Welcome to OCS Inventory NG community support, where you can ask questions and receive answers from other members of the community.

Please ask questions only in English or French.

Release 2.10.0 available

The official documentation can be found on http://wiki.ocsinventory-ng.org. Read it before asking your question.

Installation de l'agent Unix sur RedHat 8.6

Bonjour,

Merci de me consacrer un peu de votre temps. 

Je souhaite installer la dernière version de l'agent unix (2.9.3 à cette date) sur un serveur RedHat 8.6 mais je n'arrive pas à installer les prérequis de la documentation officielle "OCS Inventory NG Agent 2.x on Unix Operating Systems".

C'est la première fois que j'installe l'agent OCS sur RHEL jusqu'ici j'ai eu besoin de le déployer seulement sur des distributions de Debian et ses dérivés sans aucun soucis. 

[moi@REDHAT ~]$ sudo yum install perl-XML-Simple perl-devel perl-Compress-Zlib perl-Net-IP perl-LWP perl-Digest-MD5 perl-Net-SSLeay perl-Data-UUID

Mise à jour des référentiels de gestion des abonnements.

Red Hat Enterprise Linux 8 for x86_64 - BaseOS   23 MB/s |  50 MB     00:02

Red Hat Enterprise Linux 8 for x86_64 - AppStre  23 MB/s |  45 MB     00:01

Dernière vérification de l’expiration des métadonnées effectuée il y a 0:00:13 le ven. 15 juil. 2022 10:14:40 CEST.

Aucune correspondance pour le paramètre: perl-Net-IP

Aucune correspondance pour le paramètre: perl-LWP

Aucune correspondance pour le paramètre: perl-Data-UUID

Erreur : Impossible de trouver une correspondance: perl-Net-IP perl-LWP perl-Data-UUID

[moi@REDHAT ~]$ sudo yum install perl-Crypt-SSLeay perl-Net-SNMP perl-Proc-Daemon perl-Proc-PID-File perl-Sys-Syslog pciutils smartmontools monitor-edid

Mise à jour des référentiels de gestion des abonnements.

Dernière vérification de l’expiration des métadonnées effectuée il y a 0:01:24 le ven. 15 juil. 2022 10:14:40 CEST.

Aucune correspondance pour le paramètre: perl-Crypt-SSLeay

Aucune correspondance pour le paramètre: perl-Net-SNMP

Aucune correspondance pour le paramètre: perl-Proc-Daemon

Aucune correspondance pour le paramètre: perl-Proc-PID-File

Le paquet pciutils-3.7.0-1.el8.x86_64 est déjà installé.

Aucune correspondance pour le paramètre: monitor-edid

Erreur : Impossible de trouver une correspondance: perl-Crypt-SSLeay perl-Net-SNMP perl-Proc-Daemon perl-Proc-PID-File monitor-edid

Comme cela ne fonctionnait pas j'ai essayé d'installer le package epel mais j'ai eu la même erreur.

[moi@REDHAT ~]$ sudo yum install epel-release

Mise à jour des référentiels de gestion des abonnements.

Dernière vérification de l’expiration des métadonnées effectuée il y a 0:03:28 le ven. 15 juil. 2022 10:14:40 CEST.

Aucune correspondance pour le paramètre: epel-release

Erreur : Impossible de trouver une correspondance: epel-release

Comment puis-je trouver ces paquets ?

in OCS Inventory NG agent for Unix by (480 points)
edited by

8 Answers

0 votes
0 votes

Merci de votre contribution j'ai essayé mais j'ai le même blocage. J'arrive à installer perl mais je n'arrive pas à installer les modules manquants.

[moi@REDHAT ~]$ sudo yum --allowerasing install perl

...

Terminé !

[moi@REDHAT ~]$ sudo yum --allowerasing install 'perl(Net::IP)'

Mise à jour des référentiels de gestion des abonnements.

Dernière vérification de l’expiration des métadonnées effectuée il y a 0:28:25 le ven. 15 juil. 2022 10:14:40 CEST.

Aucune correspondance pour le paramètre: perl(Net::IP)

Erreur : Impossible de trouver une correspondance: perl(Net::IP)

J'utilise le fichier "rhel-8.6-x86_64-boot.iso" pour l'installation de RedHat. Est-ce un repo manquant par défaut ?

by (480 points)
edited by
0 votes
Avec une RedHat (ou une Centos) ou d'autres distributions, une fois la machine installée, il est essentiel d'ajuster les repository afin que la machine puisse se mettre à jour.

Le fichier indiqué me semble être un repository réduit généralement sur l'iso d'install. Donc ce n'est pas bon.

D'ailleurs, le fait de ne pouvoir installer 'epel-release' aurait du 'allumer la lampe' ...
by (9.3k points)
0 votes

J'ai allumé la lampe mais elle ne semble pas fonctionner. frown Peut-être que je dois changer les ampoules. laugh

J'ai réinstallé la VM avec l'iso "rhel-8.6-x86_64-dvd" de 10,6Go mais j'ai toujours les mêmes erreurs qu'avec l'iso "rhel-8.6-x86_64-boot" de 846 Mo.

Merci.

by (480 points)
edited by
0 votes

C'est résolu. Je partage pour ceux que ça intéresse.

Dans l'exemple ci-après vous trouverez l'installation de la dernière version de l'agent unix OCS Inventory NG avec l'inventaire en HTTPS vers le site ocsng.monentreprise.fr qu'il faudra remplacé dans les commandes ci-après par votre configuration serveur.

Préalablement j'ai copié le certificat CA local avec WinSCP sur la VM.

Ajout le certificat de mon CA local comme autorité de certification de confiance

sudo cp /home/moi/cacert.crt /etc/pki/ca-trust/source/anchors/

sudo update-ca-trust

sudo rm -f /home/moi/cacert.crt

Installation de la dernière version de l'agent unix OCS Inventory NG sur RedHat 8.6

sudo subscription-manager repos --enable codeready-builder-for-rhel-8-$(arch)-rpms

sudo dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

sudo dnf install -y https://rpm.ocsinventory-ng.org/ocsinventory-release-latest.el8.ocs.noarch.rpm

sudo dnf install -y nmap perl-Net-SNMP

sudo dnf install -y ocsinventory-agent

Copie du certificat CA local à l'emplacement par défaut

cd /var/lib/ocsinventory-agent

sudo mkdir https:__ocsng.monentreprise.fr_ocsinventory

sudo cp /etc/pki/ca-trust/source/anchors/cacert.crt /var/lib/ocsinventory-agent/https:__ocsng.monentreprise.fr_ocsinventory/cacert.pem

Edition de la configuration de l'agent 

Vous n'êtes pas obligé d'installer et d'utiliser nano. Vous pouvez utiliser vim ou tout autre solution alternative.

sudo dnf install -y nano

sudo nano /etc/ocsinventory/ocsinventory-agent.cfg

ocsinventory-agent.cfg : 

#

# OCS Inventory "Unix Unified Agent" Configuration File

#

# options used by cron job overides this (see /etc/sysconfig/ocsinventory-agent)

#

# Server URL, unconmment if needed

# server = your.ocsserver.name

server = https://ocsng.monentreprise.fr/ocsinventory

#local = /var/lib/ocsinventory-agent

basevarlib = /var/lib/ocsinventory-agent

# Administrative TAG (optional, must be filed before first inventory)

# tag = your_tag

tag = MAVILLE

# How to log, can be File,Stderr,Syslog

logger = Stderr

logfile = /var/log/ocsinventory-agent/ocsinventory-agent.log

Mise à jour de la DB et envoi d'un inventaire

sudo updatedb

sudo ocsinventory-agent

Vérification de l'envoi de l'inventaire

cat /var/log/ocsinventory-agent/ocsinventory-agent.log

ocsinventory-agent.log :

[Wed Jul 20 17:02:42 2022][info] Accountinfo file doesn't exist. I create an empty one.

[Wed Jul 20 17:02:48 2022][info] PROLOG_FREQ has changed since last process(old=,new=24)

[Wed Jul 20 17:03:05 2022][info] [download] Beginning work. I am 12345.

[Wed Jul 20 17:03:05 2022][info] [download] No more package to download.

Tout est OK.

by (480 points)
edited by
0 votes
Bon retour.

Il est notable que l'agent OCS doit TOUJOURS être de niveau INFERIEUR ou EGAL à la version du serveur OCS. De plus, un agent inférieur n'est pas une tare : au plus, il manquera quelques infos dont l'identification n'est apportée par l'ultime version de l'agent. Enfin le site 'rpm.ocsinventory-ng.org' (ou 'deb.ocsinventory-ng.org') contient QUE la dernière version de l'agent.

AMHA, un agent 'pas trop ancien' issu des repository standard de le distribution fonctionne bien ou très bien. (Attention certains OS imposent un niveau d'agent maximum !)

------------------------

NB : je viens d'upgrader le serveur OCS au sein d'une assez grande entreprise (environ 8.000 machines actives s'inventoriant tous les jours). La difficulté de l'opération était que le serveur était en 2.0.5 et l'agent (Windows et Linux) 2.0.5 : pour les machines Windows, le script utilisait OCS-Agent-Setup.exe en version 2.0.5; pour les machines Linux, il était hors de question d'utiliser l'agent issu du repository de la distribution !! Au sein de grand parc, il y a un fonctionnement à définir qui tient compte de la réalité et non des possibilités ... (J'ai réussi à upgrader le serveur à 2.8.1 et à préparer l'upgrade de l'agent à 2.4 jusqu'à 2.8.)
by (9.3k points)
0 votes

Pour moi il faut mettre à jour les serveurs et les agents s'il y a une faille répertoriée dans CVE-Search pour ne pas permettre l'utilisation de cette faille via un ordinateur infecté sur le parc même si je suis conscient que c'est compliqué parfois en temps homme et en interruption de service. 

Je n'ai pas encore refait la mise à jour des serveurs, ils sont toujours en version 2.9.2. Je n'ai jamais rencontré de disfonctionnement avec un agent légèrement plus récent que le serveur sur d'ancienne version d'OCS (serveur 2.X.Y et agent 2.X.Z). Je prend en compte ta remarque et je vais regarder pour tester la mise à niveau vers la version 2.10.0 hors production.

Comme je désactive TLS 1.0 et TLS 1.1 sur mes serveurs OCS pour les audits RSSI cela ne risque pas de marcher sur les anciens systèmes (XP, distri linux obsolète, etc ..). 

Debian : /etc/apache2/mods-available/ssl.conf

CentOS : /etc/httpd/conf.d/ssl.conf 

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

Par principe je met au budget de l'année suivante tout serveur, poste et logiciel (erp, etc..) arrivée à sa fin de support. Bien sûr tout ne passe pas au budget mais ce n'est plus de mon ressort. J'ai des parcs avec un zéro en moins de fait c'est moins contraignant. 

by (480 points)
edited by
0 votes
L'agent doit TOUJOURS être INFERIEUR ou EGAL à la version du serveur.

Exemple : l'agent 2.8.1 fonctionne avec le serveur 2.8.0 : n'est comparé que '2.8' !

Concernant TLS, un agent Windows fonctionne différemment d'un agent Linux, parce que Linux intègre les librairies 'partagées' qui gère la communication HTTP/HTTPS sur lesquelles s'appuie l'agent.

De plus, l'arrêt du support de TLS <1.2, dans Apache, est bien inclus dans les distributions. On peut donc arriver à la situation suivante

- on créé un nouveau serveur sur une distribution Linux récente

- on installe le même OCS et on restaure une sauvegarde de MySQL/MariaDB

- on met en service

- une (très) vieille machine ne peut plus s'inventorier

Exemple : un XP, limité à 2.1.1.1 ne supporte pas TLS 1.2 qui est seul supporté par un Apache2 moderne dans sa config par défaut ...
by (9.3k points)
 
Powered by Question2Answer
...