Endpoint Central オンプレミス版 ナレッジベース

確認ビルド: Endpoint Central 11.5.2600.38
Endpoint Centralのパッチ管理機能は、Red Hat Enterprise Linux（RHEL, Red Hat）のリポジトリから配布されるパッケージの管理、適用に対応しています。この記事では、Endpoint Centralオンプレミス版を使用して、Red Hat Enterprise Linuxのパッチ管理を行うための設定手順について説明しています。

Endpoint Central 11.3.2440.1以降のRed HAtHELパッチ管理

Endpoint Central 11.3.2440.01以降（日本国内向けリリースの該当ビルド：Endpoint Central 11.5.2600.38 以降）のRed Hatパッチ管理においては、Endpoint Centralサーバーが管理対象Red Hatの1台からエンタイトルメント証明書を取得し、Endpoint Centralサーバーはこの証明書を使用して、cdn.redhat.com からメタデータファイルとパッチをダウンロードします。

Red Hat Enterprise Linux のパッケージ管理（パッチ管理）に必要な前提条件

• Endpoint CentralサーバーからRed Hat Enterprise Linuxに関係するドメインにアクセス可能なこと
  Endpoint Centralサーバーがプロキシ経由でインターネットに接続する場合、プロキシ設定を完了させる必要があります。
  なお、Endpoint Centralがインターネットに接続できない隔離ネットワーク（エアギャップ環境）でのRed Hatパッチ管理機能はサポートしていません（正確な欠落パッチの検出や、正常なパッチ適用ができなくなります）。
• プロキシやファイアウォールが.jarや.rpmファイルのダウンロードをブロックしないこと
  Red HatのパッチEndpoint Centralサーバーがダウンロードを実行します。パッチファイルのダウンロードをブロックされないようにする必要があります。
• アクティブなRed Hat Enterprise Linuxサブスクリプションを持っていること
  Red Hatポータルからパッチをダウンロードし、パッチを適用するには、アクティブなサブスクリプションが必要です。サブスクリプションの購入についてはこちら（Red Hat社）を、サブスクリプションの管理については、Red Hat Subscription Manager(RHSM)に関するこちらの説明（Red Hat社）をご参照ください。
• SCA（Simple Content Access）が有効化されているRed Hat Enterprise Linuxの場合、有効なエンタイトルメント証明書を保持していること。
  subscription-manager statusコマンドを実行することで確認可能です。なおプロキシ経由でRHSMにアクセスする場合、こちら（Red Hat社）を参考に/etc/rhsm/rhsm.confを編集する必要があります。システム登録の具体的な手順に関しては、Red Hat社のガイドをご確認ください。
  • 購入したサブスクリプションの有効期限が切れている場合は、サブスクリプションを更新してください。更新手順については、Red Hatにお問い合わせください。
  • Red Hat Enteprise Linuxサブスクリプションのステータスが「Unknown」の場合、オフラインでシステム登録を実行された可能性があります。オフラインのシステム登録はSCA有効化以降非推奨化されています。詳細はRed Hatのこちらのドキュメントをご覧ください。
  • Red Hat Enteprise Linuxサブスクリプションのステータスが「Insufficient」の場合、当該端末は過去にVMとして作成されてシステム登録し、その後別の環境に移行された可能性があります。その場合はRed Hatのこちらのドキュメントをご覧ください。
  • サブスクリプションのステータスが上記のいずれにも該当しない場合は、subscription-manager refreshコマンドを実行してRed Hatサブスクリプション情報を更新後、/etc/pki/entitlement/ディレクトリにエンタイトルメント証明書が存在することを確認してください。
• SCA（Simple Content Access）が有効化されていない場合、すべてのRed Hat端末について、有効期間内のサブスクリプションをそれぞれアタッチしていること。
  subscription-manager statusコマンドを実行することで確認可能です。
  SCAは原則としてすべてのユーザーにおいて強制化されています。詳細はこちらのRed Hatのドキュメントをご覧ください。
• 管理対象のRed Hat端末すべてに有効なリポジトリが設定されていること
  Endpoint Centralエージェントは、エンタイトルメント証明書の有効期限を確認してRed Hatサブスクリプションの有効性を検証します。
  エンタイトルメントの詳細は対象のリポジトリ（.repo）ファイルから取得され、基本的に以下の条件で検証されます。
  • .repo 形式のファイルのみ確認します。
  • 名前に「red hat enterprise linux」が含まれているリポジトリのみ確認します。
  • リポジトリの内容にsslclientcertの情報が含まれている必要があります。
  • Beta および Debugリポジトリは有効化の対象から除外されている必要があります。

  条件に当てはまるリポジトリが存在しない場合、パッチスキャンやパッチ配布操作時に「/etc/yum.repos.d/ ディレクトリ内に必要なRed Hatリポジトリ情報をもつファイルがないため、パッチスキャン/配布操作が失敗しました。」（英語表示：Required Red Hat repository information is not available in any repository file within the /etc/yum.repos.d/ directory）のエラーが発生します（対応方法はこちらの英語ドキュメントをご覧ください）。特に、管理対象Red HatがすべてAWSのインスタンスなど、Red Hat Update Infrastructure(RHUI)環境の場合、条件に当てはまるリポジトリが存在しない可能性があります（Endpoint Centralでは、すべての管理対象Red Hat端末において、RHUIではない通常のサブスクリプションを持つ環境での動作は確認していますが、そうでない環境での動作は確認しておりません）。
  もし有効な.repoファイルが見つからない場合、 /etc/
  /rhsm.conf において manage_repos が "1" に設定されているかを確認してください。

• 管理したいRed Hat端末すべてにEndpoint Centralエージェントがインストールされ、エージェントタブに表示されていること
  Endpoint Centralの管理対象に追加されている必要があります。SELinuxの有効化、アンチウイルスソフトによるエージェントのブロック、エージェントのインストール失敗や更新の失敗、エージェント承認の拒否、空き容量の低下によりエージェント要件を満たさなくなった際のエージェントの稼働不安定化など、エージェントが正常に稼働しないような環境では正常にパッチ管理できないおそれがあります。

通信を許可する必要があるドメイン

Endpoint Centralサーバーから以下のドメインとの通信が可能であることを確認してください。

管理対象のRed Hat端末から上記ドメインへの通信は必要ではありませんが、Red Hat端末のエンタイトルメント証明書の有効性が保たれるようにする必要があります。エンタイトルメント証明書の有効性を保つ確実な方法は、システム登録と有効なサブスクリプションを維持することです。システム登録には上記ドメイン以外との通信（subscription.rhn.redhat.comやsubscription.rhsm.redhat.com など）が必要になります。

その他の注意点

• AWS上のインスタンスなどRHUI環境のRed Hat端末（インスタンス）が管理対象に含まれる場合
  RHUIサブスクライブミラーにアクセスするため、アクティブな接続が必要です。

• Red Hat Satelliteを使用している場合
  Red Hat Satelliteサーバーを使用してシステム登録されているRed Hat端末が存在する場合、SatelliteがインストールされているRed Hat端末にもエージェントを必ずインストールする必要があります。
• Endpoint Central 11.3.2440.1より前のビルドからアップグレードする場合
  Endpoint Central 11.3.2440.1より前のビルドにおいて、Red Hatパッチ管理のために指定システムを設定していた場合、アップグレード後にRed Hat指定システムからエンタイトルメント証明書が自動的にアップロードされます。

Red Hat パッチ管理に必要な設定手順

1. Endpoint Centralを新規インストール、または以前のビルドからアップグレード後に、Red Hat端末エージェントをインストールします。
2. エージェントの承認設定を有効化している場合、承認を実行すると、「エージェント」タブ→「PC」一覧にRed Hat端末が表示されます（ここまでは通常のエージェントインストール手順です）。
3. 次のリフレッシュサイクルのタイミングで、最初に登録されたRed Hat端末（または指定システムだったRed Hat端末）からエンタイトルメント証明書が自動的に取得され、Endpoint Centralサーバーに保存されます（失敗した場合は、次回以降のリフレッシュサイクルで再試行されます）。
4. エンタイトルメント証明書がアップロードされるまで、「パッチ管理」タブ（または「脅威/パッチ」タブ） →「設定」→「Red Hat Linuxの設定」には何も表示されません。
   
   エンタイトルメント証明書のアップロードが完了し検証に成功するとシステム名が表示され、備考列に「証明書アップロードと検証プロセスが正常に完了しました。」が表示されます。
   
5. 検証が失敗した場合や手動で証明書をアップロードする場合は、アクション列の三点リーダーアイコンから操作します。

Red Hat パッチ管理の運用

他のOSのパッチ管理と同様に、パッチDBの定期的な同期・パッチスキャンを実行することで、管理対象Red Hat端末の欠落パッチが検出されます。ただしエンタイトルメント証明書の有効期限が切れると、パッチスキャンやパッチ配布が実行できなくなります。

• 欠落パッチを確認する場合、「パッチ管理」タブ（または「脅威/パッチ」タブ） →「パッチ」→「欠落パッチ」を確認します。
• 各管理対象ごとの状態を確認する場合、「パッチ管理」タブ（または「脅威/パッチ」タブ）→「システム」内の各ビューを確認します。「欠落システム」列の数字をクリックするとコンピューター名を一覧表示します。
• 依存パッチがYUMキャッシュにすべて存在している場合は、1回目の配布で依存パッチを含め、すべてのパッチが配布されます（1回目の配布のステータスは必ずしも「失敗」になりません）。配布開始時点ですべての依存パッチがYUMキャッシュに存在する状況となるよう、なるべく配布の直前にパッチスキャンを実行することを推奨します。
• エディションが複数ある場合、特定のエディションを無効化することも可能です。
• Linuxに対してパッチの拒否機能はサポートされていません。代替策として、yum.conf（dnf.conf）を編集する手順を実行します。
• 最新以外のマイナーリリースのパッチを管理する場合、Patch Manager Plusのこちらのナレッジをご参照ください。
• パッチDB上のRed Hat OSパッチに関する情報について、製品上のKB番号、Bulletin ID、パッチの種類は基本的に以下のように割り当てられます。
  • Red Hat errataにおける分類がRHSA: RHSA-XXXX-XXXXとして表示（パッチの種類: Security Updates）
  • Red Hat errataにおける分類がRHBA: RHNSA-XXXX-XXXXとして表示（パッチの種類: Non-Security Updates）
  • Red Hat errataにおける分類がRHEA: RHNSA-XXXX-XXXXとして表示（パッチの種類: Non-Security Updates）

ここまでの内容は、こちらの英語ドキュメントをベースに作成されています。
 

Endpoint Central 11.3.2440.1より前のRed Hatパッチ管理

Endpoint Central 11.3.2400.1より前（日本国内向けリリースの該当ビルド：Endpoint Central 11.3.2400.33以前、および Desktop Centralの各ビルド）のRed Hatパッチ管理においては、「指定システム（Nominated System）」という特別なエージェントを設定する必要があります。

Red Hat Enterprise Linux のパッケージ管理（パッチ管理）に必要な前提条件（Endpoint Central 11.3.2440.1より前のビルド）

• Endpoint Centralサーバーから https://access.redhat.com/ および https://console.redhat.com を始めとする、Red Hatに関係するドメインにアクセス可能なこと（インターネット接続のない環境（閉域、隔離ネットワーク）では、Red Hat のパッチ管理機能は基本的に使用できません。なお、Endpoint Centralサーバーがプロキシ経由でインターネットに接続する場合、プロキシ設定を完了させます。）
• Endpoint Centralサーバーのコンポーネントである「外部ダウンロードツール（External Download Tool）」がEndpoint Centralサーバーで実行可能なこと（通常この条件は自動的に満たされ、ツールは＜サーバーフォルダー＞\lib\Download Tool\に保存されます。ただし、Endpoint Central 11.2.2300.30 以前のビルドにおいて、外部ダウンロードツールが自動的に最新版にアップグレードされない事象が確認されています。詳細はお問い合わせいただくか、またはEndpoint Central 11.3.2400.33 以降のビルドをご利用ください。）
• 管理対象のRed Hat端末にEndpoint Centralエージェントがインストール可能なこと
• プロキシやファイアウォールが.jarや.rpmファイルをブロックしないこと
• 十分なRed Hat ライセンスを購入していること
• SCA(Simple Content Access)が有効化されていない場合、すべての管理対象のRed Hat端末について、有効期間内のサブスクリプションをそれぞれアタッチしていること
  ※ 2024年の秋に、一部の場合を除いて、これまでSCAが有効化されていなかった環境においてもRed Hat社によってSCAが有効化されています。SCAの有効化についての説明（Endpoint Centralへの影響）につきましては、こちらのナレッジをご覧ください。
• SCA(Simple Content Access)が有効化されている場合、すべての管理対象のRed Hat端末についてシステムをRed Hatに登録済みであり、かつEndpoint Centralのビルドが11.3.2400.33以降であること
• 有効なRed Hatライセンスに紐づく Red Hat アカウント(ユーザー名/パスワード)を持っていること

指定システム（Nominated System） の条件（Endpoint Central 11.3.2440.1より前のビルド）

指定システムは、特殊な役割を持つエージェントです。要件を満たすRed Hatマシンにエージェントをインストールし、指定システムとして設定する必要があります。
専用マシンとする必要はありませんが、以下の要件を満たす必要があります。

• Endpoint Centralエージェントがインストール済みのRed Hatマシンであること
  指定システムは、特殊な役割を持つエージェントです。指定システムに設定するRed Hatマシンには、Endpoint Centralエージェント（Linux用エージェント）をあらかじめインストールしておく必要があります。なおOSバージョン、ハードウェア要件については以下の追加要件があります。
  • ハードウェア要件
    • ハードディスクに 20 GB以上の空き容量があること
    • RAM サイズが 4 GB以上あること
    • プロセッサが Intel Core i3 (2 Core/4 Thread）2.0GHz 以上であること
    ※ 必要な空き容量について
    デフォルトではYUMキャッシュの保存先が"/"（ルートパーティション）です。そのため、ルートパーティションに上記要件を満たす空き容量が必要となります。なおYUMキャッシュの保存ディレクトリを変更する場合は、 /etc/yum.conf を編集します。詳細はHow to change the location of yum cache from the default /var/cache/yum?（Red Hat）をご覧ください。

     

  • ソフトウェア要件
    • 管理対象に含まれる Red Hat カテゴリ (Server / Desktop / Workstation) ごとに指定システムを設定する必要があります。
       
    • Red Hat 8, Red Hat 9 (Red HAt 8.3, Red Hat 9.1 など)を管理対象に追加する場合、Red Hat 8 以降（Red Hat 8.1, Red Hat 9.1 など、任意のマイナーリリース）のRed Hatマシン1台を指定システムに設定すれば、Red Hat 8, Red Hat 9 のパッチ管理が可能です。
      指定システムのOSバージョン
      OSの仕様上、Red Hat 7以降を指定システムに設定すれば Red Hat 8, Red Hat 9に必要なパッチを取得可能ですが、Endpoint Centralで Red Hat 7 のサポートを終了したため、Red Hat 8 以降をご用意ください。なおRed Hat 6 ではRed Hat 8, Red Hat 9 に必要なファイルを取得できないため、指定システムとして使用できません。
       
      OSのサポート期間とEndpoint Centralで対応可能なパッチ
      例えば Red Hat 8.6 は2022年にRed Hat社によるサポートが終了しており、Red Hat 7.9 は2024年6月30日にサポートが終了しています。
      Red Hat社による通常のサポートが終了し、Extended Update Support (EUS) などの延長サポートの期間に移行した場合、「指定システム」「指定システム以外の管理対象」ともに、Endpoint Centralで対応可能なパッチの種類が限定されます。詳細は、「最新以外のマイナーリリースのRed Hat Enterprise Linuxを利用することはできますか？」（Endpoint Centralと同等のパッチ管理機能をもつ、Patch Manager Plusのナレッジです）をご覧ください。

     

• RHUI形式ではないライセンスを持つこと
  指定システムにおいては、通常の（=RHUIではない）ライセンスが必要です（AWSやAzureなどのパブリッククラウド上では、通常RHUI形式のRed Hatライセンスが使用されています）。
   
• インターネット接続があること
  Red Hat Network（https://cdn.redhat.com/）にアクセス可能なこと、そのほか、Red Hatに関係するドメインにアクセス可能なことが必要です。
  （なお、Red Hat Networkは今後 Hybrid Cloud Console への統合がRed Hatより予告されています。そのため、Hybrid Cloud Console（https://console.redhat.com）へのアクセスも可能にしておく必要があります。）
   
• ダウンタイムを最小にすること
  メタファイルのダウンロードが失敗しないよう、指定システムのダウンタイムがなるべく短くなるようにします。
   

通信を許可する必要があるドメイン（Endpoint Central 11.3.2440.1より前のビルド）

Endpoint CentralサーバーにおいてRed Hatのパッチ（パッケージ）のダウンロードを実行するため、また、指定システムにおいてメタファイルのダウンロードを実行するために、以下のドメインへのアクセスをそれぞれ許可する必要があります。（なお、指定システム以外のエージェントにおいては、これらのドメインへのアクセスが許可されていなくても構いません。）

Endpoint Centralサーバーにおいて許可が必要なドメインについて、Red Hat以外のパッチ（例えばWindows端末に対するMicrosoft社によるパッチ）も含めた一覧はパッチダウンロードに必要な許可ドメイン一覧をご覧ください。

その他の注意点（Endpoint Central 11.3.2440.1より前のビルド）

Red Hatパッチ管理に必要な設定手順（Endpoint Central 11.3.2440.1より前のビルド）

Endpoint Central(Desktop Central) オンプレミス版では、Red Hatパッチ管理機能を使用するために、初回設定時にRed Hatアカウント情報と指定システム情報を入力する必要があります。

1. 「管理」タブ →「パッチ設定」→「Red Hat Linuxの設定」を開きます。
2. Red Hatサブスクリプションの取得に使用した資格情報を入力します。
   
3. [続行]をクリックしてしばらく（数分程度）待ちます。
   Endpoint Central(Desktop Central)サーバーからRed Hatポータル（https://access.redhat.com/downloads/）にアクセスし、ここで入力した資格情報を用いてログインできること、またこの資格情報にパッケージをダウンロードする権限があることを確認してください。このアカウント情報は、.rpmパッケージを検証・ダウンロードするために必要です。
   資格情報の入力後、いつまでも検証が終わらない場合は、サーバーログ、スクリーンショットを添えて技術サポートまでお問い合わせください。
4. 指定システムに設定する管理対象Red Hatマシンのホスト名を入力します。
   Red Hat にはサーバー/デスクトップ/ワークステーションといったカテゴリがあり、管理対象に含まれる各カテゴリごとに1台のシステムを指定する必要があります。通常サーバーなので「サーバー」を選択します。
   指定システムは専用マシンとする必要はありませんが、Red Hat パッチ管理に必須です。スペックには十分な余裕があることを確認します。

   

5. [保存]をクリックします。

以上で設定は完了です。指定システムの同期が完了すると、以下のような表示となります。今後Red Hat アカウントや指定システムを変更する場合は[編集]をクリックします。

Red Hatパッチ管理のアーキテクチャー（Endpoint Central 11.3.2440.1より前のビルド）

Endpoint Central 11.3.2440.1より前のビルド（Desktop Centralを含む）は、Red Hatパッチ管理を以下のように実行します。

1.キャッシュの作成時（Endpoint Central 11.3.2440.1より前のビルド）

キャッシュ作成は、初回設定時および必要に応じてに実行されます。

1. Desktop Centralサーバーは、管理対象Red Hatマシンのバージョンやアーキテクチャを検出します。
2. 指定システムがDesktop Centralサーバーからキャッシュ作成用プラグインをダウンロードします。プラグインは指定システムに常駐します。
3. 指定システムのプラグインはYUMを用いて、Red Hat管理対象に必要な「メタファイル」をダウンロードし、YUMキャッシュとして保存します。
4. 指定システムはDesktop Centralサーバーにメタファイルをアップロードします。
5. Desktop Centralサーバーは、メタファイルのデータを他の管理対象Red Hatマシンに配布します。
6. 管理対象Red Hatマシンはメタファイルを使用して欠落パッチと依存パッチを検出します。

2.パッチスキャンおよびパッチ配布時（Endpoint Central 11.3.2440.1より前のビルド）

1. Desktop Centralサーバーは、パッチDBから得た最新のRed Hatパッチ情報を「外部ダウンロードツール」と同期します。
2. Red Hatマシンのエージェントはパッチスキャンを実行し、欠落パッチを検出してDesktop Centralサーバーに送信します。
3. 製品ユーザーがRed Hatパッチ配布を構成します（手動配布の作成または自動配布タスク)。
4. Desktop Centralサーバー内のコンポーネント「外部ダウンロードツール」は、Red Hat Linuxの設定に登録されているRed Hatアカウント資格情報を使用してRed Hatポータルにアクセスし、Desktop CentralサーバーがRed Hat欠落パッチとその依存パッチをダウンロードします。
5. Desktop Centralサーバーはダウンロードしたパッチをパッチリポジトリに保存します。配信サーバーを使用している場合は、さらに配信サーバーに複製されます。
6. Red Hatマシンにパッチがダウンロードされ、インストールが実行されます。

Red Hat パッチ管理の運用（Endpoint Central 11.3.2440.1より前のビルド）

他のOSのパッチ管理と同様に、パッチDBの定期的な同期・パッチスキャンを実行することで、管理対象Red Hatマシンの欠落パッチが検出されます。

• 欠落パッチを確認する場合、「パッチ管理」タブ（または「脅威/パッチ」タブ） →「パッチ」→「欠落パッチ」を確認します。
• 各管理対象ごとの状態を確認する場合、「パッチ管理」タブ（または「脅威/パッチ」タブ） →「システム」内の各ビューを確認します。「欠落システム」列の数字をクリックするとコンピューター名を一覧表示します。
• Desktop Central 10.0.640以前のビルドでは、配布するパッチに未ダウンロードの依存パッチ（依存ファイル）がある場合、1回目の配布ではステータスが必ず「失敗」になります。詳細はこちらをご覧ください。
  Desktop Central 10.0.641以降およびEndpoint Centralでは仕様が変更され、依存パッチがYUMキャッシュにすべて存在している場合は、1回目の配布で依存パッチを含め、すべてのパッチが配布されます（1回目の配布のステータスは必ずしも「失敗」になりません）。配布開始時点ですべての依存パッチがYUMキャッシュに存在する状況となるよう、なるべく配布の直前にパッチスキャンを実行することを推奨します。