Installation d'un cluster Network Discover sous Linux
Network Discover
sous LinuxPour installer le logiciel de cluster
Network Discover
sur un serveur, procédez comme suit. Spécifiez le type de cluster lors du processus d'enregistrement de serveur suivant ce processus d'installation.
Avant de commencer
Avant de démarrer l'installation du cluster
Network Discover
, effectuez les opérations préalables suivantes : - Effectuez les étapes de préparation de la mise à niveau. Voir Préparation de la mise à niveau de Symantec Data Loss Prevention.
- Copiez le fichierDetectionServer.zipdans le répertoire/opt/temp/sur le serveur.
Étapes d'installation d'un cluster Network Discover sous Linux
Network Discover
sous LinuxLa section suivante décrit la procédure d'installation de clusters sur une plate-forme Linux.
Étape 1 : sécurisation des communications entre les nœuds
Avant d'installer les nœuds de travail et de données, créez un package d'authentification à l'aide de l'outil DiscoverClusterKeyTool.Le package d'authentification active la communication chiffrée entre les nœuds et le serveur Enforce.
- Accédez à l'outil DiscoverClusterKeyTool sous/opt/Symantec/DataLossPrevention/EnforceServer/16.0.1.00000/Protect/bin/DiscoverClusterKeyTool.
- Préparez l'exécution du package d'authentification.Saisissez les valeurs qui incluent des informations spécifiques à votre installation. Pour obtenir la liste des paramètres et leur description, consultez le tableau suivant.Paramètres DiscoverClusterKeyToolCommandeDescriptiongenerate-package-typeDéfinit le type de nœud pour lequel l'authentification est utilisée, parmi les types suivants :
- WNpour les nœuds de travail
- DNpour un nœud de données
- Allpour les nœuds de travail et de données
enforce-url(Facultatif) Entrez le nom d'hôte ou l'adresse IP du serveur Enforce.Si vous ne saisissez aucune valeur, l'outil affecte l'URLhttps://<localhost>/.enforce-usernameEntrez un nom d'utilisateur du serveur Enforce disposant de droits d'administrateur.enforce-passwordEntrez le mot de passe de l'utilisateur spécifié dansenforce-username.keystore-password(Facultatif) Entrez un mot de passe pour le magasin de clés.Si vous ne spécifiez aucun mot de passe, l'outil en affectera un généré de manière aléatoire.truststore-password(Facultatif) Entrez un mot de passe pour le magasin d'approbations.Si vous ne spécifiez aucun mot de passe pour le magasin d'approbations, l'outil en affectera un généré de manière aléatoire.disable-ssl-verification(Facultatif) Indiquez si la vérification SSL doit être désactivée lors de la connexion au serveur Enforce.Vous pouvez entrer l'une des valeurs suivantes :- true: désactive la vérification SSL côté client.
- false(par défaut) : maintient la vérification SSL activée côté client.
output-dir(Facultatif) Définissez le répertoire dans lequel l'outil crée le fichier .zip du package d'authentification.Par défaut, l'outil crée le package dans le répertoire actuel.L'exemple de commande suivant inclut toutes les options.DiscoverClusterKeyTool -generate-package -type=All-enforce-url=https://<localhost>/-enforce-username=SymantecDLP-enforce-password=<password>-keystore-password=<password>-truststore-password=<password>-disable-ssl-verification=true-output-dir=/opt/Symantec/DataLossPrevention/DataLossPreventionDetectionServer /16.0.1.00000/Protect/keystore/discovercluste - Exécutez la commande.L'outil crée des fichiers en fonction de l'emplacement défini avec la commandegenerate-package-type. Le tableau suivant répertorie les sorties en fonction du type de package.Sorties du package d'authentificationType de packageFichier généréWNdlp_discover_cluster_workernode_auth.zipUtilisez ce fichier pendant l'installation du nœud de travail.DNdlp_discover_cluster_datanode_auth.zipUtilisez ce fichier pendant l'installation du nœud de données.Tousdlp_discover_cluster_auth.zipCe fichier contient les fichiersdlp_discover_cluster_workernode_auth.zipetdlp_discover_cluster_datanode_auth.zip.Extrayez chaque fichier .zip pour y accéder pendant l'installation du nœud de travail et du nœud de données.
Étape 2 : installation du JRE
Étape 3 : installation des nœuds
Pour installer le logiciel de nœud sur un serveur, procédez comme suit. Spécifiez le type de nœud pendant le processus de configuration.
Installez un nœud de données avant d'installer des nœuds de travail. L'installation du nœud de données définit d'abord l'emplacement de communication des nœuds de travail une fois installés.
- Effectuez les étapes de préinstallation.
- Connectez-vous en tant qu'utilisateur root à l'ordinateur sur lequel vous voulez installer le logiciel du serveur de détection.
- Copiez le programme d'installation du serveur de détection (DetectionServer.zip) du serveur Enforce vers un répertoire local sur le serveur de détection. Le fichierDetectionServer.zipest inclus dans votre répertoire de téléchargement de logiciels (DLPDownloadHome). Il doit avoir été copié vers un répertoire local sur le serveur Enforce pendant le processus d'installation de celui-ci.
- Accédez au répertoire dans lequel vous avez copié le fichierDetectionServer.zip(/opt/temp/).
- Décompressez le contenu du fichier ; par exemple, décompressez-le sous/opt/temp.
- Confirmez les dépendances de fichier pour les fichiers RPM en exécutant la commande suivante :rpm -qpR *.rpmVous pouvez également spécifier un fichier à confirmer en exécutant la commande suivante :rpm -qpR.rpm-fileOù.rpm-fileest le fichier que vous voulez vérifier.Si la commande indique que des dépendances sont manquantes, vous pouvez utiliser les référentiels YUM pour les installer. Utilisez la commande suivante :yum installrepoRemplacezrepopar le nom du package du référentiel.
- Installez le serveur de détection en exécutant la commande suivante :./install.sh -t detectionSi vous utilisez YUM pour l'installation, vous ne pouvez pas remplacer les racines repositionnables par défaut dans lesquellesSymantec Data Loss Preventionest installé.
- Démarrez le processus de configuration des nœuds.
Étape 4 : configuration du logiciel de nœud
Après avoir installé un serveur de détection, configurez-le en exécutant l'utilitaire de configuration du serveur de détection.
Vous pouvez effectuer l'installation en mode silencieux ou interactif à partir de la ligne de commande. Le tableau suivant répertorie les paramètres d'installation que vous utilisez pendant l'installation.
Commande | Description |
|---|---|
jreDirectory | Spécifie où réside le JRE. |
fipsOption | Définit s'il faut désactiver ( Désactivé ) ou activer (Activé ) le chiffrement FIPS. |
serviceUserOption | Définit l'utilisateur du service en entrant NewUser ou ExistingUser . |
serviceUserUsername | Définit un nom pour le compte utilisé pour la gestion des services Symantec Data Loss Prevention . Le nom d'utilisateur par défaut est "SymantecDLP". |
detectionCommunicationDefaultCertificates | Indique si vous utilisez des certificats par défaut ( Activé ) ou des certificats que vous créez (Désactivé ). |
bindHost | Définit l'interface réseau du serveur de détection à utiliser pour communiquer avec le serveur Enforce. S'il existe une seule interface réseau, laissez ce champ vide. |
bindPort | Définit le numéro de port sur lequel le serveur de détection doit accepter les connexions provenant du serveur Enforce. Le numéro de port par défaut est 8100. Si vous ne pouvez pas utiliser le port par défaut, vous pouvez définir un port supérieur au port 1024, compris dans la plage 1024 à 65535. |
discoverClusterRoleOption | Définit le type de serveur que vous installez, parmi les types suivants :
Si un nœud de travail est installé, CAP_NET_BIND_SERVICE est défini pour les processus Java pendant l'installation.Cette fonctionnalité est supprimée si le nœud de travail est désinstallé. |
discoverClusterIP | Définit l'adresse IP du nœud de données. Si vous installez le nœud de données, saisissez l'adresse IP interne du serveur sur lequel vous prévoyez de l'installer. |
discoverClusterDiscoveryPortRange | Utilisé avec l'adresse IP du cluster pour découvrir les nœuds de données dans un cluster. Ce paramètre est requis pour l'installation du nœud de données. La valeur par défaut est 47500..47520 . |
discoverClusterClientConnectionPortRange | Définit la plage des ports utilisés pour la communication entre les nœuds de travail et de données dans un cluster. Ce paramètre est requis pour l'installation des nœuds de travail et de données. La valeur par défaut est 10800..10820 . |
discoverClusterAuthPackage | Définit l'emplacement du package d'authentification. Ciblez le fichier en fonction du type de nœud que vous installez :
|
Les exemples suivants répertorient les commandes exécutées pour les nœuds de travail et de données. Les commandes que vous utilisez varient en fonction de vos exigences d'implémentation. L'utilisation des commandes suivantes en l'état peut entraîner l'échec de l'installation.
- Exemple de commande de nœud de données :./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=SymantecDLP -serviceUserUsername=protect -bindHost=[IP or host name]-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=DN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/opt/dlp_discover_cluster_datanode_auth.zip -discoverClusterClientConnectionPortRange=<StartPort>..<EndPort>-discoverClusterDiscoveryPortRange=<StartPort>..<EndPort>
- Exemple de commande de nœud de travail :
./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=ExistingUser -serviceUserUsername=protect -bindHost=[IP or host name]-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=WN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/home/bishnu/Desktop/dlp_discover_cluster_workernode_auth.zip -discoverClusterClientConnectionPortRange=<StartPort>..<EndPort>
- Accédez au répertoire d'installation. Accédez au répertoire par défaut sous/opt/Symantec/DataLossPrevention/DetectionServer/16.0.1.00000/Protect/installou au chemin utilisé si vous avez sélectionné une installation personnalisée.
- Exécutez l'utilitaire de configuration du serveur de détection. Utilisez la commande suivante pour lancer l'utilitaire : ../DetectionServerConfigurationUtility
- Dans l'utilitaire de configuration du serveur de détection, saisissez les informations suivantes :Contrat de licenceLisez et acceptez le contrat de licence en saisissant1.Répertoire JRESaisissez le répertoire JRE./opt/AdoptOpenJRE/est le répertoire recommandé.[JRE version]Chiffrement FIPSSélectionnez s'il faut désactiver ou activer le chiffrement FIPS.Service user (Utilisateur du service)Entrez1pour ajouter un nouvel utilisateur ou2pour utiliser un utilisateur existant.Le nouveau nom d'utilisateur par défaut est "SymantecDLP". Si vous créez un utilisateur de service, entrez le nom d'utilisateur lorsque vous y êtes invité.Si vous créez un utilisateur de service, l'utilisateur doit être membre d'un groupe du même nom. Si ces conditions ne sont pas satisfaites, les mises à niveau échouent.Port réseauAcceptez le numéro de port par défaut (8100) sur lequel le serveur de détection doit accepter les connexions provenant du serveur Enforce. Si vous ne pouvez pas utiliser le port par défaut, vous pouvez définir un port supérieur au port 1024, compris dans la plage 1024 à 65535.Interface réseauEntrez l'interface réseau du serveur de détection (adresse de liaison) à utiliser pour communiquer avec le serveur Enforce. S'il existe une seule interface réseau, laissez ce champ vide.Type de nœudChoisissez le type de serveur que vous installez parmi les types suivants :
- DNpour un nœud de données
- WNpour un nœud de travail
Adresse IP du nœud de donnéesSi vous installez le nœud de données, saisissez l'adresse IP du serveur sur lequel vous prévoyez de l'installer.Plage de ports de découverte du clusterNetwork DiscoverUtilisé avec l'adresse IP du cluster pour découvrir les nœuds de données dans un cluster.Ce paramètre est requis pour l'installation du nœud de données.La valeur par défaut est47500..47520.Plage de ports de connexion du client du clusterNetwork DiscoverDéfinit la plage des ports utilisés pour la communication entre les nœuds de travail et de données dans un cluster.Ce paramètre est requis pour l'installation des nœuds de travail et de données.La valeur par défaut est10800..10820.Package d'authentification du clusterDéfinissez l'emplacement du package d'authentification.Ciblez le fichier en fonction du type de nœud que vous installez :- Nœud de travail :dlp_discover_cluster_workernode_auth.zip
- Nœud de données :dlp_discover_cluster_datanode_auth.zip
- Vérifiez que le nœud est correctement installé.
- À l'issue de l'installation, créez une sauvegarde de votre système.