Installation d'un cluster
Network Discover
sous Linux

Pour installer le logiciel de cluster
Network Discover
sur un serveur, procédez comme suit.
Spécifiez le type de cluster lors du processus d'enregistrement de serveur suivant ce processus d'installation.

Avant de commencer

Avant de démarrer l'installation du cluster
Network Discover
, effectuez les opérations préalables suivantes :

Étapes d'installation d'un cluster
Network Discover
sous Linux

La section suivante décrit la procédure d'installation de clusters sur une plate-forme Linux.

Étape 1 : sécurisation des communications entre les nœuds

Avant d'installer les nœuds de travail et de données, créez un package d'authentification à l'aide de l'outil DiscoverClusterKeyTool.Le package d'authentification active la communication chiffrée entre les nœuds et le serveur Enforce.
  1. Accédez à l'outil DiscoverClusterKeyTool sous
    /opt/Symantec/DataLossPrevention/EnforceServer/16.0.1.00000/Protect/bin/DiscoverClusterKeyTool
    .
  2. Préparez l'exécution du package d'authentification.
    Saisissez les valeurs qui incluent des informations spécifiques à votre installation. Pour obtenir la liste des paramètres et leur description, consultez le tableau suivant.
    Paramètres DiscoverClusterKeyTool
    Commande
    Description
    generate-package-type
    Définit le type de nœud pour lequel l'authentification est utilisée, parmi les types suivants :
    • WN
      pour les nœuds de travail
    • DN
      pour un nœud de données
    • All
      pour les nœuds de travail et de données
    enforce-url
    (Facultatif) Entrez le nom d'hôte ou l'adresse IP du serveur Enforce.
    Si vous ne saisissez aucune valeur, l'outil affecte l'URL
    https://<localhost>/
    .
    enforce-username
    Entrez un nom d'utilisateur du serveur Enforce disposant de droits d'administrateur.
    enforce-password
    Entrez le mot de passe de l'utilisateur spécifié dans
    enforce-username
    .
    keystore-password
    (Facultatif) Entrez un mot de passe pour le magasin de clés.
    Si vous ne spécifiez aucun mot de passe, l'outil en affectera un généré de manière aléatoire.
    truststore-password
    (Facultatif) Entrez un mot de passe pour le magasin d'approbations.
    Si vous ne spécifiez aucun mot de passe pour le magasin d'approbations, l'outil en affectera un généré de manière aléatoire.
    disable-ssl-verification
    (Facultatif) Indiquez si la vérification SSL doit être désactivée lors de la connexion au serveur Enforce.
    Vous pouvez entrer l'une des valeurs suivantes :
    • true
       : désactive la vérification SSL côté client.
    • false
      (par défaut) : maintient la vérification SSL activée côté client.
    output-dir
    (Facultatif) Définissez le répertoire dans lequel l'outil crée le fichier .zip du package d'authentification.
    Par défaut, l'outil crée le package dans le répertoire actuel.
    L'exemple de commande suivant inclut toutes les options.
    DiscoverClusterKeyTool -generate-package -type=
    All
    -enforce-url=
    https://<localhost>/
    -enforce-username=
    SymantecDLP
    -enforce-password=
    <password>
    -keystore-password=
    <password>
    -truststore-password=
    <password>
    -disable-ssl-verification=
    true
    -output-dir=
    /opt/Symantec/DataLossPrevention/DataLossPreventionDetectionServer /16.0.1.00000/Protect/keystore/discovercluste
  3. Exécutez la commande.
    L'outil crée des fichiers en fonction de l'emplacement défini avec la commande
    generate-package-type
    . Le tableau suivant répertorie les sorties en fonction du type de package.
    Sorties du package d'authentification
    Type de package
    Fichier généré
    WN
    dlp_discover_cluster_workernode_auth.zip
    Utilisez ce fichier pendant l'installation du nœud de travail.
    DN
    dlp_discover_cluster_datanode_auth.zip
    Utilisez ce fichier pendant l'installation du nœud de données.
    Tous
    dlp_discover_cluster_auth.zip
    Ce fichier contient les fichiers
    dlp_discover_cluster_workernode_auth.zip
    et
    dlp_discover_cluster_datanode_auth.zip
    .
    Extrayez chaque fichier .zip pour y accéder pendant l'installation du nœud de travail et du nœud de données.

Étape 3 : installation des nœuds

Pour installer le logiciel de nœud sur un serveur, procédez comme suit. Spécifiez le type de nœud pendant le processus de configuration.
Installez un nœud de données avant d'installer des nœuds de travail. L'installation du nœud de données définit d'abord l'emplacement de communication des nœuds de travail une fois installés.
  1. Effectuez les étapes de préinstallation.
  2. Connectez-vous en tant qu'utilisateur root à l'ordinateur sur lequel vous voulez installer le logiciel du serveur de détection.
  3. Copiez le programme d'installation du serveur de détection (
    DetectionServer.zip
    ) du serveur Enforce vers un répertoire local sur le serveur de détection. Le fichier
    DetectionServer.zip
    est inclus dans votre répertoire de téléchargement de logiciels (
    DLPDownloadHome
    ). Il doit avoir été copié vers un répertoire local sur le serveur Enforce pendant le processus d'installation de celui-ci.
  4. Accédez au répertoire dans lequel vous avez copié le fichier
    DetectionServer.zip
    (
    /opt/temp/
    ).
  5. Décompressez le contenu du fichier ; par exemple, décompressez-le sous
    /opt/temp
    .
  6. Confirmez les dépendances de fichier pour les fichiers RPM en exécutant la commande suivante :
    rpm -qpR *.rpm
    Vous pouvez également spécifier un fichier à confirmer en exécutant la commande suivante :
    rpm -qpR
    .rpm-file
    .rpm-file
    est le fichier que vous voulez vérifier.
    Si la commande indique que des dépendances sont manquantes, vous pouvez utiliser les référentiels YUM pour les installer. Utilisez la commande suivante :
    yum install
    repo
    Remplacez
    repo
    par le nom du package du référentiel.
  7. Installez le serveur de détection en exécutant la commande suivante :
    ./install.sh -t detection
    Si vous utilisez YUM pour l'installation, vous ne pouvez pas remplacer les racines repositionnables par défaut dans lesquelles
    Symantec Data Loss Prevention
    est installé.
  8. Démarrez le processus de configuration des nœuds.

Étape 4 : configuration du logiciel de nœud

Après avoir installé un serveur de détection, configurez-le en exécutant l'utilitaire de configuration du serveur de détection.
Vous pouvez effectuer l'installation en mode silencieux ou interactif à partir de la ligne de commande. Le tableau suivant répertorie les paramètres d'installation que vous utilisez pendant l'installation.
Paramètres d'installation du cluster
Network Discover
Commande
Description
jreDirectory
fipsOption
Définit s'il faut désactiver (
Désactivé
) ou activer (
Activé
) le chiffrement FIPS.
serviceUserOption
Définit l'utilisateur du service en entrant
NewUser
ou
ExistingUser
.
serviceUserUsername
Définit un nom pour le compte utilisé pour la gestion des services
Symantec Data Loss Prevention
. Le nom d'utilisateur par défaut est "SymantecDLP".
detectionCommunicationDefaultCertificates
Indique si vous utilisez des certificats par défaut (
Activé
) ou des certificats que vous créez (
Désactivé
).
bindHost
Définit l'interface réseau du serveur de détection à utiliser pour communiquer avec le serveur Enforce. S'il existe une seule interface réseau, laissez ce champ vide.
bindPort
Définit le numéro de port sur lequel le serveur de détection doit accepter les connexions provenant du serveur Enforce. Le numéro de port par défaut est 8100.
Si vous ne pouvez pas utiliser le port par défaut, vous pouvez définir un port supérieur au port 1024, compris dans la plage 1024 à 65535.
discoverClusterRoleOption
Définit le type de serveur que vous installez, parmi les types suivants :
  • DN
    pour un nœud de données
  • WN
    pour un nœud de travail
Si un nœud de travail est installé, CAP_NET_BIND_SERVICE est défini pour les processus Java pendant l'installation.Cette fonctionnalité est supprimée si le nœud de travail est désinstallé.
discoverClusterIP
Définit l'adresse IP du nœud de données.
Si vous installez le nœud de données, saisissez l'adresse IP interne du serveur sur lequel vous prévoyez de l'installer.
discoverClusterDiscoveryPortRange
Utilisé avec l'adresse IP du cluster pour découvrir les nœuds de données dans un cluster.
Ce paramètre est requis pour l'installation du nœud de données.
La valeur par défaut est
47500..47520
.
discoverClusterClientConnectionPortRange
Définit la plage des ports utilisés pour la communication entre les nœuds de travail et de données dans un cluster.
Ce paramètre est requis pour l'installation des nœuds de travail et de données.
La valeur par défaut est
10800..10820
.
discoverClusterAuthPackage
Définit l'emplacement du package d'authentification.
Ciblez le fichier en fonction du type de nœud que vous installez :
  • Nœud de travail :
    dlp_discover_cluster_workernode_auth.zip
  • Nœud de données :
    dlp_discover_cluster_datanode_auth.zip
Les exemples suivants répertorient les commandes exécutées pour les nœuds de travail et de données. Les commandes que vous utilisez varient en fonction de vos exigences d'implémentation. L'utilisation des commandes suivantes en l'état peut entraîner l'échec de l'installation.
  • Exemple de commande de nœud de données :
    ./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=SymantecDLP -serviceUserUsername=protect -bindHost=
    [IP or host name]
    -bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=DN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/opt/dlp_discover_cluster_datanode_auth.zip -discoverClusterClientConnectionPortRange=
    <StartPort>
    ..
    <EndPort>
    -discoverClusterDiscoveryPortRange=<StartPort>..<EndPort>
  • Exemple de commande de nœud de travail :
./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=ExistingUser -serviceUserUsername=protect -bindHost=
[IP or host name]
-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=WN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/home/bishnu/Desktop/dlp_discover_cluster_workernode_auth.zip -discoverClusterClientConnectionPortRange=
<StartPort>
..
<EndPort>
  1. Accédez au répertoire d'installation. Accédez au répertoire par défaut sous
    /opt/Symantec/DataLossPrevention/DetectionServer/16.0.1.00000/Protect/install
    ou au chemin utilisé si vous avez sélectionné une installation personnalisée.
  2. Exécutez l'utilitaire de configuration du serveur de détection. Utilisez la commande suivante pour lancer l'utilitaire : .
    ./DetectionServerConfigurationUtility
  3. Dans l'utilitaire de configuration du serveur de détection, saisissez les informations suivantes :
    Contrat de licence
    Lisez et acceptez le contrat de licence en saisissant
    1
    .
    Répertoire JRE
    Saisissez le répertoire JRE.
    /opt/AdoptOpenJRE/
    [JRE version]
    est le répertoire recommandé.
    Chiffrement FIPS
    Sélectionnez s'il faut désactiver ou activer le chiffrement FIPS.
    Service user (Utilisateur du service)
    Entrez
    1
    pour ajouter un nouvel utilisateur ou
    2
    pour utiliser un utilisateur existant.
    Le nouveau nom d'utilisateur par défaut est "SymantecDLP". Si vous créez un utilisateur de service, entrez le nom d'utilisateur lorsque vous y êtes invité.
    Si vous créez un utilisateur de service, l'utilisateur doit être membre d'un groupe du même nom. Si ces conditions ne sont pas satisfaites, les mises à niveau échouent.
    Port réseau
    Acceptez le numéro de port par défaut (8100) sur lequel le serveur de détection doit accepter les connexions provenant du serveur Enforce. Si vous ne pouvez pas utiliser le port par défaut, vous pouvez définir un port supérieur au port 1024, compris dans la plage 1024 à 65535.
    Interface réseau
    Entrez l'interface réseau du serveur de détection (adresse de liaison) à utiliser pour communiquer avec le serveur Enforce. S'il existe une seule interface réseau, laissez ce champ vide.
    Type de nœud
    Choisissez le type de serveur que vous installez parmi les types suivants :
    • DN
      pour un nœud de données
    • WN
      pour un nœud de travail
    Adresse IP du nœud de données
    Si vous installez le nœud de données, saisissez l'adresse IP du serveur sur lequel vous prévoyez de l'installer.
    Plage de ports de découverte du cluster
    Network Discover
    Utilisé avec l'adresse IP du cluster pour découvrir les nœuds de données dans un cluster.
    Ce paramètre est requis pour l'installation du nœud de données.
    La valeur par défaut est
    47500..47520
    .
    Plage de ports de connexion du client du cluster
    Network Discover
    Définit la plage des ports utilisés pour la communication entre les nœuds de travail et de données dans un cluster.
    Ce paramètre est requis pour l'installation des nœuds de travail et de données.
    La valeur par défaut est
    10800..10820
    .
    Package d'authentification du cluster
    Définissez l'emplacement du package d'authentification.
    Ciblez le fichier en fonction du type de nœud que vous installez :
    • Nœud de travail :
      dlp_discover_cluster_workernode_auth.zip
    • Nœud de données :
      dlp_discover_cluster_datanode_auth.zip
  4. Vérifiez que le nœud est correctement installé.
  5. À l'issue de l'installation, créez une sauvegarde de votre système.