Instalación de un clúster de
Network Discover
en Linux

Siga este procedimiento para instalar el software del clúster
Network Discover
 en un equipo del servidor.
Especifique el tipo de clúster durante el proceso de registro del servidor que sigue a este proceso de instalación.

Antes de comenzar

Complete los siguientes requisitos previos antes de iniciar la instalación del clúster
Network Discover
:

Pasos para instalar un clúster
Network Discover
en Linux

La siguiente sección enumera los pasos que se completan para instalar clústeres en plataformas Linux.

Paso 1: Proteja las comunicaciones entre los nodos

Cree un paquete de autenticación usando DiscoverClusterKeyTool antes de instalar los nodos de trabajador y de datos. El paquete de autenticación permite la comunicación cifrada entre los nodos y Enforce Server.
  1. Localice DiscoverClusterKeyTool en
    /opt/Symantec/DataLossPrevention/EnforceServer/16.0.1.00000/Protect/bin/DiscoverClusterKeyTool
  2. Prepárese para ejecutar el paquete de autenticación.
    Escriba los valores que incluyan información específica para la instalación. Consulte la tabla siguiente para obtener una lista de parámetros y descripciones.
    Parámetros de DiscoverClusterKeyTool
    Comando
    Descripción
    generate-package-type
    Define el tipo de nodo para el que se utiliza la autenticación, incluidos los siguientes:
    • WN
      para los nodos de trabajador.
    • DN
      para un nodo de datos.
    • Todos
      para los nodos de trabajador y de datos.
    enforce-url
    (Opcional) Escriba el nombre del host o la IP de Enforce Server.
    Si no escribe un valor, la herramienta asigna la dirección URL
    https://<localhost>/
    .
    enforce-username
    Escriba un nombre de usuario de Enforce Server con derechos de administrador.
    enforce-password
    Escriba la contraseña para el usuario especificado en
    enforce-username
    .
    keystore-password
    (Opcional) Escriba una contraseña para el almacén de claves.
    Si no especifica una contraseña, la herramienta asigna una contraseña generada aleatoriamente.
    truststore-password
    (Opcional) Escriba una contraseña para el almacén de confianza.
    Si no especifica una contraseña, la herramienta asigna una contraseña generada aleatoriamente por el almacén de confianza.
    disable-ssl-verification
    (Opcional) Indique si desea deshabilitar la verificación de SSL al conectarse a Enforce Server.
    Es posible introducir uno de los siguientes valores:
    • true
      deshabilita la verificación de SSL en el lado del cliente
    • false
      (opción predeterminada) mantiene la verificación de SSL habilitada en el lado del cliente
    output-dir
    (Opcional) Defina el directorio donde la herramienta crea el archivo zip del paquete de autenticación.
    De forma predeterminada, la herramienta crea el paquete en el directorio actual.
    El siguiente comando es un ejemplo que incluye todas las opciones.
    DiscoverClusterKeyTool -generate-package -type=
    All
    -enforce-url=
    https://<localhost>/
    -enforce-username=
    SymantecDLP
    -enforce-password=
    <password>
    -keystore-password=
    <password>
    -truststore-password=
    <password>
    -disable-ssl-verification=
    true
    -output-dir=
    /opt/Symantec/DataLossPrevention/DataLossPreventionDetectionServer /16.0.1.00000/Protect/keystore/discovercluste
  3. Ejecute el comando.
    La herramienta crea archivos basados en la ubicación definida con
    generate-package-type
    . La tabla siguiente enumera las salidas basadas en el tipo de paquete.
    Salidas del paquete de autenticación
    Tipo de paquete
    Archivo generado
    WN
    dlp_discover_cluster_workernode_auth.zip
    Usar durante la instalación del nodo de trabajador.
    DN
    dlp_discover_cluster_datanode_auth.zip
    Usar durante la instalación del nodo de datos.
    Todos
    dlp_discover_cluster_auth.zip
    El archivo contiene
    dlp_discover_cluster_workernode_auth.zip
    y
    dlp_discover_cluster_datanode_auth.zip
    .
    Extraiga los archivos ZIP individuales para acceder durante la instalación del nodo de trabajador y del nodo de datos.

Paso 3: Instalar nodos

Complete este procedimiento para instalar el software del nodo en un equipo del servidor. Especifique el tipo de nodo durante el proceso de configuración.
Instale un nodo de datos antes de instalar los nodos de trabajador. La instalación del nodo de datos en primer lugar define dónde los nodos de trabajo se comunican una vez que están instalados.
  1. Complete los pasos previos a la instalación.
  2. Inicie sesión como raíz en el equipo en el cual desea instalar el software del servidor de detección.
  3. Copie el instalador del servidor de detección (
    DetectionServer.zip
    ) de Enforce Server a un directorio local en el servidor de detección. El archivo
    DetectionServer.zip
    se incluye en el directorio de la descarga de software (
    DLPDownloadHome
    ). Se debe copiar a un directorio local en Enforce Server durante el proceso de instalación de Enforce Server.
  4. Navegue al directorio donde copió el archivo
    DetectionServer.zip
    (
    /opt/temp/
    ).
  5. Descomprima el contenido del archivo (por ejemplo, descomprima
    /opt/temp
    ).
  6. Confirme las dependencias de archivo para los archivos RPM ejecutando el comando siguiente:
    rpm -qpR *.rpm
    También puede especificar un archivo para confirmar ejecutando el comando siguiente:
    rpm -qpR
    .rpm-file
    donde
    .rpm-file
    es el archivo que desea confirmar.
    Si el comando indica que faltan dependencias, puede usar los repositorios de YUM para instalarlos. Use el siguiente comando:
    yum install
    repo
    Reemplace
    repo
    con el nombre del paquete del repositorio.
  7. Instale el servidor de detección ejecutando el comando siguiente:
    ./install.sh -t detection
    Si usa YUM para instalar, no se pueden sobrescribir las raíces reubicables predeterminadas en las que
    Symantec Data Loss Prevention
    está instalado.
  8. Inicie el proceso de configuración del nodo.

Paso 4: Configure el software del nodo

Después de instalar un servidor de detección, debe configurarlo mediante la ejecución de la utilidad de configuración del servidor de detección.
Es posible completar la instalación silenciosamente o de forma interactiva desde la línea de comandos. La table siguiente enumera los parámetros de instalación que se usan durante la instalación.
Parámetros de instalación del clúster
Network Discover
Comando
Descripción
jreDirectory
fipsOption
Define si se deshabilita (
Deshabilitado
) o se habilita (
Habilitado
) el cifrado de FIPS.
serviceUserOption
Define el usuario del servicio introduciendo
NewUser
o
ExistingUser
.
serviceUserUsername
Define un nombre para la cuenta que se utiliza para administrar los servicios de
Symantec Data Loss Prevention
. El nombre de usuario predeterminado es “SymantecDLP”.
detectionCommunicationDefaultCertificates
Define si se usan los certificados predeterminados (
Habilitado
) o los certificados que se crean (
Deshabilitado
).
bindHost
Define la interfaz de red del servidor de detección que se debe usar para comunicarse con Enforce Server. Si hay solamente una interfaz de red, deje este campo en blanco.
bindPort
Define el número de puerto en el cual el servidor de detección debe aceptar las conexiones de Enforce Server. El número de puerto predeterminado es 8100.
Si no puede usar el puerto predeterminado, puede cambiarlo a cualquier puerto superior al puerto 1024, en el intervalo de 1024-65535.
discoverClusterRoleOption
Define el tipo de servidor que se está instalando, que incluye lo siguiente:
  • DN
    para un nodo de datos.
  • WN
    para un nodo de trabajador.
Si se instala un nodo de trabajador, CAP_NET_BIND_SERVICE se establece para los procesos de Java durante la instalación. Esta funcionalidad se elimina si se desinstala el nodo de trabajador.
discoverClusterIP
Define el nodo de datos IP.
Si está instalando el nodo de datos, introduzca la dirección IP interna del servidor donde prevea instalar el nodo de datos.
discoverClusterDiscoveryPortRange
Se utiliza con la dirección IP del clúster para detectar nodos de datos en un clúster.
Este parámetro es necesario para la instalación del nodo de datos.
El valor predeterminado es
47500..47520
.
discoverClusterClientConnectionPortRange
Define el intervalo de puertos utilizados para la comunicación entre los nodos de trabajador y de datos en un clúster.
Este parámetro es necesario para la instalación del nodo de trabajador y de datos.
El valor predeterminado es
10800..10820
.
discoverClusterAuthPackage
Define la ubicación del paquete de autenticación.
Oriente el archivo en función del tipo de nodo que está instalando:
  • Nodo de trabajador:
    dlp_discover_cluster_workernode_auth.zip
  • Nodo de datos:
    dlp_discover_cluster_datanode_auth.zip
Los ejemplos siguientes muestran los comandos completados para los nodos de trabajador y los nodos de datos. Los comandos que se utilizan se diferencian en función de los requisitos de implementación. El uso de los siguientes comandos tal como están puede hacer que la instalación falle.
  • Comando de ejemplo del nodo de datos:
    ./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=SymantecDLP -serviceUserUsername=protect -bindHost=
    [IP or host name]
    -bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=DN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/opt/dlp_discover_cluster_datanode_auth.zip -discoverClusterClientConnectionPortRange=
    <StartPort>
    ..
    <EndPort>
    -discoverClusterDiscoveryPortRange=<StartPort>..<EndPort>
  • Comando de ejemplo del nodo de trabajador:
./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=ExistingUser -serviceUserUsername=protect -bindHost=
[IP or host name]
-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=WN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/home/bishnu/Desktop/dlp_discover_cluster_workernode_auth.zip -discoverClusterClientConnectionPortRange=
<StartPort>
..
<EndPort>
  1. Navegue al directorio de instalación. Vaya al directorio predeterminado en
    /opt/Symantec/DataLossPrevention/DetectionServer/16.0.1.00000/Protect/install
    o a la ruta que se ha utilizado si se ha seleccionado una instalación no predeterminada.
  2. Ejecute la utilidad de configuración del servidor de detección. Use el siguiente comando para iniciar la utilidad:
    ./DetectionServerConfigurationUtility
  3. En la utilidad de configuración del servidor de detección, escriba la siguiente información:
    Acuerdo de licencia
    Revise y acepte el acuerdo de licencia especificando
    1
    .
    Directorio de JRE
    Escriba el directorio de JRE.
    El directorio recomendado es
    /opt/AdoptOpenJRE/
    [JRE version]
    .
    Cifrado de FIPS
    Seleccione si desea deshabilitar o habilitar el cifrado de FIPS.
    Usuario del servicio
    Escriba
    1
    para añadir un nuevo usuario o
    2
    para usar un usuario existente.
    El nuevo nombre de usuario predeterminado es "SymantecDLP". Si crea un nuevo usuario de servicio, escriba el nombre de usuario cuando se le pida.
    Si crea un nuevo usuario de servicio, el usuario debe ser miembro de un grupo y los nombres del usuario de servicio y del grupo deben coincidir. Si no se cumplen estas condiciones, se producirá un error en las actualizaciones.
    Puerto de red
    Acepte el número de puerto predeterminado (8100) en el cual el servidor de detección debe aceptar las conexiones de Enforce Server. Si no puede usar el puerto predeterminado, puede cambiarlo a cualquier puerto superior al puerto 1024, en el intervalo de 1024-65535.
    Interfaz de red
    Escriba la interfaz de red del servidor de detección (dirección enlazada) que se debe usar para comunicarse con Enforce Server. Si hay solamente una interfaz de red, deje este campo en blanco.
    Tipo de nodo
    Defina el tipo de servidor que se está instalando, que incluye lo siguiente:
    • DN
      para un nodo de datos.
    • WN
      para un nodo de trabajador.
    IP del nodo de datos
    Si está instalando el nodo de datos, introduzca la dirección IP del servidor donde prevea instalar el nodo de datos.
    Intervalo de puertos de detección del clúster
    Network Discover
    Se utiliza con la dirección IP del clúster para detectar nodos de datos en un clúster.
    Este parámetro es necesario para la instalación del nodo de datos.
    El valor predeterminado es
    47500..47520
    .
    Intervalo de puertos de conexión del cliente del clúster
    Network Discover
    Define el intervalo de puertos utilizados para la comunicación entre los nodos de trabajador y de datos en un clúster.
    Este parámetro es necesario para la instalación del nodo de trabajador y de datos.
    El valor predeterminado es
    10800..10820
    .
    Paquete de autenticación del clúster
    Defina la ubicación del paquete de autenticación.
    Oriente el archivo en función del tipo de nodo que está instalando:
    • Nodo de trabajador:
      dlp_discover_cluster_workernode_auth.zip
    • Nodo de datos:
      dlp_discover_cluster_datanode_auth.zip
  4. Verifique que el nodo está instalado correctamente.
  5. Cree una copia de seguridad del sistema después de completar la instalación.