Conditions préalables pour le déploiement automatique de l'infrastructure Client Automation
Conditions préalables pour le déploiement automatique de l'infrastructure Client Automation
Le composant Déploiement de l'infrastructure vous permet d'installer à distance le logiciel de l'agent et du serveur de modularité sur des ordinateurs cibles n'exécutant pas le logiciel Client Automation. Cette installation peut uniquement être obtenue en utilisant les fonctionnalités proposées par les systèmes d'exploitation sous-jacents sur les ordinateurs source et cible ; elle est soumise aux restrictions imposées par la configuration réseau de l'entreprise.
L'étape initiale lors du déploiement du logiciel d'infrastructure consiste à installer à distance un petit logiciel d'injection, DMPrimer, sur l'ordinateur cible. Ce logiciel
DMPrimer est chargé du transfert ultérieur des images d'installation du composant logiciel d'infrastructure et de l'invocation de leur installation. Lors de la distribution du
DMPrimer sur les ordinateurs cibles, le gestionnaire de déploiement doit fournir des informations d'identification utilisateur valides sur la cible.
Le DMPrimer est transféré sur le système cible en utilisant l'un des mécanismes suivants. Si le gestionnaire du déploiement connaît le système d'exploitation de l'ordinateur cible, un mécanisme de transfert adapté est sélectionné. Si le système d'exploitation cible ne peut être déterminé, chacun des mécanismes suivant est tenté à tour de rôle.
■
Ouverture d'un partage réseau
Le gestionnaire de déploiement tente de se connecter au partage réseau Windows sur le système cible. Par défaut, le nom de partage utilisé est ADMIN$ ; cependant, cela peut être modifié à l'aide de la stratégie de configuration "defaultTargetShare".
Ce mécanisme est disponible uniquement à partir des gestionnaires de déploiement s'exécutant sur une plate-forme basée sur Windows et ne fonctionnera que sur certaines cibles Windows. Des variantes de Windows, par exemple Windows XP
Edition Familiale, ne prennent pas en charge ce mécanisme de déploiement.
268 Manuel d'implémentation
Conditions préalables pour le déploiement automatique de l'infrastructure Client Automation
■
Ouverture d'une connexion réseau vers l'ordinateur cible en utilisant le protocole
SSH et transfert du package d'installation du Primer en utilisant SFTP
Ce mécanisme fonctionne sur tout ordinateur exécutant un serveur SSH ; cependant, il est principalement utilisé pour le ciblage d'ordinateurs Linux ou UNIX.
Remarque : Lorsque vous effectuer un déploiement sur des systèmes Solaris, CA recommande d'utiliser SunSSH v1.1 ou ultérieure, ou la dernière version d'OpenSSH. Pour des informations complémentaires sur les patchs applicables aux plates-formes Solaris et aux versions, consultez le site http://opensolaris.org/os/community/security/projects/SSH .
Si vous exécutez un pare-feu sur l'ordinateur cible, assurez-vous que le port SSH
(22) est activé pour autoriser la connexion depuis le gestionnaire de déploiement.
Vous devez également vérifier que le serveur SSH sur l'ordinateur cible est configuré pour utiliser une clé RSA ainsi que le chiffrement 3DES et le code d'authentification de message (MAC) HMAC-SHA1. La plupart des serveurs SSH prennent en charge cette configuration par défaut, mais dans le cas contraire, vous devez consulter la documentation de votre serveur SSH pour savoir comment l'ajouter.
■
■
■
Important : Sur Solaris 11, les chiffrements par défaut pour sshd sont aes128-ctr, aes192-ctr, aes256-ctr, arcfour128, arcfour256 et arcfour. Le déploiement requiert
3DES, vous devez donc ajouter les chiffrements 3des-cbc au fichier de configuration sshd et redémarrez le sshd.
Pour déployer vers un agent UNIX ou Linux, effectuez les modifications suivantes dans le fichier de configuration /etc/ssh/sshd_config de votre nouvelle implémentation de SSH :
Définissez PasswordAuthentication sur Yes.
Définissez PermitRootLogin sur Yes.
Vérifiez que le sous-système SFTP est activé.
Lors du déploiement vers certains systèmes AIX IBM exécutant à la fois la pile IPv4 et IPv6 et utilisant une adresse IPv6, le serveur SSH de l'ordinateur cible risque d'écouter uniquement sur le port 22 pour IPv4. Cela fera échouer le déploiement.
Pour corriger ce problème, modifiez le fichier de configuration sshd_config et définissez le paramètre ListenAddress sur "::".
Lorsque vous effectuez un déploiement sur Solaris 11, procédez comme suit :
■
Mettez la ligne suivante en commentaire :
CONSOLE=/dev/console
■ en commentaire :
■
/etc/default/login. vi /etc/default/login
#CONSOLE=/dev/console
Supprimez l'élément suivant de l'entrée racine dans /etc/user_attr :
Chapitre 5: Déploiement de l'infrastructure 269
Conditions préalables pour le déploiement automatique de l'infrastructure Client Automation
■
■
;type=role ou utilisez la commande : rolemod -K type=normal root
Redémarrez le service SSH.
Remarque : Si vous voulez que la communication SSH entre le gestionnaire de déploiement et l'ordinateur cible soit conforme à la norme FIPS, vous devez vérifier que le serveur SSH en cours d'exécution sur la cible utilise aussi un module cryptographique conforme à la norme FIPS et définir le mode FIPS uniquement au niveau du gestionnaire de déploiement.
Ouverture d'une connexion réseau vers l'ordinateur cible à l'aide du protocole
Telnet et transfert de l'installation du logiciel d'injection à l'aide du FTP
Ce mécanisme est principalement utilisé pour le ciblage de systèmes UNIX ne prenant pas SSH en charge. L'utilisation de Telnet/FTP est moins répandue en raison des failles de sécurité inhérentes à ces protocoles ; elle est remplacée par l'utilisation de SSH/SFTP.
Lors de l'utilisation de cette méthode de connexion, des commandes Telnet, exécutées sur des ordinateurs cibles, extraient l'image d'installation de DMPrimer à partir d'un serveur FTP situé dans le gestionnaire.
Important : Certains systèmes d'exploitation modernes n'encouragent pas l'installation
à distance de logiciels, voire l'interdisent activement. Si vous tentez de déployer le logiciel Client Automation sur de tels systèmes, vous constatez généralement l'échec du déploiement avec un état "Absence de transport de logiciel d'injection". Dans ce cas, l'installation des composants logiciels Client Automation peut être effectuée par d'autres moyens, par exemple l'installation à partir de supports de distribution physique tels que le DVD.
Vous pouvez également installer le logiciel DMPrimer manuellement. Cela permet de déployer l'infrastructure Client Automation sans devoir dépendre des fonctionnalités offertes par les systèmes d'exploitation sous-jacents.
270 Manuel d'implémentation
