Kapitel 15 SPARC: Installera med WAN-start (Exempel)

I det här kapitlet finns exempel på hur du konfigurerar och installerar klientdatorer över ett WAN-nätverk. Exemplen i det här kapitlet beskriver hur du utför en säker WAN-startinstallation över en HTTPS-anslutning.

• Exempel på platsinstallation

• Skapa dokumentrotkatalogen

• Skapa WAN-startminiroten

• Kontrollera om klientens OBP stöder WAN-start

• Installera wanboot-programmet på WAN-startservern

• Skapa /etc/netboot-hierarkin

• Kopiera programmet wanboot-cgi till WAN-startservern

• (Valfritt) Konfigurera WAN-startservern som inloggningsserver

• Konfigurera WAN-startservern att använda HTTPS

• Förse klienten med det betrodda certifikatet

• (Valfritt) Använd privat nyckel och certifikat för klientautentisering

• Skapa serverns och klientens nycklar

• Skapa Solaris Flash-arkivet

• Skapa filen sysidcfg

• Skapa klientens profil

• Skapa och validera filen rules

• Skapa systemkonfigurationsfilen

• Skapa filen wanboot.conf

• Kontrollera enhetsalias för net i OBP

• Installera nycklar på klienten

• Installera klienten

Exempel på platsinstallation

I Figur 15–1 visas konfigurationen för det här exemplet.

Figur 15–1 Exempelwebbplats för WAN-startinstallationen

Den här exempelwebbplatsen har följande egenskaper.

• Servern wanserver-1 konfigureras som en WAN-startserver och installationsserver.

• wanserver-1 har IP-adressen 192.168.198.2.

• wanserver-1 tillhör domänen www.example.com.

• wanserver-1 kör operativsystemet Solaris 10 6/06.

• På wanserver-1 körs webbservern Apache. Apache-programvaran på wanserver-1 konfigureras för HTTPS-stöd.

• Klienten som ska installeras heter wanclient-1.

• wanclient-1 är ett UltraSPARCII-system.

• Klient-ID för wanclient-1 är 010003BA152A42.

• wanclient-1 har IP-adressen 192.168.198.210.

• IP-adressen för klientens delnät är 192.168.198.0.

• Klientdatorn wanclient-1 har tillgång till Internet men är inte direkt ansluten till det nätverk som wanserver-1 tillhör.

• wanclient-1 är ett nytt system som ska installeras med Solaris 10 6/06-programvaran.

Skapa dokumentrotkatalogen

Om du vill lagra installationsfiler och installationsdata konfigurerar du följande kataloger i dokumentrotkatalogen (/opt/apache/htdocs) på wanserver-1.

• Solaris Flash-katalog

  wanserver-1# mkdir -p /opt/apache/htdocs/flash/

• Katalog för WAN-startminiroten

  wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/

• Katalog för wanboot-programmet

  wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/

Skapa WAN-startminiroten

Använd setup_install_server(1M) med alternativet -w om du vill kopiera WAN-startminiroten och programvaruavbildningen för Solaris till katalogen /export/install/Solaris_10 för wanserver-1.

Sätt in Solaris Software i medieenheten som är ansluten till wanserver-1. Skriv följande kommandon.

wanserver-1# mkdir -p /export/install/sol_10_sparc
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/sol_10_sparc/miniroot \
/export/install/sol_10_sparc

Flytta WAN-startminiroten till dokumentrotkatalogen (/opt/apache/htdocs/) på WAN-startservern.

wanserver-1# mv /export/install/sol_10_sparc/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Kontrollera om klientens OBP stöder WAN-start

Avgör om OBP-klienten stöder WAN-start genom att skriva följande kommando på klientsystemet.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

I föregående exempel indikerar utmatningen network-boot-arguments: data not available att OBP-klienten stöder WAN-start.

Installera wanboot-programmet på WAN-startservern

Du installerar programmet wanboot på WAN-startservern genom att kopiera programmet från Solaris Software-cd till WAN-startserverns dokumentrotkatalog.

Sätt in Solaris DVD eller Solaris-programvara - 1 i medieenheten som är ansluten till wanserver-1 och skriv följande kommandon.

wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

Skapa /etc/netboot-hierarkin

Skapa underkatalogerna för wanclient-1 i katalogen /etc/netboot på WAN-startservern. Installationsprogrammen för WAN-start hämtar konfigurations- och säkerhetsinformation från den här katalogen under installationen.

wanclient-1 finns i delnätet 192.168.198.0, och har klient-ID 010003BA152A42. Skapa underkatalogen /etc/netboot för wanclient-1 genom att utföra följande uppgifter.

• Skapa katalogen /etc/netboot.

• Ändra behörigheterna för katalogen /etc/netboot till 700.

• Ändra ägarskapet för katalogen /etc/netboot till ägaren av webbserverprocessen.

• Anta samma användarroll som webbserveranvändaren.

• Skapa en underkatalog i /etc/netboot som har samma namn som delnätet (192.168.198.0).

• Skapa en underkatalog i delnätskatalogen som har samma namn som klient-ID:t.

• Ändra behörigheterna för underkatalogerna till /etc/netboot till 700.

wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Lösenord:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Kopiera programmet wanboot-cgi till WAN-startservern

På system som kör operativsystemet Solaris 10 6/06 OS, finns programmet wanboot-cgi i katalogen /usr/lib/inet/wanboot/. Om du vill att WAN-startservern ska överföra installationsdata kopierar du programmet wanboot-cgi till katalogen cgi-bin i webbserverns programvarukatalog.

wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(Valfritt) Konfigurera WAN-startservern som inloggningsserver

Alla inloggningsmeddelanden i samband med WAN-start visas som standard på klientsystemet. Det här standardbeteendet hjälper dig att snabbt felsöka eventuella installationsproblem.

Om du vill visa start- och installationsloggmeddelanden på WAN-startservern kopierar du bootlog-cgi-skriptet till katalogen cgi-bin på wanserver-1.

wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Konfigurera WAN-startservern att använda HTTPS

Om du vill använda HTTPS för WAN-startinstallationen måste du aktivera SSL-stödet i webbserverns programvara. Du måste också installera ett digitalt certifikat på WAN-startservern. I det här exemplet förutsätts att webbservern Apache på wanserver-1 har konfigurerats att använda SSL. I exemplet antas det också att ett digitalt certifikat och en certifikatmyndighet (CA) som identifierar wanserver-1 redan är installerade på wanserver-1.

Exempel på hur du konfigurerar webbserverprogrammet att använda SSL finns i dokumentationen för webbservern.

Förse klienten med det betrodda certifikatet

Genom att kräva att servern autentiseras för klienten skyddar du de data som överförs från servern till klienten över HTTPS. Om du vill aktivera serverautentisering förser du klienten med ett betrott certifikat. Det betrodda certifikatet gör att klienten kan verifiera serverns identitet under installationen.

För att ge det betrodda certifikatet till klienten antar du samma användarroll som användaren för webbservern. Dela sedan certifikatet för att extrahera ett betrott certifikat. Infoga sedan det betrodda certifikatet i klientens truststore-fil i /etc/netboot-hierarkin.

I det här exemplet antar du webbserveranvändarollen nobody. Du delar sedan serverns PKCS#12-certifikat som heter cert.p12 och infogar det betrodda certifikatet i katalogen /etc/netboot för wanclient-1.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(Valfritt) Använd privat nyckel och certifikat för klientautentisering

För att ytterligare skydda dina data under installationen kan du kräva att wanclient-1 ska verifiera sig för wanserver-1. Om du vill aktivera klientautentisering för WAN-startinstallationen infogar du ett klientcertifikat och en privat nyckel i klientunderkatalogen i /etc/netboot-hierarkin.

För att ge en privat nyckel och certifikat till klienten utför du följande åtgärder.

• Anta samma användarroll som webbserveranvändaren.

• Dela PKCS#12-filen i en privat nyckel och ett klientcertifikat

• Infoga certifikatet i klientens certstore-fil

• Infoga den privata nyckeln i klientens keystore-fil

I det här exemplet antar du webbserveranvändarollen nobody. Du delar sedan serverns PKCS#12-certifikat som heter cert.p12. Infoga certifikatet i /etc/netboot-hierarkin för wanclient-1. Sedan infogar du den privata nyckel som du gav namnet wanclient.key i klientens keystore-fil.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

Skapa serverns och klientens nycklar

Om du vill skydda de data som överförs mellan servern och klienten skapar du en hashnings- och en krypteringsnyckel. Servern använder hashningsnyckeln för att skydda wanboot-programmets integritet. Servern använder krypteringsnyckeln för att kryptera konfigurations- och installationsdata. Klienten använder hashningsnyckeln för att kontrollera integriteten för det hämtade wanboot-programmet. Klienten använder krypteringsnyckeln för att dekryptera data under installationen.

Först antar du samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.

wanserver-1# su nobody
Password:

Använd sedan kommandot wanbootutil keygen för att skapa en HMAC SHA1-huvudnyckel för wanserver-1.

wanserver-1# wanbootutil keygen -m

Skapa sedan en hashnings- och en krypteringsnyckel för wanclient-1.

wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Det föregående kommandot skapar en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för wanclient-1. 192.168.198.0 anger delnätet för wanclient-1 och 010003BA152A42 anger klient-ID för wanclient-1.

Skapa Solaris Flash-arkivet

I det här exemplet skapar du Solaris Flash-arkivet genom att klona huvudsystemet wanserver-1. Arkivet heter sol_10_sparc och är en exakt kopia av huvudsystemet. Arkivet är en exakt kopia av huvusystemet. Arkivet lagras i sol_10_sparc.flar. Du sparar arkivet i underkatalogen flash/archives i dokumentrotkatalogen på WAN-startservern.

wanserver-1# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Skapa filen sysidcfg

Om du vill förkonfigurera systemet wanclient-1 anger du nyckelord och värden i filen sysidcfg. Spara den här filen i en lämplig underkatalog till dokumentrotkatalogen på wanserver-1.

Exempel 15–1 Filen sysidcfg för systemet client-1

Det här är ett exempel på en sysidcfg-fil för wanclient-1. Värdnamn, IP-adress och nätmask för de här systemen har förkonfigurerats genom att namntjänsten redigerats. Den här filen finns i katalogen /opt/apache/htdocs/flash/.

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

Skapa klientens profil

Skapa en profil som heter wanclient_1_prof för systemet wanclient-1. Filen wanclient_1_prof innehåller följande poster som anger vilken Solaris 10 6/06-programvara som ska installeras på wanclient-1-systemet.

# profilnyckelord         profilvärden
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

I följande lista beskrivs några av nyckelorden och värdena från det här exemplet.

install_type

Profilen installerar ett Solaris Flash-arkiv på klonsystemet. Alla filer skrivs över som vid en standardinstallation.

archive_location

Det komprimerade Solaris Flash-arkivet hämtas från wanserver-1.

partitioning

Skivdelarna för filsystemet styrs av nyckelorden för filesys med värdet explicit. Rotfilsystemets (/) storlek är baserat på Solaris Flash-arkivet. Storleken på utrymmet för minnesväxling (swap) är angiven till nödvändig storlek och det installeras på c0t1d0s1. /export/home baseras på det återstående diskutrymmet. /export/home installeras på c0t1d0s7.

Skapa och validera filen rules

De anpassade JumpStart-programmen använder filen rules för att välja rätt installationsprofil för systemet wanclient-1. Skapa en textfil som heter rules. Lägg sedan till nyckelord och värden i filen.

wanclient-1-systemets IP-adress är 192.168.198.210, och nätmasken är 255.255.255.0. Använd regelnyckelordet network för att ange profilen som de anpassade JumpStart-programmen ska använda när de installerar wanclient-1.

network 192.168.198.0 - wanclient_1_prof - 

Den här rules-filen instruerar de anpassade JumpStart-programmen att använda wanclient_1_prof när Solaris 10 6/06-programvaran installeras på wanclient-1.

Ge den här regelfilen namnet wanclient_rule.

När du har skapat profilen och rules-filen kör du check-skriptet för att verifiera att filerna är giltiga.

wanserver-1# ./check -r wanclient_rule

Om inga fel påträffas med check-skript, skapas filen rules.ok.

Spara filen rules.ok i katalogen /opt/apache/htdocs/flash/.

Skapa systemkonfigurationsfilen

Skapa en systemkonfigurationsfil som listar var sysidcfg-filen och de anpassade JumpStart-filerna finns på installationsservern. Spara den här filen i en katalog som WAN-startservern har åtkomst till.

I följande exempel söker programmet wanboot-cgi efter sysidcfgoch de anpassade JumpStart-filerna i dokumentrotkatalogen på WAN-startservern. Namnet på WAN-startserverns domän är https://www.example.com. WAN-startservern har konfigurerats att använda säker HTTP så data och filer är skyddade under installationen.

I det här exemplet har systemkonfigurationsfilen namnet sys-conf.s10–sparc, och filen är sparad i /etc/netboot-hierarkin på WAN-startservern. Filen sysidcfg och de anpassade JumpStart-filerna lagras i underkatalogen flash i dokumentrotkatalogen.

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

Skapa filen wanboot.conf

WAN-start använder konfigurationsinformationen i filen wanboot.conf för att installera klientdatorn. Skapa filen wanboot.conf i en textredigerare. Spara filen i lämplig klientunderkatalog i /etc/netboot-hierarkin på WAN-startservern.

Följande wanboot.conf-fil för wanclient-1 innehåller konfigurationsinformation för en WAN-installation som använder säker HTTP. Den här filen innehåller även instruktioner för WAN-start att använda en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för att skydda data.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

Den här wanboot.conf-filen anger följande konfiguration.

boot_file=/wanboot/wanboot.s10_sparc

wanboot-programmet heter wanboot.s10_sparc. Det här programmet finns i wanboot-katalogen i dokumentrotkatalogen på wanserver-1.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

Adressen till programmet wanboot-cgi på wanserver-1 är https://www.example.com/cgi-bin/wanboot-cgi. Den del av URL:n som anger https indikerar att den här WAN-startinstallationen använder säker HTTP.

root_file=/miniroot/miniroot.s10_sparc

WAN-startminiroten heter miniroot.s10_sparc. Miniroten finns i miniroot-katalogen i dokumentrotkatalogen på wanserver-1.

signature_type=sha1

Programmet wanboot och WAN-startfilsystemet är signerade genom att de använder en HMAC SHA1-hashningsnyckel.

encryption_type=3des

Programmet wanboot och WAN-startfilsystemet är krypterade med en 3DES-nyckel.

server_authentication=yes

Servern autentiseras under installationen.

client_authentication=no

Klienten autentiseras inte under installationen.

---

Obs! –

Om du utförde uppgifterna i (Valfritt) Använd privat nyckel och certifikat för klientautentisering anger du den här parametern till client_authentication=yes

---

resolve_hosts=

Inga ytterligare värdnamn behövs för WAN-installationen. Alla värdnamn som krävs av programmet wanboot-cgi anges i filen wanboot.conf och i klientcertifikatet.

boot_logger=

Loggmeddelanden om start och installation visas i systemkonsolen. Om du har konfigurerat inloggningsservern enligt (Valfritt) Konfigurera WAN-startservern som inloggningsserver, och du vill att WAN-startmeddelanden ska visas på WAN-startservern också, anger du den här parametern till boot_logger=https://www.example.com/cgi-bin/bootlog-cgi.

system_conf=sys-conf.s10–sparc

Systemkonfigurationsfilen som anger platsen för sysidcfg- och JumpStart-filerna finns i sys-conf.s10–sparc-filen i /etc/netboot-hierarkin på wanserver-1.

I det här exemplet sparar du filen wanboot.conf i katalogen /etc/netboot/192.168.198.0/010003BA152A42 på wanserver-1.

Kontrollera enhetsalias för net i OBP

Om du vill starta klienten över WAN-nätverket med kommandot boot net måste klientens primära nätverksenhet anges som enhetsalias för net. Verifiera att den primära nätverksenheten /pci@1f,0/pci@1,1/network@c,1 har angetts som net-alias genom att skriva kommandot devalias vid klientens ok-ledtext.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

I det föregående exemplet anges den primära nätverksenheten /pci@1f,0/pci@1,1/network@c,1 net-alias. Du behöver inte återställa alias.

Installera nycklar på klienten

I Skapa serverns och klientens nycklar skapade du hashningsnyckeln och krypteringsnyckeln för att skydda dina data under installationen. Om du vill att klienten ska dekryptera data som överförs från wanserver-1 under installationen, installerar du de här nycklarna på wanclient-1.

Visa nyckelvärdena på wanserver-1.

wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Det föregående exemplet använder följande information.

net=192.168.198.0

Anger IP-adressen för klientens delnät

cid=010003BA152A42

Anger klientens ID

b482aaab82cb8d5631e16d51478c90079cc1d463

Anger värdet för klientens HMAC SHA1-hashningsnyckel

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Anger värdet för klientens 3DES-krypteringsnyckel

Om du använder en AES-krypteringsnyckel i installationen ändrar du type=3des till type=aes så att värdet på krypteringsnyckeln visas.

Installera nycklarna vid ok-ledtexten på wanclient-1.

ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Följande åtgärder utförs med de föregående kommandona.

• Installerar HMAC SHA1-hashningsnyckeln med värdet b482aaab82cb8d5631e16d51478c90079cc1d463 på wanclient-1

• Installerar 3DES-krypteringsnyckeln med värdet 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 på wanclient-1

Installera klienten

Du kan utföra en obevakad installation genom att ange argumentvariablerna för nätverksstart för wanclient-1 vid ok-ledtexten och sedan starta klienten.

ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Återställer ...




Sun Blade 100 (UltraSPARC-IIe), Inget tangentbord
Copyright 1998-2003 Sun Microsystems, Inc.  Med ensamrätt.
OpenBoot 4.x.build_28, 512 MB minne installerat, Serienr 50335475.
Ethernet-adress 0:3:ba:e:f3:75, Värd-id: 83000ef3.



Starta om med kommandot: boot net - install
Startenhet: /pci@1f,0/network@c,1  Fil och arg: - install



<time unavailable> wanboot-förlopp: wanbootfs: Läst 68 av 68 kB (100%) 
<time unavailable> wanboot-info: wanbootfs: Hämtningen klar
Fre 20 jun 09:16:06 wanboot-förlopp: miniroot: Läst 166067 av 166067 kB (100%)
Fre 20 jun 20Tis 15 apr 15 09:16:06 wanboot-info: miniroot: Hämtningen klar
SunOS Release 5.10 version WANboot10:04/11/03 64-bitars
Copyright 1983-2003 Sun Microsystems, Inc.  Med ensamrätt.
Användning måste ske i enlighet med licensvillkoren.
Konfigurerar enheter.

Följande variabler har angetts.

• Klientens IP-adress har angetts till 192.168.198.210.

• IP-adressen för klientens router har angetts till 192.168.198.1

• Klientens delnätsmask har angetts till 255.255.255.0

• Klientens värdnamn har angetts till wanclient-1

• Programmet wanboot-cgi finns på adressen http://192.168.198.2/cgi-bin/wanboot-cgi

Klienten installerar över WAN. Om programmet wanboot inte hittar all installationsinformation som krävs kan du bli ombedd att ange den saknade informationen på kommandoraden.