test

Installations- och tilläggsinformation för SEAM

Innehåll i SEAM-paketet

Programvaran för SEAM kan installeras på en klient, en underordnad KDC-server eller en huvud-KDC-server. Alla andra sorters servrar (t ex ett SEAM-program eller en NFS-server för SEAM) konfigureras när programvarupaketen har installerats. Varje typ av installation lägger till ett eller flera paket, varav några ändrar filer som är viktiga för systemsäkerheten.

Klientpaket för SEAM

Klientpaketen innehåller direkthjälpen för SEAM (man-sidor), Kerberos-programmen (t ex klist), administrationsprogrammen (kadmin och gkadmin), samt Kerberos-anpassade bakgrundsprogram och verktyg (t ex ftp och ftpd). Följande filer redigeras under installationsprocessen: /etc/inetd.conf, /etc/services, /etc/pam.conf och /etc/krb5/krb5.conf. Om du har gjort platsspecifika ändringar i de här filerna bör du kontrollera filinnehållet efter installationen.

Dessutom installeras filer som ger stöd för ramverket GSS_API och RPCSEC_GSS. Detta gäller dock endast Solaris 2.6-klienter. Dessa filer ingår i Solaris 7, så de läggs endast till för Solaris 2.6-klienter. Bland de nya säkerhetsrelaterade filerna som installeras finns /etc/gss/gsscred.conf, /etc/gss/mech, /etc/gss/qop och /etc/nfssec.conf. Dessutom redigeras crontab-filen för root och /etc/inetd.conf. Om du har gjort platsspecifika ändringar i de här filerna bör du kontrollera filinnehållet efter installationen.

Paket för underordnande KDC:er

Under installationsprocessen för en underordnad KDC installeras alla klientpaket samt ytterligare paket som innehåller verktyg som behövs för KDC-servern. Ett startskript installeras i /etc/init.d/kdc. Det startar bakgrundsprogrammen för den underordnade KDC:n. Dessutom redigeras filerna /etc/krb5/kdc.conf och /etc/inetd.conf.

Paket för huvud-KDC

Umder installationsprocessen för en huvud-KDC installeras alla klientpaket, paketet för underordnade KDC:er, samt ett paket som innehåller filer och verktyg endast för huvud-KDC-servern. Under processen redigeras crontab-filen för root och ett startskript installeras i /etc/init.d/kdc.master. Dessutom lägger installationen till en fil som styr åtkomsten till KDC:n, /etc/krb5/kadm5.acl, och en fil som styr överföringen av KDC-databasen, /etc/krb5/kpropd.acl. Det är viktigt för säkerheten för KDC-databasen att dessa filer säkras.

Korrigeringsfiler

De korrigeringsfiler som följer med SEAM är till för SPARCTM- och Intel-datorer med SolarisTM 2.6. Vissa av korrigeringsfilerna är till för fel som inte är relaterade till SEAM. Det beror på att korrigeringsfilerna för SEAM och de som inte är till för SEAM påverkar samma binärfil. Alla korrigeringsfiler som följer med är officiella.

Samtliga korrigeringsfiler är obligatoriska för att du ska kunna använda Kerberos V5-säkerhet med NFS-filsystem och exportfunktioner för NFS. Om du inte använder SEAM för att säkra NFS-filsystemet behöver du inte använda korrigeringsfilerna.

Korrigeringsfiler för Solaris är numrerade med formatet XXXXXX-VV, där XXXXXX är filens ID-nummer och VV är versionsnumret. Vanligen är ID-numret för en korrigeringsfil för i386-system samma som ID-numret för SPARC-versionen, plus ett.

Här följer en lista över alla korrigeringsfiler som följer med SEAM 1.0. ID-numret för SPARC står först i listan.

105472-04 / 105473-04 -- Utan den här korrigeringen kommer funktionen för automatisk montering att krascha vid åtkomst till NFS-filsystem som är monterade med Kerberos V5-säkerhet (NFS-servern delar filsystemet med sec= krb5, krb5i eller krb5p).

105564-03 / 105565-03 -- Utan den här korrigeringen fungerar inte kommandot chgrp på NFS-filsystem som har monterats med Kerberos V5-säkerhet.

105615-04/105616-04 -- Utan den här korrigeringen kan du inte exportera NFS-filsystem från servrar med kommandon som: share -o sec=krb5,rw=mpk16-labnets,ro=engineering /export/krb5. Mindre komplicerade kommandon som: share -o sec=krb5 /export/krb5 fungerar med eller utan korrigeringsfilen.

106639-01/106640-01 -- Den här korrigeringsfilen åtgärdar en minnesläcka som uppstår när du använder NFS-filsystem med Kerberos V5-säkerhet.

107228-01/107281-01 -- Den här korrigeringsfilen ser till att XFN kan skala om till stora tabeller som är lämpliga för användning med kommandot gsscred. Om du inte tänker använda XFN behöver du inte heller använda den här korrigeringsfilen.