安装修订

在线编辑

您可以从 WebSphere Automation UI 的 " 安全性 " 页面安装影响库存中一个或多个服务器的 CVE 修订。

准备工作

您必须具有具有 管理安全性数据 许可权的用户概要文件。 有关更多信息,请参阅配置角色和权限
要点: WebSphere Automation 无法在安装在 z/OS 或 iSeries 平台上的 WebSphere® Application ServerWebSphere Application Server Liberty 上安装或卸载修订。

关于本任务

注:
  • 当单个用户尝试在带有共享目录的独立服务器上进行多个安装时,生成的每个目录都将是唯一的。 这样可以确保每个装置都能独立运行,而不会对其他装置造成干扰。
  • 关于 tWAS 服务器,当 WebSphere 服务器的 IM 所有者是 root,而 IM 安装目录所有者是非 root 用户时,就会出现权限不匹配的问题。 如果安装由 root 执行,安装目录的所有权就会变为 root,导致服务器重启失败。 为了解决这个问题,我们引入了一项任务,将安装目录的所有权还原给非根用户,确保服务器重启成功。

过程

  1. 登录到 WebSphere Automation; 在菜单中,点击操作 > 应用程序运行时
    有关更多信息,请参阅访问 WebSphere 自动化用户界面
  2. 如果需要,打开 " 安全性 " 页面,然后单击 CVE
    图 1。 安装状态为修订的示例 " 安全性 " 页面
    具有影响服务器库存的安全漏洞的 CVE 页面示例。 列标题包括风险级别、CVE、暴露天数、固定服务器、易受攻击服务器和初始检测时间。
    若未看到菜单选项 “操作 > 应用程序运行时 ”,或出现“您无权访问”的提示,则表示您不具备访问该页面的权限。 有关权限的更多信息,请参阅角色和权限
  3. 从列表中选择并单击 CVE。
    有关 CVE 页面更多信息,请参阅查看影响您服务器的安全警报
  4. 在 CVE 的信息页面上的 受影响的服务器 部分中,记下尚未应用修订的服务器。 选中要对其应用修订的一个或多个服务器的复选框。
    CVE 详细信息页面的 "受影响服务器 "部分,显示已选择应用修复的服务器。

    如果列示的服务器安装在 z/OS 或 iSeries 平台上,那么将显示一个信息图标,其中包含更多信息,并且不能选中该服务器的复选框。

    如果已注册的服务器和未注册的服务器都存在于目标主机上的同一安装中,那么只有已注册的服务器才会出现在 受影响的服务器 部分中,但如果 WebSphere Automation 将修订应用于已注册的服务器,那么目标主机上同一安装中的未注册服务器也会固定。

  5. 要开始检索和安装修订的过程,请单击 准备修订
    此时将打开 " 准备修订 " 对话框。
    "准备修订" 对话框显示第一个面板,其中包含用于选择修订类型的选项和用于清除修订文件的切换选择器。
    1. 在 " 选择全局选项 " 页面上,选择要应用于所选服务器的修订类型。
      • 选择 iFix 以仅应用此漏洞的修订。
      • 选择 修订包 以不仅安装此漏洞的修订,还安装要安装的服务级别中包含的所有更新。 包含漏洞的 iFix 的服务级别可能尚不可用。
    2. 如果要在安装修订后从 WebSphere Automation 存储器中删除下载的修订文件,请将 清除修订文件 切换开关设置为 On

      您所作的选择将应用于所有所选服务器。

    3. 单击下一步
    4. 选择要为每个组安装的修订。
      如果选择了多个服务器,那么将按安装信息对这些服务器进行分组。 对于每个组,请完成以下步骤。
      1. 查看目标主机上安装中的服务器。
        WebSphere Automation 将修订应用于此列表中的服务器。 如果目标主机上的安装还有未注册的服务器,那么它们也是固定的。 正在运行的安装中的服务器将停止以安装修订,并在安装修订后重新启动。 安装修订时已停止的安装中的任何服务器在安装后仍将停止。
        注: WebSphere Automation 一次只能在特定服务器上安装一个修订。 如果正在服务器上安装修订,请勿启动另一修订的安装。 当正在安装修订时尝试安装更多修订会导致 请求安装修订时发生问题 错误消息。
      2. 选择修订 部分中,可以找到显示漏洞的可用修订的列表。 该列表包含最新的修订包和临时修订,也称为 iFixes。 缺省情况下,此列表仅显示最新修订,因为用于查看所有可用 iFixes 和修订包的选项最初已切换为 OFF。 如果要查看完整范围的可用修订,那么可以切换此选项 ON。 系统不会自动选择修订; 您可以选择要使用的特定修订。
        重要信息: 将修订包安装到 WebSphere Application Server Network Deployment 单元中的节点时,请针对 Deployment Manager 主机的版本检查修订包的版本。 如果 Deployment Manager 版本低于修订包版本,那么 WebSphere Application Server 管理控制台可能不会显示 Node Agent 的正确运行状态和同步。 有关更多信息,请参阅 安装修订包后 Node Agent 的运行状态或同步错误
      3. 如果选择安装修订包,请使用 查看许可证 链接来查看修订包许可证。 要接受许可证,请选中 接受许可证 框。
      4. 如果希望 WebSphere Automation 在安装修订之前创建服务器环境和元数据的备份,请展开 其他选项 并将 创建备份 开关设置为 "打开"。 备份是 Installation Manager 安装目录, Installation Manager 数据目录和 WebSphere Application Server 安装目录的归档。 要备份配置和概要文件,请使用现有 WebSphere Application ServerWebSphere Application Server Liberty 进程。 有关更多信息,请参阅从备份恢复服务器
        注: 如果 WebSphere Application Server 目录所有者与 IMCL 所有者之间存在特权不匹配,那么会自动升级到 root 用户或提供的用户以尝试完成安装。 备份文件夹是在特权用户 (而不是 WebSphere Application Server 目录所有者) 的 .wsa 目录下创建的。
      5. 如果要在下载修订的本地机器上设置路径,请选中 覆盖下载 复选框,然后在 下载目录 字段中输入路径。
      6. 将显示您在 " 选择全局选项 " 页面上选择的 清除修订文件 切换开关,但无法在此页面上进行更改。 要编辑此选择,请单击 上一步 以返回到 " 选择全局选项 " 页面。
      7. 如果以管理员方式安装了 Installation Manager ,但 WebSphere Application Server 目录所有者没有管理许可权,请考虑以下信息。
        对于 Linux上的服务器:
        • 您可以指定可用于在目标主机上运行 Installation Manager 命令的系统用户。
        • 如果未指定特定用户,并且存在许可权差异,那么 WebSphere Application Server 会自动将许可权升级到 root 级别,以尝试降低运行手册过早失败的风险。
        对于 Windows上的服务器:
        • 以管理员方式安装 Installation Manager 时,管理安装的用户必须具有管理许可权。 不能以较少的特权启动帐户,然后将其许可权升级为管理员。
        • 如果专门为单个用户安装了 Installation Manager ,那么您可以指定用户在目标主机上运行 Installation Manager 命令,前提是这些用户具有必需的许可权。
  6. 单击 安装修订
    如果 安装修订 按钮未处于活动状态,那么不会为一个或多个组选择修订。
  7. 监视修订管理记录状态。
    有关监控修复管理记录状态的更多信息,请参阅查看和管理修复管理记录

下一步操作

监视修订的安装,直到其完成为止。 如果安装修订失败,请查看 runbook.log 文件以获取有关失败原因的更多信息。