=====================================================
ERGÄNZUNGEN DER README-DATEI

Diese Datei enthält Änderungen und Aktualisierungen der Readme-Datei, die
mit Distributed Computing Environment (DCE) für Windows NT, Version 2.2
ausgeliefert wurde.


=====================================================
Inhalt

A.1 IBM DCE Client for OS/2
A.2 Einschränkungen von Entrust/Entelligence
A.3 Konfiguration des Identitätszuordnungs-Servers
A.4 PKC-Anmeldung (PKC = Zertifikat für öffentliche Schlüssel) mit
    reservierten DCE-Principals
A.5 Änderung bei der Protokollierung von Anmeldeversuchen
A.6 Protokollierung von Berechtigungen auf Namensbasis
A.7 Von Slim Client nicht unterstützte dcecp-Befehle
A.8 Weitere Informationen zu DCE für Windows 95
A.9 Direkte Anzeige der Online-Dokumentation von der CD aus


=====================================================
A.1 IBM DCE Client for OS/2

Im Handbuch 'Einstieg in DCE' wird fälschlicherweise angegeben,
daß im Lieferumfang von DCE für Windows NT, Version 2.2. auch der IBM
Distributed Computing Environment Client einschließlich des Distributed
File System for OS/2 Warp, Version 4.0 enthalten ist.


=====================================================
A.2 Einschränkungen von Entrust/Entelligence

Beim Test der Unterstützung für die PKC-Anmeldung (PKC = Public Key
Certificate; Zertifikat für öffentliche Schlüssel) wurden folgende
Einschränkungen von Entrust/Entelligence festgestellt:

* Auf Systemen, die den DCE Security Server (Sicherheits-Server - secd)
   oder Identity Mapping Server (Identitätszuordnungs-Server - idmsd) und
   Entrust ELI (etli40) ausführen, kann sich nur der NT-Administrator mit
   der PKC-Anmeldung an DCE anmelden. Dieses Problem kann durch Inaktivieren
   von ELI umgangen werden.

* In einer Umgebung mit vielen gleichzeitigen Anmeldungen ist es
   möglich, daß die DCE-Sicherheits-Server bei der Verarbeitung der
   Authentifizierungsnachrichten Fehlernachrichten von Entrust empfangen.
   Hierdurch schlagen die PKC-Anmeldeversuche fehl. Wurde die
   Protokollierung auf der Stufe 'Notice' (Benachrichtigung) in der
   Routing-Datei für DCE Serviceability (Wartung) aktiviert, bevor 'secd'
   gestartet wurde, werden die Entrust-Fehlernachrichten von den
   DCE-Sicherheits-Servern in der Datei 'notice.log' protokolliert.
   Die folgenden beiden Fehler werden momentan von der
   Kundenunterstützung von Entrust Technologies untersucht:

   1998-11-07-20:03:04.553-06:00I----- secd NOTICE pkc pkc_ent
   .\pkinit_cms_ent.c 231 0x01c1b418 msgID=0x05F5202D
   Entrust: .\pkinit_cms_ent.c(571), -4060

   1998-11-08-20:13:04.533-06:00I----- secd NOTICE pkc pkc_ent
   .\pkinit_cms_ent.c 231 0x01c1b418 msgID=0x05F5202D
   Entrust: .\pkinit_cms_ent.c(571), -483

   Diese Fehler betreffen nur Benutzer der PKC-Anmeldung; die
   DCE-Sicherheits-Server verarbeiten weiterhin Anforderungen, ohne
   PKC. Um diese Probleme zu umgehen, müssen Sie 'secd' auf dem
   Sicherheits-Server, auf dem der Fehler protokolliert wurde,
   neu starten.

* Die Verwendung von Entrust/Lite oder der Entrust/PKI im "lite mode"
   (Modus mit eingeschränktem Funktionsumfang) mit der PKI-Anmeldung
   wird nicht unterstützt.


=====================================================
A.3 Konfiguration des Identitätszuordnungs-Servers

Wird ein DCE-Sicherheits-Server für die Unterstützung der PKC-Anmeldung
konfiguriert (PKC = Public Key Certificate; Zertifikat für öffentliche
Schlüssel), muß mindestens ein Identity Mapping Server
(Identitätszuordnungs-Server - IDMS) in der Zelle konfiguriert werden.
Zur Verbesserung der Leistung wird empfohlen, auf jedem Sicherheits-Server
einen IDMS zu konfigurieren. Wenn Sie DCEsetup verwenden, müssen Sie die
Option "Identitätszuordnungs-Server" explizit auswählen; sie wird nicht
automatisch konfiguriert, wenn Sie die Option "Zertifikatgestützte
Anmeldung" auswählen.


=====================================================
A.4 PKC-Anmeldung (PKC = Zertifikat für öffentliche Schlüssel) mit
    reservierten DCE-Principals

Reservierte DCE-Principals dürfen die PKC-Anmeldung nicht verwenden.
In DCE/NT 2.2 ist für folgende Principals die Markierung 'Reserviert'
gesetzt:

* Die Administrator-ID, die bei der ersten Konfiguration der Zelle angegeben
    wurde
* Der 'krbtgt'-Principal für die Zelle
* Der Eigen-Principal für das System; dies ist der ursprüngliche
    Master-Sicherheits-Server.

Eine Folge dieser Einschränkung ist, daß während der DCE-Konfiguration der
Name eines Entrust-Benutzerprofils nicht als cell_admin-ID angegeben
werden kann.


=====================================================
A.5 Änderung bei der Protokollierung von Anmeldeversuchen

Wenn der Berechtigungsmechanismus für ein überprüftes Ereignis in
früheren Versionen von DCE ausschließlich auf Namen basierte, so wurde ein
Ereignis nicht korrekt überprüft, wenn ein ungültiger Name (d. h. eine
Zeichenfolge, die kein gültiger DCE-Principal-Name war) verwendet wurde.

Wird in diesem Release ein Ereignis, dessen Sicherheit nur auf Namen
basiert (namensgestützter berechtigter RPC, Vorauthentifizierung)
überprüft, wird die Prüfung korrekt ausgeführt, auch wenn kein gültiger
DCE-Principal-Name verwendet, wurde.
Ist der verwendete Name eine gültiger DCE-Principal-Name, wird die UUID
des Principals im Prüfsatz unter dem Eintrag "Client-UUID" gespeichert.
Ist der verwendete Name nicht gültig, wird die Client-UUID auf Null
gesetzt, der Berechtigungsstatus als 'rpc_c_authz_name' festgelegt, (von
'dce_aud_print()' und 'dcecp audtrail show' angezeigt als "Berechtigt mit
Name") und der Name als erstes ereignisspezifisches Element im Prüfsatz
gespeichert.

Dies ist nicht das standardmäßige Verhalten für die namensgestützte
Berechtigung, wurde jedoch für die Ereignisse AS_Request, TGS_TicketReq,
TGS_RenewReq und TGS_ValidateReq aktiviert.

Beispiele:

* Ein Benutzer meldet sich über dce_login und einen Nicht-DCE-Principal an
   und gibt ein falsches Kennwort für ein anderes Protokoll an.
   Der Prüfsatz für dieses Ereignis (AS_Request 0x101) enthält in diesem
   Fall folgendes: Das Ergebnis 'Fehlschlag', den Berechtigungsstatus
   'rpc_c_authz_name', eine Client-UUID von Null, und als einziges
   ereignisspezifisches Element die Zeichenfolge, die der Benutzer als
   Principal für die Operation 'dce_login' angegeben hat.

* Ein Benutzer meldet sich über dce_login und einen gültigen DCE-Principal an
   und gibt ein falsches Kennwort für ein anderes Protokoll an. Der
   Prüfsatz für dieses Ereignis (AS_Request 0x101) enthält in diesem Fall
   folgendes: Das Ergebnis 'Zurückgewiesen', den Berechtigungsstatus
   'rpc_c_authz_name' und eine Client-UUID, die den an 'dce_login'
   übergebenen Principal-Namen identifiziert.

* Ein Benutzer meldet sich über dce_login mit dem Namen eines
   Entrust-Benutzerprofils an und und gibt ein falsches Entrust-Kennwort für
   dieses Profil an. Der Prüfsatz enthält in diesem Fall folgendes: Das
   Ergebnis 'Zurückgewiesen' und den Berechtigungsstatus 'rpc_c_authz_name'.
   Stimmt der Name des Entrust-Profils nicht mit einem gültigen
   DCE-Principal-Namen überein, wird die Client-UUID auf Null
   gesetzt und der an 'dce_login' übergebene Profilname als
   einziges ereignisspezifisches Element im Prüfsatz gespeichert.

* Ein Benutzer meldet sich über dce_login mit dem Namen eines
   Entrust-Benutzerprofils an und und gibt das korrekte Entrust-Kennwort
   für dieses Profil an. Der Prüfsatz für dieses Ereignis (AS_Request
   0x101) enthält in diesem Fall folgendes: Das Ergebnis 'Erfolg' und den
   Berechtigungsstatus 'rpc_c_authz_name'. Stimmt der Name des
   Entrust-Profils nicht mit einem gültigen DCE-Principal-Namen überein,
   wird die Client-UUID auf Null gesetzt und der an 'dce_login' übergebene
   Profilname als einziges ereignisspezifisches Element im Prüfsatz
   gespeichert.

Der im Prüfsatz gespeicherte Name ist Name, der vom Benutzer bei der
Anmeldung angegeben wurde. Ist der Name gleichzeitig ein gültiger
DCE-Principal-Name, wird die UUID des Principals gespeichert.
Andernfalls wird der Name in den ereignisspezifischen Informationen
angezeigt. Ist bei der PKI-Anmeldung der Name des Entrust-Benutzerprofils
identisch mit einem beliebigen DCE-Principal-Namen, wird die UUID für
diesen Principal im Prüfsatz als Client-UUID gespeichert, und es werden
keine ereignisspezifischen Daten aufgezeichnet.


=====================================================
A.6 Protokollierung von Berechtigungen auf Namensbasis

Anwendungsentwickler, die Ereignisse überprüfen, die eine
namensgestützte Berechtigung verwenden, sollten beachten, daß die
Speicherung eines Nicht-DCE-Namens als erstes ereignisspezifisches
Element nicht das standardmäßige Verhalten ist.

Ereignisse mit namensgestützter Berechtigung können auf zwei Arten geprüft
werden. Hat der Client einen namensgestützten RPC-Aufruf ausgeführt,
verfügt der Server über eine Bindungskennung, die den Namen hat, der vom
Client verwendet wurde. Diese Kennung sollte an 'dce_aud_start()'
übergeben werden. Verfügt das Ereignis nicht über eine Bindungskennung,
jedoch über einen Namen für den Client, sollte dieser Name als Parameter
"Client" an 'dce_aud_start_with_name()' übergeben werden.

Um sicherzustellen, daß der an 'dce_aud_start*()' übergebene Name im
Prüfsatz gespeichert wird, sollten Sie im Parameter "Options" eine weitere
Bitmarkierung an die 'dce_aud_start'-Routinen übergeben. In 'audit.h'
wurde eine neue Bitmarkierung mit dem Namen 'aud_c_evt_save_nondce_names'
definiert. Wird diese Markierung an eine der 'dce_aud_start'-Funktionen
übergeben, wird ein Nicht-DCE-Name als erstes ereignisspezifisches Element
im Prüfsatz gespeichert.


=====================================================
A.7 Von Slim Client nicht unterstützte dcecp-Befehle

Die folgenden dcecp-Befehle werden von Slim Client nicht
unterstützt:

 aud disable
 aud enable
 aud help
 aud modify
 aud operations
 aud rewind
 aud show
 aud stop

 audevents catalog
 audevents help
 audevents operations
 audevents show
 audevents catalog

 audfilter catalog
 audfilter create
 audfilter delete
 audfilter help
 audfilter modify
 audfilter operations
 audfilter show

 audtrail help
 audtrail operations
 audtrail show

 ems
 emsconsumer
 emsevent
 emslog

 hostdata create
 hostdata delete
 hostdata help
 hostdata modify
 hostdata operations
 hostdata show

 keytab add
 keytab catalog
 keytab create
 keytab delete
 keytab help
 keytab list
 keytab operations
 keytab remove
 keytab show

 server catalog
 server create
 server delete
 server disable
 server enable
 server help
 server modify
 server operations
 server ping
 server show
 server start
 server stop


=====================================================
A.8 Weitere Informationen zu DCE für Windows 95

Im Lieferumfang des vollständigen Produktpakets von DCE für Windows NT,
Version 2.2 ist auch die CD mit dem Titel IBM Distributed Computing
Environment ADK and Runtime Services for Windows 95 enthalten. Sie wird
nicht mit den Paketen ausgeliefert, die nur die
DCE-Laufzeitdienste und das ADK für Windows NT bzw. die
DCE-Laufzeitdienste für Windows NT enthalten.

Die Readme-Datei (readme.txt) für DCE for Windows 95 befindet sich im
Stammverzeichnis (\) dieser CD.

Gehen Sie wie folgt vor, um die DCE-Laufzeitdienste und das
DCE Application Development Kit für Windows 95 zu installieren:

1.  Legen Sie die CD mit dem Titel "IBM Distributed Computing
    Environment ADK and Runtime Services for Windows 95" in das
    CD-ROM-Laufwerk ein. Nach einer kurzen Zeit wird das
    Begrüßungsfenster angezeigt.

2.  Klicken Sie nach dem Lesen der Informationen in diesem Fenster auf
    'Next' (Weiter), um fortzufahren.

3.  Klicken Sie im Fenster 'Select Components' (Komponenten auswählen)
    auf die Komponenten, die installiert werden sollen.

    ANMERKUNG: 'DCE Runtime Services' muß auf jeden Fall ausgewählt
    werden und ist eine  Vorbedingung für die Installation anderer
    Komponenten.

4.  Das standardmäßige Zielverzeichnis ist C:\PROGRAM FILES\DCE. Klicken
    Sie auf 'Browse' (Durchsuchen), um ein anderes Laufwerk oder
    Verzeichnis auszuwählen. Klicken Sie auf 'Next' (Weiter), um
    fortzufahren.

5.  Wählen Sie im Fenster 'Cultural Conventions' (Länderspezifische
    Angaben) die Unterstützung für die bevorzugte Sprache aus. Klicken
    Sie auf 'Next' (Weiter), um fortzufahren.

6.  Im Fenster 'Start Copying Files' (Kopiervorgang starten) können Sie
    die Installationsdaten überprüfen. Klicken Sie auf 'Back' (Zurück),
    wenn Sie eine der Installationseinstellungen ändern wollen.
    Klicken Sie andernfalls auf 'Next' (Weiter), um das Kopieren der
    Dateien auf die Festplatte zu starten.

7.  Das Fenster 'Setup' wird eingeblendet, in dem ein Statusanzeigefeld
    angezeigt wird. Nach Beendigung der Installation wird das Fenster
    für das IBM Tool für die Softwareregistrierung angezeigt. Klicken
    Sie auf 'Next' (Weiter), um die Softwareregistrierung auszufüllen.

8.  Nach Beendigung der Softwareregistrierung wird abgefragt, ob die
    online verfügbare Readme-Datei angezeigt werden soll. Klicken
    Sie auf 'Yes' (Ja), um die Datei anzuzeigen, und andernfalls
    auf 'No' (Nein).

    ANMERKUNG: Das Anzeigen der Readme-Datei ist wahlfrei.
    Da in dieser Datei jedoch die neuesten Produktänderungen
    vermerkt sind, die sonst nirgends dokumentiert sind, wird
    empfohlen die Datei zu lesen.

9.  Nach dem schließen des Editors mit der Readme-Datei (bzw. wenn
    sie nicht angezeigt wurde) wird das Fenster 'Installation Completed'
    (Installation beendet) angezeigt. Sie werden gefragt, ob das System
    jetzt neu gestartet werden soll. Geben Sie eine Auswahl an und
    klicken Sie auf 'Finish' (Beenden).

    NOTE:  DCE Runtime Services for Windows 95 nimmt Änderungen an der
    Systemkonfiguration vor. Soll der Computer zu diesem Zeitpunkt nicht
    neu gestartet werden, müssen Sie ihn später neu starten, damit die
    Änderungen wirksam werden.

Nach der Beendigung der Installation müssen Sie die DCE-Dienste auf
Ihrem System konfigurieren. Gehen Sie wie folgt vor, um die DCE-Dienste
unter Windows 95 zu konfigurieren:

1.  Klicken Sie auf 'Start', heben sie den eintrag 'Programme' hervor
    und klicken Sie auf 'DCE for Windows 95' und anschließend auf das
    Symbol für 'DCEsetup'.

2.  Klicken Sie auf den Menüpunkt 'Configure' (Konfigurieren) und wählen
    Sie eine der angegebenen Konfigurationsoptionen aus.


=====================================================
A.9 Direkte Anzeige der Online-Dokumentation von der CD aus

In Fällen, in denen die Online-Dokumentation nicht installiert wird
(beispielsweise im Slim Client-Paket) oder wenn Sie die
Online-Dokumentation nicht installieren wollten, kann die Dokumentation
direkt von der CD mit dem Titel IBM Distributed Computing Environment (DCE)
für Windows NT aus angezeigt werden. Die Hilfedateien für die
Dokumentation befinden sich im folgenden Verzeichnis:

   x:\sprache\documentation\

   Hierbei ist:

   'x' der Laufwerkbuchstabe für das CD-ROM-Laufwerk

   'sprache' die Sprache, in der die Dokumentation angezeigt werden
   soll. Beispiel:

   g:\German\documentation\

