I det här kapitlet finns exempel på hur du konfigurerar och installerar klientdatorer över ett WAN-nätverk. Exemplen i det här kapitlet beskriver hur du utför en säker WAN-startinstallation över en HTTPS-anslutning.
(Valfritt) Konfigurera WAN-startservern som inloggningsserver
(Valfritt) Använd privat nyckel och certifikat för klientautentisering
Figur 15–1 visar konfigurationen för det här exemplet.
Den här exempelwebbplatsen har följande egenskaper.
Servern wanserver-1 konfigureras som en WAN-startserver och installationsserver.
wanserver-1 har IP-adressen 192.168.198.2.
wanserver-1 tillhör domänen www.example.com.
wanserver-1 kör operativsystemet Solaris 10.
På wanserver-1 körs webbservern Apache. Apache-programvaran på wanserver-1 konfigureras för HTTPS-stöd.
Klienten som ska installeras heter wanclient-1.
wanclient-1 är ett UltraSPARCII-system.
Klient-ID för wanclient-1 är 010003BA152A42.
wanclient-1 har IP-adressen 192.168.198.210.
IP-adressen för klientens delnät är 192.168.198.0.
Klientdatorn wanclient-1 har tillgång till Internet men är inte direkt ansluten till det nätverk som wanserver-1 tillhör.
wanclient-1 är ett nytt system som ska installeras med Solaris 10-programvaran.
Om du vill lagra installationsfiler och installationsdata konfigurerar du följande kataloger i dokumentrotkatalogen (/opt/apache/htdocs) på wanserver-1.
Solaris Flash-katalog
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
Katalog för WAN-startminiroten
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
Katalog för wanboot-programmet
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
Använd setup_install_server(1M) med alternativet -w om du vill kopiera WAN-startminiroten och programvaruavbildningen för Solaris till katalogen /export/install/Solaris_10 på wanserver-1.
Sätt in Solaris 10-programvara i medieenheten som är ansluten till wanserver-1. Skriv följande kommandon.
wanserver-1# mkdir -p /export/install/sol_10_sparc wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/sol_10_sparc/miniroot \ /export/install/sol_10_sparc |
Flytta WAN-startminiroten till dokumentrotkatalogen (/opt/apache/htdocs/) på WAN-startservern.
wanserver-1# mv /export/install/sol_10_sparc/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Avgör om OBP-klienten stöder WAN-start genom att skriva följande kommando på klientsystemet.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
I föregående exempel indikerar utmatningen network-boot-arguments: data not available att OBP-klienten stöder WAN-start.
Du installerar programmet wanboot på WAN-startservern genom att kopiera programmet från Solaris 10-programvara-cd till WAN-startserverns dokumentrotkatalog.
Sätt in Solaris 10 DVD eller Solaris 10 Software - 1 i medieenheten som är ansluten till wanserver-1 och skriv följande kommandon.
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
Skapa underkatalogerna för wanclient-1 i katalogen /etc/netboot på WAN-startservern. Installationsprogrammen för WAN-start hämtar konfigurations- och säkerhetsinformation från den här katalogen under installationen.
wanclient-1 finns i delnätet 192.168.198.0, och har klient-ID 010003BA152A42. Skapa underkatalogen /etc/netboot för wanclient-1 genom att utföra följande uppgifter.
Skapa katalogen /etc/netboot.
Ändra behörigheterna för katalogen /etc/netboot till 700.
Ändra ägarskapet för katalogen /etc/netboot till ägaren av webbserverprocessen.
Anta samma användarroll som webbserveranvändaren.
Skapa en underkatalog i /etc/netboot som har samma namn som delnätet (192.168.198.0).
Skapa en underkatalog i delnätskatalogen som har samma namn som klient-ID:t.
Ändra behörigheterna för underkatalogerna till /etc/netboot till 700.
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Lösenord: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
På system som kör operativsystemet Solaris 10 OS, finns programmet wanboot-cgi i katalogen /usr/lib/inet/wanboot/. Om du vill att WAN-startservern ska överföra installationsdata kopierar du programmet wanboot-cgi till katalogen cgi-bin i webbserverns programvarukatalog.
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
Alla inloggningsmeddelanden i samband med WAN-start visas som standard på klientsystemet. Det här standardbeteendet hjälper dig att snabbt felsöka eventuella installationsproblem.
Om du vill visa start- och installationsloggmeddelanden på WAN-startservern kopierar du bootlog-cgi-skriptet till katalogen cgi-bin på wanserver-1.
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Om du vill använda HTTPS för WAN-startinstallationen måste du aktivera SSL-stödet i webbserverns programvara. Du måste också installera ett digitalt certifikat på WAN-startservern. I det här exemplet förutsätts att webbservern Apache på wanserver-1 har konfigurerats att använda SSL. I exemplet antas det också att ett digitalt certifikat och en certifikatmyndighet (CA) som identifierar wanserver-1 redan är installerade på wanserver-1.
Exempel på hur du konfigurerar webbserverprogrammet att använda SSL finns i dokumentationen för webbservern.
Genom att kräva att servern autentiseras för klienten skyddar du de data som överförs från servern till klienten över HTTPS. Om du vill aktivera serverautentisering förser du klienten med ett betrott certifikat. Det betrodda certifikatet gör att klienten kan verifiera serverns identitet under installationen.
För att ge det betrodda certifikatet till klienten antar du samma användarroll som användaren för webbservern. Dela sedan certifikatet för att extrahera ett betrott certifikat. Infoga sedan det betrodda certifikatet i klientens truststore-fil i /etc/netboot-hierarkin.
I det här exemplet antar du webbserveranvändarollen nobody. Du delar sedan serverns PKCS#12-certifikat som heter cert.p12 och infogar det betrodda certifikatet i katalogen /etc/netboot för wanclient-1.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
För att ytterligare skydda dina data under installationen kan du kräva att wanclient-1 ska verifiera sig för wanserver-1. Om du vill aktivera klientautentisering för WAN-startinstallationen infogar du ett klientcertifikat och en privat nyckel i klientunderkatalogen i /etc/netboot-hierarkin.
För att ge en privat nyckel och certifikat till klienten utför du följande åtgärder.
Anta samma användarroll som webbserveranvändaren.
Dela PKCS#12-filen i en privat nyckel och ett klientcertifikat
Infoga certifikatet i klientens certstore-fil
Infoga den privata nyckeln i klientens keystore-fil
I det här exemplet antar du webbserveranvändarollen nobody. Du delar sedan serverns PKCS#12-certifikat som heter cert.p12. Infoga certifikatet i /etc/netboot-hierarkin för wanclient-1. Sedan infogar du den privata nyckel som du gav namnet wanclient.key i klientens keystore-fil.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key wanserver-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
Om du vill skydda de data som överförs mellan servern och klienten skapar du en hashnings- och en krypteringsnyckel. Servern använder hashningsnyckeln för att skydda wanboot-programmets integritet. Servern använder krypteringsnyckeln för att kryptera konfigurations- och installationsdata. Klienten använder hashningsnyckeln för att kontrollera integriteten för det hämtade wanboot-programmet. Klienten använder krypteringsnyckeln för att dekryptera data under installationen.
Först antar du samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.
wanserver-1# su nobody Password: |
Använd sedan kommandot wanbootutil keygen för att skapa en HMAC SHA1-huvudnyckel för wanserver-1.
wanserver-1# wanbootutil keygen -m |
Skapa sedan en hashnings- och en krypteringsnyckel för wanclient-1.
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
Det föregående kommandot skapar en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för wanclient-1. 192.168.198.0 anger delnätet för wanclient-1 och 010003BA152A42 anger klient-ID för wanclient-1.
I det här exemplet skapar du Solaris Flash-arkivet genom att klona huvudsystemet wanserver-1. Arkivet har namnet sol_10_sparc och är en exakt kopia från huvudsystemet. Arkivet är en exakt kopia av huvudsystemet. Arkivet lagras i sol_10_sparc.flar. Du sparar arkivet i underkatalogen flash/archives i dokumentrotkatalogen på WAN-startservern.
wanserver-1# flar create -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Om du vill förkonfigurera systemet wanclient-1 anger du nyckelord och värden i filen sysidcfg. Spara den här filen i en lämplig underkatalog till dokumentrotkatalogen på wanserver-1.
Det här är ett exempel på en sysidcfg-fil för wanclient-1. Värdnamn, IP-adress och nätmask för de här systemen har förkonfigurerats genom att namntjänsten redigerats. Den här filen finns i katalogen /opt/apache/htdocs/flash/.
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
Skapa en profil som heter wanclient_1_prof för systemet wanclient-1. Filen wanclient_1_prof innehåller följande poster som anger vilken Solaris 10-programvara som ska installeras på wanclient-1-systemet.
# profilnyckelord profilvärden # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
I följande lista beskrivs några av nyckelorden och värdena från det här exemplet.
Profilen installerar ett Solaris Flash-arkiv på klonsystemet. Alla filer skrivs över som vid en standardinstallation.
Det komprimerade Solaris Flash-arkivet hämtas från wanserver-1.
Skivdelarna för filsystemet styrs av nyckelorden för filesys med värdet explicit. Rotfilsystemets (/) storlek är baserat på Solaris Flash-arkivet. Storleken på utrymmet för minnesväxling (swap) är angiven till nödvändig storlek och det installeras på c0t1d0s1. /export/home baseras på det återstående diskutrymmet. /export/home installeras på c0t1d0s7.
De anpassade JumpStart-programmen använder filen rules för att välja rätt installationsprofil för systemet wanclient-1. Skapa en textfil som heter rules. Lägg sedan till nyckelord och värden i filen.
wanclient-1-systemets IP-adress är 192.168.198.210, och nätmasken är 255.255.255.0. Använd regelnyckelordet network för att ange profilen som de anpassade JumpStart-programmen ska använda när de installerar wanclient-1.
network 192.168.198.0 - wanclient_1_prof - |
Den här rules-filen instruerar de anpassade JumpStart-programmen att använda wanclient_1_prof när Solaris 10-programvaran installeras på wanclient-1.
Ge den här regelfilen namnet wanclient_rule.
När du har skapat profilen och rules-filen kör du check-skriptet för att verifiera att filerna är giltiga.
wanserver-1# ./check -r wanclient_rule |
Om inga fel påträffas med check-skript, skapas filen rules.ok.
Spara filen rules.ok i katalogen /opt/apache/htdocs/flash/.
Skapa en systemkonfigurationsfil som listar var sysidcfg-filen och de anpassade JumpStart-filerna finns på installationsservern. Spara den här filen i en katalog som WAN-startservern har åtkomst till.
I följande exempel söker programmet wanboot-cgi efter sysidcfg och de anpassade JumpStart-filerna i dokumentrotkatalogen på WAN-startservern. Namnet på WAN-startserverns domän är https://www.example.com. WAN-startservern har konfigurerats att använda säker HTTP så data och filer är skyddade under installationen.
I det här exemplet har systemkonfigurationsfilen namnet sys-conf.s10–sparc, och filen är sparad i /etc/netboot-hierarkin på WAN-startservern. Filen sysidcfg och de anpassade JumpStart-filerna lagras i underkatalogen flash i dokumentrotkatalogen.
SsysidCF=https://www.example.com/flash/ SjumpsCF=https://www.example.com/flash/
WAN-start använder konfigurationsinformationen i filen wanboot.conf för att installera klientdatorn. Skapa filen wanboot.conf i en textredigerare. Spara filen i lämplig klientunderkatalog i /etc/netboot-hierarkin på WAN-startservern.
Följande wanboot.conf-fil för wanclient-1 innehåller konfigurationsinformation för en WAN-installation som använder säker HTTP. Den här filen innehåller även instruktioner för WAN-start att använda en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för att skydda data.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
Den här wanboot.conf-filen anger följande konfiguration.
wanboot-programmet heter wanboot.s10_sparc. Det här programmet finns i wanboot-katalogen i dokumentrotkatalogen på wanserver-1.
Adressen till programmet wanboot-cgi på wanserver-1 är https://www.example.com/cgi-bin/wanboot-cgi. Den del av URL:n som anger https indikerar att den här WAN-startinstallationen använder säker HTTP.
WAN-startminiroten heter miniroot.s10_sparc. Miniroten finns i miniroot-katalogen i dokumentrotkatalogen på wanserver-1.
Programmet wanboot och WAN-startfilsystemet är signerade genom att de använder en HMAC SHA1-hashningsnyckel.
Programmet wanboot och WAN-startfilsystemet är krypterade med en 3DES-nyckel.
Servern autentiseras under installationen.
Klienten autentiseras inte under installationen.
Om du utförde uppgifterna i (Valfritt) Använd privat nyckel och certifikat för klientautentisering anger du den här parametern till client_authentication=yes
Inga ytterligare värdnamn behövs för WAN-installationen. Alla värdnamn som krävs av programmet wanboot-cgi anges i filen wanboot.conf och i klientcertifikatet.
Loggmeddelanden om start och installation visas i systemkonsolen. Om du har konfigurerat inloggningsservern enligt (Valfritt) Konfigurera WAN-startservern som inloggningsserver, och du vill att WAN-startmeddelanden ska visas på WAN-startservern också, anger du den här parametern till boot_logger=https://www.example.com/cgi-bin/bootlog-cgi.
Systemkonfigurationsfilen som anger platsen för sysidcfg- och JumpStart-filerna finns i sys-conf.s10–sparc-filen i /etc/netboot-hierarkin på wanserver-1.
I det här exemplet sparar du filen wanboot.conf i katalogen /etc/netboot/192.168.198.0/010003BA152A42 på wanserver-1.
Om du vill starta klienten över WAN-nätverket med kommandot boot net måste klientens primära nätverksenhet anges som enhetsalias för net. Vid klientens ok-ledtext skriver du kommandot devalias vilket verifierar att net-aliaset är angivet för den primära nätverksenheten /pci@1f,0/pci@1,1/network@c,1.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
I föregående exempel tilldelas den primära nätverksenheten /pci@1f,0/pci@1,1/network@c,1 till aliaset net. Du behöver inte återställa alias.
I Skapa serverns och klientens nycklar skapade du hashningsnyckeln och krypteringsnyckeln för att skydda dina data under installationen. Om du vill att klienten ska dekryptera data som överförs från wanserver-1 under installationen, installerar du de här nycklarna på wanclient-1.
Visa nyckelvärdena på wanserver-1.
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Det föregående exemplet använder följande information.
Anger IP-adressen för klientens delnät
Anger klientens ID
Anger värdet för klientens HMAC SHA1-hashningsnyckel
Anger värdet för klientens 3DES-krypteringsnyckel
Om du använder en AES-krypteringsnyckel i installationen, ändrar du type=3des till type=aes för att visa krypteringsnyckelns värde.
Installera nycklarna vid ok-ledtexten på wanclient-1.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Följande åtgärder utförs med de föregående kommandona.
Installerar HMAC SHA1-hashningsnyckeln med värdet b482aaab82cb8d5631e16d51478c90079cc1d463 på wanclient-1
Installerar 3DES-krypteringsnyckeln med värdet 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 på wanclient-1
Du kan utföra en obevakad installation genom att ange argumentvariablerna för nätverksstart för wanclient-1 vid ok-ledtexten och sedan starta klienten.
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Återställer ... Sun Blade 100 (UltraSPARC-IIe), Inget tangentbord Copyright 1998-2003 Sun Microsystems, Inc. Med ensamrätt. OpenBoot 4.x.build_28, 512 MB minne installerat, Serienr 50335475. Ethernet-adress 0:3:ba:e:f3:75, Värd-id: 83000ef3. Starta om med kommandot: boot net - install Startenhet: /pci@1f,0/network@c,1 Fil och arg: - install <time unavailable> wanboot-förlopp: wanbootfs: Läst 68 av 68 kB (100%) <time unavailable> wanboot-info: wanbootfs: Hämtningen klar Fre 20 jun 09:16:06 wanboot-förlopp: miniroot: Läst 166067 av 166067 kB (100%) Fre 20 jun 20Tis 15 apr 15 09:16:06 wanboot-info: miniroot: Hämtningen klar SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. Med ensamrätt. Användning måste ske i enlighet med licensvillkoren. Konfigurerar enheter. |
Följande variabler har angetts.
Klientens IP-adress har angetts till 192.168.198.210
IP-adressen för klientens router har angetts till 192.168.198.1
Klientens delnätsmask har angetts till 255.255.255.0
Klientens värdnamn har angetts till wanclient-1
Programmet wanboot-cgi finns på adressen http://192.168.198.2/cgi-bin/wanboot-cgi
Klienten installerar över WAN. Om programmet wanboot inte hittar all installationsinformation som krävs kan du bli ombedd att ange den saknade informationen på kommandoraden.