Red Hat Training

A Red Hat training course is available for Red Hat Satellite

10.3. インストール後のタスク

Satellite がアップグレードされた後に、オプションでインストールが FIPS 140-2 標準に準拠するように設定し、不要な Java runtime のバージョンを削除します。要件によって、これらのタスクのいずれか、または両方を実行するように選択できます。

10.3.1. FIPS 140-2 の準拠についての設定

Red Hat Satellite 5.7 は、連邦情報処理標準 (FIPS) 140-2 に対応しています。これは暗号モジュールの認証に関する米国政府の規格標準です。今回のサポートでは、以下の変更が含まれます。
  • ユーザーのパスワードはこれまで MD5 方式で暗号化されていましたが、SHA-256 アルゴリズムで暗号化されるようになります。
  • クライアント証明書 (/etc/sysconfig/rhn/systemid) は登録済みシステムが親サーバーとの認証に使用しますが、これが MD5 から SHA-256 暗号化に変更されました。
FIPS 140-2 対応のシステムに新規 Red Hat Satellite をインストールする場合は、手動での変更は必要ありません。Satellite は自動的に FIPS 140-2 標準を使用します。
ただし、システムをアップグレードして FIPS 140-2 対応とする予定の場合は、MD5 暗号化を使用した既存のユーザーパスワードとクライアント証明書を先に更新する必要があります。

手順10.7 ユーザーパスワードの更新

  1. MD5 暗号化を使用したパスワードのユーザー一覧をエクスポートします。 
    # spacewalk-report users-md5 > users-md5.csv
  2. ループに以下を使用して各ユーザーのパスワードを変更します。 
    # for i in $(cat users-md5.csv | awk -F, 'NR>1 { print $4 }'); do
      echo "Changing password for user $i";
      satpasswd $i;
      echo;
done
    または、ファイル users-md5.csv 内のすべてのユーザーに Satellite の Web UI にログインするよう指示します。Satellite により、SHA-256 を使用するためにデータベース内のパスワードが自動的に変更されます。

手順10.8 クライアント証明書の更新

  1. MD5 暗号化による証明書を使用したクライアントシステムの一覧をエクスポートします。 
    # spacewalk-report system-md5-certificates > system-md5-certificates.csv
  2. spacewalk-fips-tool を使って組織内のシステム更新をスケジュールします。このプロセスは、使用中の Satellite 環境内の各組織で繰り返す必要があります。ID が 1 の組織でまず以下のコマンドを実行します。 
    # ORG_ID=1
# for system in $(awk -F, "NR>1 { if (\$3 == $ORG_ID) print \$1 }" system-md5-certificates.csv); do systems="$systems $system"; done
# spacewalk-fips-tool -i -u admin -d "2014-12-01 14:00:00" -o /tmp/scheduled-installations.csv $systems
    上記のコマンドで、証明書の更新に必要となるパッケージのインストールが 2014 年 12 月 1 日 午後 2 時にスケジュールされました。
    次に各クライアントで rhn_check -v を実行するか、または osad がイベントをピックアップするまで待機します。
    最後に spacewalk-fips-tool を再度実行して証明書の更新をスケジュールします。 
    # ORG_ID=1
# for system in $(awk -F, "NR>1 { if (\$3 == $ORG_ID) print \$1 }" system-md5-certificates.csv); do systems="$systems $system"; done
# spacewalk-fips-tool -c -u admin -d "2014-12-01 14:00:00" -o /tmp/scheduled-installations.csv $systems
  3. 各組織の ID を使用してこのプロセスを繰り返します。
パスワードとクライアント証明書が更新されたら、Satellite サーバーのオペレーティングシステム上で FIPS 140-2 を有効にします。

10.3.2. 冗長 Java バージョンの削除

Satellite アップグレードプロセスには、Java runtime を含むいくつかの要件が含まれます。以前の Java runtime バージョンはインストールされたままとなり余分になります。これらのバージョンが占めるディスク領域を解放する場合は、これらのパッケージを削除します。
たとえば、Satellite 5.6 からアップグレードされた Satellite 5.8 インストールで、以下の Java runtime パッケージを削除できます。 
# yum remove java-1.6.0-ibm java-1.7.1-ibm