升级指南 › 升级服务器和端点组件 › 从 CA ControlMinder r8.0SP1 升级

从 CA ControlMinder r8.0SP1 升级

此方案的目的是说明从 CA ControlMinder r8.0SP1 升级所要遵循的步骤。本章中的升级过程假定 CA ControlMinder r8.0SP1 组件安装在独立计算机上。

本节中的信息适用于从事管理 CA ControlMinder 的系统或 CA ControlMinder 管理员。

下图说明完成从 CA ControlMinder r8.0SP1 升级的步骤：

下图说明完成从 CA Access Control r8.0SP1 升级的步骤：

重要说明！

先备份所有 CA ControlMinder 组件，然后开始升级过程。
自定义软件包以指定“eTrustAccessControl”路径。 r8 SP1 包在产品名称中有 eTrust，并因此安装到 eTrustAccessControl 子目录中。更新版本安装到 AccessControl 子目录。

通过执行以下步骤来升级现有的 CA ControlMinder r8.0SP1 部署：

准备企业管理服务器。
在安装企业管理服务器之前，通过安装和配置必备软件来使计算机做好准备。
安装 CA ControlMinder 企业管理。
从策略模型环境升级到高级策略管理环境。
升级 CA ControlMinder 端点：
- Windows - 使用产品资源管理器进行安装
- UNIX - 使用 install_base 脚本进行安装
注意：安装也会升级密码 PMD。
（可选）将 iRecorder product 迁移到 CA 用户活动报告。

注意：无法升级策略管理器。使用 CA ControlMinder 端点管理管理端点上的策略。

为企业管理准备中央数据库

CA ControlMinder 企业管理需要关系数据库管理系统 (RDBMS)。在安装 CA ControlMinder 企业管理之前，您进行设置。

可以通过两个选项将数据库设置为与 CA ControlMinder 企业管理一起使用：

使用 CA ControlMinder 提供的部署脚本预填充中央数据库。
数据库准备和 CA ControlMinder 企业管理安装是单独的。数据库管理员可以查看并控制 CA ControlMinder 对数据库所做的更改。
允许 CA ControlMinder 企业管理在安装期间准备中央数据库。
CA ControlMinder 企业管理安装作为安装过程的一部分填充数据库。

遵循这些步骤:

如果您没有中央数据库，请安装支持的 RDBMS 作为中央数据库。
注意：有关受支持的 RDBMS 软件列表，请参阅《版本说明》。
为 CA ControlMinder 企业管理配置 RDBMS：
确认可从本地和远程客户端访问此数据库。
- 对于 Oracle，请为中央数据库创建用户。
  该用户必须具有以下权限和设置：
  - CONNECT（授予以下系统权限：ALTER SESSION、CREATE CLUSTER、CREATE DATABASE LINK、CREATE SEQUENCE、CREATE SESSION、CREATE SYNONYM、CREATE TABLE、CREATE VIEW）
  - RESOURCE（授予以下系统权限：CREATE CLUSTER、CREATE INDEXTYPE、CREATE OPERATOR、CREATE PROCEDURE、CREATE SEQUENCE、CREATE TABLE、CREATE TRIGGER、CREATE TYPE）
  - 托管 CA ControlMinder 企业管理服务器的表空间上的无限制配额。
- 对于 SQL Server：
  - 创建新的不区分大小写的数据库。
    数据库必须使用排序顺序 SQL_Latin1_General_CP1_CI_AS。
  - 创建用户，使新的数据库成为用户的默认数据库，并且向用户分配下列权限：DBCREATOR、SYSADMIN
（可选）使用 CA ControlMinder 提供的部署脚本预填充中央数据库。
1. 在部署之前自定义部署脚本。
  部署脚本定义 CA ControlMinder 企业管理使用的四个默认用户帐户（superadmin、selfreguser、neteautoadmin、[default user]）。您可以更改这些默认帐户的名称和密码。
  
  重要说明！ 仅当计划使用嵌入式用户存储时，才需要自定义脚本。如果使用 Active Directory，CA ControlMinder 企业管理不会将帐户信息存储在中央数据库中。有关详细信息，请参阅《实施指南》。
2. 部署部署脚本。
3. 配置用于 CA ControlMinder 企业管理安装的数据库用户。
  - （对于 Oracle），针对您创建的用户，请保留 CONNECT 和 RESOURCE 角色。
  - （对于 SQL Server）请创建用户，选择您之前创建的数据库作为默认数据库，将用户映射到该数据库，并设置以下权限：CONNECT.SELECT、INSERT、DELETE、UPDATE、EXECUTE。

在 Windows 上安装 CA ControlMinder 企业管理

安装 CA ControlMinder 企业管理时，将会安装所有企业管理服务器组件。在安装 CA ControlMinder 企业管理之前，您必须准备企业管理服务器。

建议使用先决条件工具包安装程序来启动 CA ControlMinder 企业管理安装。该安装程序将会安装第三方必备软件，然后启动 CA ControlMinder 企业管理安装。

遵循这些步骤:

如果 JBoss 应用程序服务器正在运行，请将其停止。
如果在装有 CA ControlMinder 的计算机上安装 CA ControlMinder 企业管理，请停止 CA ControlMinder 服务。
将适用于 Windows 的 CA ControlMinder 服务器组件 DVD 插入光盘驱动器。
在“产品资源管理器”中展开“组件”文件夹，选择 CA ControlMinder 企业管理，然后单击“安装”。
将启动 InstallAnywhere 安装程序。
1. （可选）指定安装期间要使用的自定义 FIPS 密钥的完整路径名。
2. 打开命令提示符窗口，并在适用于 Windows 的 CA ControlMinder 服务器组件 DVD 上导航到 CA ControlMinder 企业管理安装可执行文件。该文件位于：
```
\EnterpriseMgmt\Disk1\InstData\NoVM
```
3. 使用以下参数运行 CA ControlMinder 企业管理安装可执行文件：
```
-DFIPS_KEY=full_pathname_to_FIPS_key
```
  例如：要使用位于 C:\tmp\FIPS.key 的自定义 FIPS 密钥进行安装，请执行以下操作：
```
E:\EnterpriseMgmt\Dis1\InstData\NoVM\install_EntM_r125.exe -DFIPS_KEY=C:\tmp\FIPSkey.dat
```
重要说明！ 如果安装 CA ControlMinder 企业管理 for High Availability，请在主要和次要企业管理服务器上指定相同的 FIPS 密钥。如果安装支持 FIPS 的 CA ControlMinder 企业管理 for High Availability，请指定自定义 FIPS 密钥。

将启动 InstallAnywhere 安装程序。
根据需要完成向导。以下安装输入没有自带说明：
Java 开发工具包 (JDK)

定义现有 JDK 的位置。

注意：如果在使用 CA ControlMinder 第三方组件 DVD 安装必备软件后立即启动 CA ControlMinder 企业管理安装，此向导页面将不会出现。安装实用程序将根据您在必备软件安装过程中提供的值配置本页面上的安装设置。

JBoss 应用程序服务器信息
定义要安装应用程序的 JBoss 例程。

要执行此操作，请定义以下内容：
- JBoss 文件夹，该文件夹是安装 JBoss 的顶级目录。
  例如：在 Windows 上为 C:\jboss-4.2.3.GA，在 Solaris 上为 /opt/jboss-4.2.3.GA。
- URL，这是您进行安装所在的计算机的 IP 地址或主机名。
- JBoss 使用的端口。
- JBoss 用于安全通讯 (HTTPS) 的端口。
- 命名端口号。
通讯密码

（仅主企业管理服务器）定义用于 CA ControlMinder 企业管理服务器组件之间通讯的密码。

注意：CA ControlMinder 企业管理使用通讯密码管理消息队列密钥存储和管理员帐户、处理 CA ControlMinder 企业管理与端点之间的通讯以及管理 Java 连接服务器。

数据库信息
定义 RDBMS 的连接详细信息：
- 数据库类型－指定支持的 RDBMS。
- 主机名－定义安装 RDBMS 的主机的名称。
- 端口号－定义指定的 RDBMS 所使用的端口。安装程序将为 RDBMS 提供默认端口。
- 服务名－(Oracle) 定义用于在系统中标识 RDBMS 的名称。例如：对于 Oracle Database 10g，默认为 orcl。
- 数据库名称－(MS SQL) 定义创建的数据库的名称。
- 用户名－定义准备数据库时创建的用户的名称。
  注意：在准备数据库时已向此用户授予了适当的数据库权限。
- 密码－定义在准备数据库时创建的用户的 RDBMS 密码。
安装程序先检查数据库的连接，然后再继续。
用户存储类型
定义 CA ControlMinder 企业管理使用的用户存储类型。选择以下选项之一：
- 嵌入式用户存储－CA ControlMinder 企业管理将用户信息存储在 RDBMS 中。
- Active Directory－在下一屏幕中指定连接详细信息。
- 其他用户存储－在 CA ControlMinder 企业管理安装完成后指定用户存储配置信息。
注意：要将登录授权策略部署至 UNAB，必须选择“Active Directory”或者“其他用户存储”作为用户存储。如果选择“Active Directory”或“其他用户存储”作为用户存储，将无法在 CA ControlMinder 企业管理中创建或删除用户和组。有关 UNAB 和 Active Directory 限制的详细信息，请参阅《企业管理指南》。
Active Directory 设置
定义 Active Directory 用户存储设置：
- 主机－定义 Active Directory 的域控制器主机名。
- 端口－定义默认情况下用于对 Active Directory 进行 LDAP 查询的端口，例如：389。
- 搜索根－定义搜索根，例如：ou=DomainName、DC=com。
  注意：在目录树中，请将“搜索根”设置为至少高于为“用户 DN”和“系统用户”指定的用户可分辨名称 (DN) 一个节点。否则，企业管理启动时可能不会显示任何选项卡。
- 用户 DN－定义用于管理 CA ControlMinder 企业管理的 Active Directory 用户帐户名称。例如：CN=Administrator、cn=Users、DC=DomainName、DC=Com。
  注意：此用户将发出针对 Active Directory 的 LDAP 查询。您可以选择为此参数定义具有只读权限的用户。但是，如果定义了具有只读权限的用户，将无法在 CA ControlMinder 企业管理中向用户分配管理角色或特权访问角色。而是由您修改每个角色的成员策略以指向 Active Directory 组。
- 密码－定义用于管理 CA ControlMinder 企业管理的 Active Directory 用户帐户的密码。
安装程序会先检查与 Active Directory 的连接，然后再继续。

注意：您可以使用 DSQUERY 目录查询实用程序发现用户可分辨名称（用户 DN）。您必须在 Active Directory 服务器上运行此查询。例如：
```
dsquery user -name administrator
"CN=Administrator,CN=Users,DC=lab.DC=demo"
```
系统用户

（仅适用于 Active Directory）定义 CA ControlMinder 企业管理中被分配了“系统管理员”管理角色的 Active Directory 用户的 DN。

示例：CN=SystemUser、ou=OrganizationalUnit、DC=DomainName、DC=Com

注意：默认情况下，具有“系统管理员”管理角色的用户可以在 CA ControlMinder 企业管理中执行、创建和管理所有任务。有关“系统管理员”管理角色的更多信息，请参阅《企业管理指南》。

管理员密码

（仅适用于嵌入式用户存储）定义超级管理员（即 CA ControlMinder 企业管理管理员）的密码。记录此密码，以便在安装完成时登录到 CA ControlMinder 企业管理。

注意：您可在此步骤中创建嵌入式用户存储中的超级管理员用户。在 CA ControlMinder 企业管理中，将为超级管理员用户分配“系统管理员”管理角色。您首次登录 CA ControlMinder 企业管理时便是以超级管理员身份登录的。有关“系统管理员”管理角色的更多信息，请参阅《企业管理指南》。
完成向导后，即已安装 CA ControlMinder 企业管理。重新启动计算机以完成 CA ControlMinder 企业管理安装。
选择“是，重新启动我的系统”，然后单击“完成”。
现在可以为企业配置 CA ControlMinder 企业管理。

使用产品资源管理器进行安装

通过 CA ControlMinder 产品资源管理器，您可以在 CA ControlMinder 的不同体系结构安装之间进行选择和安装运行时 SDK。产品资源管理器使用图形界面安装 CA Access Control 并提供交互反馈。

遵循这些步骤:

使用具有 Windows 管理权限的用户身份（即 Windows 管理员或 Windows Administrators 组成员）登录到 Windows 系统。
关闭 Windows 系统上正在运行的所有应用程序。
将 CA ControlMinder Endpoint Components for Windows DVD 插入光盘驱动器中。
如果已启用自动运行，产品资源管理器将自动显示。否则，请导航至光盘驱动器目录并双击 PRODUCTEXPLORERX86.EXE 文件。
从产品资源管理器的主菜单中，展开“组件”文件夹，选择“CA ControlMinder for Windows”(my_architecture)，然后单击“安装”。
您需要选择安装选项，该选项与正在安装的（32 位、64 位 x64 或 64 位 Itanium）计算机的体系结构相匹配。

“选择安装语言”窗口将会出现。
选择要安装的 CA ControlMinder 语言，然后单击“确定”。
CA ControlMinder 安装程序开始加载，稍后将显示“简介”屏幕。

注意：如果安装程序检测 CA ControlMinder 的现有安装，系统会提示您选择是否要升级 CA ControlMinder。
按照安装屏幕中的说明进行操作。
在安装过程中，安装程序将提示您提供信息。有关安装 CA ControlMinder 时所需要的信息，请参阅安装工作表。

安装程序将升级 CA ControlMinder。安装完成后，您需要选择立即重新启动 Windows 还是稍后重新启动。
选择“是，我希望立即重新启动计算机”，然后单击“确定”。
系统重新启动之后，您可以检查 CA ControlMinder 是否已正确安装。

注意：如果您选择稍后重新启动计算机，会有其他警告出现，提示您安装未完成，直到您重新启动计算机。某些 CA ControlMinder 功能（如登录截获）需要重新启动计算机后才能运行。

使用 install_base 脚本进行安装

您可以使用 install_base 脚本在任何支持的操作系上安装 CA ControlMinder。这是一个交互脚本，但您仍可以静默方式运行该脚本。

注意：运行 install_base 脚本之前，请确保您决定要安装哪个功能并查看 install_base 命令，以便了解如何启动此功能的安装。您也可以首先了解 install_base 脚本的工作原理。

遵循这些步骤:

如果您已安装 CA ControlMinder 且正在运行，那么通过以管理员身份登录并输入以下命令将其关闭：
```
ACInstallDir/bin/secons ‑sk
ACInstallDir/bin/SEOS_load -u
```
以根用户身份登录。
要安装 CA ControlMinder，您需要具有根权限。
挂接光盘驱动器运行 CA ControlMinder Endpoint Components for UNIX DVD。
重要说明！ 如果从光盘驱动器安装在 HP 上，您需要确保可以从 DVD 正常读取文件名。要防止文件名被强制缩短和全部‑处于大写格式，请输入 pfs_mountd & 和 pfsd & 命令，并确保调用以下四个后台进程：pfs_mountd、pfsd.rpc、pfs_mountd.rpc 和 pfsd。有关详细信息，请参阅有关特定 pfs* 后台进程和命令的手册页。
阅读该许可协议。
要运行 install_base 脚本，您需要接受最终用户许可协议。阅读许可协议之后，您可以通过在该文件结尾找到的命令继续安装。要获得许可文件名和位置，请运行 install_base -h。
运行 install_base 脚本。
install_base 脚本将启动，并根据您的选择提示您回答相应的安装问题。

注意：安装脚本发现适当的压缩 tar 文件，因此键入用于您的平台的 tar 文件名称为可选。

现在，CA ControlMinder 安装已完成；然而，尚未运行。

示例：使用静默安装升级到 CA ControlMinder r12.6SP1 for UNIX

本示例显示如何将现有的 CA ControlMinder r8.0SP1 端点升级到 CA ControlMinder r12.6SP1 for UNIX。本示例将使用可让您在端点上安装新功能的 parameters 文件来安装 CA ControlMinder。

查看 install_base 脚本命令。
使用 install_base 脚本以静默模式安装 CA ControlMinder r12.6SP1。有关详细信息，请参阅《实施指南》。
从 CA ControlMinder Endpoint Components for UNIX 介质上的 tar 压缩文件中提取 parameters 文件。该文件位于以下目录：
```
\Unix\Access-Control\
```
使用 install_base 脚本安装 CA ControlMinder。
使用 -autocfg 命令，并指定使用您自定义的 parameters 文件。

CA ControlMinder r12.6SP1 装有您所指定的选项。

示例：parameters 文件

通过 parameters 文件可以选择要添加到端点的软件组件。如果以本地安装模式安装 CA ControlMinder，请先自定义文件，然后开始安装。如果以交互模式安装 CA ControlMinder，则可以将安装参数提取到某个文件中，然后自定义安装参数。

以下是 parameters 文件中的一个片段：

#  Specifies whether you want to configure PUPM Agent 
#  Values: "yes", "no"
#  Default: "no"
INSTALL_PUPM="yes"

# Specifies whether  enables KBL audit records management
# Values: yes, no
# Default: no
ENABLE_KBL=yes

本示例通过 (INSTALL_PUPM=yes) 指定安装 SAM 集成，并通过 (ENABLE_KBL=yes) 启用端点上的键盘日志记录。

示例：安装客户端和服务器软件包和默认功能

以下命令显示出如何启动 install_base 交互式脚本，以便安装客户端和服务器软件包和所有的默认 CA ControlMinder 功能。在安装期间，会要求您回答与安装 CA ControlMinder 的客户端和服务器软件包的相关问题。

/dvdrom/Unix/Access‑Control/install_base

注意：因为我们没有指定要安装的软件包，install_base 命令既安装客户端，又安装服务器软件包。

示例：安装对自定义目录启用 STOP 的客户端软件包

以下命令显示如何启动 install_base 交互式脚本，以便将客户端软件包安装到 /opt/CA/AC 目录，并启用“堆栈溢出保护”选项。

/dvdrom/Unix/Access‑Control/install_base -client -stop  -d /opt/CA/AC