Instalar um agrupamento do Network Discover no Linux
Network Discover
no LinuxSiga este procedimento para instalar o software de agrupamento do
Network Discover
em um computador de servidor. Especifique o tipo de agrupamento durante o processo de registro do servidor que segue este processo de instalação.
Antes de começar
Atenda aos pré-requisitos a seguir antes de iniciar a instalação do agrupamento do
Network Discover
: - Execute as etapas de preparação para o upgrade. Consulte Como preparar o upgrade do Symantec Data Loss Prevention.
- Copie o arquivoDetectionServer.zipno diretório/opt/temp/no computador do servidor.
Etapas para instalar um agrupamento do Network Discover no Linux
Network Discover
no LinuxA seção a seguir lista as etapas a serem executadas para instalar agrupamentos em plataformas Linux.
Etapa 1: Proteger as comunicações entre os nós
Crie um pacote de autenticação usando a DiscoverClusterKeyTool antes de instalar os nós do worker e de dados.O pacote de autenticação permite a comunicação criptografada entre os nós e o Enforce Server.
- Localize a DiscoverClusterKeyTool em/opt/Symantec/DataLossPrevention/EnforceServer/16.0.1.00000/Protect/bin/DiscoverClusterKeyTool
- Prepare-se para executar o pacote de autenticação.Digite os valores que incluem as informações específicas para a sua instalação. Consulte a tabela a seguir para obter uma lista de parâmetros e descrições.Parâmetros da DiscoverClusterKeyToolComandoDescriçãogenerate-package-typeDefine o tipo de nó para o qual a autenticação é usada, incluindo o seguinte:
- WNpara os nós do worker.
- DNpara um nó de dados.
- Tudopara nós do worker e de dados.
enforce-url(Opcional) Digite o nome do host ou o IP do Enforce Server.Se você não digitar um valor, a ferramenta atribuirá o URLhttps://<localhost>/.enforce-usernameDigite um nome de usuário do Enforce Server com direitos de administrador.enforce-passwordDigite a senha para o usuário especificado emenforce-username.keystore-password(Opcional) Digite uma senha para o armazenamento de chave.Se você não especificar uma senha, a ferramenta atribuirá uma senha gerada aleatoriamente.truststore-password(Opcional) Digite uma senha para o truststore.Se você não especificar uma senha, a ferramenta atribuirá uma senha gerada aleatoriamente ao truststore.disable-ssl-verification(Opcional) Indique se a verificação de SSL deve ser desativada durante a conexão com o Enforce Server.Você pode digitar um dos seguintes valores:- A opçãotruedesativa a verificação de SSL no cliente
- A opçãofalse(padrão) mantém a verificação de SSL que está ativada no cliente
output-dir(Opcional) Defina o diretório em que a ferramenta criará o arquivo zip do pacote de autenticação.Por padrão, a ferramenta cria o pacote no diretório atual.O comando a seguir é um exemplo que inclui todas as opções.DiscoverClusterKeyTool -generate-package -type=All-enforce-url=https://<localhost>/-enforce-username=SymantecDLP-enforce-password=<password>-keystore-password=<password>-truststore-password=<password>-disable-ssl-verification=true-output-dir=/opt/Symantec/DataLossPrevention/DataLossPreventionDetectionServer /16.0.1.00000/Protect/keystore/discovercluste - Execute o comando.A ferramenta criará os arquivos com base no local que você definiu com o comandogenerate-package-type. A tabela a seguir lista as saídas com base no tipo de pacote.Saídas do pacote de autenticaçãoTipo de pacoteArquivo geradoWNdlp_discover_cluster_workernode_auth.zipUse durante a instalação do nó do worker.DNdlp_discover_cluster_datanode_auth.zipUse durante a instalação do nó de dados.Tudodlp_discover_cluster_auth.zipO arquivo contémdlp_discover_cluster_workernode_auth.zipedlp_discover_cluster_datanode_auth.zip.Extraia os arquivos ZIP individuais para acessar durante a instalação do nó do worker e do nó de dados.
Etapa 2: Instalar o JRE
Etapa 3: Instalar os nós
Conclua o procedimento a seguir para instalar o software do nó em um computador do servidor. Especifique o tipo de nó durante o processo de configuração.
Instale um nó de dados antes de instalar os nós do worker. Instalar o nó de dados primeiro define de onde os nós do worker se comunicarão depois de instalados.
- Conclua as etapas de pré-instalação.
- Faça logon como raiz no computador em que pretende instalar o software do servidor de detecção.
- Copie o instalador do servidor de detecção (DetectionServer.zip) do Enforce Server em um diretório local do servidor de detecção. O arquivoDetectionServer.zipestá incluído no diretório de download de software (DLPDownloadHome). Ele deve ter sido copiado para um diretório local no Enforce Server durante o processo de instalação do Enforce Server.
- Vá para o diretório no qual você copiou o arquivoDetectionServer.zip(/opt/temp/).
- Descompacte o conteúdo do arquivo (por exemplo, descompacte em/opt/temp).
- Confirme as dependências de arquivo dos arquivos RPM executando o comando a seguir:rpm -qpR *.rpmVocê também pode especificar um arquivo para confirmar executando o seguinte comando:rpm -qpR.rpm-fileem que.rpm-fileé o arquivo que você deseja confirmar.Se o comando indicar que as dependências estão ausentes, você poderá usar repositórios do YUM para instalá-las. Use o seguinte comando:yum installrepoSubstituarepopelo nome do pacote do repositório.
- Instale o servidor de detecção executando o seguinte comando:./install.sh -t detectionSe você usar o YUM para instalar, não será possível sobrescrever as raízes padrão realocáveis em que oSymantec Data Loss Preventionestá instalado.
- Inicie o processo de configuração do nó.
Etapa 4: Configurar o software do nó
Depois de instalar um servidor de detecção, configure-o executando o utilitário de configuração do servidor de detecção.
É possível concluir a instalação de forma silenciosa ou interativa a partir a linha de comando. A tabela a seguir lista os parâmetros de instalação usados durante a instalação.
Comando | Descrição |
|---|---|
jreDirectory | Especifica onde o JRE reside. |
fipsOption | Define se a criptografia de FIPS está desativada ( Desativado ) ou ativada (Ativado ). |
serviceUserOption | Define o usuário do serviço por meio de NewUser ou ExistingUser . |
serviceUserUsername | Define um nome para a conta usada para gerenciar os serviços do Symantec Data Loss Prevention . O nome de usuário padrão é “SymantecDLP". |
detectionCommunicationDefaultCertificates | Define se você usará certificados padrão ( Ativado ) ou os certificados que criar (Desativado ). |
bindHost | Define a interface de rede do servidor de detecção a ser usada para se comunicar com o Enforce Server. Se houver apenas uma interface de rede, deixe esse campo em branco. |
bindPort | Define o número da porta na qual o servidor de detecção deve aceitar conexões do Enforce Server. O número da porta padrão é 8100. Se não for possível usar o porta padrão, você poderá alterá-la para qualquer porta maior que 1024 e que esteja no intervalo entre 1024 e 65535. |
discoverClusterRoleOption | Define o tipo de servidor que você está instalando, o que inclui o seguinte:
Se um nó do worker estiver instalado, o CAP_NET_BIND_SERVICE será definido para os processos Java durante a instalação.Esse recurso será removido se o nó worker for desinstalado. |
discoverClusterIP | Define o IP do nó de dados. Se você estiver instalando o nó de dados, digite o IP interno do servidor em que planeja instalá-lo. |
discoverClusterDiscoveryPortRange | Usado com o IP do agrupamento para descobrir nós de dados em um agrupamento. Este parâmetro é obrigatório para a instalação do nó de dados. O valor padrão é 47500..47520 . |
discoverClusterClientConnectionPortRange | Define o intervalo de portas usadas para a comunicação entre os nós do worker e os nós de dados em um agrupamento. Este parâmetro é obrigatório para a instalação do nó de dados e do nó do worker. O valor padrão é 10800..10820 . |
discoverClusterAuthPackage | Define o local do pacote de autenticação. Determine o arquivo de acordo com o tipo de nó que você estiver instalando:
|
Os exemplos a seguir listam os comandos concluídos para nós do worker e os nós de dados. Os comandos usados serão diferentes dependendo dos requisitos de implementação. Usar os comandos a seguir como estão pode fazer com que a instalação falhe.
- Exemplo de comando do nó de dados:./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=SymantecDLP -serviceUserUsername=protect -bindHost=[IP or host name]-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=DN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/opt/dlp_discover_cluster_datanode_auth.zip -discoverClusterClientConnectionPortRange=<StartPort>..<EndPort>-discoverClusterDiscoveryPortRange=<StartPort>..<EndPort>
- Exemplo de comando do nó do worker:
./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=ExistingUser -serviceUserUsername=protect -bindHost=[IP or host name]-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=WN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/home/bishnu/Desktop/dlp_discover_cluster_workernode_auth.zip -discoverClusterClientConnectionPortRange=<StartPort>..<EndPort>
- Navegue até o diretório de instalação. Vá para o diretório padrão em/opt/Symantec/DataLossPrevention/DetectionServer/16.0.1.00000/Protect/installou para o caminho usado caso tenha selecionado uma instalação diferente do padrão.
- Execute o utilitário de configuração do servidor de detecção. Use o seguinte comando para iniciar o utilitário:./DetectionServerConfigurationUtility
- Digite as seguintes informações no Utilitário de configuração do servidor de detecção:Contrato de licençaRevise e aceite o Contrato de licença digitando1.Diretório do JREDigite o diretório do JRE.O diretório recomendado é/opt/AdoptOpenJRE/.[JRE versão]Criptografia FIPSSelecione se deseja desativar ou ativar a criptografia FIPS.Usuário do serviçoDigite1para adicionar um novo usuário ou digite2para usar um usuário existente.O nome padrão para o novo usuário é "SymantecDLP." Se você criar outro usuário de serviço, digite o nome de usuário quando solicitado.Se você criar outro usuário do serviço, ele deverá ser integrante de um grupo, e os nomes do usuário do serviço e do grupo deverão corresponder. Se essas condições não estiverem presentes, as atualizações falharão.Porta de redeAceite o número da porta padrão (8100) na qual o servidor de detecção deve aceitar conexões provenientes do Enforce Server. Se não for possível usar o porta padrão, você poderá alterá-la para qualquer porta maior que 1024 e que esteja no intervalo entre 1024 e 65535.Interface de redeInforme a interface de rede do servidor de detecção (endereço de ligação) a ser usada para fazer a comunicação com o Enforce Server. Se houver apenas uma interface de rede, deixe esse campo em branco.Tipo de nóDefina o tipo de servidor que você está instalando, o que inclui o seguinte:
- DNpara o nó de dados
- WNpara o nó do worker
IP do nó de dadosSe você estiver instalando o nó de dados, digite o IP do servidor em que planeja instalá-lo.Intervalo de portas da descoberta de agrupamentos doNetwork DiscoverUsado com o IP do agrupamento para descobrir nós de dados em um agrupamento.Este parâmetro é obrigatório para a instalação do nó de dados.O valor padrão é47500..47520.Intervalo de portas de conexão do cliente de agrupamentos doNetwork DiscoverDefine o intervalo de portas usadas para a comunicação entre os nós do worker e os nós de dados em um agrupamento.Este parâmetro é obrigatório para a instalação do nó de dados e do nó do worker.O valor padrão é10800..10820.Pacote de autenticação do agrupamentoDefina o local do pacote de autenticação.Determine o arquivo de acordo com o tipo de nó que você estiver instalando:- Nó do worker:dlp_discover_cluster_workernode_auth.zip
- Nó de dados:dlp_discover_cluster_datanode_auth.zip
- Verifique se o nó foi instalado corretamente.
- Crie um backup do sistema após concluir a instalação.