======================================== DCE 3.1 PER SOLARIS - ADDENDA AL README (C) COPYRIGHT International Business Machines Corp. 1999 Tutti i diritti riservati. Materiale su licenza - Proprietà della IBM Limitazioni per gli utenti appartenenti al governo degli Stati Uniti d'America - L'utilizzo, la duplicazione o la divulgazione sono limitati dal Supplemento GSA ADP al contratto con l'IBM Corporation. Questo file contiene ulteriori modifiche e aggiornamenti al file README fornito con Distributed Computing Environment (DCE) Versione 3.1 per Solaris. ===================================================== Indice A.1 Installazione, Disinstallazione, Migrazione e Configurazione A.1.1 File system pieno durante la migrazione A.1.2 Aggiunta delle impostazioni di sistema per i semafori A.1.3 DCE WebSecure e "dceback" o "uninstall" A.1.4 Dopo "dcesetup upgrade_uninstall" i Web server non vengono avviati A.1.5 Migrazione del PAM (Pluggable Authentication Module) A.1.6 Porta 135 in uso durante la migrazione o l'installazione A.1.7 Backup di DCE 1.1 prima della migrazione A.1.8 Installazione su una locale non inglese A.1.9 "dcecp -c show cell" in ambienti DCE misti A.1.10 Limitazione per Cellname massimo A.1.11 Limite di 100 caratteri per PATH utilizzando DCEBACK A.1.12 Problema nella configurazione di un server idms su una macchina appena configurata A.2 Sicurezza A.2.1 Impostazione degli attributi "maxtktrenew" e "maxtktlife" A.2.2 Intercell e Password Strength Server A.2.3 Regole "mindiff", "histexpire" e "histsize" per Password Strength Server A.2.4 Nuove azioni DCE Audit con EMS (Event Management Service) A.2.5 Opzioni da riga comandi per Password Strength Server migliorate ================================================================ A.1 Installazione, Disinstallazione, Migrazione e Configurazione ================================================================ A.1.1 File system pieno durante la migrazione Prima di migrare a DCE 3.1 ed installare Solaris 7, si consiglia di eseguire una copia di backup del sistema e di cancellare i file non necessari. =========================================================== A.1.2 Aggiunta delle impostazioni di sistema per i semafori Tentando di avviare DCE, è possibile che venga visualizzato questo messaggio: No space left on device. Questo messaggio indica che non vi sono risorse di semaforo disponibili per l'operazione richiesta. Per aggiungere le risorse di semaforo, impostare i seguenti parametri per il kernel Solaris nel file /etc/system: set semsys:seminfo_semns=100 set semsys:seminfo_semnu=50 set semesys:seminfo_semmsl=50 Si consiglia di impostare il sistema come descritto prima di avviare DCE. ============================================= A.1.3 DCE WebSecure e "dceback" o "uninstall" Se sono configurati dei sever Netscape DCE WebSecure, è necessario prima annullare la configurazione (rmdceweb) per ciascun server Netscape DCE WebSecure prima di eseguire le operazioni descritte di seguito: * uninstall L'esecuzione di "rmdceweb" per ciascun server Netscape DCE WebSecure prima di eseguire "dcesetup uninstall -all", assicura la rimozione di dati di configurazione DCE WebSecure obsoleti rimasti nei file di configurazione del server Netscape. * dceback L'esecuzione di "rmdceweb" per ciascun server Netscape DCE WebSecure prima di eseguire "dceback dumpmisc" quando la configurazione del server Netscape viene modificata prima di eseguire "dceback restoremisc", assicura che i dati di configurazione di DCE WebSecure ripristinati siano validi. Questa operazione è necessario perché parte delle informazioni di configurazione DCE WebSecure si trovano nei file di configurazione di Netscape e non possono essere salvati con dceback. Tale situazione si verifica se si reinstallano i server Netscape dopo l'esecuzione di "dceback dumpmisc". * upgrade_uninstall Poiché "dcesetup upgrade_uninstall" esegue dceback, le stesse condizioni per dceback descritte in precedenza valgono per upgrade_uninstall. Se è stato eseguito "dceback dumpmisc" e sono stati configurati i server DCE WebSecure prima di eseguire "dceback restoremisc", è necessario annullare la configurazione dei server DCE WebSecure aggiunti prima di eseguire "dceback restoremisc". In caso contrario, la configurazione di DCE WebSecure per tali server verrà perduta e non sarà possibile eliminare con "rmdcweb" le voci DCE WebSecure nel file obj.conf dei server Netscape. ======================================================================== A.1.4 Dopo "dcesetup upgrade_uninstall" i Web server non vengono avviati Se i server dceweb sono stati configurati quando è stato eseguito "dcesetup upgrade_uninstall", i server Netscape che dceweb ha configurato non possono essere avviati fino a quando non viene eseguito "dcesetup upgrade-install". Se si tenta di avviare uno di tali server Netscape, i programmi dceweb che vengono richiamati nel file obj.conf del server non saranno presenti ed il server non verrà avviato. ========================================================== A.1.5 Migrazione del PAM (Pluggable Authentication Module) Se il PAM (Pluggable Authentication Module) è configurato per utilizzare le librerie fornite da DCE, è necessario modificare il file /etc/pam.conf per eliminare eventuali riferimenti alle librerie DCE prima di riavviare il sistema durante la migrazione. Il comando 'dcesetup upgrade_uninstall' eliminerà le librerie DCE richiamate in /etc/pam.conf. Senza tali modifiche, non sarà possibile collegarsi al sistema dopo un riavvio poiché PAM tenterà di localizzare le librerie DCE eliminate durante la disinstallazione per l'aggiornamento. Se si intende utilizzare PAM dopo la migrazione, è possibile effettuare una copia di backup di /etc/pam.conf prima di eliminare i riferimenti alle librerie DCE. Quindi, effettuare il ripristino dopo il completamento del processo 'dcesetup upgrade_install'. Di seguito è riportato un esempio del file /etc/pam.conf predefinito configurato su Solaris 7 e che richiama le librerie UNIX. # # PAM configuration # # Authentication management # login auth required /usr/lib/security/pam_unix.so.1 login auth required /usr/lib/security/pam_dial_auth.so.1 # rlogin auth sufficient /usr/lib/security/pam_rhosts_auth.so.1 rlogin auth required /usr/lib/security/pam_unix.so.1 # dtlogin auth required /usr/lib/security/pam_unix.so.1 # rsh auth required /usr/lib/security/pam_rhosts_auth.so.1 other auth required /usr/lib/security/pam_unix.so.1 # # Account management # login account required /usr/lib/security/pam_unix.so.1 dtlogin account required /usr/lib/security/pam_unix.so.1 # other account required /usr/lib/security/pam_unix.so.1 # # Session management # other session required /usr/lib/security/pam_unix.so.1 # # Password management # other password required /usr/lib/security/pam_unix.so.1 Se i riferimenti alle librerie DCE in /etc/pam.conf non vengono rimossi e viene riavviato il sistema, non sarà possibile collegarsi al sistema con il login predefinito. In tal caso, è possibile riavviare il sistema in modo single user. Salvare una copia di backup di /etc/pam.conf. Eliminare i riferimenti alle librerie DCE in /etc/pam.conf. Riavviare di nuovo in modo normale. Effettuare il login per completare la migrazione. Ripristinare la copia di backup di /etc/pam.conf per abilitare di nuovo la funzione PAM. ============================================================== A.1.6 Porta 135 in uso durante la migrazione o l'installazione Se durante la migrazione o l'installazione si verifica un errore relativo all'impossibilità di avviare DCED poiché la porta 135 è già utilizzata, è possibile che un License Manager stia già utilizzando la porta. Per risolvere il problema, arrestare il License Manager e riavviarlo dopo la migrazione di DCE. ============================================== A.1.7 Backup di DCE 1.1 prima della migrazione DCE 1.1 upgrade_uninstall non accetta l'opzione -backdir, quindi sarà necessario eseguire manualmente determinate operazioni per effettuare la copia di backup di dei file DCE correnti prima della migrazione. Tali operazioni non sono richieste nella migrazione di DCE 2.0, che accetta l'opzione -backdir. Copiare i file in una directory, ad esempio /backup. In tal caso, sarà possibile ripristinare i file nel caso in cui si verifichi un problema durante la disinstallazione. I file denominati dceback.cds, dceback.misc e dceback.security devono essere utilizzati come mostrato di seguito. dceback dumpcds -host local -destfile /backup/dceback.cds dceback dumpmisc -host local -destfile /backup/dceback.misc dceback dumpsecurity -host local -destfile /backup/dceback.security Utilizzare il comando riportato di seguito per arrestare DCE, copiare i dati DCE e disinstallare il prodotto DCE precedente: dcesetup upgrade_uninstall Tale comando modifica i file copiati in precedenza, includendo un elenco dei file da reinstallare. Per apportare tali modifiche, è necessario ripetere i comandi dceback, utilizzando però una diversa directory, ad esempio newback. Nota: Se è stato appena installato e configurato un client DCE, e si sta per eseguire l'installazione dal CD Base Services di DCE Versione 3.1 for Solaris, assicurarsi di editare il file /opt/dcelocal/etc/setup_state prima di eseguire il comando dceback per la seconda volta. Dopo aver eseguito "dcesetup upgrade_uninstall", il file setup_state conterrà l'elenco di tutti i componenti alla sezione "reinstall_components". Eliminare "cds" e "sec" da questa sezione, quindi eseguire i comandi dceback. I pacchetti CDS e Security non sono inclusi sul CD di Base Services. Il comando "dcesetup upgrade_install" non verrà completato correttamente tentando di installare pacchetti non presenti sul CD. dceback dumpcds -host local -destfile /newback/dceback.cds dceback dumpmisc -host local -destfile /newback/dceback.misc dceback dumpsecurity -host local -destfile /newback/dceback.security Utilizzando il comando dcesetup upgrade_install per reinstallare DCE dopo l'aggiornamento del sistema operativo, sarà necessario specificare la seconda directory (ad esempio, newback). ============================================= A.1.8 Installazione su una locale non inglese Installando o disinstallando in ambiente Solaris 7, le variabili di ambiente per la lingua vengono ignorate da pkgadd e pkgrm. Ciò indica che tutti i messaggi visualizzati durante l'installazione o la disinstallazione saranno in lingua Inglese, anche se il pacchetto che si sta installazione è tradotto in una lingua diversa. SUN sta preparando una correzione per questo inconveniente. Al momento, la data di rilascio di questa correzione non è disponibile. Il problema è relativo solo ai programmi pkg*. Il problema non influenza il funzionamento di DCE. ================================================ A.1.9 "dcecp -c show cell" in ambienti DCE misti In un ambiente DCE misto (ad esempio, server cds a livello Transarc DCE 1.1 e Transarc DCE 2.0) un client DCE 3.1 che invia un comando "dcecp -c show cell" ad un server DCE 1.1 riceverà solo l'indirizzo IP. Per ricevere l'indirizzo IP completo, il client ed il server DCE devono essere allo stesso livello. ======================================== A.1.10 Limitazione per Cellname massimo Il cellname massimo da utilizzare per configurare una cella DCE sarà calcolato in base alla dimensione massima per il nome file di 255. Il valore massimo per il nome file creato da da DCE è #_ch.checkpoint. A causa di tale limitazione, la lunghezza di cellname verrà calcolata come (229 - ). Tale limite verrà applicato quando viene configurato un Security Master server o un CDS server iniziale o addizionale. La lunghezza massima di 255 verrà applicata durante la configurazione di un client o di altri server in una cella esistente. =========================================================== A.1.11 Limite di 100 caratteri per PATH utilizzando DCEBACK "dceback" limita il percorso completo a 100 caratteri. E' un problema noto relativo a Transarc DCE 1.1 e DCE 2.0. Per ottenere la relativa correzione, contattare il supporto Transarc e richiedere la correzione per il difetto 24778. ====================================================== A.1.12 Problema nella configurazione di un server idms su una macchina appena configurata Talvolta, la configurazione di un server idms non crea una tabella di chiavi idmsd. La voce per la tabella di chiavi non può essere creata fino a quando dced non è completamento inizializzato. E' possibile fare quanto segue: * Dopo aver configurato rpc, sec_cl, sec_srv (o sec_rep) e cds_cl, attendere alcuni minuti prima di configurare idms. Sono necessari da 1 a 5 minuti. * Editare /opt/dcelocal/etc/usrstime.tcl e modificare il tempo che config.dce attende prima di completare la creazione della tabella di chiavi. Modificare il valore di wait_for_keytab_to_work da 90 ad un numero maggiore di secondi. * Se config.dce non viene completato durante la configurazione di idms, eseguire "unconfig.dce idms", attendere alcuni minuti ed eseguire di nuovo "config.dce idms". Sono necessari da 1 a 5 minuti. =============================================================== A.2 Sicurezza =============================================================== A.2.1 Impostazione degli attributi "maxtktrenew" e "maxtktlife" Utilizzando il comando dcecp "account modify" per impostare il valore degli attributi "maxtktrenew" o "maxtktlife" di un account utente, è possibile che si verifichi l'errore "msgID=0x17122084 Invalid data record". Ciò può verificarsi si uno degli attributi viene specificato per la prima volta, anche se vengono indicati valori validi per tali attributi. Per impostare "maxtktrenew" o "maxtktlife" per un account per la prima volta, è necessario specificare entrambi gli attributi nel comando dcecp "account modify". Una volta impostati entrambi gli attributi per l'account, è possibile utilizzare dcecp per modificarli singolarmente. =========================================== A.2.2 Intercell e Password Strength Server Per utilizzare la creazione di password e intercell, è necessario specificare il bind canonico completo ed il nome della cella esterna in pwd_mgmt_binding ERA per utenti con pwd_val_type ERA di 2 o 3. Ad esempio, nella cella locale, specificare: dcecp -c principal modify -add {pwd_mgmt_binding {{ dce /...//pwd_strengthd pktprivay secret name} /...//subsys/dce/pwd_mgmt/pwd_strengthd}} Tale comando dirigerà alla creazione della password in invece che alla cella locale predefinita. Per ulteriori informazioni, consultare la pubblicazione IBM DCE 3.1 for AIX and Solaris: Administration Guide - Core Components. ================================================= A.2.3 Regole "mindiff", "histexpire" e "histsize" per Password Strength Server Le regole per "mindiff", "histexpire" e "histsize" per il confronto tra la nuova password e quella corrente richiedono che una modifica alla password sia già stata effettuata sul password strength server prima che le regole siano valide. Le routine di verifica richiamano la password corrente dal database cronologico del password strength server. Se la password corrente non è stata modificate utilizzando il password strength server, non viene riportata nel database cronologico. In tal caso, la nuova password verrà confrontata con un valore nullo e l'operazione potrebbe non venire completata correttamente. =============================================================== A.2.4 Nuove azioni DCE Audit con EMS (Event Management Service) Quando vengono modificati o creati dei filtri di audit per l'audit service, è possibile specificare una nuova azione, "ems", nelle guide del filtro. Se "ems" è specificato come azione in una guida di filtro, l'evento di audit verrà inviato all'event management service. L'azione "all" in una guida di filtro ora include anche la nuova azione "ems", oltre alle azioni "log" e "alarm". Se sono stati creati filtri di audit in precedenti rilasci di DCE ed è stata specificata l'azione "all" durante la migrazione a DCE 3.1, l'azione includerà solo le azioni "log" e "alarm", ma non "ems". Quando si creano o modificano filtri di audit, non specificare l'azione "ems" in guide di filtri che includono eventi di audit per ogni DCE core service (ad esempio, security o cds). Ciò potrebbe causare un blocco dei DCE core service utilizzando i filtri di audit. ===================================================================== A.2.5 Opzioni da riga comandi per Password Strength Server migliorate Questa versione di DCE fornisce un nuovo e migliorato Password Strength Server. Diverse opzioni da riga comandi, disponibili su Password Strength Server in versioni DCE precedenti sono ora obsolete. Tali opzioni sono: +/-all_spaces +/-alpha_num -min_len Sebbene tali opzioni siano ancora attive sul nuovo server per motivi di compatibilità, è consigliabile non utilizzarle. In alternativa, il server migliorato può leggere regole di password simili dal registro ed utilizzarle per verificare le password utente. Ciò è possibile impostando politiche di password per tutto il registro o specifiche per la propria organizzazione, utilizzando i comandi dcecp "registry modify" e "organization modify". Per impostare la lunghezza minima della password, impostare il valore "minlen" in IBM_pwd_comp_rules ERA. Per ulteriori informazioni, consultare la pubblicazione IBM DCE 3.1 for AIX and Solaris: Administration Guide - Core Components. =====================================================