=====================================================
AJOUT AU README

Ce fichier contient des changements et des mises à jour supplémentaires au
fichier readme.txt livré avec Distributed Computing
Environment (DCE) pour Windows NT, Version 2.2.

=====================================================
Table des matières

A.1 Client IBM DCE pour OS/2
A.2 Limites d'Entrust/Entelligence
A.3 Configuration du serveur IDMS
A.4 Connexion PKC (Public Key Certificate) dotée des principaux DCE réservés
A.5 Changement dans le contrôle des tentatives de connexion
A.6 Contrôle de l'autorisation dépendant des noms
A.7 Commandes dcecp non prises en charge par le client Slim
A.8 Informations supplémentaires sur DCE pour Windows 95
A.9 Visualisation de la documentation en ligne directement à partir du CD.

=====================================================
A.1 Client IBM DCE pour OS/2
 Le Guide d'initiation mentionne à tort qu'IBM Distributed Computing
Environment Client including Distributed File System for OS/2 Warp, version
4.0 est inclus avec DCE pour Windows NT, version 2.2.

=====================================================
A.2 Limites d'Entrust/Entelligence

Lors des tests de la prise en charge de la connexion PKC (Public Key
Certificate), on se heurte aux limites suivantes :

* Sur des systèmes qui exécutent le serveur de sécurité DCE (secd) ou le
  serveur IDMS et Entrust ELI (etli40), seul l'adminsitrateur peut se
  connecter à DCE à l'aide de la connexion PKC. Vous pouvez contourner ce
  problème en désactivant ELI.

* Dans un environnement doté d'une forte activité de connexion
   simultanée, les serveurs de sécurité DCE peuvent recevoir des erreurs provenant
   d'Entrust lors du traitement des messages d'authentification. Les tentatives de
   connexion PKC n'aboutiront pas. Si la consignation du niveau NOTICE est
   activée dans le fichier de routage des services DCE avant le
   lancement de secd, les serveurs de sécurité DCE consigneront les erreurs
   Entrust dans le fichier notice.log. Le service d'assistance à la clientèle
   d'Entrust Technologies travaille actuellement sur les deux erreurs
   suivantes :

   1998-11-07-20:03:04.553-06:00I----- secd NOTICE pkc pkc_ent
   .\pkinit_cms_ent.c 231 0x01c1b418 msgID=0x05F5202D
   Entrust: .\pkinit_cms_ent.c(571), -4060

   1998-11-08-20:13:04.533-06:00I----- secd NOTICE pkc pkc_ent
   .\pkinit_cms_ent.c 231 0x01c1b418 msgID=0x05F5202D
   Entrust: .\pkinit_cms_ent.c(571), -483

  Ces erreurs ne concernent que les utilisateurs de la connexion PKC, les
  serveurs de sécurité DCE continuent de traiter les demandes non PKC. Pour
  éviter ces problèmes, relancez secd sur le serveur de sécurité dans lequel
  est consignée l'erreur.

* L'utilisation d'Entrust/Lite ou d'Entrust/PKI en "mode lite" avec la
  connexion PKC n'est pas prise en charge.

=====================================================
A.3 Configuration du serveur IDMS

Lors de la configuration d'un serveur de sécurité DCE afin de prendre en
charge la connexion de certificat de clé publique, vous devez configurer au
moins un serveur IDMS dans la cellule. Pour améliorer la performance, il
est recommandé de configurer un serveur IDMS sur chaque serveur de sécurité. Lors
de l'utilisation de DCEsetup, vous devez explicitement sélectionner
"Serveur IDMS". Cette configuration n'est pas automatique lorsque vous
sélectionnez "Connexion basée sur un certificat".

=====================================================
A.4 Connexion PKC dotée des principaux DCE réservés

Les principaux DCE réservés ne sont pas admis pour l'utilisation de la
connexion de certificat de clé publique. Dans DCE/NT 2.2, les
principaux dotés de l'ensemble d'indicateurs Reserved incluent :

* l'ID adminisitratif indiqué lors de la configuration de la cellule
* le principal krbtgt de la cellule et
* le principal self du système qui est le serveur de sécurité principal
  d'origine.

Il existe un effet secondaire à cette limite ; en effet, vous ne pouvez pas
fournir le nom d'un profil utilisateur Entrust en tant qu'id cell_admin lors
de la configuration DCE.

=====================================================
A.5 Changement dans le contrôle des tentatives de connexion

Dans les versions précédentes de DCE, si le mécanisme d'autorisation d'un
événement contrôlé ne dépendait que des noms, il n'était pas possible de
contrôler correctement l'événement lorsqu'un nom non admis (par exemple, une
chaîne qui n'est pas un nom de principal admis) était utilisé.

Dans cette édition, lorsqu'un événement ne dépendant que des noms pour des
raisons de sécurité (RPC autorisée dépendant des noms,
pré-authentification) est contrôlé et qu'il est doté d'un nom de principal
non DCE, cette opération s'effectuera correctement. Si le nom utilisé est
un nom de principal DCE admis, l'UUID du principal sera stocké dans
l'enregistrement du principal en tant qu'UUID client. Si le nom fourni
n'est pas admis, la valeur zéro sera attribuée à l'UUID client, le statut de
l'autorisation sera rpc_c_authz_name (affiché dans la zone "Autorisé avec un
nom" par la liste de contrôle dce_aud_print() et dcecp) et le nom sera stocké
en tant qu'élément spécifique au premier événement dans l'enregistrement de
contrôle.

Il ne s'agit pas du comportement par défaut pour les autorisations dépendant
des noms mais il a été activé pour les événements AS_Request, TGS_TicketReq,
TGS_RenewReq et TGS_ValidateReq.

Exemples :

* Un utilisateur se connecte avec dce_login et un principal non DCE donnant
   un mot de passe de protocole tierce incorrect. L'enregistrement de
   contrôle de cet événement (AS_Request 0x101) contient : une sortie
   d'erreur, un statut d'autorisation de rpc_c_authz_name, un UUID client nul et
   le seul élément spécifique à l'événement sera la chaîne donnée par
   l'utilisateur en tant que principal à dce_login.

* Un utilisateur se connecte en utilisant dce_login et un principal DCE
   admis, donnant un mot de passe de protocole tierce incorrect. L'enregistrement
   de contrôle de cet événement (AS_Request
   0x101) contiendra : une sortie de démenti, un statut d'autorisation de
   rpc_c_authz_name et un UUID client qui identifie le nom de principal attribué
   à dce_login.

* Un utilisateur se connecte en utilisant dce_login et le nom d'un profil
  utilisateur Entrust, donnant un mot de passe composé Entrust pour ce profil. L'enregistrement
  de contrôle contiendra une sortie de démenti et un statut d'autorisation de
  rpc_c_authz_name. Si le nom de profil Entrust ne correspond pas à un nom de
  principal admis, l'UUID client ne comportera que des zéros et le nom de
  profil (attribué à dce_login) sera le seul élément spécifique à
  l'événement dans l'enregistrement de contrôle.

* Un utilisateur se connecte en utilisant dce_login et le nom d'un profil
   utilisateur Entrust, donnant le mot de passe composé Entrust pour ce
   profil. L'enregistrement de contrôle de cet événement (AS_Request
   0x101) contiendra une sortie de succès et un statut d'autorisation de
   rpc_c_authz_name. Si le nom de profil Entrust ne correspond pas à un
   nom de principal DCE admis, l'UUID client ne comportera que des zéros et
   le nom de profil attribué à dce_login sera le seul élément spécifique à
   l'événement dans l'enregistrement de contrôle.

Le nom stocké dans l'enregistrement de contrôle correspond au nom fourni par
l'utilisateur lors de la tentative de connexion. Si ce nom est un nom de
principal DCE admis, alors l'UUID du principal sera stocké. Dans le cas
contraire, le nom apparaîtra dans les informations spécifiques à
l'événement. Avec la connexion PKC, si le nom de profil utilisateur Entrust
est identique à un nom de principal DCE, l'UUID de ce principal sera stocké
en tant qu'UUID client dans l'enregistrement de contrôle et il n'y aura pas
d'informations spécifiques à l'événement.

=====================================================
A.6 Contrôle de l'autorisation dépendant des noms

Les développeurs d'applications qui contrôlent les événements
utilisant des autorisations dépendantes des noms doivent remarquer
que le stockage d'un nom non DCE en tant qu'élément spécifique au
premier événement ne constitue pas le comportement par défaut.

Vous pouvez contrôler de deux façons les événements autorisés
dépendants des noms. Si le client a effectué un appel RPC dépendant des
noms, le serveur sera doté d'un descripteur de liaison ayant le nom utilisé
par le client. Ce descripteur doit être attribué à dce_aud_start(). Si
l'événement ne possède pas de descripteur de liaison mais comporte
un nom identifiant le client, ce nom doit être attribué à
dce_aud_start_with_name() en tant que paramètre "client".

Pour vous assurer que le nom attribué à dce_aud_start*() est placé dans
l'enregistrement de contrôle, transmettez un indicateur d'octet aux
programmes dce_aud_start routines dans le paramètre "options". Un nouvel
indicateur d'octet a été défini dans audit.h, appelé aud_c_evt_save_nondce_names.
Si cet indicateur est transmis à une des fonctions dce_aud_start, un nom non
DCE sera stocké dans l'enregistrement de contrôle en tant qu'élément
spécifique à l'événement.

*=====================================================
A.7 Comandes dcecp non prises en charge par le client Slim

Les commandes dcecp suivantes ne sont pas prises en charge par le client
Slim :

 aud disable
 aud enable
 aud help
 aud modify
 aud operations
 aud rewind
 aud show
 aud stop

 audevents catalog
 audevents help
 audevents operations
 audevents show
 audevents catalog

 audfilter catalog
 audfilter create
 audfilter delete
 audfilter help
 audfilter modify
 audfilter operations
 audfilter show

 audtrail help
 audtrail operations
 audtrail show

 ems
 emsconsumer
 emsevent
 emslog

 hostdata create
 hostdata delete
 hostdata help
 hostdata modify
 hostdata operations
 hostdata show

 keytab add
 keytab catalog
 keytab create
 keytab delete
 keytab help
 keytab list
 keytab operations
 keytab remove
 keytab show

 server catalog
 server create
 server delete
 server disable
 server enable
 server help
 server modify
 server operations
 server ping
 server show
 server start
 server stop
=====================================================
A.8 Informations supplémentaires sur DCE pour Windows 95

Un CD intitulé IBM Distributed Computing Environment ADK and
Runtime Services pour Windows 95 est fourni avec le produit
DCE pour Windows NT, version 2.2. Il n'est pas fourni avec les coffrets
contenant soit DCE Runtime Services and ADK pour Windows NT soit DCE Runtime
Services pour Windows NT séparément.

Le fichier readme (readme.txt) de DCE pour Windows 95 se trouve dans le
répertoire racine (\) de ce CD.

Pour installer DCE Runtime Services et DCE Application
Development Kit pour Windows 95 :

1.  Insérez le CD intitulé IBM Distributed Computing
    Environment ADK and Runtime Services pour Windows 95
    dans le lecteur de CD-ROM. Après quelques instants, la fenêtre de
    bienvenue s'affiche.
2.  Après avoir lu les informations, cliquez sur SUIVANT pour continuer.
3.  Dans la fenêtre Sélection des composants, sélectionnez les composants à
    installer.

    REMARQUE : DCE Runtime Services doit être installé. Il s'agit d'un
    élément indispensable à l'installation des autres composants.

4.  Le répertoire de destination par défaut est C:\PROGRAM FILES\DCE. Pour
    choisir un autre lecteur ou un autre répertoire, cliquez sur PARCOURIR. Cliquez
    sur SUIVANT pour continuer.

5.  Dans la fenêtre des conventions culturelles, sélectionnez une convention
    culturelle. Cliquez sur SUIVANT pour continuer.

6.  Dans la fenêtre Copie de fichiers, lisez les informations
    d'installation. Si vous voulez apporter des changements aux paramètres,
    cliquez sur Précédent. Sinon, cliquez sur SUIVANT pour lancer le
    processus de copie de fichiers sur votre disque dur.

7.  La fenêtre de configuration comportant l'indicateur de progression
    s'affiche. L'installation est terminée lorsque la fenêtre IBM Software
    Registration Tool s'affiche. Cliquez sur SUIVANT pour achever le
    processus d'enregistrement du logiciel.

8.  Après l'enregistrement du logiciel, une question s'affiche demandant si
    vous voulez visualiser le fichier readme en ligne. Cliquez sur OUI pour
    l'afficher et sur NON dans le cas contraire.
    REMARQUE : L'affichage du fichier readme en ligne est facultatif.
    Il est vivement recommandé de le lire étant donné qu'il contient les
    changements de dernière minute qui ne sont répertoriés que dans ce
    document.
9.  Après avoir fermé le fichier readme en ligne (ou si avez décidé de ne pas
    le lire), la fenêtre de fin d'installation s'affiche. Un message vous
    demande si vous voulez relancer le système. Faites votre choix puis
    cliquez sur FIN.

    REMARQUE : DCE Runtime Services pour Windows 95 modifie la configuration
    système. Si vous choisissez de ne pas relancer le système à ce moment
    là, vous devrez effectuer cette opération ultérieurement afin que les
    changements DCE soient effectifs.

Après la procédure d'installation, vous devez configurer les services DCE
sur votre système. Pour configurer les services DCE sous Windows 95 :

1.  Cliquez sur DEMARRER, pointez sur PROGRAMME, cliquez sur DCE POUR WINDOWS
    95 puis sur l'icône DCESETUP.
2.  Cliquez sur le menu CONFIGURER puis sur une des options de configuration.

=====================================================
A.9 Visualisation de la documentation en ligne directement à partir du CD.
Lorsque la documentation en ligne n'est pas installée (par exemple le coffret
du client Slim) ou si avez choisi de ne pas installer la documentation
en ligne, vous pouvez la visualiser directement à partir du CD inititulé IBM
Distributed Computing Environment (DCE) pour Windows NT. Les fichiers d'aide de la documentation se
trouvent à l'emplacement suivant :
   x:\language\documentation\

   où

   x correspond au lecteur du CDROM

   language correspond à la langue dans laquelle s'affiche la documentation. Par
   exemple : g:\English\documentation\