Red Hat Network Satellite 5.4 Guide d'installation Red Hat Network Satellite
Guide d'installation Red Hat Network Satellite 5.4 Guide d'installation Red Hat Network Satellite Édition 1 Copyright 2010 Red Hat, Inc. The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version. Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law. Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries. Linux is the registered trademark of Linus Torvalds in the United States and other countries. Java is a registered trademark of Oracle and/or its affiliates. XFS is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries. MySQL is a registered trademark of MySQL AB in the United States, the European Union and other countries. All other trademarks are the property of their respective owners. 1801 Varsity Drive Raleigh, NC 27606-2072 USA Phone: +1 919 754 3700 Phone: 888 733 4281 Fax: +1 919 754 3701 Bienvenue sur le Guide d'installation RHN Satellite
1. Introduction 1 1.1. Red Hat Network... 1 1.2. RHN Satellite... 1 1.3. Termes à comprendre... 2 1.4. Comment cela fonctionne... 3 1.5. Résumé des étapes... 5 1.6. Mises à niveau... 6 1.6.1. Certificat Satellite... 7 1.6.2. Paquetage de documentation de mise à jour de Satellite (rhn-upgrade)... 7 1.6.3. Nouvelle installation ISO... 7 2. Besoins 9 2.1. Besoins logiciels... 9 2.2. Besoins matériels... 10 2.2.1. Besoins matériels sur x86 et x86_64... 10 2.2.2. Besoins matériels s/390... 11 2.2.3. Besoins supplémentaires... 12 2.3. Besoins de bases de données... 12 2.4. Besoins supplémentaires... 14 3. Exemples de topologies 19 3.1. Topologie d'un seul satellite... 19 3.2. Topologie de plusieurs satellites en plusieurs niveaux horizontaux... 19 3.3. Topologie de satellites et proxies en plusieurs niveaux verticaux... 20 4. Installation 23 4.1. Installation de base... 23 4.2. Programme d'installation du RHN Satellite... 23 4.2.1. Options du programme d'installation du Satellite... 32 4.3. Installation du serveur Satellite RHN automatisée... 33 4.4. Installer un Satellite derrière un proxy HTTP... 33 4.5. Configuration de sendmail... 34 4.6. Installation de MySQL... 35 5. Droits d'accès 37 5.1. Réception du certificat... 37 5.2. Téléchargement du certificat de droits d'accès de RHN... 38 5.3. Gestion du certificat de RHN avec RHN Satellite Activate... 38 5.3.1. Options de droits d'accès en ligne de commande... 38 5.3.2. Activer le Satellite... 39 5.4. Expiration du certificat de droits d'accès du Satellite... 39 6. Import et synchronisation 41 6.1. Export avec RHN Satellite Synchronization Tool... 41 6.1.1. rhn-satellite-exporter... 41 6.1.2. Export... 43 6.2. Import avec RHN Satellite Synchronization Tool... 43 6.2.1. satellite-sync... 43 6.2.2. Préparation de l'import à partir du média local... 46 6.2.3. Exécution de l'import... 48 6.3. Synchronisation... 49 6.3.1. Synchronisation d'errata et de paquetages directement via RHN... 50 6.3.2. Synchronisation d'errata et de paquetages via le média local... 50 6.4. Inter-satellite Sync (synchronisation inter-satellite)... 50 6.4.1. Modèles recommandés pour la synchronisation inter-satellite.... 51 6.4.2. Configurer le serveur principal RHN Satellite... 52 iii
Guide d'installation 6.4.3. Configurer les serveurs esclave RHN Satellite... 52 6.5. Utiliser Inter-Satellite Sync... 53 6.5.1. Synchroniser entre un serveur d'étape de développement (Development Staging Server) et un satellite de production... 53 6.5.2. Synchronisation bi-directionnelle... 54 6.6. Synchronisation par organisation... 54 7. Résolution de problèmes 57 7.1. Rassembler des informations avec spacewalk-report... 57 7.2. Fichiers journaux... 58 7.3. Problèmes généraux... 59 7.4. Impossible de trouver l'hôte / Impossible de déterminer le FQDN... 61 7.5. Erreurs de connexion... 61 7.6. Problèmes SELinux... 62 7.7. Mettre à jour les composants logiciel... 63 7.8. Débogage du Satellite par Red Hat... 63 8. Maintenance 65 8.1. Gérer le Satellite avec rhn-satellite... 65 8.2. Mise à jour du Satellite... 65 8.3. Sauvegarde du Satellite... 66 8.4. Utilisation du RHN DB Control... 67 8.4.1. Options du contrôle de bases de données... 67 8.4.2. Sauvegarde de la base de données... 69 8.4.3. Vérification de la sauvegarde... 69 8.4.4. Restauration de la base de données... 70 8.5. Clonage du Satellite avec la Embedded Database... 70 8.6. Établissement de Satellites redondants avec la Stand-Alone Database... 71 8.7. Changer le nom d'hôte du Satellite... 72 8.8. Tâches spécifiques au Satellite... 73 8.8.1. Utilisation du menu Tools (outils)... 73 8.8.2. Suppression d'utilisateurs... 74 8.8.3. Configuration de la recherche Satellite... 75 8.9. Automatisation de la synchronisation... 76 8.10. Implémentation de l'authentification PAM... 77 8.11. Autoriser le déploiement sur les clients... 78 A. Exemple de fichier de configuration du RHN Satellite 81 B. Historique de révision 83 Index 85 iv
Chapitre 1. Introduction Le RHN Satellite offre une solution aux sociétés qui demandent un contrôle absolu et une confidentialité sur la maintenance et le déploiement de paquetages de leurs serveurs. Il offre aux clients de Red Hat Network la plus grande flexibilité et le plus grand pouvoir pour garder des serveurs sécurisés et mis à jour. Deux types de RHN Satellite sont disponibles. L'un avec une base de données autonome sur une machine différente et l'autre avec une base de données intégrée installée sur la même machine que le Satellite. Ce guide décrit l'installation des deux types de Satellite. Bien que les deux types de RHN Satellite sont similaires au niveau de leurs fonctionnalités, il existe également certaines différences. Ces variations sont tout d'abord isolées aux besoins matériels, aux étapes d'installation et aux activités de maintenance, mais peuvent également apparaître durant la résolution de problèmes. Ce guide identifie les différences entre les types de Satellite en indiquant les instructions différentes pour la Stand-Alone Database ou la Embedded Database. 1.1. Red Hat Network Red Hat Network (RHN) est l'environnement pour l'assistance au niveau du système et la gestion de systèmes et de groupes de systèmes Red Hat. Red Hat Network rassemble les outils, les services et les dépôts d'informations nécessaires pour maximiser la fiabilité, la sécurité et la performance de leurs systèmes. Pour utiliser RHN, les administrateurs système enregistrent les profils logiciels et matériels, appelés Profils de système, de leurs systèmes client avec Red Hat Network. Lorsqu'un système client demande des mises à jour de paquetages, seuls les paquetages disponibles pour le client sont retournés (selon le profil logiciel stocké sur les serveurs RHN). Parmi les avantages de l'utilisation de Red Hat Network figurent : Modulabilité avec Red Hat Network, un seul administrateur système peut configurer et maintenir des centaines ou des milliers de systèmes Red Hat plus facilement, plus exactement et plus rapidement que ce même administrateur pourrait maintenir un seul système sans Red Hat Network. Protocoles standards des protocoles standards sont utilisés pour maintenir la sécurité et augmenter les capacités. Par exemple, XML-RPC permet à Red Hat Network d'effectuer bien plus que simplement télécharger des fichiers. Sécurité toutes les communications entre les systèmes enregistrés et Red Hat Network se produisent sur des connexions internet sécurisées. Afficher des alertes d'errata vous pouvez facilement afficher les alertes d'errata pour tous vos systèmes client grâce à un seul site Web. Actions programmées utilisez le site Web pour programmer des actions, y compris des mises à jour d'errata, des installations de paquetages et des mises à jour de profils logiciels. Simplification la maintenance de systèmes Red Hat devient un processus plus simple et automatisé. 1.2. RHN Satellite Le RHN Satellite permet aux sociétés d'utiliser les avantages de Red Hat Network sans avoir à fournir un accès internet public à leurs serveurs ou à d'autres systèmes client. Les profils de système sont stockés localement sur le RHN Satellite du client. Le site Web de Red Hat Network est servi depuis un serveur Web local et n'est pas accessible depuis l'internet. Toutes les tâches de gestion de paquetages, y compris les mises à jour d'errata, sont effectuées via le réseau local. 1
Chapitre 1. Introduction Parmi les avantages de l'utilisation du RHN Satellite figurent : Sécurité une connexion sécurisée bout à bout est maintenue depuis les systèmes client jusqu'au RHN Satellite sans se connecter à l'internet public. Efficacité les paquetages sont fournis bien plus rapidement sur un réseau local. Contrôle les profils de système des clients sont stockés sur le RHN Satellite local, et non pas sur les serveurs Red Hat Network centraux. Mises à jour personnalisées créez un système de livraison de paquetages automatisé pour les paquetages logiciels personnalisés requis par les systèmes client, ainsi que les paquetages Red Hat. Des canaux personnalisés permettent un contrôle fin de la livraison de paquetages personnalisés. Contrôle de l'accès les administrateurs système peuvent être limités à accéder uniquement aux systèmes au sein de leurs responsabilités de maintenance. Gestion de largeur de bande la largeur de bande utilisée pour les transactions entre les clients et le RHN Satellite est contrôlée par l'organisation sur le réseau local ; les clients du RHN Satellite n'ont pas à rivaliser avec d'autres clients pour accéder aux serveurs de fichiers Red Hat Network centraux. Modulabilité le RHN Satellite peut surveiller tous les serveurs d'une société entière avec le RHN Proxy Server. 1.3. Termes à comprendre Avant de pouvoir comprendre le RHN Satellite, il est important de se familiariser aux termes de Red Hat Network suivants : Canal un canal est une liste de paquetages de logiciels. Il existe deux types de canaux : les canaux de base et les canaux enfants. Un canal de base est composé d'une liste de paquetages basés sur une architecture et une édition de Red Hat spécifiques. Un canal enfant est un canal associé à un canal de base mais qui contient des paquetages supplémentaires. Organization Administrator un Organization Administrator est un rôle d'utilisateur possédant le plus haut niveau de contrôle sur le compte Red Hat Network d'une organisation. Les membres de ce rôle peuvent ajouter d'autres utilisateurs, systèmes et groupes de systèmes à l'organisation ainsi que les supprimer. Une organisation Red Hat Network doit avoir au moins un Organization Administrator. Administrateur de canaux un administrateur de canaux est un rôle d'utilisateur possédant un accès total aux capacités de gestion de canaux. Les utilisateurs avec ce rôle peuvent créer des canaux, attribuer des paquetages aux canaux, cloner des canaux et supprimer des canaux. Ce rôle peut être assigné par un Organization Administrator sous l'onglet Users (utilisateurs) du site Web de RHN. Autorité de Certification Une autorité chargée de distribuer les certificats envoie des signatures digitales avec les clés publiques d'infrastructures aux utilisateurs pour la communication et l'authentification cryptée. Red Hat Update Agent L'Red Hat Update Agent est l'application client de Red Hat Network qui permet aux utilisateurs d'obtenir et d'installer des nouveaux paquetages ou des paquetages mis à jour pour le système client sur lequel l'application est exécutée. Pour les utilisateurs de Red Hat 2
Comment cela fonctionne Enterprise Linux 5, utilisez la commande yum ; Pour Red Hat Enterprise Linux 4 et les versions précédentes, utilisez la commande up2date. Traceback un traceback est une description détaillée de "ce qui n'a pas marché", ce qui est utile pour la résolution de problèmes sur le RHN Satellite. Les tracebacks sont automatiquement générés lorsqu'une erreur critique se produit et sont envoyés par courrier électronique aux personnes indiquées dans le fichier de configuration du RHN Satellite. Pour obtenir des explications plus détaillées sur ces termes et sur d'autres, consultez le Guide de référence de Red Hat Network. 1.4. Comment cela fonctionne Le RHN Satellite comprend les composants suivants : Base de données pour la Stand-Alone Database, la base de données existante de l'organisation ou, de préférence, une machine séparée, peut être utilisée. Le RHN Satellite prend en charge la base de données Oracle Database 10g R2, Standard ou Edition Entreprise. Pour la Embedded Database, la base de données est intégrée avec le RHN Satellite et est installée sur la même machine que le Satellite durant l'installation. RHN Satellite "logique applicative" centrale et point d'entrée pour l'red Hat Update Agent en cours d'exécution sur les systèmes client. Le RHN Satellite inclut également un serveur HTTP Apache (servant des requêtes XML-RPC). Interface Web du RHN Satellite interface de gestion avancée de systèmes, groupes de systèmes, utilisateurs et canaux. Dépôt de RPM dépôt de paquetages pour les paquetages RPM de Red Hat et les paquetages RPM personnalisés identifiés par l'organisation. Outils de gestion : Outils de synchronisation de bases de données et de systèmes de fichiers Outils d'import de RPM Outils de maintenance de canaux (basés sur le Web) Outils de gestion d'errata (basés sur le Web) Outils de gestion d'utilisateurs (basés sur le Web) Outils de regroupement de systèmes client et de systèmes (basés sur le Web) Red Hat Update Agent sur les systèmes client L'Red Hat Update Agent sur les systèmes client doit être reconfiguré pour obtenir des mises à jour depuis le RHN Satellite interne de l'organisation au lieu des serveurs Red Hat Network centraux. Après cette reconfiguration, les systèmes client peuvent obtenir des mises à jour localement à l'aide de l'red Hat Update Agent. Les administrateurs système peuvent également programmer des actions via le site Web du RHN Satellite. 3
Chapitre 1. Introduction Important Red Hat recommande fortement que les clients connectés au RHN Satellite utilisent la dernière version de Red Hat Enterprise Linux pour assurer une bonne connectivité. Lorsqu'un client demande des mises à jour, le RHN Satellite interne de l'organisation interroge sa base de données, authentifie le système client, identifie les paquetages mis à jour disponibles au système client et renvoie les RPM demandés au système client. Selon les préférences du client, les paquetages peuvent également être installés. Si les paquetages sont installés, le système client envoie un profil de paquetage mis à jour à la base de données sur le RHN Satellite ; ces paquetages sont supprimés de la liste de paquetages périmés pour le client. L'organisation peut configurer le site Web de façon à ce que le RHN Satellite soit accessible uniquement depuis le réseau local ou depuis le réseau local et Internet. La version du Satellite du site Web de RHN permet un contrôle total sur les systèmes client, les groupes de systèmes et les utilisateurs. Les outils de gestion du RHN Satellite sont utilisés pour synchroniser la base de données et le dépôt de paquetages du RHN Satellite avec Red Hat Network. L'outil d'import du RHN Satellite permet à l'administrateur système d'inclure des paquetages RPM personnalisés au dépôt de paquetages. Le RHN Satellite peut être utilisé avec le RHN Proxy Server pour fournir un déploiement distribué et autonome de Red Hat Network pour l'organisation. Par exemple, une organisation peut maintenir un RHN Satellite dans un emplacement sécurisé. Les systèmes Red Hat ayant un accès par réseau local au RHN Satellite peuvent s'y connecter. D'autres bureaux distants peuvent maintenir des installations de RHN Proxy Server qui se connectent au RHN Satellite. Les différents emplacements au sein de l'organisation doivent être mis en réseau, mais cela peut être un réseau privé. Une connexion internet n'est nécessaire pour aucun des systèmes. Consultez le Guide d'installation du RHN Proxy Server (RHN Proxy Server Installation Guide) pour obtenir davantage d'informations. 4
Résumé des étapes Figure 1.1. Utiliser un RHN Satellite et un RHN Proxy Server ensemble 1.5. Résumé des étapes L'implémentation d'un RHN Satellite fonctionnel demande plus que l'installation du logiciel et d'une base de données. Les systèmes client doivent être configurés de façon à utiliser le Satellite. Les paquetages et les canaux personnalisés devraient être créés pour une utilisation optimale. Comme ces tâches vont au-delà d'une installation basique, elles sont présentées en détails dans d'autres guides, ainsi que dans ce Guide d'installation du RHN Satellite. Pour obtenir une liste complète de documents techniques nécessaires, consultez le Chapitre 2, Besoins. Pour cette raison, le but de cette section est de fournir une liste définitive de toutes les étapes nécessaires et recommandées, de l'évaluation au déploiement de paquetages personnalisés. Vous devriez suivre l'ordre suivant : 1. Après une évaluation, contactez votre représentant de ventes Red Hat pour acheter le RHN Satellite. 2. Votre contact Red Hat vous enverra votre certificat de droits RHN par courrier électronique. 3. Votre contact Red Hat créera un compte ayant des droits d'accès au Satellite sur le site Web de RHN et vous enverra les informations de connexion. 4. Connectez-vous sur le site Web de RHN (rhn.redhat.com) et téléchargez les ISO de distribution pour Red Hat Enterprise Linux AS 4 ou Red Hat Enterprise Linux 5 et pour RHN Satellite. Ceuxci se trouvent sous l'onglet Downloads (téléchargements) des pages Channel Details (détails sur les canaux) respectives. Consultez le Guide de référence de RHN pour obtenir de plus amples informations. 5
Chapitre 1. Introduction 5. Tout en étant connecté sur le site Web de RHN, téléchargez les ISO de contenu de canaux à être servies par votre Satellite, également disponibles sous l'onglet Downloads de la page Channel Details de votre Satellite. Ces ISO sont différentes des ISO de distribution mentionnées auparavant. En effet, elles contiennent les métadonnées nécessaires à l'analyse et au service de paquetages par Satellite. 6. Si vous installez une Stand-Alone Database, préparez votre instance de base de données à l'aide de la formule donnée dans le Chapitre 2, Besoins. 7. Installez Red Hat Enterprise Linux, puis le RHN Satellite sur la machine Satellite. 8. Créez le premier compte utilisateur sur le Satellite en ouvrant le nom d'hôte du Satellite dans un navigateur Web et en cliquant sur Create Account (créer un compte). Ce compte sera celui de l'administrateur du Satellite (également appelé le compte de l'organization Administrator). 9. Utilisez l'rhn Satellite Synchronization Tool pour importer les canaux et les paquetages associés dans le Satellite. 10. Enregistrez une machine représentative pour chaque type de distribution, ou canal (Red Hat Enterprise Linux 4 ou 5), au Satellite. 11. Copiez (à l'aide de SCP) les fichiers de configuration rhn_register et up2date depuis le répertoire /etc/sysconfig/rhn/ de chaque machine individuellement dans le répertoire / pub/ sur le Satellite. Le fichier rhn-org-trusted-ssl-cert-*.noarch.rpm sera déjà là. 12. Téléchargez et installez depuis le Satellite les fichiers de configuration et le fichier rhn-orgtrusted-ssl-cert-*.noarch.rpm sur les systèmes client restants du même type de distribution. Répétez cette étape et l'étape précédente pour tous les types de distribution. 13. Via le site Web du Satellite, créez une clé d'activation pour chaque distribution correspondant au canal de base approprié. À ce stade, les groupes de systèmes et les canaux enfants peuvent également être prédéfinis. 14. Exécutez ensuite la clé d'activation depuis la ligne de commande (rhnreg_ks) de chaque système client. Notez qu'un script peut être utilisé pour cette étape pour enregistrer et reconfigurer en groupe tous les systèmes client restants dans une distribution. 15. Enregistrez tous les noms d'utilisateur, mots de passe et autres informations de connexion appropriés et stockez-les dans plusieurs endroits sécurisés. 16. Maintenant que le Satellite possède des canaux et des paquetages Red Hat standards, et que tous les clients y sont connectés, vous pouvez commencer à créer et à servir des canaux et des paquetages personnalisés. Une fois les RPM personnalisés développés, vous pouvez les importer dans le Satellite en utilisant l'application RHN Push et ajouter des canaux personnalisés pour les stocker via le site Web du Satellite. Consultez le Guide de gestion de canaux RHN (RHN Channel Management Guide) pour davantage d'informations. 1.6. Mises à niveau Pour mettre à niveau un Satellite d'une version à l'autre, on a besoin des éléments suivants : Certificat Satellite Paquetage de documentation de mise à jour de Satellite (rhn-upgrade) Nouvelle installation ISO 6
Certificat Satellite 1.6.1. Certificat Satellite Pour obtenir un certificat Satellite, consultez le support Red Hat à http://support.redhat.com. 1.6.2. Paquetage de documentation de mise à jour de Satellite (rhnupgrade) Pour installer le paquetage rhn-upgrade, veillez à ce que le satellite soit bien enregistré avec RHN et avec le canal Red Hat Network Satellite Channel, puis utilisez l'outil de mise à jour de paquetages de votre version de Red Hat Enterprise Linux pour installer le paquetage rhn-upgrade avec la commande suivante (pour Red Hat Enterprise Linux 5 et versions plus récentes) : yum install rhn-upgrade Pour les utilisateurs de Red Hat Enterprise Linux 4, utiliser la commande suivante : up2date rh-upgrade Ce paquetage peut aussi être téléchargé directement depuis Red Hat Network en procédant aux étapes suivantes : 1. Connectez-vous à l'interface web RHN Hosteds sur https://rhn.redhat.com/. 2. Cliquez sur l'onglet Canaux 3. Sous Filtrer par canal de produit sélectionnez Produits Red Hat Network, puis votre version actuelle du RHN Satellite, et sélectionnez finalement l'architecture de votre serveur Satellite depuis les menus déroulant. 4. Pressez sur le bouton Filtrer. 5. Cliquez pour étendre l'arbre Red Hat Enterprise Linux de votre version du système d'exploitation de base. 6. Cliquez sur le lien dans la colonne Architecture correspondant au Satellite Red Hat Network. 7. Cliquez sur le sous-onglet Paquetages. 8. Dans la boîte de texte Filtrer par paquetage, saisissez rhn-upgrade, puis pressez sur Aller. 9. Cliquez sur la dernière version du paquetage rhn-upgrade pour la version du Satellite avec laquelle vous vous mettez à niveau. 10. Cliquez sur le lien Télécharger le paquetage. 11. Copiez le paquetage sur le serveur Satellite. 12. Sur le serveur Satellite, exécutez la commande suivante : rpm -Uvh rhn-upgrade-version.rpm 1.6.3. Nouvelle installation ISO Cette image ISO peut être déchargée en passant par les étapes suivantes : 7
Chapitre 1. Introduction 1. Connectez vous dans RHN 2. Cliquez sur Software Downloads (déchargement de programmes) sur la gauche de l'écran. 3. Naviguez vers la version de Red Hat Enterprise Linux que vous utilisez actuellement 4. Cliquez sur la dernière version de RHN Satellite 5. Puis choisissez soit la base de données Oracle Database ISO, soit la version non-intégrée Une fois que vous avez suivi toutes ce étapes, reportez-vous aux instructions de mise à niveau d'un Satellite dans le fichier /etc/sysconfig/rhn/satellite-upgrade/readme du paquetage rhnupgrade. Important Si vous effectuez une mise à niveau du RHN Satellite 5.2 ou des versions précédentes vers le RHN Satellite 5.3 ou vers une version plus récente, sachez que les fichiers kickstart créés dans les précédentes version devront être mis à jour pour fonctionner sur votre Satellite mis à niveau. Par exemple, si le fichier kickstart du RHN Satellite 5.2 pointait vers l'url suivant : http://satellite.example.com/kickstart/dist/ks-rhel-i386-server-5 Vous devrez changer l'url de la manière suivante après avoir mis à niveau vers le RHN Satellite 5.3 ou vers une version plus récente : http://satellite.example.com/ks/dist/ks-rhel-i386-server-5 8
Besoins Chapitre 2. Ces besoins doivent être satisfaits avant l'installation. 2.1. Besoins logiciels Pour effectuer une installation, les composants logiciels suivants doivent être disponibles : Système d'exploitation de base Le RHN Satellite est pris en charge par Red Hat Enterprise Linux 5. Le système d'exploitation de base peut être installé à partir d'un disque, d'une image ISO locale, de Kickstart, ou de toute autre méthode prise en charge par Red Hat. Les installations de Red Hat Enterprise Linux doivent fournir le groupe de paquetages @Base sans autre modification de package-set, et sans configurations ou logiciels de tierce-partie qui ne sont pas directement nécessaire à l'opération du serveur. Cette restriction inclut le renforcement des autres logiciels de sécurité qui ne sont pas des produits de Red Hat. Si de tels logiciels sont nécessaires à votre infrastructure, vous devrez commencer par installer et vérifier un Satellite fonctionnant en entier, puis effectuer une copie de sauvegarde du système avant d'ajouter tout logiciel qui ne serait pas fait par Red Hat. Lors de l'installation d'un nouveau RHN Satellite, il est recommandé que la mise à jour la plus récente de Red Hat Enterprise Linux soit installée. Satellite peut être installé sur Red Hat Enterprise Linux 5 dans tout environnement virtualisé pris en charge par Red Hat, y compris Xen, KVM, et VMware. Remarquez que pour les déploiements de production, nous recommandons que vous déployez RHN Satellite en tant qu'unique application exécutée sur le matériel physique sous-jacent afin d'éviter tout problème de conflit. Notez aussi que la prise en charge fonctionnelle des environnements virtualisés n'équivaut pas forcément à la performance d'une exécution sur du matériel physique, ainsi vous devriez sans doute examiner attentivement votre choix d'environnement virtualisé ainsi que les réglages recommandés. Remarque Chaque produit Satellite RHN acheté inclut une instance supportée de Red Hat Enterprise Linux Server. Le Satellite RHN doit être installé sur une nouvelle installation de Red Hat Enterprise Linux dans laquelle Satellite RHN serait la seule application et le seul service fourni par le système d'exploitation. L'utilisation du système d'exploitation Red Hat Enterprise Linux inclus avec Satellite RHN pour exécuter d'autres démons, applications, ou services dans votre environnement n'est pas prise en charge. RHN Satellite prend en charge la police ciblée SELinux en mode enforcing oupermissive sur Red Hat Enterprise Linux 5. SELinux est en ensemble de polices de logiciels sécurisés, qui implémentent le contrôle d'accès de rigueur de Red Hat Enterprise Linux et pour les autres systèmes d'exploitation. Les utilisateurs peuvent avoir SELinux en mode enforcing ou permissive grâce à la politique targeted qui sera configurée au cours de l'installation du Proxy ou du Satellite. Disque ou ISO d'installation du Satellite qui contient le Programme d'installation du RHN Satellite. Tous les paquetages requis afin de prendre en charge le Programme sont installés automatiquement et ne requièrent aucune intervention de l'utilisateur. 9
Chapitre 2. Besoins Remarque On a besoin de packages supplémentaires en plus de @Base pour installer Red Hat Network Satellite. L'installateur de Satellite vous invitera à, soit installer les paquetages désignés ou bine, il vous demandera si vous souhaitez décharger les fichiers de RHN. Si votre système n'est pas enregistré avec RHN, vous devrez avoir à votre disposition les media d'installation Red Hat Enterprise Linux en cours du processus d'installation de Satellite pour pouvoir installer ces paquetages supplémentaires au fur et à mesure. Les fichiers utiles à l'installation de Satellite sont énoncés dans le fichier rhelrpms qui se situe dans le répertoire updates de l'image ISO d'installation de Satellite. Contenu de canaux tous les paquetages et les données de logiciels exportés pour tous les canaux Red Hat. Ce contenu peut être directement téléchargé sur le Satellite après l'installation à l'aide de l'rhn Satellite Synchronization Tool ou obtenu par votre représentant Red Hat si la synchronisation n'est pas possible, comme dans le cas d'un environnement déconnecté. Lorsque vous installez Red Hat Enterprise Linux 5 à partir de CD ou d'une image ISO, vous n'avez pas besoin de sélectionner des groupes de paquetages, seule l'installation de base est requise. Lorsque vous installez le système d'exploitation avec kickstart, sélectionnez le groupe de paquetages @ Base. 2.2. Besoins matériels RHN Satellite prend en charge plusieurs architectures matérielles. Le tableau suivant illustre la prise en charge de l'architecture pour le RHN Satellite sur Red Hat Enterprise Linux 5. Red Hat Enterprise Linux 5. Tableau 2.1. Prise en charge de RHN Satellite sur les architectures Red Hat Enterprise Linux Version de RHEL x86 x86_64 s390 s390x RHEL 5 oui oui non oui 2.2.1. Besoins matériels sur x86 et x86_64 Le tableau suivant montre les configurations matérielles requises et recommandées sur les plateformes x86 et x86_64 pour les deux types de RHN Satellite : Tableau 2.2. Besoins matériels pour la Stand-Alone Database et la Embedded Database du Satellite Stand-Alone Database Embedded Database Requis - Processeur Intel Core, 2.4GHz, cache 512K ou équivalent Recommandé - Processeur Intel multi-core, double processeur 2.4GHz, cache 512K ou équivalent Requis - 2 Go de mémoire Recommandé - 8 Go de mémoire 3 Go de stockage pour une installation de base de Red Hat Enterprise Linux Au moins30 Go de stockage par canal (y compris le canal de Base et les canaux Requis - Processeur Intel Core, 2.4GHz, cache 512K ou équivalent Recommandé - Processeur Intel multi-core, double processeur 2.4GHz, cache 512K ou équivalent Requis - 2 Go de mémoire Fortement recommandé - 8 Go de mémoire 3 Go de stockage pour une installation de base de Red Hat Enterprise Linux Au moins30 Go de stockage par canal (y compris le canal de Base et les canaux 10
Besoins matériels s/390 Stand-Alone Database enfants), dans le répertoire /var/satellite/ configurable à l'installation Recommandé - un réseau SAN externe pour des sauvegardes fiables Embedded Database enfants), dans le répertoire /var/satellite/ configurable à l'installation Recommandé - un réseau SAN externe pour des sauvegardes fiables 12 Go de stockage pour le dépôt de bases de données, dans la partition /rhnsat (stockage local uniquement) Fortement recommandé - un pilote SCSI connecté à un RAID niveau 5 Une partition séparée (ou encore mieux, un ensemble séparé de disques physiques) pour le stockage de sauvegardes. Tout répertoire peut être spécifié au moment de la sauvegarde. À part l'espace nécessité pour l'installation de Red Hat Enterprise Linux et de /var/satellite/, vous aurez aussi besoin d'espace pour les fichiers cache générés lors de l'utilisation du Satellite, qui si supprimé, peut être regénéré comme nécessaire. Ces fichiers cache sont stockés dans / var/cache/rhn, et les besoins d'espace de ce répertoire peuvent varier de manière importante en fonction des facteurs suivants : Le nombre de canaux que vous synchronisez ou importez de RHN ou des vidages de canaux Le nombre de paquetages et canaux personnalisés que vous possédez Si vous utilisez la synchronisation Inter-Satellite Sync ou non À titre indicatif, offrez au minimum 10 Go d'espace pour /var/cache/rhn/ sur un serveur Satellite. Pour de très importants déploiements de Satellite comportant de nombreux canaux, paquetages, et en utilisant Inter Satellite Sync, votre usage pourrait augmenter jusqu'à 100 Go d'espace pour les fichiers cache dans /var/cache/rhn. La configuration matérielle suivante est requise pour la Stand-Alone Database : Deux processeurs 2 Go de mémoire Voir la Section 2.3, «Besoins de bases de données» pour obtenir des instructions concernant l'estimation de l'espace de table de la base de données et la définition de ses variables d'environnement. Souvenez-vous que la fréquence de connexions de systèmes client au Satellite est directement associée à la charge sur le Apache Web server et la base de données. Si vous réduisez l'intervalle par défaut de quatre heures (ou 240 minutes), comme le fichier de configuration /etc/sysconfig/ rhn/rhnsd des systèmes client le définit, vous augmenterez considérablement la charge sur ces composants. 2.2.2. Besoins matériels s/390 Pour la plateforme centrale s/390, le tableau suivant montre les besoins ainsi que les configurations recommandées des bases de données autonomes et intégrées. 11
Chapitre 2. Besoins Tableau 2.3. Besoins matériels pour la Stand-Alone Database et la Embedded Database du Satellite sur plateforme s/390 Stand-Alone Database Embedded Database Requis - 1 IFL, dans une configuration LPAR ou partagée à travers z/vm Recommandé - 2+ IFL sur z9 ou versions plus anciennes, 1+ IFL sur z10 Requis - 2 Go d'espace (mémoire) Recommandé - 8 Go de mémoire Requis - 1 Go d'espace swap sur DASD ECKD Recommandé - 512 Mo d'espace swap sur VDISK + 1 Go d'espace swap sur DASD ECKD Requis - 1xMod3 DASD ECKD ou 2 Go LUN SCSI FCP pour une installation OS Recommandé - 1xMod9 DASD ECKD ou LUN SCSI FCP multipath 2 Go pour une installation Red Hat Enterprise Linux Requis - 1 IFL, dans une configuration LPAR ou partagée à travers z/vm Recommandé - 2+ IFL sur z9 ou versions plus anciennes, 1+ IFL sur z10 Requis - 2 Go d'espace (mémoire) Recommandé - 8 Go de mémoire Requis - 1 Go d'espace swap sur DASD ECKD Recommandé - 512 Mo d'espace swap sur VDISK + 1 Go d'espace swap sur DASD ECKD Requis - 1xMod3 DASD ECKD ou 2 Go LUN SCSI FCP pour une installation OS Recommandé - 1xMod9 DASD ECKD ou LUN SCSI FCP multipath 2 Go pour une installation Red Hat Enterprise Linux Environ 12 Go d'espace disque pour la base de données incorporée Au moins30 Go de stockage par canal (y compris le canal de Base et les canaux enfants), dans le répertoire /var/satellite/ configurable à l'installation Recommandé - z/vm 5.3 ou plus récent 1 Recommandé - VSWITCH ou LAN Hipersocket pour des connexions à haut débit sur des invités Au moins30 Go de stockage par canal (y compris le canal de Base et les canaux enfants), dans le répertoire /var/satellite/ configurable à l'installation Recommandé - z/vm 5.3 ou plus récent Recommandé - VSWITCH ou LAN Hipersocket pour des connexions à haut débit sur des invités 1 z/vm requis pour le kickstart/provisioning des invités. 2.2.3. Besoins supplémentaires Parmi les autres besoins matériels figurent : La Stand-Alone Database ne doit pas être exécutée sur le même serveur que le RHN Satellite. Le dépôt de paquetages peut être n'importe quel grand périphérique de stockage auquel d'autres composants peuvent accéder facilement et de manière sécurisée. Les besoins d'espace dépendent du nombre de paquetages qui seront stockés. Les canaux de Red Hat par défaut contiennent approximativement 3 Go de paquetages chacun et cette taille augmente avec chaque synchronisation. Les clients doivent également prendre en compte les besoins d'espace des paquetages dans leurs propres canaux privés. Quelle que soit la solution de stockage choisie par le client, son point de montage peut être défini durant l'installation. Si vous installez le RHN Satellite avec la Embedded Database, passez directement à la Section 2.4, «Besoins supplémentaires». 2.3. Besoins de bases de données Cette section s'applique uniquement au RHN Satellite avec la Stand-Alone Database vu que les besoins pour la Embedded Database sont inclus dans les besoins matériels du Satellite. Red Hat prend en charge les installations du RHN Satellite en conjonction avec la base de données Oracle 10g 12
Besoins de bases de données Release 2, Standard et Edition Entreprise ou Oracle 11g. La Stand-Alone Database ne doit pas être exécutée sur le même serveur que le RHN Satellite. Un seul espace de table de 6 Go est recommandé et est plus que suffisant pour la plupart des installations. Il est possible que de nombreux clients fonctionnent avec un espace plus petit. Un administrateur de bases de données Oracle expérimenté est nécessaire pour évaluer les problèmes de tailles. La formule suivante devrait être utilisée pour déterminer la taille requise de votre base de données. 192 Ko par système client 64 Mo par canal Par exemple, un RHN Satellite qui contient 10 canaux servant 10 000 systèmes aurait besoin de 1.92 Go pour ses clients et 640 Mo pour ses canaux. Si des canaux personnalisés doivent être établis pour tester et transférer des paquetages, ils doivent être inclus dans cette formule. Souvenez-vous que le stockage de la base de données peut rapidement grandir, selon la variance des facteurs suivants : Le nombre de paquetages Red Hat publics importés (en général : 5000) Le nombre de paquetages privés à gérer (en général : 500) Le nombre de systèmes à gérer (en général : 1000) Le nombre de paquetages installés sur le système moyen (en général : 500) Bien que vous devriez être généreux dans l'estimation de la taille de votre base de données, vous devez considérer que la taille affecte la durée de sauvegardes et ajoute une charge aux autres ressources du système. Si la base de données est partagée, son matériel et son espace sont entièrement dépendants des autres éléments qui l'utilisent. En outre, les tailles de bloc doivent être au moins de 8 Ko pour que le RHN Satellite s'installe correctement. La base de données Oracle devrait avoir un utilisateur assigné au RHN Satellite ayant un accès DDL et DML total sur l'espace de table par défaut de cet utilisateur. L'utilisateur aura besoin des informations de connexion standards pour la base de données au moment de l'installation. Les niveaux d'accès précis requis par l'utilisateur Oracle sont comme suit : ALTER SESSION (modifier la session) CREATE SEQUENCE (créer une séquence) CREATE SYNONYM (créer un synonyme) CREATE TABLE (créer une table) CREATE VIEW (créer une vue) CREATE PROCEDURE (créer une procédure) CREATE TRIGGER (créer un déclencheur) CREATE TYPE (créer un type) CREATE SESSION (créer une session) 13
Chapitre 2. Besoins D'autres besoins de bases de données incluent : Identificateur de sécurité (SID, Security Identifier) Port d'écoute Nom d'utilisateur Ensemble de caractères UTF-8 Il y a deux recommandations supplémentaires suggérées pour l'espace-table (tablespace) par défaut de l'utilisateur : Taille d'étendues uniforme Gestion automatique d'espace de segments Remarque Assurez-vous que le paramètre NLS/charset soit sur "UTF8" lors de l'utilisation d'une base de données externe et non pas sur "AL32UTF8" ou d'autres jeux de caractères. L'utilisation d'autres jeux de caractères pourrait causer des problèmes par la suite. La structure de disque sur la machine de la base de données est indépendante du RHN Satellite et dépend entièrement du client. 2.4. Besoins supplémentaires Les besoins supplémentaires suivants doivent être satisfaits avant l'installation du RHN Satellite : Accès total Les systèmes client ont besoin d'un accès réseau total sur les services de solutions et les ports du RHN Satellite. Règles de pare-feu RHN recommande fortement d'ajouter un pare-feu à la solution du RHN Satellite de l'internet. Cependant, suivant votre implémentation du RHN Satellite, différents ports doivent être ouverts : Tableau 2.4. Ports à ouvrir sur le Satellite Port Direction Raison 67 Inbound Ouvrez ce port pour configurer le système Satellite en tant que serveur DHCP pour les systèmes demandant des adresses IP. 69 Inbound Ouvrez ce port pour configurer le Satellite en tant que serveur PXE et pour permettre l'installation et la ré-installation de systèmes pouvant être démarrés avec PXE. 80 Outbound Le Satellite utilise ce port pour atteindre RHN 1 14
Besoins supplémentaires Port Direction Raison 80 Inbound Les requêtes client et WebUI arrivent via http ou https 443 Inbound Les requêtes client et WebUI arrivent via http ou https 443 Outbound RHN Satellite utilise ce port pour atteindre RHN 1 (à moins d'être exécuté en mode déconnecté pour Satellite) 4545 Inbound/Outbound RHN Satellite Monitoring établit des connexions à rhnmd démarré sur des systèmes client si le Monitoring est activé et si les sondes sont configurées sur les systèmes enregistrés. 5222 Inbound Si vous planifiez de pousser les actions vers les systèmes client. 5269 Inbound/Outbound Si vous poussez les actions vers ou via un RHN Proxy Server 1 Les listes des hôtes de RHN sont comme suit : rhn.redhat.com, xmlrpc.rhn.redhat.com, satellite.rhn.redhat.com, contentxmlrpc.rhn.redhat.com, content-web.rhn.redhat.com, et content-satellite.rhn.redhat.com Remarquez que Red Hat ne fournit pas d'adresses IP statiques pour RHN car l'ip peut changer. Si vous souhaitez désactiver les contenus conscients de l'emplacement, veuillez revoir l'article de la base de connaissances Red Hat à l'url suivant : http://kbase.redhat.com/faq/docs/doc-16881 Temps de système synchronisés Les paramètres de temps sont très importants lors de la connexion sur un serveur Web qui exécute SSL (Secure Sockets Layer, couche de sockets sécurisés). Il est impératif que les paramètres de temps sur les clients et le serveur soient raisonnablement assez proches pour que le certificat SSL n'expire pas avant ou pendant son utilisation. Pour cette raison, Red Hat requiert que le Satellite et tous les systèmes client utilisent le protocole de temps réseau NTP (Network Time Protocol). Cela s'applique également à la machine base de données séparée dans le RHN Satellite avec la Stand- Alone Database, qui doit également être configurée sur le même fuseau horaire que le Satellite. Définir la langue du système et les paramètres régionaux Vous devriez définir correctement l'encodage UTF-8 pour votre langue et vos paramètres régionaux sur votre système RHN Satellite via le fichier /etc/sysconfig/i18n. Le paramètre LANG dans le fichier doit être sous le format suivant : LANG="[language_TERRITORY].UTF-8" The language and TERRITORY are entered as two-letter codes. For example if your language is English and your locale is the United States, you set your LANG setting to en_us.utf-8. Nom de domaine complet (FQDN) Le système sur lequel le RHN Satellite sera installé doit résoudre correctement son propre nom de domaine complet (FQDN). Dans le cas contraire, les cookies ne fonctionneront pas correctement sur le site Web. 15
Chapitre 2. Besoins Remarque Il est important que le nom d'hôte d'un Satellite ne contienne pas de lettres en majuscule. Si un nom d'hôte inclut des lettres en majuscule, jabberd peut échouer. Si, à tout moment, vous devez changer votre nom d'hôte de Satellite, reportez-vous à la Section 8.7, «Changer le nom d'hôte du Satellite». Service de nom de domaine fonctionnant (DNS) Pour que le nom de domaine du RHN Satellite soit résolu par ses clients, ils doivent tous être liés à un serveur DNS fonctionnant dans l'environnement du client. Certificat de droits d'accès Le client recevra, par courrier électronique de la part du représentant de ventes, un certificat de droits d'accès signé expliquant les services fournis par Red Hat via le RHN Satellite. Ce certificat sera requis pendant l'installation. Si vous ne possédez pas de certificat de droits d'accès pour l'installation, contacter Red Hat Global Services à : https://www.redhat.com/apps/support/ Compte Red Hat Network Les clients qui se connectent aux serveurs Red Hat Network centraux pour recevoir des mises à jour incrémentielles doivent avoir un compte externe avec Red Hat Network. Ce compte devrait être défini au moment de l'achat avec le représentant des ventes. Avertissement N'enregistrez pas votre RHN Satellite à un des canaux suivants disponibles sur RHN : Red Hat Developer Suite Red Hat Application Server Red Hat Extras S'enregistrer sur ces canaux et mettre à jour son Satellite (par exemple en exécutant yum sur Red Hat Enterprise Linux 5 ou 5, ou up2date sur des versions plus anciennes de Red Hat Enterprise Linux) peut installer des versions nouvelles incompatibles, de composants logiciels critiques, faisant échouer le Satellite. Sauvegardes des informations de connexion Il est impératif que les clients conservent toutes les informations de connexion primaires. Pour le RHN Satellite, celles-ci incluent les noms d'utilisateur et les mots de passe pour le compte 16
Besoins supplémentaires d'organization Administrator sur rhn.redhat.com, le compte d'administrateur primaire sur le Satellite même, la génération du certificat SSL et la connexion à la base de données (qui requiert également un SID ou nom de service réseau). Red Hat recommande fortement que ces informations soient copiées sur deux disquettes séparées, imprimées sur papier et stockées dans un coffret résistant au feu. Outre ces besoins, il est recommandé que le RHN Satellite soit configuré de la manière suivante : L'entière solution du RHN Satellite devrait être protégée par un pare-feu si le Satellite accédera ou sera accédé via Internet. Une connexion Internet n'est pas requise pour un RHN Satellite exécuté dans des environnements complètement déconnectés. Cette fonctionnalité utilise des ISO de contenu de canaux qui peuvent être téléchargées sur un système séparé pour synchroniser le Satellite avec les serveurs Red Hat Network centraux. Tous les autres RHN Satellite devraient être directement synchronisés sur Internet. Remarque Si vous exécutez un Satellite déconnecté qui n'est pas enregistré par l'hôte RHN Hosted, le programme d'installation notera et retournera une liste de tout package supplémentaire manquant nécessaire au delà de @base à installer. Vous souhaiterez peut-être utiliser l'installation ISO image ou DVD media pour créer un référentiel pour ces packages supplémentaires, puis exécuter à nouveau l'installateur du Satellite. Tous les ports qui ne sont pas nécessaires ne devraient pas avoir de pare-feu. Les systèmes client se connectent au RHN Satellite sur les ports 80, 443, et 4545 (si Monitoring est activé). En outre, si vous prévoyez d'activer l'envoi d'actions du Satellite aux systèmes client, comme la Section 8.11, «Autoriser le déploiement sur les clients» le décrit, vous devez autoriser les connexions entrantes sur le port 5222. Finalement, si le Satellite envoie également des actions sur un RHN Proxy Server, vous devrez également autoriser les connexions entrantes sur le port 5269. Aucun composant de système ne devrait être directement ou publiquement disponible. Aucun utilisateur autre que les administrateurs système ne devrait posséder l'accès au shell de ces machines. Tous les services qui ne sont pas nécessaires devraient être désactivés à l'aide de ntsysv ou chkconfig. Le service httpd doit être activé. Si le Satellite sert des systèmes ayant des droits d'accès au module Monitoring et que vous souhaitez reconnaître les notifications d'alerte que vous recevez par courrier électronique, vous devrez configurer sendmail de façon à traiter correctement les courriers entrants comme la Section 4.5, «Configuration de sendmail» le décrit. Finalement, vous devriez avoir en votre possession les documents techniques suivants dans l'ordre suivant : 1. Le Guide d'installation du RHN Satellite ce guide, que vous êtes en train de lire, fournit les étapes essentielles nécessaires à la configuration et au fonctionnement du RHN Satellite. 17
Chapitre 2. Besoins 2. Le Guide de configuration du client de RHN (pas encore traduit en français, titre original The RHN Client Configuration Guide) ce guide explique comment configurer les systèmes qui seront servis par un RHN Proxy Server ou un RHN Satellite. (Cela demandera également des références au Guide de référence de RHN, qui contient des étapes pour enregistrer et mettre à jour les systèmes.) 3. Le Guide de gestion de canaux de RHN (pas encore traduit en français, titre original The RHN Channel Management Guide) ce guide identifie en grands détails les méthodes recommandées pour construire des paquetages personnalisés, créer des canaux personnalisés et gérer des errata privés. 4. Le Guide de référence de RHN ce guide décrit comment créer des comptes RHN, enregistrer et mettre à jour des systèmes et utiliser le site Web de RHN à son maximum. Ce guide sera utile durant l'installation et le processus de configuration. 18
Chapitre 3. Exemples de topologies Le RHN Satellite peut être configuré de plusieurs manières. Sélectionnez une méthode selon les facteurs suivants : Le nombre total de systèmes client à être servis par le RHN Satellite. Le nombre maximum de clients censés se connecter simultanément au RHN Satellite. Le nombre de paquetages et de canaux personnalisés à être servis par le RHN Satellite. Le nombre de RHN Satellite utilisés dans l'environnement du client. Le nombre de RHN Proxy Server utilisés dans l'environnement du client. Le reste de ce chapitre décrit les configurations possibles et explique leurs bénéfices. 3.1. Topologie d'un seul satellite La configuration la plus simple est d'utiliser un seul RHN Satellite pour servir votre réseau entier. Cette configuration est adéquate pour le service de groupes de taille moyenne de clients et de réseaux. L'inconvénient de l'utilisation d'un seul RHN Satellite est que la performance sera compromise lors de l'augmentation du nombre de clients demandant des paquetages. Figure 3.1. Topologie d'un seul satellite 3.2. Topologie de plusieurs satellites en plusieurs niveaux horizontaux Pour de très grands réseaux, une méthode plus distribuée peut être nécessaire, comme le fait d'avoir une configuration de plusieurs RHN Satellite en plusieurs niveaux horizontaux et de répartir la charge des demandes des clients. 19
Chapitre 3. Exemples de topologies Il est possible de synchroniser un contenu entre les Satellites RHN en utilisant les commandes rhnsatellite-exporter et satellite-sync -m. Cette fonctionnalité est examinée en détail dans la Section 6.1.1, «rhn-satellite-exporter». Une maintenance supplémentaire est le plus gros inconvénient de cette structure horizontale. Figure 3.2. Topologie de plusieurs satellites en plusieurs niveaux horizontaux 3.3. Topologie de satellites et proxies en plusieurs niveaux verticaux Une autre méthode pour la répartition de charge est d'installer les RHN Proxy Server en-dessous d'un RHN Satellite. Ces proxies se connectent au Satellite pour les RPM de Red Hat Network et les paquetages personnalisés créés localement. En essence, les proxies agissent en tant que clients du Satellite. Cette configuration verticale requiert que les canaux et les RPM soient uniquement créés sur le RHN Satellite. De cette manière, les proxies héritent puis servent les paquetages d'un emplacement central. Pour de plus amples informations, consultez le Guide de gestion de canaux de RHN. De manière similaire, vous pouvez faire en sorte que les certificats SSL des proxies soient les clients du Satellite tout en les configurant de façon à servir les systèmes client. Ce processus est décrit dans le Guide de configuration du client de RHN. 20
Topologie de satellites et proxies en plusieurs niveaux verticaux Figure 3.3. Topologie de satellites et proxies en plusieurs niveaux verticaux 21
22
Installation Chapitre 4. Ce chapitre décrit l'installation initiale du RHN Satellite. Il présume que les conditions préalables listées dans le Chapitre 2, Besoins sont satisfaites. Si vous mettez à niveau vers une nouvelle version du RHN Satellite, contactez votre représentant Red Hat pour toute assistance. 4.1. Installation de base Le RHN Satellite est conçu de façon à fonctionner sur le système d'exploitation Red Hat Enterprise Linux. La première étape est donc d'installer le système d'exploitation de base, depuis un disque, une image ISO ou avec un kickstart. Durant et après l'installation du système d'exploitation, assurez-vous de : Allouez beaucoup d'espace aux partitions qui stockent des données. L'emplacement par défaut pour les paquetages de canaux est /var/satellite/. Pour le RHN Satellite avec la Embedded Database, souvenez-vous que les RPM de bases de données vont dans la partition /opt/, alors que la base de données elle-même est construite dans /rhnsat/. Consultez la Section 2.2, «Besoins matériels» pour obtenir des spécifications plus précises. Activer le protocole de temps réseau NTP (Network Time Protocol) sur le Satellite et la base de données séparée, si elle existe, et sélectionner le fuseau horaire approprié. Tous les systèmes client devraient déjà exécuter le démon ntpd et avoir le bon fuseau horaire défini. À cause de complication potentielles, il est fortement recommandé que la partition /home/ soit montée localement. 4.2. Programme d'installation du RHN Satellite Les instructions suivantes décrivent comment exécuter le Programme d'installation du RHN Satellite : Important À cause de complications potentielles, il est fortement recommandé que la partition /home/ soit montée localement. 1. Connectez-vous sur la machine en tant que super-utilisateur. 2. Insérez le CD-ROM du RHN Satellite contenant les fichiers d'installation ou téléchargez l'image ISO depuis le site Web de RHN. 3. Si vous êtes faites l'installation depuis un CD, Red Hat Enterprise Linux peut monter automatiquement le CD. Si il le fait, il montera le CD dans le répertoire /media/cdrom/. Si Red Hat Enterprise Linux ne monte pas automatiquement le CD, montez-le manuellement dans le répertoire /media/cdrom/ avec la commande suivante : mount /dev/cdrom /media/cdrom Si vous installez depuis une ISO, montez le fichier depuis le répertoire la contenant à l'aide de la commande suivante : 23
Chapitre 4. Installation mount -o loop iso_filename /media/cdrom Le reste des instructions assume qu'il est monté sous /mnt/cdrom/. 4. Assurez-vous que le certificat de droits d'accès de RHN a été copié sur le Satellite. Vous pouvez lui donner tout nom et le placer dans tout répertoire. Le programme d'installation vous demandera son emplacement. Assurez-vous également que votre compte possède les droits d'accès nécessaires pour effectuer l'installation. Par exemple, un nouveau Satellite requiert un droit d'accès de niveau Management ou Provisioning pour Red Hat Enterprise Linux AS ainsi qu'un droit d'accès au RHN Satellite. Avertissement Les utilisateurs devraient noter que le Programme d'installation du RHN Satellite met à jour le noyau ainsi que tous les paquetages requis. 5. À partir du répertoire /media/cdrom/, entrez la commande suivante pour démarrer le Programme d'installation du RHN Satellite :./install.pl Ce script a plusieurs options pour vous aider lors du processus d'installation. Pour visualiser ces options, entrez la commande suivante :./install.pl --help 6. Le script démarre dans un premier temps à travers une vérification des prérequis. Ces vérifications permettent de s'assurer que tous les prérequis du Chapitre 2, Besoins sont remplis avant de poursuivre l'installation. * Starting the Red Hat Network Satellite installer. * Performing pre-install checks. * Pre-install checks complete. Beginning installation. 7. À l'invite, entrez l'adresse électronique à laquelle vous voulez que les notifications du Satellite soit envoyées. Ça pourrait être une bonne idée de choisir une adresse électronique générale plutôt que l'adresse électronique d'un individu car il peut y avoir beaucoup de courriers électroniques.? Admin email address? sat-admin@example.com 8. Le Satellite est ensuite enregistré avec votre compte RHN et tous les paquetages requis sont installés et mis à jour. * RHN Registration 24
Programme d'installation du RHN Satellite * Installing updates. * Installing RHN packages. 9. Après cela, le programme d'installation du RHN Satellite télécharge et installe la clé GPG RHN. Si requis, le répertoire /root/.gnupg/ est créé. * Setting up environment and users ** GPG: Initializing GPG and importing RHN key. ** GPG: Creating /root/.gnupg directory 10. L'étape suivante crée et peuple la base de données initiale, si vous optez pour le RHN Satellite avec Embedded Database. Si vous installez RHN Satellite avec Stand-Alone Database, l'installateur se connecte à la base de données. Cet étape peut prendre du temps. Si vous voulez contrôler la progression de l'installation, utilisez tail dans une fenêtre séparée pour contrôler le fichier /var/log/rhn/install_db.log. * Setting up database. ** Database: Installing the embedded database (not the schema). ** Database: Shutting down the database first. ** Database: Installing the database: ** Database: This is a long process that is logged in: ** Database: /var/log/rhn/install_db.log *** Progress: #### 11. Une fois que l'installation de la base de données est terminée ou lorsque la connexion à la base de données est établie, le Satellite est configuré. * Setting up environment and users. 12. Afin d'activer votre Satellite, vous devez lui fournir l'emplacement de votre certificat Satellite. * Activating Satellite. Where is your satellite certificate file? /root/example.cert 13. L'étape suivante consiste à créer un certificat CA pour le Satellite. Pour ce faire, vous devez répondre à quelques questions. Certificat CA Entrez un mot de passe pour le certificat. Organisation Entrez le nom de votre organisation Adresse électronique Entrez une adresse électronique devant être associée avec le certificat, comme l'adresse électronique de l'administrateur entrée dans les étapes précédentes. Ville Entrez la ville où le Satellite se trouve. 25
Chapitre 4. Installation Pays Entrez le pays où le Satellite se trouve. Le code pays doit avoir exactement deux lettres, ou la génération du certificat échouera. 14. Une fois que le certificat Cert CA est généré, le Programme d'installation du RHN Satellite effectue la configuration finale et redémarre les services associés. * Final configuration. * Restarting services. Installation complete. Visit https://your-satellite.example.com to create the satellite administrator account. 15. Suivez les instructions à l'écran et visitez le FQDN de votre Satellite avec un navigateur Web. Créez le compte administrateur du Satellite - aussi mentionné comme l'organization Administrator - et cliquez sur le bouton Create Login pour passer à l'écran suivant, l'écran Your RHN. Figure 4.1. Création du compte administrateur 16. Un champ bleu apparaît en haut de l'écran indiquant que vous pouvez maintenant configurer et personnaliser le Satellite et son comportement. Pour ce faire, cliquez le texte en gras clicking here à la fin. 26
Programme d'installation du RHN Satellite Figure 4.2. Invite de configuration finale 17. La page Satellite Configuration - General Configuration vous permet de modifier les paramètres du Satellite les plus basiques, comme l'adresse électronique de l'administrateur et l'activation du Monitoring. 27
Chapitre 4. Installation Figure 4.3. Configuration générale 18. La page RHN Satellite Configuration - Monitoring vous permet de configurer les aspects de contrôle de ce Satellite. L'échangeur de courrier local et le domaine principal local sont utilisés pour envoyer des messages de notification à l'administration. Ceci est uniquement requis si vous avez l'intention de recevoir des notifications d'alertes depuis les sondes. Dans ce cas, fournissez le serveur de messagerie (échangeur) et le domaine à utiliser. Remarquez que sendmail doit être configuré de façon à traiter les redirections par courrier électronique des notifications. Consultez la Section 4.5, «Configuration de sendmail» pour de plus amples instructions. Une fois terminé, cliquez sur Continuer. La page RHN Registration (enregistrement à RHN) sera affichée. 28
Programme d'installation du RHN Satellite Figure 4.4. Monitoring 19. La page RHN Satellite Configuration - Certificate vous permet de télécharger un nouveau certificat Satellite. Pour identifier le chemin du certificat, cliquez sur Browse (naviguer), rendezvous à l'emplacement du fichier et sélectionnez-le. Pour saisir son contenu, ouvrez votre certificat dans un éditeur de texte, copiez toutes les lignes et collez-les directement dans le grand champ de texte en bas. Red Hat vous recommande d'utiliser le navigateur de fichiers pour éviter des erreurs. Cliquez sur Validate Certificate (valider le certificat) pour continuer. Si vous recevez des erreurs associées au DNS, vérifiez que votre Satellite est bien configuré. Consultez la Section 7.4, «Impossible de trouver l'hôte / Impossible de déterminer le FQDN». 29
Chapitre 4. Installation Figure 4.5. Certificat 20. La page RHN Satellite Configuration - Bootstrap vous permet de générer un script bootstrap pour rediriger les systèmes client depuis les serveurs RHN jusqu'au Satellite. Ce script, qui doit se trouver dans le répertoire /var/www/html/pub/bootstrap/ du Satellite, réduit considérablement les efforts impliqués dans la reconfiguration de tous les systèmes, qui par défaut obtient les paquetages depuis les serveurs RHN centraux. Les champs requis sont déjà remplis avec des valeurs dérivées des étapes précédentes de l'installation. Assurez-vous que ces informations sont correctes. Les cases à cocher offrent des options pour inclure les fonctionnalités GPG (GNU Privacy Guard) et de sécurité SSL intégrées, qui sont recommandées. De plus, vous pouvez activer l'acceptation de commandes à distance et la gestion de la configuration à distance des systèmes à être lancés ici. Les deux fonctionnalités sont utiles pour terminer la configuration du client. Finalement, si vous utilisez un serveur proxy HTTP, remplissez les champs associés. Une fois terminé, cliquez sur Generate Bootstrap Script (générer le script de démarrage). La page Installation Complete (installation terminée) sera alors affichée. 30
Programme d'installation du RHN Satellite Figure 4.6. Bootstrap 21. La page RHN Satellite Configuration - Restart contient l'étape finale de la configuration du Satellite. Cliquez sur le bouton Restart pour redémarrer le Satellite afin d'intégrer toutes les options de configuration ajoutées lors des écrans précédents. Notez que le redémarrage prendra entre quatre et cinq minutes. Figure 4.7. Redémarrer 31
Chapitre 4. Installation 22. Une fois que le Satellite a redémarré, le compte à rebours disparaît. Vous pouvez dès à présent commencer à utiliser votre Satellite. Figure 4.8. Redémarrage terminé 4.2.1. Options du programme d'installation du Satellite Les diverses options disponibles pour le programme d'installation du Satellite sont incluses ci-dessous pour une référence facile. Tableau 4.1. Options d'installation Option --help --answer-file=<filename> Utilisation Imprime ce message d'aide. Indique l'emplacement d'un fichier de réponse qui doit être utilisé pour répondre aux questions demandées durant le processus d'installation. --non-interactive À utiliser seulement avec --answer-file. Si l'option -- answer-file ne fournit pas une réponse désirée, quitte au lieu de l'indiquer à l'utilisateur. --re-registerer --disconnected --clear-db --skip-system-version-test --skip-selinux-test --skip-fqdn-test --skip-db-install --skip-db-diskspace-check Enregistre le système avec RHN, même si il a déjà été enregistré. Installe le Satellite dans un mode déconnecté. Nettoie les schémas de base de données existants avant l'installation. Cela détruira les données dans la base de données du Satellite et recréera un schéma Satellite vide. Ne teste pas la version Red Hat Enterprise Linux avant l'installation. Ne pas vérifier pour vous assurer que SELINUX est désactivé. Ne vérifie pas si le système a un nom d'hôte valide. Le Satellite RHN requiert que le nom d'hôte soit correctement configuré durant l'installation. L'utilisation de cette option peut entraîner un disfonctionnement du serveur Satellite. N'installe pas la base de données embarquée. Cette option peut être utile si vous réinstallez le Satellite et ne voulez pas nettoyer la base de données. Ne vérifie pas si il y a assez d'espace disque afin d'installer la base de données embarquée. 32
Installation du serveur Satellite RHN automatisée Option --skip-db-population --skip-gpg-key-import --skip-ssl-cert-generation --run-updater Utilisation Ne peuple pas le schéma de la base de données. N'importe pas la clé GPG de Red Hat. Ne génère pas les certificats SSL pour le Satellite. Ne demandez pas d'installer des paquetages utiles à RHN, si le système est enregistré. 4.3. Installation du serveur Satellite RHN automatisée Une option du programme d'installation du RHN Satellite permet à l'utilisateur de référencer un fichier de réponse. Ce fichier contient des réponses pré-déterminées à toutes, ou à certaines des questions posées par l'installateur du programme. Ceci permet à l'installateur de démarrer sans interaction humaine ce qui être utile dans les cas où le déploiement du Satellite doit être automatisé. Un exemple de fichier de réponse peut être trouvé dans le répertoire install/ du CD ou de l'iso, il est nommé answers.txt. Suivez les étapes ci-dessous afin d'effectuer une installation automatisée avec un fichier de réponse : 1. Suivez les étapes 1 à 5 de la Section 4.2, «Programme d'installation du RHN Satellite». 2. Copiez le fichier d'exemple answers.txt dans /tmp/answers.txt cp answers.txt /tmp/answers.txt 3. Modifiez le fichier et ajoutez les options désirées par votre organisation. 4. Une fois que le fichier de réponse est prêt, utilisez l'option --answer-file lorsque vous démarrez le processus d'installation à partir de la ligne de commande :./install.pl --answer-file=/tmp/answers.txt Le programme d'installation du RHN Satellite regarde ensuite les réponses dans le fichier. Lorsque des options ne sont pas renseignées dans le fichier, l'installateur du programme indique à l'utilisateur que des informations sont manquantes. 4.4. Installer un Satellite derrière un proxy HTTP Dû à la manière dont le RHN Satellite utilise rhn.conf pour contrôler ses paramètres de connexion, il n'est pas possible d'ajouter des options avant d'avoir effectué l'installation d'un Satellite RHN. Si votre réseau se trouve derrière un proxy HTTP dans votre organisation, vous ne pourrez pas activer le Satellite RHN pendant l'installation. Une solution de contournement à ce problème serait d'effectuer une installation déconnectée du Satellite RHN, puis de faire passer la configuration sur une méthode connectée une fois que l'installation aura été effectuée. Vous pourrez observer ci-dessous comment créer une installations du Satellite RHN connectée derrière un proxy HTTP : 1. Effectuez une installation minimale de Red Hat Enterprise Linux 4 ou 5 (en fonction de la version du Satellite RHN que vous installerez). 2. Configurez le système afin qu'il puisse se connecter à RHN derrière le proxy HTTP. Modifiez le fichier /etc/sysconfig/rhn/up2date.conf comme suit : 33
Chapitre 4. Installation enableproxy=1 enableproxyauth=1 httpproxy=<http-proxy-fqdn> proxyuser=<proxy-username> proxypassword=<proxy-password> 3. Enregistrez le système sur RHN. 4. Commencez l'installation du RHN Satellite avec l'option déconnectée :./install.pl --disconnected 5. Une fois l'installation terminée, vous devrez ajouter ou modifier vos paramètres dans le fichier / etc/rhn/rhn.conf : server.satellite.http_proxy = <http-proxy-fqdn> server.satellite.http_proxy_username = <proxy-username> server.satellite.http_proxy_password = <proxy-password> disconnected=0 6. Redémarrez le service Satellite : service rhn-satellite restart 7. Réactivez le Satellite en tant que Satellite connecté : rhn-satellite-activate --rhn-cert=<path-to-cert> Vous devriez maintenant avoir un Satellite RHN connecté qui fonctionne derrière un proxy HTTP. 4.5. Configuration de sendmail Si le Satellite servira des systèmes ayant des droits d'accès au module Monitoring et que vous souhaitez reconnaître les notifications d'alerte que vous recevez, par courrier électronique, vous devez configurer sendmail de façon à traiter correctement les courriers entrants. Cela est requis par la fonction de redirection de courrier qui vous permet d'arrêter de notifier les utilisateurs au sujet d'évènements concernant Monitoring avec une seule réponse. Important Des configurations de courrier d'entreprise plus contraignantes ne permettront pas au courrier d'être envoyé depuis une adresse qui n'est pas reconnue valide. Il peut ainsi être nécessaire de configurer rogerthat01@{domaine de messagerie} comme une adresse électronique valide dans votre environnement d'entreprise. Vérifiez avec votre administrateur de systèmes de messagerie. 34
Installation de MySQL Pour correctement configurer sendmail, exécutez les commandes suivantes en tant que superutilisateur. Créez tout d'abord un lien symbolique permettant à sendmail d'exécuter la mise en file d'attente de notifications avec la commande suivante : ln -s /usr/bin/ack_enqueuer.pl /etc/smrsh/. Éditez ensuite le fichier /etc/aliases sur le serveur de messagerie et ajoutez la ligne suivante : rogerthat01: /etc/smrsh/ack_enqueuer.pl Éditez ensuite le fichier /etc/mail/sendmail.mc et changez : "DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')dnl" en : "DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl" Exécutez ensuite la commande suivante sur l'alias : newaliases Finalement, mettez à jour le paquetage sendmail-cf : yum update sendmail-cf Notez que les installations déconnectées doivent obtenir ce paquetage depuis l'iso. Redémarrez sendmail : service sendmail restart 4.6. Installation de MySQL Cette section est uniquement applicable si votre RHN Satellite sert des systèmes ayant des droits d'accès au module Monitoring et si vous souhaitez y exécuter des sondes MySQL. Consultez l'annexe sur les sondes du Guide de référence de RHN pour obtenir une liste de sondes disponibles. Si vous ne souhaitez pas exécuter de sondes MySQL, abonnez le Satellite au canal de Red Hat Enterprise Linux AS et installez le paquetage mysql-server via le site Web de RHN ou par yum (ou up2date pour les versions Red Hat Enterprise Linux plus anciennes). Deux paquetages supplémentaires seront également téléchargés dans la transaction. Ils sont nécessaires pour que le paquetage mysql-server soit installé et exécuté proprement. Une fois terminé, votre Satellite peut être utilisé pour programmer des sondes MySQL. 35
36
Droits d'accès Chapitre 5. Le RHN Satellite, comme RHN, offre tous les services aux clients par la définition de droits d'accès. Pour RHN, les droits d'accès sont achetés par les clients selon leurs besoins. Cependant, pour le RHN Satellite, les droits d'accès sont convenus en contrats à l'avance et ils sont définis à l'installation. Tous les canaux publics sont automatiquement disponibles. Les canaux privés qui devraient être disponibles via le Satellite sont déterminés par le Certificat de droits d'accès de RHN. Le certificat de droits d'accès de RHN, qui contient l'ensemble précis de droits attribués à votre organisation, est fourni par votre représentant Red Hat. Red Hat se réserve le droit de comparer le contenu de ce certificat de droits d'accès de RHN avec la définition de droits d'accès de la base de données à tout moment pour s'assurer de la conformité avec les termes du contrat du client avec Red Hat. Les étapes mentionnées dans cette section sont en général effectuées par le Programme d'installation du RHN Satellite même et n'ont pas à être répétées durant l'installation initiale. Elles sont listées dans ce présent document pour les clients qui ont reçu un nouveau certificat de droits d'accès de RHN, comme par exemple un certificat qui reflète une augmentation du nombre de droits d'accès. 5.1. Réception du certificat Le certificat de droits d'accès de RHN est un document XML qui ressemble à l'exemple suivant : <?xml version="1.0" encoding="utf-8"?> <rhn-cert version="0.1"> <rhn-cert-field name="product">rhn-satellite-001</rhn-cert-field> <rhn-cert-field name="owner">clay's Precious Satellite</rhn-cert-field> <rhn-cert-field name="issued">2005-01-11 00:00:00</rhn-cert-field> <rhn-cert-field name="expires">2005-03-11 00:00:00</rhn-cert-field> <rhn-cert-field name="slots">30</rhn-cert-field> <rhn-cert-field name="provisioning-slots">30</rhn-cert-field> <rhn-cert-field name="nonlinux-slots">30</rhn-cert-field> <rhn-cert-field name="channel-families" quantity="10" family="rhel-cluster"/> <rhn-cert-field name="channel-families" quantity="30" family="rhel-ws-extras"/> <rhn-cert-field name="channel-families" quantity="10" family="rhel-gfs"/> <rhn-cert-field name="channel-families" quantity="10" family="rhel-es-extras"/> <rhn-cert-field name="channel-families" quantity="40" family="rhel-as"/> <rhn-cert-field name="channel-families" quantity="30" family="rhn-tools"/> <rhn-cert-field name="satellite-version">5.2</rhn-cert-field> <rhn-cert-field name="generation">2</rhn-cert-field> <rhn-cert-signature> -----BEGIN PGP SIGNATURE----- Version: Crypt::OpenPGP 1.03 iqbgbaarawagbqjcag7yaaojej5yna8glhkysokan07qmlurkgks7/5yb8h/nbog mhhkaj9wdmqoekfcba3iudl53onmebp/dg== =0Kv7 -----END PGP SIGNATURE----- </rhn-cert-signature> </rhn-cert> Remarque N'essayez pas d'utiliser ce certificat de droits d'accès de RHN. Ceci est juste un exemple. 37
Chapitre 5. Droits d'accès Le certificat initial de droits d'accès de RHN est généré par un membre de l'équipe RHN et est envoyé à un consultant ou un client par courrier électronique avant l'installation. Ce processus permet de garantir que nous n'installons pas par mégarde un RHN Satellite que l'équipe RHN ne connaît pas. Enregistrez le fichier XML sur la machine du Satellite pour son activation. 5.2. Téléchargement du certificat de droits d'accès de RHN Si votre RHN Satellite est connecté à Internet, vous pouvez télécharger votre nouveau certificat de droits d'accès RHN via le site Web de RHN. Pour ce faire, procédez aux étapes suivantes : 1. Connectez-vous sur https://rhn.redhat.com avec le compte de votre organisation ayant des droits d'accès au Satellite. 2. Cliquez sur Systems dans la barre de navigation du haut, puis sur le nom du RHN Satellite. Vous pouvez également trouver le Satellite sur l'élément de ligne du Satellite dans la catégorie Channels (canaux). 3. Sur la page System Details (détails sur le système), cliquez sur l'onglet Satellite et examinez le certificat existant. Assurez-vous d'avoir une sauvegarde de ce fichier en copiant et collant son contenu dans un éditeur de texte. 4. Cliquez sur Deactivate Satellite License (désactiver le contrat du satellite) au bas de la page. Cliquez ensuite sur Confirm Deactivation (confirmer la désactivation). Vous recevrez un message décrivant la désactivation en haut de la page. 5. Vous pouvez alors vous rendre à l'emplacement de votre nouveau certificat de droits d'accès de RHN ou coller son contenu dans le champ de texte fourni. Une fois terminé, cliquez sur Update Certificate (mettre à jour le certificat). Votre Satellite a maintenant accès aux canaux et aux droits d'accès de client supplémentaires soulignés dans le nouveau certificat. Vous pouvez désormais le synchroniser avec les serveurs RHN centraux. Reportez-vous au Chapitre 6, Import et synchronisation. 5.3. Gestion du certificat de RHN avec RHN Satellite Activate Pour les Satellites ou les clients déconnectés qui préfèrent travailler localement, Red Hat fournit un outil en ligne de commande pour gérer votre certificat de droits d'accès de RHN et activer le Satellite à l'aide de ce certificat : RHN Satellite Activate (rhn-satellite-activate). Celui-ci est inclus dans l'installation du Satellite et fait partie du paquetage rhns-satellite-tools. 5.3.1. Options de droits d'accès en ligne de commande L'outil rhn-satellite-activate offre quelques options en ligne de commande pour activer un Satellite à l'aide de son certificat de droits d'accès de RHN : Tableau 5.1. Options du certificat de droits d'accès de RHN Option -h, --help --sanity-only Description Affiche l'écran d'aide avec une liste d'options. Confirme la validité du certificat. N'active pas le Satellite localement ou à distance. 38
Activer le Satellite Option --disconnected --rhn-cert=/path/to/cert --systemid=/path/to/systemid --no-ssl Description Active localement, mais pas sur des serveurs RHN à distance. Télécharge le nouveau certificat et active le Satellite selon les autres options passées (si elles existent). Uniquement pour tester - Fournit un autre ID système par chemin et fichier. La valeur par défaut du système est utilisée si elle n'est pas spécifiée. Uniquement pour tester - Désactive SSL. Pour utiliser ces options, insérez l'option et la valeur appropriée, si nécessaire, après la commande rhn-satellite-activate. Reportez-vous à la Section 5.3.2, «Activer le Satellite». 5.3.2. Activer le Satellite Vous devriez utiliser les options dans le Tableau 5.1, «Options du certificat de droits d'accès de RHN» pour accomplir les tâches suivantes dans cet ordre : 1. Valider la validité (ou l'utilité) du certificat de droits d'accès de RHN. 2. Activer le Satellite localement en insérant le certificat de droits d'accès de RHN dans la base de données locale. 3. Activer le Satellite à distance en insérant le certificat de droits d'accès de RHN dans la base de données RHN centrale (à distance). Ceci est en général accompli durant l'activation locale, mais requiert une deuxième étape si vous choisissez l'option --disconnected. Voici quelques exemples décrivant l'utilisation de l'outil et de ces options. Pour uniquement valider un certificat de droits d'accès de RHN : rhn-satellite-activate --sanity-only --rhn-cert=/path/to/demo.cert Pour valider un certificat de droits d'accès de RHN et peupler la base de données locale : rhn-satellite-activate --disconnected --rhn-cert=/path/to/demo.cert Pour valider un certificat de droits d'accès de RHN et peupler la base de données locale et la base de données RHN : rhn-satellite-activate --rhn-cert=/path/to/demo.cert Une fois cette dernière commande exécutée, le Satellite s'exécute et est capable de servir les paquetages localement et de se synchroniser avec les serveurs RHN centraux. Reportez-vous au Chapitre 6, Import et synchronisation. 5.4. Expiration du certificat de droits d'accès du Satellite Les certificats Satellite expirent à 11:59:59PM à la date listée dans le champ expires et les nouveaux certificats deviennent actifs à 12:00:00AM à leur date issued. 39
Chapitre 5. Droits d'accès Une période de répit standard de sept (7) jours existe maintenant entre la date d'expiration du certificat Satellite et l'inactivation du Satellite. Cette période de répit est fournie comme un moyen pour les clients de contacter le support Red Hat et d'obtenir un nouveau certificat. Voici ce qu'il se passe durant la période de répit : Le Satellite reste actif. Chaque utilisateur qui se connecte sur le Satellite voit une bannière sur la page Your RHN qui explique que le Satellite a expiré. Une fois par jour, durant 7 jours, l'administrateur du Satellite reçoit un message électronique de notification indiquant que le certificat a expiré. Lorsque la période de répit est dépassée, le Satellite devient indisponible : les utilistateurs seront incapables de s'identifier sur l'interface utilisateur web et tous les outils côté-client soumettront un message Certificat expiré. Finalement, une fois par jour, l'administrateur du Satellite reçoit un message électronique de notification indiquant que le certificat a expiré. 40
Chapitre 6. Import et synchronisation Après avoir installé le RHN Satellite, vous devez lui donner les paquetages et les canaux à être servis aux systèmes client. Ce chapitre explique comment importer ces données et les garder à jour, que le contenu vienne de serveurs centraux RHN, d'un média local ou d'un satellite au sein de votre organisation ou d'une autre. Deux outils, RHN Satellite Exporter et RHN Satellite Synchronization Tool, viennent installés dans le cadre du paquetage rhns-sat-tools. 6.1. Export avec RHN Satellite Synchronization Tool L'outil RHN Satellite Exporter (rhn-satellite-exporter) exporte le contenu du satellite dans un format XML qui peut ensuite être importé dans un autre satellite identique. Le contenu est exporté dans un répertoire spécifié par l'utilisateur avec l'option -d. Une fois que ce répertoire a été transporté vers un autre satellite, RHN Satellite Synchronization Tool peut être utilisé pour importer les contenus, en synchronisant les deux satellites. 6.1.1. rhn-satellite-exporter RHN Satellite Exporter peut exporter le contenu suivant : Familles de canaux Architectures Métadonnées de canal Listes noires RPM Métadonnées RPM Errata Kickstarts Le temps requis par rhn-satellite-exporter pour exporter des données dépend du nombre et de la taille des canaux qui sont exportés. L'utilisation des options --no-packages, --nokickstarts, --no-errata, et --no-rpms réduit le temps requis par rhn-satellite-exporter pour démarrer mais empêche aussi les informations potentiellement utiles d'être exportées. Pour cette raison, ces options devraient seulement être utilisées lorsque vous êtes certains de ne pas avoir besoin du contenu qu'elles incluent. De plus, vous devez utiliser les options concordantes pour satellite-sync lorsque vous importez les données. Par exemple, si vous utilisez --nokickstarts avec rhn-satellite-exporter vous devez spécifier l'option --no-kickstarts lors de l'import des données. Lors de l'export d'un canal de base RHN, vous devez aussi exporter le canal outils associé avec le canal de base afin de kickstarter les machines avec la distribution dans le canal de base. Par exemple, si vous exportez rhel-i386-as-4 vous devez également exporter le canal rhn-toolsrhel-4-as-i386 afin de kickstarter les machines avec Red Hat Enterprise Linux 4 AS. Vous devez procéder ainsi parce que les canaux outils contiennent les paquetages auto-kickstart qui installent les paquetages pour kickstarter une machine à travers le satellite. RHN Satellite Exporter offre de nombreuses autres options en ligne de commande. Pour les utiliser, insérez l'option et la valeur appropriée après la commande rhn-satellite-exporter. 41
Chapitre 6. Import et synchronisation Tableau 6.1. Options de l'exportateur du satellite RHN Option -d, --dir= -cchannel_label, -- channel=channel_label --list-channels --list-steps Description Placez les informations exportées dans ce répertoire. Données du processus pour ce canal spécifique (spécifié par son étiquette). REMARQUE : *l'étiquette* du canal n'est PAS la même que le *nom* du canal. Affiche tous les canaux disponibles et quitte. Liste toutes les étapes par lesquelles rhnsatellite-exporter passe pendant l'export des données. Celles-ci peuvent être utilisées comme des valeurs pour --step. -p --print-configuration Imprime la configuration et quitte. --print-report --no-rpms> --no-packages --no-errata --no-kickstarts --debug-level=level_number --start-date=start_date --end-date=end_date --make-isos=make_isos --email --traceback-mail=email --db=db --hard-links Imprime un rapport vers le terminal lorsque l'export est terminé. Ne recherche pas de RPM. N'exporte pas les métadonnées RPM. Ne traite pas les informations d'errata. Ne traite pas les données de kickstart (redimensionnement seul). Écrase la quantité de messages envoyés aux fichiers journaux et générés sur l'écran définie dans /etc/rhn/rhn.conf, 0-6 (2 est la valeur par défaut). La date de commencement limite avec laquelle les dates modifiées sont comparées. Elle doit être saisie avec le format YYYYMMDDHH24MISS (par exemple, 20071225123000). La date de fin limite avec laquelle les dates modifiées sont comparées. Elle doit être saisie avec le format YYYYMMDDHH24MISS (par exemple, 20071231235900). Créer un répertoire ISO de vidage de canaux nommé satellite-isos (par exemple, -- make-isos=cd ou dvd Envoie un rapport par courrier électronique de ce qui a été exporté et des erreurs qui auraient pu se produire. Courrier électronique alternatif pour --email. Inclut une autre chaîne de connexion à la base de données : nomutilisateur/motdepasse@sid. Exportez le RPM et les fichiers kickstart avec des liens fixes vers les fichiers d'origine. 42
Export 6.1.2. Export Pour effectuer un export RHN Satellite Exporter, les conditions préalables suivantes doivent être satisfaites : L'installation du RHN Satellite doit avoir été réussie. Il doit y avoir suffisamment d'espace disque dans le répertoire spécifié avec l'option --dir afin de stocker le contenu exporté. Bien que ce ne soit une exigence pour que l'export réussisse, l'export sera plus utile si il est effectué sur un satellite qui a des canaux peuplés. 6.1.2.1. Exécution de l'export Premièrement, assurez-vous de configurer le satellite de manière différente si vous voulez dupliquer les données vers un autre satellite ou si vous voulez les sauvegarder vers une solution de stockage. Deuxièmement, sélectionnez les contenus que vous voulez exporter. Vous pouvez choisir de ne pas exporter les RPM, errata ou kickstarts en utilisant les options mentionnées dans la Section 6.1.1, «rhn-satellite-exporter». Finalement, exécutez la commande en tant que super-utilisateur. Voici un exemple de commande : rhn-satellite-exporter --dir=/var/rhn-sat-export --no-errata Lorsque vous avez fini, le répertoire d'export peut être déplacé directement vers un autre satellite ou une solution de stockage en utilisant rsync ou scp -r. 6.2. Import avec RHN Satellite Synchronization Tool Avant de distribuer des paquetages via le RHN Satellite, les paquetages doivent d'abord être téléchargés sur le satellite. Cette section décrit le processus d'import de paquetages et d'autres données de canaux. Important Pour peupler correctement les canaux personnalisés, vous devez d'abord peupler au moins un canal de base de Red Hat. Le RHN Satellite Synchronization Tool crée les structures de répertoires et les permissions nécessaires. Sans celles-ci, les outils de canaux personnalisés ne fonctionnent pas correctement. Pour cette raison, vous devriez utiliser ces instructions pour configurer vos canaux de base. Consultez ensuite le Guide de gestion de canaux de RHN pour obtenir les étapes afin d'établir les canaux personnalisés. 6.2.1. satellite-sync Le RHN Satellite Synchronization Tool (satellite-sync) permet à un RHN Satellitede mettre à jour les métadonnées et les paquetages RPM desa base de données avec les serveurs centraux de RHN, un autre satellite dans votre organisation ou avec un média local. 43
Chapitre 6. Import et synchronisation Important L'exécution de satellite-sync peut importer un montant important de données, surtout sur les serveurs Satellite récemment installés. Si votre base de données a des problèmes de performance après un changement de données significatif, vous devriez rassembler des statistiques sur la base de données. Référez-vous à la Section 8.4, «Utilisation du RHN DB Control» pour obtenir plus d'informations. Pour démarrer le RHN Satellite Synchronization Tool, entrez les commandes suivantes en tant que root : satellite-sync Cet outil peut être utilisé dans un environnement fermé, comme celui créé avec une installation déconnectée, ou il peut obtenir les données directement depuis Internet. Les imports d'environnements fermés peuvent récupérer leurs données à partir de fichiers ISO téléchargés ou à partir de données XML générées par RHN Satellite Exporter. Le RHN Satellite Synchronization Tool fonctionne de façon incrémentielle, ou en étapes. Pour qu'il obtienne des informations sur les errata, il doit d'abord connaître les paquetages contenus. Pour que les paquetages soient mis à jour, l'outil doit tout d'abord identifier les canaux associés. Pour cette raison, le RHN Satellite Synchronization Tool effectue ses actions dans l'ordre suivant : 1. channel-families Importer/synchroniser les données (architecture) de la famille de canaux. 2. channels Importer/synchroniser les données de canaux. 3. rpms Importer/synchroniser les RPM. 4. packages Importer/synchroniser les données de paquetages entiers pour les RPM bien obtenus. 5. errata Importer/synchroniser les informations d'errata. Chacune de ces étapes peut être lancée individuellement comme un test, avec comme effet de forcer l'outil à s'arrêter lorsque cette étape est terminée. Toutes les étapes qui la précèdent se seront cependant produites. L'appel de l'étape rpms assurera donc automatiquement l'exécution des étapes channels et channel-families. Pour lancer une étape individuelle, utilisez l'option --step, comme dans l'exemple suivant : satellite-sync --step=rpms En plus de l'option --step, le RHN Satellite Synchronization Tool offre de nombreuses autres options en ligne de commande. Pour les utiliser, insérez l'option et la valeur appropriée après la commande satellite-sync lors du lancement de l'import/synchronisation. Tableau 6.2. Options de l'import et de la synchronisation du satellite Option Description -h, --help Affiche cette liste d'options et quitte. 44
satellite-sync Option -d=, --db=db -m=, --mount-point=point_montage --list-channels -cchannel, --channel=channel_label -p, --print-configuration --no-ssl --step=step_name --no-rpms> --no-packages --no-errata --no-kickstarts --force-all-packages --debug-level=level_number --email --traceback-mail=traceback_mail -s=, --server=serveur --http-proxy=http_proxy Description Inclut une autre chaîne de connexion à la base de données : nomutilisateur/ motdepasse@sid. Importe/synchronise depuis un média local monté au satellite. À être utilisé dans des environnements fermés (comme ceux créés durant les installations déconnectées). Affiche tous les canaux disponibles et quitte. Traite les données uniquement pour ce canal. Plusieurs canaux peuvent être inclus en répétant l'option. Si aucun canal n'est spécifié, tous les canaux sur le satellite seront rafraîchis. Imprime la configuration courante et quitte. Non recommandé - Désactive SSL. Effectue le processus de synchronisation uniquement à l'étape spécifiée. Utilisée en général dans des tests. Ne recherche pas de RPM. Ne traite pas les données de paquetages entiers. Ne traite pas les informations d'errata. Ne traite pas les données de kickstart (redimensionnement seul). Traite par force toutes les données de paquetages sans effectuer de différence. Écrase la quantité de messages envoyés aux fichiers journaux et générés sur l'écran définie dans /etc/rhn/ rhn.conf, 0-6 (2 est la valeur par défaut). Envoie par courrier électronique un rapport sur l'import et la synchronisation au destinataire désigné du message de traceback. Dirige la sortie de la synchronisation (de --email) à cette adresse électronique. Inclut le nom d'hôte d'un autre serveur auquel se connecter pour la synchronisation. Ajoute un autre serveur proxy HTTP sous la forme nomdhôte:port. 45
Chapitre 6. Import et synchronisation Option --http-proxy-username=proxy_username --http-proxy-password=proxy_password --ca-cert=ca_cert --systemid=system_id --batch-size=batch_size Description Inclut le nom d'utilisateur pour un autre serveur proxy HTTP. Inclut le mot de passe pour un autre serveur proxy HTTP. Utilise un autre certificat CA SSL en incluant le chemin complet et le nom de fichier. Uniquement pour le débogage - Inclut le chemin à un autre ID de système numérique. Uniquement pour le débogage - Définit la taille de lot maximum en pourcentage pour le traitement d'import de base de données / XML. Ouvrez la page man satellite-sync pour davantage d'informations. Si aucune option n'est incluse, la commande satellite-sync synchronise tous les canaux qui existent déjà dans la base de données du satellite. Par défaut, l'option --step (toutes les étapes) est activée. Souvenez-vous que lorsque vous utilisez l'option --channel, vous devez spécifier l'étiquette du canal et non pas son nom. Par exemple, utilisez "rhel-i386-as-3" et non pas "Red Hat Enterprise Linux 3 i386". Utilisez l'option --list-channels pour obtenir une liste de tous les canaux par étiquette. Tous ces canaux affichés sont disponibles pour l'import et la synchronisation. 6.2.2. Préparation de l'import à partir du média local Pour effectuer l'import du RHN Satellite, les conditions préalables suivantes doivent être satisfaites : L'installation du RHN Satellite doit avoir été réussie. Les ISO de contenu de canaux de Red Hat Network ou les données de RHN Satellite Exporter doivent être disponibles ou le satellite doit accéder à Internet et au site Web de RHN. Bien qu'il soit possible d'effectuer l'import directement depuis le site Web de RHN, cette opération devrait uniquement être effectuée si les ISO de contenu de canaux ne sont pas disponibles. Peupler un canal à partir de zéro sur Internet est une longue opération. Pour cette raison, Red Hat vous presse d'utiliser les ISO, si elles sont disponibles, pour l'import initial. 6.2.2.1. Préparation des ISO de contenu de canaux Les ISO de contenu de canaux sont des collections spéciales qui contiennent des copies de paquetages et XML de métadonnées. Les images ISO peuvent être téléchargées depuis le site Web de RHN sur une machine connectée à Internet, puis transférées sur le satellite. Après vous être connecté, cliquez sur Channels (canaux) dans la barre de navigation du haut, puis sur le nom du canal pour votre version du RHN Satellite. Cliquez sur l'onglet Downloads (téléchargements) et utilisez les instructions sur la page pour obtenir les ISO de contenu de canaux, disponibles par version de Red Hat Enterprise Linux. Si les ISO de contenu de canaux désirées n'apparaissent pas, assurez-vous que votre certificat de droits d'accès de RHN a bien été déposé sur RHN et identifie correctement les canaux cibles. 46
Préparation de l'import à partir du média local Les ISO de contenu de canaux sont montées, puis copiées dans un répertoire de dépôt temporaire. Avant de monter les ISO, assurez-vous que le dépôt temporaire a assez d'espace disque pour copier tout le contenu dans un seul répertoire. Pour un seul canal, l'espace requis est d'approximativement 20 GB. Le processus de copie des ISO de contenu de canaux consiste à monter chacune d'entre elles, de copier leur contenu dans le dépôt temporaire, puis de démonter les ISO. Chaque canal comprend plusieurs ISO. Une fois terminé, l'administrateur devrait supprimer le répertoire temporaire et tout son contenu. Suivez les étapes suivantes : 1. Connectez-vous sur la machine en tant que super-utilisateur. 2. Insérez la première ISO de contenu de canaux qui a été gravée sur disque. 3. Créez un répertoire dans /mnt/ pour stocker le(s) fichier(s) à l'aide de la commande suivante : mkdir /mnt/import/ 4. Montez le fichier d'iso depuis le répertoire le contenant à l'aide de la commande suivante : mount iso_filename /mnt/import -o loop 5. Créez un répertoire cible pour les fichiers tel que : mkdir /var/rhn-sat-import/ 6. Cet exemple de commande assume que l'administrateur souhaite copier le contenu de l'iso (montée dans /mnt/import/) dans /var/rhn-sat-import/ : cp -ruv /mnt/import/* /var/rhn-sat-import/ 7. Démontez ensuite /mnt/import en préparation au prochain CD-ROM ou prochaine ISO : umount /mnt/import 8. Répétez ces étapes pour chaque ISO de contenu de canaux de chaque canal à être importé. 6.2.2.2. Préparation des données du RHN Satellite Synchronization Tool Afin d'effectuer l'import à partir de données exportées précédemment avec RHN Satellite Exporter, vous devez d'abord copier ces données sur le système local. Les étapes qui suivent vous permettront de démarrer l'import comme décrit dans la Section 6.2.3, «Exécution de l'import». 1. Connectez-vous sur la machine en tant que super-utilisateur. 2. Créez un répertoire cible pour les fichiers tel que : mkdir /var/rhn-sat-import/ 47
Chapitre 6. Import et synchronisation 3. Mettez à disposition les données de l'export sur la machine locale dans le répertoire créé durant les étapes précédentes. Ceci peut être fait en copiant directement les données ou en montant les données d'une autre machine en utilisant NFS. C'est peut être plus facile de copier les données dans le nouveau répertoire avec une commande comme celle-ci : scp -r root@storage.example.com:/var/sat-backup/* /var/rhn-sat-import Maintenant que les données sont disponibles, vous pouvez effectuer l'import. 6.2.3. Exécution de l'import Le paquetage rhns-satellite-tools fournit le programme satellite-sync pour la gestion de tous les imports et synchronisations de paquetages, canaux et errata. Le processus suivant assume que dans l'étape précédente l'utilisateur a copié toutes les données dans /var/rhn-sat-import. La première étape dans l'import de canaux dans la base de données consiste à lister les canaux disponibles à l'import. Cette action est effectuée à l'aide de la commande suivante : satellite-sync --list-channels --mount-point /var/rhn-sat-import L'étape suivante est d'initier l'import d'un canal spécifique. Pour ce faire, utilisez une étiquette de canal présentée dans la liste précédente. La commande devrait ressembler à l'exemple suivant : satellite-sync -c rhel-i386-as-3 --mount-point /var/rhn-sat-import Remarque L'import de données de paquetages peut durer jusqu'à deux heures par canal. Vous pouvez cependant commencer à enregistrer des systèmes aux canaux dès qu'ils apparaissent dans le site Web du RHN Satellite. Aucun paquetage n'est nécessaire pour l'enregistrement, bien que les mises à jour ne peuvent pas être obtenues depuis le satellite tant que le canal n'est pas complètement peuplé. Vous pouvez répéter cette étape pour chaque canal ou les inclure tous dans une seule commande en passant chaque étiquette de canal précédée d'un indicateur supplémentaire -c, comme dans l'exemple suivant : satellite-sync -c channel-label-1 \ -c channel-label-2 \ --mount-point /var/rhn-sat-import Les tâches suivantes sont effectuées dans l'ordre suivant : 1. Peupler les tables en décrivant les fonctionnalités communes pour les canaux (familles de canaux, ou channel families). Ceci peut également être effectué individuellement en passant l'option -- step=familles de canaux à satellite-sync. 48
Synchronisation 2. 3. 4. 5. Créer un canal particulier dans la base de données et importer les métadonnées en décrivant le canal. Individuellement, utilisez l'option --step=canaux. Déplacer les paquetages RPM du dépôt temporaire à leur emplacement final. Individuellement, utilisez l'option --step=rpms. Analyser les métadonnées d'en-tête pour chaque paquetage dans le canal, télécharger les données de paquetages et les associer au canal. Individuellement, utilisez l'option -- step=paquetages. Identifier les errata associés aux paquetages et les inclure dans le dépôt. Individuellement, utilisez l'option --step=errata. Après avoir exécuté la commande précédente, la population du canal devrait être terminée. Tous les paquetages devraient être déplacés du dépôt ; ceci peut être vérifié avec la commande cd /var/ rhn-sat-import/; ls -alr grep rpm. Si tous les RPM ont été installés et déplacés dans leurs emplacements permanents, ce compte aurait la valeur zéro et l'administrateur peut supprimer sans risque le dépôt temporaire (dans ce cas, /var/rhn-sat-import/). 6.3. Synchronisation Un canal de mise à jour n'est utile que si les informations dans ce canal sont fraîches. Vu que le RHN Satellite est conçu de façon à être un environnement autonome, toute alerte de mise à jour publiée par RHN doit être manuellement importée et synchronisée par l'administrateur du RHN Satellite. Durant la synchronisation sur Internet, le RHN Satellite Synchronization Tool effectue les étapes suivantes : 1. Il se connecte par SSL aux serveurs RHN centraux, s'authentifie comme un RHN Satellite et déclenche un export de données RHN à moins qu'un point de montage local pour les données exportées de RHN ne soit spécifié, dans quel cas aucune connexion n'est nécessaire. Reportezvous à la Section 6.3.2, «Synchronisation d'errata et de paquetages via le média local» pour obtenir des explications. 2. Il examine l'export et identifie les différences entre l'ensemble de données du RHN Satellite et l'ensemble de données RHN exportées. Pour un canal particulier, les informations suivantes sont analysées : Métadonnées de canal Métadonnées de tous les paquetages de ce canal Métadonnées de tous les errata qui affectent ce canal Remarque Toute l'analyse est effectuée sur le RHN Satellite ; les serveurs RHN centraux ne fournissent qu'un export des informations de ses canaux et restent ignorants de tout détail concernant le RHN Satellite. 49
Chapitre 6. Import et synchronisation 3. Après l'analyse des données d'export, toutes les différences sont importées dans la base de données du RHN Satellite. Veuillez noter que l'import de nouveaux paquetages peut prendre des durées de temps variables. Pour une grande mise à jour, un import peut durer plusieurs heures. La commande satellite-sync peut être utilisée en deux modes : via RHN et via le média local. 6.3.1. Synchronisation d'errata et de paquetages directement via RHN Pour les clients qui souhaitent synchroniser les données aussi fréquemment que possible et qui peuvent lancer des connexions en-dehors de leurs propres environnements, la synchronisation du satellite peut être exécutée sur Internet via SSL. Ceci est le paramètre par défaut pour le script de synchronisation du satellite. Par exemple : satellite-sync -c rhel-i386-as-3 Cette commande permet de se connecter aux serveurs RHN centraux et effectue le processus décrit ci-dessus. Plusieurs canaux peuvent être inclus en répétant l'option. Si aucun canal n'est spécifié, tous les canaux sur le satellite seront rafraîchis. 6.3.2. Synchronisation d'errata et de paquetages via le média local Pour les clients qui ne peuvent pas connecter directement leur satellite à RHN, Red Hat recommande le téléchargement d'iso de contenu de canaux sur un système séparé connecté à Internet, puis de les transférer sur le satellite. Reportez-vous à la Section 6.2.2.1, «Préparation des ISO de contenu de canaux» pour des instructions sur le téléchargement des ISO. Pour un import plus facile, nous recommandons que les données soient copiées directement depuis le média dans un dépôt commun à l'aide d'une commande comme la suivante : cp -rv /mnt/cdrom/* /var/rhn-sat-sync/ Puis en exécutant la commande suivante : satellite-sync -c rhel-i386-as-3 --mount-point /var/rhn-sat-sync Ces commandes peuvent être utilisées pour effectuer le processus de synchronisation décrit cidessus, à l'aide des fichiers de vidage dans /var/rhn-sat-sync pour effectuer les comparaisons et les imports nécessaires. Reportez-vous à la Section 6.2.3, «Exécution de l'import» pour obtenir des étapes précises. 6.4. Inter-satellite Sync (synchronisation inter-satellite) RHN Satellite 5.3 et les versions plus récentes supportent la synchronisation entre deux satellites. Cette synchronisation, aussi appelée Inter-Satellite Sync, permet aux administrateurs de simplifier le processus de coordination du contenu d'une source RHN Satellite vers une autre ou plusieurs autres. Voici les prérequis de base pour Inter-satellite Sync, Au moins deux serveurs RHN Satellite 5.3 ou versions plus récentes Au moins un RHN Satellite comprenant au moins un canal 50
Modèles recommandés pour la synchronisation inter-satellite. Des certificats SSL Master RHN Satellite disponibles pour chacun des RHN Satellite esclaves pour une connexion en toute sécurité. 6.4.1. Modèles recommandés pour la synchronisation inter-satellite. La fonctionnalité de synchronisation inter-satellite permet de synchroniser le contenu entre deux ou plusieurs satellites. Vous trouverez ci-dessous, certaines des utilisations les plus typiques qui exposent les diverses possibilité de synchronisation de la fonctionnalité Inter-Satellite Sync et qui vous aideront à déterminer comment optimiser cette fonctionnalité dans votre environnement. Remarque Si vous n'êtes pas certain de savoir si la fonctionnalité Inter-Satellite Sync est bien adaptée aux besoins de votre organisation, veuillez noter que vous pouvez continuer d'utiliser RHN Satellite 5.3 ou ses versions plus récentes, normalement. L'installation ou la mise à niveau de RHN Satellite 5.3 ou de ses versions plus récentes ne nécessite pas que vous utilisiez cette fonctionnalité. Figure 6.1. Satellite de pré-production Dans cet exemple, le Stage Satellite est utilisé pour préparer le contenu et pour effectuer le travail d'assurance qualité (AQ) - pour s'assurer que les paquetages sont prêts pour être utilisés en production. Une fois que le contenu est approuvé à passer en production, le satellite de Production va alors synchroniser le contenu du Stage Satellite. Figure 6.2. Serveur principal et ses esclaves qui incluent leur propre contenu personnalisé Dans cet exemple, le satellite principal est le canal de développement, à partir duquel le contenu est distribué vers tous les satellites esclaves. Certains satellites esclaves possèdent des contenus qui n'apparaissent pas dans les canaux de satellite principaux. Ces paquetages sont préservés, mais tout changement au niveau du satellite principal sera synchronisé au niveau du satellite esclave. 51
Chapitre 6. Import et synchronisation Figure 6.3. Les satellites esclaves sont entretenus exactement de la même façon que le satellite principal Dans cet exemple, le satellite principal (par exemple, un distributeur de matériel ou de logiciels) fournit des données à son client. Ces changements sont régulièrement synchronisés avec les satellites esclaves. 6.4.2. Configurer le serveur principal RHN Satellite Pour utiliser la fonctionnalité de synchronisation inter-satellite, vous devrez tout d'abord vous assurer que vous l'avez bien activée. Veillez bien à ce que /etc/rhn/rhn.conf contienne bien la ligne suivante : disable_iss=0 Dans le même fichier, on trouve la variable : allowed_iss_slaves= Par défaut, les satellites esclaves sont sensés se synchronisés par rapport au serveur principal, donc, vous devrez saisir le nom d'hôte de chaque serveur satellite, séparé par des virgules. AInsi : allowed_iss_slaves=slave1.satellite.example.org,slave2.satellite.example.org Une fois que vous aurez fini de configurer le fichier rhn.conf, redémarrez le service httpd en lançant la commande suivante : service httpd restart 6.4.3. Configurer les serveurs esclave RHN Satellite Pour configurer les serveurs esclave RHN Satellite avec Inter-Satellite Sync, vous devrez posséder un certificat ORG-SSL en provenance de votre serveur RHN Satellite principal, de façon à ce que vous puissiez transférer le contenu en toute sécurité. On peut le décharger à partir de n'importe quel http à partir du répertoire /pub/ de n'importe quel satellite. Ce fichier est nommé RHN-ORG-TRUSTED-SSL- CERT, mais peut être renommé et placé n'importe où sur le satellite esclave, comme sur le répertoire / usr/share/rhn/. Pour des informations sur la configuration SSL à utiliser avec RHN Satellite, consulter Chapitre 3 3, "Infrastructure SSL " du RHN Satellite Guide de configuration client 52
Utiliser Inter-Satellite Sync Une fois que le certificat SSL est mis sur le serveur esclave, vous pourrez apercevoir la liste de canaux disponibles à synchroniser du serveur de satellite principal en exécutant la commande suivante (en remplaçant master.satellite.example.com par le nom d'hôte du serveur satellite principal) : satellite-sync --iss-parent=master.satellite.example.com --ca-cert=/usr/share/rhn/rhn-org- TRUSTED-SSL-CERT --list-channels Cette commande liste à la fois les canaux Red Hat Network Hosted, ainsi que n'importe quel canal personnalisé, qui serait disponible sur le serveur satellite principal. 6.5. Utiliser Inter-Satellite Sync Une fois qu'inter Satellite Sync est configuré, vous pourrez l'utiliser pour synchroniser les canaux du satellite principal vers les serveurs esclave. Sur les serveurs esclaves, configurez le nom d'hôte de votre serveur principal et le chemin d'accès de votre fichier de certificats SSL, dans les lignes suivantes du fichier /etc/rhn/rhn.conf : iss_parent iss_ca_chain = master.satellite.domain.com = /usr/share/rhn/rhn-org-trusted-ssl-cert Puis, exécutez la commande satellite-sync en tapant : satellite-sync -c your-channel Remarque Toute option de ligne de commande de la commande satellite-sync remplacera n'importe quel paramètre personnalisé ou par défaut du fichier /etc/rhn/rhn.conf 6.5.1. Synchroniser entre un serveur d'étape de développement (Development Staging Server) et un satellite de production Il pourrait y avoir des cas pour lesquels un administrateur souhaiterait synchroniser des données à partir d'un serveur d'étape qui possède des canaux personnalisés qui sont prêts à être utilisés en production pour un serveur de satellite de production. Par exemple, un serveur de satellite de production synchronise normalement directement à partir de serveurs ayant RHN comme hôte, pour les mises à jour de contenu, mais il va parfois synchroniser les informations prêtes pour la production à partir d'un serveur de développement RHN Satellite. Figure 6.4. Synchroniser à partir de serveurs de pré-production Satellite et RHN Hosted Normalement, l'administrateur exécute : 53
Chapitre 6. Import et synchronisation satellite-sync -c your-channel Cette commande décharge des données directement à partir de rhn_parent (normalement RHN Hosted, rhn.redhat.com). Puis, pour synchroniser à partir de l'adresse du serveur de satellite d'étape, l'administrateur exécute : satellite-sync --iss-parent=staging-satellite.example.com -c custom-channel 6.5.2. Synchronisation bi-directionnelle Les administrateurs peuvent configurer un environnement pour lequel deux serveurs peuvent agir en tant que maître l'un par rapport à l'autre. Ainsi, les satellite A et B peuvent synchroniser le contenu de l'un à l'autre. Figure 6.5. Synchronisation bi-directionnelle Les deux satellites auraient besoin de partager des certificats SSL, puis sélectionnez l'option iss_parent dans le fichier /etc/rhn/rhn.conf du satellite A pour pointer vers le nom d'hôte du satellite B, et faire de même pour que le satellite B pointe vers le satellite A en tant que iss_parent. 6.6. Synchronisation par organisation Satellite-sync comprend une amélioration, qui fait partie de la fonctionnalité de synchronisation intersatellite, et pour laquelle un utilisateur peut importer le contenu vers n'importe quel organisation spécifique. Cela peut être effectué localement ou à distance, en synchronisant à partir d'un Satellite Hosted ou à partir d'un autre. Aim permet à la synchronisation satellite d'importer un contenu tout en respectant org_id. Cela cible certainement deux sortes d'audiences à ce niveau là. La première audience est un cas MutiOrg déconnecté, pour lequel la principale source de contenu pour l'utilisateur, est d'obtenir le contenu à partir de canaux de vidage ou d'exporter à partir de satellites connectés et les importer à nouveau. L'utilisateur accueille normalement des canaux personnalisés sur les satellites déconnectés. S'ils souhaitent exporter des canaux personnalisés en provenance de satellites connectés, ils devront le faire avec cela. L'autre cas concerne les clients satellite connecté MultiOrg, ces nouveaux indicateurs pourraient servir pour déplacer le contenu entre les orgs multiples. L'autre cas concerne les clients satellite connecté Multi-Org. Ces nouveaux indicateurs pourraient servir pour déplacer le contenu entre les orgs multiples. Sync par Org comprend quelques règles à suivre pour maintenir l'intégrité de la source org. Si le contenu de la source appartient à une org de base (n'importe quel contenu Red Hat), il sera org de base par défaut, même si une org de destination est spécifiée. Cela garantit que le contenu spécifié soit toujours sous cette org de base privilégiée. Si une org est spécifiée au niveau de la ligne de commande, son contenu sera importé. Si org n'est pas spécifiée, il retournera à org 1 par défaut. 54
Synchronisation par organisation Vous trouverez ci-dessous trois exemples de scénarios pour lesquels les IDs organisationnelles (orgid) sont utilisées pour synchroniser entre les satellites : 1. Importer le contenu à partir d'un satellite principal vers un satellite esclave. satellite-sync --parent-sat=master.satellite.domain.com -c channel-name --orgid=2 2. Importer le contenu d'un fichier de vidage exporté d'une org spécifique $ satellite-sync -m /dump -c channel-name --orgid=2 3. Importe le contenu de RHN Hosted (en assumant qu'il soit enregistré et activé. Si l'org source n'est pas spécifiée, le canal Red Hat de base sera choisi). $ satellite-sync -c channel-name 55
56
Chapitre 7. Résolution de problèmes Ce chapitre offre des astuces pour déterminer la cause d'erreurs les plus communes associées au RHN Satellite et pour les résoudre. Si vous avez besoin d'aide supplémentaire, contactez l'assistance de Red Hat Network à l'adresse https://rhn.redhat.com/help/contact.pxt. Connectez-vous en utilisant votre compte ayant des droits d'accès au Satellite pour voir la liste complète de vos options. De plus, vous pouvez mettre en paquetages les informations et les journaux de configuration du Satellite et les envoyer à Red Hat pour de plus amples diagnostics. Reportez-vous à la Section 7.8, «Débogage du Satellite par Red Hat» pour obtenir des instructions. 7.1. Rassembler des informations avec spacewalk-report Dans certaines instances, les administrateurs pourraient nécessiter un sommaire précis et formatté de leurs ressources RHN Satellite, que celui-ci soit nécessaire afin de faire un inventaire de leurs droits d'accès, des systèmes abonnés, ou des utilisateurs et organisations. Plutôt que de rassembler ce type d'informations manuellement depuis l'interface web du Satellite, RHN Satellite 5.4 inclut la commande spacewalk-report pour rassembler et afficher les informations vitales du Satellite en une seule fois. Remarque Le paquetage spacewalk-reports doit être installé pour pouvoir utiliser spacewalk-report. spacewalk-report permet aux administrateurs d'organiser et d'afficher des rapports concernant le contenu, les systèmes, et les ressources utilisateur du Satellite. À l'aide de spacewalk-report, vous pouvez recevoir des rapports sur : Inventaire du système Répertorie tous les systèmes enregistrés sur le Satellite. Droits d'accès Répertorie toutes les organisations sur le Satellite et les trie par système ou par droits d'accès de canal. Errata Répertorie tous les errata concernant les systèmes enregistrés et trie les errata en fonction de la sévérité ainsi que les systèmes s'appliquant à un erratum en particulier. Utilisateurs Répertorie tous les utilisateurs enregistrés sur le Satellite, et répertorie tout système associé à un utilisateur en particulier. spacewalk-report permet aux administrateurs d'organiser et d'afficher des rapports concernant le contenu, les systèmes, et les ressources utilisateurs sur le Satellite. Pour obtenir le rapport sous le format CSV, exécutez ce qui suit dans la ligne de commande de votre serveur Satellite. spacewalk-report report_name Les rapports suivants sont disponibles : Tableau 7.1. Rapports spacewalk-report Rapport Invoqué ainsi Description Paquetages de canaux channelpackages Liste de paquetages dans un canal 57
Chapitre 7. Résolution de problèmes Rapport Invoqué ainsi Description Rapport de canal channels Rapport détaillé d'un canal donné Inventaire du système inventory Liste des systèmes enregistrés sur le serveur avec des informations sur le matériel et les logiciels. Droits d'accès entitlements Répertorie toutes les organisations sur le Satellite avec leurs droits d'accès de système ou de canaux. Détails d'errata errata-list Répertorie tous les errata affectant les systèmes enregistrés sur le Satellite Tous les errata Errata de systèmes Liste complète de tous les errata. Répertorie les errata applicables et tous les systèmes enregistrés qui sont affectés. Utilisateurs du système users Répertorie tous les utilisateurs enregistrés sur le Satellite. Systèmes administrés errata-listall erratasystems userssystems Liste des systèmes que les utilisateurs individuels peuvent administrer. Pour obtenir plus d'informations sur un rapport individuel, exécutez spacewalk-report avec l'option --info ou --list-fields-info et le nom du rapport. La description et la liste des champs possibles du rapport s'afficheront. Pour obtenir plus d'informations, la page man spacewalk-report(8) ainsi que le paramètre -- help du programme spacewalk-report peuvent être utilisés pour accéder à des informations supplémentaires sur les invocations du programme et ses options. 7.2. Fichiers journaux Chaque étape de résolution de problèmes devrait commencer avec l'examen des fichiers journaux associés. Ces derniers offrent des informations inestimables sur l'activité qui a pris place sur le périphérique ou au sein de l'application, ces informations peuvent être utilisées pour contrôler la performance et assurer une configuration correcte. Consultez le Tableau 7.2, «Fichiers journaux» pour les chemins aux fichiers journaux appropriés : Remarque Il peut y avoir des fichiers journaux numérotés (tels que /var/log/rhn/rhn_satellite_install.log.1, / var/log/rhn/rhn_satellite_install.log.2, etc.) dans le répertoire /var/log/rhn/. Il s'agit de journaux rotatifs, des fichiers journaux créés avec une extension.<number> lorsque le fichier rhn_satellite_install.log actuel est rempli à la taille spécifiée par le démon logrotate(8) et le contenu est donc écrit sur un fichier journal rotatif. Par exemple, rhn_satellite_install.log.1 contiendra le fichier journal rotatif le plus ancient, tandis que rhn_satellite_install.log.4 contiendra le fichier journal rotatif le plus récent. Tableau 7.2. Fichiers journaux Composant/Tâche Apache Web server Emplacement du fichier journal répertoire /var/log/httpd/ 58
Problèmes généraux Composant/Tâche RHN Satellite Programme d'installation RHN Satellite Installation de la base de données - Embedded Database Population de la base de données RHN Satellite Synchronization Tool Infrastructure Monitoring Notifications Monitoring RHN DB Control - Embedded Database RHN Task Engine (taskomatic) yum Transactions XML-RPC Emplacement du fichier journal répertoire /var/log/rhn/ /var/log/rhn/rhn_satellite_install.log /var/log/rhn/install_db.log /var/log/rhn/populate_db.log /var/log/rhn/rhn_server_satellite.log Répertoire /var/log/nocpulse/ répertoire /var/log/notification/ /var/log/rhn/rhn_database.log /var/log/messages /var/log/yum.log /var/log/rhn/rhn_server_xmlrpc.log 7.3. Problèmes généraux Pour commencer la résolution de problèmes généraux, examinez le fichier journal ou les fichiers associés au composant présentant des échecs. Un exercice utile est d'exécuter la commande tail -f pour tous les fichiers journaux, puis d'exécuter la commande up2date --list pour Red Hat Enterprise Linux 5 (ou up2date --list pour les versions Red Hat Enterprise Linux plus anciennes). Vous devriez alors examiner toutes les nouvelles entrées de journaux pour des indices potentiels. Un problème commun est l'espace de disque plein. Un signe pratiquement sûr de ce problème est l'apparence d'écriture arrêtée dans les fichiers journaux. Si la journalisation s'est arrêtée durant une écriture, comme un mot à moitié écrit, il est probable que vos disques soient pleins. Pour confirmer cela, exécutez la commande suivante et vérifiez les pourcentages dans la colonne Uti% : df -h Outre les fichiers journaux, vous pouvez obtenir des informations de valeur en obtenant le statut de votre RHN Satellite et de ses divers composants. Pour ce faire, utilisez la commande suivante : /usr/sbin/rhn-satellite status De plus, vous pouvez obtenir individuellement le statut de composants tels que le Apache Web server et le RHN Task Engine. Par exemple, pour afficher le statut du Apache Web server, exécutez la commande suivante : service httpd status Si le Apache Web server n'est pas en cours d'exécution, les entrées dans votre fichier /etc/hosts peuvent être incorrectes. Reportez-vous à la Section 7.4, «Impossible de trouver l'hôte / Impossible de déterminer le FQDN» pour obtenir une description de ce problème et des solutions possibles. 59
Chapitre 7. Résolution de problèmes Pour obtenir le statut du RHN Task Engine, exécutez la commande suivante : service taskomatic status Pour davantage d'informations, reportez-vous à la Section 8.8.1.1, «Maintenance du RHN Task Engine». Pour obtenir le statut de la Embedded Database du Satellite, si elle existe, exécutez la commande suivante : service oracle status Pour déterminer la version de votre schéma de bases de données, exécutez la commande suivante : rhn-schema-version Pour dériver les types de l'ensemble de caractères de la base de données de votre Satellite, exécutez la commande suivante : rhn-charsets Si l'administrateur ne reçoit pas de courrier électronique provenant du RHN Satellite, confirmez que les bonnes adresses électroniques ont été définies pour traceback_mail dans /etc/rhn/ rhn.conf. Si le courrier traceback est marqué depuis dev-null@rhn.redhat.com et que vous souhaitez que l'adresse soit valide pour votre organisation, incluez l'option web.default_mail_from et la valeur appropriée dans /etc/rhn/rhn.conf. Si l'import ou la synchronisation d'un canal a échoué et que vous ne pouvez pas le retrouver d'une autre manière, exécutez la commande suivante pour supprimer le cache : rm -rf temporary-directory Remarquez que la Section 6.2.2.1, «Préparation des ISO de contenu de canaux» propose que ce répertoire temporaire soit /var/rhn-sat-import/. Relancez ensuite l'import ou la synchronisation. Si yum (ou up2date) ou l'utilitaire push du RHN Satellite cessent de fonctionner, il est possible que d'anciens fichiers journaux en soient la cause. Arrêtez le démon jabberd avant de supprimer ces fichiers. Pour ce faire, exécutez les commandes suivantes en tant que super-utilisateur : service jabberd stop cd /var/lib/jabberd rm -f _db* service jabberd start 60
Impossible de trouver l'hôte / Impossible de déterminer le FQDN 7.4. Impossible de trouver l'hôte / Impossible de déterminer le FQDN Vu que les fichiers de configuration de RHN dépendent exclusivement de noms de domaine entièrement qualifiés (ou FQDN), il est impératif que les applications clés puissent résoudre le nom du RHN Satellite en une adresses IP. L'Red Hat Update Agent, le Red Hat Network Registration Client et le Apache Web server sont particulièrement sujets à ce problème avec les applications RHN produisant des erreurs du genre "host not found" (impossible de trouver l'hôte) et le serveur Web indiquant "Could not determine the server's fully qualified domain name" (impossible de déterminer le nom de domaine du serveur) lors de l'échec du démarrage. Ce problème provient en général du fichier /etc/hosts. Vous pouvez confirmer ceci en examinant le fichier /etc/nsswitch.conf, qui définit les méthodes et l'ordre dans lequel les noms de domaine sont résolus. Normalement, le fichier /etc/hosts est vérifié en premier, suivi par le NIS (Network Information Service), si il est utilisé, suivi par le DNS. L'un d'eux doit réussir pour que le Apache Web server démarre et que les applications client de RHN fonctionnent. Pour résoudre ce problème, identifiez le contenu du fichier /etc/hosts. Il peut ressembler à l'exemple suivant : 127.0.0.1 this_machine.example.com this_machine localhost.localdomain \ localhost Tout d'abord, dans un éditeur de texte, supprimez les informations de la machine fautive comme dans l'exemple suivant : 127.0.0.1 localhost.localdomain.com localhost Puis, enregistrez le fichier et essayez d'exécuter à nouveau les applications client de RHN ou le Apache Web server. Si elles échouent toujours, identifiez de manière explicite l'adresse IP du Satellite dans le fichier comme dans l'exemple suivant : 127.0.0.1 localhost.localdomain.com localhost 123.45.67.8 this_machine.example.com this_machine Remplacez la valeur ici avec l'adresse IP actuelle du Satellite. Le problème devrait ainsi être résolu. Souvenez-vous que si l'adresse IP spécifique est stipulée, le fichier devra être mis à jour lorsque la machine obtient une nouvelle adresse. 7.5. Erreurs de connexion Un problème commun de connexion, indiqué par les erreurs SSL_CONNECT, est le résultat d'un Satellite installé sur une machine dont la date et l'heure ont été mal configurées. Durant l'installation du Satellite, les certificats SSL sont créés avec des dates et des heures qui ne sont pas exactes. Si la date et l'heure du Satellite sont alors corrigées, la date et l'heure de départ du certificat peuvent être définies dans le futur, ce qui les rendra invalides. Pour résoudre ce problème, vérifiez la date et l'heure sur les clients et le Satellite à l'aide de la commande suivante : date 61
Chapitre 7. Résolution de problèmes Les résultats devraient être pratiquement identiques pour toutes les machines et au sein des fenêtres de validité "notbefore" (pas avant) et "notafter" (pas après) des certificats. Vérifiez les dates et les heures des certificats client à l'aide de la commande suivante : openssl x509 -dates -noout -in /usr/share/rhn/rhn-org-trusted-ssl-cert Vérifiez les dates et les heures des certificats du serveur du Satellite à l'aide de la commande suivante : openssl x509 -dates -noout -in /etc/httpd/conf/ssl.crt/server.crt Par défaut, le certificat du serveur a une durée de vie d'un an alors que les certificats client sont bons pour dix ans. Si vous trouvez que les certificats ne sont pas corrects, vous pouvez attendre la date et l'heure de départ valides, si possible, ou créer de nouveaux certificats, préférablement avec toutes les dates et les heures système définies sur GMT. Les mesures suivantes peuvent être utilisées pour résoudre les problèmes d'erreurs générales de connexion : Essayez de connecter la base de données du RHN Satellite en ligne de commande à l'aide de la bonne chaîne de connexion trouvée dans /etc/rhn/rhn.conf : sqlplus username/password@sid Assurez-vous que le RHN Satellite utilise le protocole de temps réseau NTP et qu'il est défini sur le bon fuseau horaire. Cela s'applique également à tous les systèmes client et la machine séparée de base de données dans le RHN Satellite avec la Stand-Alone Database. Confirmer que le paquetage correct : 7 rhn-org-httpd-ssl-key-pair-machine_name-ver-rel.noarch.rpm est installé sur le RHN Satellite et que le fichier rhn-org-trusted-ssl-cert-*.noarch.rpm correspondant ou le certificat CA SSL (client) brut public est installé sur tous les systèmes client. Vérifiez que les systèmes client sont configurés de façon à utiliser le certificat approprié. Si vous utilisez également un ou plusieurs RHN Proxy Server, assurez-vous que les certificats SSL de chaque proxy sont préparés correctement. Le proxy devrait avoir sa propre paire de clés SSL de serveur et son propre certificat CA SSL public (client) installés, vu qu'il servira dans les deux fonctions. Reportez-vous au chapitre sur les certificats SSL du Guide de configuration du client de RHN pour obtenir des instructions spécifiques. Assurez-vous que les systèmes client n'utilisent pas leurs propres pare-feu, bloquant ainsi les ports requis, comme la Section 2.4, «Besoins supplémentaires» l'identifie. 7.6. Problèmes SELinux Si vous rencontrez des problèmes avec les messages SELinux (comme les messsages de refus AVC) sur Red Hat Enterprise Linux 5 en cours d'installation de RHN Satellite, veillez bien d'avoir les fichiers audit.log de disponibles, de façon à ce que le personnel de Soutien Red Hat puisse vous assister. 62
Mettre à jour les composants logiciel Vous pourrez trouver le fichier dans /var/log/audit/audit.log et vous pourrez l'attacher au ticket de Soutien pour que les ingénieurs puissent vous assister. 7.7. Mettre à jour les composants logiciel N'enregistrez pas votre RHN Satellite à un des canaux enfant suivants disponibles à partir des serveurs centraux de RHN : Red Hat Developer Suite Red Hat Application Server Red Hat Extras S'enregistrer sur ces canaux et mettre à jour son Satellite (par exemple en démarrant yum sur Red Hat Enterprise Linux 5 ou up2date sur les versions Red Hat Enterprise Linux plus anciennes), peut installer des versions nouvelles, incompatibles de composants logiciels critiques, faisant échouer le Satellite. 7.8. Débogage du Satellite par Red Hat Si vous avez épuisé ces étapes de résolution de problèmes ou que vous souhaitez les remettre à des professionnels de Red Hat Network, Red Hat recommande que vous utilisiez la puissante assistance qui vient avec le RHN Satellite. La manière la plus efficace pour ce faire est de regrouper les paramètres de configuration, les fichiers journaux et les informations de bases de données de votre Satellite et d'envoyer directement ce paquetage à Red Hat. RHN fournit un outil en ligne de commande explicitement dans ce but : l'outil Satellite Diagnostic Info Gatherer (rassembleur d'informations de diagnostique du Satellite), plus couramment connu par sa commande satellite-debug. Pour utiliser cet outil, exécutez simplement cette commande en tant que super-utilisateur. Vous verrez les informations recueillies et le fichier tarball créé comme dans l'exemple suivant : [root@miab root]# satellite-debug Collecting and packaging relevant diagnostic information. Warning: this may take some time... * copying configuration information * copying logs * querying RPM database (versioning of RHN Satellite, etc.) * querying schema version and database character sets * get diskspace available * timestamping * creating tarball (may take some time): /tmp/satellite-debug.tar.bz2 * removing temporary debug tree Debug dump created, stored in /tmp/satellite-debug.tar.bz2 Deliver the generated tarball to your RHN contact or support channel. Une fois terminé, envoyez par courrier électronique le nouveau fichier du répertoire /tmp/ à votre représentant Red Hat pour un diagnostique immédiat. 63
64
Maintenance Chapitre 8. Étant donné l'unique environnement du RHN Satellite, ses utilisateurs se voient offrir des capacités qui ne sont pas disponibles à d'autres clients de Red Hat Network. De plus, le Satellite même requiert également une maintenance. Ce chapitre présente les procédures qui devraient être suivies pour effectuer les fonctions administratives en-dehors de leur utilisation standard, ainsi que pour appliquer des correctifs au RHN Satellite. 8.1. Gérer le Satellite avec rhn-satellite Étant donné que le RHN Satellite consiste en une multitude de composants individuels, Red Hat offre un outil en ligne de commande qui vous permet d'arrêter, de démarrer ou d'obtenir les informations de statut de divers services dans l'ordre approprié : rhn-satellite. Cet outil accepte toutes les commandes typiques : /usr/sbin/rhn-satellite start /usr/sbin/rhn-satellite stop /usr/sbin/rhn-satellite restart /usr/sbin/rhn-satellite reload /usr/sbin/rhn-satellite enable /usr/sbin/rhn-satellite disable /usr/sbin/rhn-satellite status Utilisez rhn-satellite pour éteindre et activer le RHN Satellite entier et obtenir des messages de statut de tous ses services à la fois. 8.2. Mise à jour du Satellite Si des mises à jour critiques sont apportées au RHN Satellite, elles seront publiées sous la forme d'errata pour le RHN Satellite. Pour les systèmes du RHN Satellite qui peuvent être connectés à Internet, la meilleure méthode pour appliquer ces mises à jour d'errata est d'utiliser l'red Hat Update Agent via Red Hat Network. Vu que le RHN Satellite est inscrit à Red Hat Network durant l'installation initiale, l'utilisateur devrait pouvoir exécuter yum update (ou up2date -usur les versions de Red Hat Enterprise Linux précédant la version 5) sur le RHN Satellite ou utiliser le site Web suivant https://rhn.redhat.com pour appliquer les mises à jour. Important Les RPM d'apache ne redémarrent pas le service httpd à l'installation. Ainsi, après avoir effectué une mise à jour complète d'un serveur Satellite RHN (comme la commande yum update (ou up2date -usur les versions de Red Hat Enterprise Linux), Apache peut échouer. Pour éviter cela, assurez-vous de redémarrer le service httpd après l'avoir mis à niveau. Pour les systèmes du RHN Satellite qui ne sont pas connectés à Internet, les paquetages peuvent être obtenus à l'aide d'un compte de client à l'adresse suivante : https://rhn.redhat.com. Ils peuvent ensuite être appliqués manuellement par le client selon les instructions données dans l'alerte d'errata. 65
Chapitre 8. Maintenance Avertissement Il est très important de lire l'alerte d'errata avant d'appliquer des mises à jour d'errata du RHN Satellite. Des étapes supplémentaires de configuration peuvent être nécessaires pour appliquer certaines mises à jour du RHN Satellite, spécialement si elles impliquent la base de données. Dans de tels cas, l'alerte peut contenir des informations spécifiques et détaillées sur les étapes nécessaires qui peuvent être requises. Si au lieu d'installer des nouveaux paquetages du Satellite, vous essayez de mettre à jour le certificat de droits d'accès de RHN du serveur de façon à augmenter son nombre de systèmes client, reportezvous au Chapitre 5, Droits d'accès pour obtenir des instructions. 8.3. Sauvegarde du Satellite La sauvegarde d'un RHN Satellite peut être effectuée de plusieurs manières. Indépendemment de la méthode choisie, la base de données associée doit également être sauvegardée. Pour la Stand- Alone Database, consultez l'administrateur de bases de données de votre organisation. Pour la Embedded Database, reportez-vous à la Section 8.4, «Utilisation du RHN DB Control» pour obtenir une description complète de ce processus et des options disponibles. Ci-dessous figurent les fichiers et les répertoires minimums que Red Hat vous recommande de sauvegarder : /rhnsat/ - Embedded Database uniquement (à ne jamais sauvegarder lorsque la base de données est en cours d'exécution - reportez-vous à la Section 8.4.2, «Sauvegarde de la base de données») /etc/sysconfig/rhn/ /etc/rhn/ /etc/sudoers /etc/tnsnames.ora /var/www/html/pub/ /var/satellite/redhat/1 - RPM personnalisés /root/.gnupg/ /root/ssl-build/ /etc/dhcp.conf /tftpboot/ /var/lib/cobbler/ /var/lib/rhn/kickstarts/ /var/www/cobbler /var/lib/nocpulse/ 66
Utilisation du RHN DB Control Si possible, sauvegardez également /var/satellite/. En cas d'échec, cela économisera de longues durées de téléchargement. Vu que /var/satellite/ (en particulier /var/satellite/ redhat/null/) est d'abord une copie du dépôt de RPM de Red Hat, il peut être régénéré avec satellite-sync. Red Hat recommande que l'arborescence entière /var/satellite/ soit sauvegardée. Dans le cas de satellites déconnectés, /var/satellite/ doit être sauvegardé. Sauvegarder uniquement ces fichiers et répertoires demande la réinstallation des RPM ISO du RHN Satellite et de nouveau l'enregistrement du Satellite. De plus, les paquetages de Red Hat devraient être synchronisés à l'aide de l'outil satellite-sync. Finalement, vous devrez réinstaller /root/ ssl-build/\ rhn-org-httpd-ssl-key-pair-machine_name-ver-rel.noarch.rpm. Une autre méthode serait de sauvegarder tous les fichiers et les répertoires mentionnés ci-dessus, mais de réinstaller le RHN Satellite sans l'enregistrer de nouveau. Durant l'installation, annulez ou passez les sections concernant l'enregistrement à RHN et la génération du certificat SSL. La dernière méthode et la plus complète serait de sauvegarder la machine entière. Cette opération économiserait du temps lors du téléchargement et de la réinstallation mais demanderait de l'espace disque et une durée de sauvegarde supplémentaires. Remarque Qu'importe la méthode de sauvegarde utilisée, lorsque vous restaurez le Satellite depuis une sauvegarde vous devez exécuter la commande suivante afin de planifier la recréation des index de recherche la prochaine fois que le service rhn-search est lancé : /etc/init.d/rhn-search cleanindex 8.4. Utilisation du RHN DB Control Le RHN Satellite avec la Embedded Database requiert un utilitaire pour la gestion de cette base de données. Red Hat offre un tel outil : le RHN DB Control. Cet utilitaire en ligne de commande vous permet d'effectuer toutes les tâches, de la création, vérification et restauration de sauvegardes à l'affichage du statut de la base de données et son relancement si nécessaire. Vous devez être l'utilisateur oracle pour appeler le RHN DB Control. Pour commencer, devenez l'utilisateur oracle : su - oracle Puis, exécutez la commande suivante : db-control option 8.4.1. Options du contrôle de bases de données Le RHN DB Control offre de nombreuses options de ligne de commande. Pour les utiliser, en tant qu'oracle, insérez l'option et la valeur appropriée, si nécessaire, après la commande db-control. Tableau 8.1. Options du RHN DB Control Option help Description Affiche les options de db-control avec des informations supplémentaires. 67
Chapitre 8. Maintenance Option backup DIRNAME examine DIRNAME extend gather-stats PCT report report-stats restore DIRNAME start shrink-segments status stop tablesizes verify DIRNAME Description Sauvegarde la base de données dans le répertoire spécifié. Examine le contenu d'un répertoire de sauvegarde. Renvoie l'estampille de la création de la sauvegarde et un rapport sur son contenu. Augmente l'espace de table Oracle de RHN Collecter des statistiques sur les objets de la base de données RHN Oracle. PCT est le pourcentage de rangées à estimer (la valeur par défaut est de 15%). Renvoie un rapport sur l'utilisation courante de l'espace de base de données. Renvoie un rapport sur les segments comprenant des statistiques vides ou bien trop anciens. Restaure la base de données depuis la sauvegarde stockée dans le répertoire DIRNAME. La base de données doit être arrêtée pour que cette commande puisse être exécutée. Lance l'instance de la base de données. Cette opération peut également être accomplie en exécutant la commande service oracle start en tant que super-utilisateur (root). Réduit les segments de la base de données Oracle RHN d'un montant d'espace important. Affiche le statut courant de la base de données, soit "running" (en cours d'exécution), soit "offline" (éteinte). Arrête la base de données. Cette opération peut également être accomplie en exécutant la commande service oracle stop en tant que super-utilisateur (root). Affiche le rapport d'espace pour chaque table Vérifie le contenu de la sauvegarde stockée dans le répertoire DIRNAME. Cette commande vérifie les checksums de chaque fichier contenu dans la sauvegarde. Remarque Les statistiques de la base de données sont un ensemble de données qui décrivent en détail la base de données et ses objets. Les statistiques sont utilisés par l'optimiseur de recherche pour choisir le meilleur plan d'exécution pour chaque énoncé SQL. Comme les objets de la base de données sont toujours entrain de changer, les statistiques devront être mis à jour régulièrement, de façon à pouvoir décrire avec précision ces objets de la base de données. Les statistiques sont maintenus automatiquement par Oracle. Cependant, si votre base de données rencontre des problèmes de performance suite un un changement important de données, considérez a collection manuelle des statistiques. 68
Sauvegarde de la base de données Remarque Après avoir supprimé un grand montant de données, utiliser la fonctionnalité segmentshrink pour récupérer d'espace libre fragmenté d'un segment de base de données Oracle Database. Les avantages de segment-shrink, c'est le tassement de données qui mène à une meilleure utilisation de cache et les données compactées ont besoin de moins de blocs à balayer complètement, ce qui améliore la performance. La fonctionnalité de réduction de segment ne fonctionne que sur la nouvelle base de données Oracle Database 10g R2 fournie avec RHN Satellite Server 5.2.0. Compte tenus des différentes options de configuration par défaut de la base de données d'oracle Database 9i, cette fonctionnalité n'opère pas sur les bases de données qui ont été mises à niveau à partir de versions RHN Satellite Server plus anciennes. 8.4.2. Sauvegarde de la base de données Red Hat vous recommande d'effectuer des sauvegardes de la Embedded Database toutes les nuits et de déplacer le répertoire résultant sur un autre système via NFS, SCP, FTP, etc. De préférence, ce système de sauvegarde se trouve en-dehors du site. Pour lancer une sauvegarde, éteignez tout d'abord la base de données et les services associés en exécutant la commande suivante en tant que super-utilisateur : /usr/sbin/rhn-satellite stop Devenez ensuite l'utilisateur oracle et exécutez cette commande pour lancer la sauvegarde : db-control backup DIRNAME Les fichiers de sauvegarde sont stockés dans le répertoire spécifié. Notez que ceci est une sauvegarde froide ; la base de données doit être arrêtée avant d'exécuter cette commande. Ce processus prend plusieurs minutes. La première sauvegarde est un bon indicateur de la durée des prochaines sauvegardes. Une fois la sauvegarde terminée, repassez en mode super-utilisateur et redémarrez la base de données et les services associés avec la commande suivante : /usr/sbin/rhn-satellite start Vous devriez alors copier cette sauvegarde sur un autre système à l'aide de rsync ou d'un autre utilitaire de transfert de fichiers. Red Hat vous recommande fortement de programmer automatiquement le processus de sauvegarde avec des travaux cron. Par exemple, sauvegardez le système à 3h du matin, puis copiez la sauvegarde dans un dépôt séparé (partition, disque ou système) à 6h du matin. 8.4.3. Vérification de la sauvegarde La sauvegarde de la Embedded Database est uniquement utile si vous pouvez assurer l'intégrité de la sauvegarde résultante. Le RHN DB Control offre deux méthodes pour revoir les sauvegardes, une brève et une plus détaillée. Pour effectuer une vérification rapide de l'estampille de la sauvegarde et pour déterminer tout fichier manquant, exécutez cette commande en tant qu'oracle : 69
Chapitre 8. Maintenance db-control examine DIRNAME Pour effectuer une revue plus approfondie, y compris la vérification des checksums de chaque fichier de la sauvegarde, exécutez la commande suivante en tant qu'oracle : db-control verify DIRNAME 8.4.4. Restauration de la base de données Le RHN DB Control rend la sauvegarde de la Embedded Database relativement simple. Comme lors de la création de sauvegardes, vous devez tout d'abord éteindre la base de données et les services associés en exécutant les commandes suivantes dans l'ordre suivant en tant que super-utilisateur : /usr/sbin/rhn-satellite stop Devenez ensuite l'utilisateur oracle et exécutez cette commande, y compris le répertoire contenant la sauvegarde, pour commencer la restauration : db-control restore DIRNAME Cette commande restaure non seulement la Embedded Database, mais vérifie également le contenu du répertoire de sauvegarde à l'aide des checksums. Une fois la restauration terminée, passez en mode super-utilisateur (root) et redémarrez la base de données et les services associés avec ces commandes dans l'ordre suivant : /usr/sbin/rhn-satellite start 8.5. Clonage du Satellite avec la Embedded Database Vous pouvez limiter les défaillances causées par le matériel ou autres en clonant le Satellite avec la Embedded Database dans sa totalité. La machine secondaire du Satellite peut être préparée de façon à être utilisée dans le cas où la primaire échouerait. Pour cloner le Satellite, effectuez les tâches suivantes : 1. Installez le RHN Satellite avec la Embedded Database (et une installation de base de Red Hat Enterprise Linux AS) sur une machine séparée, en passant l'étape de génération de certificat SSL. 2. Sauvegardez la base de données du Satellite primaire tous les jours en exécutant les commandes décrites dans la Section 8.4.2, «Sauvegarde de la base de données». Dans ce cas, seuls les changements apportés le jour de la défaillance seront perdus. 3. Établissez un mécanisme pour copier la sauvegarde sur le Satellite secondaire et garder les dépôts synchronisés à l'aide d'un programme de transfert de fichiers comme rsync. Si vous utilisez un SAN, il n'est pas nécessaire de copier. 4. Utilisez l'option restore du RHN DB Control pour importer les données dupliquées. 70
Établissement de Satellites redondants avec la Stand-Alone Database 5. Si le Satellite primaire échoue, transférez le paquetage RPM de la paire de clés SSL qui se trouve dans /root/ssl-build du Satellite primaire au Satellite secondaire, puis installez le paquetage. Ceci vous assurera que les clients RHN peuvent s'authentifier et se connecter de manière sécurisée au Satellite secondaire. 6. Modifiez le DNS de façon à pointer sur la nouvelle machine ou configurez votre répartiteur de charge de manière appropriée. 8.6. Établissement de Satellites redondants avec la Stand- Alone Database De la même façon que l'option de clonage est disponible au Satellite avec la Embedded Database, vous pouvez limiter les défaillances sur les Satellites avec la Stand-Alone Database en préparant des Satellites redondants. Au contraire du clonage d'un Satellite avec la Embedded Database, des Satellites redondants avec la Stand-Alone Database peuvent être exécutés activés, ou en attente. Cela dépend entièrement de la topologie de votre réseau et est indépendant des étapes listées ici. Pour établir cette redondance, installez tout d'abord le Satellite primaire normalement, à part que la valeur spécifiée dans le champ Nom commun (Common Name) du certificat SSL doit représenter votre configuration à haute disponibilité, plutôt que le nom d'hôte du serveur individuel. Puis : 1. Préparez la Stand-Alone Database pour les défaillances à l'aide des recommandations d'oracle pour la construction d'une base de données tolérante aux pannes. Consultez votre administrateur de bases de données. 2. Installez le RHN Satellite avec la Stand-Alone Database (et une installation de base de Red Hat Enterprise Linux AS) sur une machine séparée, en passant les étapes de configuration de base de données, de schéma de base de données, de génération de certificat SSL et de script de démarrage. Incluez le même compte RHN et les informations de connexion de bases de données fournies durant l'installation initiale du Satellite et enregistrer le nouveau Satellite. Si votre certificat SSL original ne prend pas en compte votre solution à haute disponibilité, vous pouvez maintenant en créer un nouveau avec une valeur de Nom commun plus appropriée. Dans ce cas, vous pouvez également générer un nouveau script de démarrage qui capture cette nouvelle valeur. 3. Après l'installation, copiez les fichiers suivants du Satellite primaire au Satellite secondaire : /etc/rhn/rhn.conf /etc/tnsnames.ora /var/www/rhns/server/secret/rhnsecret.py 4. Copiez et installez les RPM de certificats SSL côté serveur du Satellite primaire sur le secondaire. Reportez-vous à la section sur le partage de certificats du Guide de configuration du client de RHN pour obtenir des instructions précises. Souvenez-vous que la valeur du Nom commun doit représenter la solution combinée du Satellite, et non pas le nom d'hôte d'une seule machine. Si vous avez généré un nouveau certificat SSL durant l'installation du Satellite qui incluait une nouvelle valeur du Nom commun, copiez les RPM de certificat SSL du Satellite secondaire sur le Satellite primaire et redistribuez le certificat côté client. Si vous avez également créé un autre script de démarrage, vous pouvez l'utiliser pour installer le certificat sur les systèmes client. 71
Chapitre 8. Maintenance 5. Si vous n'avez pas créé de script de démarrage, copiez le contenu de /var/www/html/pub/ bootstrap/ du Satellite primaire au Satellite secondaire. Si vous en avez généré un nouveau, copiez le contenu de ce répertoire sur le Satellite primaire. 6. Désactivez le RHN Task Engine sur le Satellite secondaire avec la commande suivante : /sbin/service taskomatic stop Vous pouvez utiliser des scripts personnalisés ou d'autres moyens pour établir un démarrage/ failover du RHN Task Engine sur le Satellite secondaire. De toutes façons, il devra être lancé au moment du failover. 7. Partagez les données de paquetages de canaux (qui se trouvent par défaut dans /var/ satellite) entre les Satellites par un type de périphérique de stockage en réseau. Cette opération élimine la réplication de données et assure un stockage uniforme de données pour chaque Satellite. 8. Partagez les données de paquetages de canaux (qui se trouvent par défaut dans /var/ satellite) entre les Satellites par un type de périphérique de stockage en réseau. Cette opération élimine la réplication de données et assure un stockage uniforme de données cache pour chaque Satellite. 9. Faites en sorte que divers Satellites soient disponibles sur votre réseau via le Nom commun et une méthode qui convient à votre infrastructure. Parmi les options figurent le DNS en tourniquet, un répartiteur de charge de réseau et une configuration de proxy inverse. 8.7. Changer le nom d'hôte du Satellite Si vous devez modifier le nom d'hôte ou l'adresse IP de votre serveur Satellite, le paquetage satellite-utils contient le script satellite-hostname-rename. Pour utiliser le script satellite-hostname-rename, vous devez d'abord vous assurer de connaître votre phrase de passe CA SSL en effectuant la commande suivante : openssl rsa -in path/rhn-org-private-ssl-key Saisissez la phrase de passe lorsqu'elle vous est demandée. satellite-hostname-rename requiert un argument obligatoire, qui est l'adresse IP du serveur Satellite, que celle-ci change avec le nom d'hôte ou pas. satellite-hostname-rename s'utilise comme suit : spacewalk-hostname-rename <ip address> [ --ssl-country=<country> --ssl-state=<state>\ --ssl-org=<organization/company> --ssl-orgunit=<department> --ssl-email=<email address> -- ssl-ca-password=<password>] S'il est nécessaire de générer un nouveau certificat SSL, toutes les informations nécessaires seront demandées interactivement via une série d'invites, à moins que les options ne soient passées dans la ligne de commande (comme indiqué dans l'exemple ci-dessus). Lorsque le nom d'hôte du système n'a pas changé, la regénération d'un nouveau certificat de serveur SSL n'est pas nécessaire. Cependant, si au moins une option SSL est spécifiée, alors satellite-hostname-rename générera un certificat. 72
Tâches spécifiques au Satellite Pour obtenir plus d'informations sur l'utilisation de satellite-hostname-rename, reportez-vous à l'entrée de la base de connaissances Red Hat suivante : https://access.redhat.com/kb/docs/doc-32318. 8.8. Tâches spécifiques au Satellite L'utilisation d'un RHN Satellite est similaire à l'utilisation de la version qui se trouve dans RHN. Pour cette raison, vous devriez consulter le Guide de référence de RHN pour obtenir des instructions détaillées sur les tâches standards comme l'édition de profils de système et la mise à jour de paquetages. Les tâches directement associées à la gestion de canaux et d'errata personnalisés sont examinées dans le Guide de gestion de canaux de RHN. Cette section cherche à expliquer les activités uniquement disponibles aux clients du Satellite. 8.8.1. Utilisation du menu Tools (outils) Outre les catégories standards disponibles à tous les utilisateurs via la barre de navigation du haut, l'organization Administrator du Satellite peut également accéder au menu Tools (outils). La page RHN Internal Tools (outils internes de RHN) est affichée si vous cliquez dessus. Figure 8.1. Outils internes Pour rafraîchir la vue des canaux qui ont été mis à jour mais qui ne reflètent pas encore ces modifications sur le site Web du Satellite, cliquez sur le lien Update now (mettre à jour maintenant) sur cette page. 73
Chapitre 8. Maintenance 8.8.1.1. Maintenance du RHN Task Engine L'affichage par défaut montre le statut du RHN Task Engine. Cet outil est un démon qui tourne sur le serveur du Satellite et qui exécute des opérations de routine, comme le nettoyage de bases de données, l'envoi d'errata, etc., qui doivent se produire en arrière-plan. La page affiche les heures d'exécution de diverses activités exécutées par le démon. Les administrateurs devraient s'assurer que le RHN Task Engine soit toujours en cours d'exécution. Si ce démon est suspendu pour une raison ou une autre, il peut être relancé à l'aide de son nom de fichier, taskomatic. En tant que super-utilisateur, exécutez la commande : /sbin/service taskomatic restart D'autres commandes de service peuvent également être utilisées, y compris start, stop et status. 8.8.2. Suppression d'utilisateurs Vu l'environnement isolé dans lequel le RHN Satellite fonctionne, les clients du Satellite ont la capacité de supprimer des utilisateurs. Pour accéder à cette fonctionnalité, cliquez sur Users (utilisateurs) dans la barre de navigation en haut du site Web de RHN. Dans la liste d'utilisateurs résultante, cliquez sur le nom de l'utilisateur à supprimer. La page User Details (informations sur l'utilisateur) sera alors affichée. Cliquez sur le lien delete user (supprimer l'utilisateur) en haut à droite de la page. Figure 8.2. Suppression d'un utilisateur Une page de confirmation apparaît expliquant que cette suppression est permanente. Pour continuer, cliquez sur Delete User (supprimer l'utilisateur) en bas à droite de la page. 74
Configuration de la recherche Satellite Remarque Le rôle OA (Administrateur d'organisation) doit être supprimé du profil de l'utilisateur avant de supprimer l'utilisateur du RHN Satellite. Sinon, l'opération de suppression échouera. Le rôle Organization Administrator peut être supprimé par un Organization Administrator (pour autant qu'il ne soit pas le seul Organization Administrator de cette organisation) en cliquant sur l'onglet Users, puis en passant sur les onglets Details et System Groups. Figure 8.3. Confirmation de la suppression d'un utilisateur De nombreuses autres options existent pour la gestion d'utilisateurs. Vous pouvez trouver des instructions les concernant dans le chapitre sur le site Web de RHN du Guide de référence de RHN. 8.8.3. Configuration de la recherche Satellite Les administrateurs de Satellite peuvent vouloir configurer certaines options de recherche afin de personnaliser les résultats de recherches pour leurs propres besoins d'optimisation. Les résultats de recherches RHN Satellite peuvent être personnalisés via le fichier /etc/rhn/ search.rhn-search.conf. La liste suivante définit la configuration des recherches et leurs valeurs par défaut entre parenthèses. search.index_work_dir : Spécifie où les index Lucene se trouvent (/usr/share/rhn/search/ indexes) search.rpc_handlers : liste séparée par des points-virgules de classes devant agir comme gestionnaires pour les appels XMLRPC. (filename>index:com.redhat.satellite.search.rpc.handlers.indexhandler, db:com.redhat.satellite.search.rpc.handlers.databasehandler, 75
Chapitre 8. Maintenance admin:com.redhat.satellite.search.rpc.handlers.adminhandler) search.max_hits_returned : nombre maximum de résultats à retourner pour la requête (500) search.connection.driver_class : classe du pilote JDBC devant conduire les recherches de base de données (oracle.jdbc.driver.oracledriver) search.score_threshold : score minimum qu'un résultat doit atteindre pour être retourné en tant que résultat de requête (.10) search.system_score_threshold : score minimum qu'un résultat de recherche système doit atteindre pour être retourné en tant que résultat de requête (.01) search.errata_score_threshold : score minimum qu'un résultat de recherche d'errata doit atteindre pour être retourné en tant que résultat de requête (.20) search.errata.advisory_score_threshold : score minimum qu'un résultat d'avis d'errata doit atteindre pour être retourné en tant que résultat de requête (.30) search.min_ngram : longueur minimum des caractères n-gram. Remarquez que toute modification de cette valeur requiert que clean-index soit exécuté, et les doc-indexes doivent être modifiés et reconstruits (1) search.max_ngram : longueur maximum des caractères n-gram. Remarquez que toute modification de cette valeur requiert que clean-index soit exécuté, et les doc-indexes doivent être modifiés et reconstruits (5) search.doc.limit_results : saisissez true pour limiter le nombre de résultats de search.score_threshold et pour restreindre le nombre maximum de hits de manière à ce qu'il soit moins important que search.max_hits_returned ; saisir false signifie retourner toutes les correspondances de recherche de documentation (false) search.schedule.interval : entrez l'heure en millisecondes pour contrôler l'intervalle avec lequel SearchServer analyse les changements de la base de données ; la valeur par défaut est de 5 minutes (300000). search.log.explain.results : utilisé pendant le développement et le débogage. Si défini sur true, il journalisera les informations supplémentaires qui montrent ce qui influence le score de chaque résultat. (false) 8.9. Automatisation de la synchronisation La synchronisation manuelle du dépôt du RHN Satellite avec Red Hat Network est une tâche ardue. Les heures de bureau des États-Unis semblent être les heures d'utilisation de pointe pour Red Hat Network. Toute synchronisation à cette heure là peut être lente. C'est pour ces raisons que Red Hat vous encourage d'automatiser la synchronisation à d'autres heures de la journée pour une meilleure répartition de charge et pour assurer une rapide synchronisation. Les heures de bureau des États- Unis continentaux sont approximativement entre 8:00 AM et 9:00 PM EST (UTC -5), à cause de quatre zones horaires, du lundi au vendredi. Ces heures peuvent varier d'une heure selon la saison. De plus, Red Hat recommande fortement que la synchronisation se produise aléatoirement pour une meilleure performance. Cette automatisation peut être facilement définie en ajoutant un simple travail cron. Pour ce faire, éditez le crontab en tant que super-utilisateur : 76
Implémentation de l'authentification PAM crontab -e Le crontab sera alors ouvert dans un éditeur de texte, vi par défaut. Un autre éditeur peut être utilisé en changeant tout d'abord la variable EDITOR, de la façon suivante : export EDITOR=gedit. Une fois ouvert, utilisez les cinq premiers champs (minute, heure, jour, mois et jour de la semaine) pour programmer la synchronisation. Souvenez-vous que les heures utilisent le temps militaire. Éditez le crontab pour inclure la synchronisation aléatoire, comme dans l'exemple suivant : 0 1 * * * perl -le 'sleep rand 9000' && satellite-sync --email >/dev/null \ 2>/dev/null Ce travail particulier sera exécuté aléatoirement entre 1h et 3h30 du matin, temps système, toutes les nuits et redirige stdout et stderr de cron pour éviter la duplication des messages les plus facilement lus provenant de satellite-sync. Des options autres que --email peuvent également être incluses. Reportez-vous au Tableau 6.2, «Options de l'import et de la synchronisation du satellite» pour obtenir une liste complète d'options. Une fois que vous fermez l'éditeur, le crontab modifié est immédiatement installé. 8.10. Implémentation de l'authentification PAM Vu que les mesures de sécurité deviennent de plus en plus complexes, les administrateurs doivent posséder des outils qui simplifient leur gestion. Le RHN Satellite prend ainsi en charge les systèmes d'authentification basée sur le réseau via les modules d'authentification enfichables (PAM, de l'anglais Pluggable Authentication Modules). Les PAM sont un ensemble de bibliothèques qui aident les administrateurs système à intégrer le Satellite à un mécanisme d'authentification centralisé, éliminant ainsi le besoin de se souvenir de plusieurs mots de passe. Le RHN Satellite prend en charge LDAP, Kerberos et d'autres systèmes d'authentification basés sur le réseau via PAM. Pour permettre au Satellite d'utiliser PAM et l'infrastructure d'authentification de votre organisation, effectuez les tâches suivantes. Remarque Afin de vous assurer que l'authentification PAM fonctionne correctement, installez le paquetage pam-devel. Configurez un fichier de service PAM (généralement /etc/pam.d/rhn-satellite) et faites en sorte que le Satellite l'utilise en ajoutant la ligne suivante à /etc/rhn/rhn.conf : pam_auth_service = rhn-satellite Cela assume que le fichier de service PAM est nommé rhn-satellite. Pour permettre à un utilisateur d'authentifier via PAM, sélectionnez la case Pluggable Authentication Modules (PAM). Elle se trouve sous les champs de mot de passe et de confirmation de mot de passe sur la page Create User. Par exemple, pour vous authentifier avec un système Red Hat Enterprise Linux 5 i386 via Kerberos, nous pourrions ajouter l'extrait suivant dans /etc/pam.d/rhn-satellite : 77
Chapitre 8. Maintenance #%PAM-1.0 auth required pam_env.so auth sufficient pam_krb5.so no_user_check auth required pam_deny.so account required pam_krb5.so no_user_check Veuillez noter que changer le mot de passe sur le site Web de RHN ne change que le mot de passe local sur le RHN Satellite, qui peut ne pas être utilisé du tout si PAM est activé pour cet utilisateur. Dans l'exemple précédent, le mot de passe Kerberos ne sera pas changé. 8.11. Autoriser le déploiement sur les clients Outre le fait d'autoriser les systèmes client à vérifier régulièrement le Satellite pour toute action programmée, vous pouvez autoriser le Satellite à immédiatement lancer ces tâches sur les systèmes ayant des droits d'accès de niveau Provisioning. Cela évite le délai typique entre la programmation d'une action et la connexion d'un système client sur RHN pour l'obtenir. Cette prise en charge est fournie par le répartiteur OSA (osad). Le répartiteur OSA est un service qui exécute périodiquement une requête vérifiant le serveur Satellite pour voir s'il n'y a pas de commande à exécuter sur le client. S'il y en a, il envoie un message avec jabberd aux instances osad exécutées sur les clients. Important SSL doit être employé entre le Satellite et ses systèmes client pour que cette caractéristique fonctionne. Si les certificats SSL ne sont pas disponibles, le démon sur le système client ne réussira pas à se connecter. Pour profiter de cette fonction, vous devez d'abord configurer vos règles de pare-feu de façon à autoriser les connexions sur le(s) port(s) requis, comme la Section 2.4, «Besoins supplémentaires» le décrit. Vous devez ensuite installer le paquetage osa-dispatcher qui se trouve dans le canal de logiciels du RHN Satellite pour le Satellite dans le site Web central de RHN. Une fois installé, démarrez le service sur le Satellite en tant que super-utilisateur à l'aide de la commande suivante : service osa-dispatcher start Finalement, installez le paquetage osad sur tous les systèmes client pour recevoir des actions déployées. Le paquetage se trouve dans le canal enfant des outils de RHN pour les systèmes sur le RHN Satellite. Avertissement Ne pas installer le paquetageosad sur le serveur Satellite, car il va entrer en conflit avec le paquetage osa-dispatcher qui est installé sur le Satellite. UIne fois installé, démarrez le service sur les systèmes client en tant que superutilisateur à l'aide de la commande suivante : 78
Autoriser le déploiement sur les clients service osad start Comme les autres services, osa-dispatcher et osad acceptent également les commandes stop, restart et status. Souvenez-vous que cette fonction dépend si le système client reconnaît le nom de domaine entièrement qualifié (FQDN) du Satellite. Ce nom et non pas l'adresse IP du serveur doit être utilisé lors de la configuration de l'red Hat Update Agent. Consultez le Guide de configuration du client de RHN pour obtenir davantage d'informations. Lorsque vous programmez désormais des actions depuis le Satellite sur des systèmes autorisés au déploiement, la tâche commencera immédiatement au lieu d'attendre que le système ne se connecte. 79
80
Annexe A. Exemple de fichier de configuration du RHN Satellite Le fichier de configuration /etc/rhn/rhn.conf pour le RHN Satellite vous permet d'établir les paramètres clés. Sachez cependant que toute erreur insérée dans ce fichier peut provoquer des défaillances du Satellite. Apportez donc des modifications de configuration avec attention. Vous devriez faire en particulier attention aux paramètres suivants : traceback_mail, default_db et server.satellite.http_proxy. Examinez l'exemple et ses commentaires, qui commencent par un signe dièse (#), pour toutes informations supplémentaires. #/etc/rhn/rhn.conf example for an RHN Satellite #---------------------------------------------- # Destination of all tracebacks, such as crash information, etc. traceback_mail = test@pobox.com, test@redhat.com # Location of RPMs (Red Hat and custom) served by the RHN Satellite mount_point = /var/satellite # Corporate gateway (hostname:port): server.satellite.http_proxy = corporate_gateway.example.com:8080 server.satellite.http_proxy_username = server.satellite.http_proxy_password = # Database connection information username/password@sid default_db = test01/test01@test01 ### DON'T TOUCH ANY OF THE FOLLOWING ### web.satellite = 1 web.session_swap_secret_1 = ea6c79f71cfcf307d567fed583c393b9 web.session_swap_secret_2 = 01dee83a7b7f27157f5335744eb02327 web.session_swap_secret_3 = 4e89e7697ce663149ca9e498cbc08b4f web.session_swap_secret_4 = a0fed2d77a950fc9a800b450a45e89d2 web.session_secret_1 = 24bc562e04c9b93f5be94f793738e104 web.session_secret_2 = 7667a7c2db311b1ea04271ecc1b82314 web.session_secret_3 = 442e7dc4f06f63eba9a0408d499c6a8d web.session_secret_4 = 587a0db47856f685d989095629a9bd6f encrypted_passwords = 1 web.param_cleansers = RHN::Cleansers->cleanse web.base_acls = RHN::Access web.default_taskmaster_tasks = RHN::Task::SessionCleanup, RHN::Task::ErrataQueue, RHN::Task::ErrataEngine, RHN::Task::DailySummary, RHN::Task::SummaryPopulation, RHN::Task::RHNProc, RHN::Task::PackageCleanup web.rhn_gpg_backend_module = RHN::GPG::OpenPGP web.restrict_mail_domains = 81
82
Annexe B. Historique de révision Version 1-29 Fri Feb 27 2009 83
84
Index Symboles /etc/nsswitch.conf, 61 /etc/rhn/rhn.conf, 60 A Apache, 65 Apache HTTP, 3 Authentification PAM implémentation, 77 automatisation de la synchronisation du Satellite, 76 autoriser le déploiement sur les clients, 78 avantages, 2 B base de données incorporée emplacement par défaut /rhnsat/, 23 besoins, 9 base de données, 12 logiciels, 9 matériels, 10 ntp, 15 Ports TCP, 14 règles du pare-feu, 14 supplémentaires, 14 besoins de base de données niveau d'accès Oracle, 13 C canal définition, 2 certificat de droits d'accès, 16, 23 Certificat de droits d'accès au serveur Satellite RHN, 23 Certificat de droits d'accès RHN options, 38 Certificats de droits d'accès RHN, 37 réception, 37 téléchargement, 38 chkconfig, 17 Clés GPG, 23 clonage du satellite, 70 Comment cela fonctionne, 3 Configuration Administrator définition, 2 Configuration Satellite recherche, 75 contenu de canaux processus d'importation, 47 D db-control options, 67 db-control use, 67 désactiver les services ntsysv chkconfig, 17 E erreur de type Hôte introuvable impossible de déterminer FQDN, 61 erreurs de connexion, 61 F fichiers journaux, 58 tableau, 58 H httpd, 17 I import données satellite, 41 import de données exécuter l'importation, 48 placer des errata dans un dépôt, 49 remplissage d'un canal, 49 importer contenu de canaux processus, 47 installation base, 23 MySQL, 35 sendmail, 34 Installation automatisée, 33 du RHN Satellite, 23 ISO de contenu de canaux préparation, 46 L liste de tâches de l'installation, 5 M maintenance, 65 mettre à jour le RHN Satellite, 65 mysql-server, 35 N ntp, 15 ntsysv, 17 85
Index O Oracle 10g, 3 Organization Administrator définition, 2 osa-dispatcher, 78 osad, 78 P paquetages de canaux emplacement par défaut /var/satellite/, 23 port 443, 14 port 4545, 14 port 5222, 14 port 5269, 14 port 80, 14 Ports Satellite, 14 prérequis certificat de droits d'accès, 16 DNS, 16 FQDN, 15 jabberd, 15 problèmes généraux, 59 Programme d'installation du Satellite options, 32 Protocole de temps du réseau, 15 R recherche, 75 Red Hat Network introduction, 1 Red Hat Update Agent définition, 2 redondance de satellites, 71 règles du pare-feu besoins, 14 résolution de problèmes, 57 /etc/hosts, 59 adresse email du traceback, 60 Embedded Database, 60 espace disque plein, 59 SSL_CONNECT errors, 61 résumé des étapes, 5 RHN composants, 3 RHN DB Control backup, 69 options, 67 restore, 70 verify, 69 RHN Satellite Activate, 38 RHN Satellite Exporter, 41 RHN Satellite Synchronization Tool, 43 options, 44 RHN Task Engine, 74 rhn-satellite, 65 rhn-satellite-activate, 38 activation, 39 options, 38 rhn-satellite-exporter, 41 export, 43 options, 42 rhn.conf exemple de fichier, 81 rhns-satellite-tools, 38, 48 rogerthat01@{mail domain}, 35 RPM de bases de données emplacement par défaut /opt/, 23 S satellite-debug, 63 satellite-sync, 48, 50 --step=channel-families, 48 --step=channels, 49 --step=rpms, 49 cron job, 76 satellites redondants, 71 sauvegarder le RHN Satellite, 66 sendmail, 17 synchronisation données satellite, 41 synchroniser conserver les données des canaux synchronisées, 49 système d'exploitation pris en charge, 9 T tailles des blocs, 13 termes à comprendre, 2 topologies, 19 multiples satellites en plusieurs niveaux horizontaux, 19 satellite unique, 19 satellites et proxies en plusieurs niveaux verticaux, 20 traceback, 3 définition, 2 U utilisation de l'outil, 73 86