Know-How spacewalk

Linux-Systeme mit Spacewalk verwalten Spazier- gang © NASA ©

Linux-systeme von Hand zu verwalten ist ab einer bestimmten größe Installation bei einer Vielzahl von Syste- men nicht zur Qual wird, können Sie Ihre der systemlandschaft zeitaufwändig und oftmals auch nicht praktikabel. Systeme in logische Gruppen einsortieren mit spacewalk gibt es ein open-source-Tool, das dem Admin und die Installation einer Ressource dabei auf diese Gruppe anwenden. Beispiels- die Laufarbeit abnimmt. Thorsten scherf weise bietet es sich an, alle Webserver an die Spacewalk-Gruppe WWW-Server Spacewalk [1] ist der Open-Source-Ab- onsdateien, die üblicherweise in Kanälen zu binden. Erscheint nun eine neue Ver- leger des bekannten Network Satellite sortiert sind. Ein System besitzt immer sion der Webserver-Software, weisen Sie Server von Red Hat. Der Distributor genau einen Basiskanal mit optionalen Spacewalk einfach an, das Update auf hat im Sommer 2008 die Quellen seiner Unterkanälen. Der Basiskanal enthält diese Gruppe anzuwenden. Alle Systeme, Software freigegeben, mittlerweile liegt dabei das RPM-basierte Betriebssystem, die Mitglied der Gruppe sind, erhalten die Community-Version in der Version zum Beispiel Red Hat Enterprise Linux, das Software-Update somit automatisch. 1.0 vor. Zu den Kernaufgaben der An- Fedora oder Cent OS. In den Unterka- wendung zählt neben der Bereitstellung nälen befinden sich zusätzliche, vom Pollen oder Pushen neuer Softwarepakete in RPM-Form auch Betriebssystem unabhängige Software- das Verwalten von Konfigurationsdateien pakete, etwa die Red Hat Cluster Suite Die Installation erfolgt dabei standard- und so genannter Kickstart-Trees. Hiermit oder der 389 Directory Server. mäßig im Poll-Verfahren, das heißt, ist eine Installation von Bare-Metal-Syste- Spacewalk ist dabei auch in der Lage, be- Client systeme fragen nach einem festge- men problemlos möglich. stehende Kanäle zu klonen oder komplett legten Zeitintervall (Default: 4 Stunden) Die Funktionsweise ist recht einfach. neu zu erzeugen. So haben Sie vollstän- auf dem Server nach, ob seit der letzen Damit ein System auf die Spacewalk- dige Kontrolle über den Softwarestack, Abfrage neue Aktionen für das System Ressourcen zugreifen kann, muss es sich den Sie über Spacewalk anbieten. Mit definiert wurden. Ist dies der Fall, führt zuerst auf dem Server registrieren. Hier- Hilfe der Konfigurationskanäle verteilen Spacewalk sie aus. Alternativ hierzu kön- für kommt entweder eine Kombination Sie die entsprechenden Konfigurationsda- nen Sie die Installation von Softwarepa- aus Benutzernamen und Passwort zum teien für die Softwarepakete. Spacewalk keten und andere Aktionen auch direkt Einsatz oder ein so genannter Aktivie- hält dabei auch ältere Versionen der Da- im Push-Verfahren starten. Über das rungsschlüssel, der im Vorfeld auf dem teien vor, sodass Sie zu einem beliebigen Jabber-Protokoll stehen Clientsystem und Spacewalk-Server erzeugt wurde. Nach Zeitpunkt zu einer älteren Version einer Spacewalk-Server ständig miteinander in erfolgreicher Registrierung erscheint das Konfigurationsdatei zurückwechseln Kontakt. Wenn Sie eine neue Aktion de- System in der grafischen Weboberfläche können (Rollback). finieren, führt Spacewalk sie sofort auf der Servers. Die Installation der gewünschten Soft- dem Client aus. Existieren bereits weitere Ressourcen auf warepakete oder Konfigurationsdateien Die Kommunikation erfolgt jedoch nach dem Server, können Sie diese nun dem aus diesen Kanälen erfolgt entweder wie vor vom Client zum Server, das ist System zuweisen. Dazu zählen beispiels- vom Zielsystem aus oder zentral über für entsprechende Zugriffsregeln auf der weise Softwarepakete oder Konfigurati- die Spacewalk-Weboberfläche. Damit die Firewall sehr wichtig. Eine Liste der frei-

74 AusgAbe 04-2010 Admin Spacewalk Know-How

zuschaltenden Netzwerkports liefert [2]. plett automatisiert erfolgen, können Sie verwalten möchte. Er weist sie dann ein- Zu den angesprochenen Aktionen zählt dem Bootmedium direkt den Speicherort fach unterschiedlichen Organisationen übrigens nicht nur die Installation von einer Kickstart-Datei mit angeben. Das zu – diese sind natürlich im Vorfeld zu Softwarepaketen oder Konfigurationsda- ist eine Art Antwortdatei, die sämtliche erzeugen. teien, auch beliebige Kommandos lassen Eigenschaften des zu installierenden Die Spacewalk-Installation erfolgt wahl- sich über den Spacewalk-Server auf den Systems beschreibt, also beispielsweise weise auf einem Red Hat Enterprise einzelnen Systemen ausführen. seine Partitionierung, Software, Sprach- (RHEL, [3]), Fedora [4] oder Cent OS Haben Sie beispielsweise eine neue und Firewall-Einstellungen. Natürlich [3]. Beachten Sie bitte, dass Spacewalk Konfigurationsdatei für den Webserver können Sie eine solche Kickstart-Datei eine aktuelle Java-Runtime ab Version erstellt und auf das System verteilt, so auf dem Spacewalk-Server erstellen und 1.6.0 benötigt. Hier bietet sich beispiels- ist natürlich ein Neustart der Webserver- dem Bootmedium den Link zu dieser Da- weise das quelloffene Open JDK an, das Prozesse notwendig, damit sie die neuen tei mitteilen. bereits Bestandteil von Fedora ist. Setzen Konfigurationsanweisungen einlesen. Sie RHEL oder Cent OS ein, so erhalten Statt sich nun also auf jedes einzelne Sys- Verteilter Aufbau Sie über das zusätzliche Software-Reposi- tem einzuloggen oder mit For-Schleifen tory EPEL (Extra Packages for Enterprise zu arbeiten, um dann den gewünschten Spacewalk ist in der Lage, jede RPM- Linux) Zugang zu dem Paket. Restart-Befehl auf den Systemen auszu- basierte Distribution zu verwalten. Dabei Neben dem Java-Paket gehört eine Oracle- führen, erfolgt die Anweisung einfach besteht sogar die Möglichkeit, Clientsys- Datenbank 10g zum Pflichtumfang einer wieder über eine zentrale Stelle, den teme in unterschiedlichen Organisatio- Spacewalk-Installation. Im einfachsten Spacewalk-Server. nen zu betreiben. Über das Webinterface Fall steht mit Oracle XE eine kostenlose kann der Administrator diverse Organi- Version der Datenbank zur Verfügung. Raketenstufen sationen erstellen und diesen eine be- An der Unterstützung einer quelloffenen stimmte Anzahl von System-Entitlements Datenbank arbeiten die Entwickler ge- Auch die Installation neuer Systeme ge- zuweisen. Die Entitlements sind an ein rade mit Hochdruck. Hier hat sich Post- staltet sich recht einfach. Spacewalk hält Zertifikat gebunden, das Spacewalk bei greSQL als beste Alternative zu Oracle hierfür entsprechende Installationsda- der Installation automatisch generiert. herausgestellt. Wann genau die Unter- teien bereit, die so genannten Kickstart- Den einzelnen Organisationen lassen sich stützung hierfür offiziell verfügbar ist, Trees. Über ein Bootmedium, beispiels- dann Benutzer hinzufügen. steht momentan noch nicht fest, hier hilft weise über eine CD, einen USB-Stick oder Findet die Registrierung eines Clients nun ein regelmäßiger Blick auf die aktuelle eine PXE-fähige Netzwerkkarte, stellen mit einem Benutzeraccount aus einer be- Roadmap [5] oder die entsprechenden Sie den Kontakt zum Server her. Über stimmten Organisation statt, dann wird Mailinglisten [6] weiter. welchen Server die Installation erfolgen dieses System auch dieser Organisation soll, erfragt dabei der so genannte First- zugewiesen. Meldet sich ein Benutzer Oracle XE Stage Installer, der Teil des Installations- aus der Organisation mit seinem Account mediums ist. über das Webinterface am Spacewalk- Haben Sie das entsprechende Repository- Den Rest der Installation übernimmt dann Server an, sieht er auch nur die Systeme RPM für Ihre Distribution installiert, geht der Second-Stage Installer, der sich auf aus der eigenen Organisation. Das ist es zuerst an die Installation von Oracle dem Spacewalk-Server befindet und zu praktisch, wenn ein Administrator meh- Express, das es kostenfrei unter [7] zum Beginn einer Installation auf das Client- rere Abteilungen betreut und die Systeme Download gibt, wählen Sie die Version system übertragen wird. Soll diese kom- aus den einzelnen Abteilungen getrennt 10.2.0.1 aus. Neben der Datenbank be- nötigen Sie auch die Pakete »oracle‑in- stantclient‑basic« und »oracle‑instantcli- ent‑sqlplus«, die Sie anschließend mit dem Yum-Paketmanager installieren: E

Listing 1: Oracle-Listener-Konfiguration

01 cat >> /etc/tnsnames.ora << 'EOF' 02 XE = 03  (DESCRIPTION = 04  (ADDRESS_LIST = 05  (ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = 1521)) 06  ) 07  (CONNECT_DATA = 08  (SERVICE_NAME = xe) 09  ) 10  )

Abbildung 1: Ein Softwarekanal ist am einfachsten über das grafische Webinterface einzurichten. 11 EOF

Admin Ausgabe 04-2010 75 Know-How Spacewalk

yum localinstall ‑‑nogpgcheck oracle‑U tener über die Datei »/etc/tnsnames.ora« Im nächsten Schritt richten Sie den ers- xe‑univ*.rpm oracle‑instantclient‑basic*.U konfigurieren (Listing 1). ten Softwarekanal für die Clientsysteme rpm oracle‑instantclient‑sqlplus*.rpm Abschließend bleiben noch ein paar ein. Bei deren Registrierung müssen Sie Bevor es an die Konfiguration der Da- Änderungen an der Datenbank durch- genau einen Basiskanal für das System tenbank geht, sollten Sie sicherstellen, zuführen. Hierfür melden Sie sich mit angeben, aus dem es die Betriebssystem- dass Ihr Rechnername in der Datei »/etc/ der Clientanwendung »sqlplus« an der Pakete und deren Updates bezieht. Natür- hosts« auf die richtige IP-Adresse zeigt, Datenbank an und legen zuerst den Be- lich lassen sich zu diesen Basiskanälen sonst gibt es später Probleme mit der nutzer »spacewalk« an, der im Beispiel weitere Subkanäle einrichten, die eben- Oracle-Listener-Konfiguration. Benutzen das Passwort »spacewalk« zugewiesen falls den Clients zuzuordnen sind. Sie die folgenden Parameter zur Konfi- bekommt (Listing 2). Über diese Subkanäle verteilen Sie wei- guration: In der Standardkonfiguration lässt Oracle tere RPM-Pakete auf die Systeme. Dies Express maximal 40 gleichzeitige Verbin- können selbst gebaute Pakete oder RPMs HTTP port for Oracle Application Express:U 9055 dungen zu, das ist für den Betrieb mit aus anderen Repostories sein. Soft- Database listener port: 1521 Spacewalk zu wenig. Die Anweisungen warekanäle richten Sie am einfachsten Password for SYS/SYSTEM: Password in Listing 3 erhöhen das Limit auf 400 über das Webinterface ein (»Channels Start at boot: y mögliche Verbindungen. Anschließend | Manage Software Channels | Create«, Der Default-Port für Oracle Express starten Sie mit »/sbin/service oracle‑xe Abbildung 1). (8080) ist bereits durch den Applikations- restart« die Datenbank neu. server Tomcat belegt, deswegen müssen Mit Python skripten Sie hier zwingend einen alternativen Port Spacewalk-Setup wählen. Dank des Spacewalk-API besteht auch Damit Sie sich auch mit der Datenbank Im nächsten Schritt installieren Sie den die Möglichkeit, diese Aufgabe über ein unterhalten können, müssen Sie den Lis- Spacewalk-Server. Hierzu müssen Sie Skript zu erledigen. Ein beispielhaftes wie oben beschrieben das Spacewalk- Python-Skript finden Sie unter [8]. Es Listing 2: Benutzer »spacewalk« anlegen Repository einbinden. Unter »/etc/yum. lässt sich wie folgt aufrufen: 01 sqlplus 'sys@xe as sysdba' repos.d/« sollte sich die Datei »space- create_channel.py ‑‑label=fedora‑12‑i386U 02 SQL> create user spacewalk identified by spacewalk walk.repo« befinden, die auf das rich- ‑‑name "Fedora 12 32‑bit" ‑‑summary "32‑bitU default tablespace users; tige Repository verweist. Die Installation Fedora 12 channel" 03 SQL> grant dba to spacewalk; stößt der folgendem Befehl an: 04 SQL> quit Im Skript geben Sie den Fully Qualified yum install spacewalk‑oracle Domain Name (FQDN) des Spacewalk- Listing 3: Oracle-Tuning Da dieses Paket von allen anderen Space- Servers sowie einen Benutzeraccount

01 sqlplus spacewalk/spacewalk@xe walk-Paketen abhängig ist, lädt der Pa- zum Erzeugen der Kanäle an, beispiels- 02 SQL> alter system set processes = 400 scope=spfile; ketmanager diese automatisch herunter weise den Spacewalk-Administrator. Un- 03 SQL> alter system set "_optimizer_filter_pred_ und installiert sie im nächsten Schritt. ter dem Users-Tab können Sie weitere pullup"=false scope=spfile; Die Konfiguration der Anwendung er- Benutzer mit bestimmten Rechten ein- 04 SQL> alter system set "_optimizer_cost_based_ folgt dann mit dem Setup-Tool entweder richten (Abbildung 2). transformation"=off scope=spfile; interaktiv oder über eine Antwortdatei Über das Webinterface sollte der so ein- 05 SQL> quit (Listing 4). gerichtete Kanal jetzt unter dem Tab Die Datei ist dem Setup-Tool wie folgt zu »Channels« sichtbar sein, bislang noch Listing 4: Antwortdatei übergeben: ohne Softwarepakete. Die lassen sich nun 01 admin‑email = root@localhost auf mehrere Arten auf den Server uploa- spacewalk‑setup ‑‑disconnected U 02 ssl‑set‑org = Tuxgeek Org den. Welche Methode Sie wählen, hängt ‑‑answer‑file=Antwortdatei 03 ssl‑set‑org‑unit = Tuxgeek OU davon ab, ob die Pakete bereits lokal vor- 04 ssl‑set‑city = Essen Die Konfiguration kann einige Zeit in liegen, etwa auf einer DVD, oder ob Sie 05 ssl‑set‑state = NRW Anspruch nehmen, da nun auch die ein entferntes Yum-Repository mit dem 06 ssl‑set‑country = DE Datenbanktabellen eingerichtet werden. Spacewalk-Server abgleichen wollen. Für 07 ssl‑password = spacewalk Das Setup-Tool startet abschließend alle den ersten Fall existiert das Tool »rhn- 08 ssl‑set‑email = root@localhost notwendigen Dienste. Ein manueller push«. Der Aufruf sieht wie folgt aus: 09 ssl‑config‑sslvhost = Y 10 db‑backend=oracle Neustart ist über das Tool »/usr/sbin/ rhnpush ‑v ‑‑channel=fedora‑13‑i386 ‑‑serverU rhn‑satellite« möglich. 11 db‑user=spacewalk =http://localhost/APP ‑‑dir=/Pfad-zu-Paketen 12 db‑password=spacewalk Um das System zu konfigurieren, rufen 13 db‑sid=xe Sie das Spacewalk-Webinterface über die Für die Synchronisation mit einem ent- 14 db‑host=localhost URL [http://​­spacewalk.​­server.​­tld] auf. fernten Software-Repository geben Sie 15 db‑port=1521 Neben Kontaktinformationen können Sie im Webinterface unter den Eigenschaf- 16 db‑protocol=TCP dort beispielsweise auch das Passwort für ten des Softwarekanals (»Channels | 17 enable‑tftp=Y den Spacewalk-Administrator setzen. Manage Software Channels | Fedora 12

76 Ausgabe 04-2010 Admin Spacewalk Know-How

1/1 A

210 x 297 mm zzgl. Beschnitt LTRO (Datei kommt separat)

Admin Ausgabe 04-2010 77 Know-How Spacewalk

32‑bit«) einfach die URL zum entfernten Repository an. Die Synchronisation kann einige Zeit in Anspruch nehmen. Als Kommandozeilen-Werkzeug sei hier »spacewalk‑repo‑sync« erwähnt, das ent- fernte Softwarepakete eines Yum-Reposi- tory auf den eigenen Spacewalk-Server lädt. Um den Server aktuell zu halten, können Sie das unter [9] aufgeführte Skript regelmäßig über den Cron-Dienst aufrufen lassen. Es überprüft die konfi- gurierten Softwarequellen und lädt neue Abbildung 2: In der Benutzerverwaltung können Sie den einzelnen Benutzern unterschiedliche Rechte auf dem Pakete automatisch herunter. Auf diese Spacewalk-Server zuweisen. Weise ist ein manueller Abgleich nicht mehr notwendig. auf dem Spacewalk-Server registrieren. fachsten Fall die Anwendung »rhnreg_ks« Subkanäle lassen sich im Übrigen eben- Hierzu ist zunächst das Spacewalk- auf. Sie benötigt einen Registrierungs- falls auf die hier beschriebene Methode Client-­Repository-RPM auf den betroffe- schlüssel, den Sie vorher auf dem Space- einrichten. Hier noch der Hinweis, dass nen Clients zu installieren. walk-Server erzeugen müssen (»Systems selbst erzeugte RPM-Pakete zwingend mit Für Fedora-12-Systeme findet sich das | Activation Key | Create Key«). Beim Er- einer digitalen Signatur zu versehen sind. passende RPM unter [10], für RHEL 5 zeugen des Schlüssels können Sie diverse Sowohl der Spacewalk-Server als auch oder Cent OS 5 unter [11]. Auf RHEL- und Ressourcen an diesen binden, etwa den die Clientanwendung Yum verweigern in Cent-OS-Systemen ist es zudem notwen- soeben erzeugten Fedora-12-Software-Ka- der Standardeinstellung die Zusammen- dig, das RPM für das EPEL-Repository nal oder auch Konfigurationskanäle, so- arbeit mit nicht signierten Paketen. (Enterprise Packages for Enterprise Linux, fern vorhanden (Abbildung 3). Auch Sys- Diese Funktion lässt sich zwar deaktivie- [12]) einzuspielen, da sich sonst Abhän- temgruppen lassen sich diesem Schlüssel ren, aus Sicherheitsgründen sollten Sie gigkeiten der Client-Tools unter Umstän- zuweisen. eigene Pakete jedoch immer mit einer den nicht auflösen lassen. Der folgende Alle Systeme, die diesen Schlüssel zur Signatur versehen. Hierzu dient der Be- Befehl installiert die passende Yum-Datei Registrierung verwenden, erhalten somit fehl »rpm ‑‑resign RPM‑Paket«. Die RPM- für ein 32-Bit-Fedora-12-System: Zugriff auf die Ressourcen. Den gene- Anwendung setzt dafür einen entspre- rierten Schlüssel geben Sie dann bei der rpm ‑Uvh http://spacewalk.redhat.com/U chenden GPG-Schlüssel voraus. Die Datei Registrierung einfach mit an: yum/1.0/Fedora/12/i386/spacewalk‑client‑repoU »~/.rpmmacros« gibt Auskunft über den ‑1.0‑2.fc12.noarch.rpm rhnreg_ks ‑‑serverUrl=http://spacewalk.U Namen und den Speicherort des Schlüs- server.tld/XMLRPC ‑‑activationkey=key sels (Listing 5). Im Anschluss installieren Sie mittels Yum die Client-Tools: Hat alles geklappt, erscheint das System in der Weboberfläche des Servers unter dem Schlüssel fertig yum install rhn‑client‑tools rhn‑check U Reiter »Systems«. Unter den Eigenschaf- rhn‑setup rhnsd m2crypto yum‑rhn‑plugin Damit Clientsysteme die mit diesem ten des Systems sollten Sie nun auch den Schlüssel signierten Pakete auch verifizie- Damit Sie das System nun auf dem Server konfigurierten Softwarekanal sehen. Ob ren können, sollten Sie den öffentlichen registrieren können, rufen Sie im ein- der Zugriff hierauf wie gewünscht funk- Teil auf dem Spacewalk-Server ablegen. Am besten im Verzeichnis »/var/www/ html/pub«, auf das jeder Client zugrei- fen kein. Der folgende Befehl exportiert den öffentlichen Schlüssel aus dem GPG- Schlüsselbund:

gpg ‑‑armor ‑‑export [email protected] > /var/www/html/pub/rpm‑gpg‑key

Damit vorhandene Clientsysteme auf die soeben hochgeladenen Softwarepakete zugreifen können, müssen Sie sie zuerst

Listing 5: GPG-Konfiguration für RPM

01 cat .rpmmacros 02 %_signature gpg Abbildung 3: An den Registrierungsschlüssel lassen sich diverse Ressourcen binden. Alle Systeme, die diesen 03 %_gpg_name Thorsten Scherf Schlüssel verwenden, erhalten Zugriff auf die Ressourcen.

78 Ausgabe 04-2010 Admin Spacewalk Know-How

1/1 A

210 x 297 mm zzgl. Beschnitt Academy (Datei kommt separat)

Admin Ausgabe 04-2010 79 Know-How Spacewalk

tioniert, testen Sie am einfachsten durch die Installation eines Pakets aus diesem Kanal. Sollte dies nicht funktionieren, so ist eine mögliche Fehlerquelle, dass das Clientsystem nicht das passende CA-Zer- tifikat des Spacewalk-Servers verwendet. Dieses liegt auf dem Server unterhalb von [http://​­spacewalk.​­server.​­tld/​­pub/] und ist auf dem Client unterhalb von »/usr/ share/rhn« zu speichern. Aus der Datei »/etc/sysconfig/rhn/up2date« verweisen Sie dann auf dieses Zertifikat. Hier ist auch der Name des Spacewalk-Servers einzutragen. Diese Schritte müssen Sie nur auf bereits installierten Systemen durchführen. Sys- Abbildung 4: Nach erfolgreicher Registrierung erscheint das verwaltete System in der Weboberfläche des teme, die Sie über den Spacewalk-Server Spacewalk-Servers. neu installieren, werden automatisch als Teil der Installation auf dem Server ange- verweisen auf die notwendigen Dateien. der »next‑server«-Anweisung auf einem meldet und können somit sofort auf ihn Diese erhalten Sie im einfachsten, in- DHCP-Server alle PXE-Anfragen eines zugreifen (Abbildung 4). dem Sie von der gewünschten Distribu- Clients auf den Spacewalk-Server. Dank tion eine Installations-CD/​DVD über das der Integration von Cobbler läuft hier be- Kickstart-Installation Loopback-Device einbinden: reits ein TFTP-Server und hält alle zuvor eingerichteten Kickstart-Profile vor. Auf mount ‑o loop /var/iso‑images/Fedora‑U Zur automatisierten Installation neuer der Kommandozeile lässt sich dies mit 23‑i386‑DVD.iso /var/distro‑trees/Fedora‑12 Clientsysteme sind auf dem Spacewalk- »cobbler profile list« bestätigen. Server zwei unterschiedliche Informa- Beim Erstellen einer Fedora-12-Kickstart- Wenn Sie ein Clientsystem über eine tionen bereitzustellen. Zum einen eine Distribution verweisen Sie den Space- PXE-fähige Netzwerkkarte booten, er- Kickstart-Datei mit den notwendigen walk-Server einfach auf das Verzeichnis scheint automatisch eine Liste aller Angaben, wie die Installation des neuen »/var/distro‑trees/Fedora‑12«. Hat alles vorhandenen Kickstart-Profile. Zur Ins- Systems genau ablaufen soll. Hierzu ge- funktioniert, können Sie nun beim An- tallation des Clients wählen Sie einfach hören beispielsweise die Partitionierung, legen einer Kickstart-Datei auf die so er- das passende Profil aus der Liste aus. Software-Auswahl und weitere Einstel- zeugte Distribution verweisen. Clientsys- Eine Registrierung auf dem Spacewalk- lungen, die bei einer manuellen Instal- teme beziehen bei einer Neuinstallation Server erfolgt im Anschluss automa- lation ebenfalls anzugeben sind. Eine dann automatisch die richtigen Dateien tisch. Bereits bestehende Systeme lassen solche Kickstart-Datei erzeugen Sie im aus dieser Quelle. sich ebenfalls sehr leicht mittels »koan einfachsten Fall in der Weboberfläche Um ein neues System mit Fedora 12 zu ‑‑replace‑self ‑‑server=Spacewalk‑Server über den Menüpunkt »Systems | Kick- installieren, stehen mehrere Wege offen. ‑‑profile=Kickstart‑Profile« neu installie- start | Profiles«. Im einfachsten Fall verweisen Sie mit ren. Hierbei erfolgt ein entsprechender Neben einer Übersicht bereits vorhan- dener Profile besteht hier auch die Mög- lichkeit, neue Profile zu erzeugen. Als Teil einer solchen Profildatei ist unter anderem auch eine Kickstart-Distribution anzugeben. Hierbei handelt es sich nicht um die eigentlichen RPM-Pakete, die zu einer zu installierenden Distribution wie etwa Fedora 12 gehören, sondern um die grundlegenden Installationsdateien wie das Anaconda-Tool. Eine solche Kickstart-Distribution ist üb- licherweise nicht Bestandteil eines zuvor synchronisierten Software-Repository und ist somit erst auf dem Spacewalk-Server zu erzeugen. Hier navigieren Sie erneut in der Weboberfläche zum Menüpunkt Abbildung 5: Unter den Eigenschaften eines Systems lassen sich sehr viele Administrationsaufgaben für »Systems | Kickstart | Distributions« und dieses System bequem vom Spacewalk-Server aus erledigen.

80 Ausgabe 04-2010 Admin Spacewalk Know-How

rationsdateien gelingt damit sehr einfach. Auch fortgeschrittene Funktionen wie das Klonen von Kanälen ist möglich, somit kann die verwendete Software einen QA- Prozess durchlaufen, bevor sie auf pro- duktiven Systemen zum Einsatz kommt. Dank des sehr umfangreichen API lassen sich viele regelmäßige Aufgaben auch in Form von Skripten erledigen. (ofr) n

Infos [1] Spacewalk-Projektseite: [http://​­fedorahosted.​­org/​­spacewalk] [2] Spacewalk-Netzwerkports: Abbildung 6: Über eine XMLRPC-Schnittstelle stehen viele Funktionen des Spacewalk-Servers auch über ein [http://​­magazine.​­redhat.​­com/​­2008/​­09/​ programmierbares API zur Verfügung. ­30/​­tips‑and‑tricks‑what‑tcpip‑ports‑ are‑required‑to‑be‑open‑on‑an‑rhn‑ Eintrag im Bootloader-Menü, der nach Fall, laufen die Aktionen ab. Ist auf dem satellite‑proxy‑or‑client‑system/] einem Reboot des Systems automatisch Clientsystem der »osad«-Dienst aktiv, so [3] (RHEL5, Cent OS 5) Spacewalk Server ausgewählt wird. Weitere Informationen können Sie die Aktionen sogar unmittel- Repository, RPM: [http://​­spacewalk.​ zu Cobbler gibt ein Artikel des ADMIN- bar ausführen lassen, ohne das Intervall ­redhat.​­com/​­yum/​­1.​­0/​­RHEL/​­5/​­i386/​ Magazins [13]. abzuwarten. Client und Server stehen ­spacewalk‑repo‑1.​­0‑2.​­el5.​­noarch.​­rpm] hierbei über das Jabber-Protokol in stän- [4] (Fedora12) Spacewalk Server Repository, Klick-Management von digem Kontakt. RPM: [http://​­spacewalk.​­redhat.​­com/​­yum/​ Systemen Zum Schluss sei noch auf das sehr um- ­1.​­0/​­Fedora/​­12/​­i386/​­spacewalk‑repo‑1.​­0‑2.​ fangreiche Spacewalk-API verwiesen, das ­fc12.​­noarch.​­rpm] Alle Systeme, die auf dem Spacewalk- bei einem installierten Server unter der [5] Spacewalk-Roadmap: [http://​ Server registriert sind, beziehen ihre Soft- URL »http://Servername/rhn/apidoc/in- ­fedorahosted.​­org/​­spacewalk/​­roadmap] warepakete aus dieser Quelle. Ein Zugriff dex.jsp« erreichbar ist. Damit erhalten Sie [6] Spacewalk-Mailingliste: auf externe Repositories ist nicht mehr Zugriff auf viele Funktionen, die selbst [http://​­www.​­redhat.​­com/​­spacewalk/​ notwendig. Dies erhöht nicht nur die Si- über das Webinterface gar nicht zur Ver- ­communicate.​­html#​­lists] cherheit, sondern schont auch die Netz- fügung stehen. Der Zugriff auf das API [7] Oracle XE: [http://​­www.​­oracle.​­com/​ werkbandbreite. Unter den Eigenschaften erfolgt über XMLRPC, daher bieten sich ­technology/​­software/​­products/​­database/​ eines registrierten Systems lassen sich Perl- oder Python zur Entwicklung eige- ­xe/​­htdocs/​­102xelinsoft.​­html] nun vielfältige Einstellungen vornehmen ner Skripte an. Das unter [8] aufgeführte [8] Spacewalk-API-Skript zum Anlegen eines (Abbildung 5). Skript zum Anlegen eines Softwarekanals Softwarekanals: [http://​­fedorahosted.​ Beispielsweise können Sie neue Software- ist ein Beispiel für einen Zugriff auf den ­org/​­spacewalk/​­attachment/​­wiki/​ oder Konfigurationskanäle einem System Spacewalk-Server mit Hilfe des API (Ab- ­UploadFedoraContent/​­create_channel.​­py] zuordnen, die installierte Software mit bildung 6). [9] Repository-Sync: [http://​­fedorahosted.​ den Profilen anderer Systeme vergleichen ­org/​­spacewalk/​­attachment/​­wiki/​ oder aus Sicherheitsgründen Snapshots Fazit ­UploadFedoraContent/​­sync_repos.​­py] anlegen, zu denen Sie zu einem späte- [10] ( Fedora12) Spacewalk Client Repository, ren Zeitpunkt zurückrollen können. Die Mit der Open-Source-Variante des von RPM: [http://​­spacewalk.​­redhat.​­com/​­yum/​­1.​ Installation von neuer Software oder die Red Hat vertriebenen Satellite-Servers er- ­0/​­Fedora/​­12/​­i386/​­spacewalk‑client‑repo‑1.​ Verteilung von Konfigurationsdateien hält der Admin ein sehr leistungsstarkes ­0‑2.​­fc12.​­noarch.​­rpm] kann nun ebenfalls von zentraler Stelle Tool zur Verwaltung von großen Linux- [11] (RHEL 5, Cent OS 5) Client Repository, aus erfolgen. System­landschaften. Viele alltägliche Ar- RPM: [htttp://​­spacewalk.​­redhat.​­com/​­yum/​ Da sich registrierte Systeme in Gruppen beiten wie die Installation von Software- ­1.​­0/​­RHEL/​­5/​­i386/​­spacewalk‑client‑repo‑1.​ einordnen lassen, funktioniert dies so- Updates oder das Einspielen von Konfigu- ­0‑2.​­el5.​­noarch.​­rpm] gar auf einer großen Anzahl von Sys- [12] EPEL-Repository: [http://​­download.​ temen mit einem einzelnen Klick. Der ­fedora.​­redhat.​­com/​­pub/​­epel/​­5/​­i386/​ »rhnsd«-Dienst auf ihnen fragt in einem Der Autor ­epel‑release‑5‑3.​­noarch.​­rpm] konfigurierbaren Intervall auf dem Space- Thorsten Scherf arbeitet als Senior Consultant [13] Thorsten Scherf, „Automatisierte Installa- walk-Server nach, ob für dieses System für Red Hat EMEA. Er ist oft als Vortragender auf tion mit Cobbler“: ADMIN 02/​2009: Aktionen anstehen, beispielsweise die Konferenzen anzutreffen. Wenn ihm noch Zeit [http://​­www.​­admin‑magazin.​­de/​­content/​­a Installation von Software. Ist dies der bleibt, nimmt er gerne an Marathonläufen teil. utomatisierte‑installation‑mit‑cobbler]

Admin Ausgabe 04-2010 81