Configurazione del server di boot WAN

Il server di boot WAN è un server web che fornisce i dati di boot e configurazione durante l'installazione boot WAN. Per un elenco dei requisiti di sistema per il server di boot WAN, vedere la Tabella 39–1.

Questa sezione descrive le procedure richieste per la configurazione del server di boot WAN per un'installazione boot WAN.

• Creazione della directory radice dei documenti

• Creazione della miniroot di boot WAN

• Installazione del programma wanboot sul server di boot WAN

• Creazione della struttura gerarchica /etc/netboot sul server di boot WAN

• Copia del programma CGI di boot WAN sul server di boot WAN

• (Opzionale) Protezione dei dati con l'uso di HTTPS

Creazione della directory radice dei documenti

Per poterli utilizzare per la configurazione e l'installazione, occorre che questi file siano accessibili al software server web sul server di boot WAN. Un metodo per renderli accessibili è di memorizzarli nella directory radice dei documenti del server di boot WAN.

Per poter usare la directory radice dei documenti con i file di installazione e configurazione, occorre prima crearla. Per informazioni sulle operazioni di creazione della directory, consultare la documentazione del server web. Per informazioni in dettaglio su come progettare la directory radice dei documenti, vedere la sezione Memorizzazione dei file di installazione e configurazione nella directory radice dei documenti.

Creazione della miniroot di boot WAN

Il boot WAN usa una speciale miniroot Solaris modificata specificamente per eseguire l'installazione boot WAN. La miniroot di boot WAN contiene un sottogruppo del software della miniroot di Solaris. Per eseguire l'installazione boot WAN, occorre copiare sul server di boot WAN la miniroot dal DVD Solaris o dal CD Solaris Software 1 of 2. Usare l'opzione - w del comando setup_install_server per copiare la miniroot di boot WAN dai supporti di Solaris al disco fisso del sistema.

Questa procedura crea una miniroot di boot WAN SPARC con i supporti SPARC. Per poter usare la miniroot di boot WAN SPARC da un server x86, occorre crearla su un sistema SPARC. Una volta creata la miniroot, copiarla nella directory radice dei documenti sul server x86.

Per ulteriori informazioni sul comando setup_install_server, vedere il Capitolo 12.

SPARC: Creare una miniroot di boot WAN

Questa procedura presuppone che il server di boot WAN utilizzi la gestione dei volumi. In caso contrario, vedere il documento System Administration Guide: Basic Administration per informazioni sulla gestione dei supporti amovibili senza gestione dei volumi.

1. Diventare superutente sul server di boot WAN.

   Il sistema deve soddisfare i seguenti requisiti:

   • Includere un'unità CD-ROM o DVD-ROM

   • Far parte della rete del sito e del servizio di denominazione.

     Se si utilizza un servizio di denominazione, ad esempio NIS, NIS+, DNS o LDAP, il sistema deve già essere configurato in questo servizio. Se non si utilizza un servizio di denominazione, è necessario distribuire le informazioni relative al sistema in base ai criteri adottati nel proprio sito.

2. Inserire il CD Solaris Software 1 of 2 o il DVD Solaris nell'unità del server di installazione.

3. Creare una directory per la miniroot di boot WAN e l'immagine di installazione di Solaris.

   # mkdir -p dir_wan dir_installazione

   -p

   Comunica al comando mkdir di creare tutte le directory principali necessarie per la directory da creare.

   dir_wan

   Specifica la directory in cui creare la miniroot di boot WAN sul server di installazione. Questa directory deve ospitare miniroot con dimensioni tipiche di 250 Mbyte.

   dir_installazione

   Specifica la directory in cui copiare l'immagine di Solaris sul server di installazione. In una fase successiva della procedura, si potrà rimuovere la directory.

4. Spostarsi nella directory Tools sul disco attivato:

   # cd /cdrom/cdrom0/s0/Solaris_9/Tools

   Nell'esempio precedente, cdrom0 è il percorso dell'unità che contiene il supporto dell'ambiente operativo Solaris.

5. Copiare la miniroot di boot WAN e l'immagine di Solaris nel disco rigido del server di boot WAN.

   # ./setup_install_server -w dir_wan dir_installazione

   dir_wan

   Specifica la directory in cui copiare la miniroot di boot WAN

   dir_installazione

   Specifica la directory in cui deve essere copiata l'immagine di Solaris

   ---

   Nota –

   Il comando setup_install_server indica se lo spazio su disco è sufficiente per le immagini del disco Solaris. Per determinare lo spazio su disco disponibile, usare il comando df -kl.

   ---

   Il comando setup_install_server -w crea la miniroot di boot WAN e un'immagine di installazione di rete di Solaris.

6. (Opzionale) Rimuovere l'immagine di installazione di rete.

   Per eseguire un'installazione WAN con un archivio Solaris Flash non è necessaria l'immagine di Solaris. Se non si intende usare l'immagine dell'installazione di rete per altre installazioni di rete, è possibile liberare spazio su disco. Digitare il comando seguente per rimuovere l'immagine di installazione di rete.

   # rm -rf dir_installazione

7. Per rendere la miniroot di boot WAN disponibile al server di boot WAN, procedere in uno dei modi seguenti:

   • Creare un collegamento simbolico con la miniroot di boot WAN nella directory radice dei documenti del server di boot WAN.

     # cd /directory_radice_documenti/miniroot # ln -s /dir_wan/miniroot .

     directory_radice_documenti/miniroot

     Specifica la directory nella directory radice dei documenti del server di boot WAN in cui collegare la miniroot di boot WAN

     /dir_wan/miniroot

     Specifica il percorso della miniroot di boot WAN

   • Spostare la miniroot nella directory radice dei documenti sul server di boot WAN.

     # mv /dir_wan/miniroot /directory_radice_documenti/miniroot/nome-miniroot

     dir_wan/miniroot

     Specifica il percorso della miniroot di boot WAN

     /directory_radice_documenti/miniroot/

     Specifica il percorso della directory della miniroot di boot WAN nella directory radice dei documenti del server di boot WAN.

     nome-miniroot

     Specifica il nome della miniroot di boot WAN. Assegnare al file un nome descrittivo, ad esempio miniroot.s9_sparc.

Installazione del programma wanboot sul server di boot WAN

Per l'installazione del client, il metodo boot WAN si avvale di uno speciale programma di secondo livello (wanboot). Il programma wanboot carica la miniroot di boot WAN, i file di configurazione del client e i file di installazione richiesti per l'esecuzione dell'installazione boot WAN.

Per eseguire l'installazione boot WAN, occorre fornire il programma wanboot al client durante l'installazione. Si può procedere nei modi seguenti:

• Se la PROM del client supporta la boot WAN, è possibile trasmettere il programma dal server di boot WAN al client. Per controllare se la PROM del client supporta il boot dalla WAN, vedere la sezione Controllo del supporto del boot WAN da parte dell'OBP del client.

• Se la PROM del client non supporta il boot dalla WAN, occorre fornire il programma al client su un CD locale. In quest'ultimo caso, passare alla Creazione della struttura gerarchica /etc/netboot sul server di boot WAN per proseguire la preparazione dell'installazione.

SPARC: Installare il programma wanboot sul server di boot WAN

Questa procedura presuppone che il server di boot WAN utilizzi la gestione dei volumi. In caso contrario, vedere il documento System Administration Guide: Basic Administration per informazioni sulla gestione dei supporti amovibili senza gestione dei volumi.

1. Diventare superutente sul server di installazione.

2. Inserire il CD Solaris Software 1 of 2 o il DVD Solaris nell'unità del server di installazione.

3. Modificare la directory della piattaforma sun4u sul CD Solaris Software 1 of 2 o il DVD Solaris.

   # cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/

4. Copiare il programma wanboot sul server di installazione.

   # cp wanboot /directory_radice_documenti/wanboot/nome-wanboot

   directory_radice_documenti

   Specifica la directory radice dei documenti sul server di boot WAN.

   nome-wanboot

   Specifica il nome del programma wanboot. Assegnare al file un nome descrittivo, ad esempio wanboot.s9_sparc.

5. Per rendere disponibile il programma wanboot al server di boot WAN, procedere in uno dei modi seguenti:

   • Creare un collegamento simbolico al programma wanboot nella directory radice dei documenti del server di boot WAN.

     # cd /directory_radice_documenti/wanboot # ln -s /dir_wan/wanboot .

     directory_radice_documenti/wanboot

     Specifica la directory nella directory radice dei documenti del server di boot WAN in cui collegare il programma wanboot.

     /dir_wan/wanboot

     Specifica il percorso del programma wanboot.

   • Spostare la miniroot nella directory radice dei documenti sul server di boot WAN.

     # mv /dir_wan/wanboot /directory_radice_documenti/wanboot/nome-wanboot

     dir_wan/wanboot

     Specifica il percorso del programma wanboot.

     /directory_radice_documenti/wanboot/

     Specifica il percorso della directory del programma wanboot nella directory radice dei documenti del server di boot WAN.

     nome-wanboot

     Specifica il nome del programma wanboot. Assegnare al file un nome descrittivo, ad esempio wanboot.s9_sparc.

Creazione della struttura gerarchica /etc/netboot sul server di boot WAN

Durante l'installazione, il boot WAN fa riferimento ai contenuti della struttura gerarchica /etc/netboot sul server web per le istruzioni di esecuzione dell'installazione. Questa directory contiene informazioni di configurazione, chiave privata, certificato digitale e autorità di certificazione richieste per l'installazione boot WAN. Durante l'installazione, il programma wanboot-cgi converte queste informazioni nel file system di boot WAN. Il programma wanboot-cgi trasmette quindi tale file system al client.

Per la pianificazione delle informazioni sulla definizione della struttura gerarchica /etc/netboot, vedere la sezione Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.

Creare la struttura gerarchica /etc/netboot

1. Diventare superutente sul server di boot WAN.

2. Creare la directory /etc/netboot.

   # mkdir /etc/netboot

3. Modificare le autorizzazioni della directory /etc/netboot su 700.

   # chmod 700 /etc/netboot

4. Modificare il proprietario della directory /etc/netboot impostandolo sul proprietario del server web.

   # chown utente-server-web:gruppo-server-web /etc/netboot/

   utente-server-web

   Specifica l'utente proprietario del processo server web

   gruppo-server-web

   Specifica il gruppo proprietario del processo server web

5. Uscire da superutente.

   # exit

6. Assumere il ruolo utente del proprietario del server web.

7. Creare nel client la sottodirectory della directory /etc/netboot.

   # mkdir -p /etc/netboot/ip-sottorete/ID-client

   -p

   Comunica al comando mkdir di creare tutte le directory principali necessarie per la directory da creare.

   (Opzionale) ip-sottorete

   Specifica l'indirizzo IP della sottorete del client.

   (Opzionale) ID-client

   Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. La directory ID-client deve essere una sottodirectory di ip-sottorete.

8. Per ogni directory della struttura gerarchica /etc/netboot, modificare le autorizzazioni su 700.

   # chmod 700 /etc/netboot/nome-dir

   nome-dir

   Specifica il nome della directory nella struttura gerarchica /etc/netboot

Esempio 40–1 Creazione della struttura gerarchica /etc/netboot sul server di boot WAN

L'esempio seguente mostra come creare la struttura gerarchica /etc/netboot per il client 010003BA152A42 sulla sottorete 192.168.255.0. In questo esempio, l'utente nessuno e il gruppo ammin sono i proprietari del processo server web.

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nessuno:ammin /etc/netboot
# exit
server# su nessuno
Password:
nessuno# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42
nessuno# chmod 700 /etc/netboot/192.168.255.0
nessuno# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42

Copia del programma CGI di boot WAN sul server di boot WAN

Il programma wanboot-cgi crea i data stream che trasmettono i seguenti file dal server di boot :

• Programma wanboot

• File system di boot WAN

• Miniroot di boot WAN

Il programma wanboot-cgi viene installato sul sistema quando si installa l'ambiente operativo Solaris 9 12/03 . Per abilitare il server di boot WAN all'uso del programma, copiarlo nella directory cgi-bin del server di boot WAN.

Copiare il programma wanboot-cgi nel server di boot WAN

1. Diventare superutente sul server di boot WAN.

2. Copiare il programma wanboot-cgi nel server di boot WAN.

   # cp /usr/lib/inet/wanboot/wanboot-cgi /rad-server-WAN/cgi-bin/wanboot-cgi

   /rad-server-WAN

   Specifica la directory radice del software server web sul server di boot WAN

3. Sul server di boot WAN, modificare le autorizzazioni del programma CGI su 755.

   # chmod 755 /rad-server-WAN/cgi-bin/wanboot-cgi

(Opzionale) Protezione dei dati con l'uso di HTTPS

Per proteggere i dati durante il trasferimento dal server di boot WAN al client, è necessario utilizzare il protocollo HTTPS (HTTP over Secure Sockets Layer). Per usare la configurazione di installazione più sicura, descritta nella sezione Configurazione sicura per l'installazione boot WAN, occorre abilitare il server web all'uso di HTTPS.

Per abilitare per l'uso di HTTPS il software server web sul server di boot WAN, eseguire le operazioni seguenti:

• Attivare il supporto dell'SSL (Secure Sockets Layer) nel proprio software server web.

  I processi per abilitare il supporto SSL e l'autenticazione dei client variano a seconda del server web. Il presente documento non descrive le procedure per abilitare le funzioni di sicurezza sul server web in uso. Per ulteriori informazioni sull'argomento, consultare i documenti seguenti:

  • Per informazioni sull'attivazione di SSL su server web SunONE e iPlanet, vedere lae raccolte di documentazione Sun ONE e iPlanet all'indirizzo http://docs.sun.com.

  • Per informazioni sull'attivazione dell'SSL sul server web Apache, vedere l'Apache Documentation Project all'indirizzo http://httpd.apache.org/docs-project/.

  • Se il software in uso non è contenuto nell'elenco precedente, vedere la relativa documentazione.

• Installare i certificati digitali sul server di boot WAN.

  Per informazioni sull'uso dei certificati digitali con il boot WAN, vedere la sezione Uso dei certificati digitali per l'autenticazione di client e server.

• Fornire un certificato digitale al client.

  Per istruzioni su come creare un certificato digitale, vedere la sezione Uso dei certificati digitali per l'autenticazione di client e server.

• Creare una chiave di hashing e una chiave di cifratura.

  Per istruzioni su come creare le chiavi, vedere la sezione Creazione di una chiave di hashing e di una chiave di cifratura.

• (Opzionale) Configurare il software server web per il supporto dell'autenticazione del client.

  Per informazioni su come configurare il server web per il supporto dell'autenticazione dei client, vedere la relativa documentazione.

Uso dei certificati digitali per l'autenticazione di client e server

Il metodo di installazione boot WAN può utilizzare i file PKCS#12 per eseguire un'installazione su HTTPS con l'autenticazione del server o di client e server. Per requisiti e linee guida sull'uso dei file PKCS#12, vedere la sezione Requisiti dei certificati digitali.

Per usare un file PKCS#12 in un'installazione boot WAN, eseguire le operazioni seguenti:

• Suddividere il file PKCS#12 in chiave privata e file di certificato.

• Inserire il certificato trusted nel file truststore del client nella struttura gerarchica /etc/netboot. Il certificato trusted istruisce il client di considerare fidato il server.

• (Opzionale) Inserire i contenuti del file di chiave privata SSL nel file keystore del client nella struttura gerarchica /etc/netboot.

Il comando wanbootutil fornisce le opzioni per eseguire le operazioni riportate nell'elenco precedente.

Prima di suddividere il file PKCS#12, creare le sottodirectory appropriate della struttura gerarchica /etc/netboot sul server di boot WAN.

• Per informazioni generali sulla struttura gerarchica /etc/netboot, vedere la sezione Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.

• Per istruzioni su come creare la struttura gerarchica /etc/netboot, vedere la sezione Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.

Creazione di un certificato digitale e di una chiave privata per il client

1. Assumere lo stesso ruolo dell'utente server web sul server di boot WAN.

2. Estrarre il certificato trusted dal file PKCS#12. Inserire il certificato nel file truststore del client nella struttura gerarchica /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/ip-sottorete/ID-client/truststore

   p12split

   Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

   -i p12cert

   Specifica il nome del file PKCS#12 da suddividere.

   -t /etc/netboot/ip-sottorete/ID-client/truststore

   Inserisce il certificato nel file truststore del client. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

3. (Opzionale) Decidere se richiedere l'autenticazione del client.

   • In caso positivo, continuare con le procedure seguenti.

   • In caso negativo, passare alla sezione Creazione di una chiave di hashing e di una chiave di cifratura.

   1. Inserire il certificato del client nel suo certstore.

      # wanbootutil p12split -i p12cert -c \ /etc/netboot/ip-sottorete/ID-client/certstore -k file_chiave

      p12split

      Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

      -i p12cert

      Specifica il nome del file PKCS#12 da suddividere.

      -c /etc/netboot/ip-sottorete/ID-client/certstore

      Inserisce il certificato del client nel suo certstore. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

      -k file_chiave

      Specifica il nome del file della chiave privata SSL del client da creare dal file PKCS#12 suddiviso.

   2. Inserire la chiave privata nel keystore del client.

      # wanbootutil keymgmt -i -k file_chiave \ -s /etc/netboot/ip-sottorete/ID-client/keystore -o type=rsa

      keymgmt -i

      Inserisce la chiave privata SSL nel file keystore del client

      -k file_chiave

      Specifica il nome del file della chiave privata del client appena creato.

      -s /etc/netboot/ip-sottorete/ID-client/keystore

      Specifica il percorso del keystore del client

      -o type=rsa

      Specifica il tipo di chiave come RSA

Esempio 40–2 Creazione di un certificato digitale per l'autenticazione del server

Nell'esempio seguente, si usa un file PKCS#12 per installare il client 010003BA152A42 nella sottorete 192.168.255.0. Questo comando di esempio estrae dal file PKCS#12 il certificato denominato client.p12. Successivamente, il comando inserisce i contenuti del certificato trusted nel file truststore del client.

# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore

Creazione di una chiave di hashing e di una chiave di cifratura

Per usare HTTPS per la trasmissione dei dati, occorre creare una chiave di hashing HMAC SHA1 e una chiave di cifratura. Se si pianifica l'installazione su una rete parzialmente privata, non crittografare i dati di installazione. La chiave di hashing HMAC SHA1 permette di controllare l'integrità del programma wanboot. Per informazioni generali sulle chiavi di hashing e le chiavi di cifratura, vedere la sezione Protezione dei dati durante un'installazione boot WAN.

Con il comando wanbootutil keygen è possibile generare chiavi e memorizzarle nella directory /etc/netboot appropriata.

Creare una chiave di hashing e una chiave di cifratura

1. Assumere lo stesso ruolo dell'utente server web sul server di boot WAN.

2. Creare la chiave HMAC SHA1 master.

   # wanbootutil keygen -m

   keygen -m

   Crea la chiave HMAC SHA1 master per il server di boot WAN

3. Creare la chiave di hashing HMAC SHA1 per il client dalla chiave master.

   # wanbootutil keygen -c -o [net=ip-sottorete,{cid=ID-client,}]type=sha1

   -c

   Crea la chiave di hashing del client dalla rispettiva chiave master.

   -o

   Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.

   (Opzionale) net=ip-sottorete

   Specifica l'indirizzo IP per la sottorete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e possono usarla tutti i i client di boot WAN.

   (Opzionale) cid=ID-client

   Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.

   type=sha1

   Istruisce l'utility wanbootutil keygen di creare una chiave di hashing HMAC SHA1 per il client.

4. Decidere se è necessario creare una chiave di cifratura per il client.

   La creazione della chiave di cifratura è richiesta per eseguire l'installazione boot WAN con un collegamento HTTPS. Prima che il client stabilisca un collegamento HTTPS con il server di boot dalla WAN, quest'ultimo trasmette i dati e le informazioni cifrate al client. La chiave di cifratura permette al client di decrittografare queste informazioni e di utilizzarle durante l'installazione.

   • Se si esegue un'installazione WAN più sicura con collegamento HTTPS e autenticazione del server, proseguire.

   • Non è invece necessario creare la chiave di cifratura se si intende unicamente controllare l'integrità del programma wanboot. Passare al Punto 6.

5. Creare una chiave di cifratura per il client.

   # wanbootutil keygen —c -o [net=IP-sottorete,{cid=IDclient,}]type=tipochiave

   -c

   Crea la chiave di cifratura per il client.

   -o

   Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.

   (Opzionale) net=ip-sottorete

   Specifica l'indirizzo IP di rete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e possono usarla tutti i i client di boot WAN.

   (Opzionale) cid=IDclient

   Specifica l'ID del client Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.

   type=tipochiave

   Istruisce l'utility wanbootutil keygen di creare una chiave di cifratura per il client. tipochiave può assumere il valore 3des o aes.

6. Installare le chiavi sul sistema client.

   Per istruzioni sull'installazione delle chiavi sul client, vedere il Installazione delle chiavi sul client.

Esempio 40–3 Creazione delle chiavi richieste per l'installazione boot WAN con collegamento HTTPS

L'esempio seguente crea una chiave master HMAC SHA1 per il server di boot WAN. Vengono inoltre create una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per il client 01832AA440 della sottorete 192.168.255.0.

# wanbootutil keygen -m
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des