En este capítulo se ofrece un ejemplo de configuración e instalación de sistemas cliente a través de una Red de área extensa (WAN). En los ejemplos de este capítulo se describe cómo efectuar una instalación segura un mediante arranque WAN a través de una conexión HTTPS.
Instalación del programa wanboot en el servidor de arranque WAN
Copia del programa wanboot-cgi en el servidor de arranque WAN
Configuración del servidor de arranque WAN como servidor de registro
Configuración del servidor de arranque WAN para utilizar HTTPS
(Opcional) Uso de la clave privada y el certificado para la autenticación de clientes
La Figura 45–1 muestra la configuración de la sede para este ejemplo.
Las características de esta sede de ejemplo son las siguientes.
El servidor wanserver-1 se va a configurar como servidor de arranque WAN y servidor de instalación.
La dirección IP de wanserver-1 es 192.168.198.2.
El nombre de dominio de wanserver-1 es www.example.com.
wanserver-1 ejecuta el sistema operativo Solaris 94/04.
wanserver-1 ejecuta el servidor de web Apache. El software Apache de wanserver-1 está configurado para admitir HTTPS.
El cliente que se va a instalar se denomina wanclient-1.
wanclient-1 es un sistema UltraSPARCII.
El ID de cliente de wanclient-1 es 010003BA152A42.
La dirección IP de wanclient-1 es 192.168.198.210.
La dirección IP de la subred del cliente es 192.168.198.0.
El sistema cliente wanclient-1 tiene acceso a Internet, pero no está conectado de forma directa a la red que contiene wanserver-1.
wanclient-1 es un sistema nuevo que se va a instalar con el sistema operativo Solaris 94/04.
Para almacenar los archivos y datos de instalación, configure los siguientes directorios en el directorio raíz de documentos (/opt/apache/htdocs) en wanserver-1.
Directorio de Solaris Flash
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
Directorio minirraíz de arranque WAN
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
Directorio del programa wanboot
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
Utilice el comando setup_install_server(1M) con la opción -w para copiar la minirraíz de arranque WAN y la imagen del software de Solaris en el directorio /export/install/Solaris_9 de wanserver-1.
Inserte el soporte Solaris Software en la unidad conectada a wanserver-1. Escriba los comandos siguientes:
wanserver-1# mkdir -p /export/install/sol_9_sparc wanserver-1# cd /cdrom/cdrom0/s0/Solaris_9/Tools wanserver-1# . /setup_install_server -w /export/install/sol_9_sparc/miniroot \ /export/install/sol_9_sparc |
Desplace la minirraíz de arranque WAN al directorio raíz de documentos (/opt/apache/htdocs/) del servidor de arranque WAN.
wanserver-1# mv /export/install/sol_9_sparc/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s9_sparc |
Para instalar el programa wanboot en el servidor de arranque WAN, copie el programa del soporte del software Solaris 9 4/04 al directorio raíz de documentos del servidor de arranque WAN.
Inserte el Solaris DVD o el CD Solaris Software 1 of 2 en la unidad conectada a wanserver-1 y escriba los comandos siguientes.
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s9_sparc |
Cree los subdirectorios wanclient-1 del directorio /etc/netboot en el servidor de arranque WAN. Los programas de instalación para arranque WAN recuperan de este directorio la información de configuración y seguridad durante la instalación.
wanclient-1 se encuentra en la subred 192.168.198.0 y su ID de cliente es 010003BA152A42. Para crear el subdirectorio apropiado de /etc/netboot para wanclient-1, efectúe las tareas siguientes.
Cree el directorio /etc/netboot.
Cambian los permisos del directorio /etc/netboot a 700.
Cambian la propiedad del directorio /etc/netboot al propietario del proceso del servidor web.
Tome el mismo rol de usuario que el usuario del servidor web.
Cree un subdirectorio de /etc/netboot denominado como la subred (192.168.198.0).
Cree un subdirectorio del directorio de subred denominado como el ID de cliente.
Cambian los permisos de los subdirectorios /etc/netboot a 700.
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
En los sistemas que ejecutan el sistema operativo Solaris 9 4/04, el programa wanboot-cgi se encuentra en el directorio /usr/lib/inet/wanboot/. Para habilitar el servidor de arranque WAN para que transmita los datos de instalación, copie el programa wanboot-cgi en el directorio cgi-bin del directorio del software del servidor web.
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
Para ver los mensajes de arranque e instalación del servidor de arranque WAN copie la secuencia bootlog-cgi en el directorio cgi-bin de wanserver-1.
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Para utilizar HTTPS en su instalación de arranque WAN, deberá habilitar la compatibilidad con SSL en el software del servidor web. Deberá también instalar un certificado digital en el servidor de arranque WAN. En este ejemplo se da por supuesto que el servidor web Apache de wanserver-1 está configurado para emplear SSL. Asimismo, también se supone que wanserver-1 tiene instalado un certificado digital y una entidad certificadora para establecer la identidad de wanserver-1.
Para ver ejemplos de configuración del software de servidor web para utilizar SSL consulte la documentación del servidor web.
Al obligar al servidor a que se autentique se protegen los datos transmitidos del servidor al cliente a través de HTTPS. Para habilitar la autenticación de servidor se proporciona al cliente un certificado acreditadoque le permite comprobar la identidad del servidor durante la instalación.
Si desea proporcionar el certificado acreditado al cliente, asuma la misma función de usuario que el usuario del servidor web. A continuación, divida el certificado para extraer el certificado acreditado. A continuación, inserte éste en el archivo truststore del cliente en la jerarquía /etc/netboot.
En este ejemplo asuma la función del servidor web de nobody. Después, divida el certificado PKCS#12 del servidor, denominado cert. p12, e inserte el certificado acreditado en el directorio /etc/netboot de wanclient-1.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert. p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Para proteger mejor los datos durante la instalación, es conveniente obligar a que wanclient-1 se autentique a wanserver-1. Para habilitar la autenticación de cliente en su instalación mediante arranque WAN, inserte un certificado cliente y una clave privada en el subdirectorio de cliente de la jerarquía /etc/netboot.
Si desea proporcionar una clave y un certificado privados al cliente, efectúe estas tareas.
Tome el mismo rol de usuario que el usuario del servidor web.
Dividir el archivo PKCS#12 en una clave privada y un certificado cliente
Insertar el certificado en el archivo certstore del cliente
Insertar la clave privada en el archivo keystore del cliente
En este ejemplo asume la función del servidor web de nobody. Después, divida el certificado PKCS#12 de servidor denominado cert. p12. Se inserta el certificado en la jerarquía /etc/netboot de wanclient-1. A continuación se inserta la clave privada a la que se asigna el nombre wanclient. key en el archivo keystore del cliente.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert. p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient. key wanserver-1# wanbootutil keymgmt -i -k wanclient. key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
Para proteger los datos transmitidos entre el servidor y el cliente se crea una clave de hashing y otra de encriptación. El servidor utiliza la primera para proteger la integridad del programa wanboot yla segunda para encriptar los datos de configuración e instalación. El cliente utiliza la clave de hashing para comprobar la integridad del programa wanboot descargado yla clave de encriptación para desencriptar los datos durante la instalación.
En primer lugar, asuma la misma función que el usuario del servidor web. En este ejemplo, la función del usuario del servidor web es nobody.
wanserver-1# su nobody Password: |
Después utilice el comando wanbootutil keygen con el fin de crear una clave principal HMAC SHA1 para wanserver-1.
wanserver-1# wanbootutil keygen -m |
A continuación se crean las claves de hashing y de encriptación para wanclient-1.
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
El comando anterior crea una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para wanclient-1. 192.168.198.0 especifica la subred de wanclient-1 y 010003BA152A42, el ID de cliente de wanclient-1.
En este ejemplo se crea el contenedor Solaris Flash mediante clonación del sistema maestro wanserver-1. El contenedor se denomina sol-9-sparc y es una copia exacta del sistema maestro, es decir, duplica éste de forma exacta. El contenedor se almacena en sol-9–sparc.flar. El contenedor se guarda en el subdirectorio flash/archives del directorio raíz de documentos del servidor de arranque WAN.
wanserver-1# flar create -n sol-9-sparc /opt/apache/htdocs/flash/archives/sol-9-sparc. flar |
Para preconfigurar el sistema wanclient-1, especifique las palabras clave y valores en el archivo sysidcfg. Guarde éste en el subdirectorio flash del directorio raíz de documentos de wanserver-1.
A continuación se muestra un ejemplo del archivo sysidcfg para wanclient-1. El nombre del sistema, la dirección IP y la máscara de red de estos sistemas se han preconfigurado mediante la edición del servicio de nombres. Este archivo se encuentra en el directorio /opt/apache/htdocs/flash/sol_9_sparc.
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
Para el sistema wanclient-1, cree un perfil con el nombre wanclient_1_prof. Éste contiene las siguientes entradas, que definen el software Solaris 9 que se debe instalar en el sistema wanclient-1.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/htdocs/flash/sol_9_sparc/archive1. flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
La siguiente lista describe algunas de las palabras claves y valores del ejemplo.
El perfil instala un contenedor Solaris Flash en el sistema clónico. Se sobrescriben todos los archivos como en una instalación inicial.
El contenedor Solaris Flash comprimido se recupera de wanserver-1.
Los segmentos del sistema de archivos están determinados por las palabras clave filesys, valor explicit. El tamaño de la raíz (/) está basado en el del contenedor flash de Solaris. Se fija el tamaño del archivo swap necesario y se instala en c0t1d0s1. /export/home se basa en el espacio de disco libre. /export/home se instala en c0t1d0s7.
Los programas JumpStart personalizados utilizan el archivo rules para seleccionar el perfil de instalación correcto para el sistema wanclient-1. Cree un archivo de texto y denomínelo rules. A continuación inserte en éste palabras clave y valores.
La dirección IP del sistema wanclient-1 es 192.168.198.210. Utilice la palabra clave de regla network para especificar el perfil que deben utilizar los programas JumpStart personalizados para instalar client-1.
network 192.168.198.210 - wanclient_1_prof - |
Este archivo rules indica a los programas JumpStart personalizados que utilicen wanclient_1_prof para instalar el sistema operativo Solaris 9 en wanclient-1.
Asigne a este archivo de reglas el nombre wanclient_rule.
Después de crear el perfil y el archivo rules, ejecute la secuencia check para comprobar que los archivos sean válidos.
wanserver-1# ./check -r wanclient_rule |
Si la secuencia check no encuentra ningún error, crea el archivo rules.ok.
Guarde el archivo rules.ok en el directorio /opt/apache/htdocs/flash/.
Cree un archivo de configuración del sistema en el que se enumeren las ubicaciones del archivo sysidcfg y los archivos JumpStart personalizados en el servidor de instalación. Guarde este archivo en un directorio accesible para el servidor de arranque WAN.
En el ejemplo siguiente el programa wanboot-cgi busca el archivo sysidcfg y los archivos JumpStart personalizados en el directorio raíz de documentos del servidor de arranque WAN. El nombre de dominio del servidor de arranque WAN es https://www.example.com. El servidor de arranque WAN está configurado para utilizar HTTP seguro, de modo que los datos y archivos estarán protegidos durante la instalación.
En este ejemplo, el archivo de configuración del sistema se denomina sys.conf y se encuentra en la jerarquía /etc/netboot del servidor de arranque WAN. El archivo sysidcfg y los archivos JumpStart personalizados se encuentran en el subdirectorio de Solaris Flash flash del directorio raíz de documentos.
SsysidCF=https://www.example.com/htdocs/flash/ SjumpsCF=https://www.example.com/htdocs/flash/
El arranque WAN utiliza la información de configuración contenida en el archivo wanboot.conf para instalar el sistema cliente. Cree el archivo wanboot.conf mediante un editor de texto yguárdelo en el subdirectorio cliente apropiado de la jerarquía /etc/netboot del servidor de arranque WAN.
El siguiente archivo wanboot.conf para wanclient-1 incluye la información de configuración para una instalación en WAN que utiliza HTTP seguro. Este archivo indica también al arranque WAN que utilice una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para proteger los datos.
boot_file=/wanboot/wanboot.s9_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s9_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com/cgi-bin/bootlog-cgi system_conf=sys.conf
Este archivo wanboot.conf especifica la configuración siguiente.
El programa wanboot se denomina wanboot.s9_sparc y se encuentra en el directorio wanboot del directorio raíz de documentos de wanserver-1.
La ubicación del programa wanboot-cgi en wanserver-1 es https://www.example.com/cgi-bin/wanboot-cgi. La parte https del URL indica que esta instalación mediante un arranque WAN utiliza HTTP seguro.
La minirraíz de arranque WAN se denomina miniroot.s9_sparc;y se encuentra en el directorio miniroot del directorio raíz de documentos en wanserver-1.
El programa wanboot y el sistema de archivos de arranque WAN se firman mediante una clave de hashing HMAC SHA1.
El programa wanboot y el sistema de archivos de arranque WAN se encriptan mediante una clave 3DES.
El servidor se autentica durante la instalación.
El cliente no se autentica durante la instalación.
Si ha efectuado las tareas indicadas en (Opcional) Uso de la clave privada y el certificado para la autenticación de clientes, defina este parámetro como client_authentication=yes
No se necesitan nombres de sistema adicionales para efectuar la instalación en WAN. Todos los nombres de sistema que necesita el programa wanboot-cgi se especifican en el archivo wanboot.conf y en el certificado cliente.
Los mensajes de registro de arranque e instalación se almacenan en wanserver-1 mediante HTTP seguro.
El archivo de configuración del sistema que especifica las ubicaciones de los archivos sysid. cfg y JumpStart se encuentra en el archivo sys.conf de la jerarquía /etc/netboot de wanserver-1.
En este ejemplo, el archivo wanboot.conf se guarda en el directorio /etc/netboot/192.168.198.0/010003BA152A42 de wanserver-1.
Especifique si el OBP cliente admite el arranque WAN; escriba el comando siguiente en el sistema cliente.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
En el ejemplo siguiente, la salida network-boot-arguments:data not available indica que el cliente OBP admite el arranque WAN.
Para arrancar el cliente desde WAN mediante boot net, el valor del alias del dispositivo net debe ser el dispositivo primario de red del cliente. En el indicador ok del cliente escriba el comando devalias para comprobar que el valor del alias net se ha establecido en el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
En el ejemplo de salida anterior, el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1 tiene asignado el alias net. No es necesario restablecer el alias.
En Creación de las claves para el servidor y el cliente, se han creado las claves de hashing y de encriptación para proteger los datos durante la instalación. Para habilitar el cliente para desencriptar los datos transmitidos desde wanserver-1 durante la instalación, instale estas claves en wanclient-1.
En wanserver-1, se muestran los valores de las claves.
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
El ejemplo anterior utiliza la información siguiente.
Especifica la dirección IP de la subred del cliente
Especifica el ID del cliente
Especifica el valor de la clave de hashing HMAC SHA1 del cliente
Especifica el valor de la clave de encriptación 3DES del cliente
Si utiliza una clave de encriptación AES en la instalación, cambie type=3des por type=aes para mostrar el valor de la clave de encriptación.
En el indicador ok de wanclient-1, instale las claves.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Los comandos anteriores efectúan estas tareas.
Instalan la clave de hashing HMAC SHA1, con un valor de b482aaab82cb8d5631e16d51478c90079cc1d463, en wanclient-1
Instalan la clave de encriptación 3DES, con un valor de 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04, en wanclient-1
Para efectuar una instalación sin operador, configure las variables network-boot-arguments para wanclient-1 en el indicador ok y arranque el cliente.
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting . .. Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_ 28,256 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5. 9 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
Se configuran las siguientes variables.
La dirección IP del cliente se establece en 192.168.198.210.
La dirección IP del encaminador del cliente se establece en 192.168.198.1
La máscara de subred del cliente se establece en 255.255.255.0
El nombre de sistema del cliente se establece en wanclient-1
El programa wanboot-cgi se encuentra en http://192.168.198.2/cgi-bin/wanboot-cgi
El cliente se instala a través de la WAN. Si el programa wanboot no encuentra toda la información de instalación necesaria, se le solicitará que indique ésta en la línea de comandos.