Processus de gestion du déploiement. CA Technologies 12.9

Introduction au déploiement de l'infrastructure

Audit de serveurs de modularité avec un contenu de déploiement d'infrastructure

Le déploiement de l'infrastructure permet aux utilisateurs d'auditer les serveurs de modularité dans leur réseau qui contiennent un contenu de déploiement. Il leur permet en outre d'obtenir une liste de packages de déploiement qui existent sur chaque serveur de modularité.

La liste de packages de déploiement d'infrastructure disponibles sur un serveur de modularité s'affiche lorsque le serveur de modularité est sélectionné, au cours de la navigation via l'assistant de déploiement. Le contenu du serveur de modularité peut

également être affiché à l'aide de la commande dmsweep sspack.

Processus de gestion du déploiement

Lors de l'exécution de Deployment Management (DM), les principales étapes du processus de déploiement sont les suivantes :

1. Depuis l'ordinateur de l'administrateur, le composant client de déploiement d'infrastructure (assistant de déploiement ou commande dmsweep) émet une demande vers le gestionnaire DM (DMDeploy), afin d'installer un agent sur une liste composée d'un ou de plusieurs ordinateurs cibles. Le gestionnaire de déploiement peut être exécuté sur un ordinateur distant du client. La liste des cibles peut être constituée de noms d'ordinateur explicites ou d'adresses IPv4. Vous pouvez

également l'obtenir à partir d'une source de "conteneur", telle qu'un domaine

Windows, un répertoire LDAP ou une requête Client Automation.

Afin que le déploiement réussisse sur chaque ordinateur cible, il est important de vérifier que son nom, qu'il soit entré explicitement ou obtenu auprès d'un conteneur, corresponde à la résolution d'adresse de la cible, comme affichée sur l'ordinateur du gestionnaire de déploiement. Si, par exemple, la liste des cibles extraite d'un répertoire n'est pas complète avec des noms de domaine réseau, le déploiement risque de ne pas pouvoir continuer dans certaines configurations réseau.

2. Une vérification est effectuée pour voir si DMPrimer est déjà installé sur l'ordinateur cible. Si ce n'est pas le cas, DMPrimer est d'abord installé sur l'ordinateur cible. Le gestionnaire DM tente de livrer le package d'installation

DMPrimer. La méthode de distribution utilisée dépend de l'environnement d'exploitation cible et de la sécurité activée dans cet environnement. Une fois l'image DMPrimer copiée à travers l'ordinateur cible, son installation est initiée.

Certains systèmes d'exploitation ne disposant pas de méthode d'invocation distante de l'installation de DMPrimer, il est parfois nécessaire d'établir le programme d'installation à installer sur un événement significatif de système d'exploitation, comme un redémarrage. Il s'agit d'une installation asynchrone, car le message indiquant la fin de l'installation est reçu de façon asynchrone, à un moment non spécifié. L'installation de DMPrimer peut aussi être effectuée manuellement.

Chapitre 5: Déploiement de l'infrastructure 253

Introduction au déploiement de l'infrastructure

3. Le programme d'installation DMPrimer s'installe et installe également le composant de CA Message Queuing (CAM) sur l'ordinateur cible. Pendant l'installation, le mode

FIPS de DMPrimer sur l'ordinateur cible est fonction du mode FIPS du gestionnaire.

Le gestionnaire transfère le mode FIPS comme s'il s'agissait d'un paramètre d'installation. Ce paramètre est également actualisé dans le fichier dmprimer.cfg, qui est partie de l'installation de DMprimer.

Toutefois, à chaque démarrage, le logiciel DMPrimer lit d'abord le mode FIPS dans la stratégie de configuration de l'agent sur l'ordinateur cible. S'il y parvient, le logiciel d'injection actualise le fichier dmprimer.cfg avec le mode FIPS de l'agent et démarre dans ce mode. Si aucun agent n'est installé sur la cible, DMPrimer démarre dans le mode indiqué dans le fichier dmprimer.cfg.

Remarque : Sous la plupart des systèmes d'exploitation, l'installation de DMPrimer doit être exécutée avec des privilèges élevés.

4. Une fois que DMPrimer est installé et que DMDeploy a reçu le signal de "fin d'installation" provenant de l'ordinateur cible, le déploiement du package peut commencer. Un gestionnaire DMDeploy ayant préalablement installé un DMPrimer et s'étant authentifié auprès de celui-ci peut déployer des packages sans devoir fournir à nouveau des noms d'utilisateur ou des mots de passe. Il y parvient grâce à une authentification, en utilisant des clés publiques et privées. Vous pouvez forcer un gestionnaire de déploiement à retransférer et à installer DMPrimer, même si une version est déjà présente. Pour cela, définissez la stratégie de configuration

"AlwaysDeployPrimer" à l'aide de l'explorateur DSM.

Pour plus de détails sur l'utilisation du gestionnaire de déploiement via l'explorateur

DSM, consultez l'Aide en ligne de l'assistant de déploiement.

Spécification flexible de cibles de déploiement

Pour garantir une certaine souplesse lors de la spécification des cibles de déploiement, un fichier d'informations d'identification cible a été introduit. Avec ce fichier, un administrateur peut créer et gérer des listes de systèmes cibles individuels ou des groupes de systèmes cibles avec leurs informations d'identification de connexion.

Le fichier d'informations d'identification cible permet aux utilisateurs de planifier leur déploiement hors-ligne, avant d'initier les travaux de déploiement réels. Vous pouvez spécifier un déploiement vers d'autres zones d'un réseau en créant des familles de fichiers d'informations d'identification comme, par exemple, des fichiers propres à d'autres services de l'entreprise.

Vous pouvez utiliser le fichier d'informations d'identification cible avec la commande dmsweep (à l'aide de l'option /targetcred) et l'assistant Déploiement de l'infrastructure.

254 Manuel d'implémentation

Introduction au déploiement de l'infrastructure

Transfert d'options vers l'installation DMPrimer

Vous pouvez spécifier des options pour l'installation DMPrimer. Cela vous permet, par exemple, d'installer DMPrimer à des emplacements qui ne sont pas standard. Il s'agit d'une condition requise courante, car touts les installations suivantes de composants

Client Automation sur un ordinateur spécifique doivent utiliser les paramètres d'emplacement préalablement définis lors de l'installation de DMPrimer. Par conséquent, si vous devez utiliser des emplacements d'installation différents de ceux par défaut pour le logiciel Client Automation, vous devez définir l'emplacement d'installation de DMPrimer à l'aide des options décrites ci-dessous lors du déploiement initial vers un ordinateur cible spécifique.

Vous pouvez entrer les options d'installation via la ligne de commande dmsweep (à l'aide de l'option /primerargs) et de l'assistant de déploiement (à l'aide de la zone

Afficher des options avancées de la page Configuration d'agent).

Pour installer DMPrimer à un emplacement non standard, vous devez transférer les arguments suivants vers l'installation DMPrimer :

■

Pour un déploiement vers des ordinateurs cibles Windows :

CA=x:\CheminNouveauProduit

CASHCOMP=x:\NouvelleZonePartagée

Pour un déploiement vers des ordinateurs cibles Linux ou UNIX :

/RCA_ITRM_BASEDIR=/opt/CheminNouveauProduit

/RCASHCOMP=/opt/NouvelleZonePartagée

Par défaut, les installations de DMPrimer utilisent le même mode FIPS que le gestionnaire. Vous pouvez remplacer la valeur par défaut au moyen du paramètre suivant :

Ordinateurs cibles Windows :

FIPS_MODE=1 //(FIPS-preferred)

FIPS_MODE=2 //(FIPS-only)

Ordinateurs cibles Linux ou UNIX :

/RITCM_FIPS_MODE=1 //(FIPS-preferred)

/RITCM_FIPS_MODE=2 //(FIPS-only)

Chapitre 5: Déploiement de l'infrastructure 255

Introduction au déploiement de l'infrastructure

Remarque sur l'ajout d'options d'installation Windows

Lorsque vous transmettez des options d'installation Windows supplémentaires, contenant un ou plusieurs espaces vers un job de déploiement, en utilisant pour cela la page de configuration de l'agent de l'assistant de déploiement de l'infrastructure, vous devez insérer correctement les guillemets dans les paramètres. Pour chaque option d'installation de Windows supplémentaire, la valeur doit être mise entre guillemets ("), par exemple :

CA="C:\Program Files\mydir" CASHCOMP="C:\Program Files\mydir\sharedComps"

Sur la ligne de commande, lors de l'utilisation de dmsweep, les paramètres individuels doivent être séparés par des virgules et protégés par des guillemets, comme dans l'exemple suivant :

/pri "CA=\"C:\Program Files\CA\test\" CASHCOMP=\"C:\Program Files\CA\test\""

Remarques sur le déploiement de l'infrastructure à l'aide d'adresses IPv6

Si vous êtes sur le point de déployer l'infrastructure CA Client Automation à l'aide d'IPv6, vous devez lire attentivement les remarques suivantes :

■

Afin de pouvoir utiliser le Déploiement de l'infrastructure dans un environnement

IPv6, les conditions suivantes doivent être remplies :

1. La clé de registre suivante doit être définie sur 1 dans le gestionnaire DSM :

HKLM\System\CurrentControlSet\Services\smb\Parameters\IPv6EnableOutbou ndGlobal (REG_DWORD)

2. Appliquez deux mises à jour de correctif sur le serveur de modularité :

■

■ http://support.microsoft.com/kb/947369/en-us http://support.microsoft.com/kb/950092/en-us

3. Le nom d'hôte de l'ordinateur cible doit correspondre à une adresse IPv6 globale.

Assurez-vous également que la recherche inversée de l'adresse IPv6 renvoie le même nom d'hôte.

4. L'option Utiliser des noms d'hôtes de la stratégie de configuration Déploiement de l'infrastructure, doit être définie sur True.

Remarque : Si vous avez l'intention d'utiliser Déploiement d'infrastructure pour déployer des logiciels par l'intermédiaire d'un serveur de modularité sur un ordinateur Windows 2003 en environnement IPv6, vous devrez aussi exécuter les

étapes 1 à 3 ci-dessus sur l'ordinateur cible Windows 2003.

Si ces conditions ne sont pas remplies dans un réseau IPv6 pur, le package

DMPrimer doit être installé manuellement. Pour plus d"informations, consultez la

section Installation manuelle du logiciel d'injection de déploiement de l'infrastructure.

(page 257)

256 Manuel d'implémentation

Introduction au déploiement de l'infrastructure

■

Les fonctionnalités Déploiement de l'infrastructure et Détection continue prennent en charge le déploiement uniquement vers les plages d'adresses IPv4.

Installation manuelle du logiciel d'injection de déploiement de l'infrastructure

Même si le déploiement automatique n'est pas possible vers les ordinateurs cibles pour une raison ou une autre, le déploiement du logiciel d'infrastructure reste possible si vous installez manuellement le logiciel d'injection sur l'ordinateur cible. Cela peut être effectué grâce à l'installation physique du package du logiciel d'injection ou à l'exécution de l'installation via des scripts de connexion.

Outre l'installation du logiciel d'injection, vous devez installer une clé de sécurité générée par le gestionnaire de déploiement que vous souhaitez utiliser pour déployer l'infrastructure vers les ordinateurs cibles.

Le programme d'installation du logiciel DMprimer offre la possibilité d'activer le mode

FIPS au niveau du logiciel d'injection. Si vous souhaitez modifier le mode FIPS après l'installation, actualisez le paramètre FIPS_MODE dans le fichier dmprimer.cfg.

Toutefois, à chaque démarrage, le logiciel DMPrimer lit d'abord le mode FIPS dans la stratégie de configuration de l'agent sur l'ordinateur cible. S'il y parvient, le logiciel d'injection actualise le fichier dmprimer.cfg avec le mode FIPS de l'agent et démarre dans ce mode. Si aucun agent n'est installé sur la cible, DMPrimer démarre dans le mode indiqué dans le fichier dmprimer.cfg.

Installation de Deployment Primer sous Windows

L'installation de Deployment Primer sur un ordinateur cible Windows requiert les actions suivantes :

■

Mettez le support d'installation (DVD) Client Automation à disposition sur l'ordinateur cible ou copiez manuellement le fichier de configuration du logiciel d'injection sur l'ordinateur cible.

■

Le fichier de configuration du logiciel d'injection est stocké sur le support d'installation comme suit :

\WindowsProductFiles_x86\DMPrimer\dmsetup.exe

Exécutez dmsetup.exe sur l'ordinateur cible pour installer le logiciel d'injection.

Chapitre 5: Déploiement de l'infrastructure 257

Introduction au déploiement de l'infrastructure

Installation de Deployment Primer sous Linux ou UNIX

L'installation de Deployment Primer sur un ordinateur cible Linux ou UNIX requiert les actions suivantes :

■

Mettez le support d'installation (DVD) Client Automation à disposition sur l'ordinateur cible ou copiez manuellement l'image d'installation du logiciel d'injection sur l'ordinateur cible.

■

L'image d'installation du logiciel d'injection est stockée dans le répertoire suivant du support d'installation :

/LinuxProductFiles_x86/dmprimer

Modifiez le répertoire contenant l'image d'installation du logiciel d'injection sur l'ordinateur cible et exécutez la commande d'installation suivante afin d'installer le logiciel d'injection :

# sh installdmp

Spécification du certificat de gestion des déploiements lors de l'installation d'un logiciel d'injection

Le gestionnaire de déploiement génère un certificat que vous devez transférer vers l'ordinateur cible afin que le logiciel d'injection sur l'ordinateur cible accepte les packages de déploiement. Le fichier de certificat de déploiement est appelé dmkeydat.cer.

Vous pouvez choisir un autre emplacement pour le certificat lors de l'installation. Vous pouvez configurer un autre emplacement de fichier si vous voulez stocker le certificat dans une zone plus sûre, ou à un emplacement partagé entre deux gestionnaires qui fournissent une solution de basculement. Dans ce dernier cas, le partage du certificat permet aux gestionnaires de déploiement de communiquer avec les composants

DMPrimer livrés par l'un des gestionnaires, sans avoir à fournir de nouveau les informations d'identification pour l'authentification.

Sous Windows, le certificat de déploiement est stocké dans le répertoire suivant :

\Program Files\CA\DSM\DMDeploy

Vous devez copier le certificat dans le dossier d'installation du logiciel d'injection de l'ordinateur cible. Il s'agit, par défaut, du dossier suivant :

\Program Files\CA\DSM\DMPrimer

Sous Linux et UNIX, le certificat de déploiement est stocké dans le répertoire suivant :

/opt/CA/DSM/DMDeploy

Vous devez copier le certificat dans le dossier d'installation du logiciel d'injection de l'ordinateur cible. Il s'agit, par défaut, du dossier suivant :

/opt/CA/DSM/dmprimer/bin

258 Manuel d'implémentation

Introduction au déploiement de l'infrastructure

Déploiement des packages d'agent

Pour réduire le volume des données transférées via le réseau pendant le déploiement d'agents Client Automation, Client Automation fournit des packages d'agent prenant en charge l'anglais uniquement et des packages contenant des agents pour toutes les langues prises en charge (packages d'agent multilingue).

Sur le DVD d'installation du produit, les différent packages d'agent sont placés sous les dossiers de fichiers de produit, par exemple, WindowsProductFiles_x86.

Les packages en anglais uniquement possèdent le suffixe _ENU. Les packages d'agent multilingues n'ont pas de suffixe spécifique.

Dans la bibliothèque de packages logiciels, les packages ENU sont suivis de la mention

"(Disponible en anglais uniquement)", tandis que les packages d'agents multilingues ne présentent aucune mention particulière.

Dans l'assistant Déploiement de l'infrastructure, les packages ENU sont identifiés par la mention "(disponible en anglais uniquement) ENU", alors que les packages multilingues incluent le suffixe NLS (ENU, DEU, FRA, JPN).

Pendant l'installation, vous pouvez choisir d'importer les packages en anglais uniquement, les packages d'agents multilingues ou les deux dans la bibliothèque

Software Delivery et le dossier du package de déploiement de l'infrastructure.

Si vous sélectionnez un seul type de package, les packages en anglais par exemple, et si vous décidez ultérieurement d'ajouter les packages d'agent multilingues, vous devez exécuter une nouvelle fois la commande dsmPush pour copier le package d'agent souhaité.

Aucune langue fixe n'est spécifiée pour les déploiements d'agents multilingues vers des ordinateurs cibles. En effet, l'installation est effectuée dans la langue du système de l'ordinateur cible. Pour spécifier une langue d'installation explicite lors du déploiement sur des ordinateurs cibles, entrez l'option DSM_LANGUAGE dans le champ de saisie

"Spécifiez les éventuelles options d'installation supplémentaires" de l'assistant

Déploiement de l'infrastructure. L'option doit être spécifiée de la façon suivante (lang indique la langue d'installation sur l'ordinateur cible et correspond à enu, deu, fra, jpn, chs, esn ou kor) :

DSM_LANGUAGE=lang (sous Windows)

/RDSM_LANGUAGE=lang (sous Linux et UNIX)

Chapitre 5: Déploiement de l'infrastructure 259

Introduction au déploiement de l'infrastructure

Si vous ne configurez pas de paramètre linguistique, l'environnement linguistique par défaut du système est utilisé, à condition qu'un package linguistique soit disponible. Si l'environnement linguistique par défaut du système ne figure pas parmi les langues prises en charge, le programme d'installation repasse à enu (anglais (Etats-Unis)).

Lorsque vous déployez des packages sur des ordinateurs cibles à l'aide de la ligne de commande dmsweep, vous pouvez également ajouter des paramètres de langue. Il vous suffit de spécifier la langue à utiliser pour l'utilisation de Client Automation à l'aide de l'option pparams.

Exemple : déploiement d'un agent Windows en allemand à l'aide de la ligne de commande

Dans cet exemple, l'agent Windows en allemand correspond au package numéro 3. dmsweep deploy /ip targetcomputer /pn 3 /pparams servername,/DSM_LANGUAGE=deu

Remarque : Pour plus d'informations sur les options d'installation supplémentaires

(appelées également propriétés) telles que DSM_LANGUAGE, et leurs valeurs, reportezvous aux sections concernant l'installation de Client Automation à l'aide de la ligne de commande dans le chapitre "Installation de Client Automation".

Par défaut, tous les packages d'agent sont installés dans le même mode FIPS que le gestionnaire. Vous pouvez remplacer la valeur par défaut au moyen du paramètre suivant :

Ordinateurs cibles Windows :

FIPS_MODE=1 //(FIPS-preferred)

FIPS_MODE=2 //(FIPS-only)

Ordinateurs cibles Linux ou UNIX :

/RITCM_FIPS_MODE=1 //(FIPS-preferred)

/RITCM_FIPS_MODE=2 //(FIPS-only)

260 Manuel d'implémentation

Introduction au déploiement de l'infrastructure

Déploiement vers des ordinateurs Windows Vista et vers Windows 2008

Si le pare-feu d'un ordinateur cible exécutant le système d'exploitation Windows Vista ou Windows 2008 est désactivé et que le déploiement vers l'ordinateur échoue, vous devez créer ou définir la variable de registre suivante avec la valeur 1 :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\

System\LocalAccountTokenFilterPolicy

Cette opération est nécessaire, car le contrôle de compte d'utilisateur (UAC) dans

Windows Vista ou Windows 2008 n'octroie pas automatiquement des droits administratifs aux utilisateurs locaux. Cela se produit même si les utilisateurs locaux sont membres du groupe Administrateurs.

Remarque : Si vous configurez cette valeur, cela désactivera le filtrage du jeton d'accès à distance de l'UAC.

Il s'avère utile de configurer cette valeur si l'utilisateur dispose d'un compte d'administrateur local sur l'ordinateur exécutant Windows Vista ou Windows 2008. Les administrateurs de domaine ne bénéficieront pas de cette modification.

4104

137, 138

135

139, 445

Si le pare-feu d'un ordinateur cible exécutant Windows Vista ou Windows 2008 est activé, les ports suivants doivent être ouverts en plus des ports de partage de fichiers, afin de permettre le déploiement vers cet ordinateur :

■

Ports UDP :

CAM

Partage de fichiers et des imprimantes, etc.

■

Ports TCP : dmdeploy

Partage de fichiers et des imprimantes, etc.

Si le déploiement échoue toujours, les règles de sortie suivantes du pare-feu Windows

Vista ou Windows 2008 doivent être totalement activées :

■

Assistance à distance

■

Détection du réseau

■

Partage des fichiers et des imprimantes

■

Mise en réseau du noyau

Chapitre 5: Déploiement de l'infrastructure 261