===================================================== README ADDENDA FOR DCE 3.1 FOR AIX (C) COPYRIGHT International Business Machines Corp. 1999 All Rights Reserved Licensed Materials - Property of IBM US Government Users Restricted Rights - Use, duplication or disclosure restricted by GSA ADP Schedule Contract with IBM Corp. 本檔含有對 Distributed Computing Environment (DCE) for AIX 3.1 版所隨附 之 README 檔所做的變更和更新。 ===================================================== 內容 A.1 安裝、解除安裝、移轉和配置 A.1.1 解除安裝 "ldap" 或 "dce.web" A.1.2 DCE WebSecure/Admin 和從 AIX DCE 2.2 移轉 A.1.3 AIX 快取伺服器移轉 A.1.4 因配置 dceweb 伺服器而無法解除安裝 A.1.5 dceweb 移轉和無效的 /opt/dcelocal/web/etc/servers 檔案項目 A.1.6 將 DCE 2.1 中的 DCE WebSecure/Admin 移轉到 DCE 3.1 A.1.7 dceweb 配置的相同伺服器名稱限制 A.1.8 Cell 名稱上限 A.1.9 SMIT 安裝功能表所列出的重複和作廢的檔案集 A.1.10 在剛配置的機器上配置 idms 伺服器時所發生的問題 A.2 安全性 A.2.1 設定 "maxtktrenew" 和 "maxtktlife" 屬性 A.2.2 交互 Cell 和密碼審查伺服器 A.2.3 密碼審查伺服器 "mindiff"、"histexpire" 和 "histsize" 規則 A.2.4 事件管理服務程式的新 DCE 審核動作 A.2.5 加強型密碼審查伺服器指令行選項 A.3 I18N WebAdmin 和 WebSecure 的注意事項 A.3.1 以 Netscape 在字碼頁 850 中執行 DCE WebAdmin A.3.2 從指令行中啟動 WebSecure A.3.3 變更 DCE WebAdmin 的作用語言環境 A.3.4 "asciiview" 指令只適用於英文版 ===================================================== A.1 安裝、解除安裝、移轉和配置 ===================================================== A.1.1 解除安裝 "ldap" 或 "dce.web" 如果 LPP "ldap" 和 "dce.web" 都安裝在同一個系統上,可能會出現「sysck:3001-036 警告」。雖然 安裝仍可以順利完成,但如果您將其中一個 LPP 解除安裝之後,卻把另一個留在系統上,就會產生錯誤 訊息。 如果 LPP "ldap" 和 "dce.web" 安裝在同一個 AIX 系統上,建議您不要移除它們。如果一定要移除 其中一個 LPP,建議您在解除安裝其中一個 LPP 之後,必須強迫安裝訊息檔案集以供另一個 LPP 使 用。如此一來,就會復置所需的訊息檔 /usr/lib/nls/msg/en_US/dcehtml.cat。必須強迫安裝的訊 息檔案集是 ldap.msg. (ldap) 或 dce.msg..web.admin.rte (dce.web),其中 是您系統的語言(語言環境)設定。 比方說,如果您把 ldap 和 dce.web 一起安裝在美式英文系統上,它們會共用一個訊息檔 /usr/lib/nls/msg/en_US/dcehtml.cat。在 LPP 套裝軟體 dce.web 移除之後, /usr/lib/nls/msg/en_US/dcehtml.cat 檔也會跟著移除,使得 ldap 因此失去這個必要的訊息檔。為了 避免 ldap 訊息問題發生,建議使用者強迫安裝檔案集 ldap.msg.en_US。這樣一來,就會把訊息檔和所 有權復置到 ldap。換另一種情況來說,如果是移除 ldap 而留下 dce.web,/usr/lib/nls/msg/en_US/dcehtml.cat 也一樣會跟著 ldap 移除,不會留在 dce.web LPP 套裝軟體中。而復置檔案集和所有權,是在您強迫安 裝 dce.msg.en_US.web.admin.rte 時同時完成的。 ===================================================== A.1.2 DCE WebSecure/Admin 和從 AIX DCE 2.2 移轉 如果您已在 AIX DCE 2.2 中配置了 DCE WebSecure/Admin Netscape (dceweb) 伺服器,必須先把 dceweb 伺服器移轉到現行版次,才能正常運作。在執行下列任一指令時,就會移轉 dceweb 配置資訊: * migrate.dceweb * start.dce * stop.dce * config.dce * unconfig.dce 同時,如果您要配置或取消配置的 dceweb 伺服器尚未順利移轉,那麼在下列任一指令執行時,就會移轉 dceweb 配置資訊: * mkdceweb * rmdceweb 如果您想讓先前特別配置的 DCE WebSecure/Admin Netscape 伺服器正常運作,就必須滿足下列幾個條件: * 這個提到的 Netscape 伺服器必須正在執行。 * DCE 必須正在執行。 * 必須先移轉伺服器的 DCE WebSecure/Admin 配置資料。 * 配置資料移轉之後,必須先停止再重新啟動所提及的 Netscape 伺服器。 migrate.dceweb 程序會停止並重新啟動它可以順利移轉的任何一個 DCE WebSecure/Admin Netscape 伺服 器。 建議您在啟動 DCE 之前先執行 migrate.dceweb,並把遇到的問題先行解決。 ===================================================== A.1.3 AIX 快取伺服器移轉 在移轉因使用 cdscp 定義快取伺服器而建立交互 Cell 連線的 AIX DCE 系統時,必須在安裝新層次的 DCE 之後以及使用 start.dce 之前,先使用 config.dce 指令,才能保留快取伺服器的知識。您應該使用 -cds_replica_list 選項來指定 cds 伺服器。這個選項是一個用引號括住的伺服器清單,伺服器與伺服器 之間用空格隔開,清單中也可以使用主電腦名稱和 IP 位址。 例如:config.dce -cds_replica_list "server1 server2" 執行這個指令時,cds 伺服器的清單會保留在 cds 快取記憶體之外。這則資訊是在每次 DCE 重新啟動時, 用來更新 cds 快取記憶體的。您可以隨時用 -cds_replca_list 選項來更新 cds 伺服器的清單。config.dce 指令會為每一個新的 cds 伺服器定義快取伺服器。當伺服器移除時,快取記憶體在清除之前都不會被更新。 如果沒有完成這個步驟,可再重複一次原來的 cdscp 定義快取伺服器指令,來復原交互 cell 連線。 ===================================================== A.1.4 因配置 dceweb 伺服器而無法解除安裝 如果在解除安裝 AIX DCE 3.1 期間收到一則訊息,告訴您因為配置了 dceweb 伺服器而無法將它解除安裝, 但您自認並沒有配置任何 dceweb 伺服器時,請執行下列步驟: 1. 檢查 /opt/dcelocal/web/etc/servers 檔,看看有沒有 dceweb 伺服器項目。下面就是 dceweb 伺 服器項目的例子: my_server admin Enterprise 3.62 /usr/netscape/suitespot 2. 如果發現該檔內有伺服器項目,請用 "rmdceweb" 來取消配置每一個顯示的伺服器。 3. 如果發現該檔內有一些項目不太對勁(例如:該行的欄位不足),則將它們移除。 4. 如果該檔沒有任何項目,則將該檔消除。 做完上述步驟之後,應該就可以解除安裝 AIX DCE 3.1 了。 ===================================================== A.1.5 dceweb 移轉和無效的 /opt/dcelocal/web/etc/servers 檔案項目 如果 dceweb 2.2 配置程式在伺服器檔案中放了一個「無效」(意思就是在 Netscape 版本欄位中有一個 /n)的伺服器項目,就表示該伺服器已經用 dceweb 2.2 配置程式取消配置,它會在檔案中留下 migrate.dceweb 無法處理的「損壞」資料。因此,即使所有配置的 dceweb 伺服器已經全部移轉,每當 dce 啟動或停止時,移轉程式還是會繼續執行。 如果要解決這個問題,可以從伺服器檔案中移除作怪的那一行,或者消除 /opt/dcelocal/web/etc/mig.loc。 ===================================================== A.1.6 將 DCE 2.1 中的 DCE WebSecure/Admin 移轉到 DCE 3.1 還有一種情況,就是 DCE WebSecure/Admin 伺服器雖然可以配置和運作,但是所有與伺服器有關的資訊,卻 沒有儲存在 /opt/dcelocal/web/etc/servers 檔中。因此,可能會有部份先前配置的 DCE WebSecure/Admin 伺服器不會被移轉到 DCE 3.1 層次。 請檢查 /opt/dcelocal/web/etc/servers 檔,看看是不是所有配置的伺服器都已全部列出。下面就是 伺服器檔中的項目範例: my_server admin Enterprise 3.62 /netscape/suitespot 第一個欄位是伺服器名稱。第二個欄位是 DCE WebSecure/Admin 類型(secure 代表安全專用,admin 代表管理/安全 (admin/secure))。第三個欄位是 Netscape 伺服器類型(Enterprise 或 FastTrack)。 第四個欄位是 Netscape 版本號碼。最後一個欄位是伺服器的 Netscape 起始目錄。 如果您是在執行移轉之前查看這個檔案,有些字行可能會被分割。記住千萬不要修正這些分割行!伺服器 檔案應該只能由 DCE 程式修改(除非是由 DCE 文件所導向)。 如果先前配置的 DCE WebSecure/Admin 伺服器有任何一個沒有列出,請執行下列步驟: 1. 對每一個遺漏的 dceweb 伺服器,以 root 身份執行下述指令: add_dceweb_entry 例如,add_dceweb_entry my_server admin /netscape/suitespot 2. 所有的項目都順利加入伺服器檔案之後,請執行 DCE WebSecure/Admin 移轉程式 migrate.dceweb。 add_dceweb_entry 程式會執行下列動作: * 如果 /opt/dcelocal/web/etc/servers 檔中已有伺服器項目,該項目會顯示出來。 * 如果伺服器項目已順利加入伺服器檔案中,則會顯示新的項目。 * 如果發生錯誤,程式會將導致程式出現三個問號 (???) 的資料顯示出來。 add_dceweb_entry 程式只能在伺服器檔案中加入項目,不會更新已有的項目。 ===================================================== A.1.7 dceweb 配置的相同伺服器名稱限制 如果安裝了兩個或兩個以上的 Netscape 版本(例如 Enterprise 和 FastTrack),卻有一個以上的 Netscape 版本採用同一個伺服器名稱(例如 server1),DCE 只能配置其中一個伺服器。 ===================================================== A.1.8 Cell 名稱上限 在配置 DCE Cell 時所能使用的 Cell 名稱長度上限,是根據檔名長度上限 255 來計算的。DCE 所建立的 最長檔名是 #_ch.checkpoint<10 digit number>。因此,Cell 名稱長度的計算 公式為 (229 - )。在配置「安全性總管伺服器」,或「起始 CDS 伺服器」或 「其 它 CDS 伺服器」時,會強制遵守這個限制。在將從屬站或其它任何伺服器配置到現有的 Cell 時,會強制 遵守 Cell 名稱的長度上限 255。 ===================================================== A.1.9 SMIT 安裝功能表所列出的重複和作廢的檔案集 3.1 版次中有好幾個 DCE 檔案集都被更名過。在完成升級安裝作業時,檔案集是根據目前安裝的內容來安 裝的。由於檔案集已經改了名稱,因此在系統上便找不到新名稱的檔案集。為了要能順利升級,因此建立 了舊名稱的「虛擬」檔案集。這些檔案集只不過是和新名稱的檔案集同時存在,不會安裝任何檔案。 在使用 "install latest" 或 "instatll all menus",透過 SMIT 來安裝時,畫面會列出兩個同樣的檔案 集。其中一個是改名後的真正檔案集,另一個是「虛擬」檔案集。「虛擬」檔案集在檔案集說明中會加上 "FOR UPGRADES" 的字眼。舉個例來說,假設 dce.client.core.rte 已經改名為 dce.client.rte,另外還 有一個「虛擬」檔案集維持原來的名稱 dce.client.core.rte。而 dce.client 套裝軟體的說明如下:(請 注意,"DCE Client Services" 有兩個項目。其中一個項目含有 "- FOR UPGRADES",這就是「虛擬」檔案 集)。 dce.client + 3.1.0.0 DCE Client Administrative Tools + 3.1.0.0 DCE Client CDS Tools + 3.1.0.0 DCE Client Configuration Tools + 3.1.0.0 DCE Client RPC Tools + 3.1.0.0 DCE Client Security Tools + 3.1.0.0 DCE Client Services + 3.1.0.0 DCE Client Services - FOR UPGRADES + 3.1.0.0 DCE Client Time Tools + 3.1.0.0 DCE Client Time Zones + 3.1.0.0 DCE SMIT Client Tools + 3.1.0.0 DCE Threads Compatibility Library + 3.1.0.0 DCE Web Secure 「虛擬」檔案集選項不必選取,它們只是供 "update all menus" 所用而已。 安裝好 DCE 之後,「虛擬」檔案集就不必留在系統上了。它們大部份會被其它的檔案集移除,有時候可能 會有一小部份還留在系統上。而它們留下來的原因可能是安裝的順序使然。要移除還是留下,完全由您決 定。 下面是「虛擬」檔案集的清單。這些檔案集是先前 DCE 版次中的檔案集,現在已經改名,或者與 DCE 3.1 版次中其它檔案集合併了。 dce.client.core.rte dce.compat.cds.smit dce.compat.client.core.smit dce.compat.security.smit dce.compat.sysmgmt.ems.smit dce.compat.sysmgmt.snmpagt.smit dce.compat.web.admin.smit dce.msg.Es_ES.client.core.rte dce.msg.Es_ES.compat.cds.smit dce.msg.Es_ES.compat.client.core.smit dce.msg.Es_ES.compat.security.smit dce.msg.Es_ES.compat.sysmgmt.ems.smit dce.msg.Es_ES.compat.sysmgmt.snmpagt.smit dce.msg.Es_ES.pthreads.rte dce.msg.Es_ES.web.admin.rte dce.msg.Es_ES.web.secure.rte dce.msg.Ja_JP.client.core.rte dce.msg.Ja_JP.compat.cds.smit dce.msg.Ja_JP.compat.client.core.smit dce.msg.Ja_JP.compat.security.smit dce.msg.Ja_JP.compat.sysmgmt.ems.smit dce.msg.Ja_JP.compat.sysmgmt.snmpagt.smit dce.msg.Ja_JP.pthreads.rte dce.msg.Ja_JP.web.admin.rte dce.msg.Ja_JP.web.secure.rte dce.msg.Zh_TW.client.core.rte dce.msg.Zh_TW.compat.cds.smit dce.msg.Zh_TW.compat.client.core.smit dce.msg.Zh_TW.compat.security.smit dce.msg.Zh_TW.compat.sysmgmt.ems.smit dce.msg.Zh_TW.compat.sysmgmt.snmpagt.smit dce.msg.Zh_TW.pthreads.rte dce.msg.Zh_TW.web.admin.rte dce.msg.Zh_TW.web.secure.rte dce.msg.en_US.client.core.rte dce.msg.en_US.compat.cds.smit dce.msg.en_US.compat.client.core.smit dce.msg.en_US.compat.security.smit dce.msg.en_US.compat.sysmgmt.ems.smit dce.msg.en_US.compat.sysmgmt.snmpagt.smit dce.msg.en_US.pthreads.rte dce.msg.en_US.web.admin.rte dce.msg.en_US.web.secure.rte dce.msg.es_ES.client.core.rte dce.msg.es_ES.compat.cds.smit dce.msg.es_ES.compat.client.core.smit dce.msg.es_ES.compat.security.smit dce.msg.es_ES.compat.sysmgmt.ems.smit dce.msg.es_ES.compat.sysmgmt.snmpagt.smit dce.msg.es_ES.pthreads.rte dce.msg.es_ES.web.admin.rte dce.msg.es_ES.web.secure.rte dce.msg.ja_JP.client.core.rte dce.msg.ja_JP.compat.cds.smit dce.msg.ja_JP.compat.client.core.smit dce.msg.ja_JP.compat.security.smit dce.msg.ja_JP.compat.sysmgmt.ems.smit dce.msg.ja_JP.compat.sysmgmt.snmpagt.smit dce.msg.ja_JP.pthreads.rte dce.msg.ja_JP.web.admin.rte dce.msg.ja_JP.web.secure.rte dce.msg.ko_KR.client.core.rte dce.msg.ko_KR.compat.cds.smit dce.msg.ko_KR.compat.client.core.smit dce.msg.ko_KR.compat.security.smit dce.msg.ko_KR.compat.sysmgmt.ems.smit dce.msg.ko_KR.compat.sysmgmt.snmpagt.smit dce.msg.ko_KR.pthreads.rte dce.msg.ko_KR.web.admin.rte dce.msg.ko_KR.web.secure.rte dce.msg.zh_TW.client.core.rte dce.msg.zh_TW.compat.cds.smit dce.msg.zh_TW.compat.client.core.smit dce.msg.zh_TW.compat.security.smit dce.msg.zh_TW.compat.sysmgmt.ems.smit dce.msg.zh_TW.compat.sysmgmt.snmpagt.smit dce.msg.zh_TW.pthreads.rte dce.msg.zh_TW.web.admin.rte dce.msg.zh_TW.web.secure.rte dce.web.admin.rte dce.web.secure.rte ===================================================== A.1.10 在剛配置的機器上配置 idms 伺服器時所發生的問題 在配置 idms 伺服器時,不一定都能夠順利建立 idmsd 金鑰表。除非 dced 已經完成其起始設定作業, 否則無法建立金鑰表項目。您可以執行下列一項: * 在配置 rpc、sec_cl、sec_srv(或 sec_rep)和 cds_cl 時,請先等候數分鐘,再配置 idms (您應該 只需要等候 1-5 分鐘)。 * 編輯 /opt/dcelocal/etc/usrstime.tcl,並修改 config.dce 等待金鑰表順利建立的時間。請將 wait_for_keytab_to_work 的值,從 90 改成 90 以上(秒)。 * 如果 config.dce 在配置 idms 時失敗了,請執行 "unconfig.dce idms" ,過一會兒,再執行一次 "config.dce idms" 指令 (您應該只需要等候 1-5 分鐘)。 ============================================= A.2 安全性 ============================================= A.2.1 設定 "maxtktrenew" 和 "maxtktlife" 屬性 當您用 dcecp "account modify" 指令來設定使用者帳戶的 "maxtktrenew" 或 "maxtktlife" 屬性值時, 可能會收到「msgID=0x17122084 資料記錄無效」這樣的錯誤訊息。如果您是第一次設定這兩個帳戶屬性的 其中一個,那麼即使指定的屬性值有效,也可能會發生這種錯誤。第一次在帳戶上設定 "maxtktrenew" 或 "maxtktlife" 屬性時,必須在 dcecp "account modify" 指令上同時指定這兩個屬性。為該帳戶設定好這 兩個屬性之後,就可以使用 dcecp 個別修改它們了。 ===================================================== A.2.2 交互 Cell 和密碼審查伺服器 如果要使用交互 Cell 和密碼產生,必須在 pwd_mgmt_binding ERA 中,針對 pwd_val_type ERA 為 2 或 3 的使用者,指定完整的標準連結和外部 Cell 名稱。 例如,您可以在本端 Cell 指定: dcecp -c principal modify -add {pwd_mgmt_binding {{ dce /...//pwd_strengthd pktprivay secret name} /...//subsys/dce/pwd_mgmt/pwd_strengthd}} 這個指令會在要求密碼產生時,將 導至 (而不是預設的本端 Cell)中的 密碼產生。 有關交互 Cell 連線或「密碼審查伺服器要求」的詳細資訊,請參閱 IBM DCE 3.1 for AIX & Solaris: Administration Guide - Core Components。 ===================================================== A.2.3 密碼審查伺服器 "mindiff"、"histexpire" 和 "histsize" 規則 "mindiff"、"histexpire" 和 "histsize" 比較新密碼和現行密碼時,規定必須在動用規則之前,先改變 密碼審查伺服器的一個密碼。檢查常式會從密碼審查歷程資料庫中擷取現行密碼。如果現行密碼不是用密 碼審查伺服器來變更,則它就不會在歷程資料庫中。這個時候,會將新密碼與空白相比較,而作業也就可 能無法順利完成。 ===================================================== A.2.4 事件管理服務程式的新 DCE 審核動作 在修改和建立審核服務程式的審核過濾程式時,可以在過濾指引中指定新的動作 "ems"。如果 "ems" 在 過濾指引中被指定為某個動作,則審核事件就會被傳送給事件管理服務程式。 ===================================================== A.2.5 加強型密碼審查伺服器指令行選項 本版 DCE 提供了新的加強型「密碼審查伺服器」。在先前版本的 DCE 中能夠用於「密碼審查伺服器」的 幾個指令行選項,現在都已作廢。這些選項是: +/-all_spaces +/-alpha_num -min_len 雖然這些選項因為相容性目的而繼續在加強型伺服器中使用,但最好不要使用它們。加強型伺服器可以從 登錄讀取類似的密碼規則,用它們來檢查使用者帳戶。方法是使用 dcecp 指令 "registry modify" 和 "organization modify",來設定登錄通用或組織特定的密碼政策。如果要設定密碼的長度下限,最好在 IBM_pwd_comp_rules ERA 中設定 "minlen" 值。如果您想知道如何用加強型「密碼審查伺服器」來設定使 用者的密碼規則,請參閱 IBM DCE 3.1 for AIX & Solaris: Administration Guide - Core Components 說明文件。 ===================================================== A.3 I18N WebAdmin 和 WebSecure 的注意事項 ===================================================== A.3.1 以 Netscape 在字碼頁 850 中執行 DCE WebAdmin 請執行下列步驟,將 Netscape 瀏覽器字型改成字碼頁 850: - 在「編輯→喜好設定→外觀→字型」中,對「編碼」選取「使用者定義」,而對字型選取 "ibm-850"。 - 從「檢視→字集」中,選取「使用者定義」。 ===================================================== A.3.2 從指令行啟動 WebSecure 有些亞洲語言環境不能從 aixterm 的指令行啟動 Netscape Web 伺服器(如 DCE WebSecure)。如果您 打算從指令行配置或啟動 DCE WebSecure,請使用 dtterm,而不是 aixterm。另外,請使用「Netscape 伺服器管理」頁面(而不是指令行)來管理 DCE WebSecure。 ===================================================== A.3.3 變更 DCE WebAdmin 的作用語言環境 請先停止 WebSecure,更改其語言環境,再將它重新啟動。 比方說,您可以在指令行中使用類似下面的指令: >/usr/netscape/suitespot/httpd-/stop >export LC_ALL= >/usr/netscape/suitespot/httpd-/start 接著,再停止和啟動 Netscape 瀏覽器,並存取 DCE WebAdmin。 ===================================================== A.3.4 "asciiview" 指令只適用於英文版 "asciiview" 指令不能用於英文以外的語言。 如果要以其它語言檢視 3270 格式的文件,請: - 切換至適當的目錄 /usr/lpp/dcedoc/3270/,使用編輯器(如 vi)來檢視 - 瀏覽書單以確定正確的文件,  - 使用任何純文字編輯器(如 vi)來檢視選定的文件 =====================================================