Parte III Instalando através de uma rede de área ampla

Esta parte descreve como utilizar o método de instalação de inicialização WAN para instalar um sistema através de uma rede de área ampla (WAN).

Capítulo 10 inicialização WAN (visão geral)

Este capítulo fornece uma visão geral do Método de instalação de inicialização WAN. Este capítulo descreve os seguintes tópicos.

• O que é inicialização WAN?

• Quando utilizar inicialização WAN

• Como o inicialização WAN funciona (visão geral)

• Configurações de segurança suportadas por inicialização WAN (visão geral)

O que é inicialização WAN?

O Método de instalação de inicialização WAN possibilita inicializar e instalar softwares por uma ampla área de rede (WAN) utilizando HTTP. Utilizando o inicialização WAN, é possível instalar o Solaris SO em sistemas com base em SPARC por uma rede pública onde a infra-estrutura de rede pode não ser confiável. É possível utilizar a inicialização WAN com recursos de segurança para proteger dados confidenciais e a integridade da imagem de instalação.

O método de instalação de inicialização WAN possibilita a transmissão de arquivos encriptados Solaris Flash através de rede pública para um cliente remoto com base em SPARC. A inicialização WAN programa e instala o sistema de cliente efetuando instalação personalizada JumpStart. Para proteger a integridade da instalação, é possível utilizar chaves privadas para autenticar e encriptar dados. Também é possível transmitir dados de instalação e arquivos através de uma conexão HTTP segura, configurando o sistema para utilizar certificados digitais.

Para efetuar a instalação inicialização WAN, instale o sistema com base em SPARC baixando as seguintes informações do servidor da Web através do HTTP ou conexão HTTP segura.

• wanboot : o programa wanboot é o programa de inicialização de nível secundário que carrega a mini-raiz de inicialização WAN, configuração de arquivos de clientes e arquivos de instalação. O programa wanboot efetua tarefas de forma similar aqueles que são efetuados por programas de inicialização de níveis secundários: ufsboot ou inetboot.

• Sistema de arquivos de inicialização WAN: inicialização WAN utiliza vários arquivos diferentes para que o cliente configure e busque dados para instalar o sistema de cliente. Estes arquivos estão localizados no diretório do servidor da Web /etc/netboot . O programa wanboot-cgi envia estes arquivos para o cliente como um sistema de arquivos, chamado de sistema de arquivos de inicialização WAN.

• Mini-raiz de inicialização WAN: a mini-raiz de inicialização WAN é versão da mini-raiz Solaris que modifica e efetua a instalação de inicialização WAN. A mini-raiz de inicialização WAN, como a mini-raiz Solaris, contém um kernel e software suficiente para instalar o ambiente Solaris. A mini-raiz de inicialização WAN contém um subconjunto de software na mini-raiz Solaris.

• Arquivos personalizados de configuração JumpStart: para instalar o sistema, a inicialização WAN transmite sysidcfg, rules.ok, e arquivos de perfil para o cliente. A inicialização WAN utiliza, então, estes arquivos para efetuar a instalação personalizada JumpStart no sistema de cliente.

• Arquivo Solaris Flash: o arquivo Solaris Flash é uma coleção de arquivos que são copiados de um sistema mestre. Depois, será possível utilizar o arquivo para instalar o sistema de cliente. Inicialização WAN utiliza o método de instalação personalizada JumpStart para instalar o arquivo Solaris Flash no sistema de cliente. Depois de instalar o arquivo no sistema de cliente, o sistema terá a exata configuração do sistema mestre.

  ---

  Observação –

  O comando flarcreate não possui mais limitações de tamanho em arquivos individuais. É possível criar um arquivo Solaris Flash que contenha arquivos individuais acima de 4 GB.

  Para mais informações, consulte Criando um arquivo que contém arquivos grandes no Oracle Guia de instalação Solaris 10 9/10: arquivos Solaris Flash (criação e instalação).

  ---

Instale o arquivo no cliente utilizando o método de instalação personalizada JumpStart.

É possível proteger a transferência de informações previamente listadas utilizando chaves e certificados digitais.

Para uma descrição detalhada da sequência de eventos na instalação inicialização WAN, consulte Como o inicialização WAN funciona (visão geral).

Quando utilizar inicialização WAN

O Método de instalação de inicialização WAN permite instalar o sistema com base em SPARC que está localizado em áreas geograficamente remotas. Talvez deseje utilizar a inicialização WAN para instalar servidores remotos ou clientes que somente são acessíveis através de uma rede pública.

Se desejar instalar sistemas que estão localizados na sua área de rede local (LAN), o Método de instalação de inicialização WAN pode requerer mais configuração e administração que o necessário. Para informação sobre como instalar o sistema por LAN, consulte Capítulo 4Instalando a partir de uma rede (visão geral).

Como o inicialização WAN funciona (visão geral)

A inicialização WAN utiliza uma combinação de servidores, arquivos de configuração, programa de Common Gateway Interface (CGI) e arquivos de instalação para instalar um cliente remoto com base em SPARC. Esta seção descreve a sequência geral de eventos em uma instalação inicialização WAN.

Sequência de eventos em uma instalação inicialização WAN

Figura 10–1 mostra a sequência básica de eventos em uma instalação inicialização WAN. Nesta figura, o cliente com base em SPARC recupera dados de configuração e arquivos de instalação do servidor da Web e um servidor de instalação através de uma WAN.

Figura 10–1 Sequência de eventos em uma instalação de inicialização WAN

1. Inicie o cliente em um dos modos a seguir.

   • Inicie da rede configurando as variáveis da interface de rede no Open Boot PROM (OBP).

   • Inicie da rede com a opção DHCP.

   • Inicie de um CD-ROM local.

2. O cliente OBP obtêm informação de configuração de um dos recursos a seguir.

   • Dos valores de argumento de inicialização que foram digitados na linha de comando pelo usuário

   • Do servidor DHCP, se a rede utilizar DHCP

3. O cliente OBP requisita o programa de nível secundário de inicialização WAN (wanboot).

   O cliente OBP baixa o programa wanboot das fontes a seguir.

   • De um servidor de Web especial, chamado de servidor de inicialização WAN, utilizando o Hyper Text Transfer Protocol (HTTP)

   • De um CD-ROM local (não mostrado na figura)

4. O programa wanboot requisita informação de configuração de cliente do servidor de inicialização WAN.

5. O programa wanboot baixa arquivos de configuração que são transmitidos pelo programa wanboot-cgi do servidor de inicialização WAN. Os arquivos de configuração são transmitidos para o cliente como sistema de arquivos de inicialização WAN.

6. O programa wanboot requisita o download da mini-raiz de inicialização WAN do servidor de inicialização WAN.

7. O programa wanboot baixa a mini-raiz de inicialização WAN do servidor utilizando HTTP ou HTTP segura.

8. O programa wanboot carrega e executa o UNIX kernel da mini-raiz de inicialização WAN.

9. O UNIX kernel localiza e monta o sistema de arquivos de inicialização WAN para utilização pelo programa de instalação Solaris.

10. O programa de instalação requisita o download de um arquivo Solaris Flash e arquivos personalizados JumpStart de um servidor de instalação.

    O programa de instalação baixa o arquivo e arquivos personalizados JumpStart através de uma conexão HTTP ou HTTPS.

11. O programa de instalação efetua uma instalação personalizada JumpStart para instalar o arquivo Solaris Flash no cliente.

Protegendo dados durante a Instalação inicialização WAN

O Método de instalação de inicialização WAN permite utilizar chaves de hashing, chaves encriptadas, e certificados digitais para proteger seu sistema de dados durante a instalação. Esta seção descreve rapidamente os diferentes métodos de proteção de dados que são suportados pelo Método de instalação de inicialização WAN.

Verificando a integridade dos dados com a chaves de hashing

Para proteger dados transmitidos do servidor de inicialização WAN para o cliente, crie uma chave de Hashed Message Authentication Code (HMAC). Instale a chave de hashing no servidor de inicialização WAN e no cliente. O servidor de inicialização WAN utiliza as chaves para sinalizar os dados a serem transmitidos para o cliente. O cliente então utiliza as chaves para verificar a integridade dos dados que serão transmitidos pelo servidor de inicialização WAN. Depois de instalar a chave de hashing, o cliente utiliza esta chave para futuras instalações de inicialização WAN.

Para instruções sobre como utilizar uma chave de hashing, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

Encriptando dados com as chaves de encriptação

O Método de instalação de inicialização WAN permite encriptar dados que serão transmitidos do servidor de inicialização WAN do cliente. É possível utilizar o utilitário de inicialização WAN para criar uma Triple Data Encryption Standard (3DES), ou uma chave de encriptação Advanced Encryption Standard (AES). Em seguida, é possível utilizar estas chaves o inicialização WAN no servidor e no cliente. A inicialização WAN utiliza a chave de encriptação para encriptar dados enviados do servidor inicialização WAN para o cliente. O cliente pode utilizar esta chave para decriptar os arquivos de configuração e os arquivos de segurança encriptados que serão transmitidos durante a instalação.

Uma vez instalada a chave de encriptação no cliente, o cliente utilizará a chave para futuras instalações inicialização WAN.

Talvez o site não permita a utilização de chaves de encriptação. Para determinar se o site permite encriptação, pergunte ao administrador de segurança do site. Se o site permitir encriptação, pergunte ao administrador de segurança qual tipo de chave de encriptação, 3DES ou AES, deve ser utilizada.

Para instruções sobre como utilizar as chaves de encriptação, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

Protegendo dados utilizando HTTPS

Suporte de inicialização WAN utiliza HTTP sob Secure Sockets Layer (HTTPS) para transferir dados entre o servidor inicialização WAN e o cliente. Utilizando HTTPS, é possível requisitar que o servidor, ou servidor e cliente, se autentiquem durante a instalação. HTTPS também encripta dados que são transferidos do servidor para o cliente durante a instalação.

HTTPS utiliza certificados digitais para autenticar sistemas que trocam dados através da rede. O certificado digital é um tipo de arquivo que identifica um sistema, seja servidor ou cliente, como um sistema confiável durante comunicação on-line. É possível requisitar um certificado digital de uma autoridade certificada externa, ou criar seu próprio certificado e autoridade certificada.

Para permitir que o cliente confie no servidor e aceite dados do servidor, instale o certificado digital no servidor. Instrua o cliente a confiar no certificado. É possível requisitar que o cliente se autentique nos servidores fornecendo um certificado digital ao cliente. É possível instruir o servidor a aceitar a assinatura do certificado quando o cliente apresentar o certificado durante a instalação.

Para utilizar o certificado digital durante a instalação, é necessário configurar o servidor da Web para utilizar com HTTPS. Consulte a documentação do servidor da Web para informação sobre como utilizar HTTPS.

Para informação sobre requerimentos para utilização de certificados digitais durante instalação inicialização WAN, consulte Requisitos dos certificados digitais. Para instruções sobre como utilizar certificados digitais em instalação inicialização WAN, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.

Configurações de segurança suportadas por inicialização WAN (visão geral)

Inicialização WAN suporta diversos níveis de segurança. É possível utilizar uma combinação de recursos de segurança que são suportados na inicialização WAN para reunir as necessidades da rede. Uma configuração mais segura requer mais administração, mas também protege os dados de sistema para uma maior amplitude. Para sistemas mais críticos, ou sistemas que queira instalar através da rede pública, escolha a configuração em Configuração de instalação de segurança inicialização WAN. Para sistemas menos críticos, ou sistemas em redes semi-privadas, considere a configuração descrita em Configuração de instalação insegura inicialização WAN.

Essa seção descreve brevemente as diferentes configurações que podem ser utilizadas para definir o nível de segurança para instalação de inicialização WAN. A seção também descreve os mecanismos de segurança que são necessários por essas configurações.

Configuração de instalação de segurança inicialização WAN

Essa configuração protege a integridade dos dados trocados entre o servidor e o cliente, e ajuda a manter o conteúdo da troca confidencial. Essa configuração utiliza conexão HTTPS e algoritmo 3DES ou AES para encriptar os arquivos de configuração de cliente. Essa configuração também requer que o servidor se autentique ao cliente durante a instalação. Uma instalação de inicialização WAN segura requer os seguintes recursos de segurança.

• HTTPS ativado no servidor inicialização WAN e no servidor de instalação

• HMAC SHA1 chave de hashing no servidor inicialização WAN e no cliente

• Chave de encriptação 3DES ou AES para o servidor inicialização WAN e o cliente

• Certificado digital de autoridade certificada para servidor inicialização WAN

Se desejar requisitar a autenticação de cliente durante instalação, você deve utilizar também os recursos de segurança a seguir.

• Chave privada para servidor inicialização WAN

• Certificado digital para cliente

Para uma lista de tarefas necessárias para instalar com essa configuração, consulte Tabela 12–1.

Configuração de instalação insegura inicialização WAN

Esta configuração de segurança exige o menor esforço de administração, mas proporciona a menor segurança na transferência de dados do servidor da Web ao cliente. Não é necessário criar uma chave de hashing, chave de encriptação ou certificados digitais. Não é necessário configurar o servidor da Web para utilizar HTTPS. No entanto, essa configuração transfere a instalação de dados e arquivos por conexão HTTP, o que deixa a instalação vulnerável a interceptações pela rede.

Se desejar que o cliente verifique a integridade dos dados que são transmitidos, utilize chave de hashing HMAC SHA1 com essa configuração. Contudo, o arquivo Solaris Flash não está protegido pela chave de hashing. O arquivo é transferido sem segurança entre servidor e o cliente durante a instalação.

Para uma lista de tarefas necessárias para instalar com essas configurações, consulte Tabela 12–2.

Capítulo 11 Preparando para instalar com inicialização WAN (planejamento)

Este capítulo descreve como preparar a sua rede para uma instalação inicialização WAN. Este capítulo descreve os tópicos a seguir.

• Exigências e diretrizes inicialização WAN

• Limitações de segurança inicialização WAN

• Obter informações para instalações da inicialização WAN

Exigências e diretrizes inicialização WAN

A seção descreve os requisitos do sistema para executar uma instalação inicialização WAN.

Diretrizes e requisitos de software de servidor da Web

O software do servidor da Web que você utiliza em seu servidor de inicialização WAN e o servidor de instalação devem atender aos requisitos a seguir.

• Requisitos do sistema operacional: a inicialização WAN fornece um programa de Common Gateway Interface (CGI) (wanboot-cgi) que converte dados e arquivos para um formato específico esperado pela máquina cliente. Para executar uma instalação de inicialização WAN com esses scripts, o software do servidor da Web deve ser executado no Solaris 9 12/03 SO ou uma versão compatível.

• Limitações de tamanho do arquivo: o seu software do servidor da Web poderá limitar o tamanho dos arquivos que você pode transmitir em HTTP. Verifique sua documentação do servidor da Web para certificar-se de que o software possa transmitir arquivos que sejam do tamanho de um documento Solaris Flash.

  ---

  Observação –

  O comando flarcreate não possui mais limitações de tamanho ou arquivos individuais. É possível criar um arquivo Solaris Flash que contenha arquivos individuais acima de 4 GB.

  Para maiores informações, consulte Criando um arquivo que contém arquivos grandes no Oracle Guia de instalação Solaris 10 9/10: arquivos Solaris Flash (criação e instalação).

  ---

• Suporte SSL: se você quiser utilizar HTTPS na sua instalação de inicialização WAN, o software do servidor da Web deve suportar a versão 3 do SSL.

Opções de configuração do servidor

Você pode personalizar a configuração dos servidores que são requeridos pela inicialização WAN para atender as necessidades da sua rede. É possível hospedar todos os servidores em um sistema ou colocar os servidores em vários sistemas.

• Servidor único: se desejar centralizar os arquivos e dados de inicialização WAN em um sistema, você pode hospedar todos os servidores na mesma máquina. É possível administrar todos os seus servidores diferentes em um sistema, você só precisa configurar um sistema como servidor da Web. No entanto, um servidor único pode não ser capaz de suportar o volume de tráfego necessário para um grande número de instalações de inicialização WAN simultâneas.

• Servidores diversos: se desejar distribuir os arquivos e dados de instalação por toda a sua rede, você pode hospedar esses servidores em máquinas diversas. É possível configurar um servidor de inicialização WAN central e configurar servidores de instalação diversos para hospedar os arquivos Solaris Flash por toda a rede. Se o servidor de instalação e o servidor de registro forem hospedados em máquinas independentes, é necessário configurar esses servidores como servidores da Web.

Armazenando arquivos de instalação e configuração no diretório raiz de documentos

O programa wanboot-cgi transmite os arquivos a seguir durante uma instalação de inicialização WAN.

• Programa wanboot

• miniraiz de inicialização WAN

• Arquivos JumpStart personalizados

• Arquivo Solaris Flash

A fim de permitir que o programa wanboot-cgi transmita esses arquivos, você deve armazená-los em um diretório que seja acessível ao software do servidor da Web. Uma maneira de tornar esses arquivos acessíveis é colocá-los na raiz de documentos no servidor da Web.

A raiz de documentos, ou diretório de documentos primários, é o diretório no seu servidor da Web onde você armazena arquivos que você deseja disponibilizar aos clientes. É possível nomear e configurar esse diretório no software do servidor da Web. Consulte a documentação do servidor da Web para mais informações sobre a configuração do diretório raiz de documentos no servidor da Web.

Você pode querer criar diferentes subdiretórios do diretório raiz de documentos para armazenar seus diferentes arquivos de instalação e configuração. Por exemplo, você pode querer criar subdiretórios específicos para cada grupo de clientes que deseja instalar. Se planeja instalar várias versões diferentes do Solaris SO por toda a sua rede, você poderá criar subdiretórios para cada versão.

Figura 11–1 mostra uma estrutura básica de amostra para um diretório raiz de documentos. Nesse exemplo, o servidor de inicialização WAN e o servidor de instalação estão na mesma máquina. O servidor está executando o software de servidor da Web Apache.

Figura 11–1 Amostra da estrutura para o diretório raiz de documentos

Essa amostra de diretório de documentos utiliza a estrutura a seguir.

• O diretório opt/apache/htdocs é o diretório raiz de documentos.

• A miniraiz de inicialização WAN do diretório ( miniroot) contém a miniraiz de inicialização WAN.

• O diretório wanboot contém o programa wanboot.

• O diretório (flash) do Solaris Flash contém os arquivos JumpStart personalizados necessários para instalar o cliente e os arquivos do subdiretório. O diretório de arquivos contém o arquivo Flash versão atual do Solaris.

Se o servidor de inicialização WAN e o servidor de instalação forem sistemas diferentes, você pode querer armazenar o diretório flashno servidor de instalação. Certifique-se de que esses arquivos e diretórios estejam acessíveis ao servidor de inicialização WAN.

Para informações sobre como criar o diretório raiz de documentos, consulte a documentação do seu servidor da Web. Para instruções detalhadas sobre como criar e armazenar esses arquivos de instalação, consulte Criando os arquivos de instalação do JumpStart Personalizado

Armazenando informações de configuração e segurança na hierarquia /etc/netboot

O diretório /etc/netboot contém as informações de configuração, chave privada, certificado digital e autoridade de certificação exigidos para uma instalação de inicialização WAN. Esta sessão descreve os arquivos e diretórios que você pode criar no diretório/etc/netbootpara personalizar a sua instalação de inicialização WAN.

Personalizando o escopo da instalação de inicialização WAN

Durante a instalação, o programa wanboot-cgi procura por informações do cliente no diretório /etc/netboot no servidor de inicialização WAN. O programa wanboot-cgi converte essas informações para o sistema de arquivos de inicialização WAN e, em seguida, transmite o sistema de arquivos de inicialização WAN para o cliente. É possível criar subdiretórios dentro do diretório etc/netboot para personalizar o escopo da instalação WAN. Utilize as estruturas de diretório a seguir para definir como as informações de configuração são compartilhadas entre os clientes que você deseja instalar.

• Configuração global: se você quiser que todos os clientes em sua rede compartilhem informações de configuração, armazene os arquivos que você deseja compartilhar no diretório /etc/netboot.

• Configuração específica da rede: se você quiser que somente as máquinas em uma subrede específica compartilhem informações de configuração, armazene os arquivos de configuração que deseja compartilhar em um subdiretório de /etc/netboot. Faça com que o subdiretório siga essa convenção de nomenclatura.

  /etc/netboot/net-ip

  Nesse exemplo, net-ip é o endereço de IP da subrede do cliente. Por exemplo, se você quiser que todos os sistemas na subrede com o endereço de IP 192.168.255.0 compartilhem arquivos de configuração, crie um diretório /etc/netboot/192.168.255.0. Em seguida, armazene os arquivos de configuração nesse diretório.

• Configuração específica do cliente: se você quiser que apenas um cliente específico utilize o sistema de arquivos de inicialização, armazene os arquivos de sistema de arquivos de inicialização em um subdiretório de /etc/netboot. Faça com que o subdiretório siga essa convenção de nomenclatura.

  /etc/netboot/net-ip/client-ID

  Nesse exemplo, net-ip é o endereço de IP da subrede. client-ID é a ID do cliente que é atribuído pelo servidor DHCP ou uma ID de cliente especificado pelo usuário. Por exemplo, se você quiser que um sistema com a ID de cliente 010003BA152A42 na subrede 192.168.255.0 utilize os arquivos de configuração específicos, crie um diretório /etc/netboot/192.168.255.0/010003BA152A42 . Em seguida, armazene os arquivos apropriados nesse diretório.

Especificar informações de segurança e configuração no diretório /etc/netboot

Você especifica as informações de segurança e configuração criando os arquivos a seguir e armazenando-os no diretório /etc/netboot.

• wanboot.conf: esse arquivo especifica as informações de configuração do cliente para uma instalação de inicialização WAN.

• Arquivo de configuração do sistema (system.conf): esse arquivo de configuração do sistema especifica o local do arquivo sysidcfg do cliente e dos arquivos JumpStart personalizados.

• armazenamento de chave: esse arquivo contém a chave de hashing HMAC SHA1 do cliente, a chave de criptografia 3DES ou AES e a chave privada SSL.

• truststore: esse arquivo contém os certificados digitais de autoridades que assinam certificados em que o cliente deve confiar. Esses certificados confiáveis instruem o cliente a confiar no servidor durante a instalação.

• certstore: esse arquivo contém o certificado digital do cliente.

  ---

  Observação –

  O arquivo certstore deve estar localizado no diretório da ID do cliente. Consulte Personalizando o escopo da instalação de inicialização WAN para mais informações sobre o /etc/netboot.

  ---

Para instruções detalhadas sobre como criar e armazenar esses arquivos, consulte os procedimentos a seguir.

• Para criar o arquivo de configuração do sistema

• Para criar o arquivo wanboot.conf

• (Opcional) Para criar uma chave de hashing e uma chave de criptografia

• (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente

Compartilhando informações de segurança e configuração no diretório /etc/netboot

Para instalar clientes em sua rede, você pode querer compartilhar arquivos de segurança e configuração entre vários clientes diferentes ou em subredes completas. É possível compartilhar esses arquivos distribuindo suas informações de configuração pelos diretórios /etc/netboot/net-ip/client-ID, /etc/netboot/net-ip e /etc/netboot/. O programa wanboot-cgi busca, nesses diretórios, por informações de configuração que melhor se adaptam ao cliente e utiliza essas informações durante a instalação.

O programa wanboot-cgi busca por informações do cliente na ordem a seguir.

1. /etc/netboot/net-ip/ client-ID: o programa wanboot-cgi primeiro verifica as informações de configuração que são específicas da máquina do cliente. Se o diretório /etc/netboot/net-ip/ client-ID contiver todas as informações de configuração do cliente, o programa wanboot-cgi não verifica informações de configuração em outro local no diretório /etc/netboot.

2. /etc/netboot/net-ip: se todas as informações necessárias não estiverem localizadas no diretório /etc/netboot/ net-ip/client-ID, o programa wanboot-cgi então procura por informações de configuração de subrede no diretório /etc/netboot/net-ip.

3. /etc/netboot/: se as informações remanescentes não estiverem localizadas no diretório etc/netboot/net-ip, o programa wanboot-cgi então verifica informações de configuração global no diretório /etc/netboot.

Figura 11–2 demonstra como você pode configurar o diretório /etc/netboot para personalizar as suas instalações de inicialização WAN.

Figura 11–2 Amostra de diretório /etc/netboot

O layout do diretório /etc/netboot em Figura 11–2 permite que você execute as instalações de inicialização WAN a seguir.

• Quando você instala o cliente 010003BA152A42, o programa wanboot-cgi utiliza os arquivos a seguir no diretório /etc/netboot/192.168.255.0/010003BA152A42 .

  • system.conf

  • keystore

  • truststore

  • certstore

  O programa wanboot-cgi então utiliza o arquivo wanboot.conf no diretório /etc/netboot/192.168.255.0.

• Quando você instala um cliente localizado na subrede 192.168.255.0, o programa wanboot-cgi utiliza os arquivos wanboot.conf , keystore etruststore no diretório /etc/netboot/192.168.255.0. O programa wanboot-cgi então utiliza o arquivo system.conf no diretório /etc/netboot.

• Ao instalar uma máquina cliente que não esteja localizada na subrede 192.168.255.0, o programa wanboot-cgi utiliza os arquivos a seguir no diretório /etc/netboot.

  • wanboot.conf

  • system.conf

  • keystore

  • truststore

Armazenando o programa wanboot-cgi

O programa wanboot-cgi transmite os dados e arquivos do servidor de inicialização WAN para o cliente. É necessário assegurar que esse programa esteja em um diretório no servidor de inicialização WAN que seja acessível ao cliente. Um método de tornar esse programa acessível ao cliente é armazená-lo no diretório cgi-bin do servidor de inicialização WAN. Você pode precisar configurar seu software do servidor da Web para utilizar o programa wanboot-cgi como um programa CGI. Veja a documentação do seu servidor da Web para obter informações sobre requisitos do programa CGI.

Requisitos dos certificados digitais

Se desejar adicionar mais segurança na instalação de inicialização WAN, você pode utilizar certificados digitais para habilitar a autenticação do servidor e do cliente. A inicialização WAN pode utilizar um certificado digital para estabelecer a identidade do servidor ou do cliente durante uma transação on-line. Certificados digitais são emitidos por uma autoridade de certificação (CA). Esses certificados contêm um número de série, datas de validade, uma cópia da chave pública do proprietário do certificado e a assinatura digital da autoridade de certificação.

Se desejar exigir a autenticação do servidor ou do cliente e do servidor durante a instalação, você deve instalar certificados digitais no servidor. Siga essas diretrizes ao utilizar certificados digitais.

• Se desejar utilizar certificados digitais, os certificados digitais devem ser formatados como parte de um arquivo de Padrões de criptografia de chave pública #12 (PKCS#12).

• Se criar seus próprios certificados, você deve criar os certificados como arquivos PKCS#12.

• Se você receber seus certificados a partir de autoridades de certificados terceiros, solicite seus certificados no formato PKCS#12.

Para obter instruções detalhadas sobre como utilizar os certificados PKCS#12 durante a instalação de inicialização WAN, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.

Limitações de segurança inicialização WAN

Enquanto a inicialização WAN fornece vários recursos de segurança diferentes, inicialização WAN não lida com essas inseguranças em potencial.

• ataques de Negação de serviço (DoS): um ataque de negação de serviço pode tomar diversas formas, com o objetivo de impedir que usuários acessem um serviço específico. Um ataque DoS pode devastar uma rede com grandes quantidades de dados ou consumir agressivamente recursos limitados. Outros ataques DoS manipulam os dados que são transmitidos entre sistemas em trânsito. O Método de instalação de inicialização WAN não protege servidores ou clientes de ataques DoS.

• Binários corrompidos nos servidores: o Método de instalação de inicialização WAN não verifica a integridade da miniraiz de inicialização WAN ou o arquivo Solaris Flash antes de a instalação ser executada. Antes de executar a instalação, verifique a integridade dos seus binários do Solaris em relação ao Banco de dados de impressões digitais do Solaris em http://sunsolve.sun.com .

• Chave de criptografia e privacidade de chave de hashing: se você utilizar chaves de criptografia ou uma chave de hashing com inicialização WAN é necessário digitar o valor da chave na linha de comando durante a instalação. Siga as precauções necessárias à sua rede para certificar-se de que esses valores de chaves permaneçam privados.

• Compromisso do serviço de identificação da rede: se você utilizar um serviço de identificação em sua rede, verifique a integridade dos nomes de servidores antes de executar a instalação do inicialização WAN.

Obter informações para instalações da inicialização WAN

É necessário reunir uma ampla variedade de informações para configurar a sua rede para uma instalação de inicialização WAN. Você pode desejar anotar essas informações conforme se prepara para instalar em uma WAN.

Utilize as planilhas a seguir para registrar as informações da instalação de inicialização WAN para a sua rede.

• Tabela 11–2

• Tabela 11–3

Capítulo 12 Instalando com inicialização WAN (Tarefas)

Este capítulo descreve as tarefas a seguir que são necessárias para preparar sua rede para uma instalação com reinicialização WAN.

• Instalando por meio de uma Wide Area Network (Mapas de tarefas)

• Configurando o servidor de inicialização WAN

• Criando os arquivos de instalação do JumpStart Personalizado

• Criando os arquivos de configuração

• (Opcional) Fornecendo informações de configuração com um servidor de DHCP

• (Opcional) Para configurar o servidor de registro de inicialização WAN

Instalando por meio de uma Wide Area Network (Mapas de tarefas)

As tabelas a seguir listam as tarefas que precisam ser realizadas para preparar para uma instalação com inicialização WAN.

• Para uma lista de tarefas que precisa realizar para preparar para uma instalação com inicialização WAN, consulte a Tabela 12–1.

  Para uma descrição de uma instalação segura com inicialização WAN com HTTPS, consulte Configuração de instalação de segurança inicialização WAN.

• Para uma lista de tarefas que precisa realizar para preparar para uma instalação não segura com inicialização WAN, consulte a Tabela 12–2.

  Para uma descrição de uma instalação não segura com inicialização WAN, consulte Configuração de instalação insegura inicialização WAN.

Para utilizar um servidor de DHCP ou um servidor de registro, complete as tarefas opcionais listadas no final de cada tabela.

Configurando o servidor de inicialização WAN

O servidor de inicialização WAN é um servidor web que fornece os dados de inicialização e configuração durante uma instalação com inicialização WAN. Para uma lista dos requisitos de sistema para o servidor de inicialização WAN, consulte a Tabela 11–1.

Esta seção descreve as tarefas a seguir necessárias para configurar um servidor de inicialização WAN para uma instalação com inicialização WAN.

• Criando o diretório raiz de documentos

• Criando a miniraiz de inicialização WAN

• Instalando o programa wanboot no servidor de inicialização WAN

• Criando a hierarquia /etc/netboot no servidor de inicialização WAN

• Copiando o programa CGI de inicialização WAN para o servidor de inicialização WAN

• (Opcional) Protegendo dados utilizando HTTPS

Criando o diretório raiz de documentos

Para servir aos arquivos de configuração e instalação, é necessário tornar estes arquivos acessíveis ao software do servidor da Web no servidor de inicialização WAN. Um método para tornar estes arquivos acessíveis é armazená-los no diretório raiz de documentos do servidor de inicialização WAN.

Se deseja utilizar um diretório raiz de documentos para servir aos arquivos de configuração e instalação, é necessário criar este diretório. Consulte a documentação de seu servidor da Web para obter informações sobre como criar o diretório raiz de documentos. Para informações detalhadas sobre como projetar seu diretório raiz de documentos, consulte Armazenando arquivos de instalação e configuração no diretório raiz de documentos.

Para um exemplo de como configurar este diretório, consulte Crie o diretório raiz do documento.

Depois de criar o diretório raiz de documentos, crie a miniraiz de inicialização WAN. Para instruções, consulte Criando a miniraiz de inicialização WAN.

Criando a miniraiz de inicialização WAN

A inicialização WAN utiliza uma miniraiz Solaris especial que foi modificada para realizar uma instalação com inicialização WAN. A miniraiz de inicialização WAN contém um subconjunto do software na miniraiz Solaris. Para realizar uma instalação de inicialização WAN, é necessário copiar a miniraiz do Solaris DVD ou do CD Software Solaris - 1 para o servidor de inicialização WAN. Utilize a opção -w do comando setup_install_server para copiar a miniraiz de inicialização da mídia de software do Solaris para o disco rígido de seu sistema.

SPARC: Para criar uma miniraiz de inicialização WAN

Este procedimento cria uma miniraiz de inicialização WAN do SPARC com a mídia do SPARC. Se deseja servir uma miniraiz de inicialização WAN do SPARC a partir de um servidor com base em x86, é necessário criar a miniraiz em uma máquina SPARC. Depois de criar a miniraiz, copie-a para o diretório raiz de documentos do servidor com base em x86.

Antes de começar

Este procedimento presume que o servidor de inicialização WAN esteja executando o Volume Manager. Se não estiver utilizando o Volume Manager, consulte System Administration Guide: Devices and File Systems.

1. Torne-se superusuário ou assuma uma função equivalente no servidor de inicialização WAN.

   ---

   Observação –

   Funções contêm autorizações e comandos privilegiados. Para mais informações sobre funções, consulte Configuring RBAC (Task Map) no System Administration Guide: Security Services.

   ---

   O sistema deverá atender aos seguintes requisitos.

   • Incluir uma unidade de CD-ROM ou DVD-ROM

   • Ser parte da rede e do serviço de identificação do site

     Se utilizar um serviço de identificação, o sistema já deverá estar em um serviço de identificação, como NIS, NIS+, DNS ou LDAP. Se não utilizar um serviço de identificação, será necessário distribuir informações sobre este sistema seguindo as políticas de seu site.

2. Insira o CD Software Solaris - 1 ou o Solaris DVD na unidade do servidor de instalação.

3. Crie um diretório para a miniraiz de inicialização WAN e a imagem de instalação do Solaris.

   # mkdir -p wan-dir-path install-dir-path

   -p

   Instrua o comando mkdir a criar todos os diretórios pai necessários para o diretório que deseja criar.

   wan-dir-path

   Especifica o diretório onde a miniraiz de inicialização WAN deverá ser criada no servidor de instalação. Este diretório precisa acomodar miniraízes, que têm tipicamente tamanho de 250 MB.

   install-dir-path

   Especifica o diretório no servidor de instalação onde a imagem do software Solaris será copiada. Este diretório poderá ser removido posteriormente neste procedimento.

4. Mude para o diretório Tools no disco montado.

   # cd /cdrom/cdrom0/Solaris_10/Tools

   No exemplo anterior, cdrom0 é o caminho para a unidade que contém a mídia Solaris SO.

5. Copie a miniraiz de inicialização WAN e a imagem do software Solaris para o disco rígido do servidor de inicialização WAN.

   # ./setup_install_server -w wan-dir-path install-dir-path

   wan-dir-path

   Especifica o diretório para onde a miniraiz de inicialização WAN deverá ser copiada

   install-dir-path

   Especifica o diretório para onde a imagem do software Solaris deverá ser copiada

   ---

   Observação –

   O comando setup_install_server indica se possui espaço em disco disponível suficiente para as imagens de disco do Software Solaris. Para determinar o espaço em disco disponível, utilize o comando df -kl.

   ---

   O comando setup_install_server -w cria a miniraiz de inicialização WAN e uma imagem de instalação pela rede do software Solaris.

6. (Opcional) Remova a imagem de instalação de rede.

   Não é necessário ter a imagem do software Solaris para realizar uma instalação WAN com um arquivamento Solaris Flash. É possível liberar espaço em disco se não planeja utilizar a imagem de instalação em rede para outras instalações em rede. Digite o comando a seguir para remover a imagem de instalação em rede.

   # rm -rf install-dir-path

7. Torne a miniraiz de inicialização WAN disponível para o servidor de inicialização WAN por meio de uma das seguintes formas.

   • Crie um link simbólico para a miniraiz de inicialização WAN no diretório raiz de documentos do servidor de inicialização WAN.

     # cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot .

     document-root-directory/miniroot

     Especifica o diretório raiz de documentos do servidor de inicialização WAN no qual deseja criar o link para a miniraiz de inicialização WAN

     /wan-dir-path/miniroot

     Especifica o caminho da miniraiz de inicialização WAN

   • Mova a miniraiz de inicialização WAN para o diretório raiz de documentos no servidor de inicialização WAN.

     # mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name

     wan-dir-path/miniroot

     Especifica o caminho da miniraiz de inicialização WAN.

     /document-root-directory/miniroot/

     Especifica o caminho para o diretório da miniraiz de inicialização WAN no diretório raiz de documentos do servidor de inicialização WAN.

     miniroot-name

     Especifica o nome da miniraiz de inicialização WAN. Nomeia o arquivo descritivamente, por exemplo, miniroot.s10_sparc.

Exemplo 12–1 Criando a miniraiz de inicialização WAN

Utilize o setup_install_server(1M) com a opção -w para copiar a miniraiz de inicialização WAN e a imagem do software Solaris para o diretório /export/install/Solaris_10 do wanserver-1.

Insira a mídia Software Solaris na unidade anexada ao wanserver-1. Digite os seguintes comandos.

wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Mova a miniraiz de inicialização WAN para o diretório raiz de documentos no servidor de inicialização WAN /opt/apache/htdocs/. Neste exemplo, o nome da miniraiz de inicialização WAN foi definido como miniroot.s10_sparc.

wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Continuando a instalação da inicialização WAN

Depois de criar a miniraiz de inicialização WAN, verifique se o cliente OpenBoot PROM (OBP) suporta a inicialização WAN. Para instruções, consulte Verificando o suporte a inicialização WAN no cliente.

Consulte também

Para informações adicionais sobre o comando setup_install_server, consulte install_scripts(1M).

Verificando o suporte a inicialização WAN no cliente

Para efetuar uma instalação não assistida de inicialização WAN, o OpenBoot PROM (OBP) do sistema do cliente deverá suportar a inicialização WAN. Se o OBP do cliente não suportar a inicialização WAN, é possível realizar uma instalação de inicialização WAN fornecendo os programas em um CD local.

É possível determinar se o cliente suporta a inicialização WAN verificando as variáveis de configuração do OBP do cliente. Realize os seguintes procedimentos para verificar se o cliente suporta inicialização pela LAN.

Para verificar se o cliente OBP tem suporte a inicialização WAN

Este procedimento descreve como determinar se o cliente OBP suporta a inicialização WAN.

1. Torne-se superusuário ou assuma uma função equivalente.

   ---

   Observação –

   Funções contêm autorizações e comandos privilegiados. Para mais informações sobre funções, consulte Configuring RBAC (Task Map) no System Administration Guide: Security Services

   ---

   Funções contêm autorizações e comandos privilegiados. Para mais informações sobre funções, consulte Configuring RBAC (Task Map) no System Administration Guide: Security Services

2. Verifique se as variáveis de configuração do OBP suportam a inicialização WAN.

   # eeprom | grep network-boot-arguments

   • Se a variável network-boot-arguments for exibida, ou se o comando anterior retornar a saída network-boot-arguments: data not available, o OBP suporta instalações com inicialização WAN. Não é necessário atualizar o OBP antes de realizar sua instalação com inicialização WAN.

   • Se o comando anterior não retornar qualquer saída, o OBP não suporta instalações com inicialização pela LAN. É necessário realizar uma das tarefas a seguir.

     • Atualizar o OBP cliente. Para aqueles clientes que tenham um OBP que é capaz de suportar instalações com inicialização WAN, consulte a documentação de seu sistema para obter informações sobre como atualizar o OBP.

       ---

       Observação –

       Nem todos os OBPs clientes suportam a inicialização WAN. Para esses clientes, utilize a próxima opção.

       ---

     • Depois de concluir as tarefas de preparação e estiver pronto para instalar o cliente, realize a instalação com inicialização WAN a partir do CD1 do Software Solaris CD1 ou DVD. Esta opção funciona em todos os casos em que o OBP atual não fornece suporte a inicialização WAN.

       Para instruções sobre como inicializar o cliente a partir do CD1, consulte Para efetuar instalações de inicialização WAN com a mídia do CD local. Para continuar preparando para a instalação com inicialização WAN, consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.

Exemplo 12–2 Verificando o suporte do OBP para inicialização WAN no cliente

O comando a seguir mostra como verificar o suporte do OBP cliente para inicialização WAN.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

Neste exemplo, a saída network-boot-arguments: data not available indica que o OBP cliente suporta a inicialização WAN.

Continuando a instalação da inicialização WAN

Depois de verificar que o OBP cliente suporta inicialização pela inicialização WAN, é necessário copiar o programa wanboot para o servidor de inicialização WAN. Para instruções, consulte Instalando o programa wanboot no servidor de inicialização WAN.

Se o OBP cliente não suportar inicialização WAN, não é necessário copiar o programa wanboot para o servidor de inicialização WAN. É necessário fornecer o programa wanboot para o cliente em um CD local. Para continuar a instalação, consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.

Consulte também

Para informações adicionais sobre o comando setup_install_server, consulte Capítulo 4Instalando a partir de uma rede (visão geral).

Instalando o programa wanboot no servidor de inicialização WAN

A inicialização WAN utiliza um programa de inicialização especial de segundo nível (wanboot) para instalar o cliente. O programa wanboot carrega a miniraiz de inicialização WAN, arquivos de configuração do cliente e arquivos de instalação que são necessários para realizar uma instalação com inicialização WAN.

Para realizar uma instalação com inicialização WAN, é necessário fornecer o programa wanboot para o cliente durante a instalação. É possível fornecer este programa ao cliente das maneiras a seguir.

• Se a PROM de seu cliente suportar inicialização WAN, é possível transmitir o programa do servidor de inicialização WAN para o cliente. É necessário instalar o programa wanboot no servidor de inicialização WAN.

  Para verificar se a PROM de seu cliente suporta inicialização WAN, consulte Para verificar se o cliente OBP tem suporte a inicialização WAN.

• Se a PROM de seu cliente não suportar inicialização WAN, é necessário fornecer o programa para o cliente em um CD local. Se a PROM de seu cliente não suportar inicialização WAN, vá para Criando a hierarquia /etc/netboot no servidor de inicialização WAN para continuar preparando sua instalação.

SPARC: Para instalar o programa wanboot no servidor de inicialização WAN

Este procedimento descreve como copiar o programa wanboot da mídia do Solaris para o servidor de inicialização WAN.

Este procedimento presume que o servidor de inicialização WAN esteja executando o Volume Manager. Se não estiver utilizando o Volume Manager, consulte System Administration Guide: Devices and File Systems.

Antes de começar

Verifique se o sistema cliente suporta inicialização WAN. Consulte Para verificar se o cliente OBP tem suporte a inicialização WAN para obter mais informações.

1. Torne-se superusuário ou assuma uma função equivalente no servidor de inicialização.

   ---

   Observação –

   Funções contêm autorizações e comandos privilegiados. Para mais informações sobre funções, consulte Configuring RBAC (Task Map) no System Administration Guide: Security Services.

   ---

2. Insira o CD Software Solaris - 1 ou o Solaris DVD na unidade do servidor de instalação.

3. Mude para o diretório da plataforma sun4u no CD Software Solaris - 1 ou Solaris DVD.

   # cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/

4. Copie o programa wanboot para o servidor de instalação.

   # cp wanboot /document-root-directory/wanboot/wanboot-name

   document-root-directory

   Especifica o diretório raiz do documento no servidor de inicialização WAN.

   wanboot-name

   Especifica o nome do programa wanboot. Nomeia o arquivo descritivamente, por exemplo, wanboot.s10_sparc.

5. Torne o arquivo wanboot disponível para o servidor de inicialização WAN por meio de uma das seguintes formas.

   • Crie um link simbólico para o programa wanboot no diretório raiz de documentos do servidor de inicialização WAN.

     # cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot .

     document-root-directory/wanboot

     Especifica o diretório raiz de documentos no servidor de inicialização WAN para o qual deseja criar o link para o programa wanboot

     /wan-dir-path/wanboot

     Especifica o caminho para o programa wanboot

   • Mova a miniraiz de inicialização WAN para o diretório raiz de documentos no servidor de inicialização WAN.

     # mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name

     wan-dir-path/wanboot

     Especifica o caminho para o programa wanboot

     /document-root-directory/wanboot/

     Especifica o caminho para o diretório do programa wanboot no diretório raiz de documentos do servidor de inicialização WAN.

     wanboot-name

     Especifica o nome do programa wanboot. Nomeia o arquivo descritivamente, por exemplo, wanboot.s10_sparc.

Exemplo 12–3 Instalando o programa wanboot no servidor de inicialização WAN

Para instalar o programa wanboot no servidor de inicialização WAN, copie o programa da mídia Software Solaris para o diretório raiz de documentos do servidor de inicialização WAN.

Insira o Solaris DVD ou o CD Software Solaris - 1 na unidade de mídia anexada ao wanserver-1 e digite os comandos a seguir.

wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

Neste exemplo, o nome do programa wanboot está definido como wanboot.s10_sparc.

Continuando a instalação da inicialização WAN

Depois de instalar o programa wanboot no servidor de inicialização WAN, é necessário criar a hierarquia /etc/netboot no servidor de inicialização WAN. Para instruções, consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.

Consulte também

Para informações de visão geral sobre o programa wanboot, consulte O que é inicialização WAN?.

Criando a hierarquia /etc/netboot no servidor de inicialização WAN

Durante a instalação, a inicialização WAN refere-se ao conteúdo da hierarquia /etc/netboot no servidor da web para obter instruções sobre como realizar a instalação. Este diretório contém as informações de configuração, chave provada, certificado digital e autoridade certificadora necessários para uma instalação com inicialização WAN. Durante a instalação, o programa wanboot-cgi converte estas informações no sistema de arquivos de inicialização WAN. O programa wanboot-cgi , então, transmite o sistema de arquivos de inicialização WAN para o cliente.

É possível criar subdiretórios dentro do diretório /etc/netboot para personalizar o escopo da instalação WAN. Utilize as estruturas a seguir de diretório para definir como as informações de configuração são compartilhadas entre os clientes que deseja instalar.

• configuração global – Se quiser que todos os clientes em sua rede compartilhem informações de configuração, armazene os arquivos que deseja compartilhar no diretório /etc/netboot.

• configuração específica da rede – Se quiser que somente aquelas máquinas em uma subrede específica compartilhem informações de configuração, armazene os arquivos que deseja compartilhar em um subdiretório de /etc/netboot. Utilize a convenção de nomenclatura a seguir no subdiretório.

  /etc/netboot/net-ip

  Neste exemplo, net-ip é o endereço IP da subrede do cliente.

• Configuração específica de cliente – Se desejar que somente um cliente específico utilize o sistema de arquivos de inicialização, armazene os arquivos do sistema de arquivos de inicialização em um subdiretório de /etc/netboot . Utilize a convenção de nomenclatura a seguir no subdiretório.

  /etc/netboot/net-ip/client-ID

  Neste exemplo, net-ip é o endereço IP do cliente. client-ID é a ID do cliente que foi atribuída pelo servidor de DHCP ou uma ID de cliente específica do usuário.

Para informações detalhadas de planejamento sobre estas configurações, consulte Armazenando informações de configuração e segurança na hierarquia /etc/netboot.

O procedimento a seguir descreve como criar a hierarquia /etc/netboot.

Para criar a hierarquia /etc/netboot no servidor de inicialização WAN

Siga estas etapas para criar a hierarquia /etc/netboot.

1. Torne-se superusuário ou assuma uma função equivalente no servidor de inicialização WAN.

   ---

   Observação –

   Funções contêm autorizações e comandos privilegiados. Para mais informações sobre funções, consulte Configuring RBAC (Task Map) no System Administration Guide: Security Services.

   ---

2. Crie o diretório /etc/netboot.

   # mkdir /etc/netboot

3. Altere as permissões do diretório /etc/netboot para 700.

   # chmod 700 /etc/netboot

4. Altere o proprietário do diretório /etc/netboot para o proprietário do servidor web.

   # chown web-server-user:web-server-group /etc/netboot/

   web-server-user

   Especifica o usuário proprietário do processo do servidor web

   web-server-group

   Especifica o grupo proprietário do processo do servidor web

5. Saia da função superusuário.

   # exit

6. Assuma a função de usuário do proprietário do servidor web.

7. Crie o subdiretório cliente no diretório /etc/netboot.

   # mkdir -p /etc/netboot/net-ip/client-ID

   -p

   Instrua o comando mkdir a criar todos os diretórios pai necessários para o diretório que deseja criar.

   (Opcional) net-ip

   Especifica o endereço IP de rede da subrede do cliente.

   (Opcional) client-ID

   Especifica a ID do cliente. A ID do cliente pode ser um valor definido pelo usuário ou a ID de cliente DHCP. O diretório client-ID deverá ser um subdiretório do diretório net-ip.

8. Para cada diretório na hierarquia /etc/netboot, altere as permissões para 700.

   # chmod 700 /etc/netboot/dir-name

   dir-name

   Especifica o nome de um diretório na hierarquia /etc/netboot

Exemplo 12–4 Criando a hierarquia /etc/netboot no servidor de inicialização WAN

O exemplo a seguir mostra como criar a hierarquia /etc/netboot para o cliente 010003BA152A42 na subrede 192.168.198.0. Neste exemplo, o usuário nobody e o grupo admin são proprietários do processo do servidor web.

Os comandos neste exemplo realizam as tarefas a seguir.

• Crie o diretório /etc/netboot.

• Altere a permissão do diretório /etc/netboot para 700.

• Altere a propriedade do diretório /etc/netboot para o proprietário do processo do servidor web.

• Assuma a mesma função de usuário que o usuário do servidor web.

• Crie um subdiretório de /etc/netboot que seja nomeado a partir da subrede (192.168.198.0).

• Crie um subdiretório do diretório de subrede que seja nomeado de acordo com a ID do cliente.

• Altere a permissão dos subdiretórios de /etc/netboot para 700.

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Continuando a instalação da inicialização WAN

Depois de criar a hierarquia /etc/netboot, é necessário copiar o programa inicialização WAN CGI para o servidor de inicialização WAN. Para instruções, consulte Copiando o programa CGI de inicialização WAN para o servidor de inicialização WAN.

Consulte também

Para informações de planejamento detalhado sobre como projetar a hierarquia /etc/netboot , consulte Armazenando informações de configuração e segurança na hierarquia /etc/netboot.

Copiando o programa CGI de inicialização WAN para o servidor de inicialização WAN

O programa wanboot-cgi cria os fluxos de dados que transmitem os seguintes arquivos do servidor de inicialização WAN para o cliente.

• Programa wanboot

• Sistema de arquivos de inicialização WAN

• Miniraiz de inicialização WAN

O programa wanboot-cgi é instalado no sistema ao instalar o software versão atual do Solaris. Para permitir que o servidor de inicialização WAN utilize este programa, copie-o para o diretório cgi-bin do servidor de inicialização WAN.

Para copiar o programa wanboot-cgi para o servidor de inicialização WAN

1. Torne-se superusuário ou assuma uma função equivalente no servidor de inicialização WAN.

   ---

   Observação –

   Funções contêm autorizações e comandos privilegiados. Para mais informações sobre funções, consulte Configuring RBAC (Task Map) no System Administration Guide: Security Services.

   ---

2. Copie o programa wanboot-cgi para o servidor de inicialização WAN.

   # cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi

   /WAN-server-root

   Especifica o diretório raiz do software do servidor web no servidor de inicialização WAN

3. No servidor de inicialização WAN, altere as permissões do programa CGI para 755.

   # chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi

Continuando a instalação da inicialização WAN

Depois de copiar o programa CGI de inicialização WAN para o servidor de inicialização WAN, é possível, opcionalmente, definir um servidor de registro. Para instruções, consulte (Opcional) Para configurar o servidor de registro de inicialização WAN.

Se não desejar definir um servidor de registro separado, consulte (Opcional) Protegendo dados utilizando HTTPS para obter instruções sobre como definir os recursos de segurança de uma instalação com inicialização WAN.

Consulte também

Para informações de visão geral sobre o programa wanboot-cgi, consulte O que é inicialização WAN?.

(Opcional) Para configurar o servidor de registro de inicialização WAN

Por padrão, todas as mensagens de registro de inicialização WAN são exibidas no sistema cliente. O comportamento padrão permite que você depure rapidamente quaisquer problemas de instalação.

Se quiser registrar informações de login de inicialização e instalação em um sistema que não seja o cliente, é necessário configurar um servidor de registro. Se quiser utilizar um servidor de registro com HTTPS durante a instalação, é necessário configurar o servidor de inicialização WAN como o servidor de registro.

Para configurar o servidor de registro, siga as etapas abaixo.

1. Copie o script bootlog-cgi para o diretório de script CGI do servidor de registro.

   # cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin

   log-server-root/cgi-bin

   Especifica o diretório cgi-bin no diretório do servidor web do servidor de registro

2. Altere as permissões do script bootlog-cgi para 755.

   # chmod 755 log-server-root/cgi-bin/bootlog-cgi

3. Defina o valor do parâmetro boot_logger no arquivo wanboot.conf.

   No arquivo wanboot.conf, especifique a URL do script bootlog-cgi no servidor de registro.

   Para mais informações sobre a definição de parâmetros no arquivo wanboot.conf , consulte Para criar o arquivo wanboot.conf.

   Durante a instalação, as mensagens de registro de instalação e inicialização são registradas no diretório /tmp do servidor de registro. O arquivo de registro é chamado bootlog.hostname, onde hostname é o nome de host do cliente.

Exemplo 12–5 Configurando um servidor de registro para instalação com inicialização WAN com HTTPS

O exemplo a seguir configura o servidor de inicialização WAN como um servidor de registro.

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Continuando a instalação da inicialização WAN

Depois de configurar o servidor de registro, é possível opcionalmente configurar a instalação com WAN para utilizar certificados digitais e chaves de segurança. Consulte (Opcional) Protegendo dados utilizando HTTPS para obter instruções sobre como configurar os recursos de segurança de uma instalação com inicialização WAN.

(Opcional) Protegendo dados utilizando HTTPS

Para proteger seus dados durante a transferência do servidor de inicialização WAN para o cliente, é possível utilizar HTTP com Secure Sockets Layer (HTTPS). Para utilizar a configuração de instalação mais segura que é descrita em Configuração de instalação de segurança inicialização WAN, é necessário ativar seu navegador da web para utilizar HTTPS.

Se não desejar realizar uma inicialização WAN segura, ignore os procedimentos desta seção. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Para permitir que o software do servidor web no servidor de inicialização WAN utilize HTTPS, é necessário realizar as tarefas a seguir.

• Ative o suporte a Secure Sockets Layer (SSL) no software de seu servidor web.

  Os processos para ativar o suporte a SSL e autenticação de clientes varia de acordo com o servidor web. Este documento não descreve como ativar estes recursos de segurança em seu servidor web. Para informações sobre este recurso, consulte a documentação a seguir.

  • Para informações sobre a ativação do SSL nos servidores web SunONE e iPlanet, consulte as coleções de documentação do SunONE e do iPlanet em http://docs.sun.com.

  • Para informações sobre a ativação do SSL no servidor web Apache, consulte o Projeto de Documentação do Apache em http://httpd.apache.org/docs-project/ .

  • Se estiver utilizando um software de servidor web que não esteja na lista anterior, consulte a documentação do software de seu servidor web.

• Instale certificados digitais no servidor de inicialização WAN.

  Para informações sobre o uso de certificados digitais com o inicialização WAN, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.

• Forneça um certificado confiável ao cliente.

  Para instruções sobre como criar um certificado confiável, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.

• Crie uma chave de hashing e uma chave de criptografia.

  Para instruções sobre como criar chaves, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

• (Opcional) Configure o software do servidor web para suportar autenticação de cliente.

  Para informações sobre como configurar seu servidor web para suportar autenticação de cliente, consulte a documentação de seu servidor web.

Esta seção descreve como utilizar certificados digitais e chaves em sua instalação com inicialização WAN.

(Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente

O método de instalação com inicialização WAN pode utilizar arquivos PKCS#12 para realizar uma instalação com HTTPS com autenticação de servidor ou de cliente e servidor. Para ver os requisitos e orientações sobre o uso de arquivos PKCS#12, consulte Requisitos dos certificados digitais.

Para utilizar um arquivo PKCS#12 em uma instalação com inicialização WAN, realize as tarefas a seguir.

• Divida o arquivo PKCS#12 em arquivos SSL separados de chave privada e certificado confiável.

• Insira o certificado confiável no arquivo truststore do cliente na hierarquia /etc/netboot. O certificado confiável instrui o cliente a confiar no servidor.

• (Opcional) Insira o conteúdo do arquivo da chave privada de SSL no arquivo keystore do cliente na hierarquia /etc/netboot .

O comando wanbootutil fornece opções para realizar as tarefas na lista anterior.

Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Siga estas etapas para criar um certificado confiável e uma chave privada de cliente.

Antes de começar

Antes de dividir um arquivo PKCS#12, crie os subdiretórios apropriados da hierarquia /etc/netboot no servidor de inicialização WAN.

• Para informações de visão geral que descreva a hierarquia /etc/netboot , consulte Armazenando informações de configuração e segurança na hierarquia /etc/netboot.

• Para instruções sobre como criar a hierarquia /etc/netboot , consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.

1. Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.

2. Extraia o certificado confiável do arquivo PKCS#12. Insira o certificado no arquivo truststore do cliente na hierarquia /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.

   -i p12cert

   Especifica o nome do arquivo PKCS#12 a dividir.

   -t /etc/netboot/net-ip /client-ID/truststore

   Insere o certificado no arquivo truststore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.

3. (Opcional) Decida se deseja exigir autenticação do cliente.

   • Se não, vá para (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

   • Se sim, continue com as etapas a seguir.

     1. Insira o certificado de cliente no certstore do cliente.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.

        -i p12cert

        Especifica o nome do arquivo PKCS#12 a dividir.

        -c /etc/netboot/net-ip/ client-ID/certstore

        Insira o certificado de cliente no certstore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.can be a user-defined ID or the DHCP client ID.

        -k keyfile

        Especifica o nome do arquivo da chave privada SSL do cliente a criar a partir do arquivo dividido PKCS#12.

     2. Insira a chave privada no keystore do cliente.

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        Insere uma chave SSL privada no keystore do cliente

        -k keyfile

        Especifica o nome do arquivo da chave privada do cliente que foi criado na etapa anterior

        -s /etc/netboot/net-ip/ client-ID/keystore

        Especifica o caminho para o keystore do cliente

        -o type=rsa

        Especifica o tipo de chave como RSA

Exemplo 12–6 Criando um certificado confiável para autenticação do servidor

No exemplo a seguir, você utiliza um arquivo PKCS#12 pra instalar o cliente 010003BA152A42 na subrede 192.168.198.0. Esta amostra de comando extrai um certificado de um arquivo PKCS#12 chamado client.p12. O comando, então, coloca o conteúdo do certificado confiável no arquivo truststore do cliente.

Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Continuando a instalação da inicialização WAN

Depois de criar um certificado digital, crie uma chave de hashing e uma chave de criptografia. Para instruções, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.

Consulte também

Para mais informações sobre como criar certificados confiáveis, consulte a página do manual wanbootutil(1M).

(Opcional) Para criar uma chave de hashing e uma chave de criptografia

Se quiser utilizar HTTPS para transmitir seus dados, é necessário criar uma chave de hashing HMAC SHA1 e uma chave de criptografia. Se planeja instalar por uma rede semi-privada, talvez não queira criptografar os dados de instalação. É possível utilizar uma chave de hashing HMAC SHA1 para verificar a integridade do programa wanboot.

Ao utilizar o comando wanbootutil keygen, é possível gerar essas chaves e armazená-las no diretório /etc/netboot apropriado.

Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Para criar uma chave de hashing e uma chave de criptografia, siga essas etapas.

1. Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.

2. Crie uma chave mestre HMAC SHA1.

   # wanbootutil keygen -m

   keygen -m

   Cria a chave mestre HMAC SHA1 para o servidor de inicialização WAN

3. Crie a chave de hashing HMAC SHA1 para o cliente a partir da chave mestre.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   Cria a chave de hashing do cliente a partir da chave mestre.

   -o

   Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.

   (Opcional) net=net-ip

   Especifica o endereço IP da subrede do cliente. Se não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore , e poderá ser usada por todos os clientes com inicialização WAN.

   (Opcional) cid=client-ID

   Especifica a ID do cliente. A ID do cliente pode ser um valor definido pelo usuário ou a ID de cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-ip/keystore. Esta chave pode ser usada por todos os clientes com inicialização WAN na subrede net-ip.

   type=sha1

   Instrui o utilitário wanbootutil keygen a criar uma chave de hashing HMAC SHA1 para o cliente.

4. Decida se precisa criar uma chave de criptografia para o cliente.

   Você precisará criar uma chave de criptografia para realizar uma instalação com inicialização WAN com HTTPS. Antes do cliente estabelecer uma conexão HTTPS com o servidor de inicialização WAN, o servidor de inicialização WAN transmite os dados criptografados e as informações para o cliente. A chave de criptografia permite que o cliente descriptografe estas informações e utilize-as durante a instalação.

   • Se estiver realizando uma instalação mais segura WAN com HTTPS e com autenticação de servidor, continue.

   • Se só desejar verificar a integridade do programa wanboot, não é necessário criar uma chave de criptografia. Vá para a Etapa 6.

5. Crie uma chave de criptografia para o cliente.

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   Crie a chave de criptografia do cliente.

   -o

   Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.

   (Opcional) net=net-ip

   Especifica o endereço IP de rede do cliente. Se você não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore , e poderá ser usada por todos os clientes com inicialização WAN.

   (Opcional) cid=client-ID

   Especifica a ID do cliente. A ID do cliente pode ser um valor definido pelo usuário ou a ID de cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-ip/keystore. Esta chave pode ser usada por todos os clientes com inicialização WAN na subrede net-ip.

   type=key-type

   Instrui o utilitário wanbootutil keygen a criar uma chave de criptografia para o cliente. key-type pode ter um valor de 3des ou aes.

6. Instale as chaves no sistema cliente.

   Para instruções sobre como instalar chaves no cliente, consulte Instalando chaves no cliente.

Exemplo 12–7 Criando as chaves necessárias para a instalação com inicialização WAN com HTTPS

O exemplo a seguir cria uma chave mestre HMAC SHA1 para o servidor de inicialização WAN. Este exemplo também cria uma chave de hashing HMAC SHA1 e chave de criptografia 3DES para o cliente 010003BA152A42 na subrede 192.168.198.0.

Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Continuando a instalação da inicialização WAN

Depois de criar um hashing e uma chave de criptografia, será preciso criar os arquivos de instalação. Para instruções, consulte Criando os arquivos de instalação do JumpStart Personalizado.

Consulte também

Para informações de visão geral sobre chaves de hashing e chaves de criptografia, consulte Protegendo dados durante a Instalação inicialização WAN.

Para mais informações sobre como criar chaves de hashing e de criptografia, consulte a página do manual wanbootutil(1M).

Criando os arquivos de instalação do JumpStart Personalizado

A inicialização WAN realiza uma instalação do JumpStart personalizada para instalar um arquivamento do Solaris Flash no cliente. O método de instalação do JumpStart personalizado é uma interface de linha de comandos que permite instalar automaticamente vários sistemas, com base em perfis que forem criados. Os perfis definem requisitos específicos de instalação de software. Também é possível incorporar scripts de shell para incluir tarefas de pré-instalação e pós-instalação. Você escolhe quais perfis e scripts utilizar para instalação ou atualização. O método de instalação do JumpStart personalizado instala ou atualiza o sistema com base no perfil e scripts que você selecionar. Além disso, é possível utilizar um arquivo sysidcfg para especificar informações de configuração para que a instalação do JumpStart personalizado seja totalmente livre de intervenção manual.

Para preparar os arquivos do JumpStart personalizado para uma instalação com inicialização WAN, complete as tarefas a seguir.

• Para criar um arquivamento Solaris Flash

• Para criar o arquivo sysidcfg

• Para criar o arquivo rules

• Para criar o perfil

• (Opcional) Criando scripts de início e de finalização

Para informações detalhadas sobre o método de instalação do JumpStart personalizado, consulte Capítulo 2, Personalização do JumpStart (visão geral), no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

Para criar um arquivamento Solaris Flash

O recurso de instalação Solaris Flash permite utilizar uma única instalação de referência do Solaris SO em um sistema, que é chamado de sistema mestre. É possível, então, criar um arquivamento do Solaris Flash, que é a imagem de uma réplica do sistema mestre. É possível instalar o arquivamento do Solaris Flash em outros sistemas na rede criando sistemas clone.

Esta seção descreve como criar um arquivamento do Solaris Flash.

Antes de começar

• Antes de criar um arquivamento do Solaris Flash, é necessário primeiro instalar o sistema mestre.

  • Para informações sobre a instalação de um sistema mestre, consulte Instalando o sistema mestre no Oracle Guia de instalação Solaris 10 9/10: arquivos Solaris Flash (criação e instalação).

  • Para informações detalhadas sobre arquivamentos do Solaris Flash, consulte Capítulo 1, Solaris Flash (Visão geral), no Oracle Guia de instalação Solaris 10 9/10: arquivos Solaris Flash (criação e instalação).

• Problemas com tamanho de arquivos:

  Verifique a documentação do software de seu servidor web para ver se o software pode transmitir arquivos que sejam do tamanho de um arquivamento do Solaris Flash.

  • Verifique a documentação do software de seu servidor web para ver se o software pode transmitir arquivos que sejam do tamanho de um arquivamento do Solaris Flash.

  • O comando flarcreate não tem mais limitações de tamanho em arquivos individuais. É possível criar um arquivamento Solaris Flash que contenha arquivos individuais acima de 4 GB.

    Para mais informações, consulte Criando um arquivo que contém arquivos grandes no Oracle Guia de instalação Solaris 10 9/10: arquivos Solaris Flash (criação e instalação).

1. Inicialize o sistema mestre.

   Execute o sistema mestre como inativo assim que possível. Quando possível, execute o sistema em modo de usuário único. Se isto não for possível, finalize qualquer aplicativo que deseja arquivar e quaisquer aplicativos que exijam recursos extensivos do sistema operacional.

2. Para criar o arquivamento, utilize o comando flarcreate .

   # flarcreate -n name [optional-parameters] document-root/flash/filename

   name

   O nome dado ao arquivamento. O name que for especificado será o valor da palavra-chave content_name.

   optional-parameters

   É possível utilizar várias opções no comando flarcreate para personalizar seu arquivamento do Solaris Flash. Para descrições detalhadas destas opções, consulte Capítulo 6, Solaris Flash (referência), no Oracle Guia de instalação Solaris 10 9/10: arquivos Solaris Flash (criação e instalação).

   document-root/flash

   O caminho para o subdiretório do Solaris Flash do diretório raiz de documentos do servidor de instalação.

   filename

   O nome do arquivamento.

   Para conservar espaço em disco, talvez queira utilizar a opção -c do comando flarcreate para compactar o arquivamento. No entanto, um arquivo compactado poderá afetar o desempenho de sua instalação com inicialização WAN. Para mais informações sobre a criação de um arquivamento compactado, consulte a página do manual flarcreate(1M).

   • Se a criação do arquivamento for bem sucedida, o comando flarcreate retornará um código de saída 0.

   • Se a criação do arquivamento falhar, o comando flarcreate retornará um código de saída diferente de zero.

Exemplo 12–8 Criando um arquivamento do Solaris Flash para uma instalação com inicialização WAN

Neste exemplo, você criará seu arquivamento do Solaris Flash colocando o sistema do servidor de inicialização WAN com o nome de host wanserver. O arquivamento é chamado sol_10_sparc, e é copiado de forma exata a partir do sistema mestre. O arquivamento é uma duplicação exata do sistema mestre. O arquivamento é armazenado em sol_10_sparc.flar. Você salva o arquivamento no subdiretório flash/archives do diretório raiz de documentos no servidor de inicialização WAN.

wanserver# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Continuando a instalação da inicialização WAN

Depois de criar o arquivamento do Solaris Flash, pré-configure as informações do cliente no arquivo sysidcfg. Para instruções, consulte Para criar o arquivo sysidcfg.

Consulte também

Para instruções detalhadas sobre como criar o arquivamento do Solaris Flash, consulte Capítulo 3, Criando arquivos Solaris Flash (tarefas), no Oracle Guia de instalação Solaris 10 9/10: arquivos Solaris Flash (criação e instalação).

Para mais informações sobre o comando flarcreate, consulte a página do manual flarcreate(1M).

Para criar o arquivo sysidcfg

É possível especificar um conjunto de palavras-chave no arquivo sysidcfg para pré-configurar um sistema.

Para criar o arquivo sysidcfg, siga estas etapas.

Antes de começar

Crie um arquivamento Solaris Flash. Consulte Para criar um arquivamento Solaris Flash para obter instruções detalhadas.

1. Crie um arquivo chamado sysidcfg em um editor de texto no servidor de instalação.

2. Digite as palavras-chave sysidcfg que desejar.

   Para informações detalhadas sobre as palavras-chave sysidcfg, consulte Palavras-chave de arquivo sysidcfg.

3. Salve o arquivo sysidcfg em um local que seja acessível ao servidor de inicialização WAN.

   Salve o arquivo em um dos seguintes locais.

   • Se o servidor de inicialização WAN e o servidor de instalação estiverem na mesma máquina, salve este arquivo no diretório flash do diretório raiz de documentos no servidor de inicialização WAN.

   • Se o servidor de inicialização WAN e o servidor de instalação não estiverem na mesma máquina, salve este arquivo no subdiretório flash do diretório raiz de documentos do servidor de instalação.

Exemplo 12–9 Arquivo sysidcfg para a instalação com inicialização WAN

A seguir está um exemplo de um arquivo sysidcfg para um sistema com base em SPARC. O nome de host, o endereço IP e a máscara deste sistema foram pré-configurados editando o serviço de identificação.

network_interface=primary {hostname=wanclient
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none

Continuando a instalação da inicialização WAN

Depois de criar o arquivo sysidcfg, crie um perfil de JumpStart personalizado para o cliente. Para instruções, consulte Para criar o perfil.

Consulte também

Para informações mais detalhadas sobre as palavras-chave e valores do sysidcfg, consulte Pré-configurando com o arquivo sysidcfg.

Para criar o perfil

Um perfil é um arquivo de texto que instrui o programa JumpStart personalizado sobre como instalar o software Solaris em um sistema. Um perfil define elementos da instalação, por exemplo, o grupo de software a instalar.

Para informações detalhadas sobre como criar perfis, consulte Criando um perfil no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

Para criar o perfil, siga estas etapas.

Antes de começar

Crie o arquivo sysidcfg para o cliente. Consulte Para criar o arquivo sysidcfg para obter instruções detalhadas.

1. Crie um arquivo texto no servidor de instalação. Nomeie o arquivo descritivamente.

   Garanta que o nome do perfil reflete a forma como tenciona usá-lo para instalar o software Solaris em um sistema. Por exemplo, é possível nomear os perfis basic_install, eng_profile ou user_profile.

2. Adicione palavras-chave de perfil e valores ao perfil.

   Para uma lista de palavras-chave e valores de perfil, consulte Palavras-chave e valores de perfil no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

   Palavras-chave e valores de perfil diferenciam maiúsculas e minúsculas.

3. Salve o perfil em um local que seja acessível ao servidor de inicialização WAN.

   Salve o perfil em um dos locais a seguir.

   • Se o servidor de inicialização WAN e o servidor de instalação estiverem na mesma máquina, salve este arquivo no diretório flash do diretório raiz de documentos no servidor de inicialização WAN.

   • Se o servidor de inicialização WAN e o servidor de instalação não estiverem na mesma máquina, salve este arquivo no subdiretório flash do diretório raiz de documentos no servidor de inicialização WAN.

4. Assegure-se de que o root é proprietário do perfil e que as permissões estejam definidas como 644.

5. (Opcional) Teste o perfil.

   Testando um perfil no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas contém informações sobre o teste de perfis.

Exemplo 12–10 Recuperando um arquivamento Solaris Flash de um servidor HTTP seguro

No exemplo a seguir, o perfil indica que o programa JumpStart personalizado recupera o arquivamento do Solaris Flash a partir de um servidor HTTP seguro.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

A lista a seguir descreve algumas das palavras-chave e valores deste exemplo.

install_type

O perfil instala um arquivamento Solaris Flash no sistema clone. Todos os arquivos são substituídos como em uma instalação inicial.

archive_location

O arquivamento Solaris Flash compactado é recuperado de um servidor HTTP seguro.

partitioning

As fatias do sistema de arquivo são determinadas pelas palavras-chave de filesys , valor explicit. O tamanho da raiz (/) é baseado no tamanho do arquivamento do Solaris Flash. O tamanho do swap é definido para o tamanho necessário e é instalado em c0t1d0s1. /export/home é baseado no espaço em disco remanescente. /export/home é instalado em c0t1d0s7.

Continuando a instalação da inicialização WAN

Depois de criar um perfil, é necessário criar e validar o arquivo rules . Para instruções, consulte Para criar o arquivo rules.

Consulte também

Para mais informações sobre como criar um perfil, consulte Criando um perfil no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

Para informações mais detalhadas sobre palavras-chave e valores de perfil, consulte Palavras-chave e valores de perfil no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

Para criar o arquivo rules

O arquivo rules é um arquivo de texto que contém uma regra para cada grupo de sistemas no qual deseja instalar o Solaris SO. Cada regra distingue um grupo de sistemas com base em um ou mais atributos de sistema. Cada regra também vincula cada grupo a um perfil. Um perfil é um arquivo texto que define como o software Solares será instalado em cada sistema no grupo. Por exemplo, a regra a seguir especifica que o programa JumpStart utilize as informações no perfil basic_prof para instalar qualquer sistema com o grupo de plataforma sun4u.

karch sun4u - basic_prof -

O arquivo rules é utilizado para criar o arquivo rules.ok , que é necessário para instalações do JumpStart personalizado.

Para informações detalhadas sobre como criar um arquivo rules, consulte Criando o arquivo regras no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

Para criar o arquivo rules, siga estas etapas.

Antes de começar

Crie o perfil para o cliente. Consulte Para criar o perfil para obter instruções detalhadas.

1. No servidor de instalação, crie um arquivo texto chamado rules .

2. Adicione uma regra no arquivo rules para cada grupo de sistemas que deseja instalar.

   Para informações detalhadas sobre como criar um arquivo rules, consulte Criando o arquivo regras no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

3. Salve o arquivo rules no servidor de instalação.

4. Valide o arquivo rules.

   $ ./check -p path -r file-name

   -p path

   Valida o rules utilizando o script de verificação a partir da imagem do software versão atual do Solaris, em vez do script de verificação script do sistema que estiver utilizando. path é a imagem em um disco local ou um Solaris DVD ou um CD Software Solaris - 1 montados.

   Utilize esta opção para executar a versão mais recente do check se seu sistema estiver executando uma versão anterior do Solaris SO.

   -r file_name

   Especifica um arquivo rules que não seja o arquivo chamado rules. Ao utilizar esta opção, é possível testar a validade de uma regra antes de integrá-la ao arquivo rules.

   À medida que o script check é executado, ele reporta a verificação da validade do arquivo rules e de cada perfil. Se nenhum erro for encontrado, o script reporta: The custom JumpStart configuration is ok. O script check cria o arquivo rules.ok.

5. Salve o arquivo rules.ok em um local que seja acessível ao servidor de inicialização WAN.

   Salve o arquivo em um dos seguintes locais.

   • Se o servidor de inicialização WAN e o servidor de instalação estiverem na mesma máquina, salve este arquivo no diretório flash do diretório raiz de documentos no servidor de inicialização WAN.

   • Se o servidor de inicialização WAN e o servidor de instalação não estiverem na mesma máquina, salve este arquivo no subdiretório flash do diretório raiz de documentos no servidor de inicialização WAN.

6. Assegure-se de que o rootseja proprietário de rules.ok e que as permissões estejam definidas como 644.

Exemplo 12–11 Criando e validando o arquivo rules

Os programas do JumpStart personalizado utilizam o arquivo rules para selecionar o perfil correto de instalação para o sistema wanclient-1. Crie um arquivo texto chamado rules. A seguir, adicione palavras-chave e valores a este arquivo.

O endereço IP do sistema cliente é 192.168.198.210, e a subrede é 255.255.255.0. Utilize a palavra-chave de regra network para especificar o perfil que os programas do JumpStart personalizado deverão utilizar para instalar o cliente.

network 192.168.198.0 - wanclient_prof - 

Este arquivo rules instrui os programas do JumpStart personalizado a utilizar o wanclient_prof para instalar o software versão atual do Solaris no cliente.

Nomeie este arquivo de regras wanclient_rule.

Depois de criar o perfil e o arquivo rules, execute o script check para verificar se os arquivos são válidos.

wanserver# ./check -r wanclient_rule

Se o script check não encontrar nenhum erro, ele criará o arquivo rules.ok.

Salve o arquivo rules.ok no diretório /opt/apache/htdocs/flash/ .

Continuando a instalação da inicialização WAN

Depois de criar o arquivo rules.ok, é possível definir opcionalmente scripts de início e de finalização para sua instalação. Para instruções, consulte (Opcional) Criando scripts de início e de finalização.

Se não desejar configurar scripts de início e finalização, consulte Criando os arquivos de configuração para continuar com a instalação com inicialização WAN.

Consulte também

Para mais informações sobre como criar um arquivo rules, consulte Criando o arquivo regras no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

Para informações detalhadas sobre palavras-chave e valores do arquivo rules, consulte Palavras-chave e valores de regras no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

(Opcional) Criando scripts de início e de finalização

Scripts de início e finalização são scripts de shell Bourne definidos pelo usuário que você especifica no arquivo rules. Um script de início realiza tarefas antes do software Solaris ser instalado em um sistema. Um script de finalização realiza tarefas depois que o software Solaris for instalado em um sistema, mas antes que o sistema seja reinicializado. É possível utilizar esses scripts somente ao utilizar o JumpStart personalizado para instalar o Solaris.

É possível utilizar scripts de início para criar perfis derivados. Scripts de finalização permitem realizar várias tarefas pós-instalação, como adicionar arquivos, pacotes, correções ou software adicional.

É necessário armazenar os scripts de início e de finalização no mesmo diretório que os arquivos sysidcfg, rules.ok e de perfil no servidor de instalação.

• Para mais informações sobre a criação de scripts de início, consulte Criando scripts iniciais no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

• Para mais informações sobre a criação de scripts de finalização, consulte Criando script finais no Guia de instalação do Oracle Solaris 10 9/10: instalação JumpStart personalizada e instalações avançadas.

Para continuar a preparação de sua instalação com inicialização WAN, consulte Criando os arquivos de configuração.

Criando os arquivos de configuração

A inicialização WAN utiliza os seguintes arquivos para especificar o local dos dados e arquivos que são necessários para uma instalação com inicialização WAN.

• Arquivo de configuração do sistema (system.conf)

• Arquivo wanboot.conf

Esta seção descreve como criar e armazenar esses dois arquivos.

Para criar o arquivo de configuração do sistema

No arquivo de configuração do sistema, é possível direcionar os programas de instalação com inicialização WAN para os seguintes arquivos.

• Arquivo sysidcfg

• Arquivo rules.ok

• Perfil do JumpStart personalizado

A inicialização WAN segue os ponteiros no arquivo de configuração do sistema para instalar e configurar o cliente.

O arquivo de configuração do sistema é um arquivo de texto simples e deve ser formatado no padrão a seguir.

setting=value

Para utilizar um arquivo de configuração do sistema para direcionar os programas de instalação WAN para os arquivos sysidcfg, rules.ok e de perfil, siga essas etapas.

Antes de começar

Antes de criar o arquivo de configuração do sistema, é necessário criar os arquivos de instalação para sua instalação com inicialização WAN. Consulte Criando os arquivos de instalação do JumpStart Personalizado para obter instruções detalhadas.

1. Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.

2. Crie um arquivo texto. Nomeie o arquivo descritivamente, por exemplo, sys-conf.s10-sparc.

3. Adicione as seguintes entradas no arquivo de configuração do sistema.

   SsysidCF=sysidcfg-file-URL

   Esta configuração aponta para o diretório flash no servidor de instalação que contém o arquivo sysidcfg. Assegure-se de que esta URL corresponde ao caminho para o arquivo sysidcfg que foi criado em Para criar o arquivo sysidcfg.

   Para instalações WAN que usem HTTPS, defina o valor para uma URL HTTPS válida.

   SjumpsCF=jumpstart-files-URL

   Esta configuração aponta para o diretório do Solaris Flash no servidor de instalação que contém o arquivo rules.ok, arquivo de perfil e scripts de início e finalização. Assegure-se de que esta URL corresponde ao caminho para os arquivos do JumpStart personalizado que foi criado em Para criar o perfil e Para criar o arquivo rules.

   Para instalações WAN que usem HTTPS, defina o valor para uma URL HTTPS válida.

4. Salve o perfil em um diretório que seja acessível ao servidor de inicialização WAN.

   Para fins de administração, talvez você queira salvar o arquivo no diretório apropriado do cliente no diretório /etc/netboot no servidor de inicialização WAN.

5. Altere as permissões no arquivo de configuração do sistema para 600.

   # chmod 600 /path/system-conf-file

   path

   Especifica o caminho para o diretório que contém o arquivo de configuração do sistema.

   system-conf-file

   Especifica o nome do arquivo de configuração do sistema.

Exemplo 12–12 Arquivo de configuração do sistema para instalação com inicialização WAN com HTTPS

No exemplo a seguir, os programas com inicialização WAN verificam os arquivos sysidcfg e do JumpStart personalizado no servidor web https://www.example.com na porta 1234. O servidor web utiliza HTTP seguro para criptografar dados e arquivos durante a instalação.

Os arquivos sysidcfg e do JumpStart personalizado estão localizados no subdiretório flash do diretório raiz de documentos /opt/apache/htdocs.

SsysidCF=https://www.example.com:1234/flash
SjumpsCF=https://www.example.com:1234/flash

Exemplo 12–13 Arquivo de configuração do sistema para instalação não segura com inicialização WAN

No exemplo a seguir, os programas com inicialização WAN verificam os arquivos sysidcfg e do JumpStart personalizado no servidor web http://www.example.com . O servidor web utiliza HTTP, portanto os dados e arquivos não são protegidos durante a instalação.

Os arquivos sysidcfg e do JumpStart personalizado estão localizados no subdiretório flash do documento raiz de documentos /opt/apache/htdocs.

SsysidCF=http://www.example.com/flash
SjumpsCF=http://www.example.com/flash

Continuando a instalação da inicialização WAN

Depois de criar o arquivo de configuração do sistema, crie o arquivo wanboot.conf . Para instruções, consulte Para criar o arquivo wanboot.conf.

Para criar o arquivo wanboot.conf

O arquivo wanboot.conf é um arquivo de configuração de texto simples que os programas com inicialização WAN utilizam para realizar uma instalação WAN. O programa wanboot-cgi, o sistema de arquivos de inicialização e a miniraiz de inicialização WAN utilizam as informações incluídas no arquivo wanboot.conf para instalar a máquina cliente.

Salve o arquivo wanboot.conf no subdiretório apropriado do cliente na hierarquia /etc/netboot do servidor de inicialização WAN. Para informações sobre como definir o escopo de sua instalação com inicialização WAN com a hierarquia /etc/netboot, consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.

Se o servidor de inicialização WAN estiver executando o versão atual do Solaris, uma amostra do arquivo wanboot.conf está localizada em /etc/netboot/wanboot.conf.sample. É possível utilizar esta amostra como um modelo para sua instalação com inicialização WAN.

É necessário incluir as seguintes informações no arquivo wanboot.conf.

Você especifica estas informações listando parâmetros com valores associados no formato a seguir.

parameter=value

Para informações detalhadas sobre os parâmetros e sintaxe do arquivo wanboot.conf, consulte wanboot.conf Parâmetros de arquivos e sintaxe.

Para criar o arquivo wanboot.conf, siga estas etapas.

1. Assuma a mesma função de usuário que o usuário do servidor web no servidor de inicialização WAN.

2. Crie o arquivo de texto wanboot.conf.

   É possível criar um novo arquivo de texto chamado wanboot.conf ou utilizar o arquivo de amostra localizado em /etc/netboot/wanboot.conf.sample . Se você utilizar o arquivo de amostra, renomeie o arquivo wanboot.conf depois de adicionar parâmetros.

3. Digite os parâmetros e valores do wanboot.conf para sua instalação.

   Para descrições detalhadas dos parâmetros e valores dowanboot.conf , consulte wanboot.conf Parâmetros de arquivos e sintaxe.

4. Salve o arquivo wanboot.conf no subdiretório apropriado da hierarquia /etc/netboot.

   Para informações sobre como criar a hierarquia /etc/netboot, consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.

5. Valide o arquivo wanboot.conf .

   # bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf

   path-to-wanboot.conf

   Especifica o caminho para o arquivo wanboot.conf do cliente no servidor de inicialização WAN

   • Se o arquivo wanboot.conf for estruturalmente válido, o comando bootconfchk retorna um código de saída 0.

   • Se o arquivo wanboot.conf for inválido, o comando bootconfchk retorna um código de saída diferente de zero.

6. Altere as permissões no arquivo wanboot.conf para 600.

   # chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf

Exemplo 12–14 Arquivo wanboot.conf para instalação com inicialização WAN com HTTPS

O exemplo a seguir do arquivo wanboot.conf inclui informações de configuração para uma instalação WAN que utiliza HTTP seguro. O arquivo wanboot.conf também indica que uma chave de criptografia 3DES é usada nesta instalação.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Este arquivo wanboot.conf especifica a configuração a seguir.

boot_file=/wanboot/wanboot.s10_sparc

O programa de inicialização de segundo nível é chamado wanboot.s10_sparc . Este programa está localizado no diretório /wanboot no diretório raiz de documentos do servidor de inicialização WAN.

root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi

O local do programa wanboot-cgi no servidor de inicialização WAN é https://www.example.com:1234/cgi-bin/wanboot-cgi . A porção https da URL indica que esta instalação com inicialização WAN utiliza HTTP seguro.

root_file=/miniroot/miniroot.s10_sparc

A miniraiz de inicialização WAN é chamada miniroot.s10_sparc. Esta miniraiz está localizada no diretório /miniroot no diretório raiz de documentos do servidor de inicialização WAN.

signature_type=sha1

O programa wanboot.s10_sparc e o sistema de arquivos de inicialização WAN são assinados com uma chave de hashing HMAC SHA1.

encryption_type=3des

O programa wanboot.s10_sparc e o sistema de arquivos de inicialização são criptografados com uma chave 3DES.

server_authentication=yes

O servidor é autenticado durante a instalação.

client_authentication=no

O cliente não autenticado durante a instalação.

resolve_hosts=

Nenhum nome adicional de host é necessário para realizar a instalação WAN. Todos os arquivos e informações estão localizados no diretório raiz de documentos no servidor de inicialização WAN.

boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi

(Opcional) Mensagens de registro de inicialização e instalação são registradas no servidor de inicialização WAN utilizando HTTP seguro.

Para instruções sobre como utilizar um servidor de registro para sua instalação com inicialização WAN, consulte (Opcional) Para configurar o servidor de registro de inicialização WAN.

system_conf=sys-conf.s10–sparc

O arquivo de configuração do sistema que contém os locais dos arquivos sysidcfg e do JumpStart está localizado em um subdiretório da hierarquia /etc/netboot. O arquivo de configuração do sistema é chamado sys-conf.s10–sparc.

Exemplo 12–15 Arquivo wanboot.conf para instalação não segura com inicialização WAN

O exemplo a seguir do arquivo wanboot.conf inclui informações de configuração para uma instalação menos segura com inicialização WAN que utiliza HTTP seguro. Este arquivo wanboot.conf também indica que a instalação não utiliza uma chave de criptografia ou de hashing.

boot_file=/wanboot/wanboot.s10_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Este arquivo wanboot.conf especifica a configuração a seguir.

boot_file=/wanboot/wanboot.s10_sparc

O programa de inicialização de segundo nível é chamado wanboot.s10_sparc . Este programa está localizado no diretório /wanboot no diretório raiz de documentos do servidor de inicialização WAN.

root_server=http://www.example.com/cgi-bin/wanboot-cgi

O local do programa wanboot-cgi no servidor de inicialização WAN é http://www.example.com/cgi-bin/wanboot-cgi. Esta instalação não utiliza HTTP seguro.

root_file=/miniroot/miniroot.s10_sparc

A miniraiz de inicialização WAN é chamada miniroot.s10_sparc. Esta miniraiz está localizada no subdiretório /miniroot no diretório raiz de documentos do servidor de inicialização WAN.

signature_type=

O programa wanboot.s10_sparc e o sistema de arquivos de inicialização WAN não são assinados com uma chave de hashing.

encryption_type=

O programa wanboot.s10_sparc e o sistema de arquivos de inicialização não são criptografados.

server_authentication=no

O servidor não é autenticado com chaves ou certificados durante a instalação.

client_authentication=no

O cliente não é autenticado com chaves ou certificados durante a instalação.

resolve_hosts=

Nenhum nome adicional de host é necessário para realizar a instalação. Todos os arquivos e informações estão localizados no diretório raiz de documentos no servidor de inicialização WAN.

boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

(Opcional) Mensagens de registro de inicialização e instalação são registradas no servidor de inicialização WAN.

Para instruções sobre como utilizar um servidor de registro para sua instalação com inicialização WAN, consulte (Opcional) Para configurar o servidor de registro de inicialização WAN.

system_conf=sys-conf.s10–sparc

O arquivo de configuração do sistema que contém os locais dos arquivos sysidcfg e do JumpStart é chamado sys-conf.s10–sparc . Este arquivo está localizado no subdiretório apropriado do cliente da hierarquia /etc/netboot.

Continuando a instalação da inicialização WAN

Depois de criar o arquivo wanboot.conf, é possível opcionalmente configurar um servidor DHCP para suportar inicialização WAN. Para instruções, consulte (Opcional) Fornecendo informações de configuração com um servidor de DHCP.

Se não desejar utilizar um servidor DHCP em sua instalação com inicialização WAN, consulte Para verificar o alias do dispositivo net no OBP de cliente para continuar com a instalação com inicialização WAN.

Consulte também

Para descrições detalhadas dos parâmetros de valores do wanboot.conf, consulte wanboot.conf Parâmetros de arquivos e sintaxe e a página do manual wanboot.conf(4).

(Opcional) Fornecendo informações de configuração com um servidor de DHCP

Se você utilizar um servidor DHCP em sua rede, é possível configurar o servidor DHCP para fornecer as seguintes informações.

• Endereço IP do servidor proxy

• Localização do programa wanboot-cgi

É possível utilizar as seguintes opções de fornecedor do DHCP em sua instalação com inicialização WAN.

SHTTPproxy

Especifica o endereço IP do servidor proxy da rede

SbootURI

Especifica a URL do programa wanboot-cgi no servidor de inicialização WAN

Para informações sobre a configuração destas opções de fornecedor em um servidor Solaris DHCP, consulte Pré-configurando a informação de configuração do sistema com o serviço DHCP (tarefas).

Para informações detalhadas sobre a configuração de um servidor Solaris DHCP, consulte Capítulo 14, Configuring the DHCP Service (Tasks), no System Administration Guide: IP Services.

Para continuar com sua instalação com inicialização WAN, consulte Capítulo 13SPARC: Instalação com a inicialização WAN (tarefas).

Capítulo 13 SPARC: Instalação com a inicialização WAN (tarefas)

Este capítulo descreve como efetuar instalações de inicialização WAN em clientes com base em SPARC. Para informações sobre como se preparar para a instalação de inicialização WAN, consulte o Capítulo 12Instalando com inicialização WAN (Tarefas).

Este capítulo descreve as tarefas a seguir.

• Preparando o cliente para uma instalação de inicialização WAN

• Instalando o cliente

Mapa de tarefas: instalando um cliente com inicialização WAN

A tabela a seguir lista as tarefas necessárias para efetuar a instalação de um cliente sobre uma WAN.

Preparando o cliente para uma instalação de inicialização WAN

Antes de instalar o sistema de cliente, prepare o cliente executando as tarefas a seguir.

• Para verificar o alias do dispositivo net no OBP de cliente

• Instalando chaves no cliente

Para verificar o alias do dispositivo net no OBP de cliente

Para inicializar o cliente a partir da WAN com o comando boot net, o alias do dispositivo net deve estar definido para o dispositivo de rede primário do cliente. Na maioria dos sistemas, este alias já está definido corretamente. Entretanto, se o alias não estiver definido para o dispositivo de rede que deseja utilizar, é necessário alterar o alias.

Para obter mais informações sobre a configuração de alias de dispositivos, consulte "A árvore de dispositivos" no Manual de referência de comando OpenBoot 3.x.

Siga estas etapas para verificar o alias do dispositivo net no cliente.

1. Torne-se superusuário ou assuma uma função equivalente no cliente.

   ---

   Observação –

   Funções contêm autorizações e comandos privilegiados. Para obter mais informações sobre funções, consulte Configuring RBAC (Task Map) no System Administration Guide: Security Services.

   ---

2. Traga o sistema para execução em nível 0.

   # init 0

   O prompt ok é exibido.

3. Na solicitação ok, verifique os alias de dispositivos definidos no OBP.

   ok devalias

   O comando devalias faz a saída de informações similares ao exemplo a seguir.

   screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

   • Se o alias net estiver definido para o dispositivo de rede que deseja utilizar durante a instalação, não é necessário reconfigurar o alias. Vá para Instalando chaves no cliente para continuar a instalação.

   • Se o alias net não estiver definido para o dispositivo de rede que deseja utilizar, é necessário reconfigurar o alias. Continuar.

4. Defina o alias de dispositivo net.

   Escolha um dos comandos a seguir para configurar o alias do dispositivo net.

   • Para configurar o alias do dispositivo net para esta instalação, utilize o comando devalias.

     ok devalias net device-path

     net device-path

     Atribui o dispositivo device-path ao alias net

   • Para configurar permanentemente o alias do dispositivo net, utilize o comando nvalias.

     ok nvalias net device-path

     net device-path

     Atribui o dispositivo device-path ao alias net

Exemplo 13–1 Verificando e reconfigurando o alias do dispositivo net

O comando a seguir mostra como verificar e redefinir o alias do dispositivo net.

Verifique os alias de dispositivos.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

Se deseja utilizar o dispositivo de rede /pci@1f,0/pci@1,1/network@5,1, digite o comando a seguir.

ok devalias net /pci@1f,0/pci@1,1/network@5,1

Continuando a instalação de inicialização WAN

Depois de verificar o alias do dispositivo net , consulte a seção apropriada para continuar a instalação.

• Se estiver utilizando uma chave de hashing e uma chave de criptografia na instalação, consulte Instalando chaves no cliente.

• Se estiver efetuando uma instalação menos segura sem as chaves, consulte Instalando o cliente.

Instalando chaves no cliente

Para uma instalação de inicialização WAN segura ou uma instalação insegura com verificação da integridade de dados, é necessário instalar chaves no cliente. Ao utilizar uma chave de hashing e uma chave de criptografia, é possível proteger os dados transmitidos ao cliente. É possível instalar estas chaves das seguintes maneiras.

• Defina variáveis OBP - É possível atribuir valores de chave às variáveis do argumento de inicialização de rede OBP antes de inicializar o cliente. Estas chaves podem então ser utilizadas para instalações de inicialização futuras da WAN do cliente.

• Insira os valores chave durante o processo de inicialização - É possível definir valores de chave na solicitação wanboot programa boot>. Se utilizar este método para instalar chaves, as chaves serão utilizadas apenas para a instalação de inicialização WAN atual.

Também é possível instalar chaves no OBP de um cliente em execução. Se deseja instalar chaves em um cliente em execução, o sistema deve estar executando o Solaris 9 12/03 SO ou uma versão compatível.

Ao instalar chaves no cliente, assegure-se de que os valores de chave não sejam transmitidos através de uma conexão insegura. Siga a política de segurança do site para assegurar a privacidade dos valores de chave.

• Para instruções sobre como atribuir valores de chave para variáveis do argumento de inicialização de rede OBP, consulte Para instalar chaves no OBP de cliente.

• Para instruções sobre como instalar chaves durante o processo de inicialização, consulte Para efetuar uma instalação de inicialização interativa WAN.

• Para instruções sobre como instalar chaves no OBP de um cliente sendo executado, consulte Para instalar chaves de hashing e chaves de criptografia em um cliente sendo em execução.

Para instalar chaves no OBP de cliente

É possível atribuir valores de chave às variáveis do argumento de inicialização de rede OBP antes de inicializar o cliente. Estas chaves podem então ser utilizadas para instalações de inicialização futuras da WAN do cliente.

Para instalar chaves no OBP de cliente, siga as etapas a seguir.

Se deseja atribuir valores de chave às variáveis do argumento de inicialização de rede OBP, siga estas etapas.

1. Assuma a mesma função de usuário que o usuário do servidor da Web no servidor de inicialização WAN.

2. Exibe o valor da chave para cada chave de cliente.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   O endereço de IP da subrede do cliente.

   client-ID

   A ID do cliente que deseja instalar. A ID do cliente pode ser definida pelo usuário ou pode ser a ID do cliente de DHCP.

   key-type

   O tipo de chave que deseja instalar no cliente. Tipos de chave válidos são 3des, aes ou sha1.

   O valor hexadecimal da chave é exibido.

3. Repita a etapa anterior para cada tipo de chave de cliente que deseja instalar.

4. Traga o sistema de cliente para execução em nível 0.

   # init 0

   O prompt ok é exibido.

5. Na solicitação ok do cliente, defina o valor para cada chave de hashing.

   ok set-security-key wanboot-hmac-sha1 key-value

   set-security-key

   Instala a chave no cliente.

   wanboot-hmac-sha1

   Instrui o OBP a instalar uma chave de hashing HMAC SHA1

   key-value

   Especifica a sequência hexadecimal exibida na Etapa 2.

   A chave de hashing HMAC SHA1 é instalada no OBP de cliente.

6. Na solicitação ok do cliente, instale a chave de criptografia.

   ok set-security-key wanboot-3des key-value

   set-security-key

   Instala a chave no cliente.

   wanboot-3des

   Instrui o OBP a instalar uma chave de criptografia 3DES. Se deseja utilizar uma chave de criptografia AES, defina este valor para wanboot-aes.

   key-value

   Especifica a sequência hexadecimal que representa a chave de criptografia.

   A chave de criptografia 3DES é instalada no cliente OBP.

   Após instalar as chaves, estará tudo pronto para a instalação do cliente. Consulte Instalando o cliente para obter instruções sobre como instalar o sistema de cliente.

7. (Opcional) Verifique se as chaves estão definidas no OBP de cliente.

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (Opcional) Se for necessário excluir uma chave, digite o comando a seguir.

   ok set-security-key key-type

   key-type

   Especifica o tipo de chave que precisa ser excluída. Utilize o valor wanboot-hmac-sha1, wanboot-3des ou wanboot-aes.

Exemplo 13–2 Instalando chaves no OBP de cliente

O exemplo a seguir mostra como instalar chaves de hashing e chaves de criptografia no OBP de cliente.

Exibe os valores de chave no servidor de inicialização WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

O exemplo anterior utiliza as informações a seguir.

net=192.168.198.0

Especifica o endereço de IP da subrede do cliente

cid=010003BA152A42

Especifica a ID do cliente

b482aaab82cb8d5631e16d51478c90079cc1d463

Especifica o valor da chave de hashing HMAC SHA1 do cliente

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Especifica o valor da chave de criptografia 3DES do cliente

Se utilizar uma chave de criptografia AES na instalação, altere wanboot-3des para wanboot-aes a fim de exibir o valor da chave de criptografia.

Instale as chaves no sistema de cliente.

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Os comandos anteriores executam as tarefas a seguir.

• Instala a chave de hashing HMAC SHA1 com o valor b482aaab82cb8d5631e16d51478c90079cc1d463 no cliente

• Instala a chave de criptografia 3DES com o valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 no cliente

  Se utilizar uma chave de criptografia AES na instalação, altere wanboot-3des para wanboot-aes.

Continuando a instalação de inicialização WAN

Após instalar chaves no cliente, você estará pronto para instalar o cliente sobre a WAN. Para instruções, consulte Instalando o cliente.

Consulte também

Para mais informações sobre como exibir valores de chave, consulte a página do manual wanbootutil(1M).

Para instalar chaves de hashing e chaves de criptografia em um cliente sendo em execução

É possível definir valores no prompt wanboot do programa boot> em um sistema em execução. Se utilizar este método para instalar chaves, as chaves serão utilizadas apenas para a instalação de inicialização WAN atual.

Se deseja instalar uma chave de hashing e uma chave de criptografia no OBP de um cliente sendo executado, siga as estas etapas.

Antes de começar

Este procedimento pressupõe o seguinte.

• O sistema de cliente é ligado.

• O cliente é acessível através de uma conexão segura, como uma shell segura (ssh).

1. Assume a mesma função de usuário que o usuário do servidor da Web no servidor de inicialização WAN.

2. Exibe o valor da chave para as chaves de cliente.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   O endereço de IP da subrede do cliente.

   client-ID

   A ID do cliente que deseja instalar. A ID do cliente pode ser definido pelo usuário ou pode ser a ID do cliente de DHCP.

   key-type

   O tipo de chave que deseja instalar no cliente. Tipos de chave válidos são 3des, aes ou sha1.

   O valor hexadecimal da chave é exibido.

3. Repita a etapa anterior para cada tipo de chave de cliente que deseja instalar.

4. Torne-se superusuário ou assuma uma função equivalente na máquina de cliente.

   ---

   Observação –

   Funções contêm autorizações e comandos privilegiados. Para obter mais informações sobre funções, consulte Configuring RBAC (Task Map) no System Administration Guide: Security Services.

   ---

5. Instale as chaves necessárias na máquina de cliente em execução.

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   key-type

   Especifica o tipo de chave que deseja instalar no cliente. Tipos de chave válidos são 3des, aes ou sha1.

   key-value

   Especifica a sequência hexadecimal exibida na Etapa 2.

6. Repita a etapa anterior para cada tipo de chave de cliente que deseja instalar.

   Depois de instalar as chaves, está tudo pronto para a instalação do cliente. Consulte Instalando o cliente para obter instruções sobre como instalar o sistema de cliente.

Exemplo 13–3 Instalando chaves no OBP de um sistema de cliente em execução

O exemplo a seguir mostra como instalar chaves no OBP de um cliente em execução.

Exibe os valores de chave no servidor de inicialização WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

O exemplo anterior utiliza as informações a seguir.

net=192.168.198.0

Especifica o endereço de IP da subrede do cliente

cid=010003BA152A42

Especifica a ID do cliente

b482aaab82cb8d5631e16d51478c90079cc1d463

Especifica o valor da chave de hashing HMAC SHA1 do cliente

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Especifica o valor da chave de criptografia 3DES do cliente

Se utilizar uma chave de criptografia AES na instalação, altere type=3des para type=aes a fim de exibir o valor da chave de criptografia.

Instale as chaves no OBP de um cliente em execução.

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Os comandos anteriores executam as tarefas a seguir.

• Instala uma chave de hashing HMAC SHA1 com o valor b482aaab82cb8d5631e16d51478c90079cc1d463 no cliente

• Instala uma chave de criptografia 3DES com o valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 no cliente

Continuando a instalação de inicialização WAN

Após instalar chaves no cliente, você estará pronto para instalar o cliente sobre a WAN. Para instruções, consulte Instalando o cliente.

Consulte também

Para mais informações sobre como exibir valores de chave, consulte a página do manual wanbootutil(1M).

Para obter informações adicionais sobre como instalar chaves em um sistema em execução, consulte ickey(1M).

Instalando o cliente

Ao finalizar a preparação da rede para uma instalação de inicialização WAN, é possível escolher uma das maneiras a seguir para instalar o sistema.

Para efetuar uma instalação de inicialização WAN não interativa

Utilize este método de instalação se preferir instalar chaves no cliente e definir as informações de configuração do cliente antes de instalar o cliente. É possível então inicializar o cliente a partir da WAN e executar uma instalação autônoma.

Este procedimento pressupõe que as chaves já estão instaladas no OBP do cliente ou que esteja executando uma instalação não segura. Para informações sobre a instalação de chaves no cliente antes da instalação, consulte Instalando chaves no cliente.

1. Se o sistema de cliente estiver atualmente em execução, traga o dispositivo para execução em nível 0.

   # init 0

   O prompt ok é exibido.

2. No prompt ok no sistema de cliente, defina as variáveis do argumento de inicialização de rede como OBP.

   ok setenv network-boot-arguments host-ip=client-IP, router-ip=router-ip,subnet-mask=mask-value, hostname=client-name,http-proxy=proxy-ip:port, file=wanbootCGI-URL

   ---

   Observação –

   As quebras de linha nesta amostra de comando estão incluídas apenas para fins de formatação. Não insira um retorno de carro até terminar de digitar o comando.

   ---

   setenv network-boot-arguments

   Instrui o OBP a definir os argumentos de inicialização a seguir

   host-ip=client-IP

   Especifica o endereço de IP do cliente

   router-ip=router-ip

   Especifica o endereço de IP do roteador de rede

   subnet-mask=mask-value

   Especifica o valor da máscara de subrede

   hostname=client-name

   Especifica o nome de host do cliente

   (Opcional) http-proxy=proxy-ip:port

   Especifica o endereço de IP e a porta do servidor proxy da rede

   file=wanbootCGI-URL

   Especifica a URL do programa wanboot-cgi no servidor da Web

3. Inicialize o cliente.

   ok boot net - install

   net - install

   Instrui o cliente a utilizar as variáveis do argumento de inicialização de rede para inicializar a partir da WAN

   O cliente instala sobre a WAN. Se os programas de inicialização WAN não localizarem todas as informações de instalação necessárias, o programa wanboot solicita o fornecimento das informações ausentes. Digite as informações adicionais no prompt.

Exemplo 13–4 Instalação de inicialização WAN não interativa

No exemplo a seguir, as variáveis do argumento de inicialização de rede para o sistema de cliente myclient são definidas antes da inicialização da máquina. Este exemplo pressupõe que a chave de hashing e a chave de criptografia já estejam instaladas no cliente. Para obter informações sobre a instalação de chaves antes de inicializar a partir da WAN, consulte Instalando chaves no cliente.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192
hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

As variáveis a seguir são definidas.

• O endereço de IP do cliente é definido como 192.168.198.136.

• O endereço de IP do roteador do cliente é definido como 192.168.198.129.

• A máscara de subrede do cliente é definida como 255.255.255.192.

• O nome de host do cliente é definido como seahag.

• O programa wanboot-cgi está localizado em http://192.168.198.135/cgi-bin/wanboot-cgi.

Consulte também

Para mais informações sobre como definir argumentos de inicialização de rede, consulte set(1).

Para mais informações sobre a inicialização de sistemas, consulte boot(1M).

Para efetuar uma instalação de inicialização interativa WAN

Utilize este método de instalação se deseja instalar chaves e definir as informações de configuração do cliente na linha de comando durante a instalação.

Este procedimento pressupõe que você esteja utilizando HTTPS na instalação da WAN. Se estiver executando uma instalação não segura que não utiliza chaves, não exiba ou instale as chaves de cliente.

1. Assume a mesma função de usuário que o usuário do servidor da Web no servidor de inicialização WAN.

2. Exibe o valor da chave para cada chave de cliente.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   O endereço de IP da subrede para o cliente que deseja instalar.

   client-ID

   A ID do cliente que deseja instalar. A ID do cliente pode ser definido pelo usuário ou pode ser a ID do cliente de DHCP.

   key-type

   O tipo de chave que deseja instalar no cliente. Tipos de chave válidos são 3des, aes ou sha1.

   O valor hexadecimal da chave é exibido.

3. Repita a etapa anterior para cada tipo de chave de cliente sendo instalada.

4. Se o sistema de cliente estiver atualmente em execução, traga o cliente para execução em nível 0.

5. No prompt ok no sistema de cliente, defina as variáveis do argumento de inicialização de rede no OBP.

   ok setenv network-boot-arguments host-ip=client-IP,router-ip=router-ip, subnet-mask=mask-value,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

   ---

   Observação –

   As quebras de linha nesta amostra de comando estão incluídas apenas para fins de formatação. Não insira um retorno de carro até terminar de digitar o comando.

   ---

   setenv network-boot-arguments

   Instrui o OBP a definir os argumentos de inicialização a seguir

   host-ip=client-IP

   Especifica o endereço de IP do cliente

   router-ip=router-ip

   Especifica o endereço de IP do roteador de rede

   subnet-mask=mask-value

   Especifica o valor da máscara de subrede

   hostname=client-name

   Especifica o nome de host do cliente

   (Opcional) http-proxy=proxy-ip:port

   Especifica o endereço de IP e a porta do servidor proxy da rede

   bootserver=wanbootCGI-URL

   Especifica a URL do programa wanboot-cgi no servidor da Web

   ---

   Observação –

   O valor da URL para a variável bootserver deve ser uma URL de HTTPS. A URL deve começar com http://.

   ---

6. No prompt ok do cliente, inicialize o sistema.

   ok boot net -o prompt - install

   net -o prompt - install

   Instrui o cliente a inicializar e instalar a partir da rede. O programa wanboot solicita o usuário a inserir as informações de configuração do cliente no prompt boot>.

   O prompt boot> é exibido.

7. Instala a chave de criptografia.

   boot> 3des=key-value

   3des=key-value

   Especifica a sequência hexadecimal da chave 3DES exibida na Etapa 2.

   Se utilizar uma chave de criptografia AES, utilize o formato a seguir para este comando.

   boot> aes=key-value

8. Instale a chave de hashing.

   boot> sha1=key-value

   sha1=key-value

   Especifica o valor da chave de hashing exibida na Etapa 2.

9. Digite o comando a seguir para continuar o processo de inicialização.

   boot> go

   O cliente instala sobre a WAN.

10. Se solicitado, digite as informações de configuração do cliente na linha de comando.

    Se os programas de inicialização WAN não localizarem todas as informações de instalação necessárias, o programa wanboot solicita o fornecimento das informações ausentes. Digite as informações adicionais no prompt.

Exemplo 13–5 Instalação de inicialização WAN interativa

No exemplo a seguir, o programa wanboot solicita a definição dos valores de chave para o sistema de cliente durante a instalação.

Exibe os valores de chave no servidor de inicialização WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

O exemplo anterior utiliza as informações a seguir.

net=192.168.198.0

Especifica o endereço de IP da subrede do cliente

cid=010003BA152A42

Especifica a ID do cliente

b482aaab82cb8d5631e16d51478c90079cc1d463

Especifica o valor da chave de hashing HMAC SHA1 do cliente

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Especifica o valor da chave de criptografia 3DES do cliente

Se utilizar uma chave de criptografia AES na instalação, altere type=3des para type=aes a fim de exibir o valor da chave de criptografia.

Defina as variáveis do argumento de inicialização de rede no OBP do cliente.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient,
bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

As variáveis a seguir são definidas.

• O endereço de IP do cliente é definido como 192.168.198.136.

• O endereço de IP do roteador do cliente é definido como 192.168.198.129.

• A máscara de subrede do cliente é definida como 255.255.255.192.

• O nome de host do cliente é definido como myclient.

• O programa wanboot-cgi está localizado em http://192.168.198.135/cgi-bin/wanboot-cgi.

Inicialize e instale o cliente.

ok boot net -o prompt - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net -o prompt                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> go

Os comandos anteriores executam as tarefas a seguir.

• Instala a chave de criptografia 3DES com o valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 no cliente

• Instala a chave de hashing HMAC SHA1 com o valor b482aaab82cb8d5631e16d51478c90079cc1d463 no cliente

• Inicia a instalação

Consulte também

Para obter mais informações sobre como exibir valores de chave, consulte wanbootutil(1M).

Para mais informações sobre como definir argumentos de inicialização de rede, consulte set(1).

Para mais informações sobre a inicialização de sistemas, consulte boot(1M).

Para efetuar uma instalação de inicialização WAN com um servidor DHCP

Se foi configurado um servidor DHCP para oferecer suporte para as opções de inicialização WAN, é possível utilizar o servidor DHCP para fornecer informações de configuração do cliente durante a instalação. Para obter mais informações sobre a configuração de servidores DHCP para oferecerem suporte a instalações de inicialização WAN, consulte (Opcional) Fornecendo informações de configuração com um servidor de DHCP.

Este procedimento pressupõe o seguinte.

• O sistema de cliente está em execução.

• Foram instaladas chaves no cliente ou uma instalação não segura está sendo efetuada.

  Para informações sobre a instalação de chaves no cliente antes da instalação, consulte Instalando chaves no cliente.

• Foi configurado o servidor DHCP para oferecer suporte para as opções de inicialização WAN SbootURI e SHTTPproxy.

  Estas opções permitem que o servidor DHCP forneça as informações de configuração requisitadas pela inicialização WAN.

  Para informações sobre como definir opções de instalação no servidor DHCP, consulte Pré-configurando a informação de configuração do sistema com o serviço DHCP (tarefas).

1. Se o sistema de cliente estiver atualmente em execução, traga o dispositivo para execução em nível 0.

   # init 0

   O prompt ok é exibido.

2. No prompt ok no sistema de cliente, defina as variáveis do argumento de inicialização de rede como OBP.

   ok setenv network-boot-arguments dhcp,hostname=client-name

   setenv network-boot-arguments

   Instrui o OBP a definir os argumentos de inicialização a seguir

   dhcp

   Instrui o OBP a utilizar o servidor DHCP na configuração do cliente

   hostname=client-name

   Especifica o nome de host que deseja atribuir ao cliente

3. Inicialize o cliente a partir da rede.

   ok boot net - install

   net - install

   Instrui o cliente a utilizar as variáveis do argumento de inicialização de rede para inicializar a partir da WAN

   O cliente instala sobre a WAN.. Se os programas de inicialização WAN não localizarem todas as informações de instalação necessárias, o programa wanboot solicita o fornecimento das informações ausentes. Digite as informações adicionais no prompt.

Exemplo 13–6 Instalação de inicialização WAN com um servidor DHCP

No exemplo a seguir, o servidor DHCP na rede fornece as informações de configuração do cliente. O exemplo solicita o nome de host myclient para o cliente.

ok setenv network-boot-arguments dhcp, hostname=myclient

ok boot net - install
Resetting ...



Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

Consulte também

Para mais informações sobre como definir argumentos de inicialização de rede, consulte set(1).

Para mais informações sobre a inicialização de sistemas, consulte boot(1M).

Para mais informações sobre como configurar servidores DHCP, consulte (Opcional) Fornecendo informações de configuração com um servidor de DHCP.

Para efetuar instalações de inicialização WAN com a mídia do CD local

Se o OBP do cliente não oferecer suporte para a inicialização WAN, é possível instalar com o CD Software Solaris - 1 inserido na unidade de CD-ROM do cliente. Ao utilizar um CD local, o cliente recupera o programa wanboot da mídia local, em vez de recuperá-lo do servidor de inicialização WAN.

Este procedimento pressupõe que você esteja utilizando HTTPS na instalação da WAN. Se estiver executando uma instalação não segura, não exiba ou instale as chaves de cliente.

Siga estas etapas para executar uma instalação de inicialização WAN a partir de um CD local.

1. Assume a mesma função de usuário que o usuário do servidor da Web no servidor de inicialização WAN.

2. Exibe o valor da chave para cada chave de cliente.

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   O endereço de IP da rede para o cliente sendo instalado.

   client-ID

   A ID do cliente que está sendo instalado. A ID do cliente pode ser definido pelo usuário ou pode ser a ID do cliente de DHCP.

   key-type

   O tipo de chave sendo instalada no cliente. Tipos de chave válidos são 3des, aes ou sha1.

   O valor hexadecimal da chave é exibido.

3. Repita a etapa anterior para cada tipo de chave de cliente sendo instalada.

4. No sistema de cliente, insira o CD Software Solaris - 1 na unidade de CD-ROM.

5. Ligue o sistema de cliente.

6. Inicialize o cliente a partir do CD.

   ok boot cdrom -o prompt -F wanboot - install

   cdrom

   Instrui o OBP a inicializar a partir do CD-ROM local

   -o prompt

   Instrui o programa wanboot a solicitar ao usuário a inserir as informações de configuração do cliente

   -F wanboot

   Instrui o OBP a carregar o programa wanboot a partir do CD-ROM

   - install

   Instrui o cliente a executar uma instalação de inicialização WAN

   O OBP do cliente carrega o programa wanboot a partir do CD Software Solaris - 1. O programa wanboot inicializa o sistema e o prompt boot> é exibido.

7. Digite o valor da chave de criptografia.

   boot> 3des=key-value

   3des=key-value

   Especifica a sequência hexadecimal da chave 3DES exibida na etapa Etapa 2.

   Se utilizar uma chave de criptografia AES, utilize o formato a seguir para este comando.

   boot> aes=key-value

8. Digite o valor da chave de hashing.

   boot> sha1=key-value

   sha1=key-value

   Especifica a sequência hexadecimal que representa o valor da chave de hashing exibida na etapa Etapa 2.

9. Defina as variáveis da interface de rede.

   boot> variable=value[,variable=value*]

   Digite a variável e os pares de valores a seguir no prompt boot>.

   host-ip=client-IP

   Especifica o endereço de IP do cliente.

   router-ip=router-ip

   Especifica o endereço de IP do roteador de rede.

   subnet-mask=mask-value

   Especifica o valor da máscara de subrede.

   hostname=client-name

   Especifica o nome de host do cliente.

   (Opcional) http-proxy=proxy-ip:port

   Especifica o endereço de IP e o número da porta do servidor proxy da rede.

   bootserver=wanbootCGI-URL

   Especifica a URL do programa wanboot-cgi no servidor da Web.

   ---

   Observação –

   O valor da URL para a variável bootserver deve ser uma URL de HTTPS. A URL deve começar com http://.

   ---

   É possível inserir estas variáveis das maneiras a seguir.

   • Digite uma variável e um par de valores no prompt boot> e, então, pressione a tecla Retornar.

     boot> host-ip=client-IP boot> subnet-mask=mask-value

   • Digite todas as variáveis e pares de valores na linha do prompt boot>e, então, pressione a tecla Retornar. Utilize vírgulas para separar cada variável e par de valores.

     boot> host-ip=client-IP,subnet-mask=mask-value, router-ip=router-ip,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

10. Digite o comando a seguir para continuar o processo de inicialização.

    boot> go

    O cliente instala sobre a WAN. Se os programas de inicialização WAN não localizarem todas as informações de instalação necessárias, o programa wanboot solicita o fornecimento das informações ausentes. Digite as informações adicionais no prompt.

Exemplo 13–7 Instalando com a mídia do CD local

No exemplo a seguir, o programa wanboot em um CD local solicita a definição das variáveis da interface de rede para o cliente durante a instalação.

Exibe os valores de chave no servidor de inicialização WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

O exemplo anterior utiliza as informações a seguir.

net=192.168.198.0

Especifica o endereço de IP da subrede do cliente

cid=010003BA152A42

Especifica a ID do cliente

b482aaab82cb8d5631e16d51478c90079cc1d463

Especifica o valor da chave de hashing HMAC SHA1 do cliente

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Especifica o valor da chave de criptografia 3DES do cliente

Se utilizar uma chave de criptografia AES na instalação, altere type=3des para type=aes a fim de exibir o valor da chave de criptografia.

Inicialize e instale o cliente.

ok boot cdrom -o prompt -F wanboot - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot cdrom -F wanboot - install                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> host-ip=192.168.198.124

boot> subnet-mask=255.255.255.128

boot> router-ip=192.168.198.1

boot> hostname=myclient
boot> client-id=010003BA152A42

boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

boot> go

Os comandos anteriores executam as tarefas a seguir.

• Insere a chave de criptografia 3DES com o valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 no cliente

• Insere a chave de hashing HMAC SHA1 com o valor b482aaab82cb8d5631e16d51478c90079cc1d463 no cliente

• Define o endereço de IP do cliente como 192.168.198.124

• Define a máscara de subrede do cliente como 255.255.255.128

• Define o endereço de IP do roteador do cliente como 192.168.198.1

• Define o nome de host do cliente como myclient

• Define o ID do cliente como 010003BA152A42

• Define a localização do programa wanboot-cgi em http://192.168.198.135/cgi-bin/wanboot-cgi/

Consulte também

Para mais informações sobre como exibir valores de chave, consulte wanbootutil(1M).

Para mais informações sobre como definir argumentos de inicialização de rede, consulte set(1).

Para mais informações sobre a inicialização de sistemas, consulte boot(1M).

Capítulo 14 SPARC: Instalando com inicialização WAN (exemplos)

Este capítulo fornece um exemplo para configuração e instalação dos sistemas cliente através de uma rede de área ampla (WAN). Os exemplos neste capítulo descrevem como efetuar uma instalação de inicialização WAN segura através de uma conexão HTTPS.

• Exemplo de configuração do site

• Crie o diretório raiz do documento

• Crie a minirraiz de inicialização WAN

• Verifique o cliente OBP para suporte de inicialização WAN

• Instale o programa wanboot no servidor de inicialização WAN

• Crie a hierarquia /etc/netboot

• Copie o programa wanboot-cgi para o servidor de inicialização WAN

• (Opcional) Configure o servidor de inicialização WAN como um servidor de registro

• Configure o servidor de inicialização WAN para utilizar HTTPS

• Forneça o certificado de confiança para o cliente

• (Opcional) Utilize a chave privada e o certificado para autenticação do cliente

• Crie as chaves para o servidor e para o cliente

• Crie o arquivo Solaris Flash

• Crie o arquivo sysidcfg

• Crie o perfil do cliente

• Crie e valide o arquivo regras

• Crie o arquivo de configuração do sistema

• Crie o arquivo wanboot.conf

• Verifique o alias do dispositivo de rede em OBP

• Instale as chaves no Cliente

• Instale o Cliente

Exemplo de configuração do site

Figura 14–1 mostra a configuração do site para esse exemplo.

Figura 14–1 Exemplo de site para a instalação da inicialização WAN

Este exemplo de site possui as características a seguir.

• O servidor wanserver-1 deve ser configurado como um servidor de inicialização WAN e um servidor de instalação.

• O endereço IP do wanserver-1 é 192.168.198.2.

• O nome de domínio do wanserver-1 é www.example.com .

• wanserver-1 está executando o versão atual do Solaris.

• wanserver-1 está executando o servidor da Web Apache. O software Apache no wanserver-1 está configurado para suportar HTTPS.

• O cliente a ser instalado é nomeado como wanclient-1.

• wanclient-1 é um sistema UltraSPARCII.

• A identificação do cliente para wanclient-1 é 010003BA152A42.

• O endereço IP do wanclient-1 é 192.168.198.210.

• O endereço IP da subrede do cliente é 192.168.198.0.

• O sistema de clientewanclient-1 possui acesso à Internet, mas não está diretamente conectado à rede que inclui wanserver-1.

• wanclient-1 é um novo sistema que deve ser instalado com o software &release.

Crie o diretório raiz do documento

Para armazenar os dados e os arquivos de instalação, configure os diretórios a seguir no diretório raiz do documento (/opt/apache/htdocs) no wanserver-1.

• Diretório Solaris Flash

  wanserver-1# mkdir -p /opt/apache/htdocs/flash/

• Diretório de minirraiz de inicialização WAN

  wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/

• Diretório de programa wanboot

  wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/

Crie a minirraiz de inicialização WAN

Utilize o setup_install_server(1M) com a opção -w para copiar a minirraiz de inicialização WAN e a imagem de software do Solaris para o diretório /export/install/Solaris_10do wanserver-1.

Insira a mídia Software Solaris na unidade de mídia que está anexado ao wanserver-1. Digite os seguintes comandos.

wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Mova a minirraiz de inicialização WAN para o diretório de raiz do documento (/opt/apache/htdocs/) do servidor de inicialização WAN.

wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Verifique o cliente OBP para suporte de inicialização WAN

Determine se o cliente OBP suporta a inicialização WAN digitando o comando a seguir no sistema de cliente.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

No exemplo anterior, a saídanetwork-boot-arguments: dados não disponíveis indica que o cliente OBP suporta a inicialização WAN.

Instale o programa wanboot no servidor de inicialização WAN

Para instalar o programa wanboot no servidor de inicialização WAN, copie o programa a partir da mídia Software Solaris para o diretório raiz do documento do servidor de inicialização WAN.

Insira o Solaris DVD ou o CD Software Solaris - 1 na unidade de mídia que está anexado ao wanserver-1 e digite os comandos a seguir.

wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

Crie a hierarquia /etc/netboot

Crie os subdiretórios wanclient-1 do diretório /etc/netboot no servidor de inicialização WAN. Os programas de instalação de inicialização WAN recuperam a configuração e a informação de segurança a partir desse diretório durante a instalação.

wanclient-1 está localizado na subrede 192.168.198.0 e possui uma identificação de cliente de 010003BA152A42. Para criar o subdiretório apropriado de /etc/netbootpara wanclient-1, efetue as tarefas a seguir.

• Crie o diretório /etc/netboot.

• Altere as permissões do diretório /etc/netboot para 700.

• Altere a propriedade do diretório /etc/netboot para o proprietário do processo de servidor da Web.

• Assuma a mesmo função de usuário que o usuário do servidor da Web.

• Crie o subdiretório de /etc/netboot que é nomeado depois da sub-rede (192.168.198.0).

• Crie um subdiretório do diretório de subrede que é nomeado depois da identificação do cliente.

• Altere as permissões dos subdiretórios /etc/netboot para 700.

wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Copie o programa wanboot-cgi para o servidor de inicialização WAN

Em sistemas que estão executando a versão atual do Solaris, o programa wanboot-cgi está localizado no diretório /usr/lib/inet/wanboot/. Para ativar o servidor de inicialização WAN para transmitir os dados de instalação, copie o programa wanboot-cgi para o diretório cgi-bin no diretório de software do servidor da Web.

wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(Opcional) Configure o servidor de inicialização WAN como um servidor de registro

Por padrão, todas as mensagens de registro de inicialização WAN são exibidas no sistema de cliente. Esse comportamento padrão lhe permite depurar rapidamente quaisquer problemas de instalação.

Se você deseja ver as mensagens de inicialização e instalação no servidor de inicialização WAN, copie o script bootlog-cgi para o diretório cgi-bin no wanserver-1.

wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Configure o servidor de inicialização WAN para utilizar HTTPS

Para utilizar HTTPS em sua instalação de inicialização WAN, é necessário ativar o suporte SSL no software do servidor da Web. Você também deve instalar um certificado digital no servidor de inicialização WAN. Este exemplo supõe que o servidor da Web Apache no wanserver-1 está configurado para utilizar SSL. Este exemplo também supõe que um certificado digital e um certificado de autoridade que determina a identidade do wanserver-1 já está instalado no wanserver-1.

Para obter exemplos sobre como configurar seu software de servidor da Web para utilizar SSL, consulte a documentação do servidor da Web.

Forneça o certificado de confiança para o cliente

Ao exigir que o servidor autentique-se para o cliente, você protege os dados que são transmitidos a partir do servidor para o cliente através do HTTPS. Para ativar a autenticação do servidor, você fornece um certificado de confiança para o cliente. O certificado de confiança permite que o cliente verifique a identidade do servidor durante a instalação.

Para fornecer o certificado de confiança para o cliente, assuma a mesma função do usuário que o usuário do servidor da Web. Em seguida, divida o certificado para extrair um certificado de confiança. Em seguida, insira o certificado de confiança no arquivo truststore do cliente na hierarquia /etc/netboot.

Neste exemplo, você assume a função de usuário do servidor da Web de ninguém. Em seguida, você divide o certificado PKCS#12 do servidor que é nomeado como cert.p12 e insira o certificado de confiança no diretório /etc/netboot para wanclient-1.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(Opcional) Utilize a chave privada e o certificado para autenticação do cliente

Para proteger ainda mais os seus dados durante a instalação, você pode desejar exigir wanclient-1 para autenticar-se em wanserver-1 . Para ativar a autenticação do cliente na sua instalação de inicialização WAN, insira um certificado de cliente e a chave privada no subdiretório do cliente da hierarquia /etc/netboot.

Para fornecer uma chave privada e certificado para o cliente, efetue as tarefas a seguir.

• Assuma a mesma função de usuário que o usuário do servidor da Web

• Divida o arquivo PKCS#12 em uma chave privada e um certificado do cliente

• Insira o certificado no arquivo certstore do cliente

• Insira a chave privada no arquivo keystore do cliente

Neste exemplo, você assume a função de usuário do servidor da Web de ninguém. Em seguida, você divide o certificado PKCS#12 do servidor que é nomeado de cert.p12. Insira o certificado na hierarquia /etc/netboot para wanclient-1. Em seguida, insira a chave privada que você nomeou como wanclient.key no arquivo keystore do cliente.

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

Crie as chaves para o servidor e para o cliente

Para proteger os dados transmitidos entre o servidor e o cliente, você cria uma chave de hashing e uma chave de criptografia. O servidor utiliza a chave de hashing para proteger a integridade do programa wanboot. O servidor utiliza a chave de criptografia para criptografar os dados de configuração e instalação. O cliente utiliza a chave de hashing para proteger a integridade do programa wanboot baixado. O cliente utiliza a chave de criptografia para descriptografar os dados durante a instalação.

Primeiro, assuma a mesmo função de usuário que o usuário do servidor da Web. Neste exemplo, a função do usuário do servidor da Web é ninguém.

wanserver-1# su nobody
Password:

Em seguida, você utiliza o comando wanbootutil keygen para criar uma chave HMAC SHA1 mestre para wanserver-1.

wanserver-1# wanbootutil keygen -m

Em seguida, crie uma chave de hashing e uma chave de criptografia para wanclient-1.

wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

O comando anterior criar uma chave de hashing HMAC SHA1 e uma chave de criptografia 3DES para wanclient-1. 192.168.198.0 especifica a subrede de wanclient-1 e 010003BA152A42 especifica a identificação do cliente de wanclient-1.

Crie o arquivo Solaris Flash

Neste exemplo, você cria seu arquivo Solaris Flash ao clonar o sistema mestre wanserver-1. O arquivo é nomeado como sol_10_sparc e copiado exatamente a partir do sistema mestre. O arquivo é uma cópia exata do sistema mestre. O arquivo é armazenado em sol_10_sparc.flar. Você salvou o arquivo no subdiretório flash/archives do diretório raiz do documento no servidor de inicialização WAN.

wanserver-1# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Crie o arquivo sysidcfg

Para pré-configurar o sistema do wanclient-1, especifique palavras-chave e valores no arquivo sysidcfg. Salve este arquivo no subdiretório apropriado do diretório raiz do documento de wanserver-1.

Exemplo 14–1 Arquivo sysidcfg para o sistema client-1

A seguir está um exemplo de um arquivo sysidcfg para o wanclient-1. O nome do host, endereço IP e máscara de rede desses sistemas foram pré-configurados ao editar o serviço de identificação. O arquivo está localizado no diretório /opt/apache/htdocs/flash/.

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

Crie o perfil do cliente

Para o sistema wanclient-1, crie um perfil que seja nomeado como wanclient_1_prof. O arquivo wanclient_1_prof contém as entradas a seguir, que definem o software versão atual do Solaris a ser instalado no sistema wanclient-1.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/cdrom0.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

A lista a seguir descreve algumas das palavras-chave e os valores a partir desse exemplo.

install_type

O perfil instala um arquivo Solaris Flash no sistema de clone. Todos os arquivos são sobrescritos como em uma instalação inicial.

archive_location

O arquivo compactado Solaris Flash é restaurado a partir do wanserver-1.

particionamento

Os segmentos do sistema de arquivos são determinados pelas palavras-chave filesys, valor explícito. O tamanho da raiz (/) é baseada no tamanho do arquivo Solaris Flash. O tamanho da permuta é definido para o tamanho necessário e está instalado no c0t1d0s1. /export/home é baseado no espaço em disco remanescente. /export/home está instalado em c0t1d0s7.

Crie e valide o arquivo regras

Os programas JumpStart personalizados utilizam o arquivo regras para selecionar o perfil de instalação correto para o sistema wanclient-1. Crie um arquivo de texto que é nomeado como regras. Em seguida, adicione palavras-chave e valores a este arquivo.

O endereço IP do sistema wanclient-1 é 192.168.198.210 e a máscara de rede é 255.255.255.0. Utilize a palavra-chave de regra rede para especificar o perfil que os programas JumpStart personalizados devem utilizar para instalar wanclient-1.

network 192.168.198.0 - wanclient_1_prof - 

Esse arquivo regras instrui os programas JumpStart personalizados a utilizar o wanclient_1_prof para instalar o software versão atual do Solaris no wanclient-1.

Nomeie esse arquivo regra como wanclient_rule.

Depois de criar o perfil e o arquivo regras, você executa o script verificar para verificar se os arquivos são válidos.

wanserver-1# ./check -r wanclient_rule

Se o script verificar não encontrar nenhum erro, o script cria o arquivo rules.ok.

Salve o arquivo rules.ok no diretório/opt/apache/htdocs/flash/ .

Crie o arquivo de configuração do sistema

Crie um arquivo de configuração do sistema que lista os locais do arquivo sysidcfg e os arquivos JumpStart personalizados sobre o servidor de instalação. Salve esse arquivo em um diretório que seja acessível ao servidor de inicialização WAN.

No exemplo a seguir, o programa wanboot-cgi procura pelo sysidcfg e por arquivos JumpStart personalizados no diretório raiz do documento do servidor de inicialização WAN. O nome de domínio do servidor de inicialização WAN é https://www.example.com. O servidor de inicialização WAN está configurado para utilizar HTTP seguro, desta forma os dados e arquivos estão protegidos durante a instalação.

Neste exemplo, o arquivo de configuração do sistema é nomeado como sys-conf.s10–sparc e o arquivo é salvo na hierarquia /etc/netboot no servidor de inicialização WAN. O sysidcfg e arquivos JumpStart personalizados estão localizados no subdiretório flash do diretório raiz do documento.

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

Crie o arquivo wanboot.conf

A inicialização WAN utiliza as informações de configuração que estão incluídas no arquivo wanboot.conf para instalar a máquina do cliente. Crie o arquivo wanboot.conf em um editor de texto. Salve o arquivo no subdiretório apropriado do cliente na hierarquia /etc/netboot no servidor de inicialização.

O arquivo wanboot.conf a seguir para wanclient-1 inclui informação de configuração para uma instalação WAN que utiliza HTTP seguro. Esse arquivo também instrui a inicialização WAN a utilizar uma chave de hashing HMAC SHA1 e uma chave de criptografia 3DES para proteger dados.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

Esse arquivo wanboot.conf especifica a configuração a seguir.

boot_file=/wanboot/wanboot.s10_sparc

O programa wanboot é nomeado como wanboot.s10_sparc . Esse programa está localizado no diretório wanboot no diretório raiz do documento no wanserver-1.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

A localização do programa wanboot-cgi no wanserver-1 é https://www.example.com/cgi-bin/wanboot-cgi . A porção https da URL indica que essa instalação de inicialização WAN utiliza HTTP seguro.

root_file=/miniroot/miniroot.s10_sparc

A minirraiz de inicialização WAN é nomeada de miniroot.s10_sparc. A minirraiz está localizada no diretório minirraiz no diretório raiz do documento no wanserver-1.

signature_type=sha1

O programa wanboot e o sistema de arquivos de inicialização WAN são atribuídos utilizando uma chave de hashing HMAC SHA1.

encryption_type=3des

O programa wanboot e o sistema de arquivos de inicialização WAN são criptografados com a chave 3DES.

server_authentication=yes

O servidor é autenticado durante a instalação.

client_authentication=no

O cliente não é autenticado durante a instalação.

---

Observação –

Se você efetuar as tarefas em (Opcional) Utilize a chave privada e o certificado para autenticação do cliente, defina esse parâmetro como client_authentication=yes

---

resolve_hosts=

Nenhum nome de host adicional é necessário para efetuar a instalação WAN. Todos os nomes de host são exigidos pelo programa wanboot-cgi e são especificados no arquivo wanboot.conf e no certificado do cliente.

boot_logger=

As mensagens de log de inicialização e instalação são exibidas no console do sistema. Se você configurou o servidor de registro em (Opcional) Configure o servidor de inicialização WAN como um servidor de registro, e deseja que as mensagens de inicialização WAN apareçam também no servidor de inicialização WAN, defina esse parâmetro para boot_logger=https://www.example.com/cgi-bin/bootlog-cgi .

system_conf=sys-conf.s10–sparc

O arquivo de configuração do sistema que especifica os locais dos arquivos sysidcfg e JumpStart está localizado no arquivo sys-conf.s10–sparc na hierarquia /etc/netboot nowanserver-1.

Neste exemplo, você salva o arquivo wanboot.conf no diretório /etc/netboot/192.168.198.0/010003BA152A42 no wanserver-1.

Verifique o alias do dispositivo de rede em OBP

Para inicializar o cliente a partir da WAN com a rede de inicialização, o alias do dispositivo de rede deve ser definido para o dispositivo da rede primária do cliente. No prompt ok do cliente, digite o comando devalias para verificar se o alias rede está definido como dispositivo de rede primária /pci@1f,0/pci@1,1/network@c,1.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

No exemplo anterior de saída, o dispositivo de rede primária /pci@1f,0/pci@1,1/network@c,1 é atribuído ao alias rede. Você não precisa redefinir o alias.

Instale as chaves no Cliente

Em Crie as chaves para o servidor e para o cliente, você criou a chave de hashing e a chave de criptografia para proteger seus dados durante a instalação. Para permitir que o cliente descriptografe os dados transmitidos a partir de wanserver-1 durante a instalação, instale essas chaves no wanclient-1.

No wanserver-1, exiba os valores das chaves.

wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

O exemplo anterior utiliza a informação a seguir.

net=192.168.198.0

Especifica o endereço IP da subrede do cliente

cid=010003BA152A42

Especifica a identificação do cliente

b482aaab82cb8d5631e16d51478c90079cc1d463

Especifica o valor da chave de hashing HMAC SHA1 do cliente

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Especifica o valor da chave de criptografia 3DES do cliente

Se você utiliza uma chave de criptografia AES em sua instalação, altere type=3des para type=aes para exibir o valor de chave de criptografia.

No prompt ok em wanclient-1, instale as chaves.

ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Os comandos anteriores efetuam as tarefas a seguir.

• Instale a chave de hashing HMAC SHA1 com um valor de b482aaab82cb8d5631e16d51478c90079cc1d463 no wanclient-1

• Instale a chave de criptografia 3DES com um valor de 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 no wanclient-1

Instale o Cliente

É possível efetuar uma instalação autônoma configurando as variáveis de argumento de inicialização de rede para wanclient-1 no prompt ok e, em seguida, inicializando o cliente.

ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) 
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.10 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

As variáveis a seguir são definidas.

• O endereço IP do cliente é definido como 192.168.198.210.

• O endereço IP do roteador do cliente é definido como 192.168.198.1

• A máscara de subrede do cliente é definida como 255.255.255.0

• O nome de host do cliente é definido como wanclient-1

• O programa wanboot-cgi está localizado em http://192.168.198.2/cgi-bin/wanboot-cgi

O cliente instala através da WAN. Se o programa wanboot não encontrar todas as informações de instalação necessárias, você pode ser solicitado a fornecer as informações ausentes na linha de comando.

Capítulo 15 Inicialização WAN (referência)

Este capítulo descreve brevemente os comandos e arquivos utilizados para efetuar uma instalação WAN.

• Comandos de instalação de inicialização WAN

• Comandos OBP

• Configurações de arquivos de configuração de sistema e sintaxe

• wanboot.conf Parâmetros de arquivos e sintaxe

Comandos de instalação de inicialização WAN

As seguintes tabelas descrevem comandos utilizados para efetuar a instalação de inicialização WAN.

• Tabela 15–1

• Tabela 15–2

Comandos OBP

A tabela seguinte lista os comandos OBP que serão digitados no prompt ok do cliente para efetuar uma instalação de inicialização WAN.

Configurações de arquivos de configuração de sistema e sintaxe

O sistema de configuração de arquivos permite direcionar os programas para a instalação de inicialização WAN para os seguintes arquivos.

• sysidcfg

• rules.ok

• Perfil JumpStart personalizado

O arquivo de configuração de sistema é um simples arquivo de texto, e deve ser formatado no seguinte padrão.

setting=value

O arquivo system.conf deve conter as seguintes configurações.

SsysidCF=sysidcfg-file-URL

Estes pontos de configuração apontam para o diretório no servidor de instalação que contém o arquivo sysidcfg. Para instalações WAN que utilizam HTTPS, defina o valor para uma HTTPS URL válida.

SjumpsCF=jumpstart-files-URL

Essa configuração aponta para o diretório JumpStart personalizado que contém o rules.ok e arquivos de perfil. Para instalações WAN que utilizam HTTPS, defina o valor para uma HTTPS URL válida.

É possível armazenar o system.conf em qualquer diretório que seja acessível ao servidor de inicialização WAN.

wanboot.conf Parâmetros de arquivos e sintaxe

O arquivo wanboot.conf é um arquivo de configuração de texto simples que os programas de instalação de inicialização WAN utilizam para efetuar a instalação WAN. Os seguintes programas e arquivos utilizam as informações incluídas no arquivo wanboot.conf para instalar a máquina do cliente.

• programa wanboot-cgi

• Sistema de arquivos de inicialização WAN

• Mini-raiz de inicialização WAN

Salve o arquivo wanboot.conf no subdiretório de cliente adequado na hierarquia /etc/netboot no servidor de inicialização WAN. Para informações sobre como definir o escopo de instalação de inicialização WAN com hierarquia /etc/netboot, consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.

Especifique a informação no arquivo wanboot.conf listando parâmetros com valores associados nos seguintes formatos.

parameter=value

Parâmetros de entrada não podem atravessar as linhas. É possível incluir comentários no arquivo digitando # antes do comentário.

Para informação detalhada sobre o arquivo wanboot.conf, consulte a página (4) do manual wanboot.conf.

Defina os seguintes parâmetros no arquivo wanboot.conf.

boot_file=wanboot-path

Este parâmetro especifica o caminho para o programa wanboot. O valor é um caminho relativo ao diretório raiz do documento no servidor de instalação de inicialização WAN.

boot_file=/wanboot/wanboot.s10_sparc

root_server=wanbootCGI-URL /wanboot-cgi

Este parâmetro especifica a URL do programa wanboot-cgi no servidor de inicialização WAN.

• Utilize o URL HTTP se for efetuar a instalação de inicialização WAN sem o cliente ou a autenticação do servidor.

  root_server=http://www.example.com/cgi-bin/wanboot-cgi

• Utilize o URL HTTPS se for efetuar a instalação de inicialização WAN com autenticação do servidor, ou autenticação do servidor e do cliente.

  root_server=https://www.example.com/cgi-bin/wanboot-cgi

root_file=miniroot-path

Este parâmetro especifica o caminho para a mini-raiz de inicialização WAN no servidor de inicialização WAN. O valor é um caminho relativo ao diretório raiz do documento no servidor de instalação de inicialização WAN.

root_file=/miniroot/miniroot.s10_sparc

signature_type=sha1 | vazio

Este parâmetro especifica o tipo de chave de hashing para utilizar para verificar a integridade dos dados e arquivos que serão transmitidos.

• Para instalações de inicialização WAN que utilizam chaves de hashing para proteger o programa wanboot, defina os valores para sha1.

  signature_type=sha1

• Para instalações WAN inseguras que não utilizam chaves de hashing, deixe este valor em branco.

  signature_type=

encryption_type=3des | aes | vazio

Este parâmetro especifica o tipo de encriptação utilizada para encriptar o programa wanboot e o sistema de arquivos de inicialização WAN.

• Para instalações de inicialização WAN que utilizam HTTPS, defina o valor para 3des ou aes para corresponder aos formatos de chave utilizados. Defina o valor da palavra-chave signature_type para sha1.

  encryption_type=3des

  ou

  encryption_type=aes

• Para instalações de inicialização WAN inseguras que não utilizem chave de encriptação, deixe este valor em branco.

  encryption_type=

server_authentication=yes | no

Este parâmetro especifica se o servidor deve ser autenticado durante a instalação de inicialização WAN.

• Para instalações de inicialização WAN com autenticação de servidor ou autenticação de servidor e cliente, defina este valor para yes. Defina o valor de signature_type para sha1 , encryption_type para 3des ou aes, e a URL de root_server para um valor HTTPS.

  server_authentication=yes

• Para instalações de inicialização WAN inseguras que não utilizem autenticação de servidor ou autenticação de servidor e cliente, defina o valor para no. É possível deixar o valor em branco.

  server_authentication=no

client_authentication=yes | no

Este parâmetro especifica se o servidor deve ser autenticado durante a instalação de inicialização WAN.

• Para instalações de inicialização WAN com autenticação de servidor e cliente, defina o valor para yes. Defina o valor de signature_type para sha1 , encryption_type para 3des ou aes, e a URL de root_server para um valor HTTPS.

  client_authentication=yes

• Para instalações de inicialização WAN que não utilizem autenticação, defina o valor para no. É possível deixar o valor em branco.

  client_authentication=no

resolve_hosts=hostname | vazio

Este parâmetro especifica hosts adicionais que necessitam ser resolvidos para o programa wanboot-cgi durante a instalação.

Defina o valor para os nomes de host dos sistemas que não estão previamente especificados no arquivo wanboot.conf ou no certificado de cliente.

• Se todos os hosts requeridos estão listados no arquivo wanboot.conf ou no certificado de cliente, deixe este valor em branco.

  resolve_hosts=

• Se hosts específicos não estão listados no arquivowanboot.conf ou no certificado de cliente, defina valores para estes nomes de host.

  resolve_hosts=seahag,matters

boot_logger=bootlog-cgi-path | vazio

Este parâmetro especifica o URL para o script bootlog-cgi no registro de servidor.

• Para registrar mensagens de log de inicialização ou instalação em um registro de servidor dedicado, defina o valor do URL do script bootlog-cgi no registro de servidor.

  boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

• Para mostrar mensagens de inicialização ou instalação no console cliente, deixe o valor em branco.

  boot_logger=

system_conf=system.conf | custom-system-conf

Este parâmetro especifica o caminho do arquivo de configuração de sistema que inclui a localização do sysidcfg e dos arquivos personalizados JumpStart.

Defina o valor do caminho para o sysidcfg e para os arquivos personalizados JumpStart no servidor web.

system_conf=sys.conf