smpatch コマンドで署名付きパッチを管理するための準備 (作業マップ)

smpatch コマンドを使って署名付きパッチをシステムに追加する場合は、次のマップに示す準備作業をすべて完了しておく必要があります。

Solaris パッチ管理ツールの使用 (smpatch)

Solaris パッチ管理ツールの使用時には、次の点に注意してください。

• 適切なパッチ (カーネルアップデートパッチ、Java パッチ、推奨パッチクラスタなど) により、システムが最新の状態になっていることを確認します。

• Solaris パッチ管理ツールのインストール後、パッチの署名の検証に使用する Sun の証明書を手動でインポートする必要があります。

• Solaris 2.6、7、または 8 のみ – システムにインストールされている以前のバージョンの PatchPro ソフトウェアは、Solaris Patch Manager Base バージョン 1.0 のインストール時にアップグレードされます。

• パッチを quiet システム (ログインしているユーザーが存在しないシステム) にインストールする場合は、シングルユーザーモードを選択することをお勧めします。

• 署名付きパッチは、smpatch download コマンドでダウンロードされるときに検証されます。

  しかし、Solaris 9 システムでは、パッチのダウンロード時に署名検証メッセージが表示されません。これは、パッチが正常に検証された場合も同様です。署名の検証に失敗した場合、パッチはシステムにダウンロードされません。

• Solaris 9 のみ – smpatch コマンド行に認証情報を指定しなかった場合、認証情報の入力を求めるプロンプトが表示されます。

  たとえば、smpatch コマンドに次のような構文で認証情報を指定します。

  # smpatch add -p mypassword -u root -- -i patch-ID

  smpatch のサブコマンド ( add、analyze、download、または remove) を指定する場合は、サブコマンドの引数と認証オプションおよび引数を -- で区切ります。

  smpatch コマンドに認証情報を要求するプロンプトを表示させることもできます。たとえば、次のようになります。

  # /usr/sadm/bin/smpatch add -i patch-ID Authenticating as user: root ヘルプを参照するには /? を入力してください。Enter キーを押すと、 [ ] で囲まれたデフォルトが選択されます。 文字列の値を入力してください: password :: ツール com.sun.admin.patchmgr.cli.PatchMgrCli を starbag から読み込み中 ユーザー root として starbag にログインしました。 starbag から com.sun.admin.patchmgr.cli.PatchMgrCli がダウンロードされました。

• PatchPro 2.1 をアンインストールする必要がある場合は、/opt/SUNWppro/bin/uninstallpatchpro スクリプトを使用します。現在のディレクトリが /opt/SUNWppro/bin である場合は、このスクリプトで PatchPro2.1 を削除してはなりません。パッチ環境の設定方法 (smpatch)の説明に従ってパスを設定し、適切なディレクトリ、たとえばルートディレクトリ (/) から uninstallpatchpro スクリプトを実行します。

署名付きパッチツールのパッケージ要件を確認する方法 (smpatch)

システムに署名付きパッチツールをインストールする前に、必要な Solaris パッケージがインストールされていることを確認します。Solaris 2.6、7、または 8 を実行している場合は、最小のシステム構成にいくつかのパッケージを追加する必要があります。Solaris 9 を実行している場合は、署名付きパッチツールを使用するためには開発者クラスタ (SUNWCprog) をインストールする必要があります。

1. 実行している Solaris リリースを確認し、次のいずれかの作業を行います。

   1. Solaris 2.6 を実行している場合は、次のようにして、システムに必要なパッケージがインストールされているかどうかを確認します。

      # pkginfo | grep SUNWmfrun system SUNWmfrun Motif RunTime Kit # pkginfo | grep SUNWlibC system SUNWlibC Sun Workshop Compilers Bundled libC # pkginfo | grep SUNWxcu4 system SUNWxcu4 XCU4 Utilities

   2. Solaris 7 または 8 を実行している場合は、次のようにして、システムに必要なパッケージがインストールされているかどうかを確認します。

      # pkginfo | grep SUNWmfrm system SUNWmfrun Motif RunTime Kit # pkginfo | grep SUNWlibC system SUNWlibC Sun Workshop Compilers Bundled libC

   3. Solaris 9 を実行している場合は、次のようにして、システムに必要な開発者クラスタがインストールされていることを確認します。

      # cat /var/sadm/system/admin/CLUSTER CLUSTER=SUNWCprog

2. pkginfo コマンドを実行しても何も出力されない場合は、必要なパッケージをインストールしてください。

Solaris パッチ管理ツールのダウンロードおよびインストール方法 (smpatch)

1. スーパーユーザーになります。

2. 次のリンクをたどって、使用している Solaris リリースに適した tar ファイルをダウンロードします。

   http://www.sun.com/PatchPro

3. 次のいずれかの方法で、パッチツールパッケージを展開します。

   1. Solaris 2.6 または 7 を実行している場合は、次のコマンドを使ってパッケージの圧縮を解除し、展開します。

      # uncompress SUNWpkg-name.tar.Z # tar xvf SUNWpkg-name.tar

   2. Solaris 8 または 9 を実行している場合は、次のコマンドを使ってパッケージを展開します。

      # gunzip -dc SUNWpkg-name.tar.gz | tar xvf -

4. インストールスクリプトを実行します。

   # cd unzipped-pkg-dir # ./setup

   インストールスクリプトの実行時のエラーについては、署名付きパッチに関する問題の障害追跡 (smpatch)を参照してください。

例 — Solaris パッチ管理ツールのダウンロードおよびインストール (smpatch)

次の例では、Solaris 2.6 パッチ管理ツールをダウンロードし、インストールします。

# uncompress pproSunOSsparc5.6jre2.1.tar.Z
# tar xvf pproSunOSsparc5.6jre2.1.tar 
.
.
.
# cd pproSunOSsparc5.6jre2.1
# ./setup
.
.
.

次の例では、Solaris 9 パッチ管理ツールをダウンロードし、インストールします。

# gunzip -dc pproSunOSsparc5.9jre2.1.tar.gz | tar xvf -
.
.
# cd pproSunOSsparc5.9jre2.1
# ./setup
.
.
.

Java キーストアに Sun の証明書をインポートする方法

keytool コマンドを使って、システムに追加する署名付きパッチの検証に使用する Sun の証明書をインポートし、検証します。証明書を以前のインストールからインポートした場合も、この作業を実行する必要があります。

SUNWcert パッケージは、署名付きパッチツールのインストール時に自動的にインストールされます。すでに署名付きパッチツールがインストールされている場合は、SUNWcert パッケージを個別にインストールしないでください。

1. Solaris パッチ管理ツールをダウンロードするために必要な準備作業が完了していることを確認します。

2. スーパーユーザーになります。

3. Sun のルート証明書と Sun の Class B 証明書のフィンガープリントを確認します。

   # /usr/j2se/bin/keytool -printcert -file /etc/certs/SUNW/ smirootcacert.b64 # /usr/j2se/bin/keytool -printcert -file /etc/certs/SUNW/smicacert.b64

4. 次のサイトで、コマンドの出力結果と Sun のルート証明書および Class B 証明書のフィンガープリントが一致していることを確認します。

   https://www.sun.com/pki/ca/

5. Sun の Class B 証明書をシステムにインポートし、受け入れます。

   # /usr/j2se/bin/keytool -import -alias smicacert -file /etc/certs/SUNW/ smicacert.b64 -keystore /usr/j2se/jre/lib/security/cacerts Enter keystore password: changeit Owner: O=Sun Microsystems Inc, CN=Sun Microsystems Inc CA (Class B) Issuer: CN=Sun Microsystems Inc Root CA, O=Sun Microsystems Inc, C=US Serial number: 1000006 Valid from: Mon Nov 13 12:23:10 MST 2000 until: Fri Nov 13 12:23:10 ... Certificate fingerprints: MD5: B4:1F:E1:0D:80:7D:B1:AB:15:5C:78:CB:C8:8F:CE:37 SHA1: 1E:38:11:02:F0:5D:A3:27:5C:F9:6E:B1:1F:C4:79:95:E9:6E:D6:DF Trust this certificate? [no]: yes Certificate was added to keystore

6. Sun の ルート証明書をシステムにインポートし、受け入れます。

   # /usr/j2se/bin/keytool -import -alias smirootcacert -file /etc/certs/ SUNW/ smirootcacert.b64 -keystore /usr/j2se/jre/lib/security/cacerts Enter keystore password: changeit Owner: CN=Sun Microsystems Inc Root CA, O=Sun Microsystems Inc, C=US Issuer: CN=GTE CyberTrust Root, O=GTE Corporation, C=US Serial number: 200014a Valid from: Tue Nov 07 15:39:00 MST 2000 until: Thu Nov 07 16:59:00 ... Certificate fingerprints: MD5: D8:B6:68:D4:6B:04:B9:5A:EB:34:23:54:B8:F3:97:8C SHA1: BD:D9:0B:DA:AE:91:5F:33:C4:3D:10:E3:77:F0:45:09:4A:E8:A2:98 Trust this certificate? [no]: yes Certificate was added to keystore

7. 署名付きパッチ証明書をシステムにインポートし、受け入れます。

   # /usr/j2se/bin/keytool -import -alias patchsigning -file /opt/SUNWppro/ etc/certs/patchsigningcert.b64 -keystore /usr/j2se/jre/lib/security/ cacerts Enter keystore password: changeit Owner: CN=Enterprise Services Patch Management, O=Sun Microsystems Inc Issuer: O=Sun Microsystems Inc, CN=Sun Microsystems Inc CA (Class B) Serial number: 1400007b Valid from: Mon Sep 24 14:38:53 MDT 2001 until: Sun Sep 24 14:38:53 ... Certificate fingerprints: MD5: 6F:63:51:C4:3D:92:C5:B9:A7:90:2F:FB:C0:68:66:16 SHA1: D0:8D:7B:2D:06:AF:1F:37:5C:0D:1B:A0:B3:CB:A0:2E:90:D6:45:0C Trust this certificate? [no]: yes Certificate was added to keystore

Java キーストアのパスワードの変更方法

1. スーパーユーザーになります。

2. キーストアのパスワードを変更します。

   # /usr/j2se/bin/keytool -keystore /usr/j2se/jre/lib/security/ cacerts Enter keystore password: changeit New keystore password: new-password Re-enter new keystore password: new-password

パッチ環境の設定方法 (smpatch)

1. スーパーユーザーになります。

2. パッチツールのディレクトリをパスに追加します。

   # PATH=/usr/sadm/bin:/opt/SUNWppro/bin:$PATH # export PATH

3. (省略可能) システムのハードウェア構成を確認します。smpatch analyze コマンドは、このハードウェア構成に基づいて必要なパッチを特定します。

   # pprosetup -H Change Hardware Configuration. Analyzing this computer. ..............

   このコマンドで特定されるのは、Sun のネットワークストレージ製品だけです。

4. システムに追加するパッチの種類を特定します。

   # pprosetup -i standard:singleuser:rebootafter:reconfigafter

   システムのデフォルトパッチポリシーが確立されます。

5. (省略可能) システムに規約署名付きパッチを追加したい場合は、次の手順に従って SunSolve のユーザー名とパスワードを定義します。

   1. SunSolve ユーザー名を定義します。

      # pprosetup -u username

   2. SunSolve パスワードを定義します。次のファイルにパスワードを追加してください。

      /opt/SUNWppro/lib/.sunsolvepw

6. パッチツールがシステムにパッチをダウンロードできるように、プロキシサーバーを特定します。

   1. システムがファイアウォールで保護されている場合は、patchpro.sun.com サーバーと、次のいずれかの Sun パッチサーバー (パッチのダウンロード用サーバー) にアクセスできるプロキシサーバーを定義する必要があります。

      • americas.patchmanager.sun.com (デフォルト)

      • emea.patchmanager.sun.com

      • japan.patchmanager.sun.com

   2. 次のコマンドで、プロキシサーバーを特定します。

      # pprosetup -x proxy-server:proxy-port

      たとえば、webaccess.corp.net.com をプロキシサーバーに指定する場合、次のように pprosetup コマンドを入力します。

      # pprosetup -x webaccess.corp.net.com:8080

次に進む手順

署名付きパッチの準備作業がすべて完了したら、パッチ管理ツールを使って署名付きパッチを追加します。