

Det går att avinstallera SEAM, liksom de andra produkterna i Sun Easy Access Server 3.0, med kommandot prodreg. Mer information om det här verktyget finns i "" in Installationshandbok för Solaris Easy Access Server 3.0.

Tillägg till Solaris Management Console

När SEAM är installerat kan du starta administrationsverktyget för SEAM från SMC (Solaris Management Console). Du startar det grafiska användargränssnittet genom att dubbelklicka på kategorin "säkerhet" i den vänstra fönsterrutan i SMC och dubbelklicka på SEAM-ikonen i den högra fönsterrutan.