SYMANTEC ICT KURULUM ADIMLARI
AMAÇ :
Symantec ICT uygulamasının kurulum adımlarını teknik bilgi sahibi birinin anlayacağı düzeyde anlatmak, resmi doküman içinde farkedilmeyecek noktalara değinmek ve kurulum adımları esnasında hataya yer vermemek.
KAPSAM :
Symantec ICT uygulamasının kurulum adımları ve ek bileşenlerin kurulumu.
Uygulama kurulumuna geçmeden önce söz konusu kurum ile OS ve donanım ihtiyaç bilgisinin paylaşılması gerekir. Kurulum ortamının hazırlanması için aşağıdaki linkteki bilgilerden faydalınabilir:
https://support.symantec.com/us/en/article.tech250504.html
Kurulum ortamı hazırlandıktan sonra ise ilk olarak aşağıdaki adrese login olarak “Product List” kısmından kurulum datasının indirilmesi gerekiyor:
https://login.symantec.com/sso/idp/SAML2
Kaynakların temininin ardından uygulama için kullanacağımız bir servis kullanıcısı oluşturuyoruz. Bu kullanıcı ICT sunucusunda lokal admin haklarına sahip olmalıdır. Zorunlu olmamakla birlikte sağlıklı şekilde kurulum adımlarına devam edebilmek için bu kullanıcı ile sunucuya login olmalıyız. Bu nedenle bu kullanıcının interaktif logon hakkına sahip olması ve şifresinin “expire” olmayacak şekilde oluşturulması gerekiyor. İleri ki adımlarda bu işlerimizi kolaylaştıracaktır. Bu kullanıcı oluşturulduktan sonra Active Directory üzerinde ICT isimli bir OU oluşturuyoruz. Ardından bunun altında aşağıdaki Universal Security Group’lar oluşturulmalıdır.
- ICT_AUDITING
- ICT_BLACKLIST
- ICT_CLASSIFICATIONS
- ICT_CONFIGURATION
- ICT_MONIT
- ICT_ROLES
- ICT_RULES
- ICT_USERS
- ICT_LICENSING
Bu gruplar oluşturulduktan sonra ICT isimli OU üzerinde daha önce oluşturduğumuz servis kullanıcısına aşağıdaki hakları vererek her bir gruba bu servis kullanıcısını üye yapıyoruz.
“Read All user Information”, “Create, delete and manage group”, “Modify the membership of a group”
Aşağıdaki ekran görüntüleri yukarıda anlatılan işlemler hakkında fikir vermesi açısından paylaşılmıştır.
Active Directory tarafındaki bu işlemlerin ardından daha önce ICT sunucumuzda lokal admin hakkı verilmiş servis kullanıcımız ile sunucuya login oluyoruz. Ardından aşağıdaki Windows Component’lerini sunucuya yüklememiz gerekiyor. Bu işlemi “Power Shell’ i Rus As Administrator olarak açarak başlatacağız. Ardından aşağıdaki metni açılan komut ekranına yapıştırıp yükleme işlemini başlatıyoruz.
Install-WindowsFeature Web-Default-Doc
Install-WindowsFeature Web-Dir-Browsing
Install-WindowsFeature Web-Http-Errors
Install-WindowsFeature Web-Static-Content
Install-WindowsFeature Web-Http-Redirect
Install-WindowsFeature Web-Http-Logging
Install-WindowsFeature Web-Log-Libraries
Install-WindowsFeature Web-Request-Monitor
Install-WindowsFeature Web-Http-Tracing
Install-WindowsFeature Web-Stat-Compression
Install-WindowsFeature Web-Filtering
Install-WindowsFeature Web-Windows-Auth
Install-WindowsFeature Web-Net-Ext
Install-WindowsFeature Web-Net-Ext45
Install-WindowsFeature Web-ASP
Install-WindowsFeature Web-ASP-Net
Install-WindowsFeature Web-ASP-Net45
Install-WindowsFeature Web-ISAPI-Ext
Install-WindowsFeature Web-ISAPI-Filter
Install-WindowsFeature Web-Mgmt-Tools
Yükleme işlemleri başarılı bir şekilde bittiği taktirde IIS üzerinde uygulamamızın Web Servisleri’ nin çalışması için gerekli olan tüm Windows Componentleri düzgün şekilde yüklenmiş demektir. İşlem esnasında aşağıdaki ekranı göreceksiniz;
Bu işlemin ardından aşağıdaki linkten “C++ redistributable packages for Visual Studio 2017” indirilerek ICT uygulama sunucusuna kurulmalıdır.
https://support.microsoft.com/hr-ba/help/2977003/the-latest-supported-visual-c-downloads
Uygulamanın çalışması için gereken componentlerin yükleme işleminin ardından MSSQL tarafında yapılması gereken işlemlere geçilmelidir. Eğer kurum mevcut MSSQL ortamından size kaynak temin etmemiş ise bu kurulumu bizlerin yapması gerekecek. Bu durumda aşağıdaki ekran görüntüsünde yer alan Features’ler yüklenmelidir. Bunlar dışında dikkat edilmesi gereken nokta MSSQL’ in dil ayarlarının SQL_Latin1_General_CP1_CI_AS olması ve Authentication Mode’ un Mixed Mode olarak kurulmasıdır.
Yeni sürüm MSSQL yüklemelerinde Management Tools – Basic seçeneği aşağıdaki gibi gelmeyecektir. Bu durumda MSSQL kurulumu sonrasında MSSQL Management Studio’yu aşağıdaki linkten indirerek sunucu üzerine kurmanız gerekiyor.
Bu işlemler bittiğinde muhtemelen MSSQL servisleri ile haberleşememe problemi yaşayacaksınız. Bu problemin önüne gelmek için SQL Server Configuration Manager>SQL Server Network Configuration>Protocol for XXX>TCP/IP Properties>IP Adresses kısmına gelerek burada yer alan tüm TCP Port kısımlarına 1433 yazmanız gerekiyor. Aşağıdaki ekranda ekran görüntüsü ile bu desteklenmiştir. Bu kısımlar boş geldiği için erişimlerde sıkıntı yaşanmasına neden oluyor. Kurum size bir MSSQL ortamı sağladığında bu problem ile karşılaşmazsınız. Sadece sizin kurulumlarınızda karşınıza çıkacak bir problemdir.
MSSQL kurulumunun ardından 3 adet DB oluşturmamız gerekiyor. Bunlar kurulum dataları içinde yer alan script ile yapılabilmekle birlikte manuel olarak oluşturulmasının daha sağlıklı olduğunu gördük. Bu nedenle aşağıdaki gibi 3 adet DB oluşturuyoruz.
DB Adları ;
- ICT_ADMIN_LOGGING
- ICT_CONFIG
- ICT_LOGGING
Bu DB’ler oluşturulduktan sonra servis kullanıcımıza aşağıdaki ekran görüntüsünde olduğu gibi DB_Owner hakkı veriyoruz.
Bu işlemlerin ardından her bir DB üzerinde çalıştırmamız gereken scriptleri uygulama kurulum dosyamızdaki “\Symantec_ICSM_15\ict-db-scripts\ICT-db-scripts” yolu altından alarak çalıştırmamız gerekiyor. Bu işlemlerde belirtilen sıralama dışında çıkılmaması gerekiyor. Bu scriptleri ilgili DB ler üzerinde Execute etmelisiniz. Buradaki sıralama sırası ile:
ICT_ADMIN_LOGGING için;
ict-administration-logging-database-schema.sql
ict-administration-logging-database-data.sql
ICT_CONFIG için;
ict-configuration-database-schema.sql
ict-configuration-database-data.sql
ICT_LOGGING için;
ict-logging-database-schema.sql
ict-logging-database-data.sql
MSSQL tarafındaki bu işlemlerin ardından IIS tarafındaki işlemlere geçiyoruz. IIS’i açtıktan sonra ilk olarak ICT isimli bir Application Pool oluşturmalısınız.
Bu işlemin ardından aşağıdaki şekilde ICT isimli Application Pool’un Advance Setting kısmına gelerek burada servis kullanıcımız için gereken kullanıcı adı ve şifreyi Identify kısmına gelerek bilgileri giriyoruz.
Application Pool’u oluşturulduktan sonra uygulama web servislerimizi kurmak amacı ile kurulum klasörümüzdeki \Symantec_ICSM_15\ict-server\ altında yer alan aşağıdaki dosyaları kurmalıyız. Dosya isimleri sonundaki kodlar versiyona göre değişiklik gösterebilir. Bu kurumlarda dikkat edilmesi gereken nokta kurulum aşamalarında size sorulan Application Pool kısmında daha önce oluşturmuş olduğunuz ICT Application Pool’u göstermek olacak.
- ict-administration-console_15-5-0200-911.exe
- ict-administration-web-service_15-5-0-739.exe
- ict-monitoring-console_15-5-0100-871.exe
- ict-web-service_15-5-0200-911.exe
Kurulumlar bittikten sonra ise IIS menüsünü açarak yeni oluşturulmuş her bir web servisi için aşağıdaki şekilde Anonymous Authentication’u “Disable”, Windows Authentication’u ise Enable etmeniz gerekiyor.
Daha sonra IIS üzerinden her bir yeni oluşmuş web servisi “Browse” ettiğinizde açılan klasörler içinde web.config isimli dosyayı göreceksiniz. Bunun içinde Connection String yazan kısma DB FQDN adını, catalog kısmına ise DB adını girmeniz gerekiyor. Bu değişikliği yaparak dosyayı kaydetmelisiniz. Aşağıdaki ekran görüntüsünde örneği mevcuttur.
Önemli NOT : DLP entegrasyonu için kullanılan Admin-Webservice isimli webservisinin ISS üzerinde bulunan Connection String değerlerinin diğerleri ile aynı olduğundan emin olunuz. Aksi durumda DLP uygulaması dosyalara verilen etiket bilgilerini alamamaktadır.
DB ile ilgili girdilerin ardından http://localhost/ICT/administration adresine erişmeye çalıştığınızda sizi ICT konfigürasyon ekranı karşılayacak. Burada sırası ile DB, AD LDAP, Encyription ve Entegrasyon ekranları karşılacaktır. Aşağıdaki ekran görüntüleri bunlara dair örnektir. Sahada şu an için RMS ve ICE isimli şifreleme çözümleri kullanılmakta. Bunların kullanımı müşteri talebi doğrultusunda lisanslama ile gerçekleşmektedir.
Konfigürayon bittikten sonra ise ajan kurulumu adımı için \Symantec_ICSM_15\endpoint-win\ altında yer alan ICSEndpoint-x64_15_5.exe ve rw-config.ini isimli dosyalar kullanılmaktadır. Rw-Config.ini isimli dosya içine bazı değerler girilmesi gerekmektedir. Bununla ilgili ayrıntı aşağıdaki linkte görülebilir.
https://support.symantec.com/us/en/article.tech252026.html
Bu değerler girilerek son kullanıcı tarafında kurulum yapıldıktan sonra oluşturulacak olan yeni Company-Scope ve sınıflandırma derecelerine göre Office uygulamalarında etiketleme seçenekleri ortaya çıkacaktır. Yapılan her işleme ait loglar ise aşağıdaki link üzerinden takip edilebilmektedir.