Capítulo 2 Instalación de SEAM

Este capítulo detalla los pasos necesarios para instalar el producto SEAM y será útil para cualquiera que realice una instalación. En el capítulo se incluyen los procedimientos para realizar la configuración previa y la instalación de SEAM. El primer procedimiento permite la configuración previa de gran parte de los datos específicos de la sede, de forma que no sea necesario editar manualmente los archivos como parte del proceso de instalación; también incluye una instalación local. El segundo procedimiento agrega la totalidad del software de SEAM mediante la información de configuración previa.

En este capítulo se tratan los temas siguientes:

• "Contenido de los paquetes de SEAM"

• "Instalación del software de SEAM"

• "Desinstalación de SEAM"

Contenido de los paquetes de SEAM

El software de SEAM se puede instalar en un cliente, un servidor KDC esclavo o un servidor KDC maestro. El resto de servidores (como una aplicación de SEAM o un servidor NFS SEAM) se configuran una vez instalados los paquetes de software de cliente. Cada tipo de instalación agrega uno o varios paquetes; algunos de éstos cambian archivos importantes para la seguridad del sistema.

Paquetes de cliente SEAM

Los paquetes de cliente instalan las páginas del comando man de SEAM, las aplicaciones de Kerberos (como klist), las aplicaciones de administración (kadmin y gkadmin), así como los daemons y las utilidades adaptados a kerberos (por ejemplo, ftp y ftpd). Durante el proceso de instalación se editan los archivos siguientes: /etc/inetd.conf, /etc/services, /etc/pam.conf y /etc/krb5/krb5.conf. Si ha realizado modificaciones en estos archivos específicas para la sede, deberá comprobar su contenido después de la instalación.

Además, en los clientes Solaris 2.6 se instalan archivos que proporcionan la admisión de la estructura GSS_API y RPCSEC_GSS. Esto ya forma parte de la versión 7 de Solaris, en consecuencia únicamente se agregan a los clientes Solaris 2.6. Los archivos nuevos relacionados con la seguridad que se instalan incluyen /etc/gss/gsscred.conf, /etc/gss/mech, /etc/gss/qop y /etc/nfssec.conf. Además, se edita el archivo crontab para root y el archivo /etc/inetd.conf. De nuevo, si se han realizado modificaciones específicas para la sede en estos archivos, se debe comprobar el contenido después de la instalación.

Paquetes de KDC esclavo

El proceso de instalación de KDC esclavo instala todos los paquetes de cliente, así como un paquete adicional que incluye las utilidades que necesitan todos los servidores KDC. En /etc/init.d/kdc se instala una secuencia de inicio, que ejecuta los daemons de KDC esclavo. También se editan los archivos /etc/krb5/kdc.conf y /etc/inetd.conf.

Paquetes de KDC maestro

El proceso de instalación de KDC maestro instala todos los paquetes de cliente, el paquete de KDC esclavo y un paquete que incluye los archivos y utilidades que únicamente son necesarios en el servidor KDC maestro. El proceso edita el archivo crontab para root e instala una secuencia de inicio en /etc/init.d/kdc.master. También se agrega un archivo, /etc/krb5/kadm5.acl, para controlar el acceso al KDC y otro, /etc/krb5/kpropd.acl, para controlar la propagación de la base de datos del KDC. La protección de estos archivos es importante para la seguridad de la base de datos del KDC.

Modificaciones

Todas las modificaciones incluidas con la versión de SEAM son para los sistemas Solaris^TM 2.6 SPARC^TM e Intel. Algunas de ellas incorporan soluciones no relacionadas con SEAM, ya que tanto las modificaciones de SEAM como las que no lo son afectan al mismo binario; todas las modificaciones incluidas son oficiales.

Si desea utilizar la seguridad de Kerberos V5 con los sistemas de archivos y las exportaciones NFS, se requieren todas estas modificaciones. Si no utiliza SEAM para proteger el sistema de archivos NFS, las modificaciones no son necesarias.

Las modificaciones de Solaris tienen la numeración XXXXXX-VV, donde XXXXXX es el número de identificación base de la modificación y VV es el número de versión. Habitualmente, el número de identificación base de las modificaciones de i386 es igual al de SPARC aumentado en uno.

Sigue una lista de todas las modificaciones que se incluyen en la versión 1.0 de SEAM. Las identificaciones de modificación de SPARC se enumeran primero.

105472-04 / 105473-04: sin esta modificación, el montador automático se caerá cuando acceda a los sistemas de archivos NFS montados con la seguridad de Kerberos V5 (es decir, el servidor NFS comparte el sistema de archivos con sec= krb5, krb5i o krb5p).

105564-03 / 105565-03: sin esta modificación, el comando chgrp no funcionará en los sistemas de archivos NFS montados con la seguridad de Kerberos V5.

105615-04 / 105616-04: sin esta modificación, no podrá exportar los sistemas de archivos NFS de los servidores satisfactoriamente con un comando similar a este: share -o sec=krb5,rw=mpk16-labnets,ro=engineering /export/krb5. Los comandos menos complejos, como: share -o sec=krb5 /export/krb5, funcionarán con la modificación o sin ella.

106639-01 / 106640-01: esta modificación soluciona una pérdida de memoria que se produce al utilizar los sistemas de archivos NFS que utilizan la seguridad de Kerberos V5.

107228-01 / 107281-01: esta modificación soluciona XFN para adaptarlo a las tablas grandes adecuadas para su uso con el comando gsscred. Si opta por no utilizar XFN, no necesita esta modificación.

Mapa de tareas de la instalación de SEAM

Para mejor utilizar SEAM, la instalación del producto se debe realizar en un orden determinado, que se puede alterar si se cree necesario, aunque quizás se deban repetir algunos pasos o hacer cambios manuales en los archivos de configuración.

Tabla 2-1 Primeros pasos: orden de configuración de SEAM

Tarea	Descripción	Para obtener instrucciones, vaya a ...
1. Planificar su instalación de SEAM	Antes de iniciar el proceso de instalación de software, considere las cuestiones de configuración y tome decisiones sobre ellas.	"" in Sun Guía de Sun Enterprise Authentication Mechanism
2. (Opcional) Instalar NTP	Para que SEAM funcione correctamente, deben mantenerse sincronizados los relojes de todos los sistemas del ámbito.	"Sincronización de los relojes entre los KDC y los clientes SEAM" en la Guía de Sun Enterprise Authentication Mechanism
3. (Opcional) Ejecutar el procedimiento de configuración previa de SEAM	Para facilitar la instalación de una sede con muchos sistemas, puede ejecutarse el procedimiento para que almacene gran parte de la información de instalación en un servidor NFS. A continuación, puede utilizarse esta información durante la instalación.	"Realización de la configuración previa de las instalaciones de SEAM "
4. Ejecutar el procedimiento de instalación del software de SEAM	Para instalar los paquetes de software de SEAM en un cliente o un servidor	"Instalación del software de SEAM mediante la GUI"
5. Configurar el servidor KDC maestro	Pasos para configurar y crear el servidor KDC maestro y la base de datos para un ámbito.	"" in Sun Guía de Sun Enterprise Authentication Mechanism
6. Pasos adicionales para configurar SEAM	Pasos para configurar los KDC esclavos, los clientes SEAM, los servidores NFS SEAM y otras tareas útiles	"" in Sun Guía de Sun Enterprise Authentication Mechanism

Instalación del software de SEAM

El proceso de instalación se realiza mejor mediante los procedimientos siguientes. El primer paso es establecer un área grabable para colocar los archivos que se utilizan durante el proceso de configuración. Este sistema de archivos grabable y una imagen de los paquetes SEAM se deben poder exportar a todos los sistemas que necesiten instalar SEAM. Puede optar por:

1. Copiar el CD de SEAM en un disco local de un servidor de NFS que se pueda exportar: véase "Copia de la imagen de SEAM a un sistema de archivos local".

2. Montar un sistema de archivos grabable en el CD y exportar ambos: véase "Montaje de un sistema de archivos grabable en el CD de SEAS".

Una vez dispuesta un área grabable, el paso siguiente es definir la información necesaria para los archivos de configuración para que no necesite introducirla manualmente. Esto se denomina el procedimiento de configuración previa. El último procedimiento instala el software de SEAM mediante la información de configuración previa, si está disponible.

El procedimiento de establecer archivos de configuración para el KDC maestro, los KDC esclavos y los clientes SEAM es opcional pero, en las sedes con muchos sistemas, el uso de los archivos de configuración tiene muchas ventajas.

1. Sólo es necesario introducir los datos una vez, de forma que las instalaciones se ejecutan más rápidamente

2. Como todas las instalaciones comparten los archivos de configuración, se reducen las posibilidades de cometer un error durante la instalación.

La herramienta utilizada en este proceso recopila información como el nombre del ámbito, los nombres de los servidores KDC y otra información importante y la almacena.

El paso siguiente es instalar el producto SEAM. Antes de intentar la instalación, debe determinar qué tipo de sistema necesita. El proceso de instalación permite seleccionar una instalación de KDC maestro, KDC esclavo o de cliente SEAM. Los paquetes de KDC maestro únicamente se deberían incluir en el servidor maestro KDC; de igual forma, los paquetes de esclavo KDC únicamente se deberían instalar en los servidores KDC esclavos (véase "Instalación del software de SEAM mediante la GUI").

Los paquetes de cliente SEAM se deben instalar en cualquier sistema que necesite SEAM. Estos sistemas pueden incluir servidores de aplicaciones de red, servidores NFS y todos los clientes. Si se ha terminado el proceso de configuración previa, se puede utilizar un procedimiento más sencillo para instalar los clientes SEAM (véase "Instalación de clientes de SEAM sin la GUI").

El último procedimiento de este apartado explica cómo solucionar un sistema que tenga instalado todo el software antes de terminar el paso de configuración previa. Esto puede suceder cuando se realiza la instalación predeterminada de SEAS 3.0 sin realizar primero el proceso de instalación previa. Para obtener una explicación completa, consulte "Corrección de un sistema no configurado".

Copia de la imagen de SEAM a un sistema de archivos local

Si no desea dejar montado el CD de SEAS 3.0 en un servidor durante las instalaciones de SEAM, la mejor forma de hacer que esté disponible la imagen de SEAM es copiar los paquetes desde el CD de SEAS. Éstos necesitan 50 MB. Este procedimiento requiere que esté disponible el CD de SEAS 3.0 en el servidor.

1. Conviértase en root en un servidor NFS.

2. Copie la imagen de SEAM desde el CD de SEAS 3.0 en un sistema de archivos local.

   # cd /export # mkdir SEAM # cd /cdrom # find .install products/Sun_Enterprise_Authentication_Mechanism_1.0 -print| cpio -dump /export/SEAM

   ---

   Nota -

   La última línea está dividida en dos para hacerla legible, pero debe introducirse como un comando.

   ---

3. Exporte el sistema de archivos.

   Para hacer que los archivos de configuración estén disponibles para todas las instalaciones, es necesario que todos los sistemas puedan montar /export o /export/SEAM mediante NFS.

   1. Edite el archivo /etc/dfs/dfstab.

      Agregue una entrada para /export o /export/SEAM si no existe ninguna.

      share -f nfs -ro /export/SEAM

   2. Inicie los servicios de NFS.

      Si es el primer comando share o conjunto de comandos share que ha iniciado, probablemente no se estarán ejecutando los daemons de NFS. Los comandos siguientes finalizan los daemon y los reinician.

      # /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

Qué hacer a continuación

Ahora que se ha preparado un área para almacenar el archivo de configuración, puede seguir los pasos de "Realización de la configuración previa de las instalaciones de SEAM ".

Montaje de un sistema de archivos grabable en el CD de SEAS

Si desea dejar el CD de SEAS en un servidor mientras se llevan a cabo las instalaciones de SEAM, necesita montar un sistema de archivos grabable en el CD para proporcionar un área donde almacenar la información de configuración previa. Este procedimiento requiere que esté disponible el CD de SEAS 3.0 en el servidor.

1. Conviértase en root en un servidor NFS.

2. Cree un sistema de archivos para los archivos de configuración previa.

   # cd /export # mkdir configpre_SEAM

3. Monte el sistema de archivos en el CD de SEAS.

   # SEAM=/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0/\ > .install/pkgutil/siteconfig_response # mount -F lofs /export/configpre_SEAM $SEAM

4. Exporte el sistema de archivos.

   Para hacer que los archivos de configuración estén disponibles para todas las instalaciones, es necesario que todos los sistemas puedan montar /export o /export/SEAM mediante NFS.

   1. Edite el archivo /etc/dfs/dfstab.

      Agregue una entrada para /cdrom y para el directorio nuevo /export/configpre_SEAM si no existen.

      share -f nfs -ro /cdrom share -f nfs -ro /export/configpre_SEAM

   2. Inicie los servicios de NFS.

      Si es el primer comando share o conjunto de comandos share que ha iniciado, probablemente no se estarán ejecutando los daemons de NFS. Los comandos siguientes finalizan los daemon y los reinician.

      # /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

Qué hacer a continuación

Ahora que se ha preparado un área para almacenar el archivo de configuración, puede seguir los pasos de "Realización de la configuración previa de las instalaciones de SEAM ".

Realización de la configuración previa de las instalaciones de SEAM

Puede seguirse este procedimiento para realizar la configuración previa de gran parte de la información necesaria al configurar los KDC o los clientes SEAM. Si es necesaria la configuración previa, debe haber disponible un sistema de archivos grabable para su información (véase "Copia de la imagen de SEAM a un sistema de archivos local" o "Montaje de un sistema de archivos grabable en el CD de SEAS"). Durante el proceso de instalación, cada sistema del ámbito puede acceder a la información almacenada en el sistema de archivos NFS. Este proceso es opcional, pero resulta muy útil para las sedes grandes.

---

Nota -

Este procedimiento instalará SEAM en el servidor NFS mediante la información de configuración previa, pero hasta que se instale un maestro KDC como mínimo no funcionará ninguna de las aplicaciones de SEAM.

---

En este procedimiento se utilizan los parámetros de configuración siguientes:

configuración de hardware = SPARC




nombre de ámbito = ACME.COM




nombre de dominio de DNS = acme.com




kdc maestro = kdc1.acme.com




kdc esclavo = kdc2.acme.com




servidor de answerbook = puebla




URL de ayuda en línea = http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/8897




sistema de archivos que contiene los paquetes de SEAM = /export/SEAM

1. Conviértase en root en un servidor NFS.

2. Inicie el proceso de instalación.

   # cd /export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./installer

   ---

   Nota -

   Si utiliza el CD para la instalación de los paquetes en lugar de un servidor de NFS, installer se encuentra en: /net/puebla/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0.

   ---

3. Haga clic en Siguiente en la pantalla de bienvenida.

4. Seleccione el tipo de instalación.

   La pantalla siguiente le pide que elija entre una instalación predeterminada o personalizada. Seleccione la instalación personalizada para llegar a las pantallas de configuración previa. Haga clic en Siguiente para continuar.

5. Haga clic en Siguiente en la pantalla Selección de entorno nacional.

6. Seleccione qué componentes de software se instalarán.

   Si el servidor NFS no va a ser un cliente SEAM o si únicamente está recopilando la información de instalación previa, no es necesario seleccionar ningún componente. Para un servidor NFS de Solaris 7 que vaya a proporcionar la admisión de NFS adaptado a Kerberos, los únicos componentes que se deben seleccionar son Módulo de núcleo y Cliente SEAM. Para un servidor NFS de Solaris 2.6 que vaya a proporcionar la admisión de NFS adaptado a Kerberos, seleccione los mismos componentes, pero agregue las "Modificaciones de 5.6" y el componente GSS-API. Haga clic en Siguiente para continuar.

   ---

   Nota -

   Después de este paso se realiza una comprobación del espacio en disco. Si hay suficiente espacio, no deberá hacer nada.

   ---

7. Defina la información de configuración de la sede.

   La pantalla siguiente le permite seleccionar el procedimiento de configuración, así como introducir la información de configuración.

   1. Seleccione el procedimiento de configuración.

      La parte superior de la pantalla le permite seleccionar cómo se configurará la máquina. Para este procedimiento, debe seleccionar "Reconfigurar la información de la sede". Puede seleccionar:

      • Utilizar la información de la sede configurada previamente: utilice esta opción cuando haya terminado el proceso de configuración previa

      • Reconfigurar la información de la sede: utilice esta opción para introducir información nueva

      • Configurar sólo esta máquina: utilice esta opción para introducir información nueva para este sistema

      • Configurar esta máquina posteriormente: utilice esta opción cuando no está seguro de todos los parámetros de configuración pero desea instalar los paquetes

   2. Identifique el directorio de configuración de la sede.

      La ruta debe indicar un sistema de archivos que puedan montar todos los sistemas que requieren las instalaciones de SEAM.

   3. Especifique el nombre de ámbito.

      Por convención, los nombres de ámbito están en mayúsculas para ayudar a diferenciarlos de otros nombres de dominio. Para este ejemplo, el nombre de dominio es ACME.COM.

   4. Identifique los nombres de servidor de KDC maestro y esclavo.

      Utilice los nombres de sistema completos. Para este ejemplo, los nombres de sistema son kdc1.acme.com para el maestro y kdc2.acme.com para el esclavo. Puede agregar tantos esclavos como necesite.

   5. Escriba el nombre de dominio de DNS para este ámbito.

   6. Especifique el URL de la ayuda en línea.

      La herramienta de administración utiliza este URL, en consecuencia debe definirse correctamente para que funcione el menú "Contenido de ayuda". Puede instalarse la versión web de este manual en cualquier servidor de AnswerBook2 apropiado. Deberá cambiar la entrada localhost y agregar información después de la parte SEAM de la dirección.

      Para este ejemplo, el URL debe señalar a http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6685, a menos que otra ubicación sea más apropiada. La ubicación sugerida para su uso es el apartado titulado "SEAM Administration Tool" del capítulo "Administración de principales y normas" de la Guía de Sun Enterprise Authentication Mechanism.

      Para verificar el URL introdúzcalo en cualquier navegador de web y compruebe que esté disponible la página. Antes de intentar verificar el URL, asegúrese de que se haya instalado la documentación de SEAS.

   7. Identifique el tiempo de vida máximo para los cupones.

      Si es aceptable el valor predeterminado, no lo cambie.

   8. Identifique el tiempo de vida máximo para los cupones renovables.

      Si es aceptable el valor predeterminado, no lo cambie.

   9. Revise las definiciones que ha establecido.

      Si son correctas, haga clic en Siguiente para continuar. Cuando haga clic en Siguiente, se guarda la información de configuración previa en el directorio de configuración.

      

8. Haga clic en Instalar ahora para iniciar la instalación.

   La pantalla mostrará los componentes seleccionados. Si no hay seleccionado ninguno y únicamente está recopilando la información de configuración previa, puede hacer clic en Salir.

9. Aparecerá un resumen del proceso de instalación; haga clic en Siguiente para continuar.

10. En la pantalla siguiente aparecerá información adicional; haga clic en Salir para terminar el procedimiento.

    Aparecerá una ventana que le pregunta si desea rearrancar. El rearranque no es necesario mientras el servidor no necesite utilizar SEAM.

Instalación del software de SEAM mediante la GUI

En este ejemplo se selecciona la instalación del servidor maestro SEAM, pero el proceso es muy similar para las instalaciones del esclavo y el cliente. Los paquetes de SEAM se han instalado en /net/puebla/export/SEAM, aunque podrían estar instalados en un sistema de archivos local, o puede realizar la instalación mediante el CD de SEAS.

Las instalaciones de los clientes SEAM se pueden acelerar siguiendo las instrucciones de "Instalación de clientes de SEAM sin la GUI".

1. Inicie la secuencia de instalación.

   # cd /net/puebla/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./installer

2. Haga clic en Siguiente en la pantalla de bienvenida.

3. Seleccione el tipo de instalación.

   La pantalla siguiente le pide que elija entre una instalación predeterminada o personalizada. Seleccione ésta. Haga clic en Siguiente para continuar.

4. Haga clic en Siguiente en la pantalla Selección de entorno nacional.

   Actualmente, en la versión de SEAS no se puede seleccionar ningún entorno nacional.

5. Haga clic en la pantalla Seleccionar directorio de instalación.

   SEAM instalará archivos en varios directorios. Debe dejar la ruta como "/".

6. Seleccione qué componentes de software se instalarán.

   Para un maestro, seleccione el paquete Servidor maestro. Para un esclavo, seleccione el paquete Servidor esclavo. Se agregan otros paquetes según se necesiten. Haga clic en Siguiente para continuar.

   ---

   Nota -

   Después de este paso se realiza una comprobación del espacio en disco. Si hay suficiente espacio, no deberá hacer nada.

   ---

7. Haga clic en Instalar ahora para iniciar la instalación.

   La pantalla mostrará los componentes seleccionados.

8. Seleccione el procedimiento y el directorio de configuración.

   La pantalla siguiente permite seleccionar el procedimiento de configuración, así como identificar la ruta de los archivos de configuración. Si tiene información de la sede configurada previamente, seleccione "Utilizar información de sede configurada previamente" y especifique la ruta de directorio de los archivos de configuración.

   

9. Aparecerá un resumen del proceso de instalación; haga clic en Siguiente para continuar.

10. En la pantalla siguiente aparecerá información adicional; haga clic en Salir para terminar el procedimiento.

Qué hacer a continuación

La Guía de Sun Enterprise Authentication Mechanism incluye una lista de las tareas que se pueden llevar a cabo después de instalar el software de SEAM.

Instalación de clientes de SEAM sin la GUI

Los clientes de SEAM se pueden instalar sin utilizar la GUI después de terminar el proceso de configuración previa. No utilizar la GUI significa que no es necesario pasar por ninguna de las pantallas, de forma que la instalación debería ejecutarse más rápido. Como no se utiliza ninguna de las pantallas, únicamente se pueden agregar los paquetes de cliente.

Si fuera necesario, puede instalar todos los paquetes antes de que termine el proceso de instalación previa y utilizar la secuencia mencionada en "Corrección de un sistema no configurado" para terminar la configuración.

1. Conviértase en el usuario root en el cliente.

2. Cambie al directorio del área de configuración previa.

   # cd /net/puebla/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0

   ---

   Nota -

   Para cargar los paquetes desde el CD, utilice la ruta: /net/puebla/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0.

   ---

3. Inicie el instalador.

   # ./installer -nodisplay

Corrección de un sistema no configurado

Si se realiza una instalación completa sin crear primero los archivos de configuración previa, puede corregir el sistema mediante el procedimiento siguiente.

1. Conviértase en root en el sistema.

2. Ejecute la secuencia para solucionar la configuración.

   # cd /net/puebla/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./sparc/Tools/seamfixconfig

   ---

   Nota -

   Si utiliza el CD de SEAS 3.0, la ruta sería: /net/puebla/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0.

   ---

Desinstalación de SEAM

SEAM, al igual que otros productos de la versión 3.0 de Sun Easy Access Server 3.0, se puede desinstalar mediante prodreg. En "" in Solaris Easy Access Server 3.0: Guía de instalación se puede encontrar más información sobre esta utilidad.

Adiciones en Solaris Management Console

Una vez instalado SEAM, puede ejecutar SEAM Administration Tool desde Solaris Management Console (SMC). Para iniciar la GUI, haga doble clic en la categoría "seguridad" del panel izquierdo de la ventana de SMC y haga doble clic en el icono de SEAM del panel derecho.