test

SEAM-Installation und Versionsanmerkungen

Inhalt des SEAM-Package

Die SEAM-Software kann entweder auf einem Client, einem KDC-Slave-Server oder auf einem KDC-Master-Server installiert werden. Jeder andere Servertyp (wie ein SEAM-Anwendungsserver oder ein SEAM NFS-Server) wird erst dann konfiguriert, wenn die Client-Software-Packages installiert sind. Jeder Installationstyp fügt ein oder mehrere Packages hinzu, von denen einige an Dateien Änderungen vornehmen, die für die Sicherheit des Systems von Bedeutung sind.

SEAM Client-Packages

Die Client-Packages installieren die SEAM-Online-Dokumentation, die Kerberos-Anwendungen (wie klist), die administrativen Anwendungen (kadmin und gkadmin), wie auch die kerberosfähigen Daemons und Dienstprogramme (zum Beispiel ftp und ftpd). Während des Installationsprozesses werden die folgenden Dateien bearbeitet: /etc/inetd.conf, /etc/services, /etc/pam.conf und /etc/krb5/krb5.conf. Wenn Sie sitespezifische Änderungen für diese Dateien haben, sollten Sie nach der Installation die Inhalte der Dateien prüfen.

Außerdem werden, nur bei Clients für Solaris 2.6, Dateien installiert, die Unterstützung für GSS_API-Framework und RPCSEC_GSS bieten. Da diese Dateien bereits Teil von Solaris, Version 7 sind, werden Sie nur bei Soaris 2.6-Clients hinzugefügt. Neue, sicherheitsrelevante Dateien, die installiert werden, sind /etc/gss/gsscred.conf, /etc/gss/mech, /etc/gss/qop und /etc/nfssec.conf. Auch wird die crontab-Datei für root und /etc/inetd.conf bearbeitet. Wenn Sie sitespezifische Änderungen für diese Dateien haben, sollten Sie nach der Installation die Inhalte der Dateien prüfen.

Slave-KDC-Packages

Der Installationsprozeß für einen Slave-KDC installiert alle Client-Packages und ein zusätzliches Package mit Dienstprogrammen, die von einem KDC-Server benötigt werden. Ein Startskript wird in /etc/init.d/kdc installiert, mit dem die Slave-KDC-Daemons gestartet werden. Auch werden die Dateien /etc/krb5/kdc.conf und /etc/inetd.conf bearbeitet.

Master-KDC-Packages

Der Installationsprozeß für einen Master-KDC installiert alle Client-Packages, das Slave-KDC-Package, und ein Package mit Dateien und Dienstprogrammen, die nur auf dem Master-KDC-Server benötigt werden. Der Prozeß bearbeitet die crontab-Datei für root und installiert ein Startskript in /etc/init.d/kdc.master. Auch werden eine Datei zur Kontrolle des Zugriffs auf den KDC, /etc/krb5/kadm5.acl, und eine Datei zur Steuerung der Vervielfältigung der KDC-Datenbank, /etc/krb5/kpropd.acl, hinzugefügt. Die Absicherung dieser Dateien ist wichtig für die Sicherheit der KDC-Datenbank.

Patches

Alle in dieser SEAM-Version enthaltenen Patches werden für SolarisTM 2.6 auf SPARCTM und Intelsystemen bereitgestellt. Einige dieser Patches beinhalten Korrekturen, die nichts mit SEAM zu tun haben. Der Grund dafür liegt darin, daß alle Korrekturen, ob sie sich nun auf SEAM beziehen oder nicht, dieselbe Binärdatei betreffen, und daß alle enthaltenen Parches offziell sind.

Alle diese Patches sind erforderlich, wenn Sie Kerberos V5-Sicherheit bei NFS-Dateisystemen und -Exporten nutzen möchten. Wenn Sie das NFS-Dateisystem nicht mithilfe von von SEAM sichern, dann werden diese Patches nicht benötigt.

Solaris-Patches werden mit XXXXXX-VV numeriert, wobei XXXXXX die Basis-ID-Nummer und VV die Versionsnummer darstellen. In der Regel ist die Basis-ID-Nummer für einen i386-Patch gleich der für den entsprechenden SPARC-Patch, um eins erhöht.

Hier ist eine Liste aller in SEAM, Version 1.0 enthaltenen Patches. Die SPARC-Patch-IDs werden zuerst aufgeführt.

105472-04 / 105473-04 -- Ohne diese Korrektur stürzt der Automounter ab, wenn auf NFS-Dateisysteme zugegriffen wird, die mit Kerberos V5-Sicherheit eingehängt sind (das heißt, der NFS-Server hat das System freigegeben für sec= krb5, krb5i, or krb5p).

105564-03 / 105565-03 -- Ohne diese Korrektur arbeitet der Befehl chgrp nicht einwandfrei bei NFS-Dateisystemen, die mit Kerberos V5-Sicherheit eingehängt worden sind.

105615-04 / 105616-04 -- Ohne diese Korrektur können Sie nicht erfolgreich mit einem Befehl wie dem folgenden NFS-Dateisysteme von Servern exportieren: share -o sec=krb5,rw=mpk16-labnets,ro=engineering /export/krb5. Weniger komplexe Befehle wie: share -o sec=krb5 /export/krb5 sind mit oder ohne Patch erfolgreich.

106639-01 / 106640-01 -- Dieser Patch behebt ein Speicherleck, das auftritt, wenn NFS-Dateisysteme verwendet werden, die Kerberos V5-Sicherheit verwenden.

107228-01 / 107281-01 -- Dieser Patch korrigiert XFN für die Erweiterung auf große Tabellen, die für die Verwendung des Befehls gsscred geeignet sind. Wenn Sie sich dafür entscheiden, nicht XFN zu verwenden, dann benötigen Sie nicht diesen Patch.