=====================================================
DCE 版本 3.1 SOLARIS 版自述文件的补充

(C) 国际商业机器公司 版权所有.  1999 保留所有权利
特许资料 - IBM 财产

US 政府用户限定权利 - 使用、复制或公开文件受到 IBM 公司签定的
GSA ADP 时效合同 (Schedule Contract) 所规定条款的限制。


本文档包含了对已与分布式计算环境 (DCE) 版本 3.1 Solaris 版
一起交付的 "自述文件" 的额外更改和更新。

=====================================================
内容

A.1 安装、卸装、迁移和配置
  A.1.1 在迁移过程中文件系统满
  A.1.2 为信号添加系统设置选项
  A.1.3 DCE WebSecure 和 "dceback" 或 "uninstall"
  A.1.4 在 "dcesetup upgrade_uninstall" Web 服务器启动失败后
  A.1.5 可插入式认证模块 (PAM) 的迁移
  A.1.6 在迁移和安装期间端口 135 正在使用
  A.1.7 在迁移前备份 DCE 1.1
  A.1.8 在非英语语言环境下安装
  A.1.9 在混合 DCE 环境下执行 "dcecp -c show cell"
  A.1.10 最大单元名称限制
  A.1.11 使用 DCEBACK 时的路径限制为 100 个字符
  A.1.12 在新配置的机器上配置一台 idms 服务器时遇到的问题
A.2 安全性
  A.2.1 设置 "maxtktrenew" 和 "maxtktlife" 属性
  A.2.2 内部单元和口令强度服务器
  A.2.3 口令强度服务器 "mindiff"、"histexpire" 和 "histsize" 的规则
  A.2.4 利用 "事件管理服务" 的新的 DCE 审查操作
  A.2.5 增强口令强度服务器的命令行选项

=====================================================
A.1 安装、卸装、迁移和配置
=====================================================
A.1.1 在迁移过程中文件系统满

在迁移至 DCE 3.1 并安装 Solaris 7 之前，建议备份您的系统并删除所有不
需要的文件。

=====================================================
A.1.2 为信号添加系统设置选项

当您试着启动 DCE 时，您可能会看到下列错误信息：

         设备上没有空间。

该信息表明对所请求的操作没有可用的信号资源。要添加信号资源，请在
/etc/system 文件中设置下列 Solaris 内核参数：

   set semsys:seminfo_semns=100
   set semsys:seminfo_semnu=50
   set semesys:seminfo_semmsl=50

建议在启动 DCE 之前，先将上述设置选项应用至您的系统中。

=====================================================
A.1.3  DCE WebSecure 和 "dceback" 或 "uninstall"

如果您已配置好了 DCE WebSecure Netscape 服务器，那么您必须先
在做下列操作之前取消每台 DCE WebSecure Netscape 服务器的配置
(rmdceweb)：

 * uninstall
    在运行 "dcesetup uninstall -all" 之前先对每台 WebSecure
    Netscape  服务器运行 "rmdceweb"，以保证在 Netscape 服务
    器配置文件中没有留下任何以前的 DCE WebSecure 配置数据。

 * dceback
    当 Netscape 服务器在运行 "dceback restoremisc "之前要更改配置
    时，必须在运行 "dceback dumpmisc "之前先对每台 DCE WebSecure
    Netscape 服务器运行 "rmdceweb"，以保证被保存到机器上的 DCE
    WebSecure 配置数据是有效的。这很重要，因为一部分 DCE WebSecure
    配置信息是在 Netscape 配置文件中的，无法与 dceback 一起备份。
    如果您在运行 "dceback dumpmisc "之后准备重新安装 Netscape 服
    务器，就必须进入该状态。

 * upgrade_uninstall
    由于 "dcesetup upgrade_uninstall "要运行 dceback，所以用于
    upgrade_uninstall 的条件与前一项中的 dceback 的条件相同。

如果您在运行了 "dceback restoremisc "之前已经运行了 "dceback dumpmisc"
并配置了新的 DCE WebSecure 服务器，就必须在运行 "dceback restoremisc"
之前取消所添加的 DCE WebSecure 服务器的配置。如果您不取消配置，则这些服
务器的 DCE WebSecure 配置将会丢失，并且您也无法用 "rmdceweb "删除
Netscape 服务器 obj.conf 文件中 DCE WebSecure 项。

=====================================================
A.1.4 在 "dcesetup upgrade_uninstall " Web 服务器启动失败后

如果当执行 "dcesetup upgrade_uninstall " 时已配置了 dceweb 服务器， 则
dceweb 所配置的 Netscape 服务器在执行 "dcesetup upgrade-install "之前无
法启动。 如果您试图启动其中一台 Netscape 服务器， 则在服务器的 obj.conf
文件中引用的 dceweb 程序将无法出现且服务器也不会启动。

=====================================================
A.1.5 可插入式认证模块 (PAM) 的迁移

如果可插入式认证模块 (PAM) 被配置成使用 DCE 所提供的库，您就必须在迁移过程
中执行重新启动系统之前修改 /etc/pam.conf 文件以删除所有对 DCE 库的引用。
‘dcesetup upgrade_uninstall’命令会删除在 /etc/pam.conf 中引用的 DCE 库。
如果不做修改，则会由于 PAM 会试图查找在升级卸装期间已删除的 DCE 库，而使
您在重新启动后就无法登录到系统上。

如果您希望在迁移之后使用 PAM，则您应该在删除对 DCE 库的引用之前对
/etc/pam.conf 制作一个备份。然后在完成了‘dcesetup upgrade_install’过程
后再将其恢复。

下面是缺省的 /etc/pam.conf 文件的例子，它配置在 Solaris 7 上仅用于引用
UNIX 库。

#
# PAM configuration
#
# Authentication management
#
login   auth required   /usr/lib/security/pam_unix.so.1
login   auth required   /usr/lib/security/pam_dial_auth.so.1
#
rlogin  auth sufficient /usr/lib/security/pam_rhosts_auth.so.1
rlogin  auth required   /usr/lib/security/pam_unix.so.1
#
dtlogin auth required   /usr/lib/security/pam_unix.so.1
#
rsh     auth required   /usr/lib/security/pam_rhosts_auth.so.1
other   auth required   /usr/lib/security/pam_unix.so.1
#
# Account management
#
login   account required        /usr/lib/security/pam_unix.so.1
dtlogin account required        /usr/lib/security/pam_unix.so.1
#
other   account required        /usr/lib/security/pam_unix.so.1
#
# Session management
#
other   session required        /usr/lib/security/pam_unix.so.1
#
# Password management
#
other   password required       /usr/lib/security/pam_unix.so.1

如果您忘了删除 /etc/pam.conf 中对 DCE 库的引用，就无法通过缺省登录方法登录至
系统。在这种情况下，您可以以单用户方式重新启动。保存 /etc/pam.conf 的备份。从
/etc/pam.conf 中删除对 DCE 库的引用。用正常方式再重新启动一次。再进行登录，
以完成迁移的其余工作。然后通过恢复 /etc/pam.conf 的备份来重新启用 PAM 配置功
能。

=====================================================
A.1.6 在迁移和安装期间端口 135 正在使用


如果在迁移或安装期间遇到一个错误，显示 "由于端口 135 正在使用，DCED 无法启动"。
其原因可能是由于许可证管理器已使用了该端口。解决方法，可以杀死 "许可证管理器"
并在 DCE 迁移后重新启动。

=====================================================
A.1.7 在迁移前备份 DCE 1.1

DCE 1.1 upgrade_uninstall 不接受 -backdir 选项，所以在迁移之前必须先完成一些
手工步骤来备份您当前的 DCE 文件。当迁移 DCE 2.0 时这些接受 -backdir 选项的步
骤不是必需的。

文件必须备份至您所选择的目录上，如，/backup。这一步是用来预防一旦在卸装失败
的情况下可以恢复文件。

文件名 dceback.cds、dceback.misc 和 dceback.security 必须按如下方式使用。

        dceback dumpcds -host local -destfile /backup/dceback.cds
        dceback dumpmisc -host local -destfile /backup/dceback.misc
        dceback dumpsecurity -host local -destfile /backup/dceback.security

使用下列命令来停止 DCE、备份 DCE 数据并卸装旧的 DCE 产品：

        dcesetup upgrade_uninstall

以上命令是对以前备份的文件进行一些更改，包括要重新安装文件的列表。为了获取
这些更改，您必须重复 dceback 命令，使用与您所选目录不同的目录，如 newback。

 注意：   如果您只安装和配置了一台 DCE 客户机，并要从 DCE 版本 3.1 Solaris
          版的 Base Services CD 上安装，请保证在第二次运行 dceback 命令之
          前先编辑 /opt/dcelocal/etc/setup_state 文件。在运行了 "dcesetup
          upgrade_uninstall "之后，setup_state 文件将在 "reinstall_components"
          项目中列示所有组件。先从该项目中删除 "cds "和 "sec"，然后运行
          dceback 命令。CDS 和安全性包不包括在 Base Services CD 中。如果试图
          要安装的包无法在 CD 中找到，则 "dcesetup upgrade_install "将会失败。

        dceback dumpcds -host local -destfile /newback/dceback.cds
        dceback dumpmisc -host local -destfile /newback/dceback.misc
        dceback dumpsecurity -host local -destfile /newback/dceback.security

在升级了操作系统之后，当您用 dcesetup upgrade_install 命令重新安装 DCE 时，
需要指定第二个目录 (newback)。

=====================================================
A.1.8 在非英语语言环境下安装

当在 Solaris 7 上安装或卸装时，pkgadd 和 pkgrm 会忽略语言环境变量。这说明
在安装或卸装期间所显示的信息将都是英语，即使正在安装的包启用了 NLS 也是如
此。SUN 正在对此作出修正。而现在还不知道什么时候会有这个修正。该问题只涉及
pkg* 程序。它不会影响 DCE 的功能。

=====================================================
A.1.9 在混合 DCE 环境下执行 "dcecp -c show cell"

在混合 DCE 环境中（例如，在 Transarc DCE 1.1 和 Transarc DCE 2.0 上的 cds
服务器），一台 DCE 3.1 客户机向 DCE 1.1 服务器发出 "dcecp -c show cell "将
只能收到 IP 地址。要接收全限定 IP 地址，则 DCE 的客户机和服务器必须在相同
的 DCE 层次上。

=====================================================
A.1.10  最大单元名称限制

当配置 DCE 单元时可以使用的最大单元名称将根据最大文件名大小 255 来计算。
由 DCE 创建的最长的文件名为
<cellname>#<dce_hostname>_ch.checkpoint<10 digit number>。
由于这个限制，单元大小将被计算成 (229 - <length dce_hostname>)。当配置了
安全性主服务器或初始的或附加的 CDS 服务器时，会强制使用这个限制。最长的
单元名称大小 255 会在把客户机或任何其它服务器配置成一个现存的单元时强制
使用。

=====================================================
A.1.11 使用 DCEBACK 时的路径限制为 100 个字符

"dceback "将全限定路径限制为 100 个字符。这是一个在 Transarc DCE 1.1 和
DCE 2.0 中的已知的问题，且已做了说明。

要获得该修正，请与 Transarc 支持商联系以索取对该缺陷号 24778 的修补程序。

=====================================================
A.1.12 在新配置的机器上配置一台 idms 服务器时遇到的问题

配置 idms 服务器时，有时会出现无法创建 idmsd keytab。keytable 项目要到
dced 完成了它的初始化后才能创建。可以做下列任意一项操作：

* 在配置了 rpc、sec_cl、sec_srv (或 sec_rep)　和 cds_cl 之后，请等几分钟
  后再配置 idms。（您只需要等待 1-5 分钟）

* 编辑 /opt/dcelocal/etc/usrstime.tcl 并修改要求 config.dce 等待 keytable
  成功完成创建的时间。将 wait_for_keytab_to_work 的值从 90 更改成更大
  的数值。

* 如果 config.dce 在 idms 配置期间失败，就运行 "unconfig.dce idms"，
  过一会儿再重新运行一次 "config.dce idms"。（您只需要等待 1-5 分钟）

=====================================================
A.2 安全性
=====================================================
A.2.1 设置 "maxtktrenew "和 "maxtktlife "属性

当您使用 dcecp "account modify "命令来设置用户帐户的 "maxtktrenew "和
"maxtktlife " 属性值时，会收到一个错误消息 "msgID=0x17122084 无效的数据
记录"。如果您是第一次设置这两个帐户中的一个，就可能会发生这种情况。
要在一个帐户上首次设置 "maxtktrenew "和 "maxtktlife "属性，就必须在
dcecp "account modify "命令中同时指定这两个属性。一旦为该帐户设置了
这两个属性，您就可以用 dcecp 来单独修改其中的任何一个。

=====================================================
A.2.2 内部单元和口令强度服务器

要使用内部单元和口令生成，完整规范绑定和外部单元名需要在用户的 pwd_mgmt_binding
ERA 中用值为 2 或 3 的 pwd_val_type ERA 来指定。

例如，在本地单元中您可以指定：

dcecp -c principal modify <princ_name> -add {pwd_mgmt_binding {{ dce
/.../<foreign_cell>/pwd_strengthd pktprivay secret name}
/.../<foreign_cell>/subsys/dce/pwd_mgmt/pwd_strengthd}}

任何时候要生成口令时，该命令都把 <princ_name> 导向 <foreign_cell> 中的口令生成。

有关内部连接或口令强度服务器要求的更多信息，请查阅 IBM DCE 3.1 AIX 版和
Solaris: Administration Guide - Core Components。

=====================================================
A.2.3  口令强度服务器 "mindiff"、"histexpire "和 "histsize "的规则

比较新口令和旧口令的 "mindiff"、"histexpire "和 "histsize " 规则
要求：必须在规则成功之前在口令强度服务器上对一个口令进行更改。检查例程
会从口令强度历史数据库中检索当前口令。如果当前口令没有用口令强度服务器
更改，则它在历史数据库中就不存在。在这种情况下，新的口令将与空白比较且
操作无法成功。

=====================================================
A.2.4 利用 "事件管理服务 "的新的 DCE 审查操作

当为审查服务修改并创建审查过滤器时，可以在过滤器向导中指定一项新的操作，
"ems"。如果 "ems "被指定为一项在过滤器向导中的操作，则审查事件将被发送
至事件管理服务。

过滤器向导中的 "all "操作现在除了 "log "和 "alarm "操作为还包括新的 "ems"
操作。当您向 DCE 3.1 迁移时，如果您在以前发行版的 DCE 中创建了审查过滤器，
并指定了 "all "操作，则将只包括 "log "和 "alarm "操作而不包括 "ems"。

当创建或修改审查过滤器时，请不要在包括所有 DCE 核心服务（例如，security
和 cds)的审查事件的过滤器向导中指定 "ems "操作。如果您使用了审查过滤器，
会导致 DCE 核心服务挂起。

=====================================================
A.2.5 增强口令强度服务器的命令行选项

此版本的 DCE 提供了一个新的增强口令强度服务器。在以前的 DCE 版本中，口令
强度服务器上有几条命令行选项现已过时。这些选项为：

	+/-all_spaces
	+/-alpha_num
	-min_len

虽然这些选项出于兼容性的目的在增强服务器上还能够继续使用，但您应该尽量
避免使用它们。增强服务器能够从注册表中读取类似的口令规则，并用他们来检
查用户的口令。这可以通过设置整个注册表或特定组织的口令策略来完成（使用
dcecp 命令 "registry modify "和 "organization modify"）。要设置口令的
最小长度，就应该设置 IBM_pwd_comp_rules ERA 中的 "minlen "值。有关如何
利用增强口令强度服务器来为用户设置口令规则的更多信息和例子， 请查阅
IBM DCE 3.1 AIX 版和 Solaris: Administration Guide  - Core Components
文档。

=====================================================