| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Ajout et mise à jour de packages logiciels Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Ajout et mise à jour de packages logiciels Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Introduction à Image Packaging System
3. Obtention d'informations sur les packages logiciels
4. Installation et mise à jour des packages logiciels
5. Configuration des images installées
Affichage des informations sur les éditeurs
Ajout, modification ou suppression des éditeurs de packages
Contrôle de l'installation des composants optionnels
Affichage et modification des valeurs de variables
Affichage et modification des valeurs de facettes
Verrouillage de packages en une version spécifiée
Assouplissement des contraintes de version spécifiées par les incorporations
Spécification d'une implémentation d'application par défaut
Annulation de l'installation de certains packages compris dans un package de groupe
Meilleures pratiques de mise à jour d'images
Spécification de la version à installer
Spécification d'une contrainte de version avant la mise à jour
Imposition de contraintes sur les packages disponibles
Retour à la version antérieure d'une image
Options supplémentaires de la commande de mise à jour
Configuration des propriétés d'image et d'éditeur
Propriétés d'image de la stratégie d'environnement d'initialisation
Propriétés de signature de packages
Propriétés de l'image pour les packages signés
Propriétés de l'éditeur pour les packages signés
Configuration des propriétés de signature de package
Propriétés de l'image supplémentaires
Définitions des propriétés d'image
Affichage des valeurs des propriétés de l'image
Pour mettre en oeuvre des stratégies d'image, définissez des propriétés d'image. Cette section décrit les propriétés d'image et d'éditeur et explique comment les définir. Pour consulter la description des propriétés d'image, reportez-vous à la page de manuel pkg(1).
Une image est un emplacement dans lequel des packages IPS peuvent être installés et où d'autres opérations IPS peuvent être effectuées.
Un environnement d'initialisation (BE) est une instance amorçable d'une image. Vous pouvez disposer de plusieurs environnements d'initialisation sur votre système, chacun pouvant avoir différentes versions de logiciels installées. Lorsque vous initialisez votre système, vous avez la possibilité de démarrer dans n'importe quel environnement d'initialisation sur votre système. Un nouvel environnement d'initialisation peut être créé automatiquement à la suite des opérations de packages. Vous pouvez également créer explicitement un nouvel environnement d'initialisation. La création d'un nouvel environnement d'initialisation dépend de la stratégie d'image, comme détaillé dans cette section.
Par défaut, un nouvel environnement d'initialisation est automatiquement créé lorsque vous exécutez l'une des opérations suivantes :
Mise à jour de packages de système clé particuliers, tels que certains pilotes et autres composants de noyau. Ceci peut se produire lorsque vous installez, désinstallez, mettez à jour, ou modifiez une variante ou une facette.
Il arrive souvent qu'un environnement d'initialisation soit créé lorsque vous exécutez la commande pkg update pour mettre à jour tous les packages pour lesquels des mises à jour sont disponibles.
Indication de l'une des options suivantes : --be-name, --require-new-be, --backup-be-name, --require-backup-be.
Définition de la stratégie d'image be-policy sur always-new. Dans le cadre de cette stratégie, toutes les opérations sont effectuées dans un nouvel environnement d'initialisation défini comme actif lors de l'initialisation suivante.
Lorsqu'un environnement d'initialisation est créé, le système effectue les opérations suivantes :
Il crée un clone de l'environnement d'initialisation actuel.
Un clone de l'environnement d'initialisation contient l'intégralité du contenu, ordonné dans une arborescence sous le jeu de données root principal de l'environnement d'initialisation d'origine. Les systèmes de fichiers partagés ne se trouvent pas sous le jeu de données root et ne sont pas clonés. Au lieu de cela, le nouvel environnement d'initialisation accède aux systèmes de fichiers partagés d'origine.
Il met à jour les packages dans l'environnement d'initialisation clone sans mettre à jour les packages dans l'environnement d'initialisation actuel.
Si des zones non globales sont configurées dans l'environnement d'initialisation actuel, ces zones existantes sont configurées dans le nouvel environnement d'initialisation.
Il définit le nouvel environnement d'initialisation qui sera utilisé comme environnement par défaut lors de la prochaine initialisation du système, sauf si l'option --no-be-activate est spécifiée. L'environnement d'initialisation actuel figure toujours parmi les choix d'initialisation possibles.
Si un nouvel environnement d'initialisation est requis mais que l'espace est insuffisant pour le créer, vous pouvez peut-être supprimer des environnements d'initialisation existants inutiles. Pour plus d'informations sur les environnements d'initialisation, reportez-vous à la section Création et administration d’environnements d’initialisation Oracle Solaris 11.1.
Reportez-vous à la section Définitions des propriétés d'image pour obtenir des instructions sur la définition des propriétés de l'image ci-dessous.
Indique à quel moment un environnement d'initialisation est créé lors des opérations d'empaquetage. Les valeurs suivantes sont autorisées :
Applique la stratégie de création d'IE par défaut : create-backup.
Requiert une réinitialisation de toutes les opérations en les effectuant dans un nouvel environnement d'initialisation défini comme actif lors de l'initialisation suivante. Aucun environnement d'initialisation de sauvegarde n'est créé sauf explicitement demandé.
Cette stratégie est la plus sûre, mais elle est plus stricte que ce qui est demandé dans la plupart des sites, dans la mesure où aucun package ne peut être ajouté sans qu'il faille réinitialiser le système.
Pour les opérations sur les packages qui nécessitent une réinitialisation, cette politique crée un nouvel environnement d'initialisation défini comme actif lors de la prochaine initialisation. Si les packages sont modifiés ou si du contenu pouvant avoir des répercussions sur le noyau est installé, et que l'opération a une incidence sur l'environnement d'initialisation actif, un environnement de sauvegarde est créé, mais il n'est pas défini comme actif. Un environnement d'initialisation de sauvegarde peut également être explicitement demandé.
Cette stratégie est potentiellement dangereuse uniquement si les logiciels récemment installés entraînent une instabilité du système, ce qui est possible, mais relativement rare.
Pour les opérations sur les packages qui nécessitent une réinitialisation, cette politique crée un nouvel environnement d'initialisation défini comme actif lors de la prochaine initialisation. Aucun environnement d'initialisation de sauvegarde n'est créé sauf explicitement demandé.
Cette stratégie comporte les plus grands risques, car si un changement d'empaquetage dans l'environnement d'initialisation opérationnel empêche toute modification supplémentaire, un environnement d'initialisation de secours récent risque de ne pas exister.
Si vous installez des packages signés, définissez les propriétés de l'image et de l'éditeur décrites dans cette section pour vérifier les signatures des packages.
Configurez les propriétés de l'image suivantes pour utiliser des packages signés.
La valeur de cette propriété détermine quelles vérifications sont effectuées sur des fichiers manifestes lors de l'installation, de la mise à jour, de la modification ou de la vérification d'un package dans cette image. La stratégie finale appliquée à un package dépend de la combinaison des stratégies de l'image et de l'éditeur. La combinaison sera au moins aussi stricte que la plus stricte des deux stratégies prises individuellement. Par défaut, le client du package ne vérifie pas si les certificats ont été révoqués. Pour activer ces vérifications, qui peuvent nécessiter que le client contacte des sites web externes, définissez la propriété d'image check-certificate-revocation sur true. Les valeurs suivantes sont autorisées :
Ignore les signatures pour tous les manifestes.
Vérifie que tous les fichiers manifestes avec signatures sont valablement signés, mais ne nécessite pas que tous les packages installés soient signés.
Il s'agit de la valeur par défaut.
Demande à ce que tous les nouveaux packages installés disposent au moins d'une signature valide. Les commandes pkg fix et pkg verify avertissent également lorsqu'un package installé ne possède pas de signature valide.
Suit les mêmes exigences que require-signatures mais nécessite aussi que les chaînes répertoriées dans la propriété d'image signature-required-names s'affichent en tant que nom commun des certificats utilisés pour vérifier les chaînes de confiance des signatures.
La valeur de cette propriété est une liste de noms qui doivent être considérés comme des noms communs de certificats lors de la validation des signatures d'un package.
Configurez les propriétés de l'éditeur suivantes pour utiliser des packages signés d'un éditeur particulier.
La fonction de cette propriété est identique à la fonction de la propriété d'image signature-policy, si ce n'est que cette propriété s'applique uniquement aux packages de l'éditeur spécifié.
La fonction de cette propriété est identique à la fonction de la propriété d'image signature-required-names, si ce n'est que cette propriété s'applique uniquement aux packages de l'éditeur spécifié.
Utilisez les sous-commandes set-property, add-property-value, remove-property-value et unset-property pour configurer les propriétés de signature de package pour cette image.
Utilisez les options --set-property, --add-property-value, - -remove-property-value et --unset-property de la sous-commande set-publisher pour spécifier la stratégie de signature et les noms requis pour un éditeur particulier.
L'exemple suivant configure cette image pour exiger que tous les packages soient signés. Il nécessite également que la chaîne oracle.com soit considérée comme un nom commun pour l'un des certificats dans la chaîne de confiance.
$ pfexec pkg set-property signature-policy require-names oracle.com
L'exemple suivant configure cette image pour exiger que tous les packages signés soient vérifiés.
$ pfexec pkg set-property signature-policy verify
L'exemple suivant configure cette image pour exiger que tous les packages installés à partir de l'éditeur example.com soient signés.
$ pfexec pkg set-publisher --set-property signature-policy=require-signatures example.com
L'exemple suivant ajoute un nom de signature requis. Cet exemple ajoute la chaîne trustedname à la liste de noms communs de l'image qui doivent être vus dans la chaîne de confiance d'une signature pour qu'elle soit considérée valide.
$ pfexec pkg add-property-value signature-require-names trustedname
L'exemple suivant supprime un nom de signature requis. Cet exemple supprime la chaîne trustedname de la liste de noms communs de l'image qui doivent être vus dans la chaîne de confiance d'une signature pour qu'elle soit considérée valide.
$ pfexec pkg remove-property-value signature-require-names trustedname
L'exemple suivant ajoute un nom de signature requis pour un éditeur spécifié. Cet exemple ajoute la chaîne trustedname à la liste de noms communs de l'éditeur example.com qui doivent être vus dans la chaîne de confiance d'une signature pour qu'elle soit considérée valide.
$ pfexec pkg set-publisher --add-property-value \ signature-require-names=trustedname example.com
Spécifie un nom de chemin d'accès qui pointe vers un répertoire dans lequel les certificats de CA sont conservés pour les opérations SSL. Le format de ce répertoire est spécifique à l'implémentation SSL sous-jacente. Pour utiliser un autre emplacement pour les certificats de CA de confiance, modifiez cette valeur de manière à ce qu'elle pointe vers un autre répertoire. Reportez-vous aux paragraphes CApath de SSL_CTX_load_verify_locations(3openssl) pour connaître les exigences concernant le répertoire des certificats de CA.
La valeur par défaut est /etc/openssl/certs.
Si cette propriété est définie sur True, le client de package tente de contacter les points de distribution CRL dans les certificats utilisés pour la vérification des signatures pour déterminer si le certificat a été révoqué depuis son émission.
La valeur par défaut est False.
Si cette propriété est définie sur True, le client de package supprime les fichiers de son cache de contenu une fois les opérations d'installation ou de mise à jour terminées. Pour les opérations de mise à jour, le contenu n'est supprimé que dans l'environnement d'initialisation source. Lorsqu'une opération sur les packages se produit ensuite sur l'environnement d'initialisation de destination, le client du package vide son cache de contenu si cette option n'a pas été modifiée.
Cette propriété peut être utilisée pour limiter la taille du cache de contenu sur les systèmes dotés d'un espace disque réduit. Cette propriété peut ralentir les opérations.
La valeur par défaut est True.
Cette propriété demande au client de découvrir les miroirs de contenu link-local à l'aide de mDNS et DNS-SD. Si cette propriété est définie sur True, le client tente de télécharger le contenu du package à partir de miroirs qu'il détecte de manière dynamique. Pour exécuter un miroir qui publie son contenu via mDNS, reportez-vous à la page de manuel pkg.depotd(1M).
La valeur par défaut est False.
Envoie l'identificateur unique universel (UUID) de l'image pendant les opérations sur le réseau. Bien que les utilisateurs puissent désactiver cette option, certains référentiels de réseau peuvent refuser de communiquer avec des clients qui ne fournissent pas un UUID.
La valeur par défaut est True.
La valeur de cette propriété est le nom du chemin d'accès au répertoire contenant les ancres de confiance pour l'image. Ce chemin est relatif à l'image.
La valeur par défaut est ignore.
Cette propriété indique si l'image doit utiliser le référentiel du système comme une source pour l'image et la configuration de l'éditeur et comme un serveur proxy pour la communication avec les éditeurs fournis. Reportez-vous à la page de manuel pkg.sysrepo(1M) pour plus d'informations sur les référentiels système.
La valeur par défaut est ignore.
Utilisez les sous-commandes set-property, add-property-value, remove-property-value et unset-property pour configurer les propriétés de cette image.
/usr/bin/pkg property [-H] [propname ...] /usr/bin/pkg set-property propname propvalue /usr/bin/pkg add-property-value propname propvalue /usr/bin/pkg remove-property-value propname propvalue /usr/bin/pkg unset-property propname ...
Utilisez la commande pkg property pour afficher les propriétés d'une image :
$ pkg property PROPERTY VALUE be-policy default ca-path /etc/openssl/certs check-certificate-revocation False flush-content-cache-on-success False mirror-discovery False preferred-authority solaris publisher-search-order ['solaris', 'isvpub'] send-uuid True signature-policy verify signature-required-names [] trust-anchor-directory etc/certs/CA use-system-repo False
Les propriétés preferred-authority et publisher-search-order peuvent être définies à l'aide des options de commande pkg set-publisher. Reportez-vous à la section Ajout, modification ou suppression des éditeurs de packages.
Utilisez la commande pkg set-property pour définir la valeur d'une propriété d'image ou ajouter et définir une propriété.
L'exemple suivant définit la valeur de la propriété mirror-discovery.
$ pfexec pkg set-property mirror-discovery True $ pkg property -H mirror-discovery mirror-discovery True
Utilisez la commande pkg unset-property pour rétablir les valeurs par défaut des propriétés spécifiées.
$ pfexec pkg unset-property mirror-discovery $ pkg property -H mirror-discovery mirror-discovery False
|