第 2 章 SEAM 安装

本章包括安装SEAM产品所需步骤并应当由从事安装的任何人使用。预配置和安装SEAM的程序也包括在本章中。第一道程序让您对具体站点的数据加以预配置，这样文件无需作为安装进程的一部分加以手动编辑；它还包括本地安装。第二道程序实际上是运用预配置信息添加所有SEAM 软件。

如下这些主题包括在本章之中：

• "SEAM程序包内容"

• "安装SEAM软件"

• "取消安装SEAM"

SEAM程序包内容

SEAM软件可安装在客户机、KDC从属服务器或KDC主服务器上。任何其它类型的服务器 (如SEAM 应用服务器或SEAM NFS服务器)在客户软件包安装完毕后安装。每一类型的设备添加一个或多个程序包，有些要对系统安全重要的文件进行更改。

SEAM 客户程序包

客户程序包安装SEAM手册页、 Kerberos 应用(如 klist)、管理应用 (kadmin和gkadmin)，同时还有Kerberos化的守护程序和实用程序(例如，ftp 和 ftpd)。 在安装过程中，编辑下列文件： /etc/inetd.conf、/etc/services、/etc/pam.conf 和 /etc/krb5/krb5.conf。如果您在具体站点对这些文件作了修改，您应当在安装完毕后对文件内容加以检查。

此外，在(也只有在) Solaris 2.6 客户机上，安装有支持GSS_API 框架和RPCSEC_GSS的文件。这些已经是 Solaris 7 版本的一部分，因此它们只被添加到Solaris 2.6 客户机。所安装的与安全相关的新文件包括 /etc/gss/gsscred.conf、 /etc/gss/mech、 /etc/gss/qop和 /etc/nfssec.conf。此外，还编辑供 root 和 /etc/inetd.conf 使用的crontab 文件。重申一下，如果您在具体站点对这些文件作了修改，您应当在安装完毕后对文件内容加以检查。

从属KDC程序包

从属KDC安装进程安装所有客户程序包，外加其中包含任何KDC服务器所需实用程序的附加程序包。启动脚本安装在 /etc/init.d/kdc，由它启动从属KDC守护程序。此外，/etc/krb5/kdc.conf文件和 /etc/inetd.conf文件被编辑。

主KDC程序包

主KDC安装进程安装所有客户程序包、从属KDC程序包、以及一个里面包含只有在主KDC服务器上所需文件和实用程序的程序包。该进程编辑供root使用的crontab文件并在 /etc/init.d/kdc.master中安装启动脚本。用于控制访问KDC的文件、 /etc/krb5/kadm5.acl和用于控制KDC数据库传播的文件、 /etc/krb5/kpropd.acl予以添加。确保安装这些文件对于KDC数据库的安全十分重要。

修补

包括在SEAM版本中的所有修补供Solaris^TM 2.6 SPARC^TM 和Intel 系统使用。有些修补并入了与 SEAM无关的修补。这是因为 SEAM和非SEAM修理影响同一个二进制，而且所包含的所有修补均是正式修补。

如果您想对NFS文件系统和输出采用Kerberos V5 保密程序，您需要所有这些修补。如果您没有使用SEAM 对NFS 文件系统进行保密，则无需这些修补。

Solaris 修补的号码为 XXXXXX-VV，其中XXXXXX 为修补ID基号，VV 为版本号。一般而言，i386 修补的ID基号相当于SPARC的ID基号加1。

如下为包含在SEAM 1.0 版本中的所有修补列表。SPARC 修补被列在前面。

105472-04 / 105473-04 - 没有此修补，当进入安装了 Kerberos V5 保密程序的NFS 文件系统时(即，NFS服务器正与 sec= krb5、 krb5i或 krb5p共享文件系统)时，自动安装程序将会失效。

105564-03 / 105565-03 - 没有此修补，chgrp 命令将无法在进入安装了 Kerberos V5 保密程序的NFS 文件系统上工作。

105615-04 / 105616-04 - 没有此修补，您将不能成功地用类似如下的命令从服务器输出 NFS 文件系统： share -o sec=krb5,rw=mpk16-labnets,ro=engineering /export/krb5。 较为简单的命令如：share -o sec=krb5 /export/krb5 有无该修补均能成功。

106639-01 / 106640-01 - 本修补用以修复当使用安装了 Kerberos V5 保密程序的NFS 文件系统 时发生的存储泄漏。

107228-01 / 107281-01 - 本修补用以修复XFN 以便按比例放大表格，以适用gsscred命令。如果您选择不用XFN，则您无需此修补。

SEAM 安装任务图

为了最佳利用SEAM，产品安装应当安特定次序完成。如果需要的话，您可以改变该次序，但可能需要重复某些步骤或者您可能需要对配置文件作手动更改。

表 2-1 First Steps: SEAM Configuration Order

任务	说明	有关指令，请转到...
1. 您的SEAM 安装计划	在开始软件安装进程之前对配置问题加以考虑并作出决定。	"" in Sun Enterprise Authentication Mechanism Guide - zh
2. (可选) 安装NTP	为了让SEAM正常工作，区域内所有系统的时钟必须保持同步。	"KDCs和SEAM客户机间的同步时钟" 在Sun 企业鉴别机制指南中
3. (可选) 运行SEAM预配置程序	为了使拥有许多主机之站点的安装工作更为简便，可运行该程序以将多数安装信息存入NFS服务器。然后就能在安装过程中使用该信息。	"如何预配置SEAM安装"
4. 运行SEAM软件安装程序	在客户机或服务器上安装SEAM软件包	"如何使用GUI安装SEAM软件"
5. 配置主KDC服务器	为某一区域配置和建立主KDC服务器和数据库的步骤。	"" in Sun Enterprise Authentication Mechanism Guide - zh
6. 配置SEAM 的附加步骤	配置从属KDC、SEAM 客户机、SEAM NFS 服务器和其它有用任务	"" in Sun Enterprise Authentication Mechanism Guide - zh

安装SEAM软件

安装进程最好采用如下程序完成。第一步需建立可写入区用于放置在配置过程中使用的文件。该可写入文件系统和SEAM程序包的图形应当可输出到需要安装 SEAM的所有系统。您可选择：

1. 将SEAM CD 拷贝到位于可输出的NFS服务器上的本地磁盘 - 请参阅"如何将SEAM图像拷贝到本地文件系统"。

2. 在CD上安装可写入文件系统并将它们同时输出- 请参阅"如何在SEAS CD 上安装可写入文件系统"。

在可写入区准备好后，下一步需定义配置文件所需的信息，因此您无需手动输入该信息。这被称作预配置程序。最后一道程序是运用预配置信息 (如有的话) 安装SEAM软件。

为主KDC、从属KDC和SEAM 客户机建立配置文件的程序是可选的，在拥有许多系统的站点中，使用配置文件有诸多益处。

1. 数据只需输入一次以使设备运行更快

2. 由于配置文件由所有设备共享，在安装过程中出错的机率被降低。

进程所用的工具收集信息例如区域名、KDC服务器名和其它重要信息，并加以存储。

下一步骤是安装SEAM。在试图安装之前，您需要确定您需要什么类型的系统。安装进程让您选择主KDC安装、从属KDC安装或SEAM客户机安装。主KDC程序包应当只包括在KDC主服务器中；同样，从属KDC程序包只应当安装在KDC从属服务器上(请参阅"如何使用GUI安装SEAM软件")。

SEAM客户机程序包应当安装在需要SEAM的任何主机上。这些主机可包括网络应用服务器、 NFS服务器和所有客户机。如果预配置进程业已完成，则可使用一个更加简单的程序来安装 SEAM客户机(请参阅 "如何在没有GUI的情况下安装SEAM客户机")。

本节的最后一道程序用以说明如何修复在预配置完成前已安装所有软件的系统。这在未先完成预配置进程即完成了默认SEAS 3.0安装时会发生。请参阅 "如何修复未配置系统。" 以获取完整的说明。

如何将SEAM图像拷贝到本地文件系统

如何将SEAM图像拷贝到本地文件系统

如果在SEAM安装发生时您不想在服务器上安装SEAS 3.0 CD， 那么，从SEAS CD 拷贝程序包是获得SEAM图像的最佳途径。该程序包约需要50MB。本程序要求您在服务器上有SEAS 3.0 CD。

1. 在NFS 服务器上成为root。

2. 从SEAS 3.0 CD 拷贝SEAM 图像到本地文件系统。

   # cd /export # mkdir SEAM # cd /cdrom # find .install products/Sun_Enterprise_Authentication_Mechanism_1.0 -print| cpio -dump /export/SEAM

   ---

   注意：

   最后一行被分为两行以使它可读，但应当作为一个指令输入。

   ---

3. 输出文件系统。

   为让所有设备安装可用配置文件/export 或 /export/SEAM ，需要NFS可由所有主机安装。

   1. 编辑 /etc/dfs/dfstab 文件。

      如果没有的话，请为 /export 或 /export/SEAM添加条目。

      share -f nfs -ro /export/SEAM

   2. 起始NFS服务。

      如果这是您所启动的首个 共享 命令或 share 命令集，NFS守护程序可能不在运行。下列命令将去除守护程序并重新启动它们。

      # /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

由此去往何处

现在已准备好用以存储配置文件的区域，您可以遵循"如何预配置SEAM安装" 中的步骤。

如何在SEAS CD 上安装可写入文件系统

如果您想在SEAM安装进行时让 SEAS CD 放置于服务器上，则您需要安装可写入文件系统到此CD上以提供区域供存储预配置信息。本程序要求您的服务器上有SEAS 3.0 CD。

1. 在NFS 服务器上成为root。

2. 为预配置文件创建文件系统。

   #cd /export # mkdir SEAM_preconfig

3. 将文件系统安装在SEAS CD上。

   # SEAM=/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0/\ > .install/pkgutil/siteconfig_response # mount -F lofs /export/SEAM_preconfig $SEAM

4. 输出文件系统。

   为使配置文件可供所有设备安装使用， /export 或 /export/SEAM 需要所有主机可安装NFS。

   1. 编辑/etc/dfs/dfstab文件。

      如果没有的话，请为/cdrom和新目录 /export/SEAM_preconfig添加条目。

      share -f nfs -ro /cdrom share -f nfs -ro /export/SEAM_preconfig

   2. 起始NFS服务。

      起始NFS服务。

      如果这是您所启动的首个共享 命令或 共享 命令集，NFS守护程序可能不在运行。下列命令将去除守护程序并重新启动它们。

      # /etc/init.d/nfs.server stop # /etc/init.d/nfs.server start

由此去往何处

现在已准备好用以存储配置文件的区域，您可以遵循"如何预配置SEAM安装" 中的步骤。

如何预配置SEAM安装

可按照本程序对配置KDC或 SEAM客户机时所需的多数信息进行预配置。如果有必要进行预配置，预配置信息必须要求有可写入文件系统(请参阅 "如何将SEAM图像拷贝到本地文件系统" 或 "如何在SEAS CD 上安装可写入文件系统")。 存储于NFS文件系统上的信息在安装程序中可以由区域内的每台主机存取。本进程为可选项，但对大型站点应当十分有用。

---

注意：

本程序将运用预配置信息在NFS服务器上安装SEAM，但在KDC主服务器被安装之前，SEAM应用程序将不会工作

---

在本程序中，如下配置参数予以使用：

硬件配置 = SPARC




区域名 = ACME.COM




DNS 域名 = acme.com




主 kdc = kdc1.acme.com




从属 kdc = kdc2.acme.com




answerbook 服务器 = denver




联机帮助URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/8897




拥有SEAM程序包的文件系统 = /export/SEAM

1. 在NFS服务器上成为root。

2. 起始安装进程。

   # cd /export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./installer

   ---

   注意：

   如果您正使用CD而不是NFS服务器进行程序包安装，那么安装程序可在下处找到： /net/denver/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0。

   ---

3. 单击"欢迎"屏幕中的"下一步"。

4. 选择安装类型。

   下一个屏幕问您是要选择默认安装还是定制安装。请选择定制安装以转到预配置屏幕。单击"下一步"继续。

5. 单击"语言环境选择"屏幕中的"下一步"。

6. 选择要安装的软件成分。

   如果NFS服务器将不成为SEAM 客户机或者您只是正在收集预配置信息，则无需选择任何成分。对于将提供Kerberos化NFS支持的 Solaris 7 NFS 服务器， 唯一应当选择的成分为Kernel模块和SEAM客户机。对于将提供 Kerberos化NFS支持的 Solaris 2.6 NFS 服务器， 应当选择相同的成分但须确保添加 "5.6 修补" 和GSS-API成分。 单击下一步以继续。

   ---

   注意：

   在本步骤之后即对磁盘空间予以检测。如果有足够的空间，那么什么也不必做。

   ---

7. 定义站点配置信息。

   下一屏幕允许您选择配置程序并输入配置信息。

   1. 选择配置程序。

      屏幕顶部允许您选择如何对机器进行配置。对于这一程序，你应选择"重新配置站点信息。"你可选择：

      • 使用以前配置的站点信息-在预配置进程完成之后使用。

      • 重新配置站点信息- 使用本指令输入新信息

      • 仅配置这台机器- 用来为该主机输入新信息

      • 随后配置该机器- 当你对所有的配置参数不确定，而想安装程序包时，使用本指令

   2. 鉴别站点配置目录。

      该路径应通向一文件系统，该文件系统可由所有需要SEAM安装的系统进行装配。

   3. 指定区域名。

      按惯例，区域名为大写以便区分于其他域名，本例中，域名为ACME.COM。

   4. 鉴定主机服务器KDC名称和从属机服务器KDC名称

      使用完全合格的主机名。本例中，主服务器的主机名为 kdc1.acme.com，从属服务器的主机名为 kdc2.acme.com。你可根据需要加入所需数量的从属服务器。

   5. 输入本区域的DNS域名。

   6. 指定联机帮助的URL。

      本URL由SEAM管理工具使用，因此应正确定义URL以启动"帮助内容"菜单进行工作。该手册的网络版本可以安装在任何合适的AnswerBook2服务器中。您将需要更改localhost 条目并在SEAM 地址部分之后加入信息。

      本例中，URL应指向： http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6685，除非另一地址更为合适。Sun企业鉴别机制指南中"管理授权对象和策略"一章中的标题为"SEAM管理工具"的一节为建议使用的地址。

      你可以通过输入URL至任何的网络浏览器来检验该URL并验证该页存在与否。请确信在试图检验URL之前已安装好SEAS文档。

   7. 鉴定票券的最长期限。

      如果默认值予以接受，请不要更改。

   8. 鉴定可续延票券的最长期限。

      如果默认值予以接受，请不要更改。

   9. 检查您已设定的定义。

      如果定义正确，请单击"下一步"按钮继续。当单击"下一步"按钮时，预配置信息被保存到配置目录中。

      

8. 单击"现在安装"以启动安装。

   屏幕将显示被选择的成分。如果没有选择任何成分，而您只是正在收集预配置信息，您可单击"退出"。

9. 安装进程概述被显示；请单击"下一步"继续。

10. 附加信息被显示在下一屏幕中；请单击"退出"以完成该程序。

    显示窗口询问你是否重新启动。在服务器需要使用SEAM之前，您没有必要重新启动。

如何使用GUI安装SEAM软件

在本例中，SEAM主服务器安装被选择，但是该进程大体上和从属及客户机安装类似。SEAM程序包已被安装在 /net/denver/export/SEAM上，尽管它们可以被安装在本地文件系统中或您可以使用 SEAS CD 安装。

按"如何在没有GUI的情况下安装SEAM客户机"中的如下指令可以令SEAM客户机安装速度更快。

1. 启动安装脚本。

   # cd /net/denver/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./installer

2. 单击"欢迎"屏幕中的"下一步"。

3. 选择安装类型。

   下一个屏幕问您是要选择默认安装还是定制安装。请选择定制安装。单击"下一步"继续。

4. 单击"语言环境选择"屏幕中的"下一步"。

5. 选择要安装的软件成分。

   对于主设备，请选择主服务器程序包，对于从属设备，请选择从属服务器程序包。其它的程序包根据需要予以添加。请单击"下一步"继续。

   ---

   注意：

   在本步骤之后，将对磁盘空间予以检测。如果有足够的空间，那么您什么也不必做。

   ---

6. 选择配置程序和目录。

   下一屏幕让您选择配置程序，同时确立通往配置文件的路径。如果您已经有预配置的站点信息，请选择"使用先前配置的站点信息"并指定通往配置文件的目录路径。

   

7. 单击"现在安装"以启动安装。

   屏幕将显示被选择的成分。

8. 安装进程概述被显示；请单击"下一步"继续。

9. 附加信息被显示在下一屏幕中；请单击"退出"以完成该程序。

由此去往何处

Sun企业鉴别机制指南包括了在SEAM软件安装完毕后可以完成的任务列表。

如何在没有GUI的情况下安装SEAM客户机

在预配置进程完成之后，SEAM客户机可以不使用GUI进行安装。不使用GUI意味着您不必经过任何上述屏幕，因此安装应当运行更快。由于您不使用任何的屏幕，您可以只加入客户机程序包。

如果必要，你可以在预配置进程完成之前安装所有的客户机，并使用"如何修复未配置系统。"所提到的脚本来完成配置。

1. 在客户机上成为root。

2. 更该预配置区域的目录。

   # cd /net/denver/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0

   ---

   注意：

   从CD上装入程序包，使用路径： /net/denver/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0。

   ---

3. 启动安装程序。

   # ./installer -nodisplay

如何修复未配置系统。

如果没有先创建预配置文件而完成了全部安装，您可按下列程序纠正系统。

1. 在系统上成为root。

2. 运行脚本以修复配置。

   # cd /net/denver/export/SEAM/products/Sun_Enterprise_Authentication_Mechanism_1.0 # ./sparc/Tools/seamfixconfig

   ---

   注意：

   如果你正使用 SEAS3.0 CD，路径应为： /net/denver/cdrom/products/Sun_Enterprise_Authentication_Mechanism_1.0。

   ---

取消安装SEAM

像Sun Easy Access Server 3.0 版本中的其他产品一样， SEAM可以使用prodreg取消安装。若想获得更多有关这种实用程序的资料，请查阅 Solaris Easy Access Server 3.0 安装指南中的"" in Solaris Easy Access Server 3.0 安装指南"如何从寄存器取消安装一个产品"。

Solaris管理控制台的附加项

在SEAM安装以后，你可以从 Solaris管理控制台(SMC)中启动SEAM管理工具。双击SMC窗口左侧区域的"安全"类别，并双击右侧在SEAM图标，以启动GUI。