home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / lou / sun / 336 < prev    next >
Encoding:
Text File  |  1992-12-31  |  10.0 KB  |  253 lines
  1. Newsgroups: lou.sun
  2. Path: sparky!uunet!europa.asd.contel.com!darwin.sura.net!tulane!daemon
  3. From: daemon@cs.tulane.edu ()
  4.     id AA22498; Wed, 30 Dec 92 22: 25:14 PST
  5. Subject: 48.15 SunFlash: SunSHIELD ARM: Questions & Answers
  6. Original-Message-Id: <9212310624.AA20243@sunvice.East.Sun.COM>
  7. Message-ID: <1992Dec31.062818.5721@cs.tulane.edu>
  8. Precedence: junk
  9. Sender: news@cs.tulane.edu
  10. Reply-To: <owner-sunflash@housun.Central.Sun.COM>
  11. Organization: Computer Science Dept., Tulane Univ., New Orleans, LA
  12. Errors-To: <owner-sunflash@housun.Central.Sun.COM>
  13. Distribution: lou
  14. Date: Thu, 31 Dec 1992 07:24:41 GMT
  15. Return-Path: <owner-sunflash@housun.Central.sun.com>
  16. Approved: tulane
  17. Content-Length: 9533
  18. Nntp-Posting-Host-[nntpd-5705]: rex
  19. Lines: 232
  20.  
  21. ----------------------------------------------------------------------------
  22.                                                         The Florida SunFlash
  23.  
  24.                    SunSHIELD ARM: Questions & Answers
  25.  
  26. SunFLASH Vol 48 #15                           December 1992 
  27. ----------------------------------------------------------------------------
  28. The following is an internal memo written for the Sun field sales force.
  29. -johnj
  30. ----------------------------------------------------------------------------
  31.  
  32. This memo, which is in Q&A format, positions Sun SHIELD Account
  33. Resource Management (ARM).  SunSoft and SMCC Marketing have provided
  34. this to assist our sales force in planning the most efficient use of
  35. ARM with their customers.  We also wanted to reiterate the fact that
  36. SunSoft is committed to providing security functionality within its
  37. Solaris environment - as demonstrated by SunSoft FREELY supplying Sun
  38. SHIELD Automated Security Enhancement Tool (ASET) as part of Solaris
  39. 2.0.
  40.  
  41. We hope this memo is useful in planning your use of ARM now and in
  42. the future.
  43.  
  44. Regards,
  45. The SMCC Security Team
  46.  
  47. --------------------------------------------------------------------
  48.  
  49. FROM: SunSoft and SMCC Product Marketing
  50. RE:   Positioning ARM: Questions & Answers
  51. DATE: October, 1992
  52.  
  53. SunSHIELD ARM is an unbundled security product released on Solaris 1.0 in
  54. September 1991.  To date, Sun has sold many copies of ARM to
  55. security conscious customers.  The purpose of this document is to
  56. clarify ARM product positioning and to answer your most frequently
  57. asked questions about the intended use of ARM and target environments.
  58.  
  59.  
  60.                                  TOPICS
  61.  
  62.                 ** Availability On Solaris Releases  **
  63.                      ** Supported Configurations **
  64.                         ** Configuration Tips **
  65.                           ** Compatibility **
  66.                           ** ARM Directions **
  67.  
  68.  
  69.  
  70. ** Availability On Solaris Releases  **
  71.  
  72. Q. Why should we care about ARM?
  73.  
  74. A. ARM enhances Solaris security to provide account login protection and
  75.    access control.  Security conscious customers need the password management
  76.    and access control features provided by ARM.
  77.  
  78. Q. What Solaris releases support ARM?
  79.  
  80. A. ARM (combined with ASET) is an unbundled software package available on
  81.    Solaris 1.0 (SunOS 4.1.1).  ARM has been release tested on Solaris 1.0
  82.    release only.  It works on Solaris 1.0.1 (SunOS 4.1.2) with the
  83.    patch available on the SunOS 4.1.2 CD.  Read the Release Notes for the
  84.    Solaris/SunOS releases for patch information.
  85.  
  86. Q. When are ARM and ASET available on Solaris 2.x?
  87.  
  88. A. ASET is already bundled in Solaris 2.0.  SunSoft is targeting a 
  89.    Solaris 2.x ARM release in CY 1993.
  90.  
  91.  
  92.  
  93.  
  94. ** Supported Configurations **
  95.  
  96.  
  97. Q. Is there a maximum supported configuration?
  98.  
  99. A. Yes.  ARM was designed for use in small workgroups.  The current release
  100.    is intended for use in ARM domains that do not exceed 20-30 systems and
  101.    about 100 users, depending on the application environment. We urge that
  102.    you recommend to customers that they restrict the size of their ARM
  103.    domains to be within these limits.
  104.  
  105. Q. Why do you recommend such a configuration limit for the ARM domain?
  106.  
  107. A. ARM login could slow down considerably (could take several minutes) when
  108.    ARM is deployed in large domains of several hundred users who could login
  109.    to their systems simultaneously.  The internal design of ARM is not suited
  110.    for optimum performance in such a large scale deployment.
  111.  
  112. Q. Is the configuration limit enforced by the current ARM product?
  113.  
  114. A. No.  ARM does not currently check the attempted use of the product in
  115.    large configurations.  Because the limitation really depends on specific
  116.    usage characteristics in customer environments, SunSoft did not hard code
  117.    such a limit or state it in the ARM documentation.
  118.  
  119.  
  120.  
  121. ** Configuration Tips **
  122.  
  123.  
  124. Q. Anything we should know about installing ARM?
  125.  
  126. A. Read the Release Notes first!  These notes identify some of the problems
  127.    you might run into when installing ARM and the recovery procedures.  
  128.  
  129. Q. For best performance, where should I run the ARM server?
  130.  
  131. A. You should run the ARM server on the most powerful system you have,
  132.    with lots of memory and disk.  We recommend a minimum system spec
  133.    of a SPARCstation 2 with 32 MB memory and 424 MB disk.
  134.  
  135.    Make sure that 20 MB disk space is available in /var where the armd_*
  136.    files reside.  These files could also be moved to a separate (20 MB)
  137.    directory by configuring armd policy.
  138.  
  139.    The ARM server is very much CPU and network (RPC) intensive, so make sure
  140.    that you are NOT running another network intensive application on the
  141.    ARM server (e.g. Database application, NIS server, or a distributed
  142.    application that does a lot of rsh, rcp, or RPC).
  143.  
  144. Q. What is the performance impact of site usage patterns on ARM?
  145.  
  146. A. ARM extensively uses RPC internally.  Simultaneous logins by large numbers
  147.    (several hundreds) of users seriously impacts ARM performance.  The impact
  148.    is much less severe if the logins are distributed over a few minutes.
  149.  
  150. Q. What are the usage pitfalls and 'gotchas' to avoid?
  151.  
  152. A. Avoid cron jobs or scripts that do large amounts of remote execution
  153.    with rsh to avoid degrading an ARM environment.  The scripts could
  154.    be changed to use rexec.  Another workaround is to limit the number of
  155.    remote commands executed in the script to less than 10 per minute.
  156.  
  157. Q. What is your recommendation for large sites?
  158.  
  159. A. Large sites that want to use ARM should break down the site into workgroups 
  160.    and set up separate ARM domains for workgroups, limiting  the size of a
  161.    domain to 20-30 systems and/or 100 users. Large sites should also restrict
  162.    the use of large amounts of rsh and rcp in ARM environments.
  163.  
  164.    
  165.  
  166. ** Compatibility **
  167.  
  168.  
  169. Q. Is ARM compatible with C2 security?
  170.  
  171. A. Yes.  ARM and C2 can be used together.  If you are installing a C2 security
  172.    patch, follow the directions for the patch to make sure that the system
  173.    files provided in ARM (e.g. login, su) are not overwritten by the patch.
  174.    ARM should be installed before the C2 patch is installed.
  175.  
  176. Q. Is ARM compatible with NIS?
  177.  
  178. A. Yes.  ARM domains can be defined within NIS domains.  However, ARM does
  179.    not work across different NIS domains.
  180.  
  181. Q. Does ARM password aging work across NIS domains?
  182.  
  183. A. No.  ARM password aging works within the ARM domain, which can be defined
  184.    within a NIS domain.  Thus the ARM password aging works across all the
  185.    hosts in the ARM domain, unlike SunOS or SVr4 password aging that works
  186.    only for a single host or server.
  187.  
  188. Q. Does ARM work with Secure RPC?
  189.  
  190. A. Yes.  We recommend that you configure ARM to use Secure RPC for added
  191.    network security.  However, you should bear in mind that ARM extensively
  192.    uses RPC, and Secure RPC could slow you down in large configurations.
  193.    Also, Secure RPC in Solaris 1.x does not work across NIS domains.
  194.    This is fixed with NIS+ in Solaris 2.0 and the Solaris 2.x release of
  195.    ARM will benefit from it.
  196.  
  197.  
  198.  
  199. ** ARM Directions ** 
  200.  
  201.  
  202. Q. Will ARM be unbundled or bundled in Solaris 2.x?
  203.  
  204. A. Our current goal is to bundle ARM in a future Solaris release.
  205.    ARM may be available unbundled prior to being part of Solaris.
  206.      
  207. Q. Is there a third party alternative to ARM for Solaris?
  208.  
  209. A. Currently ARM is it.  Similar security features can be found in 
  210.    Computer Associates' CA-UNICENTER product being ported to Solaris.
  211.  
  212. Q. How does ARM fit into SunSoft's Federated Security plans?
  213.  
  214. A. SunSoft announced Federated Security as a part of Federated Services
  215.    in their ONC+ announcement.  They announced their plans for pluggable RPC
  216.    authentication and generic security services.  They are planning to
  217.    fit ARM into a pluggable authentication model in a future release.
  218.  
  219. Q. When will the ARM performance/scalability limitations go away?
  220.  
  221. A. SunSoft is aware of the need to make ARM functionality scale better for 
  222.    deployment in large sites.  Commercial customers like ARM's functionality, 
  223.    but they want it to be more robust and scalable.  To meet this 
  224.    expectation, a total redesign of the ARM product is needed.  Currently, 
  225.    there is a plan to do this redesign in order to meet the needs 
  226.    of our customers in CY 1993.
  227.    
  228. Q. When will you add capability to configure a secondary policy/status
  229.    server within an ARM Domain for robustness and resilience?
  230.  
  231. A. Presently when the master ARM policy/status server goes down, users
  232.    within the ARM domain are not able to login to any machine in the network.
  233.    Solving this problem involves a major redesign and enhancement for ARM.
  234.    SunSoft is planning fix this in the future ARM release.
  235.  
  236.  
  237. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  238. For information send mail to info-sunflash@Sun.COM.
  239. Subscription requests should be sent to sunflash-request@Sun.COM.
  240. Archives are on solar.nova.edu, paris.cs.miami.edu, uunet.uu.net,
  241. src.doc.ic.ac.uk and ftp.adelaide.edu.au
  242.  
  243. All prices, availability, and other statements relating to Sun or third
  244. party products are valid in the U.S. only. Please contact your local
  245. Sales Representative for details of pricing and product availability in
  246. your region. Descriptions of, or references to products or publications
  247. within SunFlash does not imply an endorsement of that product or
  248. publication by Sun Microsystems.
  249.  
  250. John McLaughlin, SunFlash editor, flash@Sun.COM. (305) 776-7770.
  251.  
  252. TRACE: To: sunflash@housun.Central Errors-to: owner-sunflash@housun.Central.sun.com
  253.