システムに署名付きパッチを追加する場合は、次のマップに示す作業をすべて完了しておく必要があります。
作業 |
説明 |
参照先 |
---|---|---|
1. Solaris パッケージの要件を確認する |
パッチツールをサポートするために必要な Solaris パッケージがシステムにインストールされていることを確認する | |
2. Solaris パッチ管理ツールをダウンロードし、インストールする |
使用している Solaris リリースに対応した Solaris パッチ管理ツールを選択する | |
3. キーストアに Sun の証明書をインポートする |
パッチの署名の検証に使用する Sun の証明書をインポートし、受け入れる SUNWcert パッケージは、署名付きパッチツールのインストール時に自動的にインストールされる。すでに署名付きパッチツールがインストールされている場合は、SUNWcert パッケージを個別にインストールしてはならない | |
4. (省略可能) キーストアのパスワードを変更する |
キーストアの安全性を確保するため、パスワードを変更する | |
5. パッチ環境を設定する |
署名付きパッチを追加できるようにシステムを設定する |
Solaris パッチ管理ツールの使用時には、次の点に注意してください。
適切なパッチ (カーネルアップデートパッチ、Java パッチ、推奨パッチクラスタなど) により、システムが最新の状態になっていることを確認します。
Solaris パッチ管理ツールのインストール後、パッチの署名の検証に使用する Sun の証明書を手動でインポートする必要があります。
Solaris 2.6、7、または 8 のみ – システムにインストールされている以前のバージョンの PatchPro ソフトウェアは、Solaris Patch Manager Base バージョン 1.0 のインストール時にアップグレードされます。
パッチを quiet システム (ログインしているユーザーが存在しないシステム) にインストールする場合は、シングルユーザーモードを選択することをお勧めします。
署名付きパッチは、smpatch download コマンドでダウンロードされるときに検証されます。
しかし、Solaris 9 システムでは、パッチのダウンロード時に署名検証メッセージが表示されません。これは、パッチが正常に検証された場合も同様です。署名の検証に失敗した場合、パッチはシステムにダウンロードされません。
Solaris 9 のみ – smpatch コマンド行に認証情報を指定しなかった場合、認証情報の入力を求めるプロンプトが表示されます。
たとえば、smpatch コマンドに次のような構文で認証情報を指定します。
# smpatch add -p mypassword -u root -- -i patch-ID |
smpatch コマンドに認証情報を要求するプロンプトを表示させることもできます。たとえば、次のようになります。
# /usr/sadm/bin/smpatch add -i patch-ID Authenticating as user: root ヘルプを参照するには /? を入力してください。Enter キーを押すと、 [ ] で囲まれたデフォルトが選択されます。 文字列の値を入力してください: password :: ツール com.sun.admin.patchmgr.cli.PatchMgrCli を starbag から読み込み中 ユーザー root として starbag にログインしました。 starbag から com.sun.admin.patchmgr.cli.PatchMgrCli がダウンロードされました。 |
PatchPro 2.1 をアンインストールする必要がある場合は、/opt/SUNWppro/bin/uninstallpatchpro スクリプトを使用します。現在のディレクトリが /opt/SUNWppro/bin である場合は、このスクリプトで PatchPro2.1 を削除してはなりません。パッチ環境の設定方法の説明に従ってパスを設定し、適切なディレクトリ、たとえばルートディレクトリ (/) から uninstallpatchpro スクリプトを実行します。
システムに署名付きパッチツールをインストールする前に、必要な Solaris パッケージがインストールされていることを確認します。Solaris 2.6、7、または 8 を実行している場合は、最小のシステム構成にいくつかのパッケージを追加する必要があります。Solaris 9 を実行している場合は、署名付きパッチツールを使用するためには開発者クラスタ (SUNWCprog) をインストールする必要があります。
実行している Solaris リリースを確認し、次のいずれかの作業を行います。
Solaris 2.6 を実行している場合は、次のようにして、システムに必要なパッケージがインストールされているかどうかを確認します。
# pkginfo | grep SUNWmfrun system SUNWmfrun Motif RunTime Kit # pkginfo | grep SUNWlibC system SUNWlibC Sun Workshop Compilers Bundled libC # pkginfo | grep SUNWxcu4 system SUNWxcu4 XCU4 Utilities |
Solaris 7 または 8 を実行している場合は、次のようにして、システムに必要なパッケージがインストールされているかどうかを確認します。
# pkginfo | grep SUNWmfrm system SUNWmfrun Motif RunTime Kit # pkginfo | grep SUNWlibC system SUNWlibC Sun Workshop Compilers Bundled libC |
Solaris 9 を実行している場合は、次のようにして、システムに必要な開発者クラスタがインストールされていることを確認します。
# cat /var/sadm/system/admin/CLUSTER CLUSTER=SUNWCprog |
pkginfo コマンドを実行しても何も出力されない場合は、必要なパッケージをインストールしてください。
スーパーユーザーになります。
次のリンクをたどって、使用している Solaris リリースに適した tar ファイルをダウンロードします。
次のいずれかの方法で、パッチツールパッケージを展開します。
インストールスクリプトを実行します。
# cd unzipped-pkg-dir # ./setup |
インストールスクリプトの実行時のエラーについては、署名付きパッチに関する問題の障害追跡を参照してください。
次の例では、Solaris 2.6 パッチ管理ツールをダウンロードし、インストールします。
# uncompress pproSunOSsparc5.6jre2.1.tar.Z # tar xvf pproSunOSsparc5.6jre2.1.tar . . . # cd pproSunOSsparc5.6jre2.1 # ./setup . . . |
次の例では、Solaris 9 パッチ管理ツールをダウンロードし、インストールします。
# gunzip -dc pproSunOSsparc5.9jre2.1.tar.gz | tar xvf - . . # cd pproSunOSsparc5.9jre2.1 # ./setup . . . |
keytool コマンドを使って、システムに追加する署名付きパッチの検証に使用する Sun の証明書をインポートし、検証します。証明書を以前のインストールからインポートした場合も、この作業を実行する必要があります。
SUNWcert パッケージは、署名付きパッチツールのインストール時に自動的にインストールされます。すでに署名付きパッチツールがインストールされている場合は、SUNWcert パッケージを個別にインストールしないでください。
Solaris パッチ管理ツールをダウンロードするために必要な準備作業が完了していることを確認します。
スーパーユーザーになります。
Sun のルート証明書と Sun の Class B 証明書のフィンガープリントを確認します。
# /usr/j2se/bin/keytool -printcert -file /etc/certs/SUNW/ smirootcacert.b64 # /usr/j2se/bin/keytool -printcert -file /etc/certs/SUNW/smicacert.b64 |
次のサイトで、コマンドの出力結果と Sun のルート証明書および Class B 証明書のフィンガープリントが一致していることを確認します。
https://www.sun.com/pki/ca/ |
Sun の Class B 証明書をシステムにインポートし、受け入れます。
# /usr/j2se/bin/keytool -import -alias smicacert -file /etc/certs/ SUNW/smicacert.b64 -keystore /usr/j2se/jre/lib/security/cacerts キーストアのパスワードを入力してください: changeit 所有者: O=Sun Microsystems Inc, CN=Sun Microsystems Inc CA (Class B) 実行者: CN=Sun Microsystems Inc Root CA, O=Sun Microsystems Inc, C=US シリアル番号: 1000006 有効日: Tue Nov 14 04:23:10 JST 2000 有効期限: Sat Nov 14 04:23:10 JST 2009 証明書のフィンガープリント: MD5: B4:1F:E1:0D:80:7D:B1:AB:15:5C:78:CB:C8:8F:CE:37 SHA1: 1E:38:11:02:F0:5D:A3:27:5C:F9:6E:B1:1F:C4:79:95:E9:6E:D6:DF この証明書を信頼しますか? [no]: yes 証明書がキーストアに追加されました。 |
Sun の ルート証明書をシステムにインポートし、受け入れます。
# /usr/j2se/bin/keytool -import -alias smirootcacert -file /etc/certs/ SUNW/smirootcacert.b64 -keystore /usr/j2se/jre/lib/security/cacerts キーストアのパスワードを入力してください: changeit 所有者: CN=Sun Microsystems Inc Root CA, O=Sun Microsystems Inc, C=US 実行者: CN=GTE CyberTrust Root, O=GTE Corporation, C=US シリアル番号: 200014a 有効日: Wed Nov 08 07:39:00 JST 2000 有効期限: Fri Nov 08 08:59:00 JST 2002 証明書のフィンガープリント: MD5: D8:B6:68:D4:6B:04:B9:5A:EB:34:23:54:B8:F3:97:8C SHA1: BD:D9:0B:DA:AE:91:5F:33:C4:3D:10:E3:77:F0:45:09:4A:E8:A2:98 この証明書を信頼しますか? [no]: yes 証明書がキーストアに追加されました。 |
署名付きパッチ証明書をシステムにインポートし、受け入れます。
# /usr/j2se/bin/keytool -import -alias patchsigning -file /opt/SUNWppro/ etc/certs/patchsigningcert.b64 -keystore /usr/j2se/jre/lib/security/cacerts キーストアのパスワードを入力してください: changeit 所有者: CN=Enterprise Services Patch Management, O=Sun Microsystems Inc 実行者: O=Sun Microsystems Inc, CN=Sun Microsystems Inc CA (Class B) シリアル番号: 1400007b 有効日: Tue Sep 25 05:38:53 JST 2001 有効期限: Mon Sep 25 05:38:53 JST 2006 証明書のフィンガープリント: MD5: 6F:63:51:C4:3D:92:C5:B9:A7:90:2F:FB:C0:68:66:16 SHA1: D0:8D:7B:2D:06:AF:1F:37:5C:0D:1B:A0:B3:CB:A0:2E:90:D6:45:0C この証明書を信頼しますか? [no]: yes 証明書がキーストアに追加されました。 |
スーパーユーザーになります。
キーストアのパスワードを変更します。
# /usr/j2se/bin/keytool -storepasswd -keystore /usr/j2se/jre/lib/ security/cacerts キーストアのパスワードを入力してください: changeit 新規 keystore password: new-password 新規 keystore password を再入力してください: new-password |
スーパーユーザーになります。
パッチツールのディレクトリをパスに追加します。
# PATH=/usr/sadm/bin:/opt/SUNWppro/bin:$PATH # export PATH |
(省略可能) システムのハードウェア構成を確認します。smpatch analyze コマンドは、このハードウェア構成に基づいて必要なパッチを特定します。
# pprosetup -H Change Hardware Configuration. Analyzing this computer. .............. |
このコマンドで特定されるのは、Sun のネットワークストレージ製品だけです。
システムに追加するパッチの種類を特定します。
# pprosetup -i standard:singleuser:rebootafter:reconfigafter |
システムのデフォルトパッチポリシーが確立されます。
(省略可能) システムに規約署名付きパッチを追加したい場合は、次の手順に従って SunSolve のユーザー名とパスワードを定義します。
パッチツールがシステムにパッチをダウンロードできるように、プロキシサーバーを特定します。
システムがファイアウォールで保護されている場合は、patchpro.sun.com サーバーと、次のいずれかの Sun パッチサーバー (パッチのダウンロード用サーバー) にアクセスできるプロキシサーバーを定義する必要があります。
americas.patchmanager.sun.com (デフォルト)
emea.patchmanager.sun.com
japan.patchmanager.sun.com
次のコマンドで、プロキシサーバーを特定します。
# pprosetup -x proxy-server:proxy-port |
たとえば、webaccess.corp.net.com をプロキシサーバーに指定する場合、次のように pprosetup コマンドを入力します。
# pprosetup -x webaccess.corp.net.com:8080 |
署名付きパッチの準備作業がすべて完了したら、パッチ管理ツールを使って署名付きパッチを追加します。