test

Solaris 9 9/04: Guía de instalación

Capítulo 45 SPARC: Instalación mediante un arranque WAN (ejemplos)

En este capítulo se ofrece un ejemplo de configuración e instalación de sistemas cliente a través de una Red de área extensa (WAN). En los ejemplos de este capítulo se describe cómo efectuar una instalación segura un mediante arranque WAN a través de una conexión HTTPS.

Ejemplo de configuración de sede

La Figura 45–1 muestra la configuración de la sede para este ejemplo.

Figura 45–1 Ejemplo de sede para una instalación mediante arranque WAN

El contexto describe la ilustración.

Las características de esta sede de ejemplo son las siguientes.

Creación del directorio raíz de documentos

Para almacenar los archivos y datos de instalación, configure los siguientes directorios en el directorio raíz de documentos (/opt/apache/htdocs) en wanserver-1.

Creación de la minirraíz de arranque WAN

Utilice la orden setup_install_server(1M) con la opción -w para copiar la minirraíz de arranque WAN y la imagen del software de Solaris en el directorio /export/install/Solaris_9 de wanserver-1.

Inserte el soporte software Solaris en la unidad conectada a wanserver-1. Escriba las órdenes siguientes: 


wanserver-1# mkdir -p /export/install/sol_9_sparc
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_9/Tools
wanserver-1# ./setup_install_server -w /export/install/sol_9_sparc/miniroot \
  /export/install/sol_9_sparc

Desplace la minirraíz de arranque WAN al directorio raíz de documentos (/opt/apache/htdocs/) del servidor de arranque WAN. 


wanserver-1# mv /export/install/sol_9_sparc/miniroot/miniroot \
  /opt/apache/htdocs/miniroot/miniroot.s9_sparc

Instalación del programa wanboot en el servidor de arranque WAN

Si desea instalar el programa wanboot en el servidor de arranque WAN, copie el programa del soporte del software Solaris 9 9/04 en el directorio raíz de documentos del servidor de arranque WAN.

Inserte el Solaris DVD o el CD Solaris Software 1 of 2 en la unidad conectada a wanserver-1 y escriba las órdenes siguientes. 


wanserver-1# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s9_sparc

Creación de la jerarquía /etc/netboot

Cree los subdirectorios wanclient-1 del directorio /etc/netboot en el servidor de arranque WAN. Los programas de instalación para arranque WAN recuperan de este directorio la información de configuración y seguridad durante la instalación.

wanclient-1 se sitúa en la subred 192.168.198.0 y tiene el ID de cliente 010003BA152A42. Si desea crear el subdirectorio apropiado de /etc/netboot para wanclient-1, realice estas tareas:


wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Copia del programa wanboot-cgi en el servidor de arranque WAN

En los sistemas que ejecutan el entorno operativo Solaris 9 9/04, el programa wanboot-cgi se encuentra en el directorio /usr/lib/inet/wanboot/. Para habilitar el servidor de arranque WAN para que transmita los datos de instalación, copie el programa wanboot-cgi en el directorio cgi-bin del directorio del software del servidor web. 


wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
  /opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(Opcional) Configuración del servidor de arranque WAN como servidor de registro

Para ver los mensajes de arranque e instalación del servidor de arranque WAN copie la secuencia bootlog-cgi en el directorio cgi-bin de wanserver-1. 


wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Configuración del servidor de arranque WAN para utilizar HTTPS

Para utilizar HTTPS en su instalación de arranque WAN, deberá habilitar la compatibilidad con SSL en el software del servidor web. Deberá también instalar un certificado digital en el servidor de arranque WAN. En este ejemplo se da por supuesto que el servidor web Apache de wanserver-1 está configurado para emplear SSL. Asimismo, también se supone que wanserver-1 tiene instalado un certificado digital y una entidad certificadora para establecer la identidad de wanserver-1.

Para ver ejemplos de configuración del software de servidor web para utilizar SSL consulte la documentación del servidor web.

Provisión de un certificado acreditado para el cliente

Al obligar al servidor a que se autentique se protegen los datos transmitidos del servidor al cliente a través de HTTPS. Para habilitar la autenticación de servidor se proporciona al cliente un certificado acreditado que le permite comprobar la identidad del servidor durante la instalación.

Si desea proporcionar el certificado acreditado al cliente, asuma la misma función de usuario que el usuario del servidor web. A continuación, divida el certificado para extraer el certificado acreditado y, seguidamente, inserte éste en el archivo truststore del cliente en la jerarquía /etc/netboot.

En este ejemplo asume la función del servidor web de nobody. Después, divida el certificado PKCS#12 del servidor, denominado cert.p12, e inserte el certificado acreditado en el directorio /etc/netboot de wanclient-1. 


wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
  /etc/netboot/192.168.198.0/010003BA152A42/truststore

(Opcional) Uso de la clave privada y el certificado para la autenticación de clientes

Si desea proteger los datos durante la instalación, es posible que necesite wanclient-1 para autenticarse en wanserver-1. Para habilitar la autenticación de cliente en su instalación mediante arranque WAN, inserte un certificado cliente y una clave privada en el subdirectorio de cliente de la jerarquía /etc/netboot.

Si desea proporcionar una clave y un certificado privados al cliente, efectúe estas tareas.

En este ejemplo asume la función del servidor web de nobody. Después, divide el certificado PKCS#12 de servidor denominado cert.p12. Se inserta el certificado en la jerarquía /etc/netboot de wanclient-1. A continuación se inserta la clave privada a la que se asigna el nombre wanclient.key en el archivo keystore del cliente. 


wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
  /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
  -s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
  -o type=rsa

Creación de las claves para el servidor y el cliente

Para proteger los datos transmitidos entre el servidor y el cliente se crea una clave de hashing y otra de encriptación. El servidor utiliza la primera para proteger la integridad del programa wanboot y la segunda para encriptar los datos de configuración e instalación. El cliente utiliza la clave de hashing para comprobar la integridad del programa wanboot descargado y la clave de encriptación para desencriptar los datos durante la instalación.

En primer lugar, asuma la misma función que el usuario del servidor web. En este ejemplo, la función del usuario del servidor web es nobody. 


wanserver-1# su nobody
Password:

Después utilice la orden wanbootutil keygen con el fin de crear una clave principal HMAC SHA1 para wanserver-1. 


wanserver-1# wanbootutil keygen -m

A continuación se crean las claves de hashing y de encriptación para wanclient-1. 


wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

La orden anterior crea una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para wanclient-1. 192.168.198.0 especifica la subred de wanclient-1 y 010003BA152A42, el ID de cliente de wanclient-1.

Creación del contenedor Solaris Flash

En este ejemplo se crea el contenedor Solaris Flash mediante clonación del sistema maestro wanserver-1. El contenedor se denomina sol-9-sparc y es una copia exacta del sistema maestro, es decir, duplica éste de forma exacta. El contenedor se almacena en sol-9–sparc.flar. El contenedor se guarda en el subdirectorio flash/archives del directorio raíz de documentos del servidor de arranque WAN. 


wanserver-1# flar create -n sol-9-sparc /opt/apache/htdocs/flash/archives/sol-9-sparc.flar

Creación del archivo sysidcfg

Para preconfigurar el sistema wanclient-1, especifique las palabras clave y valores en el archivo sysidcfg. Guarde éste en el subdirectorio flash del directorio raíz de documentos de wanserver-1.

Ejemplo 45–1 Archivo sysidcfg para el sistema client-1

A continuación se muestra un ejemplo del archivo sysidcfg para wanclient-1. El nombre del sistema, la dirección IP y la máscara de red de estos sistemas se han preconfigurado mediante la edición del servicio de nombres. Este archivo se encuentra en el directorio /opt/apache/htdocs/flash/sol_9_sparc. 

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

Creación del perfil del cliente

Para el sistema wanclient-1, cree un perfil con el nombre wanclient_1_prof. Éste contiene las siguientes entradas, que definen el software Solaris 9 que se debe instalar en el sistema wanclient-1. 

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/htdocs/flash/sol_9_sparc/archive1.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

La siguiente lista describe algunas de las palabras claves y valores del ejemplo.

install_type

El perfil instala un contenedor Solaris Flash en el sistema clónico. Se sobrescriben todos los archivos como en una instalación inicial.

archive_location

El contenedor Solaris Flash comprimido se recupera de wanserver-1.

partitioning

Los segmentos del sistema de archivos están determinados por las palabras clave filesys, valor explicit. El tamaño de la raíz (/) está basado en el del contenedor flash de Solaris. Se fija el tamaño del archivo swap necesario y se instala en c0t1d0s1. /export/home se basa en el espacio de disco libre. /export/home se instala en c0t1d0s7.

Creación y validación del archivo rules

Los programas JumpStart personalizados utilizan el archivo rules para seleccionar el perfil de instalación correcto para el sistema wanclient-1. Cree un archivo de texto y denomínelo rules. A continuación inserte en éste palabras clave y valores.

La dirección IP del sistema wanclient-1 es 192.168.198.210. Use la palabra clave de la norma network para especificar el perfil que los programas JumpStart personalizados deban utilizar para instalar client-1. 


network 192.168.198.210 - wanclient_1_prof -

Este archivo rules indica a los programas JumpStart personalizados que utilicen wanclient_1_prof para instalar el sistema operativo Solaris 9 en wanclient-1.

Asigne a este archivo de reglas el nombre wanclient_rule.

Después de crear el perfil y el archivo rules, ejecute la secuencia check para comprobar que los archivos sean válidos. 


wanserver-1# ./check -r wanclient_rule

Si la secuencia check no encuentra ningún error, crea el archivo rules.ok.

Guarde el archivo rules.ok en el directorio /opt/apache/htdocs/flash/.

Creación del archivo de configuración del sistema

Cree un archivo de configuración del sistema en el que se enumeren las ubicaciones del archivo sysidcfg y los archivos JumpStart personalizados en el servidor de instalación. Guarde este archivo en un directorio accesible para el servidor de arranque WAN.

En el ejemplo siguiente el programa wanboot-cgi busca el archivo sysidcfg y los archivos JumpStart personalizados en el directorio raíz de documentos del servidor de arranque WAN. El nombre de dominio del servidor de arranque WAN es https://www.example.com. El servidor de arranque WAN está configurado para utilizar HTTP seguro, de modo que los datos y archivos estarán protegidos durante la instalación.

En este ejemplo, el archivo de configuración del sistema se denomina sys.conf y se encuentra en la jerarquía /etc/netboot del servidor de arranque WAN. El archivo sysidcfg y los archivos JumpStart personalizados se encuentran en el subdirectorio de Solaris Flash flash del directorio raíz de documentos. 

SsysidCF=https://www.example.com/htdocs/flash/
SjumpsCF=https://www.example.com/htdocs/flash/

Creación del archivo wanboot.conf

El arranque WAN utiliza la información de configuración contenida en el archivo wanboot.conf para instalar el sistema cliente. Cree el archivo wanboot.conf mediante un editor de texto y guárdelo en el subdirectorio cliente apropiado de la jerarquía /etc/netboot del servidor de arranque WAN.

El siguiente archivo wanboot.conf para wanclient-1 incluye la información de configuración para una instalación en WAN que utiliza HTTP seguro. Este archivo indica también al arranque WAN que utilice una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para proteger los datos. 

boot_file=/wanboot/wanboot.s9_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s9_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys.conf

Este archivo wanboot.conf especifica la configuración siguiente.

boot_file=/wanboot/wanboot.s9_sparc

El programa wanboot se denomina wanboot.s9_sparc y se encuentra en el directorio wanboot del directorio raíz de documentos de wanserver-1.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

La ubicación del programa wanboot-cgi en wanserver-1 es https://www.example.com/cgi-bin/wanboot-cgi. La parte https del URL indica que esta instalación mediante un arranque WAN utiliza HTTP seguro.

root_file=/miniroot/miniroot.s9_sparc

La minirraíz de arranque WAN se denomina miniroot.s9_sparc; y se encuentra en el directorio miniroot del directorio raíz de documentos en wanserver-1.

signature_type=sha1

El programa wanboot y el sistema de archivos de arranque WAN se firman mediante una clave de hashing HMAC SHA1.

encryption_type=3des

El programa wanboot y el sistema de archivos de arranque WAN se encriptan mediante una clave 3DES.

server_authentication=yes

El servidor se autentica durante la instalación.

client_authentication=no

El cliente no se autentica durante la instalación.

Nota –

Si ha efectuado las tareas indicadas en (Opcional) Uso de la clave privada y el certificado para la autenticación de clientes, defina este parámetro como client_authentication=yes

resolve_hosts=

No se necesitan nombres de sistema adicionales para efectuar la instalación en WAN. Todos los nombres de sistema que necesita el programa wanboot-cgi se especifican en el archivo wanboot.conf y en el certificado cliente.

boot_logger=

Los mensajes de arranque y de registro de la instalación se muestran en la consola del sistema. Si ha configurado el servidor de registro en (Opcional) Configuración del servidor de arranque WAN como servidor de registro y desea que los mensajes de arranque WAN aparezcan también en el servidor de arranque WAN, configure este parámetro como boot_logger=https://www.example.com/cgi-bin/bootlog-cgi.

system_conf=sys.conf

El archivo de configuración del sistema que especifica las ubicaciones de los archivos sysid.cfg y JumpStart se encuentra en el archivo sys.conf de la jerarquía /etc/netboot de wanserver-1.

En este ejemplo, el archivo wanboot.conf se guarda en el directorio /etc/netboot/192.168.198.0/010003BA152A42 de wanserver-1.

Comprobación del OBP cliente para admisión del arranque WAN

Especifique si el OBP cliente admite el arranque WAN; escriba la orden siguiente en el sistema cliente. 


# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

En el ejemplo anterior, la salida network-boot-arguments: data not available indica que el cliente OBP admite el arranque WAN.

Comprobación del alias del dispositivo net en OBP

Para arrancar el cliente desde WAN mediante boot net, el valor del alias del dispositivo net debe ser el dispositivo primario de red del cliente. En el indicador ok del cliente escriba la orden devalias para comprobar que el valor del alias net se ha establecido en el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1. 


ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

En el ejemplo de salida anterior, el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1 tiene asignado el alias net. No es necesario restablecer el alias.

Claves de instalación en el cliente

En Creación de las claves para el servidor y el cliente, se han creado las claves de hashing y de encriptación para proteger los datos durante la instalación. Para habilitar el cliente para desencriptar los datos transmitidos desde wanserver-1 durante la instalación, instale estas claves en wanclient-1.

En wanserver-1, se muestran los valores de las claves. 


wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

El ejemplo anterior utiliza la información siguiente.

net=192.168.198.0

Especifica la dirección IP de la subred del cliente

cid=010003BA152A42

Especifica el ID del cliente

b482aaab82cb8d5631e16d51478c90079cc1d463

Especifica el valor de la clave de hashing HMAC SHA1 del cliente

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Especifica el valor de la clave de encriptación 3DES del cliente

Si utiliza una clave de encriptación AES en la instalación, cambie type=3des por type=aes para mostrar el valor de la clave de encriptación.

En el indicador ok de wanclient-1, instale las claves. 


ok set-security-key wanboot-hmac-sha1 
b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Las órdenes anteriores efectúan estas tareas.

Instalación del cliente

Para efectuar una instalación sin operador, configure las variables network-boot-arguments para wanclient-1 en el indicador ok y arranque el cliente. 


ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi

ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 256 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) 
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.9 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

Se configuran las siguientes variables.

El cliente se instala a través de la WAN. Si el programa wanboot no encuentra toda la información de instalación necesaria, se le solicitará que indique ésta en la línea de órdenes.