Red Hat Documentation Team
Red Hat Network Satellite 5.4
Gu
�a de configuraci�n de
cliente
Red Hat Network Satellite
Edición 2
Red Hat Network Satellite 5.4 Gu�a de configuraci�n de cliente
Red Hat Network Satellite
Edición 2
Copyright © 2010 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries. Linux ® is the registered trademark of Linus Torvalds in the United States and other countries. Java ® is a registered trademark of Oracle and/or its affiliates.
XFS ® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL ® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js ® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack ® Word Mark and OpenStack Logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or
sponsored by the OpenStack Foundation, or the OpenStack community. All other trademarks are the property of their respective owners.
Abstract
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Table of Contents
Capítulo 1. IntroducciónCapítulo 2. Aplicaciones de cliente
2.1. Implementación de los últimos RPM clientes de Red Hat Network 2.2. Configuración de las aplicaciones cliente
2.2.1. Registrar clientes al servidor satélite de RHN 2.2.2. Registro con las llaves de activación
2.2.3. Opción up2date --configure
2.2.4. Actualización manual de los archivos de configuración 2.2.5. Implementación del servidor alternativo
2.3. Programa actualizador de paquetes
2.4. Configuración de la Red Hat Network Alert Notification Tool con Satélite. Capítulo 3. Infraestructura del SSL
3.1. Una breve introducción al SSL 3.2. Uso de RHN SSL Maintenance Tool
3.2.1. Explicación de la generación de SSL 3.2.2. Opciones de RHN SSL Maintenance Tool 3.2.3. Generación del par de llaves CA SSL.
3.2.4. Generación del juego de llaves SSL del servidor web 3.3. Implementación del certificado público CA SSL a los clientes 3.4. Configuración de los sistemas cliente
Capítulo 4 . Importación de las llaves GPG personalizadas Capítulo 5. Uso de RHN Bootstrap
5.1. Preparación 5.2. Generación 5.3. Uso del script
5.4. Opciones de RHN Bootstrap
Capítulo 6. Creación manual del script de configuración Capítulo 7. Implementación de Kickstart
Script de ejemplo Bootstrap Historial de revisiones Índice Símbolos A B C K L R S 3 4 4 5 5 6 7 8 8 9 9 11 11 12 13 14 18 19 20 20 21 22 22 23 24 24 27 29 32 38 38 38 38 38 38 39 39 39 40 Table of Contents
Capítulo 1. Introducción
Este manual tiene la intención de asistir de una forma sencilla a los usuarios del RHN Satellite Server y del RHN Proxy Server en la configuración de sus sistemas clientes.
Por defecto, todas las aplicaciones cliente de Red Hat Network están configuradas para comunicarse con los servidores centrales de Red Hat Network. Algunos de los parámetros de los sistemas cliente deben ser alterados cuando se conectan con el servidor satélite de RHN o el servidor proxy de RHN. Es sencillo modificar uno o dos sistemas; pero un entorno empresarial grande puede contener cientos o miles de sistemas que podrían beneficiarse de los pasos de reconfiguración en masa descritos en este manual.
Debido a la complejidad de esta tarea, los usuarios pueden utilizar un script existente que automatice muchas de las tareas necesarias para acceder a sus servidores Satellite o Proxy. Consulte el
Capítulo 5, Uso de RHN Bootstrap para obtener mayor información. Red Hat cree que entender las implicaciones de estos cambios es útil y por lo tanto, describe los pasos de reconfiguración manual en los primeros capítulos. Tenga en cuenta las necesidades de su organización para determinar la solución ideal.
Aunque muchos de los comandos proporcionados dentro de esta guía pueden ser aplicados tal y como aparecen, es imposible predecir todas las posibilidades de configuraciones de red adoptados por los usuarios. Por lo tanto, Red Hat recomienda usar estos comandos como referencias que deben ser tenidas en cuenta en la configuración individual de su empresa.
Nota
La información de la configuración de los clientes Unix puede encontrarse en la Guía de referencia del RHN Satellite Server en el capítulo Soporte para Unix.
Capítulo 2. Aplicaciones de cliente
Para poder utilizar la mayoría de las funciones de clase empresarial de Red Hat Network, tales como el registro de sistemas con el satélite de RHN, se requiere la configuración de las aplicaciones cliente más recientes. El obtener estas aplicaciones antes de que el cliente se haya registrado con Red Hat
Network puede ser difícil. Esta paradoja es especialmente problemática para usuarios que migran un número amplio de antiguos sistemas a Red Hat Network. Este capítulo identifica varias técnicas para resolver este problema.
Importante
Red Hat recomienda que los clientes conectados al Servidor proxy o al servidor satélite de RHN estén ejecutando la actualización más reciente de Red Hat Enterprise Linux para asegurar una apropiada conectividad.
Adicionalmente, si el cortafuegos del cliente está configurado, los puertos 80 y 443 deben estar abiertos para permitir una apropiada funcionalidad con Red Hat Network.
2.1. Implementación de los últimos RPM clientes de Red Hat
Network
El Actualizador de paquete (pup), yum, y Red Hat Network Registration Client (rhn_register) en Red Hat Enterprise Linux 5 (up2date en versiones anteriores a Red Hat Enterprise Linux) son prerrequisitos para utilizar muchas de las funciones empresariales de Red Hat Network. Es importante instalarlos en sistemas de cliente antes de intentar utilizar el servidor proxy o satélite de RHN en su entorno.
Hay varios métodos para abordar la actualización del software cliente RHN. Uno de ellos tiene que ver con el almacenamiento de los RPM en un lugar accesible a todos los sistemas cliente y la
implementación de paquetes con el comando más sencillo. En casi todos los casos, la implementación manual de yum, pup, y rhn_register (up2date si existe una versión anterior a Red Hat Enterprise Linux) no es necesaria. Dichas herramientas de cliente no deben tener ningún problema para
conectarse al satélite de RHN o su entorno Proxy. La discusión a continuación asume que yum "out of box", pup, y rhn_register (o up2date) no son las últimas y no funcionan para su entorno.
Recuerde, únicamente los sistemas que están ejecutando Red Hat Enterprise Linux 5 deben estar registrados con RHN en firstboot después de la instalación o utilizar rhn_register. Los sistemas en ejecutando Red Hat Enterprise Linux 3 y 4 pueden utilizar la función de registro dentro de Red Hat
Update Agent.
Este documento presupone que el usuario ha instalado al menos un RHN Satellite Server y/o un RHN Proxy Server en su red. El siguiente ejemplo demuestra una manera sencilla de implementar por primera vez yum, pup, y rhn_register (o up2date) por un administrador asumiendo que las máquinas no tienen aún el RHN funcionando. El administrador ha poblado el directorio /var/www/html/pub/ con una copia de los RPM yum, pup, y rhn_register (o up2date) que los sistemas de cliente necesitan y luego simplemente ha implementado los RPM en los sistemas de cliente con un comando simple rpm
-Uvh. Ejecutado desde un cliente, este comando instala los RPM para ese cliente, asumiendo que el
nombre de dominio, rutas, y versiones de RPM son correctas (observe que este comando se ha dividido en varias líneas para propósitos de impresión y PDF, pero se debe escribir como una línea en el shell de intérprete de comandos):
rpm -Uvh
http://your_proxy_or_sat.your_domain.com/pub/rhn-setup-0.4.17-8.el5.i386.rpm http://your_proxy_or_sat.your_domain.com/pub/yum-3.2.8-9.el5.i386.rpm
http://your_proxy_or_sat.your_domain.com/pub/pirut-1.3.28-13.3l5.noarch.rpm
Observe que la arquitectura (en este caso, i386) puede necesitar algunas alteraciones dependiendo del los sistemas que va a servir.
2.2. Configuración de las aplicaciones cliente
No todos los usuarios deben estar conectados de forma segura a su Servidor satélite o proxy de RHN dentro de su organización. No todos los clientes necesitan construir e implementar una llave GPG para los paquetes personalizados. (Estos dos temas se explicarán con más detalle posteriormente). Cada usuario que utilice el servidor satélite de RHN o el RHN Proxy Server debe reconfigurar el Red Hat
Update Agent (up2date) y posiblemente el Red Hat Network Registration Client
(rhn_register) para redirigirlo desde Red Hat Network a su Servidor satélite o proxy.
Importante
Aunque no sea configurable, observe que el puerto usado por up2date es 80 para HTTP y 443 para HTTP (HTTPS) segura. Por defecto, yum en Red Hat Enterprise Linux 5 usa SSL
únicamente. Por esta razón, los usuarios deben asegurarse de que sus cortafuegos permitan conexiones al puerto 443. Para desviar u omitir SSL, cambie el protocolo para serverURL desde
https a http en /etc/sysconfig/rhn/up2date. Igualmente, para utilizar la función
Monitoring de RHN y sondeos que requieren Red Hat Network Monitoring Daemon, observe que los sistemas de cliente deben permitir conexiones en puerto 4545 (o puerto 22, si se utiliza sshd en su lugar).
Por defecto, el rhn_register y up2date se refieren a los servidores Red Hat Network principales. Los usuarios deben reconfigurar los sistemas de cliente para referirser a sus servidores satélite o proxy.
Observe que las últimas versiones del Red Hat Update Agent pueden ser configuradas para acomodar varios servidores RHN, para así proporcionar protección contra fallos en caso de que el servidor primario no se pueda acceder. Consulte la Sección 2.2.5, “Implementación del servidor alternativo” para obtener instrucciones sobre cómo activar esta función.
Las secciones siguientes describen los diferentes métodos para configurar los sistemas de cliente para acceder al servidor satélite o proxy de RHN.Para ver cómo poner virtualmente en script, consulte el
Capítulo 6, Creación manual del script de configuración.
2.2.1. Registrar clientes al servidor satélite de RHN
Para registrar un sistema al Servidor satélite de RHN se necesita su nombre de dominio totalmente calificado (FQDN) y el certificado SSL del Servidor satélite de RHN.
1. Descargar el certificado SSL para el cliente:
cd /usr/share/rhn/
wget http://satellite.example.com/pub/RHN-ORG-TRUSTED-SSL-CERT
2. Edite el archivo /etc/sysconfig/rhn/up2date:
serverURL=https://satellite.example.com/XMLRPC noSSLServerURL=http://satellite.example.com/XMLRPC sslCACert=/usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT
3. Registrar la máquina:
rhn_register
2.2.2. Registro con las llaves de activación
Red Hat recomienda el uso de llaves de activación para registrar y configurar los sistemas cliente que se conectan con un Servidor de proxy o satélite de RHN. Las llaves de activación sirven para registrar, autorizar, y suscribir sistemas por lotes. Para mayor información, consulte la sección sobre "llaves de activación" en la Guía de referencia del Servidor satélite de RHN.
El proceso de registro con llaves de activación tiene cuatro pasos básicos: 1. Generar una llave de activación.
2. Importar llaves GPG personales
3. Descargar e instalar el RPM del certificado SSL del directorio /pub/ del servidor satélite o servidor proxy de RHN. El comando para este paso es similar a:
rpm -Uvh http://your-satellite-FQDN/pub/rhn-org-trusted-ssl-cert-1.0-1.noarch.rpm
4. Registrar el sistema con el servidor satélite o proxy de RHN. El comando para este paso es similar a:
rhnreg_ks --activationkey mykey --serverUrl https://your-satellite-FQDN/XMLRPC
Alternativamente, la mayoría de los pasos anteriores pueden combinarse en un script de shell que incluya las siguientes líneas (observe que este comando ha sido dividido en varias líneas para propósitos de impresión y PDF, pero debe escribirse en una sola línea en el shell de intérprete de comandos).
wget -0 - http://your-satellite-FQDN/pub/bootstrap.sh | bash && rhnreg_ks --activation-key my_key --serverUrl
https://your-satellite-FQDN/XMLRPC
El script bootstrap, generado al momento de la instalación y disponible tanto para RHN Satellite Server como para RHN Proxy Server es el script mencionado. La discusión sobre el script y RHN Bootstrap que lo genera se aborda en detalle en el Capítulo 5, Uso de RHN Bootstrap.
Advertencia
Los sistemas que están ejecutando Red Hat Enterprise Linux 2.1 y versiones de Red Hat Linux anteriores a la 8.0 pueden experimentar problemas al usar las llaves de activación para migrar la configuración del certificado SSL de rhn_register a up2date. Por lo cual, la información del certificado SSL en esos sistemas debe ser establecida manualmente. Todas las otras
2.2.3. Opción up2date --configure
Red Hat Update Agent en Red Hat Enterprise Linux 3 y 4 proporciona una interfaz para establecer
varias configuraciones. Para ver una lista completa de estas configuraciones, consulte la página de manual up2date (man up2date en la línea de comandos).
Para reconfigurar el Red Hat Update Agent, ejecute el siguiente comando como root:
up2date --configure
Se le presentará una caja de diálogo con varios parámetros que pueden ser reconfigurados. En la pestaña General, bajo Seleccionar servidor de Red Hat Network a utilizar remplace el valor por defecto con su nombre de dominio completamente calificado (FQDN) del Servidor satélite de RHN o el Servidor proxy de RHN, tal como
https://your_proxy_or_sat.your_dom ain.com /XMLRPC. Mantenga el /XMLRPC al final. Al
finalizar, haga clic en OK.
Figura 2.1. Configuración de la interfaz gráfica de usuario Red Hat Update Agent
Asegúrese de haber ingresado el nombre de dominio correcto de su RHN Satellite Server o RHN Proxy Server. El ingreso incorrecto de un nombre de dominio o si se deja un espacio en blanco, evitará el lanzamiento de up2date --configure. Sin embargo, esto se puede solucionar si modifica el valor en el archivo de configuración up2date. Consulte la Sección 2.2.4, “Actualización manual de los archivos de configuración” para obtener instrucciones precisas.
Advertencia
Sistemas ejecutando Red Hat Enterprise Linux 3 o 4 tienen incorporada la función de registro
Red Hat Update Agent y por lo tanto no se necesita instalar Red Hat Network Registration Client. Los sistemas ejecutando Red Hat Enterprise Linux 5 no usan up2date, y necesitan rhn_register para registrar sus sistemas a RHN o Satélite y yum y pup para actualizar sus
paquetes.
2.2.4. Actualización manual de los archivos de configuración
Como una alternativa a la interfaz GUI descrita en la sección anterior, los usuarios pueden también reconfigurar Red Hat Update Agent al editar los archivos de configuración de la aplicación.
Para configurar el Red Hat Update Agent en los sistemas cliente que se conectan al servidor satélite o proxy de RHN, edite los valores de los parámetros serverURL y noSSLServerURL en el archivo de configuración /etc/sysconfig/rhn/up2date. Remplace el valor predeterminado de la URL de Red Hat Network con el nombre de dominio completamente calificado (FQDN) del Servidor proxy de RHN o el servidor satélite de RHN. Por ejemplo:
serverURL[comment]=Remote server URL
serverURL=https://your_primary.your_domain.com/XMLRPC noSSLServerURL[comment]=Remote server URL without SSL noSSLServerURL=http://your_primary.your_domain.com/XMLRPC
Advertencia
El parámetro httpProxy en /etc/sysconfig/rhn/up2date no hace referencia al RHN Proxy Server. Sirve para configurar un proxy HTTP opcional para el cliente. Con un RHN Proxy Server en lugar, el parámetro httpProxy debe estar en blanco (no debe tener ningún valor establecido).
2.2.5. Implementación del servidor alternativo
Desde up2date-4.2.38, el Red Hat Update Agent puede ser configurado para buscar
actualizaciones desde una serie de servidores RHN. Esto puede ser bastante útil para mantener el abastecimiento de actualizaciones en caso de que su servidor satélite o proxy de RHN primario estén desconectados.
Para usar esta función, asegúrese de estar usando la versión requerida del up2date. Luego añada como root los servidores secundarios a los parámetros serverURL y noSSLServerURL en el archivo de configuración /etc/sysconfig/rhn/up2date. Añada los nombres de dominio completamente calificado (FQDN) del Proxy o el satélite inmediatamente después del servidor primario, separados por puntos y comas (;). Por ejemplo:
serverURL[comment]=Remote server URL
serverURL=https://your_primary.your_domain.com/XMLRPC; https://your_secondary.your_domain.com/XMLRPC;
noSSLServerURL[comment]=Remote server URL without SSL noSSLServerURL=http://your_primary.your_domain.com/XMLRPC; https://your_secondary.your_domain.com/XMLRPC;
La conexión al servidor se intenta según el orden provisto aquí. Puede incluir tantos servidores como desee. Puede también incluir los servidores centrales de RHN. Esto solo funciona, si los sistemas clientes tienen acceso directo a la Internet.
2.3. Programa actualizador de paquetes
Red Hat Enterprise Linux 5 ofrece un programa de ejecución en el panel gráfico de escritorio que periódicamente busca actualizaciones desde el servidor de RHN o Satélite y alerta a los usuarios cuando hay una nueva actualización disponible.
Figura 2.2. Programa actualizador de paquetes
La aplicación del programa actualizador de paquetes permanece en la bandeja de notificaciones del panel de escritorio y busca periódicamente nuevas actualizaciones. La aplicación también permite realizar tareas de mantenimiento de paquetes haciendo clic y eligiendo dentro de las siguientes acciones:
Refresh — Busca nuevas actualizaciones de RHN o Satélite
View Updates — lanza la aplicación de actualizador de paquetes para que se puedan ver detalladamente las actualizaciones disponibles y configurar las actualizaciones para sus especificaciones.
Apply Updates — Descarga e instala todos los paquetes actualizados. Quit — cierra la aplicación
2.4. Configuración de la Red Hat Network Alert Notification Tool
con Satélite.
La Red Hat Network Alert Notification Tool, el icono circular en el panel de su escritorio Red Hat Enterprise Linux 3 o 4, puede configurarse en sistemas que ejecutan Red Hat Enterprise Linux 3 o posteriores para que reconozcan actualizaciones disponibles en los canales personalizados en su Servidor satélite de RHN. Debe asegurarse de que el Servidor satélite de RHN esté configurado para soportar esta función. (El servidor proxy de RHN soporta la aplicación sin modificación de cliente o servidor.) Los pasos para configurar la Red Hat Network Alert Notification Tool son los siguientes:
1. Asegúrese de que la versión de su RHN Satellite Server sea 3.4 o superior y de que el paquete
rhns-applet esté instalado en el satélite. El paquete puede encontrarse en el canal de
software del satélite de RHN para las versiones 3.4 y posteriores.
2. Obtenga el paquete rhn-applet-actions con up2date o a través del canal de herramientas de software Red Hat Network. Instale el paquete en todos los sistemas de cliente Red Hat Enterprise Linux 3 y posteriores para ser notificado de actualizaciones personalizadas con los sistemas de cliente Red Hat Network Alert Notification Tool. Los sistemas de cliente deben estar actualizados para los niveles de servicio Management o Provisioning.
3. Dentro de la versión del satélite del sitio web de RHN, vaya a la página Información del
sistem a para cada sistema cliente y haga clic en el enlace dentro del área RHN Applet para
redirigir la Red Hat Network Alert Notification Tool al satélite.
La próxima vez que la aplicación sea iniciada, se aplicará la nueva configuración y la conexión para actualizaciones se realizará al RHN Satellite Server.
Capítulo 3. Infraestructura del SSL
Para los usuarios de Red Hat Network, la seguridad es un tema de suma importancia. Una de las fortalezas de Red Hat Network es la habilidad de procesar cada una de las solicitudes a través de SSL (Capa de conexión segura/Secure Sockets Layer). Para mantener este nivel de seguridad, los usuarios que instalan Red Hat Network dentro de sus infraestructuras deben generar las llaves y certificados SSL personalizados.
La creación e implementación manual de las llaves y certificados SSL puede llegar a ser bastante engorrosa. Tanto el Servidor proxy de RHN como el Servidor satélite de RHN le permitirán construir sus propias llaves y certificados SSL durante la instalación, basándose en sus propios certificados de Autoridad Certificadora (conocidos como CA por sus siglas en inglés). Además, una herramienta para la línea de comando, la RHN SSL Maintenance Tool, ha sido creada para este fin. Estas llaves y
certificados deben ser implementados en todos los sistemas dentro de su infraestructura. En muchos casos, la implementación de estas llaves y certificados SSL es automatizada. Este capítulo describe métodos eficientes para conducir todas estas tareas.
Por favor tenga en cuenta que este capítulo no explica SSL en detalle. La RHN SSL Maintenance Tool fue diseñada para ocultar la complejidad que envuelve la creación y mantenimiento de esta
infraestructura de llaves públicas (PKI). Para mayor información, consulte algunas de las referencias disponibles en la librería más cercana.
3.1. Una breve introducción al SSL
SSL, por Secure Sockets Layer, es un protocolo que permite a los clientes pasar información de una forma segura. SSL utiliza un sistema de pares de llaves pública y privada para encriptar la comunicación pasada entre el cliente y el servidor. Los certificados públicos pueden ser accesibles a cualquier
persona, pero las llaves privadas deben permanecer en un lugar seguro. Es la relación matemática (una firma digital) entre el certificado público y la llave privada lo que hace que este sistema funcione. A través de esta relación se establece una conexión confiable.
Nota
A lo largo de este documento se discutirá sobre las llaves privadas y los certificados públicos de SSL. Técnicamente, ambos pueden llamarse llaves (pública y privada). Pero por convención, cuando se habla de SSL, se refiere a la parte pública de un par de llaves de SSL (o juego de llaves) como el certificado público SSL.
La infraestructura SSL de una organización está conformada generalmente por estas llaves y certificados:
Llave privada y certificado público SSL de Autoridad certificadora (CA) — generalmente se crea un solo par por organización. El certificado público es firmado digitalmente por su llave privada. El certificado público se distribuye a cada sistema.
Llaves privadas y certificados públicos SSL del servidor web — un set por servidor de aplicaciones. El certificado público es firmado digitalmente tanto por su llave privada como por su llave privada CA SSL. Generalmente nos referimos al juego de llaves del servidor web; ya que hay una petición a un certificado SSL intermediario que es generado. Los detalles de uso no son importante en esta discusión. Todos los tres son implementados en un servidor de RHN.
Por ejemplo: si tiene un satélite y cinco Proxies, generará un par de llaves CA SSL y seis juegos de llaves SSL del servidor web. El certificado público CA SSL es distribuido a todos los sistemas y usado
por todos los clientes para establecer una conexión a sus respectivos servidores. Cada servidor tiene su propio juego de llaves SSL que está específicamente ligado al nombre de host del servidor y
generado con la llave privada SSL y la llave privada CA SSL en conjunto. Esto establece una asociación digital verificable entre el certificado público SSL del servidor web y el par de llaves CA SSL y la llave privada del servidor. El juego de llaves del servidor de web no puede ser compartido con otros servidores.
Importante
La parte más crítica de este sistema es el par de llaves CA SSL. Desde esa llave privada y el certificado público un administrador puede regenerar cualquier juego de llaves SSL del servidor web. Este par de llaves CA SSL debe guardarse en un lugar seguro. Se recomienda que una vez la infraestructura de servidores RHN esté configurada y en ejecución, usted archive el directorio SSL creado generado por esta herramienta y/o el instalador en un medio independiente, escriba la contraseña CA y guarde el medio y la contraseña en un lugar seguro.
3.2. Uso de RHN SSL Maintenance Tool
Red Hat Network proporciona una herramienta de línea de comandos que facilita el manejo de su la infraestructura de seguridad: la RHN SSL Maintenance Tool comúnmente conocida por su comando
rhn-ssl-tool. Esta herramienta está disponible como parte del paquete rhns-certs-tools. Este
paquete puede encontrarse dentro de los canales de software para las últimas versiones del Servidor proxy de RHN y el Servidor satélite de RHN (también para el ISO del servidor satélite de RHN). La RHN
SSL Maintenance Tool le permite generar su propio par de llaves CA SSL, así como el juego de llaves
SSL del servidor web (algunas veces llamada par de llaves).
Esta herramienta es solamente una herramienta de construcción. Genera todas las llaves y certificados SSL que se requieren. También empaqueta los archivos en formato RPM para una rápida distribución e instalación de las máquinas cliente. Sin embargo, no las implementa. Esta tarea es asignada al
administrador, o en muchas ocasiones, automatizada por el Servidor satélite de RHN.
Nota
El rhns-certs-tools, que contiene rhn-ssl-tool, puede ser instalado y ejecutado en cualquier sistema Red Hat Enterprise Linux con los mínimos requerimientos. Esto es conveniente para los administradores que deseen manejar su infraestructura SSL desde su estación de trabajo o cualquier otro sistema diferente al servidor RHN.
Estos son los casos en los que se requiere la herramienta:
Cuando se actualizan los certificados públicos CA - esto es raro.
Cuando se instala un Servidor proxy de RHN versión 3.6 o posterior que se conecta con los servidores centrales de RHN como su servicio de nivel superior - el servicio hospedado, por razones de seguridad, no puede ser un repositorio de su certificado y llave CA SSL, los cuales son privativos de su organización.
Cuando se reconfigura una infraestructura RHN para usar SSL donde no existía.
Cuando se añaden Sevidores proxy de RHN de una versión anterior a la 3.6 dentro de su infraestructura RHN.
representante Red Hat para obtener instrucciones al respecto. Estos son los casos en los que no se requiere la herramienta:
Durante la instalación de un Servidor satélite de RHN - todos los parámetros SSL son configurados durante el proceso de instalación. Las llaves y certificados SSL son construidos e implementados automáticamente.
Durante la instalación de un Servidor proxy RHN - versión 3.6 o superior conectado a un servidor satélite de RHN 3.6 o superior como su servidor de nivel superior - el servidor satélite de RHN contiene toda la información SSL necesaria para configurar, construir e implementar los certificados y llaves SSL del Servidor proxy de RHN.
El proceso de instalación del Servidor satélite de RHN y del Servidor proxy de RHN aseguran que el certificado público SSL se implemente en el directorio /pub de cada servidor. Este certificado público es usado por los sistemas cliente para conectarse al servidor RHN. Consulte la Sección 3.3,
“Implementación del certificado público CA SSL a los clientes” para obtener mayor información. En resumen, si la infraestructura RHN de su organización implementa la última versión del Servidor satélite de RHN como el servicio de nivel superior, usted no tendrá necesidad de usar la herramienta. De lo contrario, deberá familiarizarse con su uso.
3.2.1. Explicación de la generación de SSL
Seguridad, flexibilidad y portabilidad son los beneficios primarios del uso de la RHN SSL Maintenance
Tool. La seguridad se consigue mediante la creación de certificados y llaves SSL del servidor web para
cada servidor de RHN, todos firmados por un único par de llaves CA SSL creado por su organización. La flexibilidad se consigue gracias a la posibilidad de ejecutar la herramienta en cualquier máquina que tenga el paquete rhns-certs-tools instalado. La portabilidad nace en la existencia de una
estructura construida que puede ser almacenada por seguridad en cualquier lugar y luego instalada cuando sea necesario.
Nuevamente, si su infraestructura RHN utiliza la última versión del RHN Satellite Server como servidor de nivel superior, lo único que usted tendrá que hacer es restaurar su árbol ssl-build desde un archivo al directorio /root y utilizar las herramientas de configuración provistas dentro del sitio web del Servidor satélite de RHN.
Para Utilizar la RHN SSL Maintenance Tool de la forma más adecuada, complete las siguientes tareas de nivel superior siguiendo aproximadamente el orden dado. Consulte las secciones restantes para obtener mayor información:
1. Instale el paquete rhns-certs-tools en un sistema dentro de su organización; por ejemplo en un Servidor satélite de RHN o un Servidor proxy de RHN.
2. Cree un par de llaves CA SSL para su organización e instale el RPM resultante o certificado público en todos los sistemas cliente.
3. Cree un juego de llaves SSL de servidor web para cada uno de los Proxies y satélites que serán implementados e instale los RPM resultantes en los servidores de RHN; reinicie el servicio httpd después de esta acción:
/sbin/service httpd restart
4. Archive el árbol de construcción SSL - conformado por el directorio de construcción primario y todos los subdirectorios y archivos - en un medio de almacenamiento, por ejemplo un disquete (los requerimientos de espacio de disco son insignificantes).
5. Verifique y luego almacene este archivo en un lugar seguro, tal como el descrito en la sección
sobre copias de seguridad en Requerimientos adicionales de la Guía de instalación de Proxy o satélite.
6. Registre y asegure la contraseña CA para un uso futuro.
7. Borrar el árbol de construcción del sistema donde fue construido por razones de seguridad, pero únicamente después de que la infraestructura RHN ha sido establecida y esté configurada. 8. Cuando se necesiten llaves SSL de servidor web adicionales, restaure el árbol de construcción
en el sistema ejecutando la RHN SSL Maintenance Tool y repita los pasos del 3 al 7.
3.2.2. Opciones de RHN SSL Maintenance Tool
La RHN SSL Maintenance Tool ofrece una plétora de opciones de línea de comandos para generar su par de llaves CA SSL y administrar sus llaves y certificados SSL del servidor. La herramienta ofrece esencialmente tres opciones de listados de ayudas para la línea de comandos: rhn-ssl-tool
--help (general), rhn-ssl-tool --gen-ca ----help (CA - Certificate Authority/ Autoridad
Certificadora), y rhn-ssl-tool --gen-server --help (Servidor web). La página de manual para la rhn-ssl-tool también está bien detallada y disponible: man rhn-ssl-tool.
Las dos tablas siguientes dividen las opciones de acuerdo a su tarea respectiva, ya sea CA o la generación del juego de llaves de servidor web.
Tabla 3.1. Opciones SSL de Autoridad certificadora (CA) (rhn-ssl-tool --gen-ca --help)
Opción Descripción
--gen-ca Genera un par de llaves CA (Autoridad
certificadora) y RPM público. Este debe ser ejecutado con cualquiera de las opciones restantes de la tabla.
-h, --help Muestra la pantalla de ayuda con una lista
de opciones básicas específicas para generar y administrar un CA (Autoridad certificadora).
-f, --force Fuerza la creación de una llave privada CA
y/o de un certificado público.
-p=, --password=CONTRASEÑA La contraseña CA. Se le pedirá que
introduzca esta opción si no se encuentra. Guárdela de una forma segura.
-d=, --dir=DIRECTORIO Requerido para la mayoría de comandos
-El directorio donde el certificado y el RPM serán construidos. Por defecto es
./ssl-build.
--ca-key=ARCHIVO El nombre del archivo de la llave privada
CA. Por defecto es
RHN-ORG-PRIVATE-SSL-KEY.
--ca-cert=ARCHIVO El nombre del archivo del certificado
público CA. Por defecto es
RHN-ORG-T RUSRHN-ORG-T ED-SSL-CERRHN-ORG-T .
--cert-expiration=EXPIR_CERT La fecha de caducidad del certificado
público CA. Por defecto es el número de días hasta un día antes del cambio de época (o 01-18-2038).
--set-country=CÓDIGO_PAÍS El código de dos letras del país. Por
defecto es US.
--set-state=ESTADO_O_PROVINCIA El estado o provincia del CA. Por defecto
es ''.
--set-city=CIUDAD_O_LOCALIDAD La ciudad o localidad. Por defecto es ''.
--set-org=ORGANIZACIÓN La compañía u organización, tal como Red
Hat. Por defecto es Example Corp. Inc.
--set-org-unit=CONFIG_UNIDAD_ORG La unidad corporativa, tal como RHN. Por
defecto es ''.
--set-com m on-nam e=NOMBREDEHOST Generalmente no se establece para el CA.
- El nombre común.
--set-em ail=CORREO-E Generalmente no se establece para el CA.
- dirección de correo-e.
--rpm -packager=EMPAQUETADOR Empaquetador del RPM generado, tal como
"RHN Admin (rhn-admin@example.com)."
--rpm -vendor=DISTRIBUIDOR El distribuidor del RPM generado, tal como
"IS/IT Example Corp."
-v, --verbose Muestra mensajes verbosos. Esta opción
es acumulativa - por cada "v" añadida se
conseguirá un mayor grado de verbosidad.
--ca-cert-rpm =CERT_RPM Rara vez cambia - el nombre del RPM que
contiene el certificado CA (El nombre de archivo base únicamente, no el nombre que incluye la versión:
filename-version-release.noarch.rpm)
--key-only Rara vez usado - Genera una llave privada
CA únicamente. Revise --gen-ca
--key-only --help para obtener mayor
información.
--cert-only Rara vez usado - Genera un certificado
público CA únicamente. Revise --gen-ca
--cert-only --help para obtener
mayor información.
--rpm -only Rara vez usado - Genera un RPM para
implementación solamente. Revise
--gen-ca --rpm -only --help para obtener
mayor información.
--no-rpm Rara vez usado - Realiza todos los pasos
relacionados con el CA excepto la generación del RPM.
Tabla 3.2. Opciones del SSL de servidor web (rhn-ssl-tool --gen-server --help)
Opción Descripción
--gen-server Genera el juego de llaves SSL de servidor
web, el RPM y el archivo tar. Esta opción debe ser usada con cualquiera de las opciones restantes de esta tabla.
-h, --help Muestra la pantalla de ayuda con una lista
de opciones básicas especificas para la generación y administración de un par de llaves de servidor.
-p=, --password=CONTRASEÑA La contraseña CA. Se le pedirá que
introduzca esta opción si no se encuentra. Guárdela de una forma segura.
-d=, --dir=DIRECTORIO Requerido para la mayoría de comandos
-El directorio donde el certificado y el RPM serán construidos. Por defecto es
./ssl-build.
--server-key=ARCHIVO El nombre del archivo de la llave privada
SSL de servidor web. Por defecto es
server.key.
--server-cert-req=ARCHIVO El nombre de archivo solicitado del
certificado SSL de servidor web. Por defecto es server.csr.
--server-cert=ARCHIVO El nombre de archivo del certificado SSL
del servidor web. Por defecto es
server.crt.
--startdate=YYMMDDHHMMSSZ La fecha de inicio para validar el certificado
de servidor en el formato ejemplificado: año, mes, día, hora, minuto, segundo (dos caracteres por valor). Z significa Zulú y es requerido. Por defecto es una semana antes de la generación.
--cert-expiration=EXPIR_CERT_SERVIDOR La fecha de caducidad del certificado de
servidor. Por defecto es el número de días hasta un día antes del cambio de época (o 01-18-2038).
--set-country=CÓDIGO_PAÍS El código de dos letras del país. Por
defecto es US.
--set-state=ESTADO_O_PROVINCIA El estado o provincia. Por defecto es
"North Carolina".
--set-city=CIUDAD_O_LOCALIDAD La ciudad o localidad. Por defecto es
Raleigh.
--set-org=ORGANIZACIÓN La compañía u organización, tal como Red
Hat. Por defecto es Example Corp. Inc.
--set-org-unit=CONFIG_UNIDAD_ORG La unidad corporativa, tal como RHN. Por
defecto es "unit."
--set-hostnam e=NOMBREDEHOST El nombre de host del servidor de RHN que
recibirá la llave. Por defecto se establece dinámicamente con el nombre de host de la
máquina de construcción.
--set-em ail=CORREO-E La dirección de correo-e del contacto del
certificado. Por defecto es admin@example.corp.
--rpm -packager=EMPAQUETADOR Empaquetador del RPM generado, tal como
"RHN Admin (rhn-admin@example.com)."
--rpm -vendor=DISTRIBUIDOR El distribuidor del RPM generado, tal como
"IS/IT Example Corp."
-v, --verbose Muestra mensajes verbosos. Esta opción
es acumulativa - por cada "v" añadida se conseguirá un mayor grado de verbosidad.
--key-only Rara vez usado - Genera únicamente una
llave privada de servidor. Revise
--gen-server --key-only --help para
obtener mayor información.
--cert-req-only Rara vez usado - Genera únicamente una
petición de certificado de servidor. Revise
gen-server cert-req-only --help para mayor información.
--cert-only Rara vez usado - Genera únicamente un
certificado de servidor. Revise
--gen-server --cert-only --help para
obtener mayor información.
--rpm -only Rara vez usado - Genera únicamente un
RPM para implementación. Revise
--gen-server --rpm -only --help para
obtener mayor información.
--no-rpm Rara vez usado - Ejecuta todos los pasos
relacionados con el servidor excepto la generación del RPM.
--server-rpm =SERVIDOR_RPM Rara vez cambiado - El nombre del RPM
que contiene el juego de llaves SSL del servidor web (el nombre de archivo base, no el nombre de archivo y versión:
filename-version-release.noarch.rpm).
--server-tar=SERVIDOR_TAR Rara vez se cambia - Nombre del archivo
tar del juego de llaves SSL de servidor web y certificado CA que es utilizado
únicamente por las rutinas de instalación del Servidor proxy de RHN hospedado (el nombre de archivo de base no el nombre y versión: filename-version-release.tar).
3.2.3. Generación del par de llaves CA SSL.
Antes de crear el juego de llaves del servidor web, usted debe generar un par de llaves SSL de Autoridad certificadora (CA). Un certificado público CA SSL se distribuye a los sistemas cliente del satélite o del Proxy. La RHN SSL Maintenance Tool le permitirá generar un par de llaves CA SSL cuando sea necesario y reutilizarlas para todas las implementaciones de servidores de RHN posteriores.
El proceso de construcción crea automáticamente el par de llaves y el RPM público para ser distribuido a los sistemas cliente. Todos los componentes terminan en el directorio de construcción especificado en la línea de comandos, generalmente /root/ssl-build (o /etc/sysconfig/rhn/ssl para satélites y Proxies antiguos). Para generar un par de llaves CA SSL, ejecute un comando como el siguiente:
rhn-ssl-tool --gen-ca --password=MY_CA_PASSWORD --dir="/root/ssl-build" \ --set-state="North Carolina" --set-city="Raleigh" --set-org="Example Inc." \ --set-org-unit="SSL CA Unit"
Remplace los valores de este ejemplo con los de su organización. Esto dará como resultado los siguientes archivos relevantes en el directorio de construcción especificado:
RHN-ORG-PRIVAT E-SSL-KEY — la llave privada CA SSL
RHN-ORG-T RUST ED-SSL-CERT — El certificado público CA SSL
rhn-org-trusted-ssl-cert-VERS-LANZAMIENTO.noarch.rpm — El RPM preparado para ser
distribuido a los sistemas cliente. Contiene el certificado público CA SSL y lo instala en:
/usr/share/rhn/RHN-ORG-T RUST ED-SSL-CERT
rhn-ca-openssl.cnf — el archivo de configuración CA SSL
latest.txt — siempre lista la versión más reciente de los archivos pertinentes.
Cuando termine, estará listo para distribuir los RPM a sistemas cliente. Consulte la Sección 3.3, “Implementación del certificado público CA SSL a los clientes”.
3.2.4. Generación del juego de llaves SSL del servidor web
Aunque debe generar un par de llaves CA SSL, es probable que usted genere el juego de llaves del servidor web con mayor frecuencia, especialmente si se está implementando más de un Proxy o satélite. Observe que el valor de --set-hostname es diferente para cada servidor. En otras palabras, un juego único de llaves y certificados SSL debe ser generado e instalado por cada nombre de host de servidor RHN.
El proceso de construcción del certificado de servidor funciona de un modo muy similar al usado para generar el par de llaves CA SSL. Hay, sin embargo, una excepción: todos los componentes del servidor terminan en subdirectorios del directorio creado que indican el nombre de la máquina del sistema creado, tal como /root/ssl-build/NOMBRE_MAQUINA. Para generar certificados de servidor, ejecute un comando similar al siguiente:
rhn-ssl-tool --gen-server --password=MY_CA_PASSWORD --dir="/root/ssl-build" \ --set-state="North Carolina" --set-city="Raleigh" --set-org="Example Inc." \ --set-org-unit="IS/IT" --set-email="admin@example.com" \
--set-hostname="rhnbox1.example.com
Remplace los valores del ejemplo con aquellos apropiados para su organización. Como resultado se obtendrán los siguientes archivos relevantes en el subdirectorio específico a la máquina en el directorio de construcción:
server.key — la llave privada de servidor SSL de servidor web. server.csr — la petición de certificado SSL de servidor web. server.crt — el certificado público SSL de servidor web.
rhn-org-httpd-ssl-key-pair-NOM-VERS-LANZ_MÁQUINA.noarch.rpm — el RPM preparado
para ser distribuido a los servidores de RHN. También se genera el archivo src.rpm asociado. Este
RPM contiene los siguientes tres archivos. Se instalarán en estos lugares:
/etc/httpd/conf/ssl.key/server.key /etc/httpd/conf/ssl.csr/server.csr /etc/httpd/conf/ssl.crt/server.crt
rhn-server-openssl.cnf — el archivo de configuración SSL de servidor web
latest.txt — siempre lista la versión más reciente de los archivos pertinentes.
Una vez finalizado, usted podrá distribuir e instalar el RPM en los respectivos servidores de RHN. Observe que el servicio httpd debe ser reiniciado después de la instalación:
/sbin/service httpd restart
3.3. Implementación del certificado público CA SSL a los clientes
Tanto el proceso de instalación del Servidor proxy como del servidor satélite de RHN facilitanrelativamente la implementación de los sistemas cliente al generar el RPM y el certificado público CA SSL. Ambos procesos de instalación dejan a disposición pública una copia del RPM y/o del certificado en el directorio /var/www/html/pub/ del servidor RHN.
Este directorio público puede ser fácilmente inspeccionado a través del navegador de web: http://proxy-or-sat.example.com/pub/.
El certificado público CA SSL en ese directorio puede ser descargado a un sistema cliente mediante
wget o curl. Por ejemplo:
curl -O http://proxy-or-sat.example.com/pub/RHN-ORG-TRUSTED-SSL-CERT wget http://proxy-or-sat.example.com/pub/RHN-ORG-TRUSTED-SSL-CERT
Alternativamente, si el RPM del certificado público CA SSL está en el directorio /pub, puede ser instalado en un sistema cliente directamente:
rpm -Uvh \
http://proxy-or-sat.example.com/pub/rhn-org-trusted-ssl-cert-VERS-LANZ.noarch.rpm
Confirme el nombre real del certificado o RPM antes de ejecutar este comando.
3.4. Configuración de los sistemas cliente
Una vez el RPM o certificado crudo ha sido implementado al sistema cliente, el administrador de ese sistema debe modificar el archivo de configuración del Red Hat Update Agent y el Red Hat Network
Registration Client (de ser necesario) para usar el nuevo archivo de certificado CA SSL y para
conectarse al Servidor proxy o al servidor satélite de RHN apropiado. El lugar generalmente aceptado para el certificado público CA SSL es el directorio /usr/share/rhn.
Los servidores proxy y de satélite de RHN tienen la aplicación RHN Bootstrap instalada por defecto, lo cual puede reducir en gran medida estos pasos repetitivos y simplificar el proceso de registro y
configuración de sistemas cliente. Por favor consulte el Capítulo 5, Uso de RHN Bootstrap para obtener mayor información.
Capítulo 4. Importación de las llaves GPG personalizadas
Para los usuarios que desean construir y distribuir sus propios RPM de una forma segura, se recomienda que todos los RPM personalizados estén firmados con GPG (GNU Privacy Guard). La generación y construcción de llaves GPG y la construcción de paquetes firmados con GPG se tratan en la Guía de administración de canales de Red Hat Network.
Una vez el paquete haya sido firmado, la llave pública puede ser implementada en todos los sistemas que reciben esos RPM. Esta tarea tiene dos pasos: primero, crear una ubicación central para la llave pública con el fin de que los clientes puedan obtenerla; y segundo, añadir la llave al llavero de GPG local para cada sistema.
El primer paso es común y puede ser manejado mediante el método recomendado para implementar aplicaciones cliente de RHN. (Consulte la Sección 2.1, “Implementación de los últimos RPM clientes de Red Hat Network”.) Para llevar a cabo este procedimiento, cree un directorio público en el servidor web y coloque en él la firma pública GPG:
cp /some/path/YOUR-RPM-GPG-KEY /var/www/html/pub/
La llave puede ser descargada desde los sistemas cliente mediante wget:
wget -O- -q http://your_proxy_or_sat.your_domain.com/pub/YOUR-RPM-GPG-KEY
La opción -O- envía los resultados a la salida estándar mientras que la opción -q activa el modo silencioso en wget. No olvide remplazar la variable SU-LLAVE-GPG-RPM por el nombre de archivo de su llave.
Una vez la llave está disponible en el sistema de archivos del sistema cliente, impórtela al llavero de GPG local. Sistemas operativos diferentes requieren diferentes métodos.
Para Red Hat Enterprise Linux 3 o superior, utilice el siguiente comando:
rpm --import /path/to/YOUR-RPM-GPG-KEY
Para Red Hat Enterprise Linux 2.1, use el siguiente comando:
gpg $(up2date --gpg-flags) --import /path/to/YOUR-RPM-GPG-KEY
Una vez la llave GPG ha sido añadida correctamente al cliente, el sistema debe estar en la capacidad de validar RPM personalizados firmados con la llave correspondiente.
Capítulo 5. Uso de RHN Bootstrap
Red Hat Network proporciona una herramienta que automatiza muchos de los pasos de la
reconfiguración manual descrita en los capítulos previos: RHN Bootstrap. Esta herramienta juega un rol integral en el Programa de instalación del servidor satélite de RHN, permitiendo la generación del script bootstrap durante la instalación.
Los usuarios del RHN Proxy Server y aquellos con la configuración actualizada del satélite requieren una herramienta bootstrap que pueda ser usada independientemente. RHN Bootstrap, la cual se invoca con el comando /usr/bin/rhn-bootstrap, está diseñada para cumplir esta tarea y viene instalada por defecto tanto en el servidor satélite de RHN como en el servidor proxy de RHN.
Si se utiliza correctamente, el script generado por esta herramienta puede ser ejecutado desde cualquier sistema para realizar las siguientes tareas:
Redirigir aplicaciones cliente al Proxy o satélite de RHN Importar llaves GPG personalizadas
Instalar certificados SSL
Registrar el sistema a RHN y a los grupos de sistemas y canales particulares con ayuda de las llaves de activación.
Realizar diferentes actividades posteriores a la instalación, incluyendo la actualización de paquetes, ejecución de reinicios y la modificación de la configuración de RHN.
Los usuarios deben tener en cuenta, sin embargo, los riesgos inherentes de la utilización de un script para llevar a cabo la configuración. Las herramientas de seguridad, como los certificados SSL, son instaladas por el mismo script; por lo cual no existen aún y no sirven para procesar transacciones. Esto conlleva a la posibilidad de que alguien se haga pasar por el satélite y envíe datos nocivos. El uso de los cortafuegos del usuario y el hecho de que tanto el satélite como todos los sistemas cliente están restringidos de tráfico exterior mitiga este problema. El proceso de registro se lleva a cabo a través de SSL, siendo así protegido.
El script de bootstrap bootstrap.sh se ubica automáticamente en el directorio
/var/www/htm l/pub/bootstrap/ del servidor de RHN. Desde allí puede ser descargado y
ejecutado en todos los sistemas cliente. Observe que es necesario una preparación y una edición tras la generación del script, tal y como se muestra en las siguientes secciones. Consulte la Sección 5.4, “Opciones de RHN Bootstrap” para ver la lista completa de opciones. Por último, consulte el
Apéndice A, Script de ejemplo Bootstrap para ver un script de ejemplo.
5.1. Preparación
Ya que RHN Bootstrap (rhn-bootstrap) depende de otros componentes de la infraestructura de Red Hat Network para configurar apropiadamente los sistemas cliente, esos componentes deben prepararse antes de la generación del script. La siguiente lista identifica las medidas iniciales que se deberían tomar:
Generar las llaves de activación que serán llamadas por el script. Las llaves de activación sirven para registrar sistemas Red Hat Enterprise Linux, concederles derechos a uno de los niveles de servicio RHN y suscribirlos a un canal y grupo de sistemas específico. Todo ello en tan solo una acción. Tenga en cuenta que debe tener derechos Management disponibles para usar una llave de activación, mientras que la inclusión de múltiples llaves de activación requiere derechos Provisioning. Genere las llaves de activación a través de la página Llaves de activación dentro de la
categoría Sistemas del sitio web de RHN (ya sean los servidores centrales de RHN para el Proxy o el nombre de dominio completamente calificado del satélite). Consulte los capítulos sobre el Red
Hat Update Agent y el sitio web de RHN en la Guía de referencia de RHN para instrucciones sobre creación y uso.
Red Hat le recomienda firmar sus RPM con una llave de GNU Privacy Guard (GPG) personalizada. Cree la llave disponible para que pueda referirse a ella desde el script. Genere la llave tal y como se describe en la Guía de administración de canales de RHN y colóquela en el directorio
/var/www/htm l/pub/ del servidor RHN, por Capítulo 4, Importación de las llaves GPG
personalizadas.
Si desea utilizar el script para implementar su certificado público CA SSL, tenga disponible el
certificado o el paquete RPM que lo contiene en el servidor de RHN e inclúyalo durante la generación del script con la opción --ssl-cert. Consulte el Capítulo 3, Infraestructura del SSL para obtener mayor información.
Tenga los valores listos para desarrollar uno o más scripts bootstrap, dependiendo de la variedad de sistemas a ser reconfigurados. Ya que RHN Bootstrap, proporciona un conjunto completo de opciones de reconfiguración, puede usarlo para generar diferentes scripts bootstrap para acomodar cada tipo de sistema. Por ejemplo, bootstrap-web-servers.sh puede servir para reconfigurar sus servidores de web, mientras que bootstrap-app-servers.sh puede manejar los servidores de aplicaciones. Consulte la Sección 5.4, “Opciones de RHN Bootstrap” para obtener una lista completa.
5.2. Generación
Ahora que todos los componentes necesarios están en su lugar, puede usar RHN Bootstrap para generar los scripts requeridos. Inicie una sesión como root en su servidor satélite de o servidor proxy de RHN y ejecute el comando rhn-bootstrap seguido por las opciones y valores deseados. Si no se incluye ninguna opción, se creará un archivo bootstrap.sh en el subdirectorio bootstrap/ que contiene los valores esenciales derivados del servidor, incluyendo el nombre de host, el certificado SSL, las configuraciones SSL y GPG, si éstas existen, y una llamada al archivo
client-config-overrides.txt.
Como mínimo, Red Hat recomienda que su script contenga también las llaves de activación, llaves GPG y opciones avanzadas de configuración de la siguiente manera:
Utilice la opción --activation-keys para incluir llaves, teniendo en cuenta los derechos requeridos señalados en la Sección 5.1, “Preparación”.
Utilice la opción --gpg-key para identificar la ruta de la llave y el nombre del archivo durante la generación del script. De lo contrario, utilice la opción --no-gpg para desactivar esta verificación en los sistemas cliente. Red Hat le recomienda retener esta medida de seguridad.
Incluya la opción --allow-config-actions para habilitar la administración de configuración remota en todos los sistemas cliente influenciados por el script. Esta función es útil para reconfigurar varios sistemas simultáneamente.
Incluya la opción --allow-remote-commands para habilitar el uso de scripts remotos en todos los sistemas cliente. Como la administración de configuración, esta función facilita la reconfiguración simultánea de varios sistemas.
Al finalizar, su comando se verá así:
rhn-bootstrap --activation-keys KEY1,KEY2 \
--gpg-key /var/www/html/pub/MY_CORPORATE_PUBLIC_KEY \ --allow-config-actions \
--allow-remote-commands
Obviamente, incluya los nombres reales de las llaves. Consulte la Sección 5.4, “Opciones de RHN
Bootstrap” para obtener una lista completa de las opciones.
5.3. Uso del script
Finalmente, cuando termine la preparación del script, éste estará listo para ser usado. Inicie una sesión en el RHN Satellite Server o el RHN Proxy Server, vaya al directorio
/var/www/htm l/pub/bootstrap/ y ejecute el siguiente comando, alterando el nombre de host y el
nombre del script según sea necesario de acuerdo con el tipo de sistema:
cat bootstrap-EDITED-NAME.sh | ssh root@CLIENT_MACHINE1 /bin/bash
Una alternativa menos segura es el uso de wget o curl para descargar y ejecutar el script desde cada sistema cliente. Inicie una sesión en cada sistema cliente y ejecute el siguiente comando, modificando el nombre de host y del script según sea necesario:
wget -qO - \ https://your-satellite.example.com/pub/bootstrap/bootstrap-EDITED-NAME.sh \ | /bin/bash O con curl: curl -Sks \ https://your-satellite.example.com/pub/bootstrap/bootstrap-EDITED-NAME.sh \ | /bin/bash
Una vez el script haya sido ejecutado en cada sistema cliente, todos deben estar configurados para utilizar el servidor RHN.
5.4. Opciones de RHN Bootstrap
RHN Bootstrap ofrece varias opciones de la línea de comando para la creación de script bootstrap.
Aunque la descripción de estas opciones puede encontrarse en la siguiente tabla, asegúrese de que estén disponibles en su versión de la herramienta instalada en su servidor de RHN ejecutando el siguiente comando rhn-bootstrap --help o revisando las páginas man.
Tabla 5.1. Opciones de RHN Bootstrap
Opción Descripción
-h, --help Muestra una pantalla de ayuda con
una lista de las opciones específicas para generar el script bootstrap.
--activation-keys=LLAVES_ACTIVACIÓN Las llaves de activación tal y como se
definen en el sitio web de RHN con varias entradas separadas por comas y sin espacios.
--overrides=ANULA Nombre de archivo de sobrescritura de
la configuración. Por defecto es client-config-overrides.txt.
--script=SCRIPT El nombre de archivo del script
bootstrap. Por defecto es bootstrap.sh.
--hostnam e=NOMBREDEHOST El nombre de dominio completamente
calificado (FQDN) del servidor al cual los sistemas cliente se conectarán.
--ssl-cert=CERT_SSL La ruta al certificado público SSL de su
organización, ya sea un paquete o un certificado crudo. Será copiado a la ubicación dada por la opción
--pub-tree. Un valor de "" forzará una
búsqueda de --pub-tree.
--gpg-key=GPG_KEY La ruta a la llave pública GPG de su
organización, si se utiliza. Será copiada en el sitio especificado por la opción --pub-tree.
--http-proxy=HTTP_PROXY La configuración del HTTP proxy para
el sistema cliente de la forma
hostnam e:port. Un valor de ""
desactiva este parámetro.
--http-proxy-usernam e=HTTP_PROXY_NOMBREUSUARIO Si se está utilizando un HTTP proxy,
especifique un nombre de usuario. Un valor de "" desactiva esta opción.
--http-proxy-password=HTTP_PROXY_CONTRASEÑA Si se está usando una autenticación
HTTP proxy, especifique una contraseña.
--allow-config-actions Valor booleano; incluyendo esta opción
se establecerá la posibilidad de realizar todas las acciones de configuración a través de RHN. Esto requiere la instalación de ciertos paquetes rhncfg-*, posiblemente a través de una llave de activación.
--allow-rem ote-com m ands Valor booleano, incluyendo esta opción
el sistema habilitará los comandos remotos arbitrarios a través de RHN. Esto requiere la instalación de ciertos paquetes rhncfg-*, posiblemente a
través de una llave de activación.
--no-ssl No recomendada - valor booleano;
incluyendo esta opción se desactivará SSL del sistema cliente.
--no-gpg No recomendada - valor booleano;
incluyendo esta opción se desactivará la revisión de llaves GPG en el sistema cliente.
--no-up2date No recomendada - valor booleano;
incluyendo esta opción se asegurará que up2date no sea ejecutado una vez el script bootstrap haya sido ejecutado en el sistema.
--pub-tree=ÁRBOL_PÚB Cambio no recomendado - el árbol de
directorio público donde el certificado CA SSL y los paquetes serán
ubicados; el directorio del bootstrap y scripts. Por defecto es
/var/www/htm l/pub/.
--force No recomendado - valor booleano;
incluyendo esta opción se forzará la generación del script bootstrap sin tener en cuenta las advertencias.
-v, --verbose Muestra mensajes verbosos. Esta
opción es acumulativa, -vvv producirá una verbosidad extrema.
Capítulo 6. Creación manual del script de configuración
Note que este capítulo proporciona un método alternativo al uso de RHN Bootstrap para generar el script bootstrap. Con estas instrucciones, usted podrá crear su propio script bootstrap desde cero. Todas las técnicas iniciales comparten un tema común: la implementación de archivos necesarios en un lugar centralizado que serán recibidos e instalados usando comandos simples que pueden ser
incluidos en un script que se ejecuta en cada sistema cliente. En este capítulo, exploraremos la forma de organizar todas las piezas para crear un script único que puede ser invocado por cualquier sistema en su organización.
Cuando se combinan todos los comandos de los capítulos anteriores siguiendo un orden razonable, obtenemos el siguiente script. Recuerde que, rhn_register no existe en Red Hat Enterprise Linux 3 o 4:
# First, install the latest client RPMs to the system. rpm -Uvh \ http://proxy-or-sat.example.com.com/pub/rhn_register-2.8.27-1.7.3.i386.rpm \ http://proxy-or-sat.example.com.com/pub/rhn_register-gnome-2.8.27-1.7.3.i386.rpm \ http://proxy-or-sat.example.com.com/pub/up2date-3.0.7-1.i386.rpm \ http://proxy-or-sat.example.com.com/pub/up2date-gnome-3.0.7-1.i386.rpm # Second, reconfigure the clients to talk to the correct server.
perl -p -i -e 's/s/www\.rhns\.redhat\.com/proxy-or-sat\.example\.com/g' \ /etc/sysconfig/rhn/rhn_register \
/etc/sysconfig/rhn/up2date
# Third, install the SSL client certificate for your company's # RHN Satellite Server or RHN Proxy Server.
rpm -Uvh http://proxy-or-sat.example.com/pub/rhn-org-trusted-ssl-cert-*.noarch.rpm # Fourth, reconfigure the clients to use the new SSL certificate.
perl -p -i -e 's/^sslCA/#sslCA/g;' \ /etc/sysconfig/rhn/up2date /etc/sysconfig/rhn/rhn_register echo "sslCACert=/usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT" \ >> /etc/sysconfig/rhn/up2date echo "sslCACert=/usr/share/rhn/RHN-ORG-TRUSTED-SSL-CERT" \ >> /etc/sysconfig/rhn/rhn_register
# Fifth, download the GPG key needed to validate custom packages. wget -O - -q http://proxy-or-sat.example.com.com/pub/YOUR-RPM-GPG-KEY # Sixth, import that GPG key to your GPG keyring.
rpm --import /path/to/YOUR-RPM-GPG-KEY
Recuerde, el sexto paso se documenta aquí, ya que pertenece a sistemas que ejecutan Red Hat Enterprise Linux 3 o posteriores.
Este script abarca un proceso transparente y repetible que puede ser configurado totalmente en
cualquier cliente de RHN potencial, en preparación para ser registrado a un Servidor proxy o un servidor satélite de RHN. Recuerde, los valores claves, tales como la URL de su servidor RHN, su directorio público y su llave GPG actual, deben ser insertados en los lugares listados en el script. Asimismo, dependiendo de su entorno, se podrían requerir modificaciones adicionales. Aunque este script puede
funcionar en la mayoría de los casos, debe ser usado como una guía.
Al igual que sus componentes, este script puede tener una ubicación central. Si se ubica el script en el directorio /pub/ del servidor, ejecutando wget -O- en él y creando una tubería de la salida de este comando a una sesión de shell; se puede ejecutar un proceso bootstrap en su totalidad con un único comando desde cada cliente:
wget -O - http://proxy-or-sat.example.com.com/pub/bootstrap_script | bash
Advertencia
La ejecución de un script de shell directamente desde una tubería a través de una conexión Web, conlleva por obvias razones a riesgos de seguridad. Por lo cual, es importante garantizar la seguridad del servidor fuente en este caso.
Este comando único puede luego ser invocado en todos los sistemas de una red. Si el administrador tiene acceso SSH a todos los sistemas en cuestión, sería posible ejecutar el comando remotamente en cada uno de ellos. Este script también sería de gran utilidad en la sección %post de un script kickstart existente.
Capítulo 7. Implementación de Kickstart
Obviamente, el mejor momento para hacer cambios de configuración a un sistema es cuando ese sistema se construye por primera vez. Para los usuarios que ya utilizan kickstart de forma eficiente, el script bootstrap es una adición ideal a ese proceso.
Una vez todos los problemas de configuración han sido resueltos, un sistema puede registrarse con los Servidores Red Hat Network locales mediante la herramienta rhnreg_ks que viene con los RPM
up2date y rhn_register. Este capítulo discute el uso apropiado de rhnreg_ks para registrar
sistemas.
La herramienta rhnreg_ks utiliza las llaves de activación para registrar, dar derechos y suscribir los sistemas a canales específicos. Para obtener mayor información sobre las llaves de activación, consulte el Red Hat Update Agent y los capítulos sobre el sitio web de RHN de la Guía de referencia de
Management de Red Hat Network.
El siguiente archivo kickstart comentado es un excelente ejemplo de cómo se puede configurar un sistema de principio a fin mediante Red Hat Network.
# Generic 7.2 kickstart for laptops in the Widget Corporation (widgetco) # Standard kickstart options for a network-based install. For an
# explanation of these options, consult the Red Hat Linux Customization # Guide.
lang en_US
langsupport --default en_US en_US keyboard defkeymap
network --bootproto dhcp install
url --url ftp://ftp.widgetco.com/pub/redhat/linux/7.2/en/os/i386 zerombr yes
clearpart --all
part /boot --size 128 --fstype ext3 --ondisk hda
part / --size 2048 --grow --fstype ext3 --ondisk hda part /backup --size 1024 --fstype ext3 --ondisk hda part swap --size 512 --ondisk hda
bootloader --location mbr timezone America/New_York
rootpw --iscrypted $1$78Jnap82Hnd0PsjnC8j3sd2Lna/Hx4.
auth --useshadow --enablemd5 --krb5realm .COM --krb5kdc auth.widgetco.com \ --krb5adminserver auth.widgetco.com
mouse --emulthree genericps/2
xconfig --card "S3 Savage/MX" --videoram 8192 --resolution 1024x768 \ --depth 16 --defaultdesktop=GNOME --startxonboot --noprobe \
--hsync 31.5-48.5 --vsync 40-70 reboot
# Define a standard set of packages. Note: Red Hat Network client # packages are found in Base. This is quite a minimal set of packages; # your mileage may vary.
%packages @ Base @ Utilities @ GNOME @ Laptop Support @ Dialup Support @ Software Development
@ Graphics and Image Manipulation @ Games and Entertainment
@ Sound and Multimedia Support # Now for the interesting part. %post
( # Note that we run the entire %post section as a subshell for logging. # Remember that nifty one-line command for the bootstrap script that we # went through? This is an ideal place for it. And assuming that the # script has been properly configured, it should prepare the system # fully for usage of local Red Hat Network Servers.
wget -O- http://proxy-or-sat.example.com/pub/bootstrap_script | /bin/bash # The following is an example of the usage of rhnreg_ks, the kickstart # utility for rhn_register. This demonstrates the usage of the
# --activationkey flag, which describes an activation key. For example, # this activation key could be set up in the Web interface to join this # system to the "Laptops" group and the local Widgetco "Laptop Software" # channel. Note that this section applies only to Proxy users, as this # step is handled by the Satellite bootstrap script.
#
# For more information about activation keys, consult the Red Hat Network # Management Reference Guide.
/usr/sbin/rhnreg_ks --activationkey=6c933ea74b9b002f3ac7eb99619d3374 # End the subshell and capture any output to a post-install log file. ) 1>/root/post_install.log 2>&1
Script de ejemplo Bootstrap
El script /var/www/html/pub/bootstrap/bootstrap.sh generado por el programa de instalación del Servidor satélite de RHN proporciona la capacidad de reconfigurar los sistemas clientes para acceder fácilmente a su servidor de RHN. Está disponible para los clientes del servidor satélite y del servidor proxy de RHN a través de la herramienta RHN Bootstrap. Después de modificar el script para su uso particular, este puede ser ejecutado en cada máquina cliente.
Revise el ejemplo y sus comentarios que comienzan por el signo de número (#) para obtener
información adicional. Siga los pasos en Capítulo 5, Uso de RHN Bootstrap para preparar el script para su uso.
