test

Guia de instalação do Oracle Solaris 10 9/10: instalações com base em rede

Capítulo 14 SPARC: Instalando com inicialização WAN (exemplos)

Este capítulo fornece um exemplo para configuração e instalação dos sistemas cliente através de uma rede de área ampla (WAN). Os exemplos neste capítulo descrevem como efetuar uma instalação de inicialização WAN segura através de uma conexão HTTPS.

Exemplo de configuração do site

Figura 14–1 mostra a configuração do site para esse exemplo.

Figura 14–1 Exemplo de site para a instalação da inicialização WAN

O contexto descreve o gráfico.

Este exemplo de site possui as características a seguir.

Crie o diretório raiz do documento

Para armazenar os dados e os arquivos de instalação, configure os diretórios a seguir no diretório raiz do documento (/opt/apache/htdocs) no wanserver-1.

Crie a minirraiz de inicialização WAN

Utilize o setup_install_server(1M) com a opção -w para copiar a minirraiz de inicialização WAN e a imagem de software do Solaris para o diretório /export/install/Solaris_10do wanserver-1.

Insira a mídia Software Solaris na unidade de mídia que está anexado ao wanserver-1. Digite os seguintes comandos.


wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Mova a minirraiz de inicialização WAN para o diretório de raiz do documento (/opt/apache/htdocs/) do servidor de inicialização WAN.


wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Verifique o cliente OBP para suporte de inicialização WAN

Determine se o cliente OBP suporta a inicialização WAN digitando o comando a seguir no sistema de cliente.


# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

No exemplo anterior, a saídanetwork-boot-arguments: dados não disponíveis indica que o cliente OBP suporta a inicialização WAN.

Instale o programa wanboot no servidor de inicialização WAN

Para instalar o programa wanboot no servidor de inicialização WAN, copie o programa a partir da mídia Software Solaris para o diretório raiz do documento do servidor de inicialização WAN.

Insira o Solaris DVD ou o CD Software Solaris - 1 na unidade de mídia que está anexado ao wanserver-1 e digite os comandos a seguir.


wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

Crie a hierarquia /etc/netboot

Crie os subdiretórios wanclient-1 do diretório /etc/netboot no servidor de inicialização WAN. Os programas de instalação de inicialização WAN recuperam a configuração e a informação de segurança a partir desse diretório durante a instalação.

wanclient-1 está localizado na subrede 192.168.198.0 e possui uma identificação de cliente de 010003BA152A42. Para criar o subdiretório apropriado de /etc/netbootpara wanclient-1, efetue as tarefas a seguir.


wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Copie o programa wanboot-cgi para o servidor de inicialização WAN

Em sistemas que estão executando a versão atual do Solaris, o programa wanboot-cgi está localizado no diretório /usr/lib/inet/wanboot/. Para ativar o servidor de inicialização WAN para transmitir os dados de instalação, copie o programa wanboot-cgi para o diretório cgi-bin no diretório de software do servidor da Web.


wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(Opcional) Configure o servidor de inicialização WAN como um servidor de registro

Por padrão, todas as mensagens de registro de inicialização WAN são exibidas no sistema de cliente. Esse comportamento padrão lhe permite depurar rapidamente quaisquer problemas de instalação.

Se você deseja ver as mensagens de inicialização e instalação no servidor de inicialização WAN, copie o script bootlog-cgi para o diretório cgi-bin no wanserver-1.


wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Configure o servidor de inicialização WAN para utilizar HTTPS

Para utilizar HTTPS em sua instalação de inicialização WAN, é necessário ativar o suporte SSL no software do servidor da Web. Você também deve instalar um certificado digital no servidor de inicialização WAN. Este exemplo supõe que o servidor da Web Apache no wanserver-1 está configurado para utilizar SSL. Este exemplo também supõe que um certificado digital e um certificado de autoridade que determina a identidade do wanserver-1 já está instalado no wanserver-1.

Para obter exemplos sobre como configurar seu software de servidor da Web para utilizar SSL, consulte a documentação do servidor da Web.

Forneça o certificado de confiança para o cliente

Ao exigir que o servidor autentique-se para o cliente, você protege os dados que são transmitidos a partir do servidor para o cliente através do HTTPS. Para ativar a autenticação do servidor, você fornece um certificado de confiança para o cliente. O certificado de confiança permite que o cliente verifique a identidade do servidor durante a instalação.

Para fornecer o certificado de confiança para o cliente, assuma a mesma função do usuário que o usuário do servidor da Web. Em seguida, divida o certificado para extrair um certificado de confiança. Em seguida, insira o certificado de confiança no arquivo truststore do cliente na hierarquia /etc/netboot.

Neste exemplo, você assume a função de usuário do servidor da Web de ninguém. Em seguida, você divide o certificado PKCS#12 do servidor que é nomeado como cert.p12 e insira o certificado de confiança no diretório /etc/netboot para wanclient-1.


wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(Opcional) Utilize a chave privada e o certificado para autenticação do cliente

Para proteger ainda mais os seus dados durante a instalação, você pode desejar exigir wanclient-1 para autenticar-se em wanserver-1 . Para ativar a autenticação do cliente na sua instalação de inicialização WAN, insira um certificado de cliente e a chave privada no subdiretório do cliente da hierarquia /etc/netboot.

Para fornecer uma chave privada e certificado para o cliente, efetue as tarefas a seguir.

Neste exemplo, você assume a função de usuário do servidor da Web de ninguém. Em seguida, você divide o certificado PKCS#12 do servidor que é nomeado de cert.p12. Insira o certificado na hierarquia /etc/netboot para wanclient-1. Em seguida, insira a chave privada que você nomeou como wanclient.key no arquivo keystore do cliente.


wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

Crie as chaves para o servidor e para o cliente

Para proteger os dados transmitidos entre o servidor e o cliente, você cria uma chave de hashing e uma chave de criptografia. O servidor utiliza a chave de hashing para proteger a integridade do programa wanboot. O servidor utiliza a chave de criptografia para criptografar os dados de configuração e instalação. O cliente utiliza a chave de hashing para proteger a integridade do programa wanboot baixado. O cliente utiliza a chave de criptografia para descriptografar os dados durante a instalação.

Primeiro, assuma a mesmo função de usuário que o usuário do servidor da Web. Neste exemplo, a função do usuário do servidor da Web é ninguém.


wanserver-1# su nobody
Password:

Em seguida, você utiliza o comando wanbootutil keygen para criar uma chave HMAC SHA1 mestre para wanserver-1.


wanserver-1# wanbootutil keygen -m

Em seguida, crie uma chave de hashing e uma chave de criptografia para wanclient-1.


wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

O comando anterior criar uma chave de hashing HMAC SHA1 e uma chave de criptografia 3DES para wanclient-1. 192.168.198.0 especifica a subrede de wanclient-1 e 010003BA152A42 especifica a identificação do cliente de wanclient-1.

Crie o arquivo Solaris Flash

Neste exemplo, você cria seu arquivo Solaris Flash ao clonar o sistema mestre wanserver-1. O arquivo é nomeado como sol_10_sparc e copiado exatamente a partir do sistema mestre. O arquivo é uma cópia exata do sistema mestre. O arquivo é armazenado em sol_10_sparc.flar. Você salvou o arquivo no subdiretório flash/archives do diretório raiz do documento no servidor de inicialização WAN.


wanserver-1# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Crie o arquivo sysidcfg

Para pré-configurar o sistema do wanclient-1, especifique palavras-chave e valores no arquivo sysidcfg. Salve este arquivo no subdiretório apropriado do diretório raiz do documento de wanserver-1.

Exemplo 14–1 Arquivo sysidcfg para o sistema client-1

A seguir está um exemplo de um arquivo sysidcfg para o wanclient-1. O nome do host, endereço IP e máscara de rede desses sistemas foram pré-configurados ao editar o serviço de identificação. O arquivo está localizado no diretório /opt/apache/htdocs/flash/.

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

Crie o perfil do cliente

Para o sistema wanclient-1, crie um perfil que seja nomeado como wanclient_1_prof. O arquivo wanclient_1_prof contém as entradas a seguir, que definem o software versão atual do Solaris a ser instalado no sistema wanclient-1.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/cdrom0.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

A lista a seguir descreve algumas das palavras-chave e os valores a partir desse exemplo.

install_type

O perfil instala um arquivo Solaris Flash no sistema de clone. Todos os arquivos são sobrescritos como em uma instalação inicial.

archive_location

O arquivo compactado Solaris Flash é restaurado a partir do wanserver-1.

particionamento

Os segmentos do sistema de arquivos são determinados pelas palavras-chave filesys, valor explícito. O tamanho da raiz (/) é baseada no tamanho do arquivo Solaris Flash. O tamanho da permuta é definido para o tamanho necessário e está instalado no c0t1d0s1. /export/home é baseado no espaço em disco remanescente. /export/home está instalado em c0t1d0s7.

Crie e valide o arquivo regras

Os programas JumpStart personalizados utilizam o arquivo regras para selecionar o perfil de instalação correto para o sistema wanclient-1. Crie um arquivo de texto que é nomeado como regras. Em seguida, adicione palavras-chave e valores a este arquivo.

O endereço IP do sistema wanclient-1 é 192.168.198.210 e a máscara de rede é 255.255.255.0. Utilize a palavra-chave de regra rede para especificar o perfil que os programas JumpStart personalizados devem utilizar para instalar wanclient-1.


network 192.168.198.0 - wanclient_1_prof -

Esse arquivo regras instrui os programas JumpStart personalizados a utilizar o wanclient_1_prof para instalar o software versão atual do Solaris no wanclient-1.

Nomeie esse arquivo regra como wanclient_rule.

Depois de criar o perfil e o arquivo regras, você executa o script verificar para verificar se os arquivos são válidos.


wanserver-1# ./check -r wanclient_rule

Se o script verificar não encontrar nenhum erro, o script cria o arquivo rules.ok.

Salve o arquivo rules.ok no diretório/opt/apache/htdocs/flash/ .

Crie o arquivo de configuração do sistema

Crie um arquivo de configuração do sistema que lista os locais do arquivo sysidcfg e os arquivos JumpStart personalizados sobre o servidor de instalação. Salve esse arquivo em um diretório que seja acessível ao servidor de inicialização WAN.

No exemplo a seguir, o programa wanboot-cgi procura pelo sysidcfg e por arquivos JumpStart personalizados no diretório raiz do documento do servidor de inicialização WAN. O nome de domínio do servidor de inicialização WAN é https://www.example.com. O servidor de inicialização WAN está configurado para utilizar HTTP seguro, desta forma os dados e arquivos estão protegidos durante a instalação.

Neste exemplo, o arquivo de configuração do sistema é nomeado como sys-conf.s10–sparc e o arquivo é salvo na hierarquia /etc/netboot no servidor de inicialização WAN. O sysidcfg e arquivos JumpStart personalizados estão localizados no subdiretório flash do diretório raiz do documento.

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

Crie o arquivo wanboot.conf

A inicialização WAN utiliza as informações de configuração que estão incluídas no arquivo wanboot.conf para instalar a máquina do cliente. Crie o arquivo wanboot.conf em um editor de texto. Salve o arquivo no subdiretório apropriado do cliente na hierarquia /etc/netboot no servidor de inicialização.

O arquivo wanboot.conf a seguir para wanclient-1 inclui informação de configuração para uma instalação WAN que utiliza HTTP seguro. Esse arquivo também instrui a inicialização WAN a utilizar uma chave de hashing HMAC SHA1 e uma chave de criptografia 3DES para proteger dados.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

Esse arquivo wanboot.conf especifica a configuração a seguir.

boot_file=/wanboot/wanboot.s10_sparc

O programa wanboot é nomeado como wanboot.s10_sparc . Esse programa está localizado no diretório wanboot no diretório raiz do documento no wanserver-1.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

A localização do programa wanboot-cgi no wanserver-1 é https://www.example.com/cgi-bin/wanboot-cgi . A porção https da URL indica que essa instalação de inicialização WAN utiliza HTTP seguro.

root_file=/miniroot/miniroot.s10_sparc

A minirraiz de inicialização WAN é nomeada de miniroot.s10_sparc. A minirraiz está localizada no diretório minirraiz no diretório raiz do documento no wanserver-1.

signature_type=sha1

O programa wanboot e o sistema de arquivos de inicialização WAN são atribuídos utilizando uma chave de hashing HMAC SHA1.

encryption_type=3des

O programa wanboot e o sistema de arquivos de inicialização WAN são criptografados com a chave 3DES.

server_authentication=yes

O servidor é autenticado durante a instalação.

client_authentication=no

O cliente não é autenticado durante a instalação.

Observação –

Se você efetuar as tarefas em (Opcional) Utilize a chave privada e o certificado para autenticação do cliente, defina esse parâmetro como client_authentication=yes

resolve_hosts=

Nenhum nome de host adicional é necessário para efetuar a instalação WAN. Todos os nomes de host são exigidos pelo programa wanboot-cgi e são especificados no arquivo wanboot.conf e no certificado do cliente.

boot_logger=

As mensagens de log de inicialização e instalação são exibidas no console do sistema. Se você configurou o servidor de registro em (Opcional) Configure o servidor de inicialização WAN como um servidor de registro, e deseja que as mensagens de inicialização WAN apareçam também no servidor de inicialização WAN, defina esse parâmetro para boot_logger=https://www.example.com/cgi-bin/bootlog-cgi .

system_conf=sys-conf.s10–sparc

O arquivo de configuração do sistema que especifica os locais dos arquivos sysidcfg e JumpStart está localizado no arquivo sys-conf.s10–sparc na hierarquia /etc/netboot nowanserver-1.

Neste exemplo, você salva o arquivo wanboot.conf no diretório /etc/netboot/192.168.198.0/010003BA152A42 no wanserver-1.

Verifique o alias do dispositivo de rede em OBP

Para inicializar o cliente a partir da WAN com a rede de inicialização, o alias do dispositivo de rede deve ser definido para o dispositivo da rede primária do cliente. No prompt ok do cliente, digite o comando devalias para verificar se o alias rede está definido como dispositivo de rede primária /pci@1f,0/pci@1,1/network@c,1.


ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

No exemplo anterior de saída, o dispositivo de rede primária /pci@1f,0/pci@1,1/network@c,1 é atribuído ao alias rede. Você não precisa redefinir o alias.

Instale as chaves no Cliente

Em Crie as chaves para o servidor e para o cliente, você criou a chave de hashing e a chave de criptografia para proteger seus dados durante a instalação. Para permitir que o cliente descriptografe os dados transmitidos a partir de wanserver-1 durante a instalação, instale essas chaves no wanclient-1.

No wanserver-1, exiba os valores das chaves.


wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

O exemplo anterior utiliza a informação a seguir.

net=192.168.198.0

Especifica o endereço IP da subrede do cliente

cid=010003BA152A42

Especifica a identificação do cliente

b482aaab82cb8d5631e16d51478c90079cc1d463

Especifica o valor da chave de hashing HMAC SHA1 do cliente

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Especifica o valor da chave de criptografia 3DES do cliente

Se você utiliza uma chave de criptografia AES em sua instalação, altere type=3des para type=aes para exibir o valor de chave de criptografia.

No prompt ok em wanclient-1, instale as chaves.


ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Os comandos anteriores efetuam as tarefas a seguir.

Instale o Cliente

É possível efetuar uma instalação autônoma configurando as variáveis de argumento de inicialização de rede para wanclient-1 no prompt ok e, em seguida, inicializando o cliente.


ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) 
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.10 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

As variáveis a seguir são definidas.

O cliente instala através da WAN. Se o programa wanboot não encontrar todas as informações de instalação necessárias, você pode ser solicitado a fornecer as informações ausentes na linha de comando.