Развертывание OCS Inventory Удаленная установка через OCS Агентов

Open Computers and Software Inventory
Открыть инвентарь компьютеров и программного обеспечения
- решение для управления активами
Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 238
Зарегистрирован: Вс фев 17, 2019 17:47
Репутация: 4
Откуда: Вологодская область
Контактная информация:

Развертывание OCS Inventory Удаленная установка через OCS Агентов

Сообщение Артём Мамзиков » Пт янв 10, 2020 09:16 #1

Развертывание пакетов или выполнение команд на клиентских хостах. Установка программ утилит Запускается через Сервер OCS и выполняется через OCS Агента на удаленных хостах, может быть как тихая установка так и запросами.

В документации написано Развертывание и сбор данных snmp работает только на https SSL но у меня развертывание на агента работает и по http (кроме клиента там просит по логам серт)

Установка или Выполнение будет выполнятся через установленных Агентов или Клиентов на удаленных ПК Хостах

OCS Inventory NG включает функцию развертывания пакетов для клиентских компьютеров. С центрального сервера управления вы можете загружать пакеты, которые будут загружаться через HTTP / HTTPS и выполняться агентом на клиентском компьютере.

Пример Выполняем Вход в OCS Inventory Далее Развертывание Собрать
Открывается форма Изготовление пакетов
Имя autoinstall-windows-ocsagent
Описание autoinstall-windows-ocsagent
Операционная система Windows
Протокол HTTP
Приоритет 1
Файл (помещаемый на клиентский компьютер) auto-install-windows-ocsagent.zip
Скачать autoinstall-windows-ocsagent
Более подробно об скриптах писал тут OCS NG Windows Agent
Архив autoinstall-windows-ocsagent.zip.jpg
Архив autoinstall-windows-ocsagent.zip
Архив открывается сразу без дополнительной папки на батник
Действие Выполнить
Команда install-ocs-agent.bat указываем наш батник в архиве
Содержимое батника install-ocs-agent.bat
Показать
@ECHO OFF
mode con:cols=130 lines=40
color 1A
:: Автор Мамзиков Артём Андреевич
:: V 1.0 2019.12.27
chcp 1251 >NUL
TITLE Установка OCS Agent
@cls
@echo off
chcp 1251 >NUL
:: Определение IP DNS от Прокси в кодировке dos cp866 DNS-серверы (бҐаўҐал) и содержание в строке .5
for /f "tokens=2 delims=:(" %%d in ('ipconfig /all^|FIND /I "DNS-"^|FIND /I ".5"') do set IPDNS=%%d
set Server=http://%IPDNS: =%:3455/ocsinventory

::Запрос Инвентарного номера
::set /P inventar=Введите Инвентарный Номер вашего ПК и нажмите Enter!:
::set tag=%inventar%

:: Определение версию Windows
::For /f "tokens=4" %%a in ('reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v ProductName^|FIND /I "Windows"') do (
For /f "tokens=4,5" %%a in ('reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v ProductName^|FIND /I "ProductName"') do (
if /i %%b==XP (goto :WindowsXP) else (if /i %%a==Vista (goto :WindowsVista) else if /i %%a==7 (goto :Windows7) else if /i %%a==8 (goto :Windows8) else if /i %%a==8.1 (goto :Windows8.1) else if /i %%a==10 (goto :Windows10) else (goto :end)))

:WindowsXP
::Определяем разрядность и откуда запущен батник путь %~dp0 и запускаем тихую установку с параметрами
Set xOS=x64
If "%PROCESSOR_ARCHITECTURE%"=="x86" If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
If %xOS%==x86 (start "" "%~dp0OCSNG-Windows-Agent-2.1.1.1-xp-2003r2\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1) Else (start "" "%~dp0OCSNG-Windows-Agent-2.1.1.1-xp-2003r2\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1)
goto :end

:WindowsVista
::Определяем разрядность и откуда запущен батник путь %~dp0 и запускаем тихую установку с параметрами
Set xOS=x64
If "%PROCESSOR_ARCHITECTURE%"=="x86" If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
If %xOS%==x86 (start "" "%~dp0OCSNG-Windows-Agent-2.4.0.0\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1) Else (start "" "%~dp0OCS-Windows-Agent-2.6.0.0\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1)
goto :end

:Windows7
::Определяем разрядность и откуда запущен батник путь %~dp0 и запускаем тихую установку с параметрами
Set xOS=x64
If "%PROCESSOR_ARCHITECTURE%"=="x86" If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
If %xOS%==x86 (start "" "%~dp0OCSNG-Windows-Agent-2.4.0.0\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1) Else (start "" "%~dp0OCS-Windows-Agent-2.6.0.0\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1)
goto :end

:Windows8
::Определяем разрядность и откуда запущен батник путь %~dp0 и запускаем тихую установку с параметрами
Set xOS=x64
If "%PROCESSOR_ARCHITECTURE%"=="x86" If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
If %xOS%==x86 (start "" "%~dp0OCSNG-Windows-Agent-2.4.0.0\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1) Else (start "" "%~dp0OCS-Windows-Agent-2.6.0.0\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1)
goto :end

:Windows8.1
::Определяем разрядность и откуда запущен батник путь %~dp0 и запускаем тихую установку с параметрами
Set xOS=x64
If "%PROCESSOR_ARCHITECTURE%"=="x86" If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
If %xOS%==x86 (start "" "%~dp0OCSNG-Windows-Agent-2.4.0.0\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1) Else (start "" "%~dp0OCS-Windows-Agent-2.6.0.0O\CS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1)
goto :end

:Windows10
::Определяем разрядность и откуда запущен батник путь %~dp0 и запускаем тихую установку с параметрами
Set xOS=x64
If "%PROCESSOR_ARCHITECTURE%"=="x86" If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
If %xOS%==x86 (start "" "%~dp0OCSNG-Windows-Agent-2.4.0.0\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1) Else (start "" "%~dp0OCS-Windows-Agent-2.6.0.0\OCS-NG-Windows-Agent-Setup.exe" /S /NOSPLASH /NOW /SSL=0 /SERVER=%Server% /DEBUG=1)
goto :end

:end

::Для XP Клиент Client 4061 и Agent-2.1.1.1
::Для Vista - 10 Агент 2.4.0.0 32 бит
::Для 64 bit Vista - 10 Агент 2.6.0.0
Что делает батник определяет версию Windows определяет разрядность исходя из этого ставить нужную версию агента
из реестра берет адрес DNS в моем случае прокси так же прописан порт для ocs сервера
Прописаны параметры тихой установки

Сервера развертывания
Использовать на этом пакете развертывания NO
Оповещение пользователя
Предупреждение пользователя NO
Установка с участием пользователя NO

Нажимаем Отправить
Развертывание-Собрать-Изготовление пакетов.jpg
Развертывание-Собрать-Изготовление пакетов
Дальше покажет общий размер нашего архива, если архив большого размера можно,его разбить на части указав количество фрагментов в дальнейшем он будет загружаться на удаленный Хост фрагментами указанными нами.
Размер фрагмента (не менее 1КБ) 14655
Фрагментов 1
Estimated time for deploy
Изготовитель пакетов auto-install-windows-ocsagent.jpg
Изготовитель пакетов auto-install-windows-ocsagent
Жмем Отправить

Получаем сообщение
Ваш пакет был успешно собан в директории /var/lib/ocsinventory-reports/download/1578633343
Успешно собран пакет auto-install-windows-ocsagent.jpg
Успешно собран пакет auto-install-windows-ocsagent
Пример с проигрывателем VLC
Все аналогично способу выше
Изготовитель пакетов vlc-3.0.8.jpg
Изготовитель пакетов vlc-3.0.8
Команда vlc-3.0.8-win64.exe /S
Содержимое архива
Изготовитель пакетов vlc.zip.jpg
Изготовитель пакетов vlc.zip
Нажимаем 2 раза отправить
Ваш пакет был успешно собан в директории /var/lib/ocsinventory-reports/download/1578577254 vlc

Можно проверить на сервере должно все появится /var/lib/ocsinventory-reports/download/

Переходим Развертывание - Активировать
Активация пакета
тут почему то у меня пакеты не отображаются делаем тогда так
Или активировать пакет вручную (вводим последние цифры аш пакет был успешно собран) 1578577254
OCS Активация пакета.jpg
OCS Активация пакета
Жмем отправить
Выбираем вручную жмем ОК
OCS Активация пакета вручную.jpg
OCS Активация пакета вручную
Пакет активирован и годен к распространению ОК
OCS Пакет активирован и годен к распространению.jpg
OCS Пакет активирован и годен к распространению
Повторяем тоже само для 2 пакета VLC

или можно следующей ссылкой подставив номер пакета
http://IP DNS /ocsreports/index.php?function=tele_popup_active&head=1&active=1578577254

После чего должно быть доступны по ссылке наши пакет
http://IP-Сервера или DNS/download/1578633343/
http://IP-Сервера или DNS/download/1578633343/info
OCS Download.jpg
OCS Download
Если не доступно пробуем дать права
chmod 775 /var/lib/ocsinventory-reports/download
После проверяем если нет пробуем еще следующее
nano /etc/apache2/conf-available/ocsinventory-reports.conf
Ищем блок <Directory "/var/lib/ocsinventory-reports/download">
Добавить строку
Options Indexes FollowSymLinks MultiViews
ocsinventory-reports.conf.jpg
ocsinventory-reports.conf
После чего перезапускаем апач
service apache2 restart

И снова проверяем должно все отобразится

Идем дальше
По идее в Группах у нас должна сама создаться группа ГРУППА РАЗВЕРТЫВАНИЯ у меня там пусто
Нужно создать группы разобрался чуть позже Как создать группы я написал тут

Далее Настройка - Развертывание произвести настройки они буду по умолчанию для всех В конкретном узле можно вручную изменить их индивидуально если необходимо
OCS Общие настройки Развертивания.jpg
OCS Общие настройки Развертывания
Установка Развертывание на конкретном Узле
Все Компьютеры - выбираем наш испытуемый ПК
Развертывание - Добавить пакет
OCS добавить пакет к узлу.jpg
OCS добавить пакет к узлу
Use the advanced options of teledeploy выбираем ДА Жмем Проверить
Выбираем наши Активированные пакеты для установки
OCS Пакеты на компьютерах.jpg
OCS Пакеты на компьютерах
Жмём Добавить выбранные пакеты

Далее по идее он спрашивает время установки (мне не дало выставить)
Действие Оставляем пустым
Teledeploy force на ваше усмотрение
Жмем ОК
OCS Пакеты на компьютерах 2.jpg
OCS Пакеты на компьютерах 2
Выйдет
1 компьютер(ов) с успешным распространением

Жмем назад попадаем на наш ПК в раздел Развертывания
У нас появились наши АКТИВИРОВАННЫЕ ПАКЕТЫ
OCS Активированные пакеты 2.jpg
OCS Активированные пакеты 2
В разделе Активный статус будут разные статусы сперва сервер ждет когда агент подключится к серверу (можно вручную запустить агента на передачу данных о ПК) И он получит пакеты на установку
Вручную для ускорения теста
OCS Агент передача данных.jpg
OCS Агент передача данных
OCS Агент передача данных1.jpg
OCS Агент передача данных1
в моем случае он загружает из C:\ProgramData\OCS Inventory NG\Agent\Download
Тут же можно посмотреть Лог C:\ProgramData\OCS Inventory NG\Agent
Все происходит не так быстро будут меняться статусы
OCS Успешное развертывание.jpg
OCS Успешное развертывание
OCS Успешное развертывание2.jpg
OCS Успешное развертывание2
Настройки Развертывания для конкретного узла можно изменить
В Узле Настройка Изменить Развертывание (по умолчанию тут глобальные настройки)

Развертывание на несколько ПК Заходим все Компьютеры - выделяем нужные галочкой - жмем Развертывание
OCS развертывание на несколько ПК.jpg
OCS развертывание на несколько ПК
Все аналогично выбираем ручное
OCS развертывание на несколько ПК ручное.jpg
OCS развертывание на несколько ПК ручное
Так же можно создать группы вручную набрать нужные хосты в эту группу и прикрепить развертывание
Или же настроить автоматическое создание групп например по виду ОС или разрядности и после сделать нужные пакеты для установки на них

Официальная инструкция по развертыванию
Последний раз редактировалось Артём Мамзиков Чт янв 23, 2020 15:03, всего редактировалось 3 раза.

Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 238
Зарегистрирован: Вс фев 17, 2019 17:47
Репутация: 4
Откуда: Вологодская область
Контактная информация:

Развертывание OCS Inventory

Сообщение Артём Мамзиков » Пт янв 10, 2020 11:48 #2

С официально сайта
Документы » 05.Занятость »
Развертывание пакетов или выполнение команд на клиентских хостах
Развертывание пакетов или выполнение команд на клиентских хостах

OCS Inventory NG включает функцию развертывания пакетов для клиентских компьютеров. С центрального сервера управления вы можете загружать пакеты, которые будут загружаться через HTTP / HTTPS и выполняться агентом на клиентском компьютере.

Примечание. Эта функция была протестирована только с агентом OCS Inventory NG Agent для Windows.
Поскольку для установки программного обеспечения требуются права администратора, агент запускается через логин
Сценарий или ярлык в меню «Пуск» под учетной записью пользователя могут не запустить установку программного обеспечения.
Кроме того, фоновая загрузка пакета может занять много времени и может заблокировать сценарий входа.
Поэтому мы не рекомендуем использовать функцию развертывания пакетов при использовании инвентаризации сценариев входа.


Как это работает?
Пакет состоит из 4 основных компонентов:
  • Приоритет
    Действие
    Файл ZIP или TAR.GZ, включая сколько файлов и каталогов вы хотите
    Команда для запуска
Примечание: в случае, если действие установлено на «выполнить», вам не нужно загружать файл.

Существует 11 уровней приоритета , начиная с уровня 0 до 10. Уровень 0 - самый высокий приоритет, а уровень 10 - самый низкий. Пакет с уровнем приоритета 0 будет развернут перед пакетом с приоритетом 1. Пакет с уровнем приоритета 1 будет развернут перед пакетом с приоритетом 2…

Действие связано с файлом для развертывания и командой для запуска
. Это может быть одна из следующих трех команд:

Действие Запуск : развернуть файл ZIP или TAR.GZ и запустить с параметрами или без параметров исполняемый файл, включенный в файл ZIP или TAR.GZ. Файл ZIP или TAR.GZ будет распакован во временный каталог, и соответствующая команда (имя исполняемого файла без пути!) Будет запущена во этот временный каталог. Это действие позволяет получить код результата запущенной команды.

Действие Выполнить : чтобы дополнительно развернуть файл ZIP или TAR.GZ и запустить, с параметрами или без параметров, исполняемый файл, включенный или не включенный в необязательный файл ZIP или TAR.GZ. Если исполняемый файл не включен в файл ZIP или TAR.GZ, он должен быть уже установлен на клиентских компьютерах. Как правило, это может быть стандартная команда Windows, например, вызов установщика Windows (например, msiexec), RPM, DPKG или TAR.GZ в Linux. Файл ZIP или TAR.GZ будет распакован во временный каталог, и соответствующая команда (имя исполняемого файла с путем или параметрами, если необходимо) будет запущена во этот временный каталог. Это действие не позволяет получить код результата запущенной команды. Однако это действие позволяет запускать команду на клиентских компьютерах без развертывания какого-либо файла. Например, вы можете использовать его для запуска определенной команды конфигурации операционной системы.

Магазин действий : развернуть файл ZIP или TAR.GZ и хранить его содержимое только в папке на клиентских компьютерах. Нет команды, связанной с этим действием, только путь, чтобы указать, где хранить извлеченные файлы.

Примечание. Все пакеты, которые вы хотите развернуть, должны быть сжаты с помощью ZIP для агентов Windows и tar
GZIP для компьютеров Linux.


Если вы хотите создать свой собственный установщик, вы можете обратиться к Системе установщика NullSoft ( http://nsis.sourceforge.net ) или Inno Setup ( http://www.jrsoftware.org ). Эти инструменты являются установщиком GPL для Windows, способным создать один самораспаковывающийся установщик файлов.

Например, эта функция позволяет создавать ZIP-архив, включающий исполняемый файл Media Player Classic, подкаталог с некоторыми файлами MP3 и список воспроизведения для Media Player Classic, ссылаясь на эти MP3 в подкаталоге. Связанной командой будет вызов Media Player Classic с переключателем командной строки для запуска списка воспроизведения. Как только этот пакет будет загружен на клиентах Windows, пользователи запустят Media Player Classic и будут воспроизводить MP3 из списка воспроизведения. Красиво, не правда ли ;-)

Вы создаете свой пакет развертывания через консоль администрирования . Это автоматически описывается:

Ссылка в базе данных, используемая сервером связи, чтобы попросить агента загрузить пакет.
Информационный файл с именем «информация». Это XML-файл, описывающий пакет, и агент действия должен будет его запустить,
0 или более файлов фрагментов данных. Загружаемый файл (если он есть) будет разделен на небольшие части, чтобы агенты могли загружать их по частям, а затем легко возобновлять неудачную загрузку. Если загрузка фрагмента не удалась, снова будет загружен только этот фрагмент, а не весь пакет. Вы сможете выбрать размер фрагмента в соответствии с вашими сетевыми возможностями.

Примечание. По мере загрузки пакета через консоль администрирования вы можете настроить PHP
и Apache для загрузки больших файлов. См. § 11.2.4 Размер загрузок для развертывания пакета, чтобы знать
как настроить это.


Как только ваш пакет собран, вы должны активировать его . Активация указывает, с какого сервера (ов) будут загружены фрагменты пакета. Вам нужно указать https (ssl) URL для загрузки файла INFO и HTTP URL для загрузки фрагментов.

Наконец, вы должны выбрать, на каких компьютерах вы будете развертывать пакет.

Когда агент отправляет инвентаризацию на коммуникационный сервер, коммуникационный сервер сообщает агенту, должен ли он развернуть один или несколько пакетов, с указанием уровня приоритета каждого пакета и где он может найти информационные файлы.

Затем агент начинает период загрузки. Период состоит из циклов, определенных параметром конфигурации «DOWNLOAD_PERIOD_LENGTH». По умолчанию период содержит 10 циклов.

В каждом цикле агент вычисляет «номер цикла по модулю приоритета пакета». Если он равен 0, он загружает файл фрагмента вашего пакета. Агент загружает ТОЛЬКО ОДИН фрагмент одного пакета за цикл. Агент будет загружать другие фрагменты вашего пакета каждый раз, когда результат вычисления «номер цикла по модулю приоритета пакета» будет равен 0.

После каждого фрагмента агент будет ждать «DOWNLOAD_FRAG_LATENCY» (по умолчанию для параметра конфигурации установлено значение 10 секунд).

Когда все фрагменты цикла загружены, агент будет ждать «DOWNLOAD_CYCLE_LATENCY» (по умолчанию для параметра конфигурации задано значение 60 секунд), прежде чем начинать новый цикл и увеличивать номер цикла.

Например, если вы развертываете один пакет с приоритетом 5, агент приостанавливает действие «DOWNLOAD_CYCLE_LATENCY» для циклов 1–4, а затем начинает загрузку фрагмента вашего пакета, когда он начинает цикл 5.

Когда все фрагменты пакета будут загружены, агент запустит команду пакета в следующий раз, когда вычисление «номер цикла по модулю приоритета пакета» будет равно 0.

Когда все циклы периода обработаны, он ожидает «DOWNLOAD_PERIOD_LATENCY» (по умолчанию для параметра конфигурации установлено значение 0 секунд).

Если все пакеты были успешно загружены и установлены, он останавливается. Если нет, то начинается новый период циклов.

Предупреждение: уровень приоритета 0 - это особый уровень. Все пакеты с приоритетом 0 будут загружены
перед всеми другими пакетами с более высоким приоритетом в начале каждого цикла. Если загрузка не удалась,
Агент попытается загрузить ошибочные пакеты с приоритетом 0, не проверяя другие пакеты.
Так что это может полностью остановить развертывания.

ИСПОЛЬЗУЙТЕ ПРИОРИТЕТНЫЙ УРОВЕНЬ 0 С УХОДОМ!


Вы можете использовать эти настройки, чтобы настроить пропускную способность сети. Увеличивая параметры задержки, вы увеличите время загрузки фрагментов и сократите среднее использование сети.

Увеличив параметр длины периода, вы задержите новую загрузку фрагментов, потерявших значение, но также, уменьшив длину периода до значения ниже 10, вы можете остановить загрузку пакета с уровнем приоритета выше этого значения.

Влиять на пакеты с правами пользователя
Пользователь не может создавать пакеты самостоятельно. Им нужно использовать статическую группу (и видимую), созданную пользователями-администраторами.

Администратор создает статическую группу и устанавливает флажок «Видимый».
Администратор влияет на некоторые пакеты в этой статической группе (например, Firefox)
Пользователь может поместить свои машины в созданную группу
Упрощенная схема
OCS Развертывание упрощенная схема.png
OCS Развертывание упрощенная схема
Подробная схема
OCS Развертывание подробная схема.png
OCS Развертывание подробная схема
Требования
Сервер развертывания, на котором хранятся информационные файлы, должен иметь включенный SSL , поскольку загрузка файла с информацией о развертывании очень важна. Этот информационный файл содержит описание пакета и команду для запуска. Таким образом, если кто-то может узурпировать ваш сервер развертывания, он может запустить любую команду, какую захочет, на ваших компьютерах. Вот почему сервер развертывания должен использовать SSL, чтобы агенты могли аутентифицировать сервер и убедиться, что это настоящий сервер развертывания.

Агент должен иметь сертификат для проверки подлинности сервера развертывания. Этот сертификат должен храниться в файле с именем cacert.pem в папке агента OCS Inventory NG в Windows и в каталоге /etc/ocsinventory-client в Linux.

В Windows вы можете использовать OCS Inventory NG Packager (см. «Загрузка агента для развертывания через модуль запуска OcsLogon.exe.») Для создания установщика агента, который включает сертификат, или вы можете использовать следующий пример сценария входа в систему для копирования файла сертификата в папку агента (мы Предположим, что агент установлен в C:\Program Files\OCS Inventory Agent, а файл сертификата доступен в общей папке MYSHARE на сервере MYSERVER ).

@echo off
REM Check if CA file exists
if exist “%PROGRAMDATA%\OCS Inventory NG\Agent\cacert.pem” goto CA_END
REM CA file does not exists, install it
Copy \\MYSERVER\MYSHARE\cacert.pem “%PROGRAMDATA%\OCS Inventory NG\Agent\cacert.pem”
:CA_END

Если у вас есть инфраструктура открытых ключей , вы должны создать действительный сертификат сервера для сервера развертывания и скопировать файл сертификата авторизации в файл cacert.pem .

Если у вас нет инфраструктуры открытых ключей , вы можете использовать самозаверяющий сертификат для сервера развертывания и скопировать сертификат сервера в файл cacert.pem .

Обратитесь к § 8.8 Использование SSL-сертификатов в развертывании пакета для получения дополнительной информации.

Создание / сборка пакета

Предупреждение: Вы можете загружать ТОЛЬКО файлы .zip или .tar.gz.


Прежде всего, вы должны собрать свой пакет.

Наведите указатель мыши на меню « Развертывание» и выберите « Собрать» .
OCS Собрать.jpg
OCS Собрать
OCS Собрать.jpg (9.18 КБ) 1330 просмотров
Введите имя для вашей посылки.

Выберите операционную систему для этого пакета. Вы можете выбирать между Windows и Linux.

Выберите протокол загрузки для этого пакета. В настоящее время доступен только протокол HTTP.

Выберите приоритет для этого пакета. Пакет с меньшим приоритетом будет загружен перед пакетом с более высоким приоритетом, кроме случаев, когда загрузка не удалась (см. § 8.7 Статистика развертывания и проверка успешности.).

Вы можете предупредить пользователя о том, что что-то запускается на его компьютере. Установите для раскрывающегося списка Предупредить пользователя значение ДА , заполните текст, который будет отображаться для пользователя, как долго отображать его перед автоматическим запуском установки (установите 0, чтобы ждать неопределенно долго), и если пользователь может отменить развертывание или отложить его до следующей инвентаризации ,

Вы также можете указать, требуется ли для развертывания пакета взаимодействие с пользователем, установив раскрывающийся список. Для завершения установки необходимо действие пользователя на ДА , например, если для установки необходимо, чтобы пользователь завершил ввод информации в диалоговом окне. Обратите внимание, что это уведомление будет препятствовать тому, чтобы агент OCS сообщал серверу код завершения развертывания, пока пользователь не нажмет OK. Это также заблокирует все другие установки пакетов, которые могут быть ожидающими.

Примечание. Вы можете использовать HTML-теги (например, «<br/>», «<b> </ b>») для форматирования текста, который вы показываете своим пользователям.

Наконец, вы можете выбрать свое действие в раскрывающемся списке действий . Вот несколько примеров, описывающих, какой пакет вы можете собрать.
OCS Изготовитель пакетов.jpg
OCS Изготовитель пакетов
Развертывание пакета с помощью команды «Запуск»
Пакет, который вы хотите развернуть, содержит один или несколько файлов, по крайней мере, исполняемый файл для запуска установки пакета.

Сожмите файлы с помощью инструмента ZIP, если ваш пакет адресован компьютерам с Windows, или tar и gzip, если он относится к компьютерам с Linux.

Выберите действие Launch и нажмите кнопку Browse , чтобы выбрать файл ZIP или TAR.GZ.

В поле Command просто введите имя исполняемого файла без пути, но, при необходимости, с параметрами. Именно эта команда будет запущена на клиентских компьютерах после того, как пакет будет загружен и распакован во временный каталог.

В следующем примере мы развертываем новую версию агента OCS Inventory NG для Windows, используя автоматическую установку с файлом .bat:
OCS Сбор пакета.png
OCS Сбор пакета
Нажмите кнопку [Отправить] , чтобы загрузить пакет в консоль администрирования.

Развертывание пакета с помощью команды «Выполнить»
Вы хотите выполнить программу, которая уже находится на целевых компьютерах.

Пакет, который вы хотите развернуть, имеет дополнительно один или несколько файлов, а также, при желании, исполняемый файл для запуска установки пакета.

Сожмите файлы с помощью инструмента ZIP, если ваш пакет адресован компьютерам с Windows, или tar и gzip, если он относится к компьютерам с Linux.

Выберите действие « Выполнить» и нажмите кнопку « Обзор» , чтобы выбрать файл ZIP или TAR.GZ, или оставьте поле « Файл» пустым, если вы просто хотите выполнить команду на целевых компьютерах.

В поле Command просто введите путь к исполняемому файлу для запуска с параметрами (полный путь не требуется, поскольку исполняемый файл приложения указан в системном пути поиска или включен в пакет). Именно эта команда будет запущена на клиентском компьютере после загрузки пакета.

Примечание: переменные окружения раскрываются в «Команде». Это позволяет вам использовать такие вещи
как% SystemDrive%,% SystemRoot%,% windir%,% ProgramFiles%,% CommonProgramFiles% ... и т. д.


В следующем примере мы развертываем программное обеспечение, используя установку Windows без вывода сообщений. Наш ZIP-файл содержит только файл «software.msi», а поле «Command» содержит:
msiexec.exe /i software.msi /quiet
OCS Сбор пакета2.png
OCS Сбор пакета2
Нажмите кнопку [Отправить] , чтобы загрузить пакет в консоль администрирования.

Сохраняйте файлы с помощью команды «Store»
Пакет, который вы хотите развернуть, содержит один или несколько файлов, которые должны храниться в определенной папке на клиентских компьютерах.

Сожмите файлы с помощью инструмента ZIP, если ваш пакет адресован компьютерам с Windows, или tar и gzip, если он относится к компьютерам с Linux.

Выберите действие Store и нажмите кнопку « Обзор» , чтобы выбрать файл ZIP или TAR.GZ.

В поле Path просто введите путь, где агент будет хранить извлеченные файлы после загрузки пакета.

Примечание: переменные окружения раскрываются в «Команде». Это позволяет вам использовать такие вещи, как
% SystemDrive%,% SystemRoot%,% windir%,% ProgramFiles%,% CommonProgramFiles% ... и т. Д.


Если указанный путь к папке не существует, он будет рекурсивно создан.

В следующем примере мы развертываем файл для хранения в папке «C: \ My Folder»:
OCS Сбор пакета3.png
OCS Сбор пакета3
Нажмите кнопку [Отправить] , чтобы загрузить пакет в консоль администрирования.

Разделение вашего пакета на фрагменты
Затем вы должны указать размер фрагментов вашего пакета, чтобы позволить агентам загружать ваш пакет небольшими частями. Это позволит возобновить загрузку (т. Е. Если загрузка фрагмента не удалась, в этот раз будет загружен только этот фрагмент, а не весь пакет). Выберите размер фрагмента в соответствии с вашими сетевыми возможностями.
OCS Разделение вашего пакета на фрагменты.png
OCS Разделение вашего пакета на фрагменты
Консоль администрирования затем разделит ваш пакет на фрагменты и сохранит их в папке с именем метки времени пакета в каталоге загрузки вашего веб-сервера apache. Он также создаст в том же каталоге файл информации о пакете с именем info , XML-файл, описывающий пакет и агент действия, должен быть запущен.
OCS Загруженный пакет.png
OCS Загруженный пакет
Примечание. Если вы создали пакет без какого-либо файла ZIP или TAR.GZ (т. Е. С помощью команды «Выполнить»),
Консоль администрирования создает файл информации о пакете ** info ** только в папке пакета.
OCS Загруженный пакет2.png
OCS Загруженный пакет2
Редактирование пакета
После создания пакетов их всегда можно редактировать.
OCS Активировать пакет.jpg
OCS Активировать пакет
OCS Активировать пакет.jpg (9.72 КБ) 1326 просмотров
Наведите указатель мыши на меню «Развертывание» и выберите «Активировать». Здесь вы увидите все активированные пакеты.
OCS Активация пакетов.png
OCS Активация пакетов
Нажмите кнопку «Редактировать» в строке, соответствующей пакету, который вы хотите редактировать.
OCS Редактирование пакетов.png
OCS Редактирование пакетов
Вы можете редактировать всю информацию о вашем пакете, и вы можете скачать новый файл .zip. Нажмите на кнопку «Обновить», когда вы закончите редактирование.

Если вы скачали новый файл .zip, вы должны указать размер фрагментов пакета. Если нет, размер фрагментов остается прежним.

Активация пакета
После создания пакета вы должны указать, где агенты могут его скачать.

Агенты сначала загрузят файл информации о пакете. Поскольку этот файл очень важен, эта загрузка должна выполняться с использованием HTTP через SSL (HTTPS), чтобы агенты могли аутентифицировать сервер развертывания. Далее загрузка фрагментов пакета, описанных в информационном файле, будет осуществляться с использованием стандартного HTTP.

Примечание. Если вы не хотите использовать Сервер администрирования в качестве сервера развертывания, сначала необходимо скопировать папку
«Загрузить / package_timestamp» с корневого каталога документов Apache сервера администрирования в другой веб
сервер. Вы можете использовать утилиту синхронизации каталогов, такую ​​как rsync (http://samba.anu.edu.au/rsync), чтобы автоматически выполнить эту задачу; в противном случае нам придется делать это вручную.


Вы также можете разместить файл информации на другом веб-сервере, чем тот, на котором размещены файлы фрагментов. Например, если у вас есть несколько географических сайтов только с одним центральным коммуникационным сервером, вы можете разместить информационные файлы на коммуникационном сервере и фрагментировать файлы на веб-сервере на каждом сайте. Для этого вам необходимо активировать пакет для каждого сайта, и для каждого пакета информационный файл будет размещен на Коммуникационном сервере, а фрагментированные файлы - на веб-сервере сайта. Это значительно уменьшит использование пропускной способности межсайтовой сети.
OCS Активировать пакет.jpg
OCS Активировать пакет
OCS Активировать пакет.jpg (9.72 КБ) 1326 просмотров
Наведите указатель мыши на меню «Развертывание» и выберите «Активировать». Здесь вы увидите весь собранный пакет, а также ВСЕ активированный пакет.

Вы можете нажать на красный крестик, чтобы удалить встроенный пакет. Это приведет к удалению ссылки на пакет из базы данных, а также к удалению файла с информацией и фрагментов из каталога загрузки Консоли администрирования. Таким образом, удаленный пакет будет недоступен для активации, все активированные пакеты, использующие этот пакет, будут удалены, а также не затронуты с компьютеров.
OCS Активация пакетов 2.png
OCS Активация пакетов 2
Нажмите кнопку «Актив» в строке, соответствующей пакету, который вы хотите активировать.

В поле «URL-адрес HTTPS» введите URL-адрес для загрузки в информационном файле пакета HTTPS.

В поле «HTTP url» введите URL для загрузки в файлах фрагментов пакета HTTP.

Предупреждение: не вводите localhost как адрес сервера в URL! Помните, что эти URL будут обработаны
агентами.

Если ваш сервер развертывания HTTPS или HTTP работает на нестандартных портах, вы можете указать рабочий порт, используя стандартную запись «server_address: server_port / folder». Например, ваш сервер развертывания работает через порт HTTP 8080 и HTTPS 4343 на сервере 192.168.1.1, а пакеты находятся в каталоге / download. Вы должны заполнить:

URL-адрес https: 192.168.1.1:4343/download

http url: 192.168.1.1:8080/download


В нашем случае мы выбрали сервер администрирования в качестве сервера развертывания как для файла информации о пакете, так и для фрагментов пакета.

Итак, мы заполнили оба поля так: «ocs-admin-srv.domain.tld / download».
deploying_packages_activateman.png
deploying_packages_activateman
Нажмите кнопку отправить. Консоль администрирования обеспечит доступность файлов информации и файлов фрагментов по указанным URL-адресам.

Колонка «Не уведомлено» показывает количество компьютеров, которые еще не были уведомлены, у них есть соответствующий пакет для развертывания.

Колонка «Успех» показывает количество компьютеров, на которых успешно развернут соответствующий пакет.

Столбец «Ошибки» показывает количество компьютеров, на которых возникли ошибки при развертывании соответствующего пакета.

Значок «Статистика» позволяет просматривать процентили компьютеров, ожидающих уведомления, уведомленных (сервер просит их развернуть пакет) и завершивших развертывание с кодом результата (SUCCESS или ERROR).

Влияние пакетов на компьютеры
Вы можете воздействовать на пакет на компьютер один за другим, отображая свойства компьютера, выбирая значок настройки и добавляя пакет. Тем не менее, это не лучший способ, если вы хотите повлиять на пакет для многих компьютеров.

Лучший способ - использовать Поиск с различными функциями creteria для поиска компьютеров, которые вы хотите, и одновременно влиять на пакет для всех этих компьютеров.

В следующем примере мы затронем созданный нами пакет для всех компьютеров Windows.

Итак, во-первых, мы ищем компьютеры с Windows XP.
deploying_packages_17.png
deploying_packages_17
Этот поиск возвращает компьютеры, которые отвечают на запрос.
deploying_packages_18.png
deploying_packages_18
Доступны две возможности:

Установите флажок на компьютерах, на которых вы хотите развернуть пакет
Ничего не выбирайте и нажимайте непосредственно на Deploy
deploying_packages_19.png
deploying_packages_19
Нажмите на значок Affect строки пакета, чтобы отразить этот пакет на всех выбранных компьютерах.

Агенты на компьютерах будут уведомлены при следующем контакте Communication Server, у которого есть этот пакет для развертывания. Таким образом, пока агент не связывается с коммуникационным сервером, в консоли появится компьютер со статусом ОЖИДАНИЕ ОЖИДАНИЯ . После того, как агент связался Коммуникационный сервер, статус будет СООБЩЕН .

Деактивация пакетов
Для удаления пакета активации выполните следующие действия:
1 Наведите указатель мыши на меню « Развертывание» и выберите « Активировать» .
2 Появится список доступных (еще не активированных) и включенных (активированных и готовых к развертыванию) пакетов.
Примечание. Если пакет активирован, его имя содержит гиперссылку.
3 Нажмите на ссылку пакета, для которого вы хотите удалить активацию.
4 Появится новое окно со спецификацией пакета.
5 Значок красного креста в столбце Удалить удалит активацию пакета.

Примечание. Удаление активации пакета не влияет ни на один компьютер, на котором пакет уже был
установлены. Кроме того, на пакет все еще ссылаются в базе данных, поэтому вся информация и фрагмент
файлы по-прежнему доступны в каталоге загрузки Сервера администрирования. Тем не менее, он имеет то же самое
статус, как будто вы только что построили его.


Статистика развертывания и проверка успешности
Поскольку пакет мог быть активирован, а затем не активирован, статика развертывания находится в меню Активировать .

Вы можете отобразить статистику развертывания, щелкнув значок « Статистика» для пакета.

Поскольку вы применили пакет как минимум к одному компьютеру, у вас будет графическая статистика, показывающая состояние уведомления о развертывании.
deploying_packages_20.png
deploying_packages_20
Статус может быть один из следующих:
Код состояния Смысл
ОЖИДАНИЕ УВЕДОМЛЕНИЯ Сервер ожидает связи агента, чтобы уведомить, что есть что-то для загрузки.
NOTIFIED СООБЩЕНЫ Агент был уведомлен, что есть что скачать. Теперь сервер ожидает код результата.
SUCCESS УСПЕХ Агент успешно загрузил пакет и команду запуска или сохранил извлеченные данные. С помощью действия «Запуск» это состояние может быть дополнено кодом возврата выполнения команды. (код возврата 0).
ERR_EXIT_CODE_xxx Агент успешно загрузил пакет, НО команду выполнения или хранилище данных, связанное с ошибкой (код возврата xxx).
ERR_ALREADY_SETUP Пакет ранее был успешно установлен на этом компьютере.
ERR_BAD_ID Агент не может загрузить пакет, поскольку он не может найти идентификатор пакета на сервере развертывания.
ERR_BAD_DIGEST Загруженные данные имеют плохой дайджест, поэтому агент не выполняет связанную команду.
ERR_DOWNLOAD_INFO Агент не смог загрузить файл INFO, связанный с пакетом.
ERR_DOWNLOAD_PACK Агент не смог загрузить файл ZIP или TAR.GZ.
ERR_BUILD Агент не смог перестроить фрагменты пакета.
ERR_UNZIP Агент не смог распаковать загруженный файл ZIP или TAR.GZ.
ERR_OUT_OF_SPACE На диске недостаточно места для распаковки и запуска пакета ZIP или TAR.GZ.
ERR_BAD_PARAM Неверный параметр файла INFO пакета.
ERR_EXECUTE_PACK Любая команда выполнения указана в INFO-файле пакета.
ERR_EXECUTE Агент не смог выполнить связанную команду пакета.
ERR_CLEAN Агент не смог очистить загруженный пакет.
ERR_DONE_FAILED Агент не может получить результат выполнения в кеше пакета (кеш используется для хранения результата, если сервер не отвечает в конце выполнения пакета).
ERR_TIMEOUT Агент не смог загрузить пакет в течение дней DOWNLOAD_TIMEOUT.
ERR_ABORTED Пользователь отменил выполнение команды пакета (вы решили уведомить его, и позволили ему отменить).

«Подтверждение успеха» очистит статистику компьютеров, которые успешно развернули пакет.

«Unaffect not Уведомление» не повлияет на пакет с компьютеров, которые не связались с сервером, так как вы повлияли на пакет для компьютеров. Пакет не будет удален, только на компьютерах, которые еще не получили заказ на развертывание этого пакета, этот заказ будет отменен.

«Validate all» очистит всю статистику и не повлияет на пакет с незарегистрированных компьютеров. Это то же самое, что Validate Success + Unaffect без уведомления .

Предупреждение: вы ДОЛЖНЫ проверить состояние развертывания после завершения развертывания, чтобы очистить развертывание базы данных.
статус для компьютера. В противном случае база данных будет расти и ускоряться!


Вы можете нажать на номер для каждой строки состояния, чтобы отобразить компьютеры с таким состоянием развертывания.

Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 238
Зарегистрирован: Вс фев 17, 2019 17:47
Репутация: 4
Откуда: Вологодская область
Контактная информация:

Развертывание OCS Inventory

Сообщение Артём Мамзиков » Пт янв 10, 2020 16:16 #3

Использование SSL-сертификатов при развертывании пакета
Инфраструктура развертывания пакетов очень мощная, поэтому для проверки сервера развертывания перед попыткой загрузки требуется использование SSL. Поэтому вам нужно несколько SSL-сертификатов для использования с вашим сервером развертывания.

Определение сертификата от http://en.wikipedia.org/wiki/Public_key_certificate

«В криптографии , сертификат открытого ключа (или удостоверение личности ) является сертификат , который использует цифровую подпись , чтобы связать вместе открытый ключ с идентичностью - такую информацию, как имя человека или организации, их адрес и так далее. Сертификат может быть использован для проверки того, что открытый ключ принадлежит физическому лицу.

В типичной схеме инфраструктуры открытого ключа (PKI) подпись будет иметь центр сертификации (CA). В схеме сети доверия подпись принадлежит либо пользователю ( самозаверяющий сертификат ), либо другим пользователям («одобрения»). В любом случае подписи на сертификате являются свидетельствами лица, подписавшего сертификат, о том, что идентификационная информация и открытый ключ принадлежат друг другу ».

Вы можете использовать быстрый, простой, но ограниченный способ, самозаверяющий сертификат или более безопасный и надежный инструмент, PKI с центром сертификации .

Веб-сервер Apache поставляется с криптографической библиотекой OpenSSL, которая позволяет создавать сертификаты и управлять ими.

Использование самозаверяющих сертификатов

Внимание: позаботьтесь о сроке действия сертификата, так как самоподписанный сертификат веб-сервера должен быть
установлен на каждом клиентском компьютере, на котором работает агент. Когда срок действия сертификата истечет, вам придется
создать и развернуть новый сертификат на каждом клиентском компьютере!


С OCS Inventory NG Server для Linux
Обычно пакеты Apache или mod_ssl поставляются с образцами сценариев для генерации сертификатов, особенно тестовых сертификатов.

Однако ниже приведен пример сценария, использующего OpenSSL для создания самозаверяющего сертификата для использования в Apache.
пример сценария
Показать
#!/bin/sh
#
# First, generate apache server certificate request
#
# Generate 1024 bits RSA key, store private key in a
# no password protected PEM file server.key, using
# system default openssl configuration file.
#
echo
echo Generating Apache server private key...
echo
openssl genrsa -out server.key 1024
#
# Next, sign the apache server certificate with the apache
# server key
#
# Sign with PEM certificate server.crt, using PEM file
# server.key for server private key, using system default
# openssl configuration file.
#
# The produced certificate will be valid for 1825 days (about 5 years)
#
echo
echo Generating Apache server self signed certificate...
echo
openssl req -outform PEM -new -key server.key -x509 -days 1825 -out server.crt
Этот скрипт генерирует закрытый ключ RSA в файле «server.key» и самозаверяющий сертификат X.509 в файле «server.crt».

Сначала запустите этот скрипт с помощью команды:
sh apache_generate_cert.sh

Он сгенерирует закрытый ключ и запросит у вас свойства сертификата:

Код страны, обычно требуется
Название штата или провинции, обычно требуется
Город, как правило, требуется
Название организации или компании, обычно требуется
Название подразделения организации, обычно необязательно
Общее имя (это DNS-имя или IP-адрес вашего сервера), обязательно
Адрес электронной почты, обычно необязательный
В нашем примере мы создали самозаверяющий сертификат для нашего имени сервера «ocs.domain.tld».

Затем вам просто нужно скопировать файл сертификата сервера «server.crt» и файлы «server.key» файла закрытого ключа сервера в соответствующие каталоги и обновить файлы конфигурации Apache / mod_ssl, чтобы использовать эти файлы.

Вот пример и минималистская конфигурация Apache/mod_ssl для использования SSL под CentOS / Fedora / RedHat Linux. (сертификат сервера хранится в каталоге «/etc/httpd/conf/ssl.crt», а ключ сервера хранится в каталоге «/etc/httpd/conf/ssl.key»).

Примечание. Как правило, для вашей системы предусмотрена конфигурация Apache / mod_ssl. Итак, не используйте
следующая конфигурация, если ваша система уже имеет файл конфигурации для mod_ssl!

Conf
Показать
#
# This is the Apache server configuration file providing SSL support.
# It contains the configuration directives to instruct the server how to
# serve pages over an https connection. For detailing information about these
# directives see <URL:http://httpd.apache.org/docs-2.0/mod/mod_ssl.html>
#
# For the moment, see <URL:http://www.modssl.org/docs/> for this info.
# The documents are still being prepared from material donated by the
# modssl project.

#
# Do NOT simply read the instructions in here without understanding
# what they do. They're here only as hints or reminders. If you are unsure
# consult the online docs. You have been warned.
#

LoadModule ssl_module modules/mod_ssl.so

# Until documentation is completed, please check http://www.modssl.org/
# for additional config examples and module docmentation. Directives
# and features of mod_ssl are largely unchanged from the mod_ssl project
# for Apache 1.3.
#
# When we also provide SSL we have to listen to the
# standard HTTP port (see above) and to the HTTPS port
#
# To allow connections to IPv6 addresses add "Listen [::]:443"
#

Listen 0.0.0.0:443

#
# Some MIME-types for downloading Certificates and CRLs
#

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl

# Pass Phrase Dialog:
# Configure the pass phrase gathering process.
# The filtering dialog program (`builtin' is a internal
# terminal dialog) has to provide the pass phrase on stdout.

SSLPassPhraseDialog builtin

#
# SSL Virtual Host Context
#
<VirtualHost _default_:443>
# Use separate log files:

ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log

# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.

SSLEngine on

# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.

SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP


# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. A test
# certificate can be generated with `make certificate' under
# built time. Keep in mind that if you've both a RSA and a DSA
# certificate you can configure both in parallel (to also allow
# the use of DSA ciphers, etc.)

SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt


# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)

SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key


# SSL Engine Options:
# StdEnvVars:
# This exports the standard SSL/TLS related `SSL_*' environment variables.
# Per default this exportation is switched off for performance reasons,
# because the extraction step is an expensive operation and is usually
# useless for serving static content. So one usually enables the
# exportation for CGI and SSI requests only.

SSLOptions +StdEnvVars


# SSL Protocol Adjustments:
# The safe and default but still SSL/TLS standard compliant shutdown
# approach is that mod_ssl sends the close notify alert but doesn't wait for
# the close notify alert from client. When you need a different shutdown
# approach you can use one of the following variables:
# o ssl-unclean-shutdown:
# This forces an unclean shutdown when the connection is closed, i.e. no
# SSL close notify alert is send or allowed to received. This violates
# the SSL/TLS standard but is needed for some brain-dead browsers. Use
# this when you receive I/O errors because of the standard approach where
# mod_ssl sends the close notify alert.
# o ssl-accurate-shutdown:
# This forces an accurate shutdown when the connection is closed, i.e. a
# SSL close notify alert is send and mod_ssl waits for the close notify
# alert of the client. This is 100% SSL/TLS standard compliant, but in
# practice often causes hanging connections with brain-dead browsers. Use
# this only for browsers where you know that their SSL implementation
# works correctly.
# Notice: Most problems of broken clients are also related to the HTTP
# keep-alive facility, so you usually additionally want to disable
# keep-alive for those clients, too. Use variable "nokeepalive" for this.
# Similarly, one has to force some clients to use HTTP/1.0 to workaround
# their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
# "force-response-1.0" for this.

SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0


# Per-Server Logging:
# The home of a custom SSL log file. Use this when you want a
# compact non-error SSL logfile on a virtual host basis.
CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>
После настройки веб-сервера Apache не забудьте перезапустить демон Apache, чтобы изменения вступили в силу.

Наконец , вам необходимо установить файл сертификата сервера «server.crt» на каждом клиентском компьютере в каталог установки агента инвентаризации OCS под именем «cacert.pem».

Для Debian 9 Stretch:
apt install ssl-cert
a2ensite default-ssl
a2enmod ssl
make-ssl-cert generate-default-snakeoil --force-owerwrite
systemctl restart apache2

copy /etc/ssl/certs/ssl-cert-snakeoil.pem to cacert.pem and distribute

Для Fedora / RedHat / Centos 7:

Команда openssl создает открытый сертификат и закрытый ключ.

openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
Самостоятельно подписать сертификат

openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt
Настройте сертификат

Поместите эти 2 файла в каталог сертификатов

cp server.crt /etc/ssl/certs/
cp server.key /etc/ssl/private/
Установите правильные значения в /etc/httpd/conf.d/ssl.conf.

Использование PKI с центром сертификации
Мы предполагаем, что вы уже используете внутреннюю PKI или коммерческую, такую ​​как Verisign.

Однако, если у вас нет внутренней PKI и вы не хотите платить за сертификаты, вы можете воспользоваться услугами, предоставляемыми cacert.org ( http://www.cacert.org ), бесплатным всемирным поставщиком PKI. Для использования услуг cacert.org необходимо зарегистрировать свою электронную почту и доменное имя DNS, прежде чем можно будет запрашивать сертификат сервера. См. Руководства cacert.org.

Вы можете взглянуть на отличную статью Пабло Иранзо Гомеса ( http://alufis35.uv.es/OCS-Inventory-Pac ... yment.html ) для получения более подробных инструкций по использованию сертификатов cacert.org в OCS Inventory NG.

С OCS Inventory NG Server для Linux
Обычно пакеты Apache или mod_ssl поставляются с примерами сценариев для генерации запроса сертификатов для отправки поставщику PKI.

Однако ниже приведен пример сценария, использующего OpenSSL для генерации запроса сертификата для использования в Apache.
conf
Показать
#!/bin/sh
#
# Generate server certificate request
#
# Generate 1024 bits RSA key, store private key in a
# no password protected PEM file server.key, store certificate
# request in a PEM file server.csr, using system default
# configuration file
#
# The produced key will be valid for 1825 days (5 years)
#
echo
echo Generating server private key and certificate request...
echo
openssl req -newkey rsa:1024 -outform PEM -out server.csr -keyout server.key -keyform PEM \
-days 1825 -nodes
Этот сценарий генерирует закрытый ключ RSA в файле «server.key» и запрос сертификата в файле «server.csr».

Сначала запустите этот скрипт с помощью команды:
sh apache_request_cert.sh

Он сгенерирует закрытый ключ и запросит у вас свойства запроса сертификата:

Код страны, обычно требуется
Название штата или провинции, обычно требуется
Город, как правило, требуется
Название организации или компании, обычно требуется
Название подразделения организации, обычно необязательно
Общее имя (это DNS-имя или IP-адрес вашего сервера), обязательно
Адрес электронной почты, необходимый для получения сертификата, созданного центром сертификации.
Дополнительный пароль для вызова
Необязательное название компании
В нашем примере мы сгенерировали запрос сертификата для нашего имени сервера «ocs.domain.tld».

Затем вы должны передать запрос на сертификат «server.csr» в центр сертификации PKI.

Получив сертификат сервера от центра сертификации , вам просто нужно скопировать файл сертификата сервера «server.crt» и файлы закрытого ключа сервера «server.key» в соответствующие каталоги и обновить файлы конфигурации Apache / mod_ssl, чтобы использовать эти файлы. ,

Вы также должны извлечь корневой сертификат центра сертификации в файл «ca_root.crt», чтобы указать его в конфигурации Apache.

Вот пример и минималистская конфигурация Apache/mod_ssl для использования SSL под CentOS / Fedora / RedHat Linux. (сертификат сервера хранится в каталоге «/etc/httpd/conf/ssl.crt», а ключ сервера хранится в каталоге «/etc/httpd/conf/ssl.key»).

Примечание. Как правило, Apache для Win32 поставляется с предопределенным файлом конфигурации Apache / mod_ssl. Так,
не используйте следующую конфигурацию, если ваша система уже имеет файл конфигурации для mod_ssl!

conf
Показать
#
# This is the Apache server configuration file providing SSL support.
# It contains the configuration directives to instruct the server how to
# serve pages over an https connection. For detailing information about these
# directives see <URL:http://httpd.apache.org/docs-2.0/mod/mod_ssl.html>
#
# For the moment, see <URL:http://www.modssl.org/docs/> for this info.
# The documents are still being prepared from material donated by the
# modssl project.
#
# Do NOT simply read the instructions in here without understanding
# what they do. They're here only as hints or reminders. If you are unsure
# consult the online docs. You have been warned.
#

LoadModule ssl_module modules/mod_ssl.so

# Until documentation is completed, please check http://www.modssl.org/
# for additional config examples and module docmentation. Directives
# and features of mod_ssl are largely unchanged from the mod_ssl project
# for Apache 1.3.

#
# When we also provide SSL we have to listen to the
# standard HTTP port (see above) and to the HTTPS port
#
# To allow connections to IPv6 addresses add "Listen [::]:443"
#
Listen 0.0.0.0:443

#
# Some MIME-types for downloading Certificates and CRLs
#
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl

# Pass Phrase Dialog:
# Configure the pass phrase gathering process.
# The filtering dialog program (`builtin' is a internal
# terminal dialog) has to provide the pass phrase on stdout.
SSLPassPhraseDialog builtin

##
## SSL Virtual Host Context
##

<VirtualHost _default_:443>

# Use separate log files:
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log

# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on

# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. A test
# certificate can be generated with `make certificate' under
# built time. Keep in mind that if you've both a RSA and a DSA
# certificate you can configure both in parallel (to also allow
# the use of DSA ciphers, etc.)
SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt

# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key

# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA
# certificates for client authentication or alternatively one
# huge file containing all of them (file must be PEM encoded)
# Note: Inside SSLCACertificatePath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
#SSLCACertificatePath /etc/httpd/conf/ssl.crt
SSLCACertificateFile /usr/share/ssl/certs/ca_root.crt

# SSL Engine Options:
# StdEnvVars:
# This exports the standard SSL/TLS related `SSL_*' environment variables.
# Per default this exportation is switched off for performance reasons,
# because the extraction step is an expensive operation and is usually
# useless for serving static content. So one usually enables the
# exportation for CGI and SSI requests only.
SSLOptions +StdEnvVars

# SSL Protocol Adjustments:
# The safe and default but still SSL/TLS standard compliant shutdown
# approach is that mod_ssl sends the close notify alert but doesn't wait for
# the close notify alert from client. When you need a different shutdown
# approach you can use one of the following variables:
# o ssl-unclean-shutdown:
# This forces an unclean shutdown when the connection is closed, i.e. no
# SSL close notify alert is send or allowed to received. This violates
# the SSL/TLS standard but is needed for some brain-dead browsers. Use
# this when you receive I/O errors because of the standard approach where
# mod_ssl sends the close notify alert.
# o ssl-accurate-shutdown:
# This forces an accurate shutdown when the connection is closed, i.e. a
# SSL close notify alert is send and mod_ssl waits for the close notify
# alert of the client. This is 100% SSL/TLS standard compliant, but in
# practice often causes hanging connections with brain-dead browsers. Use
# this only for browsers where you know that their SSL implementation
# works correctly.
# Notice: Most problems of broken clients are also related to the HTTP
# keep-alive facility, so you usually additionally want to disable
# keep-alive for those clients, too. Use variable "nokeepalive" for this.
# Similarly, one has to force some clients to use HTTP/1.0 to workaround
# their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
# "force-response-1.0" for this.
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0

# Per-Server Logging:
# The home of a custom SSL log file. Use this when you want a
# compact non-error SSL logfile on a virtual host basis.
CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>
После настройки веб-сервера Apache не забудьте перезапустить демон Apache, чтобы изменения вступили в силу.

Наконец , необходимо установить файл корневого сертификата центра сертификации «ca_root.crt» на каждом клиентском компьютере в каталог установки агента инвентаризации OCS под именем «cacert.pem».

Пример: развертывание новой версии Service Agent для Windows
OCS Собрать.jpg
OCS Собрать
OCS Собрать.jpg (9.18 КБ) 1319 просмотров
Создайте ZIP-файл «OCS-NG-Windows-Agent-2.0.zip», включая файл «OCS-NG-Windows-Agent-Setup.exe».

Далее подключитесь к Консоли администрирования и перейдите в меню «Развертывание / Сборка».

Введите имя пакета , например «Ocs Agent Service 2.0»,
выберите целевую операционную систему "Windows",
выберите протокол "HTTP",
выберите приоритет «5»,
выберите файл ZIP ,
выберите действие «Запустить»,
и введите имя файла с помощью параметров командной строки установки Service Agent, например «OcsAgentSetup.exe / S / NOSPLASH / UPGRADE / NP / DEBUG /SERVER=my_ocs_server.domain.tld» (/ S для запуска программы установки в автоматическом режиме, / NOSPLASH чтобы отключить заставку установщика, / UPGRADE, чтобы указать, что вы обновляете уже установленный Service Agent, / NP, чтобы отключить использование настроек прокси IE, / DEBUG, чтобы разрешить создание файлов журнала, / SERVER, чтобы указать, что агент должен подключиться к серверу по адресу "my_ocs_server.domain.tld").

Примечание. Не забудьте включить параметр командной строки / UPGRADE, чтобы разрешить обновление существующего агента OCS Inventory NG, установленного в качестве службы.
deploying_packages_5.png
deploying_packages_5
И подтвердите, нажав кнопку [Отправить] .

Далее выберите размер фрагмента и нажмите кнопку [Отправить]
deploying_packages_6.png
deploying_packages_6
Теперь пакет развертывания создан. Вы должны активировать его.

Зайдите в меню Развертывание / Активировать .

Нажмите на кнопку Активировать в соответствующей строке.

Введите URL-адрес HTTPS, по которому файл метаданных INFO может быть загружен агентами, использующими HTTPS.
Введите URL-адрес HTTP, где файлы фрагментов могут быть загружены агентом с помощью HTTP.
И нажмите кнопку [Отправить] .

Развертывание пакета вручную

Теперь пакет готов к работе с компьютерами.

Перейдите в меню « Поиск» , найдите компьютеры с операционной системой, равной «Windows (ВСЕ)», и нажмите кнопку « Поиск» .
deploying_packages_21.png
deploying_packages_21
Затем нажмите Развернуть на линии массовой обработки.
deploying_packages_22.png
deploying_packages_22
Чтобы закончить, нажмите кнопку Affect в соответствующей строке с нужным вам пакетом.
deploying_packages_19.png
deploying_packages_19

Ответить Вложения 47

Вернуться в «OCS INVENTORY»