フィックスのインストール

オンラインで編集

WebSphere Automation UI の 「セキュリティー」 ページから、インベントリー内の 1 つ以上のサーバーに影響を与える CVE のフィックスをインストールできます。

開始前に

「セキュリティー・データの管理」 権限を持つユーザー・プロファイルが必要です。 詳細については、 「ロールと権限の設定」 を参照してください。
重要: WebSphere Automation は、 z/OS または iSeries プラットフォームにインストールされている WebSphere® Application Server または WebSphere Application Server Liberty 上のフィックスをインストールすることもアンインストールすることもできません。

このタスクについて

注:
  • 1人のユーザーが、共有ディレクトリを持つ別々のサーバーに複数のインストールを行おうとすると、生成される各ディレクトリは一意になります。 これにより、各設備が他の設備に干渉を与えることなく独立して動作することが保証される。
  • tWAS サーバーに関して、 WebSphere サーバーのIMオーナーがrootで、IMインストールディレクトリのオーナーが非rootユーザーである場合、特権の不一致が発生する。 インストールを root で実行すると、インストールディレクトリの所有者が root に変更され、サーバーの再起動に失敗します。 この問題を解決するために、Install Directoryの所有権を非rootユーザーに戻すタスクが導入され、サーバーの正常な再起動が保証されるようになりました。

手順

  1. にログインし WebSphere Automation、メニューで [操作 ]> [アプリケーションランタイム] をクリックします。
    詳細については、 「 WebSphere Automation UI へのアクセス」を参照してください。
  2. 必要に応じて、 「セキュリティー」 ページを開き、 「CVE」をクリックします。
    図1: フィックスのインストール状況を示す 「セキュリティー」 ページの例
    サーバー・インベントリーに影響を与えるセキュリティー脆弱性がある CVE ページの例。 列見出しには、リスク レベル、CVE、露出日数、修正されたサーバー、脆弱なサーバー、初期検出時間が含まれます。
    メニューオプション「 操作 > アプリケーションランタイム」 が表示されない場合、またはアクセス権限がない旨のメッセージが表示される場合は、そのページへのアクセス権限がありません。 権限の詳細については、 「ロールと権限」 を参照してください。
  3. リストから CVE を選択してクリックします。
    CVE ページの詳細については、 「サーバーに影響するセキュリティアラートの確認」 を参照してください。
  4. CVE の情報ページの 「影響を受けるサーバー」 セクションで、フィックスが適用されていないサーバーをメモします。 フィックスを適用する 1 つ以上のサーバーのチェック・ボックスを選択します。
    CVE 詳細ページの影響を受けるサーバーのセクションには、修正を適用するように選択されたサーバーが表示されます。

    リストされているサーバーが z/OS または iSeries プラットフォームにインストールされている場合は、詳細情報を示す情報アイコンが表示され、そのサーバーのチェック・ボックスは選択できません。

    登録済みサーバーと未登録サーバーの両方がターゲット・ホスト上の同じインストール済み環境に存在する場合、登録済みサーバーのみが 「影響を受けるサーバー」 セクションに表示されますが、 WebSphere Automation が登録済みサーバーにフィックスを適用すると、ターゲット・ホスト上の同じインストール済み環境内の未登録サーバーも修正されます。

  5. フィックスの取得とインストールのプロセスを開始するには、 「フィックスの準備」をクリックします。
    修正の準備 」ダイアログが開きます。
    「Prepare fix (修正の準備)」ダイアログ。修正タイプを選択するオプションと、修正ファイルをクリーンアップするためのセレクターを切り替えるオプションを含む最初のパネルが表示されます。
    1. 「グローバル・オプションの選択」 ページで、選択したサーバーに適用するフィックスのタイプを選択します。
      • この脆弱性に対するフィックスのみを適用するには、 iFix を選択します。
      • この脆弱性に対するフィックスだけでなく、インストールするサービス・レベルに含まれているすべての更新をインストールするには、 「フィックスパック」 を選択します。 脆弱性の iFix を含むサービス・レベルがまだ使用可能になっていない可能性があります。
    2. フィックスのインストール後に、ダウンロードしたフィックス・ファイルを WebSphere Automation ストレージから削除する場合は、 「フィックス・ファイルのクリーンアップ (Cleanup fix files)」 トグルを Onに設定します。

      選択した内容は、選択したすべてのサーバーに適用されます。

    3. 次へ をクリックします。
    4. 各グループにインストールするフィックスを選択します。
      複数のサーバーを選択した場合、それらのサーバーはインストール情報によってグループ化されます。 グループごとに、以下の手順を実行します。
      1. ターゲット・ホスト上のインストール済み環境内のサーバーを確認します。
        WebSphere Automation は、このリストにあるサーバーにフィックスを適用します。 ターゲット・ホスト上のインストール済み環境にも未登録のサーバーがある場合は、それらも修正されます。 実行中のインストール済み環境内のサーバーは、フィックスをインストールするために停止され、フィックスのインストール後に再始動されます。 インストール済み環境内のサーバーのうち、フィックスのインストール時に既に停止しているサーバーは、インストール後も停止したままになります。
        注: WebSphere Automation は、特定のサーバーに一度に 1 つのフィックスしかインストールできません。 フィックスがサーバーにインストールされている場合は、別のフィックスのインストールを開始しないでください。 フィックスのインストールの進行中に追加のフィックスをインストールしようとすると、「 Problem with request to install fix 」というエラー・メッセージが表示されます。
      2. 「フィックスの選択」 セクションに、脆弱性に対して使用可能なフィックスを表示するリストがあります。 このリストには、最新のフィックスパックおよびインテリム・フィックス ( iFixesとも呼ばれる) が含まれています。 デフォルトでは、このリストには最新のフィックスのみが表示されます。これは、使用可能なすべての iFixes およびフィックスパックを表示するオプションが最初は 「オフ」に切り替えられているためです。 使用可能なフィックスの全範囲を表示する場合は、このオプションを 「オン」に切り替えることができます。 システムは自動的にフィックスを選択しません。使用する特定のフィックスを選択できます。
        重要: WebSphere Application Server Network Deployment セル内のノードにフィックスパックをインストールする場合は、フィックスパックのバージョンをデプロイメント・マネージャー・ホストのバージョンと比較して確認してください。 デプロイメント・マネージャーのバージョンがフィックスパックのバージョンより古い場合、 WebSphere Application Server 管理コンソールに、ノード・エージェントの正しい実行状況と同期が表示されないことがあります。 詳しくは、 フィックスパックのインストール後のノード・エージェントの実行状況または同期のエラーを参照してください。
      3. フィックスパックをインストールすることを選択した場合は、 「ライセンスの表示」 リンクを使用してフィックスパック・ライセンスを確認します。 ライセンスに同意するには、 「ライセンスに同意する」 ボックスにチェック・マークを付けます。
      4. フィックスをインストールする前に WebSphere Automation でサーバー環境とメタデータのバックアップを作成する場合は、 「追加オプション」 を展開し、 「バックアップの作成」 トグルを「オン」に設定します。 バックアップは、 Installation Manager インストール・ディレクトリー、 Installation Manager データ・ディレクトリー、および WebSphere Application Server インストール・ディレクトリーのアーカイブです。 構成およびプロファイルをバックアップするには、既存の WebSphere Application Server プロセスまたは WebSphere Application Server Liberty プロセスを使用します。 詳細については、 「バックアップからサーバーを復元する」 を参照してください。
        注: WebSphere Application Server ディレクトリー所有者と IMCL 所有者の間に特権の不一致がある場合、root または指定されたユーザーへの自動エスカレーションにより、インストールの完了が試行されます。 バックアップ・フォルダーは、 WebSphere Application Server ディレクトリー所有者ではなく、特権ユーザーの .wsa ディレクトリーの下に作成されます。
      5. フィックスがダウンロードされるローカル・マシン上のパスを設定する場合は、 「ダウンロードのオーバーライド」 チェック・ボックスを選択し、 「ダウンロード・ディレクトリー」 フィールドにパスを入力します。
      6. 「グローバル・オプションの選択」 ページで行った 「修正ファイルのクリーンアップ」 トグルの選択が表示されますが、このページで変更することはできません。 この選択を編集するには、 「戻る」 をクリックして 「グローバル・オプションの選択」 ページに戻ります。
      7. Installation Manager が管理者モードでインストールされているが、 WebSphere Application Server ディレクトリー所有者に管理権限がない場合は、以下の情報を考慮してください。
        Linux上のサーバーの場合:
        • ターゲット・ホストで Installation Manager コマンドを実行するために使用できるシステム・ユーザーを指定できます。
        • 特定のユーザーが指定されておらず、権限の不一致が存在する場合、 WebSphere Application Server は、プレイブックが早期に失敗するリスクを軽減するために、自動的に権限を root レベルにエスカレートします。
        Windows上のサーバーの場合:
        • Installation Manager が管理者モードでインストールされている場合、インストールを管理するユーザーには管理権限が必要です。 より少ない特権でアカウントを開始してから、その権限を管理者にアップグレードすることはできません。
        • Installation Manager が単一ユーザーに対して排他的にインストールされている場合、ターゲット・ホストで Installation Manager コマンドを実行するユーザーを指定できます。ただし、それらのユーザーが必要な許可を持っている必要があります。
  6. 「フィックスのインストール」をクリックします。
    「フィックスのインストール」 ボタンがアクティブになっていない場合は、1 つ以上のグループに対してフィックスが選択されていません。
  7. 修正管理レコードの状況をモニターします。
    修正管理レコードの状態を監視する方法の詳細については、 「修正管理レコードの表示と管理」 を参照してください。

次のタスク

完了するまでフィックスのインストールをモニターします。 フィックスのインストールが失敗した場合は、 runbook.log ファイルを参照して、失敗の原因に関する詳細情報を確認してください。