Kapitel 14 WAN-Boot (Referenz)

Dieses Kapitel bietet eine kurze Darstellung der Befehle und Dateien, die bei einer WAN-Installation eingesetzt werden.

• Befehle für die WAN-Boot-Installation

• OBP-Befehle

• Einstellungen und Syntax der Systemkonfigurationsdatei

• Parameter der Datei wanboot.conf und Syntax

Befehle für die WAN-Boot-Installation

In den folgenden Tabellen sind die Befehle beschrieben, die Sie bei einer WAN-Boot-Installation verwenden.

• Tabelle 14–1

• Tabelle 14–2

Tabelle 14–1 Vorbereitung der WAN-Boot-Installations- und Konfigurationsdateien

Schritt und Beschreibung	Befehl
Solaris-Installationsabbild nach Inst_verz_pfad und die WAN-Boot-Miniroot nach WAN_verz_pfad auf der Festplatte des Installationsservers kopieren	setup_install_server –w WAN_verz_pfad Inst_verz_pfad
Ein Solaris Flash-Archiv mit dem Namen Name.flar erzeugen Name ist der Name des Archivs. optionale_Parameter sind optionale Parameter für die Anpassung des Archivs. Dokument-Root ist der Pfad zum Dokument-Root-Verzeichnis auf dem Installationsserver. Dateiname ist der Name des Archivs.	flarcreate – n Name [optionale-Parameter] Dokument-Root/flash/Dateiname
Gültigkeit der rules-Datei mit dem Namen Regeln für die benutzerdefinierte JumpStart-Installation überprüfen	./check -r Regeln
Gültigkeit der Datei wanboot.conf überprüfen Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.	bootconfchk /etc/netboot/Netz-IP/Client-ID/wanboot.conf
Unterstützung für WAN-Boot im Client-OBP überprüfen	eeprom | grep network-boot-arguments

Tabelle 14–2 Vorbereitung der WAN-Boot-Sicherheitsdateien

Schritt und Beschreibung	Befehl
HMAC SHA1-Masterschlüssel für den WAN-Boot-Server erzeugen	wanbootutil keygen -m
HMAC SHA1-Hashing-Schlüssel für den Client erzeugen  Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.	wanbootutil keygen -c -o net=Netz-IP,cid= Client-ID,type=sha1
Chiffrierschlüssel für den Client erzeugen  Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Schlüsseltyp ist entweder 3des oder aes.	wanbootutil keygen -c -o net=Netz-IP,cid= Client-ID,type=Schlüsseltyp
Eine PKCS#12-Zertifikatdatei aufteilen und das Zertifikat in die truststore-Datei des Clients einfügen p12cert ist der Name der PKCS#12-Zertifikatdatei. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.	wanbootutil p12split -i P12Zert -t /etc/netboot/Netz-IP/Client-ID/truststore
Eine PKCS#12-Zertifikatdatei aufteilen und das Client-Zertifikat in die certstore-Datei des Clients einfügen p12cert ist der Name der PKCS#12-Zertifikatdatei. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Schlüsseldatei ist der Name des privaten Schlüssels des Clients.	wanbootutil p12split -i p12cert -c /etc/netboot/Netz-IP/Client-ID/certstore -k Schlüsseldatei
Den privaten Schlüssel des Clients aus einer aufgeteilten PKCS#12-Datei in die keystore-Datei des Clients einfügen Schlüsseldatei ist der Name des privaten Schlüssels des Clients. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.	wanbootutil keymgmt -i -k Schlüsseldatei -s /etc/netboot/Netz-IP/Client-ID/keystore -o type=rsa
Den Wert eines HMAC SHA1-Hashing-Schlüssels anzeigen  Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.	wanbootutil keygen -d -c -o net=Netz-IP,cid= Client-ID,type=sha1
Einen Verschlüsselungswert anzeigen  Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Schlüsseltyp ist entweder 3des oder aes.	wanbootutil keygen -d -c -o net=Netz-IP,cid= Client-ID,type=Schlüsseltyp
Einen Hashing-Schlüssel oder eine Verschlüsselung auf einem laufenden System einfügen. Schlüsseltyp kann einen der Werte sha1, 3des und aes aufweisen.	/usr/lib/inet/wanboot/ickey -o type=Schlüsseltyp

OBP-Befehle

In der folgenden Tabelle sind die OBP-Befehle aufgeführt, die Sie für eine WAN-Boot-Installation an der Eingabeaufforderung ok auf dem Client eingeben können.

Tabelle 14–3 OBP-Befehle für die WAN-Boot-Installation

Schritt und Beschreibung	OBP-Befehl
Eine ungeführte WAN-Boot-Installation beginnen	boot net – install
Eine interaktive WAN-Boot-Installation beginnen	boot net –o prompt - install
Eine WAN-Boot-Installation von einer lokalen CD beginnen	boot cdrom –F wanboot - install
Vor Beginn einer WAN-Boot-Installation einen Hashing-Schlüssel installieren.Schlüsselwert ist der Hexadezimalwert des Hashing-Schlüssels.	set-security-key wanboot-hmac-sha1 Schlüsselwert
Vor Beginn einer WAN-Boot-Installation eine Verschlüsselung installieren Schlüsseltyp ist entweder wanboot-3des oder wanboot-aes. Schlüsselwert ist der Hexadezimalwert der Verschlüsselung.	set-security-key Schlüsseltyp Schlüsselwert
Überprüfen, ob Schlüsselwerte im OBP gesetzt sind	list-security-keys
Vor dem Beginn der WAN-Boot-Installation sind Konfigurationsvariablen einzustellen. Client-IP ist die IP-Adresse des Clients. Router-IP ist die IP-Adresse des Netzwerk-Routers. Maskenwert ist der Wert der Teilnetzmaske. Client-Name ist der Host-Name des Clients. Proxy-IP ist die IP-Adresse des Proxy-Servers im Netzwerk. wanbootCGI-Pfad ist der Pfad zu den wanbootCGI-Programmen auf dem Webserver.	setenv network-boot-arguments host-ip= Client-IP,router-ip=Router-IP,subnet-mask= Maskenwert,hostname=Clientname ,http-proxy=Proxy-IP,file= WanbootCGI-Pfad
Netzwerkgerät-Alias überprüfen	devalias
Den Netzwerkgerät-Alias festlegen, wobei Gerätepfad der Pfad zum primären Netzwerkgerät ist.	Um den Alias nur für die aktuelle Installation zu setzen, geben Sie devalias net Gerätepfad ein. Um den Alias dauerhaft zu setzen, geben Sie nvvalias net Gerätepfad ein.

Einstellungen und Syntax der Systemkonfigurationsdatei

Mit der Systemkonfigurationsdatei leiten Sie die WAN-Boot-Installationsprogramme zu den folgenden Dateien:

• sysidcfg

• rules.ok

• Profil für die benutzerdefinierte JumpStart-Installation

Bei der Systemkonfigurationsdatei handelt es sich um eine Normaltextdatei, die nach diesem Muster formatiert sein muss:

Einstellung=Wert

Die Datei system.conf muss die folgenden Einstellungen enthalten:

SsysidCF=sysidcfg-Datei-URL

Diese Einstellung verweist auf das Verzeichnis auf dem Installationsserver, in dem sich die Datei sysidcfg befindet. Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.

SjumpsCF=jumpstart-Dateien-URL

Diese Einstellung verweist auf das JumpStart-Verzeichnis, das die Datei rules.ok und die Profildateien enthält. Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.

Die Datei system.conf kann in jedem für den WAN-Boot-Server zugänglichen Verzeichnis gespeichert werden.

Parameter der Datei wanboot.conf und Syntax

Die Datei wanboot.conf ist eine Konfigurationsdatei im Textformat, auf welche die WAN-Boot-Installationsprogramme für die Durchführung einer WAN-Installation zugreifen. Bei der Installation des Client-Systems greifen die folgenden Programme und Dateien auf die Informationen in der Datei wanboot.conf zurück:

• Programm wanboot-cgi

• WAN-Boot-Dateisystem

• WAN-Boot-Miniroot

Speichern Sie die Datei wanboot.conf im entsprechenden Client-Unterverzeichnis der /etc/netboot-Hierarchie auf dem WAN-Boot-Server. Wie Sie den Aktionsbereich für Ihre WAN-Boot-Installation in der /etc/netboot-Hierarchie festlegen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

Zur Angabe von Informationen in der Datei wanboot.conf führen Sie Parameter und die dazugehörigen Werte in folgendem Format auf:

Parameter=Wert

Parametereinträge dürfen sich nicht über mehrere Zeilen erstrecken. Durch Voranstellen des Zeichens # können Sie Kommentare in die Datei einfügen.

Ausführliche Informationen über die Datei wanboot.conf finden Sie in der Manpage wanboot.conf(4).

In der Datei wanboot.conf müssen die folgenden Parameter gesetzt werden:

boot_file=Wanboot-Pfad

Mit diesem Parameter geben Sie den Pfad zum wanboot-Programm an. Der Wert besteht in einem Pfad, der relativ zum Dokument-Root-Verzeichnis auf dem WAN-Boot-Server ist.

boot_file=/wanboot/wanboot.s10_sparc

root_server=WanbootCGI-URL /wanboot-cgi

Mit diesem Parameter geben Sie die URL des Programms wanboot-cgi auf dem WAN-Boot-Server an.

• Für eine WAN-Boot-Installation ohne Client- oder Server-Authentifizierung geben Sie eine HTTP-URL an.

  root_server=http://www.Beispiel.com/cgi-bin/wanboot-cgi

• Verwenden Sie eine HTTPS-URL, wenn Sie eine WAN-Boot-Installation mit Server- oder mit Server- und Client-Authentifizierung durchführen.

  root_server=https://www.Beispiel.com/cgi-bin/wanboot-cgi

root_file=Miniroot-Pfad

Mit diesem Parameter geben Sie den Pfad zur WAN-Boot-Miniroot auf dem WAN-Boot-Server an. Der Wert besteht in einem Pfad, der relativ zum Dokument-Root-Verzeichnis auf dem WAN-Boot-Server ist.

root_file=/miniroot/miniroot.s10_sparc

signature_type=sha1 | leer

Mit diesem Parameter geben Sie den Typ des für die Integritätsprüfung der übertragenen Daten und Dateien einzusetzenden Hashing-Schlüssels an.

• Für WAN-Boot-Installationen, bei welchen das wanboot-Programm durch einen Hashing-Schlüssel geschützt werden soll, setzen Sie diesen Wert auf sha1.

  signature_type=sha1

• Für unsichere WAN-Installationen ohne Hashing-Schlüssel lassen Sie diesen Wert leer.

  signature_type=

encryption_type=3des | aes | leer

Mit diesem Parameter geben Sie den gewünschten Chiffrierschlüsseltyp für die Verschlüsselung des wanboot-Programms und des WAN-Boot-Dateisystems an.

• Für WAN-Boot-Installationen per HTTPS setzen Sie diesen Wert auf 3des oder aes, je nachdem, welches Schlüsselformat Sie verwenden. Außerdem muss der Wert des Schlüsselworts signature_type auf sha1 gesetzt werden.

  encryption_type=3des

  oder

  encryption_type=aes

• Wenn Sie eine unsichere WAN-Boot-Installation ohne Verschlüsselung durchführen möchten, lassen Sie diesen Wert leer.

  encryption_type=

server_authentication=yes | no

Mit diesem Parameter geben Sie an, ob bei der WAN-Boot-Installation eine Server-Authentifizierung stattfinden soll.

• Für WAN-Boot-Installationen mit Server- oder mit Server- und Client-Authentifizierung setzen Sie diesen Wert auf yes. Außerdem müssen Sie den Wert von signature_type auf sha1, von encryption_type auf 3des oder aes und die URL von root_server auf einen HTTPS-Wert setzen.

  server_authentication=yes

• Für unsichere WAN-Boot-Installationen ohne Server- oder Server- und Client-Authentifizierung setzen Sie diesen Wert auf no. Sie können den Wert auch leer lassen.

  server_authentication=no

client_authentication=yes | no

Mit diesem Parameter geben Sie an, ob bei der WAN-Boot-Installation eine Client-Authentifizierung stattfinden soll.

• Für WAN-Boot-Installationen mit Server- und Client-Authentifizierung setzen Sie diesen Wert auf yes. Außerdem müssen Sie den Wert von signature_type auf sha1, von encryption_type auf 3des oder aes und die URL von root_server auf einen HTTPS-Wert setzen.

  client_authentication=yes

• Für WAN-Boot-Installationen ohne Client-Authentifizierung setzen Sie diesen Wert auf no. Sie können den Wert auch leer lassen.

  client_authentication=no

resolve_hosts=Hostname | leer

Mit diesem Parameter geben Sie weitere Host-Namen an, die während der Installation für das Programm wanboot-cgi aufgelöst werden müssen.

Setzen Sie diesen Wert auf die Host-Namen der Systeme, die in der Datei wanboot.conf oder einem etwaigen Client-Zertifikat noch nicht angegeben wurden.

• Wenn alle erforderlichen Hosts bereits in der Datei wanboot.conf oder dem Client-Zertifikat aufgeführt sind, lassen Sie diesen Wert leer.

  resolve_hosts=

• Wenn bestimmte Systeme in der Datei wanboot.conf oder dem Client-Zertifikat nicht aufgeführt sind, setzen Sie diesen Wert auf die Host-Namen dieser Systeme.

  resolve_hosts=seahag,matters

boot_logger=bootlog-cgi-Pfad | leer

Mit diesem Parameter geben Sie die URL des Skripts bootlog-cgi auf dem Protokollserver an.

• Um Boot- oder Installationsprotokollmeldungen auf einem speziellen Protokollserver aufzeichnen zu lassen, setzen Sie den Wert auf die URL des Skripts bootlog-cgi auf dem Protokollserver.

  boot_logger=http://www.Beispiel.com/cgi-bin/bootlog-cgi

• Wenn die Boot- und Installationsmeldungen auf der Client-Konsole angezeigt werden sollen, lassen Sie diesen Wert leer.

  boot_logger=

system_conf=system.conf | benutzerspezif-Systemkonf

Mit diesem Parameter geben Sie den Pfad zu der Systemkonfigurationsdatei an, in der die Adressen der Datei sysidcfg und der JumpStart-Dateien zu finden sind.

Setzen Sie den Wert dieses Pfads auf die Datei sysidcfg und die JumpStart-Dateien auf dem Webserver.

system_conf=sys.conf