Mit der Komponente "Infrastructure Deployment" können Sie eine Remote-Installation der Agenten- und Serversoftware auf Zielcomputern ausführen, auf denen die CA ITCM-Software nicht ausgeführt wird. Dies ist nur möglich, wenn Sie die Funktionen der zugrunde liegenden Betriebssysteme auf den Ausgangs- und Zielcomputern verwenden. Dabei gelten die Einschränkungen der Enterprise-Netzwerkkonfiguration.
Der erste Schritt beim Bereitstellen der Infrastruktursoftware ist die Remote-Installation der kleinen Primer-Anwendung DMPrimer auf dem Zielcomputer. Die DMPrimer-Software ist für die anschließende Übertragung der Installations-Images der Infrastruktursoftwarekomponente und das Aufrufen ihrer Installation zuständig. Wenn DMPrimer an die Zielcomputer geliefert wird, muss der Bereitstellungs-Manager Benutzeranmeldeinformationen angeben, die auf dem Ziel gültig sind.
Der DMPrimer wird mit einem der folgenden Mechanismen auf das Zielsystem übertragen. Wenn dem Bereitstellungs-Manager das Betriebssystem des Zielcomputers bekannt ist, wird ein entsprechender Übertragungsmechanismus ausgewählt. Wenn das Zielbetriebssystem nicht festgestellt werden kann, wird jeder der folgenden Mechanismen versucht.
Der Bereitstellungs-Manager versucht, eine Verbindung zu einer Windows-Netzwerkfreigabe auf dem Zielsystem herzustellen. Der Standardname der Freigabe lautet ADMIN$, er kann jedoch über die Konfigurationsrichtlinie "defaultTargetShare" geändert werden. Dieser Mechanismus ist nur in Bereitstellungs-Managern verfügbar, die auf einer Windows-Plattform ausgeführt werden und funktioniert nur auf einigen Windows-Zielsystemen. Einige Varianten von Windows, z. B. Windows XP Home, unterstützten diesen Bereitstellungsmechanismus nicht.
Dieser Mechanismus funktioniert auf jedem Computer, auf dem ein SSH-Server ausgeführt wird. Er wird jedoch überwiegend verwendet, wenn Linux- oder UNIX-Computer das Ziel sind.
Hinweis: Für die Bereitstellung in Solaris-Systemen empfiehlt CA die Verwendung von SunSSH v1.1 (oder höher) oder die aktuelle Version von OpenSSH. Zusätzliche Informationen zu Patches für Solaris-Plattformen und Versionen finden Sie auf der Website unter http://opensolaris.org/os/community/security/projects/SSH.
Wenn Sie auf dem Zielcomputer eine Firewall ausführen, stellen Sie sicher, dass der SSH-Port (22) Verbindungen vom Bereitstellungs-Manager zulässt. Sie sollten auch überprüfen, ob der SSH-Server auf dem Zielcomputer für die Verwendung eines RSA-Schlüssels mit 3DES-Verschlüsselungscode und HMAC-SHA1-Nachrichtenauthentifizierungscode (MAC) konfiguriert ist. Zwar bieten die meisten SSH-Server keine standardmäßige Unterstützung dieser Konfiguration, Anweisungen zum Hinzufügen der Unterstützung finden Sie jedoch in der Dokumentation Ihres SSH-Servers.
Um erfolgreich auf einem UNIX- oder Linux-Agenten bereitzustellen, konfigurieren Sie die Konfigurationsdatei /etc/ssh/sshd_config Ihrer letzten SSH-Implementierung folgendermaßen:
Bei der Bereitstellung auf manchen IBM AIX-Systemen, die ein IPv4- und ein IPv6-Stack ausführen und eine IPv6-Adresse verwenden, überwacht der SSH-Server des Zielcomputers möglicherweise nur dem Port 22 auf IPv4. Hierdurch würde die Bereitstellung fehlschlagen. Bearbeiten Sie die Konfigurationsdatei "sshd_config", und setzen Sie ListenAddress auf "::", um dies zu korrigieren.
Wenn Solaris 11 bereitgestellt wird, führen Sie diese Schritten aus:
CONSOLE=/dev/console
/etc/default/login.
vi /etc/default/login
#CONSOLE=/dev/console
;type=role
oder verwenden Sie folgenden Befehl:
rolemod -K type=normal root
Hinweis: Wenn Sie möchten, dass die SSH-Kommunikation zwischen dem Bereitstellungsmanager und den Zielcomputer FIPS-kompatibel ist, müssen Sie überprüfen, ob der auf dem Zielcomputer ausgeführte SSH-Server ein FIPS-kompatibles kryptographisches Modul verwendet, und dass der Modus des Bereitstellungsmanagers als "Nur-FIPS" festgelegt ist.
Dieser Mechanismus ist besonders geeignet, wenn UNIX-Systeme, die SSH nicht unterstützen, das Ziel sind. Telnet und FTP werden immer seltener verwendet, da diese Protokolle inhärente Sicherheitsschwachstellen aufweisen. Sie werden durch SSH und SFTP ersetzt.
Wenn Sie diese Verbindungsmethode verwenden, werden auf Zielcomputern Telnet-Befehle ausgeführt, die das DMPrimer-Installations-Image von einem FTP-Server im Manager abrufen.
Wichtig! Einige neue Betriebssysteme lassen die Remote-Installation von Software nicht zu oder verhindern sie sogar. Wenn Sie versuchen, CA ITCM-Software auf diesen Systemen bereitzustellen, schlägt die Bereitstellung normalerweise mit dem Status "Kein Primer-Transport" fehl. In solchen Fällen kann die Installation von CA ITCM-Softwarekomponenten auf anderem Wege erfolgen, beispielsweise mit Installationsdatenträgern wie DVDs.
Sie können die Installation von DMPrimer auch manuell ausführen. Damit wird die Bereitstellung der CA ITCM-Infrastruktur möglich, ohne dass Sie die Funktionen der zugrunde liegenden Betriebssysteme nutzen müssen.
Ermitteln Sie, ob in Ihrer Umgebung eine automatische Bereitstellung möglich ist, indem Sie einige einfache Tests über folgende standardmäßige Betriebsystemvorgänge ausführen:
|
Copyright © 2013 CA.
Alle Rechte vorbehalten.
|
|