Artikel III Installera via ett globalt nätverk

I den här delen beskrivs hur du installerar ett system via ett globalt nätverk (WAN).

Kapitel 11 WAN-start (Översikt)

Det här kapitlet ger en översikt över installationsmetoden WAN-start. I det här kapitlet beskrivs följande ämnen:

• Vad är WAN-start?

• När ska du använda WAN-start?

• Så här fungerar WAN-start (Översikt)

• Säkerhetskonfigurationer som stöds av WAN-start (Översikt)

Vad är WAN-start?

Med installationsmetoden WAN-start kan du starta och installera programvara över ett WAN (Wide Area Network) genom att använda HTTP. Genom att använda WAN-start kan du installera operativsystemet Solaris på SPARC-baserade system via ett stort offentligt nätverk där nätverkets infrastruktur kanske inte är tillförlitlig. Du kan använda WAN-start med säkerhetsfunktioner om du vill öka datasekretessen och installationsavbildningsintegriteten.

Med installationsmetoden WAN-start kan du skicka ett krypterat Solaris Flash-arkiv över ett offentligt nätverk till en SPARC-baserad fjärrklient. WAN-startprogrammen installerar sedan klientsystemet med en anpassad JumpStart-installation. Du kan skydda installationens integritet genom att verifiera och kryptera data med privata nycklar. Du kan även skicka installationsdata och installationsfiler över en säker HTTP-anslutning genom att konfigurera systemen att använda digitala certifikat.

Om du vill göra en WAN-start-installation installerar du först ett SPARC-baserat system genom att hämta följande information från en webbserver över en HTTP- eller säker HTTP-anslutning.

• Programmet wanboot – Programmet wanboot är ett andranivåns startprogram som laddar WAN-startminiroten, klientkonfigurationsfiler och installationsfiler. Med programmet wanboot utför du åtgärder som liknar dem som görs med andranivåstartprogrammen ufsboot och inetboot.

• WAN-startfilsystem – WAN-start använder flera olika filer för att konfigurera klienten och hämta data som används för att installera klientsystemet. De här filerna finns i katalogen /etc/netboot på webbservern. Med hjälp av programmet wanboot-cgi skickas de här filerna till klienten som ett filsystem, kallat WAN-startfilsystemet.

• WAN-startminirot – WAN-startminiroten är en version av Solaris-miniroten som har ändrats till att utföra en WAN-startinstallation. Precis som Solaris-miniroten innehåller WAN-startminiroten en kärna och den minsta möjliga mängd programvara som krävs för att installera operativmiljön Solaris. WAN-startminiroten innehåller en del av de programvaror som finns i Solaris-miniroten.

• Konfigurationsfiler för anpassad JumpStart – För att installera systemet skickar WAN-starten sysidcfg, rules.ok och profilfiler till klienten. Med hjälp av de här filerna installeras sedan klientsystemet med en anpassad JumpStart-installation.

• Solaris Flash-arkiv – Ett Solaris Flash-arkiv är en samling filer som du kopierar från ett huvudsystem. Du kan sedan installera klientsystem med det här arkivet. WAN-start installerar Solaris Flash-arkiv på klientsystemet genom att använda installtionsmetoden anpassad JumpStart. När du har installerat ett arkiv på ett klientsystem innehåller systemet exakt samma konfiguration som huvudsystemet.

Du kan sedan installera arkivet på klienten genom att använda installationsmetoden anpassad JumpStart.

Du kan skydda överföringen av ovanstående information med hjälp av nycklar och digitala certifikat.

En mer detaljerad beskrivning av händelseförloppet i en WAN-startinstallation finns i Så här fungerar WAN-start (Översikt).

När ska du använda WAN-start?

Med Installationsmetoden WAN-start kan du installera SPARC-baserade system som finns i geografiskt skilda områden. Du kan använda WAN-start vid installation av fjärrservrar eller fjärrklienter som det bara går att nå över ett offentligt nätverk.

Om du vill installera system som finns i det lokala nätverket kräver Installationsmetoden WAN-start onödigt mycket konfiguration och administration. Information om hur du installerar system via ett lokalt nätverk (LAN) finns i Kapitel 7, Förbereda installation över nätverket (Översikt).

Så här fungerar WAN-start (Översikt)

WAN-start använder en kombination av servrar, konfigurationsfiler, CGI-program och installationsfiler för installationer på SPARC-baserade fjärrklienter. I det här avsnittet beskrivs det allmänna händelseförloppet under en WAN-start-installation.

Händelseförlopp under en WAN-start-installation

Figur 11–1 visar standardsekvensen med händelser i en WAN-start-installation. Den här bilden beskriver en SPARC-baserad klient som hämtar konfigurationsdata och installationsfiler från en webbserver och en installationsserver över ett WAN-nätverk.

Figur 11–1 Händelseförlopp under en WAN-startinstallation

1. Starta klienten på ett av följande sätt.

   • Starta från nätverket genom att ange variablerna för nätverksgränssnittet i OBP (öppen start-PROM).

   • Starta från nätverket med DHCP-alternativet.

   • Starta från lokal cd-skiva.

2. Klientens OBP tar emot konfigurationsinformation från en av följande källor.

   • Från startargumentvärden som anges på kommandoraden av användaren

   • Från DHCP-servern om nätverket använder DHCP

3. Klientens OBP skickar en begäran till andranivåstartprogrammet WAN-start (wanboot).

   Klientens OBP hämtar programmet wanboot från följande källor.

   • Från en speciell webbserver, kallad WAN-startserver, via HTTP (Hyper Text Transfer Protocol)

   • Från en lokal cd-skiva (visas inte på bilden)

4. Programmet wanboot begär att klientkonfigurationsinformation ska skickas från WAN-startservern.

5. Programmet wanboot hämtar konfigurationsfiler som skickas av wanboot-cgi-programmet från WAN-startservern. Konfigurationsfilerna skickas till klienten som WAN-startfilsystemet.

6. Programmet wanboot begär att WAN-startminiroten ska hämtas från WAN-startservern.

7. Programmet wanboot hämtar WAN-startminiroten från WAN-startservern via HTTP eller säker HTTP.

8. Programmet wanboot laddar och kör UNIX-kärnan från WAN-startminiroten.

9. UNIX-kärnan lokaliserar och monterar WAN-startfilsystemet som ska användas av installationsprogrammet för Solaris.

10. Installationsprogrammet begär att ett Solaris Flash-arkiv och anpassade JumpStart-filer ska hämtas från en installationsserver.

    Installationsprogrammet hämtar arkivet och de anpassade JumpStart-filerna över en HTTP- eller HTTPS-anslutning.

11. Installationsprogrammet installerar Solaris Flash-arkivet på klienten med en anpassad JumpStart-installation.

Skydda data under en WAN-start-installation

Med installationsmetoden WAN-start kan du skydda systemdata under installationen genom att använda hashnings- och krypteringsnycklar och digitala certifikat. I det här avsnittet beskrivs kortfattat de olika metoder för dataskydd som stöds av installationsmetoden WAN-start.

Kontrollera dataintegritet med en hashningsnyckel

Om du vill skydda data som skickas från WAN-startservern till klienten kan du generera en HMAC-nyckel (Hashed Message Authentication Code). Du kan installera den här hashningsnyckeln på både WAN-startservern och klienten. WAN-startservern använder den här nyckeln för att signera data som ska överföras till klienten. Klienten använder sedan nyckeln för att verifiera integriteten för de data som överförs av WAN-startservern. När du har installerat en hashningsnyckel på en klient använder klienten den här nyckeln för framtida WAN-startinstallationer.

Instruktioner för hur du använder en hashningsnyckel finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

Kryptera data med krypteringsnycklar

Med hjälp av Installationsmetoden WAN-start kan du kryptera data som du överför från WAN-startservern till klienten. Du kan använda WAN-startverktygen om du vill skapa en 3DES- eller AES-krypteringsnyckel. Den här nyckeln kan du sedan göra tillgänglig för både WAN-start-servern och klienten. WAN-start använder krypteringsnyckeln för att kryptera data som skickas från WAN-start-servern till klienten. På klienten används sedan den här nyckeln för att dekryptera de krypterade konfigurations- och säkerhetsfiler som överförts under installationen.

När du har installerat en krypteringsnyckel på en klient använder klienten den här nyckeln för framtida WAN-startinstallationer.

Det är inte säkert att webbplatsen tillåter användningen av krypteringsnycklar. Fråga webbplatsens säkerhetsadministratör om du vill veta om kryptering tillåts. Om kryptering tillåts frågar du säkerhetsadministratören vilken typ av krypteringsnyckel som ska användas, 3DES eller AES.

Instruktioner för hur du använder krypteringsnycklar finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

Skydda data med HTTPS

WAN-start stöder HTTP över SSL (HTTPS) vid överföring av data mellan WAN-startservern och klienten. Genom att använda HTTPS kan du kräva att servern eller både servern och klienten autentiseras under installationen. Dessutom krypterar HTTPS data som överförs från servern till klienten under installationen.

HTTPS använder digitala certifikat för att autentisera system som kan utbyta data via nätverket. Ett digitalt certifikat är en fil som anger talar om att det aktuella systemet, antingen en server eller en klient, är pålitligt under kommunikation online. Du kan begära ett digitalt certifikat från en extern certifikatmyndighet (CA) eller du kan skapa egna certifikat som du autentiserar.

Du måste installera ett digitalt certifikat på servern om du vill att klienten ska acceptera data från servern. Sedan instruerar du klienten att det är ett betrott certifikat. Du kan också kräva att klienten autentiseras för servrar genom att förse den med ett digitalt certifikat. Sedan kan du instruera servern att acceptera certifikatets signatur när certifikatet presenteras under installationen.

Om du vill använda digitala certifikat under installationen måste du konfigurera webbservern att använda HTTPS. Information om hur du använder HTTPS finns i dokumentationen för webbservern.

Information om kraven för att använda digitala certifikat under WAN-startinstallationen finns i Krav för digitala certifikat. Instruktioner för hur du använder digitala certifikat i WAN-startinstallationen finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.

Säkerhetskonfigurationer som stöds av WAN-start (Översikt)

WAN-start stöder varierande säkerhetsnivåer. För att möta de krav som ställs på nätverket kan du använda en kombination av de säkerhetsfunktioner som stöds i WAN-start. En säkrare konfiguration kräver mer administration men skyddar även ditt system i större utsträckning. För mer kritiska system, eller för system som du vill installera via ett offentligt nätverk, kanske du väljer konfigurationen i Säker installationskonfiguration för WAN-start. För mindre kritiska system, eller system i delvis privata nätverk, kan du överväga den konfiguration som beskrivs i Osäker installationskonfiguration för WAN-start.

I det här avsnittet beskrivs kortfatta de olika säkerhetskonfigurationer som du kan använda när du anger säkerhetsnivå för WAN-start-installationen. Dessutom beskrivs de säkerhetsmekanismer som krävs för dessa konfigurationer.

Säker installationskonfiguration för WAN-start

Den här konfigurationen skyddar integriteten för de data som utbyts mellan servern och klienten och hjälper till att bevara sekretessen för innehållet. Den här konfigurationen använder en HTTPS-anslutning och använder antingen 3DES- eller AES-algoritmen vid kryptering av klientkonfigurationsfilerna. Den här konfigurationen kräver att servern autentiseras för klienten under installationen. För en säker WAN-startinstallation krävs följande säkerhetsfunktioner.

• HTTPS måste vara aktiverat på WAN-start- och installationsservern

• HMAC SHA1-hashningsnyckel måste finnas på WAN-start-servern och klienten

• 3DES- eller AES-krypteringsnyckel måste finnas på WAN-start-servern och klienten

• WAN-start-servern måste ha ett digitalt certifikat utfärdat av en certifikatmyndighet (CA)

Om du dessutom vill att klienten ska autentiseras under installationen måste du använda följande säkerhetsfunktioner.

• WAN-startservern måste ha en privat nyckel

• Klienten måste ha ett digitalt certifikat

En lista med de uppgifter som krävs för att installera med den här konfigurationen finns i Tabell 13–1.

Osäker installationskonfiguration för WAN-start

Den här säkerhetskonfigurationen kräver minst administration men ger också den minst säkra överföring av data från webbservern till klienten. Du behöver varken hashnings- och krypteringsnycklar eller digitala certifikat. Du behöver inte konfigurera servern att använda HTTPS. Däremot överförs installationsdata och filer över en HTTP-anslutning med den här konfigurationen vilket innebär att installationen är öppen för attacker över nätverket.

Om du vill att klienten ska kontrollera integriteten för de data som överförs kan du använda en HMAC SHA1-hashningsnyckel med den här konfigurationen. Solaris Flash-arkivet skyddas dock inte av hashningsnyckeln. Arkivet skickas med en osäker överföring mellan servern och klienten under installationen.

En lista med de uppgifter som krävs för att installera med den här konfigurationen finns i Tabell 13–2.

Kapitel 12 Förbereda installation med WAN-start (Planering)

I det här kapitlet beskrivs hur du förbereder nätverket för en WAN-start-installation. I det här kapitlet beskrivs följande ämnen:

• Krav och riktlinjer för WAN-start

• Säkerhetsbegränsningar för WAN-start

• Samla information för WAN-startinstallationer

Krav och riktlinjer för WAN-start

I det här avsnittet beskrivs systemkraven för att du ska kunna utföra en WAN-start-installation.

Krav och riktlinjer för webbserverprogramvaran

Webbserverprogramvaran som du använder på WAN-startservern och installationsservern måste uppfylla följande krav.

• Operativsystemskrav – Med WAN-start följer ett CGI-program (wanboot-cgi) som konverterar data och filer till ett specifikt format som förväntas av klientdatorn. Om du vill utföra en WAN-startinstallation med de här skripten måste webbserverprogramvaran köras på Solaris 9 12/03 OS eller kompatibel version.

• Filstorleksbegränsningar – Webbserverprogramvaran kan begränsa storleken på filerna som kan skickas över HTTP. Kontrollera i dokumentationen för webbservern om du vill försäkra dig om att programvaran kan överföra filer som har samma storlek som Solaris Flash-arkivet.

• SSL-stöd – Om du vill använda HTTPS i WAN-startinstallationen måste webbserverprogramvaran innehålla stöd för SSL version 3.

Serverkonfigurationsalternativ

Du kan anpassa konfigurationen för de servrar som måste uppfylla de krav WAN-start ställer på nätverket. Du kan låta en dator vara värd för alla servrarna eller placera dem på flera datorer.

• En server – Om du vill centralisera WAN-startdata och filer på en dator kan du låta samma dator vara värd för alla servrarna. Du kan administrera olika servrar på ett system och du behöver bara konfigurera ett system som webbserver. Emellertid kanske det inte räcker med en server för att klara den trafikvolym som krävs för ett stort antal samtidiga WAN-startinstallationer.

• Flera servrar – Om du vill distribuera installationsdata och installationsfiler över nätverket kan du låta flera datorer vara värdar för de olika servrarna. Du kan konfigurera en central WAN-startserver och flera installationsservrar att vara värdar för Solaris Flash-arkiv över nätverket. Om installationsservern och inloggningsservern finns på olika datorer måste du konfigurera servrarna som webbservrar.

Lagra installations- och konfigurationsfiler i dokumentrotkatalogen

Programmet wanboot-cgi överför följande filer under en WAN-startinstallation.

• Programmet wanboot

• WAN-startminiroten

• Anpassade JumpStart-filer

• Solaris Flash-arkiv

Om du vill aktivera överföringen av de här filerna med programmet wanboot-cgi måste du lagra de här filerna i en katalog som webbserverprogramvaran har åtkomst till. Ett sätt att göra de här filerna åtkomliga är att placera dem i dokumentroten på webbservern.

Dokumentroten, eller den primära dokumentkatalogen, är den katalog på webbservern där du lagrar filer som du vill göra tillgängliga för klienter. Du kan namnge och konfigurera den här katalogen i webbserverprogramvaran. Information om hur du konfigurerar dokumentrotkatalogen på webbservern finns i dokumentationen.

Om du vill kan du skapa olika underkataloger i dokumentrotkatalogen där du lagrar olika installations- och konfigurationsfiler. Du kanske vill skapa specifika underkataloger för varje grupp av klienter som ska installeras. Om du tänker installera flera olika versioner av Solaris OS på nätverket kan du skapa underkataloger för varje version.

Figur 12–1 visar en grundläggande exempelstruktur för en dokumentrotkatalog. I det här exemplet finns WAN-startservern och installationsservern på samma dator. På servern körs webbservern Apache.

Figur 12–1 Exempelstruktur för dokumentrotkatalogen

I det här exemplet på dokumentkatalog används följande struktur.

• Katalogen /opt/apache/htdocs är dokumentrotkatalog.

• WAN-startminirotkatalogen (miniroot) innehåller WAN-startminiroten.

• Katalogen wanboot innehåller programmet wanboot.

• Solaris Flash-katalogen (flash) innehåller de anpassade JumpStart-filer som krävs för att installera klienten och underkatalogen archives. Katalogen archives innehåller Solaris 10 Flash-arkivet.

Om WAN-startservern och installationsservern finns på olika datorer kan du lagra flash-katalogen på installationsservern. Se till att WAN-startservern kan komma åt de här filerna och katalogerna.

Information om hur du skapar dokumentrotkatalogen finns i dokumentationen för webbservern. Detaljerade instruktioner för hur du skapar och lagrar de här installationsfilerna finns i Skapa de anpassade JumpStart-installationsfilerna.

Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin

Katalogen /etc/netboot innehåller den konfigurationsinformation, de privata nycklar, digitala certifikat och den certifikatmyndighet (CA) som krävs för en WAN-startinstallation. I det här avsnittet beskrivs de filer och kataloger som du kan skapa i katalogen /etc/netboot för att anpassa WAN-startinstallationen.

Anpassa WAN-startinstallationens omfång

Under installationen söker programmet wanboot-cgi efter klientinformation i katalogen /etc/netboot på WAN-startservern. Programmet wanboot-cgi konverterar den här informationen till WAN-startfilsystemet och överför sedan filsystemet till klienten. Du kan skapa underkataloger i katalogen /etc/netboot om du vill anpassa WAN-startinstallationens omfång. Använd följande katalogstruktur för att definiera hur konfigurationsinformation delas mellan de klienter som du vill installera.

• Global konfiguration – Om du vill att alla klienter på nätverket ska dela konfigurationsinformation lagrar du filerna som du vill dela i katalogen /etc/netboot.

• Nätverksspecifik konfiguration – Om du vill att endast datorer på ett specifikt delnät ska dela konfigurationsinformation, lagrar du de konfigurationsfiler som du vill dela i en underkatalog till /etc/netboot. Se till att underkatalogen följer den här namnkonventionen.

  /etc/netboot/nät-ip

  I det här exemplet är nät-IP IP-adressen för klientens delnät. Om du till exempel vill att alla system på delnätet med IP-adressen 192.168.255.0 ska dela konfigurationsfiler skapar du en katalog som heter /etc/netboot/192.168.255.0. Lagra sedan konfigurationsfilerna i den här katalogen.

• Klientspecifik konfiguration – Om du vill att bara en viss klient ska använda startfilsystemet så lagrar du filsystemfilerna i en underkatalog till /etc/netboot. Se till att underkatalogen följer den här namnkonventionen.

  /etc/netboot/nät-ip/klient-ID

  I det här exemplet är nät-IP IP-adressen för delnätet. klient-ID är antingen det klient-ID som tilldelats av DHCP-servern eller ett användardefinierat klient-ID. Om du till exempel vill att ett system med klient-ID 010003BA152A42 på delnätet 192.168.255.0 ska använda vissa specifika konfigurationsfiler, skapar du en katalog som heter /etc/netboot/192.168.255.0/010003BA152A42. Lagra sedan de filerna i den här katalogen.

Ange konfigurations- och säkerhetsinformation i katalogen /etc/netboot

Du anger säkerhets- och konfigurationsinformation genom att skapa följande filer och lagra dem i katalogen /etc/netboot.

• wanboot.conf – Den här filen anger klientkonfigurationsinformationen för en WAN-startinstallation.

• Systemkonfigurationsfil (system.conf) – Den här systemkonfigurationsfilen anger platsen för klientens sysidcfg-fil och anpassade JumpStart-filer.

• keystore – Den här filen innehåller klientens HMAC SHA1-hashningsnyckel, 3DES- eller AES-krypteringsnyckel och privat SSL-nyckel.

• truststore – Den här filen innehåller digitala certifikat från de certifikatmyndigheter (CA) som är betrodda av klienten. De här betrodda certifikaten instruerar klienten att servern är tillförlitlig under installationen.

• certstore – Den här filen innehåller klientens digitala certifikat.

  ---

  Obs! –

  Filen certstore måste finnas i klientens ID-katalog. Mer information om underkatalogerna i katalogen /etc/netboot finns i Anpassa WAN-startinstallationens omfång.

  ---

Detaljerade instruktioner för hur du skapar och lagrar de här filerna finns i följande procedurer.

• Så här skapar du konfigurationsfilen

• Så här skapar du filen wanboot.conf

• (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel

• (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering

Dela konfigurations- och säkerhetsinformation i katalogen /etc/netboot

Om du vill installera klienter på nätverket kan du dela säkerhets- och konfigurationsfiler mellan olika klienter och över hela delnät. Du kan dela de här filerna genom att distribuera konfigurationsinformationen i hela katalogerna /etc/netboot/nät-ip/klient-ID, /etc/netboot/nät-ip och /etc/netboot. Programmet wanboot-cgi söker efter den konfigurationsinformation som passar klienten bäst i de här katalogerna och använder informationen under installationen.

Programmet wanboot-cgi söker efter klientinformation i följande ordning:

1. /etc/netboot/nät-ip/klient-ID – Programmet wanboot-cgi söker först efter konfigurationsinformation som är specifik för klientdatorn. Om katalogen /etc/netboot/nät-ip/klient-ID innehåller all klientkonfigurationsinformation, söker inte programmet wanboot-cgi efter konfigurationsinformation någon annanstans i katalogen /etc/netboot.

2. /etc/netboot/nät-ip – Om all information som krävs inte finns i katalogen /etc/netboot/nät-ip/klient-ID söker programmet wanboot-cgi efter konfigurationsinformation för delnätet i katalogen /etc/netboot/nät-ip.

3. /etc/netboot – Om den återstående informationen inte finns i katalogen /etc/netboot/nät-ip söker programmet wanboot-cgi efter global konfigurationsinformation i katalogen /etc/netboot.

Figur 12–2 visar hur du kan anpassa WAN-startinstallationer genom att konfigurera katalogen /etc/netboot.

Figur 12–2 Exempel på katalogen /etc/netboot

Med layouten av katalogen /etc/netboot i Figur 12–2 kan du utföra följande WAN-startinstallationer.

• När du installerar klienten 010003BA152A42 använder programmet wanboot-cgi följande filer i katalogen /etc/netboot/192.168.255.0/010003BA152A42.

  • system.conf

  • keystore

  • truststore

  • certstore

  Programmet wanboot-cgi använder sedan filen wanboot.conf i katalogen /etc/netboot/192.168.255.0.

• När du installerar en klient på delnätet 192.168.255.0 använder programmet wanboot-cgi filerna wanboot.conf, keystore och truststore i katalogen /etc/netboot/192.168.255.0. Programmet wanboot-cgi använder sedan filen system.conf i katalogen /etc/netboot.

• När du installerar en klientdator som inte finns på delnätet 192.168.255.0 använder programmet wanboot-cgi följande filer i katalogen /etc/netboot.

  • wanboot.conf

  • system.conf

  • keystore

  • truststore

Lagra programmet wanboot-cgi

Programmet wanboot-cgi överför data och filer från WAN-startservern till klienten. Du måste kontrollera att det här programmet finns i en katalog på WAN-startservern som är åtkomlig för klienten. Ett sätt att göra programmet åtkomligt för klienten är att lagra det i katalogen cgi-bin på WAN-startservern. Du kan vara tvungen att konfigurera webbserverprogramvaran att använda programmet wanboot-cgi som ett CGI-program. Information om kraven för CGI-program finns i dokumentationen för webbservern.

Krav för digitala certifikat

Om du vill öka säkerheten för WAN-startinstallationen kan du använda digitala certifikat och aktivera server- och klientautentisering. Genom att använda digitala certifikat kan WAN-start kontrollera serverns eller klientens identitet under en onlinetransaktion. Digitala certifikat utfärdas av en certifikatmyndighet (CA). Certifikaten innehåller ett serienummer, förfallodatum, en kopia av certifikatsinnehavarens offentliga nyckel och certifikatmyndighetens (CA) digitala signatur.

Om du vill att serverautentisering eller både klient- och serverautentisering ska krävas under installationen måste du installera digitala certifikat på servern. Följ de här riktlinjerna när du använder digitala certifikat.

• Om du vill använda digitala certifikat måste de vara formaterade som en del av en PKCS#12-fil (Public-Key Cryptography Standards #12).

• Om du skapar egna certifikat måste de skapas som PKCS#12-filer.

• Om du tar emot certifikat från en fristående certifikatmyndighet (CA) ska du begära att få dem i PKCS#12-format.

Detaljerade instruktioner om hur du använder PKCS#12-certifikat i WAN-startinstallationer finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.

Säkerhetsbegränsningar för WAN-start

Trots att WAN-start har många olika säkerhetsfunktioner bemöter WAN-start inte de här potentiella säkerhetsriskerna.

• DoS-attacker (Denial of Service) – En DoS-attack kan fungera på många olika sätt men målet är att hindra användare från att komma åt en viss tjänst. En DoS-attack kan översvämma ett nätverk med stora mängder data eller aggressivt använda begränsade resurser. Andra DoS-attacker kan ändra data som överförs mellan system. Installationsmetoden WAN-start skyddar inte servrar och klienter från DoS-attacker.

• Skadade binärfiler på servrar – Installationsmetoden WAN-start kontrollerar inte integriteten för WAN-startminiroten eller Solaris Flash-arkivet innan installationen genomförs. Innan du utför installationen bör du kontrollera integriteten för Solaris-binärfilerna mot Solaris Fingerprint Database på http://sunsolve.sun.com.

• Sekretess för krypterings- och hashningsnycklar – Om du använder krypterings- eller hashningsnycklar med WAN-start måste du skriva nyckelvärdet på kommandoraden under installationen. Vidta nödvändiga försiktighetsåtgärder för att se till att dessa nyckelvärden förblir privata.

• Säkerhetsrisker för nätverkets namntjänst – Om du använder en namntjänst på nätverket bör du kontrollera integriteten för namnservern innan du genomför WAN-start-installationen.

Samla information för WAN-startinstallationer

Du måste samla in en mängd olika data om du vill konfigurera nätverket för en WAN-startinstallation. Det kan vara bra att skriva ned den här informationen medan du förbereder installationen över ett WAN-nätverk.

Anteckna installationsinformationen för WAN-start på följande anteckningsblad.

• Tabell 12–2

• Tabell 12–3

Kapitel 13 Förbereda installation med WAN-start (Steg-för-steg-anvisningar)

Det här kapitlet beskriver åtgärderna här nedan, som är nödvändiga för att förbereda nätverket för start och installation via ett globalt nätverk.

• Förbereda för installation över globala nätverk (Åtgärdslista)

• Konfigurera WAN-startservern i det globala nätverket

• Skapa de anpassade JumpStart-installationsfilerna

• Skapa konfigurationsfilerna

• (Valfritt) Ange konfigurationsdata med en DHCP-server

• (Valfritt) Så här konfigurerar du startloggningsservern

Förbereda för installation över globala nätverk (Åtgärdslista)

Tabellen här nedan innehåller de åtgärder som du måste vidta när du förbereder dig inför installationer via ett globalt nätverk.

• En lista med de uppgifter som du måste utföra för en säker WAN-startinstallation finns i Tabell 13–1.

  En beskrivning av en säker WAN-startinstallation via HTTPS finns i Säker installationskonfiguration för WAN-start.

• En lista med de uppgifter som du måste utföra för en säker WAN-startinstallation finns i Tabell 13–2.

  En beskrivning över osäkra installationer via ett globalt nätverk finns i Osäker installationskonfiguration för WAN-start.

Om du vill använda en DHCP-server eller en loggningsserver måste du slutföra de valfria åtgärder som visas längst ned i varje tabell.

Konfigurera WAN-startservern i det globala nätverket

WAN-startservern är en webbserver som tillhandahåller start- och konfigurationsdata under en installation via globala nätverk. En lista med systemkrav för WAN-startservern finns i Tabell 12–1.

I det här avsnittet beskrivs de följande åtgärderna, som är nödvändiga för att konfigurera WAN-startservern för installation via det globala nätverket.

• Skapa dokumentrotkatalogen

• Skapa startminiroten

• Installera programmet wanboot på startservern i det globala nätverket

• Skapa katalogträdet /etc/netboot på startservern i det globala nätverket

• Kopiera CGI-startprogrammet till startservern i det globala nätverket

• (Valfritt) Skydda data genom att använda HTTPS

Skapa dokumentrotkatalogen

Om konfigurations- och installationsfilerna ska gå att komma åt, måste du göra filerna tillgängliga för webbservern på startservern i det globala nätverket. Ett sätt att göra filerna tillgängliga är att lagra dem i dokumentrotkatalogen på startservern i det globala nätverket.

Om du vill göra konfigurations- och installationsfilerna tillgängliga i en dokumentrotkatalog, måste du skapa katalogen. Dokumentationen till webbservern innehåller information om hur du skapar dokumentrotkatalogen. Detaljerad information om hur du utformar dokumentrotkatalogen finns i Lagra installations- och konfigurationsfiler i dokumentrotkatalogen.

Exempel på hur du konfigurerar den här katalogen finns i Skapa dokumentrotkatalogen .

När du har skapat dokumentrotkatalogen skapar du miniroten i det globala nätverket. Information finns i Skapa startminiroten.

Skapa startminiroten

När en dator startas via ett globalt nätverk används en särskild Solaris-minirot som har ändrats så att den genomför en installation via det globala nätverket. WAN-startminiroten innehåller en del av de programvaror som finns i Solaris-miniroten. Om du vill installera via ett globalt nätverk, måste du kopiera miniroten från dvd-skivan Solaris 10 DVD eller cd-skivan Solaris 10 Software - 1 till startservern i det globala nätverket. Använd alternativet -w och kommandot setup_install_server för att kopiera startminiroten från Solaris-programvaran till datorns hårddisk.

SPARC: Så här skapar du en startminirot

Med ett SPARC-medium skapas en SPARC-startminirot på det här sättet. Om du vill göra en SPARC-startminirot tillgänglig på en x86-server, måste du skapa miniroten på en SPARC-dator. När du har skapat miniroten, kopierar du den till dokumentrotkatalogen på x86-servern.

Läs detta först

Den här metoden förutsätter att startservern i det globala nätverket kör volymhanteraren. Om du inte använder volymhanteraren finns information om hur du hanterar flyttbara media utan volymhanteraren i System Administration Guide: Devices and File Systems.

Steg

1. Logga in som superanvändare på startdatorn i det globala nätverket.

   Datorn måste uppfylla följande krav.

   • Den måste ha en cd- eller dvd-enhet

   • Den måste ingå i nätverket och vara känd av namntjänsten.

     Om du använder en namntjänst måste systemet redan vara känd av en namntjänst, till exempel NIS, NIS+, DNS eller LDAP. Om du inte använder en namntjänst måste du distribuera information om systemet genom att följa nätverksplatsens principer.

2. Mata in cd-skivan Solaris 10 Software - 1 eller dvd-skivan Solaris 10 DVD i enheten på installationsservern.

3. Skapa en katalog för startminiroten och Solaris-installationsbildfilen.

   # mkdir -p wan-sökväg installationssökväg

   -p

   Detta gör att kommandot mkdir skapar alla de överordnade katalogerna till katalogen som du vill skapa.

   wan-sökväg

   Katalogen där startminiroten ska skapas på installationsservern. Katalogen måste ha plats för minirötter, som normalt är omkring 250 MB stora.

   installationssökväg

   Katalogen på installationsservern dit Solaris-installationsbildfilen ska kopieras. Katalogen kan tas bort lite längre fram.

4. Byt till Tools-katalogen på den monterade skivan.

   # cd /cdrom/cdrom0/s0/Solaris_10/Tools

   I det förra exemplet är cdrom0 sökvägen till den enhet som innehåller Solaris OS-mediet.

5. Kopiera startminiroten och Solaris-installationsbildfilen till hårddisken på startservern i det globala nätverket.

   # ./setup_install_server -w wan-sökväg installationssökväg

   wan-sökväg

   Anger katalogen dit startminiroten ska kopieras

   installationssökväg

   Katalogen dit Solaris-installationsbildfilen ska kopieras

   ---

   Obs! –

   Kommandot setup_install_server anger om det finns tillräckligt mycket ledigt diskutrymme för Solaris 10-programvara-avbildningarna. Kontrollera mängden tillgängligt diskutrymme med kommandot df -kl.

   ---

   Kommandot setup_install_server -w skapar startminiroten och en nätverksinstallationsbildfil av Solaris.

6. (Valfritt) Ta bort nätverksinstallationsbildfilen.

   Du behöver inte installationsbildfilen av Solaris för att utföra en installation med ett Solaris Flash-arkiv via ett globalt nätverk. Du kan frigöra diskutrymme om du inte tänker använda nätverksinstallationsbildfilen för andra nätverksinstallationer. Ange följande kommando för att ta bort nätverksinstallationsbildfilen.

   # rm -rf installationssökväg

7. Se till att startservern i det globala nätverket får tillgång till startminiroten på något av följande sätt.

   • Skapa en symbolisk länk till startminiroten i dokumentrotkatalogen på startservern i det globala nätverket.

     # cd /dokumentrotkatalog/miniroot # ln -s /wan-sökväg/miniroot .

     /doumentrotkatalog /miniroot/

     Katalogen i dokumentrotkatalogen på startservern i det globala nätverket där du vill länka till startminiroten

     /wan-sökväg/miniroot

     Sökvägen till startminiroten

   • Flytta startminiroten till dokumentrotkatalogen på startservern i det globala nätverket.

     # mv /wan-sökväg/miniroot /dokumentrotkatalog/miniroot/minirotens-namn

     /wan-sökväg/miniroot

     Sökvägen till startminiroten.

     /dokumentrotkatalog/miniroot/

     Sökvägen till startminiroten i dokumentrotkatalogen på startservern i det globala nätverket.

     minirotens-namn

     Startminirotens namn. Ge filen ett passande namn, till exempel miniroot.s10_sparc.

Exempel 13–1 Skapa startminiroten

Använd setup_install_server(1M) med alternativet -w om du vill kopiera WAN-startminiroten och programvaruavbildningen för Solaris till katalogen /export/install/Solaris_10 på wanserver-1.

Sätt in Solaris 10-programvara i medieenheten som är ansluten till wanserver-1. Skriv följande kommandon.

wanserver-1# mkdir -p /export/install/sol_10_sparc
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/sol_10_sparc/miniroot \
/export/install/sol_10_sparc

Flytta WAN-startminiroten till dokumentrotkatalogen (/opt/apache/htdocs/) på WAN-startservern. I det här exemplet har WAN-startminiroten namnet miniroot.s10_sparc.

wanserver-1# mv /export/install/sol_10_sparc/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Fortsätta med installation av start via globala nätverk

När du har skapat miniroten i det globala nätverket kontrollerar du att klienten OpenBoot PROM (OBP) har stöd för start via globala nätverk. Instruktioner finns i Kontrollera om klienten stöder start via globala nätverk.

Se även

Ytterligare information om kommandot setup_install_server finns i install_scripts(1M).

Kontrollera om klienten stöder start via globala nätverk

Om du vill utföra en obevakad startinstallation via ett globalt nätverk måste klientsystemets OpenBoot PROM (OBP) ha stöd för start via globala nätverk. Om klientens OBP inte har detta stöd kan du utföra en startinstallation med hjälp av nödvändiga program på en lokal CD.

Du kan avgöra om klienten stöder WAN-start genom att kontrollera klientens OBP-konfigurationsvariabler. Så här kontrollerar du om klienten stöder WAN-start.

Så här kontrollerar du om klientens OBP stöder WAN-start

Den här proceduren beskriver hur du avgör om klientens OBP stöder WAN-start.

Steg

1. Bli superanvändare eller anta en motsvarande roll.

   Roller innehåller behörigheter och priviligierade kommandon. Mer information om roller finns i Configuring RBAC (Task Map) i System Administration Guide: Security Services.

2. Kontrollera att OBP-konfigurationsvariablerna ger stöd för WAN-start.

   # eeprom | grep network-boot-arguments

   • Om variabeln network-boot-arguments visas, eller om föregående kommando returnerar utmatningen network-boot-arguments: data ej tillgängliga, så stöder OBP WAN-startinstallationer. Du behöver inte uppdatera OBP:n innan du utför WAN-startinstallationen.

   • Om det föregående kommandot inte ger något resultat, stöder inte OBP WAN-startinstallationer. Du måste utföra en av följande åtgärder.

     • Uppdatera klientens OBP. Information om hur du uppdaterar OBP:n finns i systemdokumentationen.

     • När du har slutfört de förberedande åtgärderna och ska installera klienten, utför du WAN-startinstallationen från Solaris 10-programvara-cd:n i en lokal cd-romenhet.

       Instruktioner om hur du startar klienten från en lokal cd-romenhet finns i Så här utför du en WAN-startinstallation lokalt med cd-media. Om du vill fortsätta att förbereda för start och installation via ett globalt nätverk går du till Skapa katalogträdet /etc/netboot på startservern i det globala nätverket.

Exempel 13–2 Så här verifierar du om klientens OBP stöder WAN-start

Följande kommando visar hur du kontrollerar om klientens OBP stöder WAN-start.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

I det här exemplet indikerar utmatningen network-boot-arguments: data ej tillgängliga att klientens OBP stöder WAN-start.

Fortsätta med start och installation via globala nätverk

När du har kontrollerat att klientens OBP stöder WAN-start, måste du kopiera programmet wanboot till startservern i det globala nätverket. Instruktioner finns i Installera programmet wanboot på startservern i det globala nätverket.

Om klientens OBP inte stöder WAN-start, behöver du inte kopiera programmet wanboot till startservern. Programmet wanboot till klienten måste finnas på en lokal CD. Om du vill fortsätta installationen går du till Skapa katalogträdet /etc/netboot på startservern i det globala nätverket

Se även

Ytterligare information om kommandot setup_install_server finns i Kapitel 9, Förbereda en installation från nätverket med cd (Steg-för-steg-anvisningar).

Installera programmet wanboot på startservern i det globala nätverket

Om en dator startas från ett globalt nätverk används ett särskilt sekundärt startprogram (wanboot) för att installera klienten. Programmet wanboot läser in startminiroten, klientkonfigurationsfilerna och installationsfilerna som krävs för att genomföra en installation via ett globalt nätverk.

Om du vill genomföra en installation via ett globalt nätverk måste du se till att klienten kommer åt programmet wanboot under installationen. Det kan du göra på följande sätt.

• Om klientens PROM stöder start via globala nätverk kan du skicka programmet från startservern i det globala nätverket till klienten. Installera programmet wanboot på startservern i det globala nätverket.

  Om du vill kontrollera om klientens PROM stöder WAN-start läser du Så här kontrollerar du om klientens OBP stöder WAN-start .

• Om klientens PROM inte stöder start via globala nätverk, måste du spara programmet på en cd-skiva och ge klienten tillgång till den. Om klientens PROM inte stöder WAN-start går du till Skapa katalogträdet /etc/netboot på startservern i det globala nätverket och fortsätter förberedelserna inför installationen.

SPARC: Så här installerar du programmet wanboot på startservern i det globala nätverket

Här beskrivs hur du kopierar programmet wanboot från ett Solaris-medium till startservern i det globala nätverket.

Den här metoden förutsätter att startservern i det globala nätverket kör Solaris volymhanterare. Om du inte använder Solaris volymhanterare finns information om hur du hanterar flyttbara media utan Solaris volymhanterare i System Administration Guide: Devices and File Systems.

Läs detta först

Verifiera att klientsystemet stöder WAN-start. Mer information finns i Så här kontrollerar du om klientens OBP stöder WAN-start .

Steg

1. Logga in som superanvändare på installationsservern.

2. Mata in cd-skivan Solaris 10 Software - 1 eller dvd-skivan Solaris 10 DVD i enheten på installationsservern.

3. Gå till katalogen för plattformen sun4u på cd-skivan Solaris 10 Software - 1 eller dvd-skivan Solaris 10 DVD.

   # cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/

4. Kopiera programmet wanboot till installationsservern.

   # cp wanboot /dokumentrotkatalog/wanboot/namn-på-wanboot

   dokumentrotkatalog

   Dokumentrotkatalogen på startservern i det globala nätverket.

   namn-på-wanboot

   Namnet på programmet wanboot. Ge filen ett begripligt namn, till exempel wanboot.s9_sparc.

5. Se till att programmet wanboot är tillgängligt för startservern i det globala nätverket på ett av följande sätt.

   • Skapa en symbolisk länk till programmet wanboot i dokumentrotkatalogen på startservern i det globala nätverket.

     # cd /dokumentrotkatalog/wanboot # ln -s /wan-sökväg/wanboot .

     dokumentrotkatalog/wanboot

     Katalogen i dokumentrotkatalogen på startservern i det globala nätverket där du vill länka till programmet wanboot

     /wan-sökväg/wanboot

     Sökvägen till programmet wanboot

   • Flytta startminiroten till dokumentrotkatalogen på startservern i det globala nätverket.

     # mv /wan-sökväg/wanboot /dokumentrotkatalog/wanboot/namn-på-wanboot

     /wan-sökväg/wanboot

     Sökvägen till programmet wanboot

     dokumentrotkatalog/wanboot

     Sökvägen till katalogen där programmet wanboot lagras i dokumentrotkatalogen på startservern i det globala nätverket.

     namn-på-wanboot

     Namnet på programmet wanboot. Ge filen ett passande namn, till exempel wanboot.s10_sparc.

Exempel 13–3 Installera programmet wanboot på startservern i det globala nätverket

Du installerar programmet wanboot på WAN-startservern genom att kopiera programmet från Solaris 10-programvara-cd till WAN-startserverns dokumentrotkatalog.

Sätt in Solaris 10 DVD eller Solaris 10 Software - 1 i medieenheten som är ansluten till wanserver-1 och skriv följande kommandon.

wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

I det här exemplet har programmet wanboot namnet wanboot.s10_sparc.

Fortsätta med installation av start via globala nätverk

När du har installerat programmet wanboot på startservern i det globala nätverket, måste du skapa katalogträdet /etc/netboot på startservern. Instruktioner finns i Skapa katalogträdet /etc/netboot på startservern i det globala nätverket

Se även

En översiktsinformation om programmet wanboot finns i Vad är WAN-start?.

Skapa katalogträdet /etc/netboot på startservern i det globala nätverket

Under installationen letar installationsprogrammet igenom katalogträdet /etc/netboot på webbservern på jakt efter instruktioner om hur installationen ska utföras. Katalogen innehåller konfigurationsdata, en privat nyckel, ett digitalt certifikat och en certifikatutfärdare, något som krävs för installationer via globala nätverk. Under installationen flyttar programmet wanboot-cgi denna information till startfilsystemet. Därefter skickar programmet wanboot-cgi startfilsystemet till klienten.

Du kan skapa underkataloger i katalogen /etc/netboot om du vill anpassa WAN-startinstallationens omfång. Använd följande katalogstruktur för att definiera hur konfigurationsinformation delas mellan de klienter som du vill installera.

• Global konfiguration – Om du vill att alla klienter på nätverket ska dela konfigurationsinformation lagrar du filerna som du vill dela i katalogen /etc/netboot.

• Nätverksspecifik konfiguration – Om du vill att endast datorer på ett specifikt delnät ska dela konfigurationsinformation, lagrar du de konfigurationsfiler som du vill dela i en underkatalog till /etc/netboot. Se till att underkatalogen följer den här namnkonventionen.

  /etc/netboot/nät-ip

  I det här exemplet är nät-IP IP-adressen för klientens delnät.

• Klientspecifik konfiguration – Om du vill att bara en viss klient ska använda startfilsystemet så lagrar du filsystemfilerna i en underkatalog till /etc/netboot. Se till att underkatalogen följer den här namnkonventionen.

  /etc/netboot/nät-ip/klient-ID

  I det här exemplet är nät-IP IP-adressen för delnätet. klient-ID är antingen det klient-ID som tilldelats av DHCP-servern eller ett användardefinierat klient-ID.

Detaljerad planeringsinformation om konfigurationerna finns i Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin.

Följande procedur beskriver hur du skapar katalogträdet /etc/netboot.

Så här skapar du katalogträdet /etc/netboot på startservern i det globala nätverket

Så här skapar du katalogträdet /etc/netboot.

Steg

1. Logga in som superanvändare på startdatorn i det globala nätverket.

2. Skapa katalogen /etc/netboot.

   # mkdir /etc/netboot

3. Ändra behörigheterna till katalogen /etc/netboot till 700.

   # chmod 700 /etc/netboot

4. Gör webbserverns ägare till ägare av katalogen /etc/netboot.

   # chown webbserveranvändare:webbservergrupp /etc/netboot/

   webbserveranvändare

   Ägaren till webbserverprocessen

   webbservergrupp

   Gruppägaren till webbserverprocessen

5. Logga ut superanvändaren.

   # exit

6. Anta webbserverägarens roll.

7. Skapa klientunderkatalogen till katalogen /etc/netboot.

   # mkdir -p /etc/netboot/IP-adress/klient-ID

   -p

   Detta gör att kommandot mkdir skapar alla de överordnade katalogerna till katalogen som du vill skapa.

   (Valfritt) IP-adress

   IP-adressen till klientens delnät.

   (Valfritt) klient-ID

   Klientens ID. Klientens ID kan vara ett värde som användaren anger eller ID-numret som erhålls från DHCP-servern. Katalogen klient-ID måste vara en underkatalog till katalogen IP-adress.

8. Ändra behörigheter för alla kataloger i katalogträdet /etc/netboot till 700.

   # chmod 700 /etc/netboot/katalognamn

   katalognamn

   Anger namnet på en katalog i katalogträdet /etc/netboot

Exempel 13–4 Skapa katalogträdet /etc/netboot på startservern i det globala nätverket

Följande exempel visar hur du skapar katalogträdet /etc/netboot för klienten 010003BA152A42 på delnät 192.168.198.0. I exemplet äger användaren nobody och gruppen admin webbserverprocessen.

Följande åtgärder utförs med kommandona i det här exemplet.

• Skapa katalogen /etc/netboot.

• Ändra behörigheterna för katalogen /etc/netboot till 700.

• Ändra ägarskapet för katalogen /etc/netboot till ägaren av webbserverprocessen.

• Anta samma användarroll som webbserveranvändaren.

• Skapa en underkatalog i /etc/netboot som har samma namn som delnätet (192.168.198.0).

• Skapa en underkatalog i delnätskatalogen som har samma namn som klient-ID:t.

• Ändra behörigheterna för underkatalogerna till /etc/netboot till 700.

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Lösenord:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Fortsätta med installation av start via globala nätverk

När du har skapat katalogträdet /etc/netboot måste du kopiera CGI-startprogrammet i det globala nätverket till startservern i det globala nätverket. Instruktioner finns i Kopiera CGI-startprogrammet till startservern i det globala nätverket.

Se även

Detaljerad planeringsinformation om hur du utformar /etc/netboot-hierarkin finns i Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin.

Kopiera CGI-startprogrammet till startservern i det globala nätverket

Programmet wanboot-cgi skapar dataströmmarna som överför följande filer från startservern i det globala nätverket till klienten.

• Programmet wanboot

• WAN-startfilsystemet

• WAN-startminiroten

Programmet wanboot-cgi installeras på systemet när du installerar programvaran Solaris 10. Om du vill att startservern i det globala nätverket ska kunna använda det, kopierar du programmet till cgi-bin-katalogen på startservern.

Så här kopierar du programmet wanboot-cgi till startservern i det globala nätverket

Steg

1. Logga in som superanvändare på startdatorn i det globala nätverket.

2. Kopiera programmet wanboot-cgi till startservern i det globala nätverket

   # cp /usr/lib/inet/wanboot/wanboot-cgi /serverrot/cgi-bin/wanboot-cgi

   /serverrot

   Rotkatalogen för webbservern på startservern i det globala nätverket

3. Ändra CGI-programmets behörigheter till 755 på startservern i det globala nätverket.

   # chmod 755 /serverrot/cgi-bin/wanboot-cgi

Fortsätta med installation av start via globala nätverk

När du har kopierat CGI-startprogrammet i det globala nätverket kan du konfigurera en loggningsserver. Instruktioner finns i (Valfritt) Så här konfigurerar du startloggningsservern.

Om du inte vill konfigurera en separat loggningsserver finns instruktioner för hur du konfigurerar säkerhetsfunktioner för en WAN-startinstallation i (Valfritt) Skydda data genom att använda HTTPS .

Se även

En översiktsinformation om programmet wanboot-cgi finns i Vad är WAN-start?.

(Valfritt) Så här konfigurerar du startloggningsservern

Alla inloggningsmeddelanden i samband med WAN-start visas som standard på klientsystemet. Det här standardbeteendet hjälper dig att snabbt felsöka eventuella installationsproblem.

Om du vill spara start- och installationsloggmeddelanden på en annan dator än klienten, måste du konfigurera en loggningsserver. Om du vill använda en loggningsserver och det säkra HTTP-protokollet under installationen, måste du konfigurera WAN-startservern i det globala nätverket som loggningsserver.

Gör så här för att konfigurera loggningsservern.

Steg

1. Kopiera skriptet bootlog-cgi till CGI-skriptkatalogen på loggningsservern.

   # cp /usr/lib/inet/wanboot/bootlog-cgi \loggningsserverns-rot/cgi-bin

   loggningsserverns-rot/cgi-bin

   Katalogen cgi-bin i loggningsserverns webbserverkatalog

2. Ändra behörigheterna till skriptet bootlog-cgi till 755.

   # chmod 755 loggningsserverns-rot/cgi-bin/bootlog-cgi

3. Ange värdet på parametern boot_logger i filen wanboot.conf.

   Ange adressen till skriptet bootlog-cgi på loggningsservern i filen wanboot.conf.

   Mer information om hur du ställer in parametrar i filen wanboot.conf finns i Så här skapar du filen wanboot.conf .

   Under installationen registreras start- och installationsloggmeddelanden i katalogen /tmp i loggningsservern. Loggfilen heter bootlog.värdnamn, där värdnamn är klientens värdnamn.

Exempel 13–5 Konfigurera en loggningsserver för installation via ett globalt nätverk med det säkra HTTP-protokollet

I exemplet här nedan konfigureras startservern i det globala nätverket som loggningsserver.

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Fortsätta med installation av start via globala nätverk

När du har konfigurerat loggningsservern, kan du konfigurera installationen i det globala nätverket så att digitala certifikat och säkerhetsnycklar används. Instruktioner för hur du konfigurerar säkerhetsfunktionerna för en WAN-startinstallation finns i (Valfritt) Skydda data genom att använda HTTPS .

(Valfritt) Skydda data genom att använda HTTPS

Om du vill skydda data under överföringen från startservern till klienten kan du använda HTTPS (HTTP over Secure Sockets Layer). Om du vill använda den säkrare installationskonfiguration som beskrivs i Säker installationskonfiguration för WAN-start måste du ställa in webbservern att använda HTTPS.

Om du inte vill utföra en säker start, hoppar du över procedurerna i det här avsnittet. Om du vill fortsätta att förbereda för en mindre säker installation finns information i Skapa de anpassade JumpStart-installationsfilerna.

Om du vill se till att webbservern på startservern i det globala nätverket använder HTTPS måste du utföra följande åtgärder.

• Aktivera stödet för SSL (Secure Sockets Layer) på webbserern.

  Hur det går till att aktivera SSL-stödet och autentisering av klienter varierar från webbserver till webbserver. Det här dokumentet beskriver inte hur du aktiverar dessa säkerhetsfunktioner på din webbserver. Mer information om dessa funktioner finns i dokumentationen som beskrivs här nedan.

  • Information om hur du aktiverar SSL på webbservrarna SunONE och iPlanet finns i dokumentationen till SunONE och iPlanet på adressen http://docs.sun.com.

  • Information om hur du aktiverar SSL på webbservern Apache finns på Apache Documentation Project på adressen http://httpd.apache.org/docs-project/.

  • Om du använder en annan webbserver än dem i listan här ovan, måste du läsa dokumentationen till den.

• Installera digitala certifikat på startservern i det globala nätverket.

  Information om hur du använder digitala certifikat med WAN-start finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.

• Förse klienten med ett betrott certifikat.

  Anvisningar för hur du skapar betrodda certifikat finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.

• Skapa en hashningsnyckel och en krypteringsnyckel.

  Instruktioner om hur du skapar nycklar finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

• (Valfritt) Aktivera stödet för autentisering av klienter på webbservern.

  Mer information om hur du aktiverar stödet för autentisering av klienter på webbservern finns i dokumentationen till webbservern.

I det här avsnittet beskrivs hur du använder digitala certifikat och nycklar under en installation via ett globalt nätverk.

(Valfritt) Så här använder du digitala certifikat för server- och klientautentisering

Du kan använda PKCS#12-filer för installationen över globala nätverk om du vill utföra en installation över HTTPS med serverautentisering eller både klient- och serverautentisering. Information om krav och riktlinjer för hur du använder PKCS#12-filer finns i Krav för digitala certifikat.

Om du vill använda en PKCS#12-fil under en installation via ett globalt nätverk måste du utföra följande åtgärder.

• Dela upp PKCS#12-filen i en separat privat SSL-nyckel och filer med betrodda certifikat.

• Infoga det betrodda certifikatet i filen truststore som tillhör klienten i katalogträdet /etc/netboot. Det betrodda certifikatet gör att klienten har förtroende för servern.

• (Valfritt) Infoga innehållet i den privata SSL-nyckelfilen i filen keystore som tillhör klienten i katalogträdet /etc/netboot.

Kommandot wanbootutil har växlar som gör att du kan utföra åtgärderna i listan här ovan.

Om du inte vill utföra en säker start, hoppar du över den här proceduren. Om du vill fortsätta att förbereda för en mindre säker installation går du till Skapa de anpassade JumpStart-installationsfilerna.

Så här skapar du ett betrott certifikat och en privat nyckel för klienten.

Läs detta först

Innan du delar upp en PKCS#12-fil måste du skapa lämpliga underkataloger i katalogträdet /etc/netboot på startservern i det globala nätverket.

• Översiktsinformation som beskriver /etc/netboot-hierarkin finns i Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin.

• Instruktioner för hur du skapar /etc/netboot-hierarkin finns i Skapa katalogträdet /etc/netboot på startservern i det globala nätverket.

Steg

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Extrahera det betrodda certifikatet från PKCS#12-filen. Infoga certifikatet i filen truststore som hör till klienten i katalogträdet /etc/netboot.

   # wanbootutil p12split -i p12certifikat \ -t /etc/netboot/IP-adress/klient-ID/truststore

   p12split

   Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

   -i p12certifikat

   Namnet på PKCS#12-filen som ska delas upp.

   -t /etc/netboot/IP-adress/klient-ID/truststore

   Infogar certifikatet i filen truststore som hör till klienten. nät_ip är IP-adressen för klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

3. (Valfritt) Besluta dig för om du vill att klienter ska autentiseras.

   • Om inte går du till (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

   • Om du vill göra det fortsätter du med åtgärderna som följer.

     1. Infoga klientcertifikatet i filen certstore som hör till klienten.

        # wanbootutil p12split -i p12certifikat -c \ /etc/netboot/IP-adress/klient-ID/certstore -k nyckelfil

        p12split

        Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

        -i p12certifikat

        Namnet på PKCS#12-filen som ska delas upp.

        -c /etc/netboot/IP-adress/klient-ID/certstore

        Infogar klientens certifikat i filen certstore som hör till klienten. nät_ip är IP-adressen för klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

        -k nyckelfil

        Namnet på klientens privata SSL-nyckelfil som ska skapas av den uppdelade PKCS#12-filen.

     2. Infoga den privata nyckeln i filen keystore som hör till klienten.

        # wanbootutil keymgmt -i -k nyckelfil \ -s /etc/netboot/IP-adress/klient-ID/keystore -o type=rsa

        keymgmt -i

        Infogar en privat SSL-nyckel i filen keystore som hör till klienten

        -k nyckelfil

        Namnet på klientens privata nyckelfil som skapades i föregående steg

        -s /etc/netboot/IP-adress/klient-ID/keystore

        Sökvägen till filen keystore som hör till klienten

        -o type=rsa

        Anger nyckeltypen som RSA

Exempel 13–6 Skapa ett betrott certifikat för autentisering av servern

I följande exempel använder du en PKCS#12-fil för att installera klienten 010003BA152A42 på delnät 192.168.198.0. Det här kommandoexemplet extraherar ett certifikat från en PKCS#12-fil som heter client.p12. Därefter lagras innehållet i det betrodda certifikatet i filen truststore som hör till klienten.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.

server# su nobody
Lösenord:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Fortsätta med installation av start via globala nätverk

När du har skapat ett digitalt certifikat ska du skapa en hashningsnyckel och en krypteringsnyckel. Instruktioner finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

Se även

Mer information om hur du skapar betrodda certifikat finns i direkthjälpen för wanbootutil(1M).

(Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel

Om du vill överföra data via HTTPS måste du skapa en hashningsnyckel av typen HMAC SHA1 och en krypteringsnyckel. Om du tänker installera via ett halvprivat nätverk, behöver du kanske inte kryptera alla installationsdata. Du kan använda en hashningsnyckel av typen HMAC SHA1 för att kontrollera att programmet wanboot inte har ändrats.

Du kan generera nycklarna och lagra dem i lämplig /etc/netboot-katalog genom att använda kommandot wanbootutil keygen.

Om du inte vill utföra en säker start, hoppar du över den här proceduren. Om du vill fortsätta att förbereda för en mindre säker installation går du till Skapa de anpassade JumpStart-installationsfilerna.

Om du vill skapa en hashningsnyckel och en krypteringsnyckel gör du på följande sätt.

Steg

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Skapa HMAC SHA1-huvudnyckeln.

   # wanbootutil keygen -m

   keygen -m

   HMAC SHA1-huvudnyckeln för startservern i det globala nätverket skapas

3. Skapa klientens HMAC SHA1-hashningsnyckel med hjälp av huvudnyckeln.

   # wanbootutil keygen -c -o [net=nät-IP,{cid=klient-ID,}]type=sha1

   -c

   Skapar klientens hashningsnyckel med hjälp av huvudnyckeln.

   -o

   Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

   (Valfritt) net=nät-ip

   IP-adressen till klientens delnät. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

   (Valfritt) cid=klient-ID

   Klientens ID. Klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

   type=sha1

   Gör att verktyget wanbootutil keygen skapar en hashningsnyckel av typen HMAC SHA1 åt klienten.

4. Besluta dig för om du behöver skapa en krypteringsnyckel åt klienten.

   Du måste skapa en krypteringsnyckel om du vill utföra fjärrinstallationen via HTTPS. Innan klienten upprättar en HTTPS-anslutning till startservern i det globala nätverk, skickar startservern krypterade data och information till klienten. Krypteringsnyckeln gör att klienten kan dekryptera informationen och använda den under installationen.

   • Om du har tänkt att genomföra en säkrare installation med hjälp av HTTPS och serverautentisering läser du vidare.

   • Om du bara vill kontrollera att programmet wanboot är intakt behöver du inte skapa en krypteringsnyckel. Gå till Steg 6.

5. Skapa en krypteringsnyckel för klienten.

   # wanbootutil keygen -c -o [net=IP-adress,{cid=klient-ID,}]type=nyckeltyp

   -c

   Skapar klientens krypteringsnyckel.

   -o

   Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

   (Valfritt) net=IP-adress

   IP-adressen för delnätet där klienten befinner sig. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

   (Valfritt) cid=klient-ID

   Klientens ID. Klient-ID kan vara ett användardefinierat ID eller klientens DHCP-ID-nummer. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

   type=nyckeltyp

   Gör att verktyget wanbootutil keygen skapar en krypteringsnyckel åt klienten. nyckeltyp kan ha värdena 3des eller aes.

6. Installera nycklarna på datorn.

   Instruktioner om hur du installerar nycklar på klienten finns i Installera nycklar på klienten.

Exempel 13–7 Skapa de nycklar som krävs för installation via HTTPS i ett globalt nätverk

I exemplet här nedan skapas en HMAC SHA1-huvudnyckel för startservern i det globala nätverket. I det här exemplet skapas även en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för klient 010003BA152A42 på delnät 192.168.198.0.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.

server# su nobody
Lösenord:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Fortsätta med installation av start via globala nätverk

När du har skapat en hashningsnyckel och en krypteringsnyckel måste du skapa installationsfilerna. Instruktioner finns i Skapa de anpassade JumpStart-installationsfilerna.

Se även

Översiktsinformation om hashningsnycklar och krypteringsnycklar finns i Skydda data under en WAN-start-installation .

Mer information om hur du skapar hashningsnycklar och krypteringsnycklar finns i direkthjälpen för wanbootutil(1M).

Skapa de anpassade JumpStart-installationsfilerna

När en dator startas via ett globalt nätverk utförs en anpassad JumpStart-installation, varvid ett Solaris Flash-arkiv installeras på klienten. Den anpassade JumpStart-installationsmetoden är ett kommandoradsgränssnitt som du kan använda för automatisk installation av flera system utifrån profiler som du skapar. I profilerna definieras specifika krav för programvaruinstallation. Du kan också infoga skalskript om du vill inkludera för- och efterinstallationsuppgifter. Du väljer vilken profil och vilka skript som ska användas för installation och uppgradering. Med den anpassade JumpStart-installationsmetoden installeras eller uppgraderas systemet, baserat på den profil och de skript som du väljer. Du kan också ange konfigurationsinformation i en sysidcfg-fil och därmed slippa övervaka den anpassade JumpStart-installationen.

Vidta följande åtgärder för att förbereda de anpassade JumpStart-filerna för installation via ett globalt nätverk.

• Så här skapar du Solaris Flash-arkivet

• Så här skapar du filen sysidcfg

• Så här skapar du rules-filen

• Så här skapar du profilen

• (Valfritt) Skapa start- och slutskript

Detaljerad information om installationsmetoden anpassad JumpStart finns i Kapitel 5, Anpassad JumpStart (Översikt) i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

Så här skapar du Solaris Flash-arkivet

Med installationsfunktionen Solaris Flash kan du använda en enstaka referensinstallation av Solaris OS på ett system som kallas huvudsystem. Därefter kan du skapa ett Solaris Flash-arkiv, som är en kopia av huvudsystemet. Du kan installera Solaris Flash-arkivet på andra datorer i nätverket och därigenom skapa exakta kopior av systemet.

I det här avsnittet beskrivs hur du skapar ett Solaris Flash-arkiv.

Läs detta först

Innan du kan skapa ett Solaris Flash-arkiv måste du först genomföra installationen på huvudsystemet.

• Information om hur du installerar ett huvudsystem finns i Installera huvudsystemet i Installationshandbok för Solaris 10: Solaris Flash-arkiv (Skapande och installation).

• Detaljerad information om Solaris Flash-arkiv finns i Kapitel 1, Solaris Flash (Översikt) i Installationshandbok för Solaris 10: Solaris Flash-arkiv (Skapande och installation).

Kontrollera i dokumentationen för webbservern om du vill försäkra dig om att programvaran kan överföra filer som har samma storlek som Solaris Flash-arkivet.

Steg

1. Starta huvudsystemet.

   Använd så få komponenter på huvudsystemet som möjligt. Om det är möjligt så kör systemet i enanvändarläge. Om det inte är möjligt så stänger du alla program som du vill arkivera, samt alla program som kräver mycket systemresurser.

2. Använd kommandot flar create om du vill skapa ett arkiv.

   # flar create -n namn [valfria-parametrar] dokumentrot/flash/filnamn

   namn

   Det namn som du vill ge arkivet. namn som du anger är värdet på nyckelordet content_name.

   valfria-parametrar

   Du kan ange flera alternativ till kommandot flar create och anpassa Solaris Flash-arkivet. Detaljerade beskrivningar av de här alternativen finns i Kapitel 5, Solaris Flash (Referens) i Installationshandbok för Solaris 10: Solaris Flash-arkiv (Skapande och installation).

   dokumentrot/flash

   Sökvägen till underkatalogen till installationsserverns dokumentrotkatalog där Solaris Flash-arkivet sparas.

   filnamn

   Namnet på arkivfilen.

   Om du vill spara skivutrymme kan du ange alternativet -c till kommandot flar create för att komprimera arkivet. Komprimerade arkiv kan emellertid påverka prestanda vid installationer via det globala nätverket. Mer information om hur du skapar ett komprimerat arkiv finns i direkthjälpen för flarcreate(1M).

   • Om arkivet skapas returnerar kommandot flar create slutkoden 0.

   • Om arkivet inte går att skapa returnerar kommandot flar create en slutkod som inte är noll.

Exempel 13–8 Skapa ett Solaris Flash-arkiv för start och installation via ett globalt nätverk

I det här exemplet skapar du Solaris Flash-arkivet genom att klona startserversystemet i det globala nätverket med värdnamnet wanserver. Arkivet heter sol_10_sparc och är en exakt kopia av huvudsystemet. Arkivet är en exakt kopia av huvusystemet. Arkivet lagras i sol_10_sparc.flar. Du sparar arkivet i underkatalogen flash/archives i dokumentrotkatalogen på WAN-startservern.

wanserver# flar create -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Fortsätta med installation av start via globala nätverk

När du har skapat Solaris Flash-arkivet förkonfigurerar du klientinformationen i filen sysidcfg. Instruktioner finns i Så här skapar du filen sysidcfg .

Se även

Detaljerade instruktioner om hur du skapar ett Solaris Flash-arkiv finns i Kapitel 3, Skapa arkiv med Solaris Flash (Steg-för-steg-anvisningar) i Installationshandbok för Solaris 10: Solaris Flash-arkiv (Skapande och installation).

Mer information om kommandot flar create finns i direkthjälpen för flarcreate(1M).

Så här skapar du filen sysidcfg

Du kan förkonfigurera ett system genom att ange en uppsättning nyckelord i sysidcfg-filen.

Så här skapar du filen sysidcfg.

Läs detta först

Skapa Solaris Flash-arkivet. Detaljerade instruktioner finns i Så här skapar du Solaris Flash-arkivet.

Steg

1. Skapa en fil med namnet sysidcfg i en texthanterare på installationsservern.

2. Skriv de sysidcfg-nyckelord som du vill ha.

   Detaljerad information om sysidcfg-nyckelorden finns i Nyckelord för sysidcfg-filen .

3. Spara filen sysidcfg på en plats som startservern i det globala nätverket kommer åt.

   Spara filen på en av följande platser.

   • Om startservern och installationsservern i det globala nätverket finns på samma dator, ska du spara filen i underkatalogen flash till dokumentrotkatalogen på startservern.

   • Om startservern i det globala nätverket och installationsservern inte är på samma dator, måste du spara den här filen i underkatalogen flash i dokumentrotkatalogen på installationsservern.

Exempel 13–9 Filen sysidcfg vid installationer av start via globala nätverk

Här följer ett exempel på en sysidcfg-fil för ett SPARC-baserat system. Datorns värdnamn, IP-adress och nätmask har konfigurerats i förväg genom att namntjänsten har redigerats.

network_interface=primary {hostname=wanclient
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none

Fortsätta med installation av start via globala nätverk

När du har skapat sysidcfg-filen skapar du en anpassad JumpStart-profil för klienten. Instruktioner finns i Så här skapar du profilen.

Se även

Mer detaljerad information om sysidcfg-nyckelord och värden finns i Förkonfigurera med sysidcfg-filen.

Så här skapar du profilen

En profil är en textfil som ger instruktioner till det anpassade JumpStart-programmet om hur Solaris-programvaran ska installeras på en dator. Profiler används för att definiera delar av en installation, t.ex. vilken programvarugrupp som ska installeras.

Detaljerad information om hur du skapar profiler finns i Skapa en profil i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

Så här skapar du profilen.

Läs detta först

Skapa sysidcfg-filen för klienten. Detaljerade instruktioner finns i Så här skapar du filen sysidcfg .

Steg

1. Skapa textfilen på installationsservern. Ge filen ett begripligt namn.

   Se till att namnet på profilen motsvarar syftet med den när du ska installera Solaris-programvaran på en dator. Du kan t.ex. döpa profilerna till grundinstall, eng_profil och användarprofil.

2. Lägg till nyckelord och värden i profilen.

   En lista över profilnyckelord och värden finns i Profilnyckelord och värden i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

   Nyckelord och värden för profiler är skiftlägeskänsliga.

3. Spara profilen på en plats som startservern i det globala nätverket kommer åt.

   Spara profilen på en av följande platser.

   • Om startservern och installationsservern i det globala nätverket finns på samma dator, ska du spara filen i underkatalogen flash till dokumentrotkatalogen på startservern.

   • Om startservern och installationsservern i det globala nätverket inte finns på samma dator, ska du spara filen i underkatalogen flash till dokumentrotkatalogen på installationsservern.

4. Kontrollera att root äger profilen och att behörigheten är angiven till 644.

5. (Valfritt) Testa profilen.

   Information om att testa profiler finns i Testa en profil i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

Exempel 13–10 Hämta ett Solaris Flash-arkiv från en säker HTTP-server

I följande exempel anger profilen att det anpassade JumpStart-programmet hämtar Solaris Flash-arkivet från en säker HTTP-server.

# profilnyckelord         profilvärden
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

I följande lista beskrivs några av nyckelorden och värdena från det här exemplet.

install_type

Profilen installerar ett Solaris Flash-arkiv på klonsystemet. Alla filer skrivs över som vid en standardinstallation.

archive_location

Det komprimerade Solaris Flash-arkivet hämtas från en säker HTTP-server.

partitioning

Skivdelarna för filsystemet styrs av nyckelorden för filesys med värdet explicit. Rotfilsystemets (/) storlek är baserat på Solaris Flash-arkivet. Storleken på utrymmet för minnesväxling (swap) är angiven till nödvändig storlek och det installeras på c0t1d0s1. /export/home baseras på det återstående diskutrymmet. /export/home installeras på c0t1d0s7.

Fortsätta med installation av start via globala nätverk

När du har skapat en profil måste du skapa och validera rules filen. Instruktioner finns i Så här skapar du rules-filen .

Se även

Mer information om hur du skapar en profil finns i Skapa en profil i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

Mer detaljerad information om profilnyckelord och värden finns i Profilnyckelord och värden i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

Så här skapar du rules-filen

rules-filen är en textfil som innehåller en regel för varje datorgrupp som du vill installera Solaris OS i. Varje regel särskiljer en datorgrupp som är baserad på ett eller flera systemattribut. Reglerna länkar också ihop varje grupp till en profil. En profil är en textfil som anger hur Solaris-programvaran ska installeras på varje dator i gruppen. Följande regel anger t ex att JumpStart-programmet ska använda informationen i profilen basic_prof vid installation på datorer i gruppen sun4u.

karch sun4u - basic_prof -

Rules-filen används för att skapa rules.ok-fil, som krävs för anpassade JumpStart-installationer.

Detaljerad information om hur du skapar en rules-fil finns i Skapa filen rules i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

Så här skapar du rules-filen.

Läs detta först

Skapa profilen för klienten. Detaljerade instruktioner finns i Så här skapar du profilen.

Steg

1. Skapa en textfil med namnet rules på installationsservern.

2. Lägg till en regel i filen rules för varje grupp av datorer som du vill installera operativmiljön på.

   Detaljerad information om hur du skapar en rules-fil finns i Skapa filen rules i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

3. Spara filen rules på installationsservern.

4. Validera rules-filen.

   $ ./check -p sökväg -r filnamn

   -p sökväg

   Kontrollerar filen rules genom att använda skriptet check från Solaris 10-avbildningen i stället för check-skriptet på datorn. sökväg är avbildningen på en lokal disk eller en monterad Solaris 10 DVD eller Solaris 10 Software - 1.

   Använd det här alternativet när du vill köra den senaste versionen av check om datorn kör en tidigare version av Solaris OS.

   -r filnamn

   Anger en annan regelfil än den som heter rules. Med det här alternativet kan du testa en regels giltighet innan du integrerar regeln i rules-filen.

   När check-skriptet körs rapporteras giltighetskontrollen för rules-filen och alla profiler. Om inga fel påträffas rapporterar skriptet följande: Den anpassade JumpStart-konfigurationen är OK. Skriptet check skapar filen rules.ok.

5. Spara filen rules.ok på en plats som startservern i det globala nätverket kommer åt.

   Spara filen på en av följande platser.

   • Om startservern och installationsservern i det globala nätverket finns på samma dator, ska du spara filen i underkatalogen flash till dokumentrotkatalogen på startservern.

   • Om startservern och installationsservern i det globala nätverket inte finns på samma dator, ska du spara filen i underkatalogen flash till dokumentrotkatalogen på installationsservern.

6. Kontrollera att root äger filen rules.ok och att behörigheten är angiven till 644.

Exempel 13–11 Skapa och validera rules-filen

De anpassade JumpStart-programmen använder filen rules för att välja rätt installationsprofil för systemet wanclient-1. Skapa en textfil som heter rules. Lägg sedan till nyckelord och värden i filen.

IP-adressen för klientsystemet är 192.168.198.210 och nätmasken är 255.255.255.0. Använd regelnyckelordet network när du vill ange den profil som ska användas av de anpassade JumpStart-programmen när klienten ska installeras.

nätverk 192.168.198.0 - wanclient_prof -

Den här rules-filen anger att de anpassade JumpStart-programmen ska använda wanclient_prof för att installera programvaran Solaris 10 på klienten.

Ge den här regelfilen namnet wanclient_rule.

När du har skapat profilen och rules-filen kör du check-skriptet för att verifiera att filerna är giltiga.

wanserver# ./check -r wanclient_rule

Om inga fel påträffas med check-skript, skapas filen rules.ok.

Spara filen rules.ok i katalogen /opt/apache/htdocs/flash/.

Fortsätta med installation av start via globala nätverk

När du har skapat filen rules.ok kan du konfigurera start- och slutskript för installationen. Instruktioner finns i (Valfritt) Skapa start- och slutskript .

Om du inte vill skapa start- och slutskript fortsätter du WAN-startinstallationen genom att läsa Skapa konfigurationsfilerna.

Se även

Mer information om hur du skapar en rules-fil finns i Skapa filen rules i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

Mer detaljerad information om rules-filens nyckelord och värden finns i Regelnyckelord och värden i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

(Valfritt) Skapa start- och slutskript

Start- och slutskript är Bourne-skalskript som användaren skriver och anger i filen rules. Ett startskript utför uppgifter innan Solaris installeras på ett system. Slutskript utför uppgifter när Solaris har installerats på ett system men innan det startas om. Det går bara att använda skripten om du använder en anpassad JumpStart-funktion för att installera Solaris.

Du kan skapa härledda profiler med hjälp av startskript. Med slutskript kan du utföra diverse åtgärder efter installationen, till exempel lägga till filer, paket, korrigeringsfiler eller ytterligare programvara.

Du måste lagra start- och slutskripten i samma katalog som filerna sysidcfg och rules.ok och profilfilerna på installationsservern.

• Mer information om hur du skapar startskript finns i Skapa startskript i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

• Mer information om hur du skapar slutskript finns i Skapa slutskript i Installationshandbok för Solaris 10: Anpassad JumpStart och avancerade installationer.

Om du vill fortsätta att förbereda för installation av start via globala nätverk finns information i Skapa konfigurationsfilerna.

Skapa konfigurationsfilerna

När en dator startas via ett globalt nätverk används de följande filerna, som anger var de data och de filer som behövs vid installationen finns.

• Systemkonfigurationsfil (system.conf)

• filen wanboot.conf

I det här avsnittet beskrivs hur du skapar och lagrar dessa två filer.

Så här skapar du konfigurationsfilen

I systemkonfigurationsfilen kan du ange att installationsprogrammen ska använda de följande filerna.

• filen sysidcfg

• filen rules.ok

• Anpassad JumpStart-profil

Startprogrammet använder informationen i systemkonfigurationsfilen för att installera och konfigurera klienten.

Systemkonfigurationsfilen är en vanlig textfil som måste formateras efter följande mönster.

inställning=värde

Gör så här om du vill använda en systemkonfigurationsfil för att hänvisa installationsprogrammen till filerna sysidcfg och rules.ok samt profilfilerna.

Läs detta först

Innan du skapar systemkonfigurationsfilen måste du skapa installationsfilerna för installationen i det globala nätverket. Detaljerade instruktioner finns i Skapa de anpassade JumpStart-installationsfilerna.

Steg

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Skapa en textfil. Ge filen ett beskrivande namn, t.ex. sys-conf.s10–sparc.

3. Lägg till följande poster i systemkonfigurationsfilen.

   SsysidCF=sysidcfg-fil-URL

   Den här inställningen pekar ut flash-katalogen på installationsservern där sysidcfg-filen finns. Se till att den här URL:en matchar sökvägen till sysidcfg-filen som du skapade i Så här skapar du filen sysidcfg .

   För installationer via globala nätverk som använder HTTPS anger du värdet till en giltig HTTPS-URL.

   SjumpsCF=jumpstart-filer-URL

   Den här inställningen pekar ut Solaris Flash-katalogen på installationsservern där filen rules.ok, profilfilen och start- och slutskripten finns. Se till att den här URL:en matchar sökvägen till de anpassade JumpStart-filerna som du skapade i Så här skapar du profilen och Så här skapar du rules-filen .

   För WAN-installationer med HTTPS anger du värdet till en giltig HTTPS-URL.

4. Spara filen i en katalog som startservern i det globala nätverket kommer åt.

   Av administrativa skäl bör du förmodligen spara filen i lämplig klientkatalog i katalogen /etc/netboot på startservern i det globala nätverket.

5. Ändra systemkonfigurationsfilens behörigheter till 600.

   # chmod 600 /sökväg/systemkonfigurationsfil

   sökväg

   Sökvägen till katalogen där systemkonfigurationsfilen finns.

   systemkonfigurationsfil

   Anger namnet på systemkonfigurationsfilen.

Exempel 13–12 Systemkonfigurationsfil för installation via globala nätverk och HTTPS-protokollet

I följande exempel söker programmen för start från ett globalt nätverk efter filen sysidcfg och anpassade JumpStart-filer på webbservern https://www.example.com på porten 1234. Webbservern använder säker HTTP för att kryptera data och filer under installationen.

Filen sysidcfg och de anpassade JumpStart-filerna finns i underkatalogen flash i dokumentrotkatalogen /opt/apache/htdocs.

SsysidCF=https://www.example.com:1234/flash
SjumpsCF=https://www.example.com:1234/flash

Exempel 13–13 Systemkonfigurationsfil för oskyddad installation via globala nätverk

I exemplet här nedan kontrollerar startprogrammen om filen sysidcfg och anpassade JumpStart-filer finns att hämta på port 1234 på webbservern http://www.exempel.se. Webbservern använder HTTP-protokollet, vilket innebär att data och filer inte är skyddade under installationen.

Filen sysidcfg och de anpassade JumpStart-filerna finns i underkatalogen flash i dokumentrotkatalogen /opt/apache/htdocs.

SsysidCF=http://www.example.com/flash
SjumpsCF=http://www.example.com/flash

Fortsätta med installation av start via globala nätverk

När du har skapat systemkonfigurationsfilen skapar du wanboot.conf-filen. Instruktioner finns i Så här skapar du filen wanboot.conf .

Så här skapar du filen wanboot.conf

Filen wanboot.conf är en vanlig textkonfigurationsfil som startprogrammen använder för att genomföra installationen via det globala nätverket. Programmet wanboot-cgi, startfilsystemet och startminiroten använder informationen i filen wanboot.conf vid installationen på klientdatorn.

Spara filen wanboot.conf i en lämplig klientunderkatalog i /etc/netboot-hierarkin på WAN-startservern. Information om hur du definierar omfattningen av en WAN-startinstallation med /etc/netboot-hierarkin finns i Skapa katalogträdet /etc/netboot på startservern i det globala nätverket.

Om Solaris 10 OS körs på startservern i det globala nätverket, finns det en wanboot.conf-exempelfil i /etc/netboot/wanboot.conf.sample. Du kan använda exemplet som mall för installationen via det globala nätverket.

Du måste inkludera följande information i filen wanboot.conf.

Informationen anges med hjälp av parametrar och tillhörande värden i följande format.

parameter=värde

Detaljerad information om parametrar och värden för filen wanboot.conf finns i Parametrar och syntax för filen wanboot.conf.

Så här skapar du filen wanboot.conf.

Steg

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Skapa textfilen wanboot.conf.

   Du kan skapa en ny textfil med namnet wanboot.conf eller använda exempelfilen /etc/netboot/wanboot.conf.sample. Om du använder exempelfilen ska du byta namn på den till wanboot.conf efter att ha lagt till parametrarna.

3. Ange parametrarna och värdena som gäller för installationen i wanboot.conf.

   En detaljerad beskrivning av parametrar och värden för wanboot.conf finns i Parametrar och syntax för filen wanboot.conf.

4. Spara filen wanboot.conf i en lämplig underkatalog till katalogen /etc/netboot.

   Information om hur du skapar katalogträdet /etc/netboot finns i Skapa katalogträdet /etc/netboot på startservern i det globala nätverket.

5. Validera filen wanboot.conf.

   # bootconfchk /etc/netboot/sökväg-till-wanboot.conf/wanboot.conf

   sökväg-till-wanboot.conf

   Sökvägen till filen wanboot.conf som hör till en klient på startservern i det globala nätverket

   • Om filen wanboot.conf är uppbyggd på rätt sätt, returnerar kommandot bootconfchk avbrottskoden 0.

   • Om filen wanboot.conf är ogiltig, returnerar kommandot bootconfchk en avbrottskod som är skild från noll.

6. Ändra behörigheterna för filen wanboot.conf till 600.

   # chmod 600 /etc/netboot/sökväg-till-wanboot.conf/wanboot.conf

Exempel 13–14 Filen wanboot.conf vid installationer via globala nätverk och HTTPS-protokollet

Exemplet på filen wanboot.conf här nedan innehåller konfigurationsdata för en installation via ett globalt nätverk där det säkra HTTP-protokollet används. Filen wanboot.conf visar även att en krypteringsnyckel av typen 3DES används vid den här installationen.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Den här wanboot.conf-filen anger följande konfiguration.

boot_file=/wanboot/wanboot.s10_sparc

Startprogrammet på den andra nivån heter wanboot.s10_sparc. Programmet har sparats i katalogen /wanboot i dokumentrotkatalogen på startservern i det globala nätverket.

root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi

Programmet wanboot-cgi på startservern i det globala nätverket finns på adressen https://www.exempel.se:1234/cgi-bin/wanboot-cgi. Den del av URL:n som anger https indikerar att den här WAN-startinstallationen använder säker HTTP.

root_file=/miniroot/miniroot.s10_sparc

WAN-startminiroten heter miniroot.s10_sparc. Miniroten har sparats i katalogen /miniroot i dokumentrotkatalogen på startservern i det globala nätverket.

signature_type=sha1

Programmet wanboot.s10_sparc och startfilsystemet i det globala nätverket är signerade med en HMAC SHA1-hashningsnyckel.

encryption_type=3des

Programmet wanboot.s10_sparc och startfilsystemet är krypterade med en 3DES-nyckel.

server_authentication=yes

Servern autentiseras under installationen.

client_authentication=no

Klienten autentiseras inte under installationen.

resolve_hosts=

Inga ytterligare värdnamn behövs för WAN-installationen. Alla filer och all information som krävs finns i dokumentrotkatalogen på startservern i det globala nätverket.

boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi

(Valfritt) Start- och installationsloggmeddelanden registreras på startservern i det globala nätverket med säker HTTP.

Instruktioner för hur du konfigurerar en loggningsserver för en WAN-startinstallation finns i (Valfritt) Så här konfigurerar du startloggningsservern.

system_conf=sys-conf.s10–sparc

Systemkonfigurationsfilen som innehåller sysidcfg- och JumpStart-filerna finns i en underkatalog till katalogträdet /etc/netboot. Systemkonfigurationsfilen heter sys-conf.s10–sparc.

Exempel 13–15 Filen wanboot.conf vid oskyddade installationer via globala nätverk

Exemplet på filen wanboot.conf här nedan innehåller konfigurationsdata för en inte lika säker installation via ett globalt nätverk där HTTP-protokollet används. Filen wanboot.conf visar även att ingen krypterings- eller hashningsnyckel används under installationen.

boot_file=/wanboot/wanboot.s10_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Den här wanboot.conf-filen anger följande konfiguration.

boot_file=/wanboot/wanboot.s10_sparc

Startprogrammet på den andra nivån heter wanboot.s10_sparc. Programmet har sparats i katalogen /wanboot i dokumentrotkatalogen på startservern i det globala nätverket.

root_server=http://www.example.com/cgi-bin/wanboot-cgi

Programmet wanboot-cgi på startservern i det globala nätverket finns på adressen http://www.exempel.se/cgi-bin/wanboot-cgi. Det säkra HTTP-protokollet används inte under installationen.

root_file=/miniroot/miniroot.s10_sparc

WAN-startminiroten heter miniroot.s10_sparc. Miniroten har sparats i underkatalogen /miniroot i dokumentrotkatalogen på startservern i det globala nätverket.

signature_type=

Programmet wanboot.s10_sparc och startfilsystemet i det globala nätverket är inte signerade med en hashningsnyckel.

encryption_type=

Programmet wanboot.s10_sparc och startfilsystemet är inte krypterade.

server_authentication=no

Servern autentiseras varken med nycklar eller certifikat under installationen.

client_authentication=no

Klienten autentiseras varken med nycklar eller certifikat under installationen.

resolve_hosts=

Inga ytterligare värdnamn behövs för att utföra installationen. Alla filer och all information som krävs finns i dokumentrotkatalogen på startservern i det globala nätverket.

boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

(Valfritt) Start- och installationsloggmeddelanden registreras på startservern i det globala nätverket.

Instruktioner för hur du konfigurerar en loggningsserver för en WAN-startinstallation finns i (Valfritt) Så här konfigurerar du startloggningsservern.

system_conf=sys-conf.s10–sparc

Systemkonfigurationsfilen som innehåller platserna för sysidcfg- och JumpStart-filerna heter sys-conf.s10–sparc. Filen har sparats i en underkatalog till katalogträdet /etc/netboot som hör till klienten.

Fortsätta med installation av start via globala nätverk

När du har skapat filen wanboot.conf kan du konfigurera en DHCP-server så att den stöder start via ett globalt nätverk. Instruktioner finns i (Valfritt) Ange konfigurationsdata med en DHCP-server.

Om du inte vill använda en DHCP-server vid installationen via det globala nätverket finns information om hur du fortsätter med installationen i Så här kontrollerar du enhetsalias för net i klientens OBP.

Se även

En detaljerad beskrivning av parametrar och värden för wanboot.conf finns i Parametrar och syntax för filen wanboot.conf och på direkthjälpssidan wanboot.conf(4).

(Valfritt) Ange konfigurationsdata med en DHCP-server

Om du har en DHCP-server i nätverket, kan du konfigurera den att tillhandahålla följande information.

• Proxyserverns IP-adress

• Adressen till programmet wanboot-cgi

Du kan använda följande DHCP-leverantörsalternativ vid installationen via det globala nätverket.

SHTTPproxy

Anger IP-adressen till nätverkets proxyserver.

SbootURI

Adressen till programmet wanboot-cgi på startservern i det globala nätverket

Information om hur du anger leverantörsalternativen på en Solaris DHCP-server finns i Förkonfigurera systemkonfigurationsdata med DHCP-tjänsten (aktiviteter).

Detaljerad information om hur du konfigurerar en Solaris DHCP-server finns i Kapitel 14, Configuring the DHCP Service (Tasks) i System Administration Guide: IP Services.

Om du vill fortsätta med installationen via det globala nätverket går du till Kapitel 14, SPARC: Installera med WAN-start (Steg-för-steg-anvisningar).

Kapitel 14 SPARC: Installera med WAN-start (Steg-för-steg-anvisningar)

I det här kapitlet beskrivs hur du utför en WAN-startinstallation på en SPARC-baserad klient. Information om hur du förbereder för en installation via ett globalt nätverk finns i Kapitel 13, Förbereda installation med WAN-start (Steg-för-steg-anvisningar) .

I det här kapitlet beskrivs följande åtgärder.

• Förbereda klienten för en WAN-startinstallation

• Installera klienten

Åtgärdsöversikt: Installera en klient med WAN-start

I följande tabell listas de åtgärder som du måste utföra när du installerar en klient över ett WAN-nätverk.

Förbereda klienten för en WAN-startinstallation

Innan du installerar klientsystemet förbereder du klienten genom att utföra följande åtgärder.

• Så här kontrollerar du enhetsalias för net i klientens OBP

• Installera nycklar på klienten

Så här kontrollerar du enhetsalias för net i klientens OBP

Om du vill starta klienten över WAN-nätverket med kommandot boot net måste klientens primära nätverksenhet anges som enhetsalias för net. På de flesta system har detta alias redan angetts korrekt. Om den nätverksenhet som du använder inte har angetts som detta alias måste du ändra det.

Mer information om hur du anger enhetsalias finns i ”The Device Tree” i OpenBoot 3.x Command Reference Manual.

Följ de här stegen om du vill kontrollera enhetsalias för net på klienten.

Steg

1. Logga in som superanvändare på klienten.

2. Sätt systemet till körnivå 0.

   # init 0

   ok-ledtexten visas.

3. Vid ok-ledtexten kontrollerar du de enhetsalias som har angetts i OBP:n.

   ok devalias

   Kommandot devalias ger information som liknar den som ges i följande exempel.

   screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

   • Om nätverksenheten som du vill använda under installationen har angetts som alias för net behöver du inte återställa alias. Gå till Installera nycklar på klienten och fortsätt installationen.

   • Om den nätverksenhet som du använder inte har angetts som alias för net måste du återtälla alias. Fortsätt.

4. Ange enhetsalias för net.

   Välj ett av följande kommandon om du vill ange enhetsalias för net.

   • Om du vill ange enhetsalias för net för endast den här installationen använder du kommandot devalias.

     ok devalias net enhetssökväg

     net enhetssökväg

     Tilldelar enheten enhetssökväg som alias för net

   • Om du vill ange enhetsalias för net permanent använder du kommandot nvalias.

     ok nvalias net enhetssökväg

     net enhetssökväg

     Tilldelar enheten enhetssökväg som alias för net

Exempel 14–1 Kontrollera och återställa enhetsalias för net

Följande kommandon visar hur du kontrollerar och återställer enhetsalias för net.

Kontrollera enhetsalias.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

Om du vill använda nätverksenheten /pci@1f,0/pci@1,1/network@5,1 skriver du följande kommando.

ok devalias net /pci@1f,0/pci@1,1/network@5,1

Fortsätta med installation av start via globala nätverk

När du har kontrollerat enhetsalias för net, se lämpligt avsnitt för information om hur du fortsätter installationen.

• Om du använder en hashnings- och en krypteringsnyckel vid installationen, finns information i Installera nycklar på klienten.

• Om du utför en mindre säker installation utan nycklar, finns information i Installera klienten.

Installera nycklar på klienten

Om du vill göra en säkrare WAN-startinstallation eller en osäker installation med kontroll av dataintegriteten, måste du installera nycklar på klienten. Genom att använda en hashnings- och en krypteringsnyckel kan du skydda data som överförs till klienten. Du kan installera nycklarna på följande sätt.

• Ange OBP-variabler – Du kan tilldela nyckelvärden till argumentvariablerna för OBP-nätverksstart innan du startar klienten. De här nycklarna kan du sedan använda för framtida WAN-startinstallationer på klienten.

• Ange nyckelvärdena under startprocessen – Du kan bestämma nyckelvärden vid wanboot-programmets boot>-ledtext. Om du installerar nycklarna med den här metoden används de bara för den aktuella WAN-startinstallationen.

Du kan även installera nycklarna i OBP medan klienten körs. Om du vill installera nycklar medan klienten körs, måste Solaris 9 12/03 OS eller en kompatibel version köras.

När du installerar nycklarna på klienten bör du se till att nyckelvärdena inte överförs via en osäker anslutning. Följ säkerhetsprinciperna för webbplatsen om du vill garantera sekretessen för nyckelvärdena.

• Instruktioner om hur du tilldelar nyckelvärden till argumentvariablerna för OBP-nätverksstart finns i Så här installerar du nycklar i klientens OBP.

• Instruktioner om hur du installerar nycklar under startprocessen finns i Så här utför du en interaktiv WAN-startinstallation.

• Instruktioner för hur du installerar nycklar i en aktiv klients OBP finns i Så här installerar du en hashnings- och en krypteringsnyckel på en klient som körs.

Så här installerar du nycklar i klientens OBP

Du kan tilldela nyckelvärden till argumentvariablerna för OBP-nätverksstart innan du startar klienten. De här nycklarna kan du sedan använda för framtida WAN-startinstallationer på klienten.

Gör på följande sätt om du vill installera nycklar i klientens OBP.

Följ de här steg-för-steg-anvisningarna om du vill tilldela nyckelvärden till argumentvariablerna för OBP-nätverksstart.

Steg

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Visa nyckelvärdena för varje klientnyckel.

   # wanbootutil keygen -d -c -o net=nät-ip,cid=klient-ID,type=nyckeltyp

   nät-ip

   IP-adressen för klientens delnät.

   klient-ID

   ID för klienten som du vill installera. Klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

   nyckeltyp

   Nyckeltypen som du vill installera på klienten. Giltiga nyckelvärden är 3des, aes och sha1.

   Det hexadecimala värdet för nyckeln visas.

3. Upprepa det föregående steget för varje typ av klientnyckel som du vill installera.

4. Sätt klientsystemet till körnivå 0.

   # init 0

   ok-ledtexten visas.

5. Ange värdet för hashningsnyckeln vid klientens ok-ledtext.

   ok set-security-key wanboot-hmac-sha1 nyckelvärde

   set-security-key

   Installerar nyckeln på klienten

   wanboot-hmac-sha1

   Instruerar OBP att installera en HMAC SHA1-hashningsnyckel

   nyckelvärde

   Anger den hexadecimala sträng som visas i Steg 2.

   HMAC SHA1-hashningsnyckeln installeras i klientens OBP.

6. Installera krypteringsnyckeln vid klientens ok-ledtext.

   ok set-security-key wanboot-3des nyckelvärde

   set-security-key

   Installerar nyckeln på klienten

   wanboot-3des

   Instruerar OBP att installera en 3DES-krypteringsnyckel. Om du vill använda en AES-krypteringsnyckel anger du det här värdet till wanboot-aes.

   nyckelvärde

   Anger den hexadecimala sträng som motsvarar krypteringsnyckeln.

   3DES-krypteringsnyckeln installeras i klientens OBP.

   När du har installerat nycklarna är du färdig att installera klienten. Instruktioner för hur du installerar klientsystemet finns i Installera klienten.

7. (Valfritt) Kontrollera att nycklarna har angetts i klientens OBP.

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (Valfritt) Om du behöver ta bort en nyckel skriver du följande kommando.

   ok set-security-key nyckeltyp

   nyckeltyp

   Anger vilken typ av nyckel du behöver ta bort. Använd något av värdena wanboot-hmac-sha1, wanboot-3des eller wanboot-aes.

Exempel 14–2 Installera nycklar i klientens OBP

Följande exempel visar hur du installerar en hashnings- och en krypteringsnyckel i klientens OBP.

Visa nyckelvärdena på WAN-startservern.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Det föregående exemplet använder följande information.

net=192.168.198.0

Anger IP-adressen för klientens delnät

cid=010003BA152A42

Anger klientens ID

b482aaab82cb8d5631e16d51478c90079cc1d463

Anger värdet för klientens HMAC SHA1-hashningsnyckel

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Anger värdet för klientens 3DES-krypteringsnyckel

Om du använder en AES-krypteringsnyckel under installationen visar du värdet för krypteringsnyckeln genom att ändra wanboot-3des till wanboot=aes.

Installera nycklarna på datorn.

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Följande åtgärder utförs med de föregående kommandona.

• Installerar HMAC SHA1-hashningsnyckeln med värdet b482aaab82cb8d5631e16d51478c90079cc1d463 på klienten

• Installerar 3DES-krypteringsnyckeln med värdet 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 på klienten

  Om du använder en AES-krypteringsnyckel under installationen ändrar du wanboot-3des till wanboot-aes.

Fortsätta med installation av start via globala nätverk

När du har installerat nycklarna på klienten kan du installera klienten via det globala nätverket. Instruktioner finns i Installera klienten.

Se även

Mer information om hur du visar nyckelvärden finns i direkthjälpen för wanbootutil(1M).

Så här installerar du en hashnings- och en krypteringsnyckel på en klient som körs

Du kan ange nyckelvärden vid ledtexten boot> i programmet wanboot på ett system som körs. Om du installerar nycklarna med den här metoden används de bara för den aktuella WAN-startinstallationen.

Om du vill installera en hashnings- och en krypteringsnyckel i OBP på en klients som körs, följer du de här steg-för-steg-anvisningarna.

Läs detta först

Följande antaganden förutsätts i den här proceduren.

• Klientdatorn är påslagen.

• Klienten är åtkomlig över en säker anslutning, exempelvis ett säkert skal (ssh).

Steg

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Visa nyckelvärdet för klientnyckeln.

   # wanbootutil keygen -d -c -o net=nät-ip,cid=klient-ID,type=nyckeltyp

   nät-ip

   IP-adressen för klientens delnät.

   klient-ID

   ID för klienten som du vill installera. Klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

   nyckeltyp

   Nyckeltypen som du vill installera på klienten. Giltiga nyckelvärden är 3des, aes och sha1.

   Det hexadecimala värdet för nyckeln visas.

3. Upprepa det föregående steget för varje typ av klientnyckel som du vill installera.

4. Logga in som superanvändare på klientdatorn.

5. Installera de nödvändiga nycklarna på klientdatorn som körs.

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   nyckeltyp

   Anger nyckeltypen som du vill installera på klienten. Giltiga nyckelvärden är 3des, aes och sha1.

   nyckelvärde

   Anger den hexadecimala sträng som visas i Steg 2.

6. Upprepa det föregående steget för varje typ av klientnyckel som du vill installera.

   När du har installerat nycklarna kan du installera klienten. Instruktioner för hur du installerar klientsystemet finns i Installera klienten.

Exempel 14–3 Installera nycklar i OBP på ett klientsystem som körs

Följande exempel visar hur du installerar nycklar i OBP på en klient som körs.

Visa nyckelvärdena på WAN-startservern.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Det föregående exemplet använder följande information.

net=192.168.198.0

Anger IP-adressen för klientens delnät

cid=010003BA152A42

Anger klientens ID

b482aaab82cb8d5631e16d51478c90079cc1d463

Anger värdet för klientens HMAC SHA1-hashningsnyckel

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Anger värdet för klientens 3DES-krypteringsnyckel

Om du använder en AES-krypteringsnyckel i installationen, ändrar du type=3des till type=aes för att visa krypteringsnyckelns värde.

Installera nycklarna i OBP på klienten som körs.

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Följande åtgärder utförs med de föregående kommandona.

• Installerar en HMAC SHA1-hashningsnyckel med värdet b482aaab82cb8d5631e16d51478c90079cc1d463 på klienten

• Installerar en 3DES-krypteringsnyckel med värdet 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 på klienten

Fortsätta med installation av start via globala nätverk

När du har installerat nycklarna på klienten kan du installera klienten via det globala nätverket. Instruktioner finns i Installera klienten.

Se även

Mer information om hur du visar nyckelvärden finns i direkthjälpen för wanbootutil(1M).

Ytterligare information om hur du installerar nycklar i ett system som körs finns i ickey(1M).

Installera klienten

När du är färdig med nätverksförberedelserna för en WAN-startinstallation kan du välja mellan följande sätt att installera systemet.

Så här utför du en WAN-startinstallation utan interaktivitet

Använd den här installationsmetoden om du föredrar att installera nycklar på klienten och ange klientkonfigurationsinformationen innan du installerar klienten. Du kan sedan starta klienten från WAN-nätverket och utföra en obevakad installation.

I den här proceduren förutsätts att du antingen har installerat nycklarna i klientens OBP eller att du utför en osäker installation. Information om hur du installerar nycklar på klienten före installationen finns i Installera nycklar på klienten.

Steg

1. Om klientdatorn inte körs för tillfället sätter du den i körläge 0.

   # init 0

   ok-ledtexten visas.

2. Ange argumentvariablerna för OBP-nätverksstart i klientens ok-ledtext.

   ok setenv network-boot-arguments host-ip=klient-IP, router-ip=router-ip,subnet-mask=maskvärde, hostname=klientnamn,http-proxy=proxy-ip:port, file=wanbootCGI-URL

   ---

   Obs! –

   Radbrytningarna i det här kommandoexemplet har bara tagits med i formateringssyfte. Gör inga radmatningar innan du skrivit färdigt kommandot.

   ---

   setenv network-boot-arguments

   Anger att OBP ska ange följande startargument

   host-ip=klient-IP

   Anger klientens IP-adress

   router-ip=router-ip

   Anger nätverksrouterns IP-adress

   subnet-mask=maskvärde

   Anger värdet för delnätsmasken

   hostname=klientnamn

   Anger klientens värdnamn

   (Valfritt) http-proxy=proxy-ip:port

   Anger IP-adressen och porten för nätverkets proxyserver

   file=wanbootCGI-URL

   Anger URL för programmet wanboot-cgi på webbservern

3. Starta klienten.

   ok boot net - install

   net - install

   Instruerar klienten att använda argumentvariabler för nätverksstart om du vill starta från WAN-nätverket

   Klienten installerar via det globala nätverket. Om wanboot-programmen inte hittar all installationsinformation som krävs blir du ombedd att ange den saknade informationen. Skriv in all ytterligare information vid ledtexten.

Exempel 14–4 WAN-startinstallationer utan interaktivitet

I följande exempel anges argumentvariablerna för nätverksstart för klientsystemet myclient innan datorn startas. Det här exemplet förutsätter att en hashnings- och en krypteringsnyckel redan är installerade på datorn. Information om hur du installerar nycklar innan du startar från WAN finns i Installera nycklar på klienten.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192
hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi
ok boot net - install
Återställer ...




Sun Blade 100 (UltraSPARC-IIe), inget tangentbord
Copyright 1998-2003 Sun Microsystems, Inc.  Med ensamrätt.
OpenBoot 4.x.build_28, 512 MB minne installerat, serienummer #50335475.
Ethernet-adress 0:3:ba:e:f3:75, värd-ID: 83000ef3.



Startar om med kommandot: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

Följande variabler har angetts.

• Klientens IP-adress har angetts till 192.168.198.136.

• IP-adressen för klientens router har angetts till 192.168.198.129.

• Klientens delnätsmask har angetts till 255.255.255.192.

• Klientens värdnamn har angetts till seahag.

• Programmet wanboot-cgi finns på adressen http://192.168.198.2135/cgi-bin/wanboot-cgi.

Se även

Mer information om hur du konfigurerar argument för nätverksstart finns i set(1).

Mer information om hur du startar ett system finns i boot(1M).

Så här utför du en interaktiv WAN-startinstallation

Använd den här installationsmetoden om du vill installera nycklar och ange klientkonfigurationsinformation på kommandoraden under installationen.

I den här proceduren förutsätts att du använder HTTPS under WAN-installationen. Om du utför en osäker installation utan nycklar bör du varken visa eller installera klientnycklarna.

Steg

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Visa nyckelvärdena för varje klientnyckel.

   # wanbootutil keygen -d -c -o net=nät-ip,cid=klient-ID,type=nyckeltyp

   nät-ip

   IP-adressen för delnätet för klienten som du vill installera.

   klient-ID

   ID för klienten som du vill installera. Klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

   nyckeltyp

   Nyckeltypen som du vill installera på klienten. Giltiga nyckelvärden är 3des, aes och sha1.

   Det hexadecimala värdet för nyckeln visas.

3. Upprepa det föregående steget för varje typ av klientnyckel som du installerar.

4. Om klientdatorn inte körs för tillfället sätter du den i körläge 0.

5. Ange argumentvariablerna för nätverksstart i OBP vid ok-ledtexten på klientdatorn.

   ok setenv network-boot-arguments host-ip=klient-IP,router-ip=router-ip, subnet-mask=maskvärde,hostname=klientnamn, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

   ---

   Obs! –

   Radbrytningarna i det här kommandoexemplet har bara tagits med i formateringssyfte. Gör inga radmatningar innan du skrivit färdigt kommandot.

   ---

   setenv network-boot-arguments

   Instruerar OBP att ange följande startargument

   host-ip=klient-IP

   Anger klientens IP-adress

   router-ip=router-ip

   Anger IP-adressen för nätverksroutern

   subnet-mask=maskvärde

   Anger delnätets maskvärde

   hostname=klientnamn

   Anger klientens värdnamn

   (Valfritt) http-proxy=proxy-ip:port

   Anger IP-adressen och porten för nätverkets proxyserver

   bootserver=wanbootCGI-URL

   Anger URL för programmet wanboot-cgi på webbservern

   ---

   Obs! –

   URL-värdet för variabeln bootserver får inte vara en HTTPS-URL. URL:en måste börja med http://.

   ---

6. Starta systemet vid ok-ledtexten.

   ok boot net -o prompt - install

   net -o prompt - install

   Instruerar klienten att starta och installera från nätverket. Programmet wanboot uppmanar användaren att ange klientkonfigurationsinformation vid boot>-ledtexten.

   boot>-ledtexten visas.

7. Installera krypteringsnyckeln.

   boot> 3des=nyckelvärde

   3des=nyckelvärde

   Anger den hexadecimala sträng i 3DES-nyckeln som visas i Steg 2.

   Om du använder en AES-krypteringsnyckel använder du följande format för det här kommandot.

   boot> aes=nyckelvärde

8. Installera hashningsnyckeln.

   boot> sha1=nyckelvärde

   sha1=nyckelvärde

   Anger hashningsnyckelvärdet som visas i Steg 2.

9. Skriv följande kommando om du vill fortsätta startprocessen.

   boot> go

   Klienten installerar över WAN.

10. Om du blir ombedd anger du klientkonfigurationsinformationen på kommandoraden.

    Om wanboot-programmen inte hittar all installationsinformation som krävs blir du ombedd att ange den saknade informationen. Skriv in all ytterligare information vid ledtexten.

Exempel 14–5 Interaktiv WAN-startinstallation

I följande exempel ombeds du av programmet wanboot att ange nyckelvärdena för klientdatorn under installationen.

Visa nyckelvärdena på WAN-startservern.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Det föregående exemplet använder följande information.

net=192.168.198.0

Anger IP-adressen för klientens delnät

cid=010003BA152A42

Anger klientens ID

b482aaab82cb8d5631e16d51478c90079cc1d463

Anger värdet för klientens HMAC SHA1-hashningsnyckel

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Anger värdet för klientens 3DES-krypteringsnyckel

Om du använder en AES-krypteringsnyckel i installationen, ändrar du type=3des till type=aes för att visa krypteringsnyckelns värde.

Ange argumentvariablerna för nätverksstart i OBP på klienten.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient,
bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

Följande variabler har angetts.

• Klientens IP-adress har angetts till 192.168.198.136.

• IP-adressen för klientens router har angetts till 192.168.198.129.

• Klientens delnätsmask har angetts till 255.255.255.192.

• Klientens värdnamn har angetts till myclient.

• Programmet wanboot-cgi finns på adressen http://192.168.198.2135/cgi-bin/wanboot-cgi.

Starta och installera klienten.

ok boot net -o prompt - install
Återställer ...


Sun Blade 100 (UltraSPARC-IIe), inget tangentbord
Copyright 1998-2003 Sun Microsystems, Inc.  Med ensamrätt.
OpenBoot 4.x.build_28, 512 MB minne installerat, serienummer #50335475.
Ethernet-adress 0:3:ba:e:f3:75, värd-ID: 83000ef3.



Startar om med kommandot: boot net -o prompt                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> go

Följande åtgärder utförs med de föregående kommandona.

• Installerar 3DES-krypteringsnyckeln med värdet 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 på klienten

• Installerar HMAC SHA1-hashningsnyckeln med värdet b482aaab82cb8d5631e16d51478c90079cc1d463 på klienten

• Installationen startas

Se även

Mer information om hur du visar nyckelvärden finns i wanbootutil(1M).

Mer information om hur du konfigurerar argument för nätverksstart finns i set(1).

Mer information om hur du startar ett system finns i boot(1M).

Så här utför du en WAN-startinstallation med en DHCP-server

Om du har konfigurerat en DHCP-server att ge stöd för WAN-startalternativ kan du låta den tillhandahålla klientkonfigurationsinformation under installationen. Mer information om hur du konfigurerar en DHCP-server att stödja en WAN-startinstallation finns i (Valfritt) Ange konfigurationsdata med en DHCP-server.

Följande antaganden förutsätts i den här proceduren.

• Klientsystemet körs.

• Du har antingen installerat nycklar på klienten eller så utför du en osäker installation.

  Information om hur du installerar nycklar på klienten före installationen finns i Installera nycklar på klienten.

• Du har konfigurerat DHCP-servern att ge stöd för WAN-startalternativen SbootURI och SHTTPproxy.

  De här alternativen gör att DHCP-servern kan tillhandahålla den konfigurationsinformation som krävs av WAN-start.

  Information om hur du anger installationsalternativ på DHCP-servern finns i Förkonfigurera systemkonfigurationsdata med DHCP-tjänsten (aktiviteter).

Steg

1. Om klientdatorn inte körs för tillfället sätter du den i körläge 0.

   # init 0

   ok-ledtexten visas.

2. Ange argumentvariablerna för OBP-nätverksstart i klientens ok-ledtext.

   ok setenv network-boot-arguments dhcp,hostname=värdnamn

   setenv network-boot-arguments

   Instruerar OBP att ange följande startargument

   dhcp

   Instruerar OBP att använda DHCP-servern för att konfigurera klienten

   hostname=klientnamn

   Anger värdnamnet som du vill tilldela klienten

3. Starta klienten från nätverket.

   ok boot net - install

   net - install

   Instruerar klienten att använda argumentvariabler för nätverksstart om du vill starta från WAN-nätverket

   Klienten installerar via det globala nätverket. Om wanboot-programmen inte hittar all installationsinformation som krävs blir du ombedd att ange den saknade informationen. Skriv in all ytterligare information vid ledtexten.

Exempel 14–6 WAN-startinstallation med en DHCP-server

I följande exempel tillhandahåller DHCP-servern på nätverket klientkonfigurationsinformation. Det här kodexemplet begär värdnamnet myclient för klienten.

ok setenv network-boot-arguments dhcp, hostname=myclient

ok boot net - install
Återställer ...



Sun Blade 100 (UltraSPARC-IIe), inget tangentbord
Copyright 1998-2003 Sun Microsystems, Inc.  Med ensamrätt.
OpenBoot 4.x.build_28, 512 MB minne installerat, serienummer #50335475.
Ethernet-adress 0:3:ba:e:f3:75, värd-ID: 83000ef3.



Startar om med kommandot: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

Se även

Mer information om hur du konfigurerar argument för nätverksstart finns i set(1).

Mer information om hur du startar ett system finns i boot(1M).

Mer information om hur du konfigurerar en DHCP-server finns i (Valfritt) Ange konfigurationsdata med en DHCP-server.

Så här utför du en WAN-startinstallation lokalt med cd-media

Om klientens OBP inte stöder WAN-start kan du installera med en Solaris 10 Software - 1-cd i klientens cd-romenhet. När du använder en lokal cd-enhet hämtas wanboot-programmet från cd:n i stället för från WAN-startservern.

I den här proceduren förutsätts att du använder HTTPS under WAN-installationen. Visa eller installera inte nycklarna om du utför en osäker installation.

Följ de här steg-för-steg-anvisningarna om du vill utföra en WAN-startinstallation lokalt från cd-media.

Steg

1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

2. Visa nyckelvärdena för varje klientnyckel.

   # wanbootutil keygen -d -c -o net=nät-ip,cid=klient-ID,type=nyckeltyp

   nät-ip

   Nätverks-IP-adressen för klienten som du installerar.

   klient-ID

   ID för klienten som du installerar. Klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

   nyckeltyp

   Nyckeltypen som du installerar på klienten. Giltiga nyckelvärden är 3des, aes och sha1.

   Det hexadecimala värdet för nyckeln visas.

3. Upprepa det föregående steget för varje typ av klientnyckel som du installerar.

4. Sätt in Solaris 10 Software - 1 i cd-romenheten på klientdatorn.

5. Sätt på klientdatorn.

6. Starta klienten från cd:n.

   ok boot cdrom -o prompt -F wanboot - install

   cdrom

   Instruerar OBP att starta från den lokala cd-romenheten.

   -o prompt

   Instruerar wanboot-programmet att be användaren ange klientkonfigurationsinformationen

   -F wanboot

   Instruerar OBP att ladda wanboot-programmet från cd:n.

   - install

   Instruerar klienten att utföra en WAN-startinstallation

   Klientens OBP laddar programmet wanboot från Solaris 10 Software - 1-cd:n. wanboot-programmet startar systemet, och boot>-ledtexten visas.

7. Skriv in värdet för krypteringsnyckeln.

   boot> 3des=nyckelvärde

   3des=nyckelvärde

   Anger den hexadecimala sträng i 3DES-nyckeln som visas i Steg 2.

   Om du använder en AES-krypteringsnyckel använder du följande format för det här kommandot.

   boot> aes=nyckelvärde

8. Skriv in värdet för hashningsnyckeln.

   boot> sha1=nyckelvärde

   sha1=nyckelvärde

   Anger den hexadecimala sträng som representerar hashningsnyckelvärdet som visas i Steg 2.

9. Ange variablerna för nätverksgränssnittet.

   boot> variabel=värde[,variabel=värde*]

   Skriv följande variabel- och värdepar vid boot>-ledtexten.

   host-ip=klient-IP

   Anger klientens IP-adress.

   router-ip=router-ip

   Anger IP-adressen för nätverksroutern.

   subnet-mask=maskvärde

   Anger delnätets maskvärde.

   hostname=klientnamn

   Anger klientens värdnamn.

   (Valfritt) http-proxy=proxy-ip:port

   Anger IP-adress och portnummer för nätverkets proxyserver.

   bootserver=wanbootCGI-URL

   Anger URL för programmet wanboot-cgi på webbservern.

   ---

   Obs! –

   URL-värdet för variabeln bootserver får inte vara en HTTPS-URL. URL:en måste börja med http://.

   ---

   Du kan ange de här variablerna på följande sätt.

   • Skriv ett variabel- och värdepar vid boot>-ledtexten, och tryck sedan på Retur.

     boot> host-ip=klient-IP boot> subnet-mask=maskvärde

   • Skriv in alla variabel- och värdepar vid boot>-ledtexten och tryck på Retur. Separera variabler och värdepar med kommatecken.

     boot> host-ip=klient-IP,subnet-mask=maskvärde, router-ip=router-ip,hostname=klientnamn, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

10. Skriv följande kommando om du vill fortsätta startprocessen.

    boot> go

    Klienten installerar via det globala nätverket. Om wanboot-programmen inte hittar all installationsinformation som krävs blir du ombedd att ange den saknade informationen. Skriv in all ytterligare information vid ledtexten.

Exempel 14–7 Installera lokalt med cd-media

I följande exempel ombeds du av wanboot-programmet på en lokal cd-skiva att ange variabler för nätverksgränssnittet för klienten under installationen.

Visa nyckelvärdena på WAN-startservern.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Det föregående exemplet använder följande information.

net=192.168.198.0

Anger IP-adressen för klientens delnät

cid=010003BA152A42

Anger klientens ID

b482aaab82cb8d5631e16d51478c90079cc1d463

Anger värdet för klientens HMAC SHA1-hashningsnyckel

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Anger värdet för klientens 3DES-krypteringsnyckel

Om du använder en AES-krypteringsnyckel i installationen, ändrar du type=3des till type=aes för att visa krypteringsnyckelns värde.

Starta och installera klienten.

ok boot cdrom -o prompt -F wanboot - install
Återställer ...


Sun Blade 100 (UltraSPARC-IIe), inget tangentbord
Copyright 1998-2003 Sun Microsystems, Inc.  Med ensamrätt.
OpenBoot 4.x.build_28, 512 MB minne installerat, serienummer #50335475.
Ethernet-adress 0:3:ba:e:f3:75, värd-ID: 83000ef3.



Startar om med kommandot: boot cdrom -F wanboot - install                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> host-ip=192.168.198.124

boot> subnet-mask=255.255.255.128

boot> router-ip=192.168.198.1

boot> hostname=myclient
boot> client-id=010003BA152A42

boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

boot> go

Följande åtgärder utförs med de föregående kommandona.

• Anger 3DES-krypteringsnyckeln med värdet 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 på klienten

• Anger HMAC SHA1-hashningsnyckeln med värdet b482aaab82cb8d5631e16d51478c90079cc1d463 på klienten

• Anger klientens IP-adress till 192.168.198.124

• Anger klientens delnätsmask till 255.255.255.128

• Anger IP-adressen för klientens router till 192.168.198.1

• Anger klientens namn till myclient

• Anger klientens ID till 010003BA152A42

• Anger platsen för wanboot-cgi-programmet till http://192.168.198.135/cgi-bin/wanboot-cgi/

Se även

Mer information om hur du visar nyckelvärden finns i wanbootutil(1M).

Mer information om hur du konfigurerar argument för nätverksstart finns i set(1).

Mer information om hur du startar ett system finns i boot(1M).

Kapitel 15 SPARC: Installera med WAN-start (Exempel)

I det här kapitlet finns exempel på hur du konfigurerar och installerar klientdatorer över ett WAN-nätverk. Exemplen i det här kapitlet beskriver hur du utför en säker WAN-startinstallation över en HTTPS-anslutning.

• Exempel på platsinstallation

• Skapa dokumentrotkatalogen

• Skapa WAN-startminiroten

• Kontrollera om klientens OBP stöder WAN-start

• Installera wanboot-programmet på WAN-startservern

• Skapa /etc/netboot-hierarkin

• Kopiera programmet wanboot-cgi till WAN-startservern

• (Valfritt) Konfigurera WAN-startservern som inloggningsserver

• Konfigurera WAN-startservern att använda HTTPS

• Förse klienten med det betrodda certifikatet

• (Valfritt) Använd privat nyckel och certifikat för klientautentisering

• Skapa serverns och klientens nycklar

• Skapa Solaris Flash-arkivet

• Skapa filen sysidcfg

• Skapa klientens profil

• Skapa och validera filen rules

• Skapa systemkonfigurationsfilen

• Skapa filen wanboot.conf

• Kontrollera enhetsalias för net i OBP

• Installera nycklar på klienten

• Installera klienten

Exempel på platsinstallation

Figur 15–1 visar konfigurationen för det här exemplet.

Figur 15–1 Exempelwebbplats för WAN-startinstallationen

Den här exempelwebbplatsen har följande egenskaper.

• Servern wanserver-1 konfigureras som en WAN-startserver och installationsserver.

• wanserver-1 har IP-adressen 192.168.198.2.

• wanserver-1 tillhör domänen www.example.com.

• wanserver-1 kör operativsystemet Solaris 10.

• På wanserver-1 körs webbservern Apache. Apache-programvaran på wanserver-1 konfigureras för HTTPS-stöd.

• Klienten som ska installeras heter wanclient-1.

• wanclient-1 är ett UltraSPARCII-system.

• Klient-ID för wanclient-1 är 010003BA152A42.

• wanclient-1 har IP-adressen 192.168.198.210.

• IP-adressen för klientens delnät är 192.168.198.0.

• Klientdatorn wanclient-1 har tillgång till Internet men är inte direkt ansluten till det nätverk som wanserver-1 tillhör.

• wanclient-1 är ett nytt system som ska installeras med Solaris 10-programvaran.

Skapa dokumentrotkatalogen

Om du vill lagra installationsfiler och installationsdata konfigurerar du följande kataloger i dokumentrotkatalogen (/opt/apache/htdocs) på wanserver-1.

• Solaris Flash-katalog

  wanserver-1# mkdir -p /opt/apache/htdocs/flash/

• Katalog för WAN-startminiroten

  wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/

• Katalog för wanboot-programmet

  wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/

Skapa WAN-startminiroten

Använd setup_install_server(1M) med alternativet -w om du vill kopiera WAN-startminiroten och programvaruavbildningen för Solaris till katalogen /export/install/Solaris_10 på wanserver-1.

Sätt in Solaris 10-programvara i medieenheten som är ansluten till wanserver-1. Skriv följande kommandon.

wanserver-1# mkdir -p /export/install/sol_10_sparc
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/sol_10_sparc/miniroot \
/export/install/sol_10_sparc

Flytta WAN-startminiroten till dokumentrotkatalogen (/opt/apache/htdocs/) på WAN-startservern.

wanserver-1# mv /export/install/sol_10_sparc/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Kontrollera om klientens OBP stöder WAN-start

Avgör om OBP-klienten stöder WAN-start genom att skriva följande kommando på klientsystemet.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

I föregående exempel indikerar utmatningen network-boot-arguments: data not available att OBP-klienten stöder WAN-start.

Installera wanboot-programmet på WAN-startservern

Du installerar programmet wanboot på WAN-startservern genom att kopiera programmet från Solaris 10-programvara-cd till WAN-startserverns dokumentrotkatalog.

Sätt in Solaris 10 DVD eller Solaris 10 Software - 1 i medieenheten som är ansluten till wanserver-1 och skriv följande kommandon.

wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

Skapa /etc/netboot-hierarkin

Skapa underkatalogerna för wanclient-1 i katalogen /etc/netboot på WAN-startservern. Installationsprogrammen för WAN-start hämtar konfigurations- och säkerhetsinformation från den här katalogen under installationen.

wanclient-1 finns i delnätet 192.168.198.0, och har klient-ID 010003BA152A42. Skapa underkatalogen /etc/netboot för wanclient-1 genom att utföra följande uppgifter.

• Skapa katalogen /etc/netboot.

• Ändra behörigheterna för katalogen /etc/netboot till 700.

• Ändra ägarskapet för katalogen /etc/netboot till ägaren av webbserverprocessen.

• Anta samma användarroll som webbserveranvändaren.

• Skapa en underkatalog i /etc/netboot som har samma namn som delnätet (192.168.198.0).

• Skapa en underkatalog i delnätskatalogen som har samma namn som klient-ID:t.

• Ändra behörigheterna för underkatalogerna till /etc/netboot till 700.

wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Lösenord:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Kopiera programmet wanboot-cgi till WAN-startservern

På system som kör operativsystemet Solaris 10 OS, finns programmet wanboot-cgi i katalogen /usr/lib/inet/wanboot/. Om du vill att WAN-startservern ska överföra installationsdata kopierar du programmet wanboot-cgi till katalogen cgi-bin i webbserverns programvarukatalog.

wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(Valfritt) Konfigurera WAN-startservern som inloggningsserver

Alla inloggningsmeddelanden i samband med WAN-start visas som standard på klientsystemet. Det här standardbeteendet hjälper dig att snabbt felsöka eventuella installationsproblem.

Om du vill visa start- och installationsloggmeddelanden på WAN-startservern kopierar du bootlog-cgi-skriptet till katalogen cgi-bin på wanserver-1.

wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Konfigurera WAN-startservern att använda HTTPS

Om du vill använda HTTPS för WAN-startinstallationen måste du aktivera SSL-stödet i webbserverns programvara. Du måste också installera ett digitalt certifikat på WAN-startservern. I det här exemplet förutsätts att webbservern Apache på wanserver-1 har konfigurerats att använda SSL. I exemplet antas det också att ett digitalt certifikat och en certifikatmyndighet (CA) som identifierar wanserver-1 redan är installerade på wanserver-1.

Exempel på hur du konfigurerar webbserverprogrammet att använda SSL finns i dokumentationen för webbservern.

Förse klienten med det betrodda certifikatet

Genom att kräva att servern autentiseras för klienten skyddar du de data som överförs från servern till klienten över HTTPS. Om du vill aktivera serverautentisering förser du klienten med ett betrott certifikat. Det betrodda certifikatet gör att klienten kan verifiera serverns identitet under installationen.

För att ge det betrodda certifikatet till klienten antar du samma användarroll som användaren för webbservern. Dela sedan certifikatet för att extrahera ett betrott certifikat. Infoga sedan det betrodda certifikatet i klientens truststore-fil i /etc/netboot-hierarkin.

I det här exemplet antar du webbserveranvändarollen nobody. Du delar sedan serverns PKCS#12-certifikat som heter cert.p12 och infogar det betrodda certifikatet i katalogen /etc/netboot för wanclient-1.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(Valfritt) Använd privat nyckel och certifikat för klientautentisering

För att ytterligare skydda dina data under installationen kan du kräva att wanclient-1 ska verifiera sig för wanserver-1. Om du vill aktivera klientautentisering för WAN-startinstallationen infogar du ett klientcertifikat och en privat nyckel i klientunderkatalogen i /etc/netboot-hierarkin.

För att ge en privat nyckel och certifikat till klienten utför du följande åtgärder.

• Anta samma användarroll som webbserveranvändaren.

• Dela PKCS#12-filen i en privat nyckel och ett klientcertifikat

• Infoga certifikatet i klientens certstore-fil

• Infoga den privata nyckeln i klientens keystore-fil

I det här exemplet antar du webbserveranvändarollen nobody. Du delar sedan serverns PKCS#12-certifikat som heter cert.p12. Infoga certifikatet i /etc/netboot-hierarkin för wanclient-1. Sedan infogar du den privata nyckel som du gav namnet wanclient.key i klientens keystore-fil.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

Skapa serverns och klientens nycklar

Om du vill skydda de data som överförs mellan servern och klienten skapar du en hashnings- och en krypteringsnyckel. Servern använder hashningsnyckeln för att skydda wanboot-programmets integritet. Servern använder krypteringsnyckeln för att kryptera konfigurations- och installationsdata. Klienten använder hashningsnyckeln för att kontrollera integriteten för det hämtade wanboot-programmet. Klienten använder krypteringsnyckeln för att dekryptera data under installationen.

Först antar du samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.

wanserver-1# su nobody
Password:

Använd sedan kommandot wanbootutil keygen för att skapa en HMAC SHA1-huvudnyckel för wanserver-1.

wanserver-1# wanbootutil keygen -m

Skapa sedan en hashnings- och en krypteringsnyckel för wanclient-1.

wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Det föregående kommandot skapar en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för wanclient-1. 192.168.198.0 anger delnätet för wanclient-1 och 010003BA152A42 anger klient-ID för wanclient-1.

Skapa Solaris Flash-arkivet

I det här exemplet skapar du Solaris Flash-arkivet genom att klona huvudsystemet wanserver-1. Arkivet har namnet sol_10_sparc och är en exakt kopia från huvudsystemet. Arkivet är en exakt kopia av huvudsystemet. Arkivet lagras i sol_10_sparc.flar. Du sparar arkivet i underkatalogen flash/archives i dokumentrotkatalogen på WAN-startservern.

wanserver-1# flar create -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Skapa filen sysidcfg

Om du vill förkonfigurera systemet wanclient-1 anger du nyckelord och värden i filen sysidcfg. Spara den här filen i en lämplig underkatalog till dokumentrotkatalogen på wanserver-1.

Exempel 15–1 Filen sysidcfg för systemet client-1

Det här är ett exempel på en sysidcfg-fil för wanclient-1. Värdnamn, IP-adress och nätmask för de här systemen har förkonfigurerats genom att namntjänsten redigerats. Den här filen finns i katalogen /opt/apache/htdocs/flash/.

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

Skapa klientens profil

Skapa en profil som heter wanclient_1_prof för systemet wanclient-1. Filen wanclient_1_prof innehåller följande poster som anger vilken Solaris 10-programvara som ska installeras på wanclient-1-systemet.

# profilnyckelord         profilvärden
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

I följande lista beskrivs några av nyckelorden och värdena från det här exemplet.

install_type

Profilen installerar ett Solaris Flash-arkiv på klonsystemet. Alla filer skrivs över som vid en standardinstallation.

archive_location

Det komprimerade Solaris Flash-arkivet hämtas från wanserver-1.

partitioning

Skivdelarna för filsystemet styrs av nyckelorden för filesys med värdet explicit. Rotfilsystemets (/) storlek är baserat på Solaris Flash-arkivet. Storleken på utrymmet för minnesväxling (swap) är angiven till nödvändig storlek och det installeras på c0t1d0s1. /export/home baseras på det återstående diskutrymmet. /export/home installeras på c0t1d0s7.

Skapa och validera filen rules

De anpassade JumpStart-programmen använder filen rules för att välja rätt installationsprofil för systemet wanclient-1. Skapa en textfil som heter rules. Lägg sedan till nyckelord och värden i filen.

wanclient-1-systemets IP-adress är 192.168.198.210, och nätmasken är 255.255.255.0. Använd regelnyckelordet network för att ange profilen som de anpassade JumpStart-programmen ska använda när de installerar wanclient-1.

network 192.168.198.0 - wanclient_1_prof - 

Den här rules-filen instruerar de anpassade JumpStart-programmen att använda wanclient_1_prof när Solaris 10-programvaran installeras på wanclient-1.

Ge den här regelfilen namnet wanclient_rule.

När du har skapat profilen och rules-filen kör du check-skriptet för att verifiera att filerna är giltiga.

wanserver-1# ./check -r wanclient_rule

Om inga fel påträffas med check-skript, skapas filen rules.ok.

Spara filen rules.ok i katalogen /opt/apache/htdocs/flash/.

Skapa systemkonfigurationsfilen

Skapa en systemkonfigurationsfil som listar var sysidcfg-filen och de anpassade JumpStart-filerna finns på installationsservern. Spara den här filen i en katalog som WAN-startservern har åtkomst till.

I följande exempel söker programmet wanboot-cgi efter sysidcfg och de anpassade JumpStart-filerna i dokumentrotkatalogen på WAN-startservern. Namnet på WAN-startserverns domän är https://www.example.com. WAN-startservern har konfigurerats att använda säker HTTP så data och filer är skyddade under installationen.

I det här exemplet har systemkonfigurationsfilen namnet sys-conf.s10–sparc, och filen är sparad i /etc/netboot-hierarkin på WAN-startservern. Filen sysidcfg och de anpassade JumpStart-filerna lagras i underkatalogen flash i dokumentrotkatalogen.

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

Skapa filen wanboot.conf

WAN-start använder konfigurationsinformationen i filen wanboot.conf för att installera klientdatorn. Skapa filen wanboot.conf i en textredigerare. Spara filen i lämplig klientunderkatalog i /etc/netboot-hierarkin på WAN-startservern.

Följande wanboot.conf-fil för wanclient-1 innehåller konfigurationsinformation för en WAN-installation som använder säker HTTP. Den här filen innehåller även instruktioner för WAN-start att använda en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för att skydda data.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

Den här wanboot.conf-filen anger följande konfiguration.

boot_file=/wanboot/wanboot.s10_sparc

wanboot-programmet heter wanboot.s10_sparc. Det här programmet finns i wanboot-katalogen i dokumentrotkatalogen på wanserver-1.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

Adressen till programmet wanboot-cgi på wanserver-1 är https://www.example.com/cgi-bin/wanboot-cgi. Den del av URL:n som anger https indikerar att den här WAN-startinstallationen använder säker HTTP.

root_file=/miniroot/miniroot.s10_sparc

WAN-startminiroten heter miniroot.s10_sparc. Miniroten finns i miniroot-katalogen i dokumentrotkatalogen på wanserver-1.

signature_type=sha1

Programmet wanboot och WAN-startfilsystemet är signerade genom att de använder en HMAC SHA1-hashningsnyckel.

encryption_type=3des

Programmet wanboot och WAN-startfilsystemet är krypterade med en 3DES-nyckel.

server_authentication=yes

Servern autentiseras under installationen.

client_authentication=no

Klienten autentiseras inte under installationen.

---

Obs! –

Om du utförde uppgifterna i (Valfritt) Använd privat nyckel och certifikat för klientautentisering anger du den här parametern till client_authentication=yes

---

resolve_hosts=

Inga ytterligare värdnamn behövs för WAN-installationen. Alla värdnamn som krävs av programmet wanboot-cgi anges i filen wanboot.conf och i klientcertifikatet.

boot_logger=

Loggmeddelanden om start och installation visas i systemkonsolen. Om du har konfigurerat inloggningsservern enligt (Valfritt) Konfigurera WAN-startservern som inloggningsserver, och du vill att WAN-startmeddelanden ska visas på WAN-startservern också, anger du den här parametern till boot_logger=https://www.example.com/cgi-bin/bootlog-cgi.

system_conf=sys-conf.s10–sparc

Systemkonfigurationsfilen som anger platsen för sysidcfg- och JumpStart-filerna finns i sys-conf.s10–sparc-filen i /etc/netboot-hierarkin på wanserver-1.

I det här exemplet sparar du filen wanboot.conf i katalogen /etc/netboot/192.168.198.0/010003BA152A42 på wanserver-1.

Kontrollera enhetsalias för net i OBP

Om du vill starta klienten över WAN-nätverket med kommandot boot net måste klientens primära nätverksenhet anges som enhetsalias för net. Vid klientens ok-ledtext skriver du kommandot devalias vilket verifierar att net-aliaset är angivet för den primära nätverksenheten /pci@1f,0/pci@1,1/network@c,1.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

I föregående exempel tilldelas den primära nätverksenheten /pci@1f,0/pci@1,1/network@c,1 till aliaset net. Du behöver inte återställa alias.

Installera nycklar på klienten

I Skapa serverns och klientens nycklar skapade du hashningsnyckeln och krypteringsnyckeln för att skydda dina data under installationen. Om du vill att klienten ska dekryptera data som överförs från wanserver-1 under installationen, installerar du de här nycklarna på wanclient-1.

Visa nyckelvärdena på wanserver-1.

wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Det föregående exemplet använder följande information.

net=192.168.198.0

Anger IP-adressen för klientens delnät

cid=010003BA152A42

Anger klientens ID

b482aaab82cb8d5631e16d51478c90079cc1d463

Anger värdet för klientens HMAC SHA1-hashningsnyckel

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Anger värdet för klientens 3DES-krypteringsnyckel

Om du använder en AES-krypteringsnyckel i installationen, ändrar du type=3des till type=aes för att visa krypteringsnyckelns värde.

Installera nycklarna vid ok-ledtexten på wanclient-1.

ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Följande åtgärder utförs med de föregående kommandona.

• Installerar HMAC SHA1-hashningsnyckeln med värdet b482aaab82cb8d5631e16d51478c90079cc1d463 på wanclient-1

• Installerar 3DES-krypteringsnyckeln med värdet 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 på wanclient-1

Installera klienten

Du kan utföra en obevakad installation genom att ange argumentvariablerna för nätverksstart för wanclient-1 vid ok-ledtexten och sedan starta klienten.

ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Återställer ...




Sun Blade 100 (UltraSPARC-IIe), Inget tangentbord
Copyright 1998-2003 Sun Microsystems, Inc.  Med ensamrätt.
OpenBoot 4.x.build_28, 512 MB minne installerat, Serienr 50335475.
Ethernet-adress 0:3:ba:e:f3:75, Värd-id: 83000ef3.



Starta om med kommandot: boot net - install
Startenhet: /pci@1f,0/network@c,1  Fil och arg: - install



<time unavailable> wanboot-förlopp: wanbootfs: Läst 68 av 68 kB (100%) 
<time unavailable> wanboot-info: wanbootfs: Hämtningen klar
Fre 20 jun 09:16:06 wanboot-förlopp: miniroot: Läst 166067 av 166067 kB (100%)
Fre 20 jun 20Tis 15 apr 15 09:16:06 wanboot-info: miniroot: Hämtningen klar
SunOS Release 5.10 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  Med ensamrätt.
Användning måste ske i enlighet med licensvillkoren.
Konfigurerar enheter.

Följande variabler har angetts.

• Klientens IP-adress har angetts till 192.168.198.210

• IP-adressen för klientens router har angetts till 192.168.198.1

• Klientens delnätsmask har angetts till 255.255.255.0

• Klientens värdnamn har angetts till wanclient-1

• Programmet wanboot-cgi finns på adressen http://192.168.198.2/cgi-bin/wanboot-cgi

Klienten installerar över WAN. Om programmet wanboot inte hittar all installationsinformation som krävs kan du bli ombedd att ange den saknade informationen på kommandoraden.

Kapitel 16 WAN-start (Referens)

I det här kapitlet beskrivs kortfattat de kommandon och filer som du använder vid en WAN-installation.

• Kommandon för WAN-startinstallationer

• OBP-kommandon

• Inställningar och syntax för systemkonfigurationsfiler

• Parametrar och syntax för filen wanboot.conf

Kommandon för WAN-startinstallationer

I följande tabeller beskrivs de kommandon som du använder vid en WAN-startinstallation.

• Tabell 16–1

• Tabell 16–2

OBP-kommandon

Följande tabell visar de OBP-kommandon som du skriver vid klientens ok-ledtext när du vill utföra en WAN-startinstallation.

Inställningar och syntax för systemkonfigurationsfiler

Med systemkonfigurationsfilen kan du dirigera programmen för WAN-startinstallationen till följande filer.

• sysidcfg

• rules.ok

• Anpassad JumpStart-profil

Systemkonfigurationsfilen är en vanlig textfil som måste formateras efter följande mönster.

inställning=värde

Filen system.conf måste innehålla följande inställningar:

SsysidCF=sysidcfg-fil-URL

Den här inställningen pekar på den katalog på installationsservern som innehåller filen sysidcfg. För WAN-installationer med HTTPS anger du värdet till en giltig HTTPS-URL.

SjumpsCF=jumpstart-filer-URL

Den här inställningen pekar på den JumpStart-katalog som innehåller rules.ok- och profilfilerna. För WAN-installationer med HTTPS anger du värdet till en giltig HTTPS-URL.

Du kan lagra system.conf i en katalog som WAN-startservern har åtkomst till.

Parametrar och syntax för filen wanboot.conf

Filen wanboot.conf är en textformaterad konfigurationsfil som programmen för WAN-startinstallationen använder vid en WAN-startinstallation. Följande program och filer använder informationen i filen wanboot.conf då klientdatorn installeras.

• Programmet wanboot-cgi

• WAN-startfilsystemet

• WAN-startminiroten

Spara filen wanboot.conf i en lämplig klientunderkatalog i /etc/netboot-hierarkin på WAN-startservern. Information om hur du definierar omfattningen av en WAN-startinstallation med /etc/netboot-hierarkin finns i Skapa katalogträdet /etc/netboot på startservern i det globala nätverket.

Du anger information i filen wanboot.conf genom att lista parametrar med associerade värden i följande format.

parameter=värde

Parameterposter får inte bestå av flera rader. Du kan inkludera kommentarer i filen genom att använda tecknet # före kommentaren.

Mer information om filen wanboot.conf finns i direkthjälpen för wanboot.conf(4).

Du måste ange följande parametrar i filen wanboot.conf.

boot_file=wanboot-sökväg

Den här parametern anger sökvägen till programmet wanboot. Värdet är en sökväg relativ till dokumentrotkatalogen på WAN-startservern.

boot_file=/wanboot/wanboot.s10_sparc

root_server=wanbootCGI-URL/wanboot-cgi

Den här parametern anger URL:n för programmet wanboot-cgi på WAN-startservern.

• Använd en HTTP-URL om du utför en WAN-startinstallation utan klient- eller serverautentisering.

  root_server=http://www.example.com/cgi-bin/wanboot-cgi

• Använd en HTTPS-URL om du utför en WAN-startinstallation med serverautentisering eller server- och klientautentisering.

  root_server=https://www.example.com/cgi-bin/wanboot-cgi

root_file=miniroot-sökväg

Den här parametern anger sökvägen till WAN-startminiroten på WAN-startservern. Värdet är en sökväg relativ till dokumentrotkatalogen på WAN-startservern.

root_file=/miniroot/miniroot.s10_sparc

signature_type=sha1 | tom

Den här parametern anger vilken typ av hashningsnyckel som ska användas vid kontroll av integriteten för de data och filer som skickas.

• För WAN-startinstallationer där en hashningsnyckel används för att skydda programmet wanboot anger du det här värdet till sha1.

  signature_type=sha1

• För oskyddade WAN-installationer som inte använder en hashningsnyckel anger du inget värde.

  signature_type=

encryption_type=3des | aes | tom

Den här parametern ange vilken typ av kryptering som ska användas vid kryptering av programmet wanboot och WAN-startfilsystemet.

• För WAN-startinstallationer där HTTPS används anger du det här värdet till 3des eller aes för att matcha nyckelformatet som du använder. Du måste också ange värdet för nyckelordet signature_type till sha1.

  encryption_type=3des

  eller

  encryption_type=aes

• För oskyddade WAN-startinstallationer som inte använder krypteringsnyckel anger du inget värde.

  encryption_type=

server_authentication=yes | no

Den här parametern anger om servern ska autentiseras under WAN-startinstallationen.

• För WAN-startinstallationer med serverautentisering eller server- och klientautentisering anger du det här värdet till yes. Du måste också ange värdet för signature_type till sha, encryption_type 3des eller aes och URL:en för root_server till ett HTTPS-värde.

  server_authentication=yes

• För oskyddade WAN-startinstallationer som inte använder serverautentisering eller server- och klientautentisering anger du värdet no. Du kan även låta bli att ange värdet.

  server_authentication=no

client_authentication=yes | no

Den här parametern anger om klienten ska autentiseras under WAN-startinstallationen.

• För WAN-startinstallationer med server- och klientautentisering anger du det här värdet till yes. Du måste också ange värdet för signature_type till sha, encryption_type 3des eller aes och URL:en för root_server till ett HTTPS-värde.

  client_authentication=yes

• För WAN-startinstallationer som inte använder klientautentisering anger du värdet no. Du kan även låta bli att ange värdet.

  client_authentication=no

resolve_hosts=värdnamn | tom

Den här parametern anger ytterligare värdar som måste tolkas för programmet wanboot-cgi under installationen.

Ange värdet till värdnamnen för datorer som inte tidigare angetts i filen wanboot.conf eller i ett klientcertifikat.

• Om alla värdar som krävs är listade i filen wanboot.conf eller i klientcertifikatet anger du inget värde.

  resolve_hosts=

• Om vissa värdar inte visas i filen wanboot.conf eller i klientcertifikatet anger du värdet för de här värdnamnet.

  resolve_hosts=seahag,matters

boot_logger=bootlog-cgi-sökväg | tom

Den här parametern anger URL:n för wanboot-cgi-skriptet på inloggningsservern.

• Om du vill registrera start- eller installationsloggmeddelanden på en dedikerad inloggningsserver anger du värdet till URL:n för bootlog-cgi-skriptet på inloggningsservern.

  boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

• Om du vill visa start- och installationsmeddelanden på klientkonsolen anger du inget värde.

  boot_logger=

system_conf=system.conf | anpassad_systemkonf

Den här parametern anger sökvägen till den systemkonfigurationsfil som inkluderar platsangivelser för sysidcfg- och anpassade JumpStart-filer.

Ange värdet till sökvägen för sysidcfg- och anpassade JumpStart-filer på webbservern.

system_conf=sys.conf