Planification du déploiement du Client pour les serveurs Linux et UNIX

 

S'applique à: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notes

Les informations de cette rubrique s'appliquent seulement à System Center 2012 Configuration Manager SP1 ou ultérieur, et à System Center 2012 R2 Configuration Manager ou ultérieur.

Utilisez les informations dans les sections suivantes pour vous aider à planifier, déployer le Configuration Manager client pour Linux et UNIX.

  • Conditions préalables pour le déploiement du Client pour les serveurs Linux et UNIX

    • Dépendances externes à Configuration Manager :
  • Planification des communications entre les forêts approbations pour les serveurs Linux et UNIX

    • Emplacement du service par le client pour Linux et UNIX
  • Planification de la sécurité et les certificats pour les serveurs Linux et UNIX

    • À propos des certificats pour une utilisation par les serveurs Linux et UNIX

    • Configuration des certificats pour les serveurs Linux et UNIX

  • Sur Linux et les systèmes d'exploitation UNIX que ne faire pas prise en charge SHA-256

Planification du déploiement du Client pour les serveurs Linux et UNIX

Avant de déployer le Configuration Manager client pour Linux et UNIX, passez en revue les informations contenues dans cette section pour vous aider à planifier un déploiement réussi.

Conditions préalables pour le déploiement du Client pour les serveurs Linux et UNIX

Utilisez les informations suivantes pour déterminer les conditions préalables pour que doivent avoir mis en place installer le client pour Linux et UNIX.

Dépendances externes à Configuration Manager :

Les tableaux suivants décrivent les systèmes d'exploitation UNIX et Linux requis et les dépendances des packages.

Red Hat Enterprise Linux ES version 4

Package requis

Description

Version minimale

glibc

Bibliothèques standards C

2.3.4-2

Openssl

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

0.9.7a-43.1

PAM

Modules d'authentification enfichables

0.77-65.1

Serveur Red Hat Enterprise Linux 5.1 (Tikanga)

Package requis

Description

Version minimale

glibc

Bibliothèques standards C

2.5-12

Openssl

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

0.9.8b-8.3.el5

PAM

Modules d'authentification enfichables

0.99.6.2-3.14.el5

Serveur Red Hat Enterprise Linux 6

Package requis

Description

Version minimale

glibc

Bibliothèques standards C

2.12-1.7

Openssl

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

1.0.0-4

PAM

Modules d'authentification enfichables

1.1.1-4

Solaris 9 SPARC

Package requis

Description

Version minimale

Correctifs du système d'exploitation requis

Fuites de mémoire PAM

112960-48

SUNWlibC

Compilateurs Sun Workshop fournis en standard libC (sparc)

5.9,REV=2002.03.18

SUNWlibms

Forte développeur regroupée partagé libm (sparc)

5.9,REV=2001.12.10

OpenSSL

SMCosslg (sparc)

Sun ne fournit pas de version d'OpenSSL pour Solaris 9 SPARC.Une version est disponible sur Sunfreeware.

0.9.7g

PAM

Modules d'authentification enfichables

SUNWcsl, Solaris Core, (partagé Libs) (sparc)

11.9.0,REV=2002.04.06.15.27

Solaris 10 SPARC

Package requis

Description

Version minimale

Correctifs du système d'exploitation requis

Fuites de mémoire PAM

117463-05

SUNWlibC

Compilateurs Sun Workshop fournis en standard libC (sparc)

5.10, REV=2004.12.22

SUNWlibms

Maths et bibliothèques Microtasking (Usr) (sparc)

5.10, REV=2004.11.23

SUNWlibmsr

Maths et bibliothèques Microtasking (Root) (sparc)

5.10, REV=2004.11.23

SUNWcslr

Bibliothèques Core Solaris (Root) (sparc)

11.10.0, REV=2005.01.21.15.53

SUNWcsl

Bibliothèques Core Solaris (Root) (sparc)

11.10.0, REV=2005.01.21.15.53

OpenSSL

SUNopenssl-libraries (Usr)

Sun fournit les bibliothèques OpenSSL pour Solaris 10 SPARC.Elles sont fournies avec le système d'exploitation.

11.10.0,REV=2005.01.21.15.53

PAM

Modules d'authentification enfichables

SUNWcsr, Core Solaris, (Root) (sparc)

11.10.0, REV=2005.01.21.15.53

Solaris 10 x86

Package requis

Description

Version minimale

Correctifs du système d'exploitation requis

Fuites de mémoire PAM

117464-04

SUNWlibC

LibC regroupés de compilateurs Sun atelier (i386)

5.10,REV=2004.12.20

SUNWlibmsr

Maths et bibliothèques Microtasking (Root) (i386)

5.10, REV=2004.12.18

SUNWcsl

Solaris, (et les bibliothèques partagées) de base (i386)

11.10.0,REV=2005.01.21.16.34

SUNWcslr

Bibliothèques de Solaris principales (racine) (i386)

11.10.0, REV=2005.01.21.16.34

OpenSSL

Bibliothèques SUNWopenssl ; Bibliothèques OpenSSL (Usr) (i386)

11.10.0, REV=2005.01.21.16.34

PAM

Modules d'authentification enfichables

Installation principale, Solaris, (Root)(i386)

11.10.0,REV=2005.01.21.16.34

Solaris 11 SPARC

Package requis

Description

Version minimale

SUNWlibC

Sun Workshop Compilers Bundled libC

5.11, REV=2011.04.11

SUNWlibmsr

Bibliothèques Math & Microtasking (Root)

5.11, REV=2011.04.11

SUNWcslr

Core Solaris Libraries (Root)

11.11, REV=2009.11.11

SUNWcsl

Core Solaris, (Shared Libs)

11.11, REV=2009.11.11

SUNWcsr

Core Solaris, (Root)

11.11, REV=2009.11.11

SUNWopenssl-libraries

Bibliothèques OpenSSL (Usr)

11.11.0,REV=2010.05.25.01.00

Solaris 11 x86

Package requis

Description

Version minimale

SUNWlibC

Sun Workshop Compilers Bundled libC

5.11, REV=2011.04.11

SUNWlibmsr

Bibliothèques Math & Microtasking (Root)

5.11, REV=2011.04.11

SUNWcslr

Core Solaris Libraries (Root)

11.11, REV=2009.11.11

SUNWcsl

Core Solaris, (Shared Libs)

11.11, REV=2009.11.11

SUNWcsr

Core Solaris, (Root)

11.11, REV=2009.11.11

SUNWopenssl-libraries

Bibliothèques OpenSSL (Usr)

11.11.0,REV=2010.05.25.01.00

SUSE Linux Enterprise Server 9 (i586)

Package requis

Description

Version minimale

Service Pack 4

SUSE Linux Enterprise Server 9

Système d'exploitation Patch lib gcc-41.rpm

Bibliothèque standard partagée

41-4.1.2_20070115-0.6

Système d'exploitation Patch lib stdc++-41.rpm

Bibliothèque standard partagée

41-4.1.2_20070115-0.6

Openssl

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

0.9.7d-15.35

PAM

Modules d'authentification enfichables

0.77-221-11

SUSE Linux Enterprise Server 10 SP1 (i586)

Package requis

Description

Version minimale

glibc-2,4-31,30

Bibliothèque standard partagée C

2.4-31.30

OpenSSL

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

0.9.8a-18.15

PAM

Modules d'authentification enfichables

0.99.6.3-28.8

SUSE Linux Enterprise Server 11 (i586)

Package requis

Description

Version minimale

glibc-2.9-13.2

Bibliothèque standard partagée C

2.9-13.2

PAM

Modules d'authentification enfichables

pam-1.0.2-20.1

Universal Linux (Debian package) Debian, Ubuntu Server

Package requis

Description

Version minimale

libc6

Bibliothèque standard partagée C

2.3.6

OpenSSL

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

0.9.8 ou 1.0

PAM

Modules d'authentification enfichables

0.79-3

Universal Linux (RPM package) CentOS, Oracle Linux

Package requis

Description

Version minimale

glibc

Bibliothèque standard partagée C

2.5-12

OpenSSL

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

0.9.8 ou 1.0

PAM

Modules d'authentification enfichables

0.99.6.2-3.14

IBM AIX 5L 5.3

Package requis

Description

Version minimale

Version du système d'exploitation

Version du système d'exploitation

AIX 5.3, technologie niveau 6, Service Pack 5

xlC.rte

XL C/C++ Runtime

9.0.0.2

openssl.base

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

0.9.8.4

IBM AIX 6.1

Package requis

Description

Version minimale

Version du système d'exploitation

Version du système d'exploitation

AIX 6.1, technologie de tout niveau et tout Service Pack

xlC.rte

XL C/C++ Runtime

9.0.0.5

OpenSSL/openssl.base

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

0.9.8.4

IBM AIX 7.1 (Power)

Package requis

Description

Version minimale

Version du système d'exploitation

Version du système d'exploitation

AIX 7.1, technologie de tout niveau et tout Service Pack

xlC.rte

XL C/C++ Runtime

OpenSSL/openssl.base

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

HP-UX 11i v2 IA 64

Package requis

Description

Version minimale

HPUXBaseOS

Système d'exploitation de base

B.11.23

HPUXBaseAux

HP-UX Base OS Auxiliary

B.11.23.0706

HPUXBaseAux.openssl

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

A.00.09.07l.003

PAM

Modules d'authentification enfichables

Sous HP-UX, PAM fait partie des composants centraux du système d’exploitation.Il n’y a pas d’autre dépendance.

HP-UX 11i v2 PA-RISC

Package requis

Description

Version minimale

HPUX11i-OE

HP-UX Foundation Operating Environment

B.11.23.0706

OS-Core.MinimumRuntime.CORE-SHLIBS

Bibliothèques d'outils de développement compatibles

B.11.23

HPUXBaseAux

HP-UX Base OS Auxiliary

B.11.23.0706

HPUXBaseAux.openssl

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

A.00.09.071.003

PAM

Modules d'authentification enfichables

Sous HP-UX, PAM fait partie des composants centraux du système d’exploitation.Il n’y a pas d’autre dépendance.

HP-UX 11i v3 PA-RISC

Package requis

Description

Version minimale

HPUX11i-OE

HP-UX Foundation Operating Environment

B.11.31.0709

OS-Core.MinimumRuntime.CORE2-SHLIBS

Bibliothèques spécifiques de l'émulateur IA

B.11.31

openssl/Openssl.openssl

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

A.00.09.08d.002

PAM

Modules d'authentification enfichables

Sous HP-UX, PAM fait partie des composants centraux du système d’exploitation.Il n’y a pas d’autre dépendance.

HP-UX 11i v3 IA64

Package requis

Description

Version minimale

HPUX11i-OE

HP-UX Foundation Operating Environment

B.11.31.0709

OS-Core.MinimumRuntime.CORE-SHLIBS

Bibliothèques spécifiques de développement IA

B.11.31

SysMgmtMin

Outils minimum de déploiement logiciel

B.11.31.0709

SysMgmtMin.openssl

Bibliothèque OpenSSL, protocole de communication réseau sécurisé

A.00.09.08d.002

PAM

Modules d'authentification enfichables

Sous HP-UX, PAM fait partie des composants centraux du système d’exploitation.Il n’y a pas d’autre dépendance.

Configuration Manager Dépendances : Le tableau suivant répertorie les rôles de système de site qui prennent en charge des clients Linux et UNIX.Pour plus d'informations sur ces rôles de système de site, consultez Déterminer les rôles de système de site pour le déploiement du client dans Configuration Manager.

Système de site Configuration Manager

Plus d'informations

Point de gestion

Bien qu'un point de gestion n'est pas requis pour installer un Configuration Manager client pour Linux et UNIX, vous devez disposer un point de gestion pour transférer des informations entre les ordinateurs clients et Configuration Manager serveurs.Sans point de gestion, vous ne pouvez pas gérer les ordinateurs clients.

Point de distribution

Le point de distribution n'est pas requis pour installer un Configuration Manager client pour Linux et UNIX.Toutefois, le rôle de système de site est requis si vous déployez des logiciels sur des serveurs Linux et UNIX.

Étant donné que le Configuration Manager client pour Linux et UNIX ne prend pas en charge les communications SMB, les points de distribution que vous utilisez avec le client doivent prendre en charge la communication HTTP ou HTTPS.

Point d'état de secours

Notes

À partir de la mise à jour cumulative 1, le Configuration Manager client pour Linux et UNIX prend en charge l'utilisation de points d'état de secours.

Le point d'état de secours n'est pas requis pour installer un Configuration Manager client pour Linux et UNIX.Toutefois, le point d'état de secours permet aux ordinateurs dans le Configuration Manager site pour envoyer des messages d'état lorsqu'ils ne peuvent pas communiquer avec un point de gestion.Client peut également envoyer leur état d'installation pour le point d'état de secours.

Pare-feu exigences: Assurez-vous que les pare-feu ne bloquent pas les communications sur les ports que vous spécifiez en tant que ports de demande client.Le client pour Linux et UNIX communique directement avec les points de gestion, les points de distribution et les points d'état de secours.

Pour plus d'informations sur les ports de communication et de la demande du client, consultez la Configurer les Ports de requêtes pour le Client pour Linux et UNIX section dans le Comment installer des Clients sur Linux et les ordinateurs UNIX dans Configuration Manager rubrique.

Planification des communications entre les forêts approbations pour les serveurs Linux et UNIX

Serveurs Linux et UNIX, vous gérez avec Configuration Manager fonctionnent comme des clients de groupe de travail et nécessitent des configurations similaires en tant que clients basés sur Windows qui se trouvent dans un groupe de travail.Pour plus d'informations sur les communications à partir d'ordinateurs qui se trouvent dans des groupes de travail, consultez la Planification des communications dans les forêts de Configuration Manager section dans le Planification de communications dans Configuration Manager rubrique.

Emplacement du service par le client pour Linux et UNIX

La tâche de recherche d'un serveur de système de site qui fournit le service aux clients est appelée emplacement de service.Contrairement à un client fonctionnant sous Windows, le client pour Linux et UNIX n'utilise pas Active Directory pour l'emplacement de service.En outre, le Configuration Manager client pour Linux et UNIX ne prend pas en charge une propriété client qui spécifie le suffixe du domaine d'un point de gestion.Au lieu de cela, le client a eu connaissance des serveurs de système de site supplémentaires qui fournissent des services aux clients à partir d'un point de gestion connu que vous affectez lorsque vous installez le logiciel client.

Pour plus d'informations sur l'emplacement du service, consultez la Emplacement du service et façon dont les clients déterminent leur point de gestion attribué section dans le Planification de communications dans Configuration Manager rubrique.

Planification de la sécurité et les certificats pour les serveurs Linux et UNIX

Pour des communications sécurisées et authentifiées avec Configuration Manager sites, le Configuration Manager client pour Linux et UNIX utilise le même modèle de communication comme le Configuration Manager client pour Windows.

Lorsque vous installez le client Linux et UNIX, vous pouvez attribuer le client un certificat PKI qui lui permet d'utiliser HTTPS pour communiquer avec Configuration Manager sites.Si vous n'affectez pas un certificat PKI, le client crée un certificat auto-signé et communique uniquement par HTTP.

Les clients qui sont fournis un certificat PKI lorsqu'ils installent utilisent HTTPS pour communiquer avec les points de gestion.Lorsqu'un client est impossible de trouver un point de gestion qui prend en charge le protocole HTTPS, il revient pour utiliser HTTP avec le certificat PKI fourni.

Lorsqu'un client Linux ou UNIX utilise un certificat PKI vous n'êtes pas obligé de les approuver.Lorsqu'un client utilise un certificat auto-signé, passez en revue les paramètres de la hiérarchie pour l'approbation du client dans le Configuration Manager console.Si la méthode d'approbation du client n'est pas Approuver automatiquement tous les ordinateurs (non recommandés), vous devez approuver manuellement le client.

Pour plus d'informations sur comment approuver manuellement le client, consultez la Gestion des clients à partir du nœud Périphériques section dans le Comment gérer des clients dans Configuration Manager rubrique.

Pour plus d'informations sur l'utilisation des certificats dans Configuration Manager, consultez Configuration requise des certificats PKI pour Configuration Manager.

À propos des certificats pour une utilisation par les serveurs Linux et UNIX

Le Configuration Manager client pour Linux et UNIX utilise un certificat auto-signé ou un certificat X.509 PKI comme les clients Windows.Aucune modification à la configuration PKI requise pour Configuration Manager systèmes de site lorsque vous gérez des clients Linux et UNIX.

Les certificats que vous utilisez pour les clients Linux et UNIX qui communiquent avec Configuration Manager les systèmes de site doivent être dans un format Public Key Certificate Standard (PKCS #12) et le mot de passe doit être connu, vous pouvez le spécifier pour le client lorsque vous spécifiez le certificat PKI.

Le Configuration Manager client pour Linux et UNIX prend en charge un seul certificat PKI et ne prend pas en charge plusieurs certificats.Par conséquent, les critères de sélection de certificat que vous configurez pour un Configuration Manager site ne s'applique pas.

Configuration des certificats pour les serveurs Linux et UNIX

Pour configurer un Configuration Manager client pour les serveurs Linux et UNIX pour utiliser les communications HTTPS, vous devez configurer le client pour utiliser un certificat PKI au moment où vous installez le client.Vous ne pouvez pas configurer un certificat avant l'installation du logiciel client.

Lorsque vous installez un client qui utilise un certificat PKI, vous utilisez le paramètre de ligne de commande - /usepkicert pour spécifier l'emplacement et le nom d'un fichier PKCS #12 qui contient le certificat PKI.En outre, vous devez utiliser le paramètre de ligne de commande - certpw pour spécifier le mot de passe du certificat.

Si vous ne spécifiez pas - /usepkicert, le client génère un certificat auto-signé et tente de communiquer avec les serveurs de système de site via le protocole HTTP uniquement.

Sur Linux et les systèmes d'exploitation UNIX que ne faire pas prise en charge SHA-256

Les systèmes de d'exploitation Linux et UNIX suivants sont pris en charge comme clients pour Configuration Manager ont été publiées dans les versions d'OpenSSL qui ne prennent pas en charge SHA-256 :

  • Red Hat Enterprise Linux Version 4 (x 86/x 64)

  • Solaris Version 9 (SPARC) et Solaris 10 (SPARC/x 86)

  • SUSE Linux Enterprise Server Version 9 (x 86)

  • Version de HP-UX 11iv2 (PA-RÎCH/IA64)

Pour gérer ces systèmes d'exploitation avec Configuration Manager, vous devez installer le Configuration Manager client pour Linux et UNIX avec un commutateur de ligne de commande qui demande au client d'ignorer la validation de l'algorithme SHA-256.Configuration Manager les clients qui s'exécutent sur ces versions de système d'exploitation fonctionnent en mode moins sécurisé que les clients qui prennent en charge SHA-256.Ce mode de fonctionnement moins sécurisé a le comportement suivant :

  • Les clients ne valident pas la signature de serveur de site associée qu'ils demandent à partir d'un point de gestion de stratégie.

  • Les clients ne valident pas le hachage des packages qu'ils téléchargent à partir d'un point de distribution.

System_CAPS_security Sécurité Remarque

Le ignoreSHA256validation option permet d'exécuter le client pour les ordinateurs Linux et UNIX en mode moins sécurisé.Cela est voulu pour une utilisation sur des plates-formes plus anciennes qui n'inclut pas de prise en charge de l'algorithme SHA-256.Ceci est un remplacement de la sécurité et n'est pas recommandé par Microsoft, mais est pris en charge pour une utilisation dans un environnement de centre de données sécurisé et fiable.

Lorsque le Configuration Manager installe le client pour Linux et UNIX, le script d'installation vérifie la version du système d'exploitation.Par défaut, si la version du système d'exploitation est identifiée comme ayant publié sans version d'OpenSSL prenant en charge SHA-256, l'installation de le Configuration Manager client échoue.

Pour installer le Configuration Manager client sous Linux et UNIX qui ne prenait pas avec une version d'OpenSSL prenant en charge SHA-256, vous devez utiliser le commutateur de ligne de commande d'installation ignoreSHA256validation.Lorsque vous utilisez cette option de ligne de commande sur un système de d'exploitation Linux ou UNIX applicable, le Configuration Manager client ignorera la validation de l'algorithme SHA-256 et après l'installation, le client n'utilise pas de SHA-256 pour signer les données qu'il envoie aux systèmes de site à l'aide de HTTP.Pour plus d'informations sur la configuration des clients Linux et UNIX pour utiliser les certificats, consultez Planification de la sécurité et les certificats pour les serveurs Linux et UNIX dans cette rubrique.Pour plus d'informations sur exiger SHA-256, consultez la Configurer la signature et le chiffrement section dans le Configuration de la sécurité pour Configuration Manager rubrique.

Notes

L'option de ligne de commande ignoreSHA256validation est ignorée sur les ordinateurs qui exécutent une version de Linux et UNIX publié avec les versions d'OpenSSL qui prennent en charge SHA-256.