クライアント設定ガイド

Red Hat Network Satellite 5.4

Red Hat Network Satellite

エディッション 1

概要

ようこそ Red Hat Network Satellite クライアント設定ガイドへ

第1章はじめに
リンクのコピー

本ガイドはベストプラクティスガイドとして RHN Satellite Server や RHN Proxy Server をご利用のお客様がクライアントシステムを設定する際により簡単に作業が行えることを目的として作成されています。

デフォルトでは Red Hat Network のクライアントアプリケーションはすべて Red Hat Network の中央サーバーと通信するよう設定されています。このため、クライアントを RHN Satellite Server や RHN Proxy Server に接続する場合はこうした設定の多くを変更する必要があります。 1 、 2 台のシステムのクライアント設定を変更するのはおそらくそれほど難しくはないと思いますが、数百、数千台のシステムを維持する大規模な企業環境になるとここで説明している一度に大量の再設定を行う手順が役に立つことでしょう。

作業が複雑なため、フィールドが既に入力されているスクリプトを活用して Satellite や Proxy のサーバーへのアクセスに必要な多くの作業を自動化することができます。詳細は 5章RHN Bootstrap の使い方を参照してください。実際に自動で何が行われるのかを理解しておくと役に立つと思いますので、最初の章ではこうした自動化で行われる再設定を手作業で行った場合の手順について説明します。状況に応じて理想的なソリューションを確定するのにお役立てください。

このガイドに記載されているコマンドの多くは表示の通りに適用できますが、使用環境により異なるネットワーク構成の全てをここで予想することは不可能です。したがって使用環境に応じた設定を考慮に入れコマンドは参照と利用されることをお勧めします。

注記

Unix クライアントの設定情報は『RHN Satellite Server リファレンスガイド』の『Unix サポート』の章をご覧ください。

第2章クライアントアプリケーション
リンクのコピー

RHN Satellite への登録など Red Hat Network のエンタープライズクラスの機能を活用するにはそのほとんどで最新のクライアントアプリケーションの設定が必要になります。ところがクライアントを Red Hat Network に登録する前にこうしたアプリケーションを取得するのは難しくなります。この矛盾は特に旧式のシステムを大量に Red Hat Network へ移動する場合などに問題となります。本章ではこの問題を解決する技術を見ていくことにします。

重要

Red Hat では RHN Proxy Server または RHN Satellite Server に接続しているクライアントには正常な接続を確保するために Red Hat Enterprise Linux の最新の更新を実行させることを強く推奨しています。

また、クライアントにファイアウォールを設定している場合は Red Hat Network と正しく動作させるためにポート 80 と 443 を開いておいてください。

2.1. 最新の Red Hat Network クライアント RPM を配備する
リンクのコピー

Red Hat Enterprise Linux 5 では パッケージアップデーター (pup)、 yum、 Red Hat Network Registration Client (rhn_register) が Red Hat Network のエンタープライズ機能の多く使用する上で必須となります (Red Hat Enterprise Linux の旧式バージョンの場合は up2date)。いずれの環境で RHN Proxy Server や RHN Satellite Server を使用する場合でも、まず先にこれらのパッケージをインストールするようにしてください。

こうした RHN クライアントソフトウェアの更新を行うことができる方法がいくつかあります。その方法の 1 つでは、全クライアントシステムがアクセスできる場所に RPM を保存し、できるだけ簡単なコマンドでパッケージを配置することができます。ほぼすべての場合において yum、 pup、 rhn_register (Red Hat Enterprise Linux の旧式バージョンの場合は up2date) を手作業で配置する必要はありません。これらのクライアントツールが RHN Satellite や Proxy 環境へ接続するのに問題はないはずです。以下では、そのままの状態の yum、 pup、 rhn_register (または up2date) は最新のものではないため使用する環境で動作しないと仮定してます。

Red Hat Enterprise Linux 5 システムを稼働しているシステムの場合のみ、インストール後に firstboot で RHN に登録するか、 rhn_register を使用して RHN に登録する必要があります。 Red Hat Enterprise Linux 3 または 4 を稼働しているシステムについては Red Hat Update Agent に組み込まれている登録機能を使用することができます。

本ガイドではネットワークに少なくとも RHN Satellite Server か RHN Proxy Server のいずれかひとつ、あるいは両方がインストールされていると仮定しています。以下の例では、マシンに稼働する RHN がないことを前提とし、管理者によって初めて yum、 pup、 rhn_register (または up2date) を配置する場合の簡単な方法を示しています。以下では、クライアントシステムが必要とする yum、 pup、 rhn_register (または up2date) RPM のコピーを持っている /var/www/html/pub/ ディレクトリを移植し、 rpm -Uvh コマンドでこれらの RPM をクライアントシステムに配置しています。このコマンドをクライアントから実行すると、ドメイン名、パス、 RPM バージョンは正しいものとしてそのクライアントに RPM をインストールします (PDF での出力や印刷の関係上、コマンドが複数行に分割されていますが実際にはシェルプロンプトで 1 行として入力してください)。

rpm -Uvh
http://your_proxy_or_sat.your_domain.com/pub/rhn-setup-0.4.17-8.el5.i386.rpm
http://your_proxy_or_sat.your_domain.com/pub/yum-3.2.8-9.el5.i386.rpm
http://your_proxy_or_sat.your_domain.com/pub/pirut-1.3.28-13.3l5.noarch.rpm

rpm -Uvh
http://your_proxy_or_sat.your_domain.com/pub/rhn-setup-0.4.17-8.el5.i386.rpm
http://your_proxy_or_sat.your_domain.com/pub/yum-3.2.8-9.el5.i386.rpm
http://your_proxy_or_sat.your_domain.com/pub/pirut-1.3.28-13.3l5.noarch.rpm

Copy to Clipboard

Toggle word wrap

対象のシステムによってはアーキテクチャ (この例では i386) の変更が必要になる場合があるため留意してください。

2.2. クライアントアプリケーションを設定する
リンクのコピー

企業や組織内の RHN Satellite Server または RHN Proxy Server に対してすべてのお客様が安全に接続を行わなければならないということではなく、またカスタムのパッケージに必ず GPG キーを作成して導入する必要があるわけでもありません (これらについては後ほど詳しく説明していきます)。 RHN Satellite Server or RHN Proxy Server を使用されているお客様全てに行っていただかなければならないことは、 Red Hat Update Agent (up2date) と恐らく Red Hat Network Registration Client (rhn_register) を再設定して Red Hat Network から RHN Satellite Server または RHN Proxy Server にリダイレクトしていただくことです。

重要

up2date で使用されるポートは HTTP 用の 80 とセキュアなポート HTTP (HTTPS) 用の 443 になります。これは設定変更できません。デフォルトでは Red Hat Enterprise Linux 5 の yum は SSL のみを使用します。このため、ファイアウォールでポート 443 での接続を許可する必要があります。 SSL を迂回させる場合は /etc/sysconfig/rhn/up2date で serverURL のプロトコルを https から http に変更します。同様に、RHN の Monitoring 機能や Red Hat Network Monitoring Daemon を必要とするプローブを使用するには、クライアントシステムがポート 4545 (sshd 使用の場合はポート 22) での接続を許可しなければなりません。

デフォルトでは、rhn_register および up2date は Red Hat Network のメインサーバーを参照します。このため、 RHN Satellite Server または RHN Proxy Server を参照するようクライアントシステムを再設定する必要があります。

Red Hat Update Agent の最新バージョンでは複数の RHN サーバーに適応するよう設定可能なため、主となるサーバーがアクセス不能になった場合にはフェイルオーバーによる保護を提供することができます。この機能を有効にする方法については「サーバーのフェイルオーバーを実装する」を参照してください。

The next sections describe different methods of configuring the client systems to access your RHN Satellite Server or RHN Proxy Server. To see how virtually all reconfiguration can be scripted, see 6章設定スクリプトを手作業で作成する.

2.2.1. Activation キーで登録を行う
リンクのコピー

Red Hat では RHN Proxy Server や RHN Satellite Server にアクセスするクライアントシステムの登録および設定にはアクティベーションキーを使用されることを推奨しています。アクティベーションキーを使用すると、システムの登録、エンタイトルメントの付与、サブスクライブがまとめて行えます。アクティベーションキーについては『RHN Satellite Server リファレンスガイド』の「アクティベーションキー」の項を参照してください。

アクティベーションキーを使った登録には次の 4つの基本ステップがあります。

Activation キーを生成します。
カスタムの GPG キーをインポートします。
RHN Proxy Server または RHN Satellite Server の /pub/ ディレクトリから SSL 証明書の RPM をダウンロードしてインストールします。このステップのコマンドは次のようになります。
```
rpm -Uvh http://your-satellite-FQDN/pub/rhn-org-trusted-ssl-cert-1.0-1.noarch.rpm
```
```
rpm -Uvh http://your-satellite-FQDN/pub/rhn-org-trusted-ssl-cert-1.0-1.noarch.rpm
```
Copy to Clipboard Toggle word wrap
RHN Proxy Server または RHN Satellite Server にシステムを登録します。このステップのコマンドは次のようになります。
```
 rhnreg_ks --activationkey mykey --serverUrl https://your-satellite-FQDN/XMLRPC 
```
```
 rhnreg_ks --activationkey mykey --serverUrl https://your-satellite-FQDN/XMLRPC 
```
Copy to Clipboard Toggle word wrap

代りに、上記のほとんど全ての手順を次のような行を含む 1 つのシェルスクリプトに結合することができます (PDF 形式での出力印刷の都合上、コマンドが複数行に分割されていますが実際にはシェルプロンプトですべて 1 行に入力してください)。

wget -0 - http://your-satellite-FQDN/pub/bootstrap.sh | bash
&& rhnreg_ks --activation-key my_key --serverUrl
https://your-satellite-FQDN/XMLRPC

wget -0 - http://your-satellite-FQDN/pub/bootstrap.sh | bash
&& rhnreg_ks --activation-key my_key --serverUrl
https://your-satellite-FQDN/XMLRPC

Copy to Clipboard

Toggle word wrap

インストール時に生成され RHN Satellite Server と RHN Proxy Server の両方で利用できるブートストラップスクリプトです。このスクリプトとスクリプトを生成する RHN Bootstrap については 5章RHN Bootstrap の使い方で詳しく説明します。

警告

Red Hat Enterprise Linux 2.1 および Red Hat Linux 8.0 以前のバージョンを実行しているシステムでは rhn_register から up2date への SSL 証明書の設定の移動をアクティベーションキーを使って行うと問題が発生する場合があります。このため、こうしたシステムの SSL 証明書情報は手作業で設定しなければなりません。これ以外、サーバーの URL など他の設定はすべて正常に移行されます。

2.2.2. up2date --configure オプション
リンクのコピー

Red Hat Enterprise Linux 3 および 4 に同梱されている Red Hat Update Agent は様々な設定を行うインターフェースを提供します。対象となる設定の一覧は up2date の man ページ (man up2date をコマンドラインで実行) を参照してください。

Red Hat Update Agent を再設定するには、root として次のコマンドを発行します。

 up2date --configure

 up2date --configure

Copy to Clipboard

Toggle word wrap

再設定できる各種セッティングが記載されたダイアログボックスが表示されます。全般タブの 使用する Red Hat Network Server の選択 (Select a Red Hat Network Server to use) でデフォルトの値を https://your_proxy_or_sat.your_domain.com/XMLRPC など RHN Satellite Server や RHN Proxy Server の完全修飾ドメイン名 (FQDN) に置き換えます。末尾の /XMLRPC は残します。終了したら OK をクリックします。

図2.1 Red Hat Update Agent GUI 設定

RHN Satellite Server または RHN Proxy Server のドメイン名が正しく入力されていることを確認します。間違えたドメイン名を入力したり、このフィールドを空白のままにすると up2date --configure が起動できない可能性があります。ただし、 up2date 設定ファイルの値を編集すると解決することができます。詳細な方法については、「手動で設定ファイルを更新する」を参照してください。

警告

Red Hat Enterprise Linux 3 または 4 を実行しているシステムの場合、 Red Hat Update Agent に登録機能が組み込まれているため Red Hat Network Registration Client をインストールしません。 Red Hat Enterprise Linux 5 のシステムは up2date を使用しないため RHN または Satellite にシステムを登録するには rhn_register を必要とし、またパッケージの更新には yum と pup を必要とします。

2.2.3. 手動で設定ファイルを更新する
リンクのコピー

前のセクションで説明した GUI インターフェースによる設定の代替方法として、アプリケーションの設定ファイルを編集することで Red Hat Update Agent の再設定を行うこともできます。

RHN Proxy Server または RHN Satellite Server に接続しているクライアントシステム上の Red Hat Update Agent を設定するには、 /etc/sysconfig/rhn/up2date 設定ファイル内の serverURL と noSSLServerURL の各値を (root で) 編集します。デフォルトの Red Hat Network URL を RHN Proxy Server または RHN Satellite Server の完全修飾ドメイン名 (FQDN) に置き換えてください。例えば、

serverURL[comment]=Remote server URL
serverURL=https://your_primary.your_domain.com/XMLRPC

noSSLServerURL[comment]=Remote server URL without SSL
noSSLServerURL=http://your_primary.your_domain.com/XMLRPC

serverURL[comment]=Remote server URL
serverURL=https://your_primary.your_domain.com/XMLRPC

noSSLServerURL[comment]=Remote server URL without SSL
noSSLServerURL=http://your_primary.your_domain.com/XMLRPC

Copy to Clipboard

Toggle word wrap

警告

/etc/sysconfig/rhn/up2date 内の httpProxy セッティングは RHN Proxy Server を 参照しません。オプションのクライアント用 HTTP プロキシの設定に使用されます。 RHN Proxy Server が適切に設定されている場合、 httpProxy の設定は空白にしておかなければなりません (値を設定しない)。

2.2.4. サーバーのフェイルオーバーを実装する
リンクのコピー

up2date-4.2.38 で始まる Red Hat Update Agent は一連の RHN サーバー群から更新を検索するよう設定できます。主となる RHN Proxy Server または RHN Satellite Server がオフラインになった場合に定期的な更新を維持するのに便利です。

この機能を使用するには、まず up2date の必要なバージョンを実行していることを確認します。次に 2 番目のサーバーを手動で /etc/sysconfig/rhn/up2date 設定ファイル内の serverURL と noSSLServerURL セッティングに追加します (root になる)。 Proxy または Satellite の完全修飾ドメイン名 (FQDN) を主となるサーバーのすぐ後にセミコロン (;) で区切って追加します。たとえば、

serverURL[comment]=Remote server URL
serverURL=https://your_primary.your_domain.com/XMLRPC; 
https://your_secondary.your_domain.com/XMLRPC;

noSSLServerURL[comment]=Remote server URL without SSL
noSSLServerURL=http://your_primary.your_domain.com/XMLRPC; 
https://your_secondary.your_domain.com/XMLRPC;

serverURL[comment]=Remote server URL
serverURL=https://your_primary.your_domain.com/XMLRPC; 
https://your_secondary.your_domain.com/XMLRPC;

noSSLServerURL[comment]=Remote server URL without SSL
noSSLServerURL=http://your_primary.your_domain.com/XMLRPC; 
https://your_secondary.your_domain.com/XMLRPC;

Copy to Clipboard

Toggle word wrap

サーバーへの接続はここに記載した順番で試行されます。必要なサーバー数をすべて含ませることができます。 RHN の中央サーバーを記載することもできますが、クライアントシステムにインターネットアクセスがないと意味がありません。

2.3. パッケージアップデーターのアプレット
リンクのコピー

Red Hat Enterprise Linux 5 は RHN や Satellite のサーバーから更新を定期的にチェックし、新しい更新が利用可能になるとユーザーに通知する実行プログラムをグラフィカルなデスクトップパネル上で提供します。

図2.2 パッケージアップデーターのアプレット

パッケージアップデーターのアプレットはデスクトップパネルの通知トレイ内にあり新しい更新を定期的に確認します。このアプレットでは通知アイコンをクリックして以下の動作を選択するとパッケージの保守作業の一部を実行することもできます。

リフレッシュ (Refresh) — RHN または Satellite に新しい更新があるか確認します。
更新を表示 (View Updates) — パッケージアップデーターのアプリケーションを起動し、利用可能な更新の詳細を表示させたり仕様に合わせて更新を設定することができます。
更新を適用 (Apply Updates) — 更新されたパッケージをすべてダウンロードしてインストールします。
終了 (Quit) — アプレットを終了します。

2.4. Satellite で Red Hat Network Alert Notification Tool を設定する
リンクのコピー

Red Hat Network Alert Notification Tool は Red Hat Enterprise Linux 3 または 4 のデスクトップのパネル内にある丸いアイコンで、 Red Hat Enterprise Linux 3 またはそれ以降のバージョンを実行しているシステム上で設定し RHN Satellite Server 上のカスタムチャンネルからの更新を認識することができます。 RHN Satellite Server でこの機能をサポートするよう設定されていることを確認してください (RHN Proxy Server はクライアントやサーバーを変更しなくてもアプレットをサポートします)。 Red Hat Network Alert Notification Tool 設定の手順は次の通りです。

RHN Satellite Server のバージョンが 3.4 もしくはそれ以降のバージョンであること、また Satellite に rhns-applet パッケージがインストールされていることを確認します。このパッケージはバージョン 3.4 およびそれ以降のバージョンの RHN Satellite ソフトウェアチャンネルにあります。
up2date または Red Hat Network ツールソフトウェアチャンネルで rhn-applet-actions パッケージを検索します。 Red Hat Network Alert Notification Tool でカスタムの更新通を受け取るよう Red Hat Enterprise Linux 3 およびそれ以降のバージョンの全クライアントシステムにパッケージをインストールします。クライアントシステムには Management または Provisioning サービスレベルのエンタイトルメントを付与しなければなりません。
RHN Web サイトの Satellite バージョン内で各システムの システムの詳細 ページに行き、 RHN アプレット エリア内のリンクをクリックして Red Hat Network Alert Notification Tool を Satellite にリダイレクトします。

アプレットが次回起動すると新しい設定が適用され更新を確認するため RHN Satellite Server に接続されます。

第3章 SSL インフラストラクチャ
リンクのコピー

Red Hat Network をご利用頂く方にとって安全性に関わる問題がもっとも重要となります。 Red Hat Network の強みの１つはその１つ１つの要求を SSL (Secure Sockets Layer) 経由で処理できるという点です。このようなレベルのセキュリティを維持するため、自社インフラストラクチャ内に Red Hat Network をインストールしている場合カスタムの SSL キーと証明書を生成する必要があります。

SSL キーと証明書の作成及び配備はかなり複雑になります。 RHN Proxy Server と RHN Satellite Server ではいずれもインストール時に独自のプライベートの認証局 (CA) に応じた独自の SSL キーと証明書を構成することができます。また、別のコマンドラインユーティリティである RHN SSL Maintenance Tool がこの目的で存在します。どちらにしても、これらのキーと証明書を管理しているインフラストラクチャ内の全システムに配備する必要があります。多くの場合、 SSL キーと証明書の導入は自動化されています。本章ではこれらの全作業を行う上で効率的な方法について説明していきます。

本章では SSL については詳しくは説明しません。 RHN SSL Maintenance Tool はパブリックキーのインフラストラクチャ (PKI) のセットアップおよび保守に関連する複雑な部分を見せないよう設計されています。詳細については書店で購入できる参考書をご覧ください。

3.1. SSL の概要
リンクのコピー

SSL (Secure Sockets Layer) はクライアント/サーバーアプリケーションの情報のやりとりを安全に行わせることができるプロトコルです。 SSL はパブリックキーとプライベートキーの組み合わせシステムを使用してクライアントとサーバー間で行われる通信を暗号化します。パブリック証明書はアクセス可能な状態にして置き、プライベートキーは安全ば場所に保管しておく必要があります。プライベートキーとその片割れとなるパブリック証明書との数学的な関係 (デジタル署名）によってシステムが動作します。この関係を介して信頼のできる接続が確立されます。

注記

本ガイドでは SSL プライベートキーとパブリック証明書について説明していきます。技術的にはいずれもキー (パブリックキーとプライベートキー) とみなすことができます。しかし、 SSL について述べる場合 SSL キーの組み合わせのパブリックの方を SSL パブリック証明書と呼ぶのが慣習となっています。

企業や組織の SSL インフラストラクチャは一般的にこうした SSL キーと証明書によって構成されています。

認証局 (CA) の SSL プライベートキーとパブリック証明書 — 一般的には 1 企業または組織に対して 1 組しか生成されません。パブリック証明書はそのプライベートキーによってデジタル署名されます。パブリック証明書は全システムに配信されます。
Web サーバーの SSL プライベートキーとパブリック証明書 — 1 アプリケーションサーバーに対して 1 組になります。パブリック証明書はそのプライベートキーと CA の SSL プライベートキーの両方によってデジタル署名されます。 Web サーバーのキーセットとよく呼ばれるものです。生成される仲介的な SSL 証明書のリクエストがあるためです。使用用途の詳細はここでは重要ではなく、これら 3 つをすべて RHN サーバーに導入する点が重要となります。

例を示します。 RHN Satellite Server が 1 台と RHN Proxy Server が 5 台あるとします。 CA SSL キーペアを 1 つ、 Web サーバーの SSL キーセットを 6 つ生成します。 CA SSL パブリック証明書は全システムに配信し、全クライアントによって該当の上部サーバーへの接続確立に使用されます。各サーバーにはサーバー独自の SSL キーセットがそれぞれあります。このキーセットはそのサーバーのホスト名に結び付けられその SSL プライベートキーと CA SSL プライベートキーの組み合わせを使って生成されます。これにより Web サーバーの SSL パブリック証明書とその CA SSL キーペア、サーバーのプライベートキー間で確認できる関連性をデジタルに確立します。 Web サーバーのキーセットは他の web サーバーとは共有できません。

重要

このシステムの最も重要な部分は CA SSL キーペアになります。このプライベートキーとパブリック証明書から、管理者は Web サーバーの SSL キーセットを再度生成することができるようになります。この CA SSL キーペアは安全な場所に保管して置かなければなりません。サーバー群で構成する RHN のインフラストラクチャの全体のセットアップを行い稼働を開始したら、このツールもしくはインストーラで生成された SSL のビルドディレクトリを別のメディアにアーカイブし、 CA パスワードのメモをとったらメディアとパスワードは安全な場所に保管するようにしてください。

3.2. RHN SSL Maintenance Tool
リンクのコピー

Red Hat Network 安全なインフラストラクチャの管理作業を容易にするコマンドラインツールを提供しています。 RHN SSL Maintenance Tool はそのコマンドとなる rhn-ssl-tool でよく知られています。このツールは rhns-certs-tools パッケージの一部となります。最新の RHN Proxy Server と RHN Satellite Server (および RHN Satellite Server ISO) のソフトウェアチャンネル内にあります。 RHN SSL Maintenance Tool により独自の認証局 SSL キーペアや Web サーバーの SSL キーセット (キーペア とも呼ばれる) を生成できるようになります。

このツールは単にビルドツールです。これは、必要な全ての SSL キーと証書を生成します。また、全てのクライアントマシン上の素早い配付の為の RPM 形式のファイルをパッケージしています。しかし、これはパッケージの配備はしません。その操作は管理者に任されますが、幾どの場合、RHN Satellite Server で自動化されています。

注記

rhn-ssl-tool を収納している rhns-certs-tools は最低限の要件を満たせば現在の Red Hat Enterprise Linux システムならいずれにもインストールして実行させることができます。ワークステーションや RHN サーバー以外の別のシステムから SSL インフラストラクチャを管理したい管理者に提供されている機能です。

ツールが必要となる例をいくつか示します。

CA パブリック証明書を更新する場合、頻繁にはありません。
トップレベルのサービスとして RHN 中央サーバーに接続するバージョン 3.6 またはそれ以降の RHN Proxy Server をインストールする場合、ホストしているサービスは安全上、企業や組織に対してプライベートとなる CA SSL キーと証明書用のリポジトリにすることはできません。
以前に設定がなかった部分で SSL を使用するよう RHN インフラストラクチャを再構成する場合。
RHN Proxy Server の 3.6 以前のバージョンを RHN インフラストラクチャに追加する場合。
複数の RHN Satellite Server を RHN インフラストラクチャに追加する場合、この作業に関しては Red Hat の担当者にお問い合わせください。

ツールを 必要としない 例を示します。

RHN Satellite Server のインストール時、インストールプロセスで SSL のセッティングはすべて設定されます。 SSL キーと証明書は自動的に作成、配備されます。
トップレベルサービスとして RHN Satellite Server バージョン 3.6 またはそれ以降に接続している際に RHN Proxy Server バージョン 3.6 またはそれ以降をインストール場合、 RHN Proxy Server のSSL キーと証明書を設定、作成、配備するために必要な SSL 情報はすべて RHN Satellite Server に含まれています。

RHN Satellite Server と RHN Proxy Server のインストール手順ではいずれも CA SSL パブリック証明書が必ず各サーバーの /pub ディレクトリに配備されるようになっています。このパブリック証明書はクライアントのシステム群より RHN サーバーへの接続に使用されます。詳細については「CA SSL パブリック証明書をクライアントに配備する」を参照してください。

簡単に言えば、その企業の RHN インフラストラクチャが RHN Satellite Server の最新のバージョンをトップレベルのサービスとして導入している場合にはこのツールを使用する必要はほとんどないでしょう。これ以外の場合はツールの使用方法をよく理解しておいてください。

3.2.1. SSL 生成の説明
リンクのコピー

RHN SSL Maintenance Tool を使用する際の主要な利点となるのがセキュリティ、柔軟性、移植性になります。各 RHN サーバーに別々の Web サーバー SSL キーと証明書を作成し、独自にひとつだけ作成した認証局の SSL キーペアですべて署名をおこなうことにより安全性を確保しています。 rhns-certs-tools パッケージがインストールされているマシンならどのマシンでもツールが動作できるという柔軟性や、保管する場所を選ばずどこにでも格納でき必要なときにインストールができる構造はその移植性にも富んでいます。

繰り返しますが、インフラストラクチャのトップレベルの RHN サーバーが最新の RHN Satellite Server である場合、行わなければならないことはアーカイブから ssl-build ツリーを /root ディレクトリに復元して RHN Satellite Server の Web サイト内に用意してある設定ツールを利用するということです。

RHN SSL Maintenance Tool を最大限に活用するために、以下の高レベルの作業を記載された順序で行ってください。各作業で必要となる細かな点については後半のセクションを参照してください。

企業内のシステムに rhns-certs-tools パッケージをインストールします。恐らく RHN Satellite Server か RHN Proxy Server にインストールすることになると思いますが、必ずしも RHN Satellite Server や RHN Proxy Server である必要はありません。
企業用の認証局 SSL キーペアをひとつ作成し、その RPM またはパブリック証明書を全クライアントシステムにインストールします。
Web サーバー SSL キーセットを配備する Proxy および Satellite に対してそのキーセットをそれぞれ作成してからその RPM を RHN サーバー群にそれぞれインストールし、 httpd サービスを再起動します。
```
 /sbin/service httpd restart 
```
```
 /sbin/service httpd restart 
```
Copy to Clipboard Toggle word wrap
SSL ビルドツリー (主となるビルドディレクトリと全サブディレクトリおよびファイルから構成されている) をフロッピーディスクなどの移動型メディアにアーカイブします (必要なディスク領域はわずかです)。
このアーカイブを検証してから安全な場所に格納します。安全な場所とは、 Proxy または Satellite のインストールガイドの その他の要件 のセクションでバックアップ用に記載している場所などです。
後日のため CA パスワードを記録して保管します。
安全上、ビルドツリーはビルドシステムから削除しますが、 RHN のインフラストラクチャ全体が正しく構成され設定が完了してから行ってください。
追加で Web サーバー SSL キーセットが必要な場合は RHN SSL Maintenance Tool を実行しているシステム上でビルドツリーを再生してから 3 から 7 のステップをくり返します。

3.2.2. RHN SSL Maintenance Tool のオプション
リンクのコピー

RHN SSL Maintenance Tool では認証局の SSL キーペアの生成やサーバーの SSL 証明書とキーの管理に過剰なコマンドラインオプションが提供されています。基本的には 3 種類のコマンドラインオプションのヘルプ表示が提供されています。 rhn-ssl-tool --help (全般)、 rhn-ssl-tool --gen-ca --help (認証局)、 rhn-ssl-tool --gen-server --help (Web サーバー) の 3種類です。 rhn-ssl-tool の man ページでも詳しい説明が記載されています man rhn-ssl-tool)。

以下に、 CA SSL キーセットの生成作業に関するオプションと Web サーバー SSL キーセットの生成作業に関するオプションを 2 つの表に分けて説明します。

このオプションセットには --gen-ca の引数を先頭に付ける必要があります。

Expand

表3.1 SSL 認証局のオプション (rhn-ssl-tool --gen-ca --help)
オプション	説明
`--gen-ca`	認証局 (CA) のキーペアとパブリック RPM を生成します。表内の別のオプションとあわせて発行する必要があります。
`-h`, `--help`	認証局の生成および管理に固有の基本オプション一覧が記載されたヘルプ画面を表示します。
`-f`, `--force`	CA プライベートキーおよびパブリック証明書のいずれかまたは両方を強制的に作成します。
`-p=`, `--password=PASSWORD`	CA パスワードです。指定しないと入力が求められます。安全な方法で記録を残してください。
`-d=`, `--dir=BUILD_DIRECTORY`	ほとんどのコマンドに必修です。証明書と RPM が作成されるディレクトリです。デフォルトは `./ssl-build` です。
`--ca-key=FILENAME`	CA プライベートキーのファイル名です。デフォルトは `RHN-ORG-PRIVATE-SSL-KEY` です。
`--ca-cert=FILENAME`	CA パブリック証明書のファイル名です。デフォルトは `RHN-ORG-TRUSTED-SSL-CERT` です。
`--cert-expiration=CA_CERT_EXPIRE`	パブリック CA 証明書の有効期限です。デフォルトはエポックロールオーバー (01-18-2038)の１日前までの日数です。
`--set-country=COUNTRY_CODE`	2 文字の国コードです。デフォルトは US です。
`--set-state=STATE_OR_PROVINCE`	CA の州または地方です。デフォルトは '' です。
`--set-city=CITY_OR_LOCALITY`	市または地域です。デフォルトは ''です。
`--set-org=ORGANIZATION`	Red Hat など、会社や組織です。デフォルトは Example Corp. Inc です。
`--set-org-unit=SET_ORG_UNIT`	RHN など、組織の単位です。デフォルトは '' です。
`--set-common-name=HOSTNAME`	CA には一般的にはセットしません。一般的な名前です。
`--set-email=EMAIL`	CA には一般的にはセットしません。 Email アドレスです。
`--rpm-packager=PACKAGER`	「RHN Admin (rhn-admin@example.com)」など、生成した RPM のパッケージャーです。
`--rpm-vendor=VENDOR`	「IS/IT Example Corp.」など、生成した RPM のベンダーです。
`-v`, `--verbose`	詳細なメッセージを表示します。「v」を追加していくと累積的に詳細度が増します。
`--ca-cert-rpm=CA_CERT_RPM`	めったに変更しません。 CA 証明書を収容する RPM 名です (基本のファイル名です。 filename-version-release.noarch.rpm ではありません)。
`--key-only`	ほとんど使用しません。 CA プライベートキーだけを生成します。詳細は `--gen-ca --key-only --help` をご覧ください。
`--cert-only`	ほとんど使用しません。 -CA パブリック証明書だけを生成します。詳細は `--gen-ca --cert-only --help` をご覧ください。
`--rpm-only`	ほとんど使用しません。配備用の RPM のみを生成します。詳細は `--gen-ca --rpm-only --help` でご覧ください。
`--no-rpm`	ほとんど使用しません。 RPM の生成を除き、 CA 関連のすべての手順を行います。

次のオプションセットは先頭に --gen-server の引数を付ける必要があります。

Expand

表3.2 SSL Web サーバーのオプション (rhn-ssl-tool --gen-server --help)
オプション	説明
`--gen-server`	Web サーバーの SSL キーセット、 RPM、 tar アーカイブを生成します。表内の別のオプションとあわせて発行する必要があります。
`-h`, `--help`	サーバーのキーペアの生成や管理に固有の基本オプション一覧が記載されたヘルプ画面を表示します。
`-p=`, `--password=PASSWORD`	CA パスワードです。指定しないと入力が求められます。安全な方法で記録を残してください。
`-d=`, `--dir=BUILD_DIRECTORY`	ほとんどのコマンドに必修です。証明書と RPM が作成されるディレクトリです。デフォルトは `./ssl-build` です。
`--server-key=FILENAME`	Web サーバーの SSL プライベートキーのファイル名です。デフォルトは `server.key` です。
`--server-cert-req=FILENAME`	Web サーバーの SSL 証明書リクエストのファイル名です。デフォルトは `server.csr` です。
`--server-cert=FILENAME`	Web サーバーの SSL 証明書のファイル名です。デフォルトは `server.crt` です。
`--startdate=YYMMDDHHMMSSZ`	サンプル形式 (年、月、日、時、分、秒 - 1 つの値に付き 2 文字) によるサーバー証明書の有効開始日です。 Z は Zulu の略で必須となります。デフォルトは生成の１週間前です。
`--cert-expiration=SERVER_CERT_EXPIRE`	サーバー証明書の有効期限が切れる日です。デフォルトはエポックロールオーバー (01-18-2038) の 1 日前までの日数です。
`--set-country=COUNTRY_CODE`	2 文字の国コードです。デフォルトは US です。
`--set-state=STATE_OR_PROVINCE`	州または地方です。デフォルトはノースカロライナ (North Carolina) です。
`--set-city=CITY_OR_LOCALITY`	市または地域です。デフォルトはローリー (Raleigh - ノースカロライナ州の州都) です。
`--set-org=ORGANIZATION`	Red Hat など、会社または組織です。デフォルトは Example Corp. Inc. です。
`--set-org-unit=SET_ORG_UNIT`	RHN など、組織の単位です。デフォルトは unit です。
`--set-hostname=HOSTNAME`	キーを受け取る RHN サーバーのホスト名です。デフォルトはビルドマシンのホスト名に動的にセットされます。
`--set-email=EMAIL`	証明書の連絡先となる Email アドレスです。デフォルトは admin@example.corp. です。
`--rpm-packager=PACKAGER`	「RHN Admin (rhn-admin@example.com)」など、生成した RPM のパッケージャーです。
`--rpm-vendor=VENDOR`	「IS/IT Example Corp.」など、生成した RPM のベンダーです。
`-v`, `--verbose`	詳細なメッセージを表示します。「v」を追加していくと累積的に詳細度が増します。
`--key-only`	ほとんど使用しません。サーバーのプライベートキーのみを生成します。詳細は `--gen-server --key-only --help` をご覧ください。
`--cert-req-only`	ほとんど使用しません。サーバーの証明書リクエストのみを生成します。詳細は `--gen-server --cert-req-only --help` をご覧ください。
`--cert-only`	ほとんど使用しません。サーバーの証明書のみを生成します。詳細は `--gen-server --cert-only --help` をご覧ください。
`--rpm-only`	ほとんど使用しません。配備用の RPM のみを生成します。詳細は `--gen-server --rpm-only --help` をご覧ください。
`--no-rpm`	ほとんど使用しません。 RPM の生成を除いて、サーバー関連のすべての手順を行います。
`--server-rpm=SERVER_RPM`	ほとんど変更しません。 Web サーバーの SSL キーセットを収容する RPM 名です (基本のファイル名です。 filename-version-release.noarch.rpm ではありません)。
`--server-tar=SERVER_TAR`	ほとんど変更しません。 Web サーバーの SSL キーセットとホストしている RHN Proxy Server インストールのルーチンで独占的に使用される CA パブリック証明書の .tarアーカイブ名です (基本のファイル名です。 filename-version-release.tar ではありません)。

3.2.3. 認証局の SSL キーペアを生成する
リンクのコピー

Web サーバーで必要とされる SSL キーセットを作成する前に、認証局 (CA) の SSL キーペアを生成する必要があります。 CA SSL パブリック証明書は Satellite や Proxy のクライアントシステムに配付されます。 RHN SSL Maintenance Tool を使用すると、必要に応じて CA SSL キーペアを生成してその後の全 RHN サーバーの導入にそのキーペアを再利用することができます。

クライアント配付用のキーペアとパブリック RPM はビルドのプロセスにより自動的に作成されます。 CA の全コンポーネントはコマンドラインで指定されたビルドディレクトリ /root/ssl-build (旧式の Satellite や Proxy の場合は /etc/sysconfig/rhn/ssl) に最終的に格納されます。 CA SSL キーペアを生成するには次のコマンドを発行します。

rhn-ssl-tool --gen-ca --password=MY_CA_PASSWORD --dir="/root/ssl-build" \ 
--set-state="North	Carolina" --set-city="Raleigh" --set-org="Example Inc." \
--set-org-unit="SSL CA Unit"

rhn-ssl-tool --gen-ca --password=MY_CA_PASSWORD --dir="/root/ssl-build" \ 
--set-state="North	Carolina" --set-city="Raleigh" --set-org="Example Inc." \
--set-org-unit="SSL CA Unit"

Copy to Clipboard

Toggle word wrap

サンプルの値はその企業や組織に応じた値に置き換えてください。このコマンドにより指定したビルドディレクトリ内に次のような関連ファイルが格納されます。

RHN-ORG-PRIVATE-SSL-KEY — CA SSL プライベートキー
RHN-ORG-TRUSTED-SSL-CERT — CA SSL パブリック証明書
rhn-org-trusted-ssl-cert-VER-REL.noarch.rpm — クライアントシステムへの配付用に準備された RPM です。 CA SSL パブリック証明書 (上記) が含まれ、 /usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT にインストールします。
rhn-ca-openssl.cnf — SSL CA 設定ファイル
latest.txt — 常に関連ファイルの最新バージョンを一覧表示します。

終了するとクライアントシステムへの RPM の配付準備が整ったことになります。「CA SSL パブリック証明書をクライアントに配備する」を参照してください。

3.2.4. Web サーバー SSL キーセットを生成する
リンクのコピー

既に生成済みの CA SSL キーペアを持っていても、複数の Proxy や Satellite を導入する場合などは特に頻繁に Web サーバー SSL キーセットを生成する可能性が高くなります。 --set-hostname の値は各サーバーにより異るので注意してください。つまり、ホスト名が異なるそれぞれの RHN サーバーごとに SSL キーと証明書のセットを生成してインストールする必要があるということです。

サーバーの全コンポーネントは /root/ssl-build/MACHINE_NAME などのビルドシステムのマシン名を反映するビルドディレクトリ内のサブディレクトリに最終的に格納されるという点を除き、サーバー証明書のビルドプロセスは CA SSL キーペアの生成と同様になります。サーバー証明書を生成するには次のようにコマンドを発行します。

rhn-ssl-tool --gen-server --password=MY_CA_PASSWORD --dir="/root/ssl-build" \ 
--set-state="North	Carolina" --set-city="Raleigh" --set-org="Example	Inc." \
--set-org-unit="IS/IT" --set-email="admin@example.com" \
--set-hostname="rhnbox1.example.com

rhn-ssl-tool --gen-server --password=MY_CA_PASSWORD --dir="/root/ssl-build" \ 
--set-state="North	Carolina" --set-city="Raleigh" --set-org="Example	Inc." \
--set-org-unit="IS/IT" --set-email="admin@example.com" \
--set-hostname="rhnbox1.example.com

Copy to Clipboard

Toggle word wrap

サンプルの値は企業や組織に応じた値に置き換えてください。このコマンドによりビルドディレクトリ内にあるマシン固有のサブディレクトリに次のような関連ファイルが格納されます。

server.key — Web サーバーの SSL プライベートサーバーキー
server.csr — Web サーバーの SSL 証明書リクエスト
server.crt — web サーバーの SSL パブリック証明書
rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm — RHN サーバーへの配付用に準備された RPM です。関連する src.rpm ファイルも生成されます。 RPM には上記の 3 つのファイルが含まれ、次の場所にインストールします。
- /etc/httpd/conf/ssl.key/server.key
- /etc/httpd/conf/ssl.csr/server.csr
- /etc/httpd/conf/ssl.crt/server.crt
rhn-server-openssl.cnf — Web サーバーの SSL 設定ファイル
latest.txt — 常に関連ファイルの最新バージョンを一覧表示します。

終了すると、 RPM を配付してそれぞれの RHN サーバー上にインストールする準備が整ったことになります。インストール後に httpd サービスを再起動する必要があるので注意してください。

 /sbin/service httpd restart

 /sbin/service httpd restart

Copy to Clipboard

Toggle word wrap

3.3. CA SSL パブリック証明書をクライアントに配備する
リンクのコピー

RHN Proxy Server と RHN Satellite Server のインストールプロセスはいずれも CA SSL パブリック証明書と RPM が生成されるため比較的に簡単にクライアントの配備を行うことができます。これらのインストールプロセスでは CA SSL パブリック証明書と RPM のいずれかまたは両方のコピーを RHN サーバーの /var/www/html/pub/ ディレクトリに置き公開しています。

このパブリックディレクトリはいずれの Web ブラウザを使用しても簡単に確認することができます (http://proxy-or-sat.example.com/pub/)。

このディレクトリにある CA SSL パブリック証明書は wget か curl を使用するとクライアントシステムにダウンロードすることができます。例えば、

curl -O	http://proxy-or-sat.example.com/pub/RHN-ORG-TRUSTED-SSL-CERT
wget http://proxy-or-sat.example.com/pub/RHN-ORG-TRUSTED-SSL-CERT

curl -O	http://proxy-or-sat.example.com/pub/RHN-ORG-TRUSTED-SSL-CERT
wget http://proxy-or-sat.example.com/pub/RHN-ORG-TRUSTED-SSL-CERT

Copy to Clipboard

Toggle word wrap

また、 CA SSL パブリック証明書の RPM が /pub ディレクトリにある場合はクライアントシステムに直接インストールすることができます。

rpm -Uvh \
http://proxy-or-sat.example.com/pub/rhn-org-trusted-ssl-cert-VER-REL.noarch.rpm

rpm -Uvh \
http://proxy-or-sat.example.com/pub/rhn-org-trusted-ssl-cert-VER-REL.noarch.rpm

Copy to Clipboard

Toggle word wrap

これらのコマンドを実行する前に、証明書や RPM の実際の名前を確認してください。

3.4. クライアントシステムを設定する
リンクのコピー

RPM または生の証明書をクライアントシステムに配備したら、そのシステムの管理者は新しい CA SSL パブリック証明書ファイルを使用して適切な RHN Proxy Server または RHN Satellite Server に接続するため Red Hat Update Agent と Red Hat Network Registration Client (必要な場合) の設定ファイルを変更しなければなりません。 /usr/share/rhn ディレクトリが一般的に受け入れられている CA SSL パブリック証明書の格納場所となります。

RHN Proxy Server と RHN Satellite Server はいずれもデフォルトで RHN Bootstrap がインストールされています。これにより同じ繰り返しの手順を大幅に削減しクライアントシステムの登録と設定のプロセスを簡略化することができるようになります。詳細は 5章RHN Bootstrap の使い方でご覧ください。

第4章カスタム GPG キーをインポートする
リンクのコピー

独自の RPM を安全にビルドして配付する予定の場合、カスタムの RPM はすべて GNU Privacy Guard (GPG) を使用して署名することを強くお勧めします。 GPG キーを生成して GPG 署名のパッケージをビルドする方法については『Red Hat Network チャンネル管理ガイド』に記載されています。

パッケージに署名したらこれらの RPM をインポートする全システムにパブリックキーを配備する必要があります。この作業は 2 ステップに分けられます。まずクライアントが取り込めるようパブリックキーの中央となる場所を作成します。次に各システムのローカルの GPG キーリングにキーを追加します。

最初のステップは一般的であり RHN のクライアントアプリケーション導入で推奨している Web サイトを利用した方法を使って行うことができます。 (「最新の Red Hat Network クライアント RPM を配備する」を参照)。 Web サーバー上にパブリックのディレクトリを作成して GPG のパブリック署名を格納します。

cp /some/path/YOUR-RPM-GPG-KEY /var/www/html/pub/

cp /some/path/YOUR-RPM-GPG-KEY /var/www/html/pub/

Copy to Clipboard

Toggle word wrap

次に Wgetを使用してクライアントシステムからキーをダウンロードします。

wget -O- -q http://your_proxy_or_sat.your_domain.com/pub/YOUR-RPM-GPG-KEY

wget -O- -q http://your_proxy_or_sat.your_domain.com/pub/YOUR-RPM-GPG-KEY

Copy to Clipboard

Toggle word wrap

-O- オプションは結果を標準出力に送るのに対し、 -q オプションを使用すると Wget を出力無しの quiet モードで実行します。 YOUR-RPM-GPG-KEY の変数部分を使用するキーのファイル名に置き換えるのを忘れないようにしてください。

キーがクライアントのファイルシステムで使用できるようになったらローカルの GPG キーリングにインポートします。インポート方法についてはオペレーティングシステムにより異なる場合があるので注意してください。

Red Hat Enterprise Linux 3 およびそれ以降には次のコマンドを使用します。

rpm --import /path/to/YOUR-RPM-GPG-KEY

rpm --import /path/to/YOUR-RPM-GPG-KEY

Copy to Clipboard

Toggle word wrap

Red Hat Enterprise Linux 2.1 には次のコマンドを使用します。

gpg $(up2date --gpg-flags) --import /path/to/YOUR-RPM-GPG-KEY

gpg $(up2date --gpg-flags) --import /path/to/YOUR-RPM-GPG-KEY

Copy to Clipboard

Toggle word wrap

GPG キーを正しくクライアントに追加したらシステムは適切なキーを使って署名されたカスタムの RPM の検証を行うことができるはずです。

第5章 RHN Bootstrap の使い方
リンクのコピー

Red Hat Network では前述の章に記載している手作業による多くの再設定作業を自動化することができる RHN Bootstrap というツールを提供しています。 RHN Satellite Server インストールプログラム で欠くことのできない重要な役割を担い、インストール中にブートストラップスクリプトを生成可能にします。

RHN Proxy Server をご利用のお客様および Satellite の更新設定を行われたお客様の場合は単独使用が可能なブートストラップツールが必要になります。これはコマンド /usr/bin/rhn-bootstrap で呼び出される RHN Bootstrap により行われるため、 RHN Satellite Server と RHN Proxy Server の両方でデフォルトでインストールされています。

正しく使用すれば、このツールが生成するスクリプトはどのクライアントシステムからも実行でき次のようなタスクを処理します。

クライアントのアプリケーションを RHN Proxy または Satellite に転送します
カスタムの GPG キーをインポートします
SSL 証明書をインストールします
アクティベーションキーを使ってシステムを RHN および特定のシステムグループとチャンネルに登録します
パッケージの更新、再起動、 RHN 設定の変更など、設定後のさまざまな作業を実行します

ただし、設定作業にスクリプトを使用すること伴うリスクにも注意してください。 SSL 証明書などのセキュリティツールはスクリプト自体によってインストールされます。このため、証明書はシステム上にはまだ存在せず、トランザクションの処理に使用することはできません。これにより、 Satellite になりすまして偽のデータを送信される可能性が生じます。実際にはすべての Satellite とクライアントのシステムは顧客のファイアウォールの背後で動作することになり、外部からのトラフィックは制限されることになるためこうした可能性は軽減されることになります。登録は SSL 経由で行われるため保護されています。

ブートストラップスクリプト bootstrap.sh は自動的に RHN サーバーの /var/www/html/pub/bootstrap/ ディレクトリに置かれます。スクリプトはここからダウンロードされ全てのクライアントシステムで実行されます。次のセクションで説明しているように、準備や生成後の編集が必要いくつか必要になります。ツールの全オプションの一覧は「RHN Bootstrap のオプション」を参照してください。サンプルスクリプトについては付録A サンプルのブートストラップスクリプト を参照してください。

5.1. 準備
リンクのコピー

RHN Bootstrap (rhn-bootstrap) はクライアントシステムを正しく設定するために Red Hat Network のインフラストラクチャを構成している他のコンポーネントに依存します。スクリプトを生成する前にまずこれらのコンポーネントの準備を行う必要があります。最初に行っておくとよい準備を以下に示します。

スクリプトで呼び出されるアクティベーションキーを生成します。アクティベーションキーは Red Hat Enterprise Linux システムの登録、 RHN サービスレベルのエンタイトルメント付与、特定のチャンネルやシステムグループへのサブスクライブなどをすべて一度の動作で完了します。アクティベーションキーを使用するには利用可能な Management エンタイトルメントがあること、複数のアクティベーションキーを１度に含ませるには Provisioning エンタイトルメントが必要になる点に注意してください。 RHN ウェブサイトの (Proxy 用の中央 RHN サーバーか Satellite の完全修飾ドメイン名のいずれか) システム のカテゴリ内にある アクティベーションキー ページからアクティベーションキーを生成します。キーの作成方法と使用法については『RHN リファレンスガイド』の RHN ウェブサイトに関する章および Red Hat Update Agent を参照してください。
Red Hat では RPM をカスタムの GNU Privacy Guard (GPG) キーで署名しておくことを推奨しています。スクリプトから照合できるようにキーを使用可能にします。『RHN チャンネル管理ガイド』で説明してあるようにキーを生成してから、そのキーを 4章カスタム GPG キーをインポートする のように RHN サーバーの /var/www/html/pub/ ディレクトリに配置します。
CA SSL パブリック証明書の配備にスクリプトを使用したい場合は、その証明書またはその証明を含むパッケージ (RPM) をその RHN サーバーで使用できるようににしてから、スクリプト生成中に --ssl-cert オプションを付けて含ませます。詳細は 3章SSL インフラストラクチャ を参照してください。
再設定するシステムの種類に応じたブートストラップスクリプトを作成できるよう必要となる各種の値を手元に準備しておきます。 RHN Bootstrap では再設定オプションの全セットが提供されるため、各種システムのタイプに適したブートストラップスクリプトをそれぞれ生成することができます。例えば、ウェブサーバーの再設定には bootstrap-web-servers.sh、アプリケーションサーバーの場合は bootstrap-app-servers.sh を使用することができます。オプションの全一覧は「RHN Bootstrap のオプション」を参照してください。

5.2. 生成
リンクのコピー

これで必要なコンポーネントが全て整い、 RHN Bootstrap を使用して必要なスクリプトを生成できるようになりました。 RHN Satellite Server または RHN Proxy Server に root としてログインし、 rhn-bootstrap コマンドに該当するオプションと値を付けて発行します。オプションを含ませないと bootstrap.sh ファイルは bootstrap/ サブディレクトリ内に作成され、これにはホスト名、 SSL 証明書 (あれば)、 SSL と GPG の設定、 client-config-overrides.txt ファイルの呼び出しなどサーバーから派生した基本的な値が含まれます。

最低でも次のような方法でスクリプトにアクティベーションキー、 GPG キー、高度設定オプションも含ませることを強く推奨します。

--activation-keys オプションを使ってキーを含ませます。「準備」に記載されているエンタイトルメント要件を考慮に入れてください。
スクリプトの生成時に、 --gpg-key オプションを使ってキーのパスとファイル名を指定します。これ以外は、 --no-gpg オプションを使ってクライアントシステム側でこの確認作業をオフにします。 Red Hat ではセキュリティ対策としてこのオプションの使用を推奨します。
--allow-config-actions フラグを含ませてスクリプトで設定する全クライアントシステムでリモートによる設定管理を有効にします。複数のシステムを同時に再設定する場合に便利です。
--allow-remote-commands フラグを含ませて全てのクライアントシステムでリモートスクリプトの使用を有効にします。設定管理と同様、複数システムの再設定に便利な機能です。

上記を全て含ませると次のようになります。

	rhn-bootstrap --activation-keys KEY1,KEY2 \
		--gpg-key /var/www/html/pub/MY_CORPORATE_PUBLIC_KEY \
		--allow-config-actions \
		--allow-remote-commands

	rhn-bootstrap --activation-keys KEY1,KEY2 \
		--gpg-key /var/www/html/pub/MY_CORPORATE_PUBLIC_KEY \
		--allow-config-actions \
		--allow-remote-commands

Copy to Clipboard

Toggle word wrap

実際のキーの名前を含ませください。全オプションの一覧は「RHN Bootstrap のオプション」を参照してください。

5.3. スクリプトの使用
リンクのコピー

最後にスクリプトを使用する上での準備が完了したら実行準備が整ったことになります。 RHN Satellite Server または、RHN Proxy Server にログインして /var/www/html/pub/bootstrap/ ディレクトリに行き、次のコマンドを実行してシステムタイプに合うよう必要なホスト名とスクリプト名を変更します。

cat bootstrap-EDITED-NAME.sh | ssh root@CLIENT_MACHINE1 /bin/bash

cat bootstrap-EDITED-NAME.sh | ssh root@CLIENT_MACHINE1 /bin/bash

Copy to Clipboard

Toggle word wrap

安全性は低くなりますが、 wget や curl を使用して全クライアントシステムからそれぞれスクリプトを取り込み実行する方法があります。各クライアントマシンにログインして次のコマンドを発行し、スクリプトとホスト名をそれぞれ変更します。

wget -qO - \
https://your-satellite.example.com/pub/bootstrap/bootstrap-EDITED-NAME.sh \
| /bin/bash

wget -qO - \
https://your-satellite.example.com/pub/bootstrap/bootstrap-EDITED-NAME.sh \
| /bin/bash

Copy to Clipboard

Toggle word wrap

また curl を使用した場合は次のようになります。

curl -Sks \
https://your-satellite.example.com/pub/bootstrap/bootstrap-EDITED-NAME.sh \
| /bin/bash

curl -Sks \
https://your-satellite.example.com/pub/bootstrap/bootstrap-EDITED-NAME.sh \
| /bin/bash

Copy to Clipboard

Toggle word wrap

各クライアントシステムでスクリプトを実行する場合、すべて RHN サーバーを使用するように設定してください。

5.4. RHN Bootstrap のオプション
リンクのコピー

RHN Bootstrap ではクライアントのブートストラップスクリプト作成に多くのコマンドラインオプションを提供しています。オプションの説明は次の表にありますが、これらのオプションが RHN サーバーにインストールしているツールのバージョンで使用できるか確認する必要があります。確認を行うには、 rhn-bootstrap --help を発行するか man ページを参照してください。

Expand

表5.1 RHN Bootstrap のオプション
オプション	説明
`-h`, `--help`	ブートストラップスクリプト生成に固有のオプション一覧が記載されたヘルプ画面を表示します。
`--activation-keys=ACTIVATION_KEYS`	RHN Web サイトで定義したアクティベーションキーです。複数のエントリの場合はコンマで区切り空白は入れません。
`--overrides=OVERRIDES`	無視するファイル名です。デフォルトは client-config-overrides.txt です。
`--script=SCRIPT`	ブートストラップスクリプトのファイル名です。デフォルトは bootstrap.sh です。
`--hostname=HOSTNAME`	クライアントシステムの接続先となるサーバーの完全修飾ドメイン名 (FQDN) です。
`--ssl-cert=SSL_CERT`	パッケージまたは生の証明書となる企業または組織のパブリック SSL 証明書へのパスです。 `--pub-tree` オプションにコピーされます。 `""` の値で `--pub-tree` の検索を強制します。
`--gpg-key=GPG_KEY`	企業または組織のパブリック GPG キーへのパスです (使用する場合)。 `--pub-tree` オプションによって指定した場所にコピーされます。
`--http-proxy=HTTP_PROXY`	`hostname:port` の形式のクライアントシステム用 HTTP プロキシの設定です。 `""` の値でこの設定が無効になります。
`--http-proxy-username=HTTP_PROXY_USERNAME`	HTTP プロキシの認証に使用する場合はユーザー名を指定します。 `""` の値を使うとこの設定は無効になります。
`--http-proxy-password=HTTP_PROXY_PASSWORD`	HTTP プロキシの認証に使用する場合はパスワードを指定します。
`--allow-config-actions`	Boolean です。このオプションを含ませるとシステムは RHN 経由の設定動作はすべて許可するようになります。恐らくアクティベーションキーを使って特定の rhncfg-* パッケージをインストールする必要があります。
`--allow-remote-commands`	Boolean です。このオプションを含ませるとシステムは RHN 経由の任意のリモートコマンドを許可するようになります。おそらくアクティベーションキーを使って特定の rhncfg-* パッケージのインストールが必要になります。
`--no-ssl`	推奨できません。 Boolean です。このオプションを含ませるとクライアントシステムの SSL がオフになります。
`--no-gpg`	推奨できません。 Boolean です。このオプションを含ませるとクライアントシステム上で GPG のチェックがオフになります。
`--no-up2date`	推奨できません。 Boolean です。このオプションを含ませるとシステムのブートストラップ後は `up2date` が実行されないようにします。
`--pub-tree=PUB_TREE`	変更は推奨できません。 CA SSL 証書とパッケージが格納されるパブリックディレクトリのツリーです、ブートストラップディレクトリとスクリプト。デフォルトは `/var/www/html/pub/` です。
`--force`	推奨できません。 Boolean です。このオプションを含ませると警告を無視してブートストラップスクリプトの生成を強制します。
`-v`, `--verbose`	詳細なメッセージを表示します。表示レベルが累積的に詳細となり、 `-vvv` で最大の詳細レベル表示になります。

第6章設定スクリプトを手作業で作成する
リンクのコピー

本章では、ブートストラップスクリプトを生成する際に RHN Bootstrap の代りに使用できる方法を説明しています。記載されている説明に従うと、一から独自のブートストラップスクリプトを作成できるようになるはずです。

中央の場所に必要なファイル群を配備し、各クライアントでシンプルでスクリプト化が可能なコマンドを実行することで検索やインストールができるというのが共通して目的としているところです。本章では企業や組織内のいずれのシステムからでも呼び出すことができるスクリプトの作成について見ていくことにします。

前の章で説明したコマンドをもっとも実用的な順序で組み合わせると以下のようなスクリプトができます。 rhn_register は Red Hat Enterprise Linux 3 および 4 には存在しないので注意してください。

# First, install the latest client RPMs to the system.
rpm -Uvh \
	http://proxy-or-sat.example.com.com/pub/rhn_register-2.8.27-1.7.3.i386.rpm \
	http://proxy-or-sat.example.com.com/pub/rhn_register-gnome-2.8.27-1.7.3.i386.rpm \
	http://proxy-or-sat.example.com.com/pub/up2date-3.0.7-1.i386.rpm \
	http://proxy-or-sat.example.com.com/pub/up2date-gnome-3.0.7-1.i386.rpm

# Second, reconfigure the clients to talk to the correct server.

perl -p -i -e 's/s/www\.rhns\.redhat\.com/proxy-or-sat\.example\.com/g' \
	/etc/sysconfig/rhn/rhn_register \
	/etc/sysconfig/rhn/up2date


# Third, install the SSL client certificate for your company's
# RHN Satellite Server or RHN Proxy Server.
rpm -Uvh http://proxy-or-sat.example.com/pub/rhn-org-trusted-ssl-cert-*.noarch.rpm

# Fourth, reconfigure the clients to use the new SSL certificate.
perl -p -i -e 's/^sslCA/#sslCA/g;' \
	/etc/sysconfig/rhn/up2date /etc/sysconfig/rhn/rhn_register
echo "sslCACert=/usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT" \
	>> /etc/sysconfig/rhn/up2date
echo "sslCACert=/usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT" \
	>> /etc/sysconfig/rhn/rhn_register


# Fifth, download the GPG key needed to validate custom packages.
wget -O - -q http://proxy-or-sat.example.com.com/pub/YOUR-RPM-GPG-KEY


# Sixth, import that GPG key to your GPG keyring.
rpm --import /path/to/YOUR-RPM-GPG-KEY

# First, install the latest client RPMs to the system.
rpm -Uvh \
	http://proxy-or-sat.example.com.com/pub/rhn_register-2.8.27-1.7.3.i386.rpm \
	http://proxy-or-sat.example.com.com/pub/rhn_register-gnome-2.8.27-1.7.3.i386.rpm \
	http://proxy-or-sat.example.com.com/pub/up2date-3.0.7-1.i386.rpm \
	http://proxy-or-sat.example.com.com/pub/up2date-gnome-3.0.7-1.i386.rpm

# Second, reconfigure the clients to talk to the correct server.

perl -p -i -e 's/s/www\.rhns\.redhat\.com/proxy-or-sat\.example\.com/g' \
	/etc/sysconfig/rhn/rhn_register \
	/etc/sysconfig/rhn/up2date


# Third, install the SSL client certificate for your company's 
# RHN Satellite Server or RHN Proxy Server.
rpm -Uvh http://proxy-or-sat.example.com/pub/rhn-org-trusted-ssl-cert-*.noarch.rpm

# Fourth, reconfigure the clients to use the new SSL certificate.
perl -p -i -e 's/^sslCA/#sslCA/g;' \
	/etc/sysconfig/rhn/up2date /etc/sysconfig/rhn/rhn_register
echo "sslCACert=/usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT" \
	>> /etc/sysconfig/rhn/up2date
echo "sslCACert=/usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT" \
	>> /etc/sysconfig/rhn/rhn_register


# Fifth, download the GPG key needed to validate custom packages.
wget -O - -q http://proxy-or-sat.example.com.com/pub/YOUR-RPM-GPG-KEY


# Sixth, import that GPG key to your GPG keyring.
rpm --import /path/to/YOUR-RPM-GPG-KEY

Copy to Clipboard

Toggle word wrap

6 番目のステップは、 Red Hat Linux 3 やそれ以降を実行しているシステムに付随するためここにも記述されています。

このスクリプトは簡潔で反復可能なプロセスで構成されており、 Red Hat Network クライアントを設定して RHN Proxy Server や RHN Satellite Server への登録の準備を完了させることができるはずです。 RHN サーバーの URL、そのパブリックディレクトリ、実際の GPG キーなどの重要となる値はスクリプト内にあるプレースホルダーに入力する必要があります。また、使用環境に応じて追加の修正が必要となる場合があります。本スクリプトはほとんどこのままでも機能しますが参考として使用するようにしてください。

そのコンポーネントと同様、このスクリプトも中央に配置させることができます。スクリプトをサーバーの /pub/ ディレクトリ内に配置してそのサーバー上で wget -O- を実行し、その出力をシェルセッションにパイプすると、各クライアントからひとつのコマンドを使ってブートストラップの全プロセスを実行することができます。

wget -O - http://proxy-or-sat.example.com.com/pub/bootstrap_script | bash

wget -O - http://proxy-or-sat.example.com.com/pub/bootstrap_script | bash

Copy to Clipboard

Toggle word wrap

警告

Web 接続でパイプされた入力から直接シェルスクリプトを実行すれば当然、危険が伴います。したがってソースとなるサーバーの安全性を確保することが非常に重要となります。

この一行のコマンドはネットワーク上の全システムに呼び出すことができます。管理者が対象となる全システムに SSH アクセスができる場合は、システム一覧に対して繰り返し全システムで遠隔的にコマンドを実行する簡単な作業となるでしょう。また、既存のキックスタートスクリプトの %post セクションも追加することもできます。

第7章キックスタートを実装する
リンクのコピー

システムに設定変更をする最善のタイミングは、当然、そのシステムを最初に構成する時になります。既にキックスタートを効率的に使用している場合、ブートストラップを行うスクリプトをそのプロセスに追加するとなおよいでしょう。

設定に関する問題がすべて解決したら、 up2date および rhn_register RPM に同梱されている rhnreg_ks ユーティリティを使用してシステムをローカルの Red Hat Network サーバーに登録することができます。本章ではシステムを登録するために正しく rhnreg_ks を使用する方法について説明しています。

rhnreg_ks ユーティリティは アクティベーションキー を使用して 1 会の操作でシステムを指定チャンネルに登録しエンタイトルメントを付与、サブスクライブの手続きを素早く行います。アクティベーションキーについての詳細は『Red Hat Network Management リファレンスガイド』の Web サイトの章および Red Hat Update Agent を参照してください。

Red Hat Network を使用して最初から最後までシステムを設定する方法の最適な例を以下のコメント付きのキックスタートファイルで示します。

# Generic 7.2 kickstart for laptops in the Widget Corporation (widgetco)

# Standard kickstart options for a network-based install. For an
explanation of these options, consult the Red Hat Linux Customization
# Guide.

lang en_US
langsupport --default en_US en_US
keyboard defkeymap
network --bootproto dhcp
install
url --url ftp://ftp.widgetco.com/pub/redhat/linux/7.2/en/os/i386
zerombr yes
clearpart --all
part /boot	 --size 128 --fstype ext3 --ondisk hda
part /			 --size 2048 --grow --fstype ext3 --ondisk hda
part /backup --size 1024 --fstype ext3 --ondisk hda
part swap		--size 512 --ondisk hda
bootloader --location mbr
timezone America/New_York
rootpw --iscrypted $1$78Jnap82Hnd0PsjnC8j3sd2Lna/Hx4.
auth --useshadow --enablemd5 --krb5realm .COM --krb5kdc auth.widgetco.com \
	--krb5adminserver auth.widgetco.com
mouse --emulthree genericps/2
xconfig --card "S3 Savage/MX" --videoram 8192	--resolution 1024x768 \
	--depth 16 --defaultdesktop=GNOME --startxonboot --noprobe \
	 --hsync 31.5-48.5 --vsync 40-70

reboot

# Define a standard set of packages.	Note: Red Hat Network client
packages are found in Base.	This is quite a minimal set of packages;
# your mileage may vary.

%packages
@ Base
@ Utilities
@ GNOME
@ Laptop Support
@ Dialup Support
@ Software Development
@ Graphics and Image Manipulation
@ Games and Entertainment
@ Sound and Multimedia Support


# Now for the interesting part.

%post
( # Note that we run the entire %post section as a subshell for logging.

# Remember that nifty one-line command for the bootstrap script that we
went through? This is an ideal place for it. And assuming that the
script has been properly configured, it should prepare the system
# fully for usage of local Red Hat Network Servers.

wget -O- http://proxy-or-sat.example.com/pub/bootstrap_script | /bin/bash

# The following is an example of the usage of rhnreg_ks, the kickstart
utility for rhn_register. This demonstrates the usage of the
# --activationkey flag, which describes an activation key. For example,
this activation key could be set up in the Web interface to join this
system to the "Laptops" group and the local Widgetco "Laptop Software"
channel. Note that this section applies only to Proxy users, as this
# step is handled by the Satellite bootstrap script.
#
# For more information about activation keys, consult the Red Hat Network
# Management Reference Guide.

/usr/sbin/rhnreg_ks --activationkey=6c933ea74b9b002f3ac7eb99619d3374

# End the subshell and capture any output to a post-install log file.
) 1>/root/post_install.log 2>&1

# Generic 7.2 kickstart for laptops in the Widget Corporation (widgetco)

# Standard kickstart options for a network-based install. For an
# explanation of these options, consult the Red Hat Linux Customization 
# Guide.

lang en_US
langsupport --default en_US en_US
keyboard defkeymap
network --bootproto dhcp
install
url --url ftp://ftp.widgetco.com/pub/redhat/linux/7.2/en/os/i386
zerombr yes
clearpart --all
part /boot	 --size 128 --fstype ext3 --ondisk hda
part /			 --size 2048 --grow --fstype ext3 --ondisk hda
part /backup --size 1024 --fstype ext3 --ondisk hda
part swap		--size 512 --ondisk hda
bootloader --location mbr
timezone America/New_York
rootpw --iscrypted $1$78Jnap82Hnd0PsjnC8j3sd2Lna/Hx4.
auth --useshadow --enablemd5 --krb5realm .COM --krb5kdc auth.widgetco.com \
	--krb5adminserver auth.widgetco.com
mouse --emulthree genericps/2
xconfig --card "S3 Savage/MX" --videoram 8192	--resolution 1024x768 \
	--depth 16 --defaultdesktop=GNOME --startxonboot --noprobe \
	 --hsync 31.5-48.5 --vsync 40-70

reboot

# Define a standard set of packages.	Note: Red Hat Network client 
# packages are found in Base.	This is quite a minimal set of packages;
# your mileage may vary.

%packages
@ Base
@ Utilities
@ GNOME
@ Laptop Support
@ Dialup Support
@ Software Development
@ Graphics and Image Manipulation
@ Games and Entertainment
@ Sound and Multimedia Support


# Now for the interesting part.

%post
( # Note that we run the entire %post section as a subshell for logging.

# Remember that nifty one-line command for the bootstrap script that we
# went through? This is an ideal place for it. And assuming that the
# script has been properly configured, it should prepare the system
# fully for usage of local Red Hat Network Servers.

wget -O- http://proxy-or-sat.example.com/pub/bootstrap_script | /bin/bash

# The following is an example of the usage of rhnreg_ks, the kickstart
# utility for rhn_register. This demonstrates the usage of the 
# --activationkey flag, which describes an activation key. For example,
# this activation key could be set up in the Web interface to join this 
# system to the "Laptops" group and the local Widgetco "Laptop Software" 
# channel. Note that this section applies only to Proxy users, as this 
# step is handled by the Satellite bootstrap script. 
#
# For more information about activation keys, consult the Red Hat Network
# Management Reference Guide.

/usr/sbin/rhnreg_ks --activationkey=6c933ea74b9b002f3ac7eb99619d3374

# End the subshell and capture any output to a post-install log file.
) 1>/root/post_install.log 2>&1

Copy to Clipboard

Toggle word wrap

付録A サンプルのブートストラップスクリプト
リンクのコピー

RHN Satellite Server インストールプログラムにより生成された /var/www/html/pub/bootstrap/bootstrap.sh スクリプトを使用すると RHN サーバーに簡単にアクセスできるようにクライアントシステムを再設定することができます。 RHN Satellite Server および RHN Proxy Server ご利用のお客様は RHN Bootstrap ツールから入手することができます。使用にあわせてスクリプトを修正したら各クライアントマシンで実行することができます。

詳細についてはサンプルとハッシュマーク (#) で始まるコメントを確認してください。 5章RHN Bootstrap の使い方の手順に従ってスクリプトの使用準備を行います。

#!/bin/bash
echo "RHN Server Client bootstrap script v3.6"

# This file was autogenerated. Minor manual editing of this script (and
possibly the client-config-overrides.txt file) may be necessary to complete
the bootstrap setup. Once customized, the bootstrap script can be triggered
in one of two ways (the first is preferred):
#
 (1) centrally, from the RHN Server via ssh (i.e., from the
#			 RHN Server):
			cd /var/www/html/pub/bootstrap/
			cat bootstrap-<edited_name>.sh | ssh root@<client-hostname> /bin/bash
#
#	 ...or...
#
 (2) in a decentralized manner, executed on each client, via wget or curl:
			wget -qO-
https://<hostname>/pub/bootstrap/bootstrap-<edited_name>.sh \
# | /bin/bash
#				 ...or...
			curl -Sks
https://<hostname>/pub/bootstrap/bootstrap-<edited_name>.sh \
# | /bin/bash

# SECURITY NOTE:
#	 Use of these scripts via the two methods discussed is the most expedient
 way to register machines to your RHN Server. Since "wget" is used
 throughout the script to download various files, a "Man-in-the-middle"
#	 attack is theoretically possible.
#
#	 The actual registration process is performed securely via SSL, so the risk
#	 is minimized in a sense. This message merely serves as a warning.
#	 Administrators need to appropriately weigh their concern against the
#	 relative security of their internal network.

# PROVISIONING/KICKSTART NOTE:
#	 If provisioning a client, ensure the proper CA SSL public certificate is
 configured properly in the post section of your kickstart profiles (the
#	 RHN Satellite or hosted web user interface).

# UP2DATE/RHN_REGISTER VERSIONING NOTE:
#	 This script will not work with very old versions of up2date and
#	 rhn_register.


echo
echo
echo "MINOR MANUAL EDITING OF THIS FILE MAY BE REQUIRED!"
echo
echo "If this bootstrap script was created during the initial installation"
echo "of an RHN Satellite, the ACTIVATION_KEYS, and ORG_GPG_KEY values will"
echo "probably *not* be set (see below). If this is the case, please do the"
echo "following:"
echo "	- copy this file to a name specific to its use."
echo "		(e.g., to bootstrap-SOME_NAME.sh - like bootstrap-web-servers.sh.)"
echo "	- on the website create an activation key or keys for the system(s) to"
echo "		be registered."
echo "	- edit the values of the VARIABLES below (in this script) as"
echo "		appropriate:"
echo "		- ACTIVATION_KEYS needs to reflect the activation key(s) value(s)"
echo "			from the website. XKEY or XKEY,YKEY"
echo "		- ORG_GPG_KEY needs to be set to the name of the corporate public"
echo "			GPG key filename (residing in /var/www/html/pub) if appropriate."
echo
echo "Verify that the script variable settings are correct:"
echo "		- CLIENT_OVERRIDES should be only set differently if a customized"
echo "			client-config-overrides-VER.txt file was created with a different"
echo "			name."
echo "		- ensure the value of HOSTNAME is correct."
echo "		- ensure the value of ORG_CA_CERT is correct."
echo
echo "Enable this script: comment (with #'s) this block (or, at least just"
echo "the exit below)"
echo
exit 1

can be edited, but probably correct (unless created during initial install):
# NOTE: ACTIVATION_KEYS *must* be used to bootstrap a client machine.
ACTIVATION_KEYS=insert_activation_key_here
ORG_GPG_KEY=insert_org_gpg_pub_key_here

can be edited, but probably correct:
CLIENT_OVERRIDES=client-config-overrides.txt
HOSTNAME=your_rhn_server_host.example.com

ORG_CA_CERT=RHN-ORG-TRUSTED-SSL-CERT
ORG_CA_CERT_IS_RPM_YN=0

USING_SSL=1
USING_GPG=1

REGISTER_THIS_BOX=1

ALLOW_CONFIG_ACTIONS=0
ALLOW_REMOTE_COMMANDS=0

FULLY_UPDATE_THIS_BOX=1

#
# -----------------------------------------------------------------------------
# DO NOT EDIT BEYOND THIS POINT -----------------------------------------------
# -----------------------------------------------------------------------------
#

# an idea from Erich Morisse (of Red Hat).
use either wget *or* curl
# Also check to see if the version on the
machine supports the insecure mode and format
# command accordingly.
if [ -x /usr/bin/wget ] ; then
		output=`/usr/bin/wget --no-check-certificate 2>&1`
		error=`echo $output | grep "unrecognized option"`
		if [ -z "$error" ] ; then
				FETCH="/usr/bin/wget -q -r -nd --no-check-certificate"
		else
				FETCH="/usr/bin/wget -q -r -nd"
		fi

else
		if [ -x /usr/bin/curl ] ; then
				output=`/usr/bin/curl -k 2>&1`
				error=`echo $output | grep "is unknown"`
				if [ -z "$error" ] ; then
						FETCH="/usr/bin/curl -SksO"
				else
						FETCH="/usr/bin/curl -SsO"
				fi
		fi
fi

HTTP_PUB_DIRECTORY=http://${HOSTNAME}/pub
HTTPS_PUB_DIRECTORY=https://${HOSTNAME}/pub
if [ $USING_SSL -eq 0 ] ; then
		HTTPS_PUB_DIRECTORY=${HTTP_PUB_DIRECTORY}
fi
echo
echo "UPDATING RHN_REGISTER/UP2DATE CONFIGURATION FILES"
echo "-------------------------------------------------"
echo "* downloading necessary files"
echo "	client_config_update.py..."
rm -f client_config_update.py
$FETCH ${HTTPS_PUB_DIRECTORY}/bootstrap/client_config_update.py
echo "	${CLIENT_OVERRIDES}..."
rm -f ${CLIENT_OVERRIDES}
$FETCH ${HTTPS_PUB_DIRECTORY}/bootstrap/${CLIENT_OVERRIDES}

if [ ! -f "client_config_update.py" ] ; then
		echo "ERROR: client_config_update.py was not downloaded"
		exit 1
fi
if [ ! -f "${CLIENT_OVERRIDES}" ] ; then
		echo "ERROR: ${CLIENT_OVERRIDES} was not downloaded"
		exit 1
fi

echo "* running the update scripts"
if [ -f "/etc/sysconfig/rhn/rhn_register" ] ; then
		echo "	. rhn_register config file"
		/usr/bin/python -u client_config_update.py /etc/sysconfig/rhn/rhn_register \
		 ${CLIENT_OVERRIDES}
fi
echo "	. up2date config file"
/usr/bin/python -u client_config_update.py /etc/sysconfig/rhn/up2date \
 ${CLIENT_OVERRIDES}

if [ ! -z "$ORG_GPG_KEY" ] ; then
		echo
		echo "* importing organizational GPG key"
		rm -f ${ORG_GPG_KEY}
		$FETCH ${HTTPS_PUB_DIRECTORY}/${ORG_GPG_KEY}
		# get the major version of up2date
		res=$(rpm -q --queryformat '%{version}' up2date | sed -e 's/\..*//g')
		if [ $res -eq 2 ] ; then
				gpg $(up2date --gpg-flags) --import $ORG_GPG_KEY
		else
				rpm --import $ORG_GPG_KEY
		fi
fi

echo
echo "* attempting to install corporate public CA cert"
if [ $USING_SSL -eq 1 ] ; then
		if [ $ORG_CA_CERT_IS_RPM_YN -eq 1 ] ; then
				rpm -Uvh ${HTTP_PUB_DIRECTORY}/${ORG_CA_CERT}
		else
				rm -f ${ORG_CA_CERT}
				$FETCH ${HTTP_PUB_DIRECTORY}/${ORG_CA_CERT}
				mv ${ORG_CA_CERT} /usr/share/rhn/
		fi
fi

echo
echo "REGISTRATION"
echo "------------"
# Should have created an activation key or keys on the RHN Server's
# website and edited the value of ACTIVATION_KEYS above.
#
# If you require use of several different activation keys, copy this file and
# change the string as needed.
#
if [ -z "$ACTIVATION_KEYS" ] ; then
		echo "*** ERROR: in order to bootstrap RHN clients, an activation key or keys"
		echo "			must be created in the RHN web user interface, and the"
		echo "			corresponding key or keys string (XKEY,YKEY,...) must be mapped to"
		echo "			the ACTIVATION_KEYS variable of this script."
		exit 1
fi

if [ $REGISTER_THIS_BOX -eq 1 ] ; then
		echo "* registering"
		/usr/sbin/rhnreg_ks --force --activationkey "$ACTIVATION_KEYS"
		echo
		echo "*** this system should now be registered, please verify ***"
		echo
else
		echo "* explicitely not registering"
fi

echo
echo "OTHER ACTIONS"
echo "------------------------------------------------------"
if [ $FULLY_UPDATE_THIS_BOX -eq 1 ] ; then
		echo "up2date up2date; up2date -p; up2date -uf (conditional)"
else
		echo "up2date up2date; up2date -p"
fi
echo "but any post configuration action can be added here.	"
echo "------------------------------------------------------"
if [ $FULLY_UPDATE_THIS_BOX -eq 1 ] ; then
		echo "* completely updating the box"
else
		echo "* ensuring up2date itself is updated"
fi
/usr/sbin/up2date up2date
/usr/sbin/up2date -p
if [ $FULLY_UPDATE_THIS_BOX -eq 1 ] ; then
		/usr/sbin/up2date -uf
fi
echo "-bootstrap complete-"

#!/bin/bash
echo "RHN Server Client bootstrap script v3.6"

# This file was autogenerated. Minor manual editing of this script (and
# possibly the client-config-overrides.txt file) may be necessary to complete
# the bootstrap setup. Once customized, the bootstrap script can be triggered
# in one of two ways (the first is preferred):
#
#	 (1) centrally, from the RHN Server via ssh (i.e., from the
#			 RHN Server):
#				cd /var/www/html/pub/bootstrap/
#				cat bootstrap-<edited_name>.sh | ssh root@<client-hostname> /bin/bash
#
#	 ...or...
#
#	 (2) in a decentralized manner, executed on each client, via wget or curl:
#				wget -qO-
# https://<hostname>/pub/bootstrap/bootstrap-<edited_name>.sh \
# | /bin/bash
#				 ...or...
#				curl -Sks
# https://<hostname>/pub/bootstrap/bootstrap-<edited_name>.sh \
# | /bin/bash

# SECURITY NOTE:
#	 Use of these scripts via the two methods discussed is the most expedient
#	 way to register machines to your RHN Server. Since "wget" is used
#	 throughout the script to download various files, a "Man-in-the-middle"
#	 attack is theoretically possible.
#
#	 The actual registration process is performed securely via SSL, so the risk
#	 is minimized in a sense. This message merely serves as a warning.
#	 Administrators need to appropriately weigh their concern against the
#	 relative security of their internal network.

# PROVISIONING/KICKSTART NOTE:
#	 If provisioning a client, ensure the proper CA SSL public certificate is
#	 configured properly in the post section of your kickstart profiles (the
#	 RHN Satellite or hosted web user interface).

# UP2DATE/RHN_REGISTER VERSIONING NOTE:
#	 This script will not work with very old versions of up2date and
#	 rhn_register.


echo
echo
echo "MINOR MANUAL EDITING OF THIS FILE MAY BE REQUIRED!"
echo
echo "If this bootstrap script was created during the initial installation"
echo "of an RHN Satellite, the ACTIVATION_KEYS, and ORG_GPG_KEY values will"
echo "probably *not* be set (see below). If this is the case, please do the"
echo "following:"
echo "	- copy this file to a name specific to its use."
echo "		(e.g., to bootstrap-SOME_NAME.sh - like bootstrap-web-servers.sh.)"
echo "	- on the website create an activation key or keys for the system(s) to"
echo "		be registered."
echo "	- edit the values of the VARIABLES below (in this script) as"
echo "		appropriate:"
echo "		- ACTIVATION_KEYS needs to reflect the activation key(s) value(s)"
echo "			from the website. XKEY or XKEY,YKEY"
echo "		- ORG_GPG_KEY needs to be set to the name of the corporate public"
echo "			GPG key filename (residing in /var/www/html/pub) if appropriate."
echo
echo "Verify that the script variable settings are correct:"
echo "		- CLIENT_OVERRIDES should be only set differently if a customized"
echo "			client-config-overrides-VER.txt file was created with a different"
echo "			name."
echo "		- ensure the value of HOSTNAME is correct."
echo "		- ensure the value of ORG_CA_CERT is correct."
echo
echo "Enable this script: comment (with #'s) this block (or, at least just"
echo "the exit below)"
echo
exit 1

# can be edited, but probably correct (unless created during initial install):
# NOTE: ACTIVATION_KEYS *must* be used to bootstrap a client machine.
ACTIVATION_KEYS=insert_activation_key_here
ORG_GPG_KEY=insert_org_gpg_pub_key_here

# can be edited, but probably correct:
CLIENT_OVERRIDES=client-config-overrides.txt
HOSTNAME=your_rhn_server_host.example.com

ORG_CA_CERT=RHN-ORG-TRUSTED-SSL-CERT
ORG_CA_CERT_IS_RPM_YN=0

USING_SSL=1
USING_GPG=1

REGISTER_THIS_BOX=1

ALLOW_CONFIG_ACTIONS=0
ALLOW_REMOTE_COMMANDS=0

FULLY_UPDATE_THIS_BOX=1

#
# -----------------------------------------------------------------------------
# DO NOT EDIT BEYOND THIS POINT -----------------------------------------------
# -----------------------------------------------------------------------------
#

# an idea from Erich Morisse (of Red Hat).
# use either wget *or* curl
# Also check to see if the version on the 
# machine supports the insecure mode and format
# command accordingly.
if [ -x /usr/bin/wget ] ; then
		output=`/usr/bin/wget --no-check-certificate 2>&1`
		error=`echo $output | grep "unrecognized option"`
		if [ -z "$error" ] ; then
				FETCH="/usr/bin/wget -q -r -nd --no-check-certificate"
		else
				FETCH="/usr/bin/wget -q -r -nd"
		fi
		
else
		if [ -x /usr/bin/curl ] ; then
				output=`/usr/bin/curl -k 2>&1`
				error=`echo $output | grep "is unknown"`
				if [ -z "$error" ] ; then
						FETCH="/usr/bin/curl -SksO"
				else
						FETCH="/usr/bin/curl -SsO"
				fi
		fi
fi

HTTP_PUB_DIRECTORY=http://${HOSTNAME}/pub
HTTPS_PUB_DIRECTORY=https://${HOSTNAME}/pub
if [ $USING_SSL -eq 0 ] ; then
		HTTPS_PUB_DIRECTORY=${HTTP_PUB_DIRECTORY}
fi
echo
echo "UPDATING RHN_REGISTER/UP2DATE CONFIGURATION FILES"
echo "-------------------------------------------------"
echo "* downloading necessary files"
echo "	client_config_update.py..."
rm -f client_config_update.py
$FETCH ${HTTPS_PUB_DIRECTORY}/bootstrap/client_config_update.py
echo "	${CLIENT_OVERRIDES}..."
rm -f ${CLIENT_OVERRIDES}
$FETCH ${HTTPS_PUB_DIRECTORY}/bootstrap/${CLIENT_OVERRIDES}

if [ ! -f "client_config_update.py" ] ; then
		echo "ERROR: client_config_update.py was not downloaded"
		exit 1
fi
if [ ! -f "${CLIENT_OVERRIDES}" ] ; then
		echo "ERROR: ${CLIENT_OVERRIDES} was not downloaded"
		exit 1
fi

echo "* running the update scripts"
if [ -f "/etc/sysconfig/rhn/rhn_register" ] ; then
		echo "	. rhn_register config file"
		/usr/bin/python -u client_config_update.py /etc/sysconfig/rhn/rhn_register \
		 ${CLIENT_OVERRIDES}
fi
echo "	. up2date config file"
/usr/bin/python -u client_config_update.py /etc/sysconfig/rhn/up2date \
 ${CLIENT_OVERRIDES}

if [ ! -z "$ORG_GPG_KEY" ] ; then 
		echo
		echo "* importing organizational GPG key"
		rm -f ${ORG_GPG_KEY}
		$FETCH ${HTTPS_PUB_DIRECTORY}/${ORG_GPG_KEY}
		# get the major version of up2date
		res=$(rpm -q --queryformat '%{version}' up2date | sed -e 's/\..*//g')
		if [ $res -eq 2 ] ; then
				gpg $(up2date --gpg-flags) --import $ORG_GPG_KEY
		else
				rpm --import $ORG_GPG_KEY
		fi
fi

echo
echo "* attempting to install corporate public CA cert"
if [ $USING_SSL -eq 1 ] ; then
		if [ $ORG_CA_CERT_IS_RPM_YN -eq 1 ] ; then
				rpm -Uvh ${HTTP_PUB_DIRECTORY}/${ORG_CA_CERT}
		else
				rm -f ${ORG_CA_CERT}
				$FETCH ${HTTP_PUB_DIRECTORY}/${ORG_CA_CERT}
				mv ${ORG_CA_CERT} /usr/share/rhn/
		fi
fi

echo
echo "REGISTRATION"
echo "------------"
# Should have created an activation key or keys on the RHN Server's
# website and edited the value of ACTIVATION_KEYS above.
#
# If you require use of several different activation keys, copy this file and
# change the string as needed.
#
if [ -z "$ACTIVATION_KEYS" ] ; then
		echo "*** ERROR: in order to bootstrap RHN clients, an activation key or keys"
		echo "			must be created in the RHN web user interface, and the"
		echo "			corresponding key or keys string (XKEY,YKEY,...) must be mapped to"
		echo "			the ACTIVATION_KEYS variable of this script."
		exit 1
fi

if [ $REGISTER_THIS_BOX -eq 1 ] ; then
		echo "* registering"
		/usr/sbin/rhnreg_ks --force --activationkey "$ACTIVATION_KEYS"
		echo
		echo "*** this system should now be registered, please verify ***"
		echo
else
		echo "* explicitely not registering"
fi

echo
echo "OTHER ACTIONS"
echo "------------------------------------------------------"
if [ $FULLY_UPDATE_THIS_BOX -eq 1 ] ; then
		echo "up2date up2date; up2date -p; up2date -uf (conditional)"
else
		echo "up2date up2date; up2date -p"
fi
echo "but any post configuration action can be added here.	"
echo "------------------------------------------------------"
if [ $FULLY_UPDATE_THIS_BOX -eq 1 ] ; then
		echo "* completely updating the box"
else
		echo "* ensuring up2date itself is updated"
fi
/usr/sbin/up2date up2date
/usr/sbin/up2date -p
if [ $FULLY_UPDATE_THIS_BOX -eq 1 ] ; then
		/usr/sbin/up2date -uf
fi
echo "-bootstrap complete-"

Copy to Clipboard

Toggle word wrap

付録B 改訂履歴
リンクのコピー

改訂履歴

改訂 1-3.400

2013-10-31

Rüdiger Landmann

Rebuild with publican 4.0.0

改訂 1-3

2012-07-18

Anthony Towns

Rebuild for Publican 3.0

改訂 1-7

Fri Feb 27 2009

索引

シンボル

--configure

の使用法, up2date --configure オプション

アクティベーションキー

に登録する, Activation キーで登録を行う

キックスタート

の使用法, キックスタートを実装する

クライアントアプリケーション

のインストール, 最新の Red Hat Network クライアント RPM を配備する
の設定, クライアントアプリケーションを設定する

クライアント設定

Red Hat Update Agent , up2date --configure オプション

設定

サーバーのフェイルオーバー, サーバーのフェイルオーバーを実装する
完全にスクリプト化する, 設定スクリプトを手作業で作成する
手作業, 手動で設定ファイルを更新する

B

bootstrap.sh

サンプルファイル, サンプルのブートストラップスクリプト
準備と使用方法, RHN Bootstrap の使い方

G

GPG キー

をインポートする, カスタム GPG キーをインポートする

R

Red Hat Network Alert Notification Tool

Satellite に設定, Satellite で Red Hat Network Alert Notification Tool を設定する

Red Hat Update Agent

RHN Proxy Server または RHN Satellite Server を使用するよう設定する, 手動で設定ファイルを更新する

RHN Bootstrap

コマンドラインオプション, RHN Bootstrap のオプション
スクリプトを使用する, スクリプトの使用
スクリプトを生成する, 生成
使い方, RHN Bootstrap の使い方
準備する, 準備

RHN SSL Maintenance Tool

CA を生成する, 認証局の SSL キーペアを生成する
rhn-ssl-tool , RHN SSL Maintenance Tool
オプション, RHN SSL Maintenance Tool のオプション
サーバー証明書を生成する, Web サーバー SSL キーセットを生成する
生成の説明, SSL 生成の説明

rhn-ssl-tool

CA を生成する, 認証局の SSL キーペアを生成する
RHN SSL Maintenance Tool , RHN SSL Maintenance Tool
オプション, RHN SSL Maintenance Tool のオプション
サーバー証明書を生成する, Web サーバー SSL キーセットを生成する
生成の説明, SSL 生成の説明

S

SSL (Secure Sockets Layer)

概要, SSL の概要

SSL 証明書

のインストール, CA SSL パブリック証明書をクライアントに配備する
の設定, クライアントシステムを設定する
生成する, RHN SSL Maintenance Tool

法律上の通知
リンクのコピー

This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

クライアント設定ガイド

Red Hat Network Satellite

第1章 はじめにリンクのコピーリンクがクリップボードにコピーされました!

第2章 クライアントアプリケーションリンクのコピーリンクがクリップボードにコピーされました!

2.1. 最新の Red Hat Network クライアント RPM を配備するリンクのコピーリンクがクリップボードにコピーされました!

2.2. クライアントアプリケーションを設定するリンクのコピーリンクがクリップボードにコピーされました!

2.2.1. Activation キーで登録を行うリンクのコピーリンクがクリップボードにコピーされました!

2.2.2. up2date --configure オプションリンクのコピーリンクがクリップボードにコピーされました!

2.2.3. 手動で設定ファイルを更新するリンクのコピーリンクがクリップボードにコピーされました!

2.2.4. サーバーのフェイルオーバーを実装するリンクのコピーリンクがクリップボードにコピーされました!

2.3. パッケージアップデーターのアプレットリンクのコピーリンクがクリップボードにコピーされました!

2.4. Satellite で Red Hat Network Alert Notification Tool を設定するリンクのコピーリンクがクリップボードにコピーされました!

第3章 SSL インフラストラクチャリンクのコピーリンクがクリップボードにコピーされました!

3.1. SSL の概要リンクのコピーリンクがクリップボードにコピーされました!

3.2. RHN SSL Maintenance Toolリンクのコピーリンクがクリップボードにコピーされました!

3.2.1. SSL 生成の説明リンクのコピーリンクがクリップボードにコピーされました!

3.2.2. RHN SSL Maintenance Tool のオプションリンクのコピーリンクがクリップボードにコピーされました!

3.2.3. 認証局の SSL キーペアを生成するリンクのコピーリンクがクリップボードにコピーされました!

3.2.4. Web サーバー SSL キーセットを生成するリンクのコピーリンクがクリップボードにコピーされました!

3.3. CA SSL パブリック証明書をクライアントに配備するリンクのコピーリンクがクリップボードにコピーされました!

3.4. クライアントシステムを設定するリンクのコピーリンクがクリップボードにコピーされました!

第4章 カスタム GPG キーをインポートするリンクのコピーリンクがクリップボードにコピーされました!

第5章 RHN Bootstrap の使い方リンクのコピーリンクがクリップボードにコピーされました!

5.1. 準備リンクのコピーリンクがクリップボードにコピーされました!

5.2. 生成リンクのコピーリンクがクリップボードにコピーされました!

5.3. スクリプトの使用リンクのコピーリンクがクリップボードにコピーされました!

5.4. RHN Bootstrap のオプションリンクのコピーリンクがクリップボードにコピーされました!

第6章 設定スクリプトを手作業で作成するリンクのコピーリンクがクリップボードにコピーされました!

第7章 キックスタートを実装するリンクのコピーリンクがクリップボードにコピーされました!

付録A サンプルのブートストラップスクリプトリンクのコピーリンクがクリップボードにコピーされました!

付録B 改訂履歴リンクのコピーリンクがクリップボードにコピーされました!

索引

シンボル

B

G

R

S

法律上の通知リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第1章はじめに
リンクのコピー

第2章クライアントアプリケーション
リンクのコピー

2.1. 最新の Red Hat Network クライアント RPM を配備する
リンクのコピー

2.2. クライアントアプリケーションを設定する
リンクのコピー

2.2.1. Activation キーで登録を行う
リンクのコピー

2.2.2. up2date --configure オプション
リンクのコピー

2.2.3. 手動で設定ファイルを更新する
リンクのコピー

2.2.4. サーバーのフェイルオーバーを実装する
リンクのコピー

2.3. パッケージアップデーターのアプレット
リンクのコピー

2.4. Satellite で Red Hat Network Alert Notification Tool を設定する
リンクのコピー

第3章 SSL インフラストラクチャ
リンクのコピー

3.1. SSL の概要
リンクのコピー

3.2. RHN SSL Maintenance Tool
リンクのコピー

3.2.1. SSL 生成の説明
リンクのコピー

3.2.2. RHN SSL Maintenance Tool のオプション
リンクのコピー

3.2.3. 認証局の SSL キーペアを生成する
リンクのコピー

3.2.4. Web サーバー SSL キーセットを生成する
リンクのコピー

3.3. CA SSL パブリック証明書をクライアントに配備する
リンクのコピー

3.4. クライアントシステムを設定する
リンクのコピー

第4章カスタム GPG キーをインポートする
リンクのコピー

第5章 RHN Bootstrap の使い方
リンクのコピー

5.1. 準備
リンクのコピー

5.2. 生成
リンクのコピー

5.3. スクリプトの使用
リンクのコピー

5.4. RHN Bootstrap のオプション
リンクのコピー

第6章設定スクリプトを手作業で作成する
リンクのコピー

第7章キックスタートを実装する
リンクのコピー

付録A サンプルのブートストラップスクリプト
リンクのコピー

付録B 改訂履歴
リンクのコピー

法律上の通知
リンクのコピー