Esta parte describe cómo se usa un método de instalación de arranque mediante una red de área amplia (WAN) para instalar un sistema a través de una red de este tipo.
En este capítulo se ofrece una información general del método de instalación mediante arranque WAN. En él se tratan los siguientes temas.
El método de instalación mediante arranque WAN permite arrancar e instalar a través de una Red de área extensa (WAN) mediante HTTP. arranque WAN le permite instalar Solaris SO en sistemas basados en SPARC mediante una red pública amplia donde la infraestructura de red puede que sea poco fiable. Se puede utilizar el arranque WAN con funciones de seguridad para proteger la confidencialidad de los datos y la integridad de la imagen de instalación.
El método de instalación mediante arranque WAN permite la transmisión de un archivo flash de Solaris encriptado a través de una red pública hacia un cliente remoto basado en SPARC. El programa de arranque en WAN instala el sistema cliente mediante una instalación JumpStart personalizada. Para proteger la integridad de la instalación puede utilizar claves privadas para autenticar y cifrar los datos. También puede transmitir sus datos y archivos de instalación a través de una conexión HTTP protegida por el procedimiento de configurar sus sistemas para el uso de certificados digitales.
Para efectuar una instalación mediante el arranque WAN, deberá instalar un sistema SPARC descargando la información siguiente de un servidor web a través de una conexión HTTP o HTTP segura.
Programa wanboot: el programa wanboot es el programa de arranque de segundo nivel que carga la miniroot de arranque WAN, los archivos de configuración del cliente y los archivos de instalación. El programa wanboot efectúa tareas similares a las realizadas por los programas de arranque de segundo nivel ufsboot o inetboot.
Sistema de archivos de arranque WAN: el arranque WAN utiliza diferentes archivos para configurar el cliente y recuperar datos para instalar el sistema cliente. Estos archivos se encuentran en el directorio /etc/netboot del servidor web. El programa wanboot-cgi transmite estos archivos al cliente en forma de sistema de archivos, denominado sistema de archivos de arranque WAN.
Miniroot de arranque WAN: la miniroot de arranque WAN es una versión de la miniroot de Solaris modificada para efectuar una instalación mediante arranque WAN. La minirraíz de arranque WAN, como la minirraíz de Solaris, contiene un núcleo y el software suficiente para instalar el sistema operativo Solaris, Estas minirraíces contienen un subconjuto del software de la minirraíz de Solaris.
Archivos de configuración de JumpStart personalizado: para instalar el sistema, el arranque WAN transmite los archivos sysidcfg, rules.ok y de perfil al cliente; a continuación, los utiliza para efectuar una instalación JumpStart personalizada en el sistema cliente.
Contenedor Solaris Flash: un contenedor Solaris Flash es un conjunto de archivos copiados de un sistema maestro que se pueden utilizar para instalar un sistema cliente. El arranque WAN utiliza el método de instalación JumpStart personalizada para instalar un contenedor Solaris Flash en el sistema cliente, de tal manera que, tras la instalación, éste contiene la configuración exacta del sistema principal.
El comando flarcreate ya no presenta limitaciones en cuanto al tamaño de los archivos. Puede crear un contenedor de Solaris Flash cuyos archivos tengan un tamaño superior a 4 GB.
Para obtener más información, consulte Creación de un contenedor con archivos de gran tamaño de Guía de instalación de Solaris 10 11/06: contenedores Solaris Flash (creación e instalación).
A continuación se instala el contenedor en el cliente mediante el método de instalación JumpStart personalizada.
Se puede proteger la transferencia de la información indicada mediante claves y certificados digitales.
Para obtener una descripción más detallada acerca de la secuencia de eventos de una instalación de arranque WAN, consulte Funcionamiento del Arranque WAN (información general) .
El método de instalación mediante arranque WAN permite instalar sistemas basados en SPARC ubicados en áreas geográficamente muy alejadas. Es conveniente utilizar el arranque en WAN para instalar servidores y clientes remotos a los que únicamente se puede acceder a través de una red pública.
Si desea instalar sistemas ubicados en su red de área local (LAN), el método de instalación mediante arranque WAN puede requerir más trabajo de configuración y administración del necesario. Para obtener información sobre cómo instalar sistemas en una LAN, consulte el Capítulo 4, Instalación desde la red (información general).
El arranque WAN utiliza una combinación de servidores, archivos de configuración, programas de Common Gateway Interface (CGI) y archivos de instalación para instalar un cliente remoto basado en SPARC. En esta sección se describe la secuencia general de eventos que tienen lugar en una instalación mediante un arranque WAN.
La Figura 9–1 muestra la secuencia básica de eventos de una instalación de arranque WAN. En esta figura, un cliente SPARC recupera los datos de configuración y los archivos de instalación de un servidor web y de un servidor de instalación a través de una WAN.
El cliente se arranca mediante uno de estos métodos.
Arranque desde la red configurando las variables de interfaz de red en la PROM de Open Boot (OBP).
Arranque desde la red con la opción DHCP.
Arranque desde un CD-ROM local.
La OBP del cliente obtiene la información de configuración de una de estas fuentes:
Valores de argumentos de arranque escritos por el usuario en la línea de órdenes
El servidor DHCP, si la red utiliza DHCP
La OBP del cliente solicita el programa de arranque en WAN de segundo nivel (wanboot).
La OBP del cliente descarga el programa wanboot de las fuentes siguientes.
De un servidor web especial, denominado servidor de arranque WAN, mediante el Protocolo de transferencia de hipertexto (HTTP)
De un CD-ROM local (no se muestra en la figura)
El programa wanboot solicita al servidor de arranque WAN la información de configuración del cliente.
El programa wanboot descarga los archivos de configuración transmitidos por el programa wanboot-cgi del servidor de arranque WAN. Los archivos de configuración se transmiten al cliente como sistema de archivos de arranque WAN.
El programa wanboot solicita al servidor de arranque WAN la descarga de la minirraíz de arranque en WAN.
El programa wanboot descarga la miniroot de arranque WAN del servidor de arranque WAN mediante HTTP o HTTP seguro.
El programa wanboot carga y ejecuta el núcleo de UNIX de la minirraíz de arranque WAN.
El núcleo de UNIX localiza y monta el sistema de archivos de arranque WAN para que lo utilice el programa de instalación de Solaris.
El programa de instalación solicita a un servidor de instalación la descarga de un contenedor Solaris Flash y de archivos de JumpStart personalizado.
El programa de instalación descarga el contenedor y los archivos de JumpStart personalizado mediante conexión HTTP o HTTPS.
El programa de instalación efectúa una instalación JumpStart personalizada para instalar el contenedor Solaris Flash en el cliente.
El método de instalación mediante arranque WAN permite utilizar claves de cifrado y de hashing y certificados digitales para proteger los datos del sistema durante la instalación. En esta sección se describen brevemente los distintos métodos de protección de datos admitidos por el método de instalación mediante arranque WAN.
Para proteger los datos transmitidos del servidor de arranque WAN al cliente, puede crear una clave HMAC (código de autenticación de mensaje cifrado), que se instala tanto en el servidor de arranque WAN como en el cliente. Aquél utiliza esta clave para firmar los datos que se deben transmitir al cliente, a continuación, éste la utiliza para verificar la integridad de los datos transmitidos por el servidor de arranque WAN. Una vez instalada una clave de hashing en un cliente, éste la utilizará en las futuras instalaciones mediante arranque WAN.
Para obtener instrucciones acerca de cómo usar una clave de hashing, consulte (Opcional) Para crear claves de hashing y de cifrado.
El método de instalación mediante arranque WAN permite cifrar los datos que se transmiten del servidor de arranque WAN al cliente. Se pueden utilizar las utilidades de arranque WAN para crear una clave de cifrado Triple Data Encryption Standard (3DES) o Advanced Encryption Standard (AES) que, a continuación, se puede proporcionar tanto al servidor de arranque WAN como al cliente. Aquél utiliza esta clave de encriptación para encriptar los datos enviados del servidor de arranque WAN al cliente. Éste puede, entonces, utilizarla para desencriptar los archivos de configuración encriptaciones y los archivos de seguridad transmitidos durante la instalación.
Después de instalar una clave de cifrado en un cliente, éste la utilizará en las futuras instalaciones del arranque WAN.
Es posible que su sede no permita el uso de claves de encriptación. Para averiguarlo, consúltelo con el administrador de seguridad de la sede. Si ésta permite encriptación, pregunte al administrador de seguridad qué tipo de clave de encriptación (3DES o AES) debe utilizar.
Para obtener instrucciones acerca de cómo usar una clave de cifrado, consulte (Opcional) Para crear claves de hashing y de cifrado.
El arranque WAN admite el uso de HTTP sobre Capa de zócalos seguros (HTTPS) para transferir datos entre el servidor del arranque WAN y el cliente. HTTPS permite obligar al servidor, o al cliente y al servidor, a que se autentiquen durante la instalación; también encripta los datos transferidos del servidor al cliente durante la instalación.
HTTPS emplea certificados digitales para autenticar sistemas que intercambian datos a través de la red. Un certificado digital es un archivo que identifica un sistema, ya sea servidor ya sea cliente, como sistema fiable durante la comunicación en línea. Puede solicitar un certificado digital de una entidad certificadora externa o crear su propio certificado y entidad certificadora.
Para habilitar al cliente para que confíe en el servidor y acepte datos procedentes de éste deberá instalar un certificado digital en el servidor. A continuación puede indicar al cliente que confíe en este certificado. También puede requerir al cliente que se autentique ante los servidores proporcionándole un certificado digital. A continuación puede indicar a aquéllos que acepten al firmante del certificado cuando el cliente presente éste durante la instalación.
Para utilizar certificados digitales durante la instalación deberá configurar el servidor web para que utilice HTTPS. Consulte la documentación de su servidor web para obtener información acerca del uso de HTTPS.
Para obtener instrucciones acerca de los requisitos para usar certificados digitales durante su instalación de arranque WAN, consulte Requisitos de certificados digitales. Para obtener instrucciones acerca de cómo usar los certificados digitales en una instalación de arranque WAN, consulte (Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente.
El arranque WAN admite diversos niveles de seguridad. Puede usar una combinación de funciones de seguridad compatibles con el arranque WAN para cumplir las necesidades de la red. Una configuración más segura requiere más administración, pero también protege los datos del sistema en mayor medida. En el caso de sistemas más importantes o de sistemas que desee instalar mediante una red pública, puede optar por la configuración que aparece en Configuración de una instalación segura mediante arranque WAN. En el caso de sistemas menos importantes (o de sistemas en redes semiprivadas), puede usar las configuraciones que se describen en Configuración de una instalación no segura mediante el arranque WAN.
En esta sección se describen brevemente las distintas configuraciones que pueden utilizarse para establecer el nivel de seguridad de una instalación mediante arranque WAN., así como los mecanismos de seguridad que requieren.
Esta configuración protege la integridad de los datos intercambiados entre el servidor y el cliente y ayuda a mantener la confidencialidad del contenido del intercambio. En esta configuración se utiliza una conexión HTTPS y un algoritmo 3DES o AES para encriptar los archivos de configuración del cliente. Esta configuración también exige al servidor que se autentique al cliente durante la instalación. Una instalación segura mediante arranque WAN precisa de las siguientes características de seguridad.
HTTPS habilitado en el servidor del arranque WAN y en el servidor de instalación
Clave de hashing HMAC SHA1 en el servidor del arranque WAN y en el cliente
Clave de encriptación 3DES o AES para el servidor del arranque WAN y el cliente
Certificado digital o una entidad certificadora para el servidor del arranque WAN
Si exige también autenticación de cliente durante la instalación, deberá utilizar asimismo las siguientes características de seguridad.
Clave privada para el servidor del arranque WAN
Certificado digital para el cliente
Para obtener una lista de las tareas que debe llevar a cabo para instalar usando esta configuración, consulte Tabla 11–1.
Esta configuración de seguridad requiere un esfuerzo mínimo, pero proporciona una transferencia de datos menos segura del servidor web al cliente. No es necesario crear claves de hashing o de cifrado ni certificados digitales; tampoco se ha de configurar el servidor web para que utilice HTTPS. No obstante, esta configuración transfiere los datos y archivos de instalación a través de una conexión HTTP, dejando la instalación vulnerable para ser interceptada por la red.
Si desea que el cliente compruebe la integridad de los datos transmitidos puede utilizar una clave de hashing HMAC SHA1 con esta configuración. Sin embargo, dicha clave de hashing no protege el contenedor Solaris Flash. Éste se transfiere de forma no segura entre el servidor y el cliente durante la instalación.
Para obtener una lista de las tareas que debe llevar a cabo para instalar usando esta configuración, consulte la Tabla 11–2.
En este capítulo se describe la forma de preparar la red para una instalación mediante un arranque WAN. En él se tratan los siguientes temas.
Esta sección describe los requisitos del sistema para llevar a cabo una instalación mediante arranque WAN.
Tabla 10–1 Requisitos de sistema para una instalación mediante arranque WAN
Sistema y descripción |
Requisitos |
---|---|
Servidor de arranque WAN: el servidor de arranque WAN es un servidor que proporciona el programa wanboot, los archivos de configuración y seguridad, y la miniroot de arranque WAN. |
|
Servidor de instalación: proporciona el contenedor Solaris Flash y los archivos JumpStart personalizados necesarios para instalar el cliente. |
Si el servidor de instalación es un sistema distinto del servidor de arranque WAN, deberá cumplir los siguientes requisitos adicionales.
|
Sistema cliente: el sistema remoto que desea instalar a través de una WAN. |
|
(Opcional) Servidor DHCP: se puede utilizar un servidor DHCP para proporcionar información de configuración del cliente. |
Si utiliza un servidor DHCP SunOS, deberá efectuar una de las tareas siguientes.
Si el servidor DHCP se encuentra en una subred distinta que la del cliente, deberá configurar un agente relé BOOTP. Para obtener información sobre cómo configurar un agente relé BOOTP, consulte el Capítulo 16, Configuring the DHCP Service (Tasks) de System Administration Guide: IP Services. |
(Opcional) Servidor de registro: de forma predeterminada, todos los mensajes de registro de arranque e instalación se muestran en la consola del cliente durante la instalación mediante WAN. Si desea ver estos mensajes en otro sistema, puede especificar un sistema para que actúe como servidor de registro. |
Se debe configurar como servidor web Nota – Si utiliza HTTPS durante la instalación, el servidor de registro debe ser el mismo sistema que el servidor de arranque WAN. |
(Opcional) Servidor proxy: se puede configurar la función de arranque WAN para que utilice un proxy HTTP durante la descarga de los datos y los archivos de instalación. |
Si la instalación utiliza HTTPS, el servidor proxy se debe configurar para que traspase el protocolo HTTPS. |
El software del servidor web utilizado en los servidores de arranque WAN y de instalación debe cumplir los requisitos siguientes.
Requisitos de sistema operativo: el arranque WAN proporciona un programa Common Gateway Interface (CGI) (wanboot-cgi) que convierte los datos y archivos a un formato específico esperado por el equipo cliente. Para realizar una instalación mediante arranque WAN con estas secuencias, el software del servidor web debe ejecutarse en Solaris 9 12/03 SO o en una versión compatible.
Limitaciones de tamaño del archivo: el software de servidor web puede limitar el tamaño de los archivos que pueden transmitirse por HTTP. Repase la documentación de su servidor web para cerciorarse de que el software pueda transmitir archivos del tamaño de un contenedor Solaris Flash.
El comando flarcreate ya no presenta limitaciones de tamaño en los archivos. Puede crear un contenedor de Solaris Flash cuyos archivos tengan un tamaño superior a 4 GB.
Para obtener más información, consulte Creación de un contenedor con archivos de gran tamaño de Guía de instalación de Solaris 10 11/06: contenedores Solaris Flash (creación e instalación).
Compatibilidad con SSL: si desea utilizar HTTPS en su instalación mediante arranque WAN, el software del servidor web deberá admitir la versión 3 de SSL.
La configuración de los servidores requeridos para el arranque WAN se puede configurar para que se ajuste a las necesidades de la red. Se puede alojar todos los servidores en un único o en varios sistemas.
Servidor único: si desea centralizar los datos y archivos de arranque WAN en un único sistema, puede alojar todos los servidores en la misma máquina. Puede administrar todos los servidores en un único sistema y sólo necesita configurar un sistema como servidor web. No obstante, es posible que un único servidor no pueda admitir el volumen de tráfico necesario para un número importante de instalaciones mediante arranque WAN.
Varios servidores: si desea distribuir los datos y archivos de instalación en la red, puede alojar dichos servidores en varias máquinas. Puede establecer un servidor de arranque WAN centralizado y configurar varios servidores de instalación para alojar los contenedores Solaris Flash en la red. Si aloja los servidores de instalación y de registro en máquinas independientes, deberá configurarlos como servidores web.
Durante una instalación mediante arranque WAN, el programa wanboot-cgi transmite los siguientes archivos.
Programa wanboot
Minirraíz de arranque WAN
Archivos JumpStart personalizados
Contenedor Solaris Flash
Para habilitar el programa wanboot-cgi para que transmita estos archivos, deberá almacenarlos en un directorio accesible para el software del servidor web. Para ello puede almacenarlos en el directorio raíz de documentos del servidor de web.
El directorio root de documentos, o el directorio de documentos principal, es el directorio del servidor web en el se almacenan los archivos que desea que estén disponibles para los clientes. Para nombrarlo y configurarlo puede utilizar el software del servidor web. Consulte la documentación del servidor web para obtener más información acerca de cómo configurar el directorio root de documentos en el servidor web.
Es conveniente crear distintos subdirectorios en el directorio root de documentos para almacenar los diferentes archivos de instalación y configuración. Por ejemplo, es recomendable crear subdirectorios específicos para cada grupo de clientes que desee instalar. Si tiene previsto instalar varias versiones distintas de Solaris SO en su red, puede crear subdirectorios para cada versión.
La Figura 10–1 muestra una estructura de ejemplo básica de un directorio root de documentos. En el ejemplo, el servidor de arranque WAN y el servidor de instalación se encuentran en la misma máquina. El servidor ejecuta el software de servidor web Apache.
Este directorio de documentos de ejemplo utiliza la estructura siguiente.
El directorio /opt/apache/htdocs es el directorio root de documentos.
El directorio de miniroot de arranque WAN (miniroot) contiene la miniroot de arranque WAN.
El directorio de Solaris Flash (flash) contiene los archivos JumpStart personalizados necesarios para instalar el cliente y el subdirectorio archives. El directorio archives incluye el contenedor Flash de Solaris 10 11/06.
Si los servidores de arranque WAN y de instalación se encuentran en sistemas distintos, es conveniente que el directorio flash esté en el servidor de instalación. Cerciórese de que los archivos y directorios sean accesibles para el servidor de arranque WAN.
Consulte la documentación del servidor web para obtener información sobre cómo crear el directorio raíz de documentos. Para obtener instrucciones detalladas acerca de cómo crear y almacenar dichos archivos de instalación, consulte Creación de los archivos para la instalación JumpStart personalizada.
El directorio /etc/netboot contiene la información de configuración, clave privada, certificado digital y entidad certificadora necesarios para una instalación mediante arranque WAN. En esta sección se describen los archivos y directorios que se pueden crear en el directorio /etc/netboot para personalizar la instalación mediante arranque WAN.
Durante la instalación, el programa wanboot-cgi busca la información del cliente en el directorio /etc/netboot del servidor de arranque WAN y convierte esta información en el sistema de archivos de arranque WAN que, luego, transmite al cliente. Se pueden crear subdirectorios en el directorio /etc/netboot para personalizar el ámbito de la instalación en WAN. Utilice las siguientes estructuras de directorio para definir cómo se comparte la información de configuración entre los clientes que desea instalar.
Configuración global: si desea que todos los clientes de la red compartan la información de configuración, guarde los archivos que desee compartir en el directorio /etc/netboot.
Configuración específica de red: si desea que sólo los equipos de una subred específica compartan información de configuración, almacene los archivos de configuración que desee compartir en el subdirectorio /etc/netboot. El subdirectorio debe seguir este convenio de denominación.
/etc/netboot/ip_red |
En este ejemplo, ip_red es la dirección IP de la subred del cliente. Por ejemplo, si desea que todos los sistemas de la subred con la dirección IP 192.168.255.0 compartan los archivos de configuración, cree un directorio /etc/netboot/192.168.255.0. A continuación almacene en él los archivos de configuración.
Configuración específica del cliente: si desea que sólo un cliente específico utilice el sistema de archivos de arranque, almacene los archivos del sistema de arranque en el subdirectorio de /etc/netboot. El subdirectorio debe seguir este convenio de denominación.
/etc/netboot/ip_red/ID_cliente |
En este ejemplo, ip_red es la dirección IP de la subred. ID_cliente es el ID del cliente asignado por el servidor DHCP o un ID de cliente especificado por el usuario. Por ejemplo, si desea que un sistema con ID de cliente 010003BA152A42 en la subred 192.168.255.0 utilice archivos de configuración específicos, cree un directorio /etc/netboot/192.168.255.0/010003BA152A42. A continuación guarde en él los archivos apropiados.
Para especificar la información de seguridad y configuración, se deben crear los archivos siguientes y guardarlos en el directorio /etc/netboot.
wanboot.conf: este archivo especifica la información de configuración de cliente para una instalación mediante arranque WAN.
Archivo de configuración del sistema ( system.conf): este archivo de configuración del sistema especifica la ubicación del archivo sysidcfg y los archivos JumpStart personalizados del cliente.
keystore: este archivo contiene la clave de hashing HMAC SHA1, la clave de cifrado 3DES o AES y la clave privada SSL del cliente.
truststore: este archivo contiene los certificados digitales de las entidades emisoras de certificados en las que el cliente debe confiar. Estos certificados acreditados indican al cliente que confíe en el servidor durante la instalación.
certstore: este archivo contiene el certificado digital del cliente.
El archivo certstore debe estar en el directorio ID_cliente. Consulte Personalización del ámbito de la instalación mediante arranque WAN para obtener más información acerca de los subdirectorios del directorio /etc/netboot.
Para obtener instrucciones detalladas sobre cómo crear y almacenar estos archivos, consulte los procedimientos siguientes.
Para instalar clientes en la red, es conveniente compartir los archivos de configuración y seguridad entre varios clientes o en subredes enteras. Para compartir dichos archivos, distribuya su información de configuración en los directorios /etc/netboot/ip_red/ID_cliente, /etc/netboot/ip_red y /etc/netboot. El programa wanboot-cgi busca en estos directorios la información de configuración que se ajusta mejor al cliente y la utiliza durante la instalación.
El programa wanboot-cgi permite realizar búsquedas de la información del cliente en el siguiente orden.
/etc/netboot/ip_red/ ID_cliente: el programa wanboot-cgi busca en primer lugar información de configuración específica del equipo cliente. Si el directorio /etc/netboot/ip_red/ID_cliente contiene toda la información de configuración del cliente, el programa wanboot-cgi no busca información de configuración en ningún otro lugar del directorio /etc/netboot.
/etc/netboot/ip_red: si el directorio /etc/netboot/ip_red/ID_cliente no contiene toda la información necesaria, el programa wanboot-cgi busca a continuación información de configuración de subred en el directorio /etc/netboot/ip_red.
/etc/netboot: si el directorio /etc/netboot/ip_red no contiene la información restante, el programa wanboot-cgi busca la información de configuración global en el directorio /etc/netboot.
La Figura 10–2 muestra cómo se puede configurar el directorio /etc/netboot para personalizar las instalaciones mediante arranque WAN.
La distribución de directorios de /etc/netboot en la Figura 10–2 permite realizar las siguientes instalaciones de arranque WAN.
Al instalar el cliente 010003BA152A42, el programa wanboot-cgi utiliza los siguientes archivos del directorio /etc/netboot/192.168.255.0/010003BA152A42.
system.conf
keystore
truststore
certstore
El programa wanboot-cgi utiliza, a continuación, el archivo wanboot.conf del directorio /etc/netboot/192.168.255.0.
Al instalar un cliente ubicado en la subred 192.168.255.0, el programa wanboot-cgi utiliza los archivos wanboot.conf, keystore y truststore del directorio /etc/netboot/192.168.255.0. A continuación, el programa wanboot-cgi utiliza el archivo system.conf del directorio /etc/netboot.
Si se instala una máquina cliente no ubicada en la subred 192.168.255.0, el programa wanboot-cgi utiliza los archivos siguientes del directorio /etc/netboot.
wanboot.conf
system.conf
keystore
truststore
El programa wanboot-cgi transmite los datos y archivos del servidor de arranque WAN al cliente. Deberá cerciorarse de que dicho programa se encuentra en un directorio del servidor de arranque WAN accesible al cliente. Una forma de hacer que este programa sea accesible al cliente es almacenarlo en el directorio cgi-bin del servidor de arranque WAN. Quizá deba configurar el software de servidor web para que utilice wanboot-cgi como programa CGI. Consulte la documentación de su servidor web para obtener información acerca de los requisitos de los programas CGI.
Si desea incrementar la seguridad de la instalación mediante arranque WAN puede utilizar certificados digitales para habilitar la autenticación de cliente y servidor. El arranque WAN puede utilizar un certificado digital para establecer la identidad del servidor o del cliente durante una transacción en línea. Los certificados digitales los emite una entidad certificadora (CA). Éstos contienen un número de serie, fechas de caducidad, una copia de la clave pública del poseedor del certificado y la firma digital de la entidad certificadora.
Si desea requerir autenticación de servidor o de cliente y servidor durante la instalación, deberá instalar certificados digitales en el servidor. Siga estas directrices al utilizar certificados digitales.
Si desea utilizar certificados digitales, se deben formatear como parte de un archivo de tipo Public-Key Cryptography Standards #12 (PKCS#12).
Si crea sus propios certificados, deberá crearlos como archivos PKCS#12.
Si recibe los certificados de otras entidades certificadoras, solicítelos en formato PKCS#12.
Para obtener instrucciones detalladas sobre cómo utilizar certificados PKCS#12 durante la instalación mediante arranque WAN, consulte (Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente.
Aunque el arranque WAN ofrece distintas características de seguridad, no resuelve estos problemas potenciales.
Ataques de denegación de servicio (DoS): un ataque de denegación de servicio, que puede adquirir diversas formas, tiene como objetivo impedir a los usuarios el acceso a un servicio determinado. Un ataque DoS puede sobrecargar la red con una gran cantidad de datos, o consumir de forma agresiva una cantidad limitada de recursos. Otros ataques DoS manipulan los datos transmitidos entre sistemas mientras están en tránsito. El método de instalación mediante arranque WAN no protege a los servidores ni a los clientes contra ataques DoS.
Binarios dañados en los servidores: método de instalación mediante arranque WAN no comprueba la integridad de la miniroot de arranque WAN ni del contenedor Solaris Flash antes de efectuar la instalación. Antes de efectuar la instalación, compruebe la integridad de los binarios de Solaris según la Solaris Fingerprint Database en http://sunsolve.sun.com.
Privacidad de las claves de cifrado y de hashing: si utiliza claves de cifrado o de hashing con arranque WAN, deberá escribir el valor de la clave en la línea de comandos durante la instalación. Siga las precauciones pertinentes en su red para garantizar la privacidad de estos valores.
Riesgo del servicio de nombres de la red: si utiliza un servicio de nombres en la red, compruebe la integridad de los servidores de nombres antes de efectuar la instalación mediante arranque WAN.
Para configurar la red para una instalación mediante arranque WAN deberá recopilar una amplia variedad de información. Es conveniente anotar dicha información para preparar la instalación mediante WAN.
Utilice las hojas de trabajo siguientes para registrar la información de instalación mediante arranque WAN para su red.
Tabla 10–2 Hoja de trabajo de recopilación de información del servidorTabla 10–3 Hoja de trabajo de recopilación de información del cliente
Información |
Notas |
---|---|
Dirección IP de la subred del cliente |
|
Dirección IP del encaminador del cliente |
|
Dirección IP del cliente |
|
Máscara de subred del cliente |
|
Nombre de sistema del cliente |
|
Dirección MAC del cliente |
|
En este capítulo se describen las siguientes tareas necesarias para preparar la red para una instalación mediante un arranque WAN.
Creación de los archivos para la instalación JumpStart personalizada
(Opcional) Suministro de información de configuración mediante un servidor DHCP
(Opcional) Para configurar el servidor de registro de arranque WAN
En las tablas siguientes se enumeran las tareas que se deben efectuar para preparar una instalación mediante un arranque WAN.
Para obtener una lista de las tareas que debe realizar para preparar una instalación de arranque WAN seguro, consulte la Tabla 11–1.
Para obtener una descripción sobre cómo realizar una instalación mediante arranque WAN segura a través de una conexión HTTPS, consulte Configuración de una instalación segura mediante arranque WAN.
Para obtener una lista de las tareas que debe realizar para preparar una instalación de arranque WAN insegura, consulte la Tabla 11–2.
Para obtener una descripción sobre cómo realizar una instalación mediante arranque WAN no segura, consulte Configuración de una instalación no segura mediante el arranque WAN.
Para usar un servidor DHCP o un servidor de registro, complete las tareas opcionales que figuran en la parte inferior de cada tabla.
Tabla 11–1 Mapa de tareas: preparación para una instalación segura mediante un arranque WAN
Tarea |
Descripción |
Para obtener instrucciones |
---|---|---|
Decidir las características de seguridad que desee utilizar en su instalación. |
Repase las características y configuraciones de seguridad para decidir el nivel de seguridad que desea utilizar en su instalación mediante un arranque WAN. |
Protección de datos durante una instalación mediante el Arranque WAN Configuraciones de seguridad admitidas por el Arranque WAN (información general) |
Recopilar información de la instalación mediante un arranque WAN. |
Complete la hoja de trabajo para registrar toda la información necesaria para efectuar una instalación mediante un arranque WAN. |
Recopilación de información para instalaciones mediante arranque WAN |
Crear el directorio root de documentos en el servidor de arranque WAN. |
Cree el directorio root de documentos y los subdirectorios necesarios para servir los archivos de configuración e instalación. | |
Crear la miniroot de arranque WAN. |
Utilice el comando setup_install_server para crear la minirraíz de arranque WAN. | |
Comprobar que el sistema cliente admite arranque WAN. |
Compruebe en la OBP del cliente si los argumentos de arranque admiten arranque WAN. | |
Instalar el programa wanboot en el servidor de arranque WAN. |
Copie el programa wanboot en el directorio raíz de documentos del servidor de arranque WAN. |
Instalación del programa wanboot en el servidor de arranque WAN |
Instalar el programa wanboot-cgi en el servidor de arranque WAN. |
Copie el programa wanboot-cgi en el directorio CGI del servidor de arranque WAN. |
Para copiar el programa wanboot-cgi al servidor de arranque WAN |
(Opcional) Configurar el servidor de registro. |
Configure un sistema dedicado para mostrar los mensajes de registro de arranque y de instalación. |
(Opcional) Para configurar el servidor de registro de arranque WAN |
Configurar la jerarquía /etc/netboot. |
Llene la jerarquía /etc/netboot con los archivos de configuración y seguridad necesarios para una instalación mediante un arranque WAN. |
Creación de la jerarquía /etc/netboot en el servidor de arranque WAN |
Configurar el servidor web para que utilice HTTP seguro y así incrementar la seguridad de la instalación mediante un arranque WAN. |
Identifique los requisitos para que el servidor web pueda efectuar una instalación mediante un arranque WAN con HTTPS. | |
Formatear certificados digitales para incrementar la seguridad de la instalación mediante un arranque WAN. |
Divida el archivo PKCS#12 en una clave privada y un certificado para utilizarlos con la instalación mediante un arranque WAN. |
(Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente |
Crear una clave de hashing y una clave de encriptación para aumentar la seguridad de la instalación mediante un arranque WAN. |
Utilice el comando wanbootutil keygen para crear claves HMAC SHA1, 3DES o AES. | |
Crear el contenedor Solaris Flash. |
Utilice el comando flarcreate para crear un contenedor del software que desee instalar en el cliente. | |
Crear los archivos de instalación para la instalación JumpStart personalizada. |
Utilice un editor de textos para crear los archivos siguientes:
| |
Crear el archivo de configuración del sistema. |
Establezca la información de configuración en el archivo system.conf. | |
Crear el archivo de configuración de arranque WAN. |
Establezca la información de configuración en el archivo wanboot.conf. | |
(Opcional) Configurar el servidor DHCP para que admita una instalación mediante un arranque WAN. |
Establezca las opciones y las macros de proveedor de Sun en el servidor DHCP. |
Preconfiguración de la información de configuración del sistema mediante el servicio DHCP (tareas) |
Tabla 11–2 Mapa de tareas: preparación para una instalación insegura mediante un arranque WAN
Tarea |
Descripción |
Para obtener instrucciones |
---|---|---|
Decidir las características de seguridad que desee utilizar en su instalación. |
Repase las características y configuraciones de seguridad para decidir el nivel de seguridad que desea utilizar en su instalación mediante un arranque WAN. |
Protección de datos durante una instalación mediante el Arranque WAN Configuraciones de seguridad admitidas por el Arranque WAN (información general) |
Recopilar información de la instalación mediante un arranque WAN. |
Complete la hoja de trabajo para registrar toda la información necesaria para efectuar una instalación mediante un arranque WAN. |
Recopilación de información para instalaciones mediante arranque WAN |
Crear el directorio root de documentos en el servidor de arranque WAN. |
Cree el directorio root de documentos y los subdirectorios necesarios para servir los archivos de configuración e instalación. | |
Crear la miniroot de arranque WAN. |
Utilice el comando setup_install_server para crear la minirraíz de arranque WAN. | |
Comprobar que el sistema cliente admite arranque WAN. |
Compruebe en la OBP del cliente si los argumentos de arranque admiten arranque WAN. | |
Instalar el programa wanboot en el servidor de arranque WAN. |
Copie el programa wanboot en el directorio raíz de documentos del servidor de arranque WAN. |
Instalación del programa wanboot en el servidor de arranque WAN |
Instalar el programa wanboot-cgi en el servidor de arranque WAN. |
Copie el programa wanboot-cgi en el directorio CGI del servidor de arranque WAN. |
Para copiar el programa wanboot-cgi al servidor de arranque WAN |
(Opcional) Configurar el servidor de registro. |
Configure un sistema dedicado para mostrar los mensajes de registro de arranque y de instalación. |
(Opcional) Para configurar el servidor de registro de arranque WAN |
Configurar la jerarquía /etc/netboot. |
Llene la jerarquía /etc/netboot con los archivos de configuración y seguridad necesarios para una instalación mediante un arranque WAN. |
Creación de la jerarquía /etc/netboot en el servidor de arranque WAN |
(Opcional) Crear una clave de hashing. |
Utilice la orden wanbootutil keygen para crear una clave HMAC SHA1. Para instalaciones no seguras que comprueban la integridad de los datos, efectúe esta tarea para crear una clave de hashing HMAC SHA1. | |
Crear el contenedor Solaris Flash. |
Utilice el comando flarcreate para crear un contenedor del software que desee instalar en el cliente. | |
Crear los archivos de instalación para la instalación JumpStart personalizada. |
Utilice un editor de textos para crear los archivos siguientes:
| |
Crear el archivo de configuración del sistema. |
Establezca la información de configuración en el archivo system.conf. | |
Crear el archivo de configuración de arranque WAN. |
Establezca la información de configuración en el archivo wanboot.conf. | |
(Opcional) Configurar el servidor DHCP para que admita una instalación mediante un arranque WAN. |
Establezca las opciones y las macros de proveedor de Sun en el servidor DHCP. |
Preconfiguración de la información de configuración del sistema mediante el servicio DHCP (tareas) |
El servidor de arranque WAN es un servidor web que proporciona los datos para el arranque y la configuración durante una instalación de arranque WAN. Para obtener una lista con los requisitos de sistema necesarios para el servidor de arranque WAN, consulte la Tabla 10–1.
En esta sección se describen las tareas siguientes para configurar el servidor de arranque WAN para una instalación mediante un arranque WAN.
Instalación del programa wanboot en el servidor de arranque WAN
Creación de la jerarquía /etc/netboot en el servidor de arranque WAN
Copia del programa CGI de arranque WAN en el servidor de arranque WAN
Para servir los archivos de configuración e instalación, deberá hacerlos accesibles al software del servidor web en el servidor de arranque WAN. Para ello puede almacenarlos en el directorio root de documentos del servidor de arranque WAN.
Si desea utilizar un directorio root de documentos para servir los archivos de configuración e instalación, deberá crearlo. Para obtener información sobre como hacerlo, consulte la documentación de su servidor web. Para obtener información detallada acerca de cómo diseñar un directorio root de documentos, consulte Almacenamiento de los archivos de instalación y configuración en el directorio raíz de documentos.
Para obtener un ejemplo de cómo configurar este directorio, consulte Creación del directorio raíz de documentos.
Una vez creado el directorio root de documentos, cree la miniroot de arranque WAN. Para obtener instrucciones, consulte Creación de la minirraíz de arranque WAN.
El arranque WAN utiliza una minirraíz especial de Solaris, modificado para efectuar una instalación mediante un arranque WAN, Estas minirraíces contienen un subconjunto del software de la minirraíz de Solaris. Para efectuar una instalación mediante un arranque WAN, deberá copiar la miniroot del DVD de Solaris o del CD Software de Solaris - 1 en el servidor de arranque WAN. Utilice el comando setup_install_server con la opción -w para copiar la miniroot de arranque WAN del soporte del software de Solaris al disco duro del sistema.
Este procedimiento crea una minirraíz de arranque WAN SPARC con un soporte SPARC. Si desea servir una minirraíz de arranque WAN SPARC desde un servidor basado en x86, deberá crear la minirraíz en una máquina SPARC. Una vez creada la miniroot, cópiela al directorio root de documentos del servidor basado en x86.
Para este procedimiento se presupone que en el servidor de arranque WAN se está ejecutando Volume Manager. Si no utiliza Volume Manager, consulte la System Administration Guide: Devices and File Systems.
Conviértase en superusuario o equivalente en el servidor de arranque WAN.
El sistema debe cumplir los requisitos siguientes.
Disponer de una unidad de CD-ROM o DVD-ROM.
Formar parte de la red y del servicio de nombres de la sede.
Si utiliza un servicio de nombres, el sistema debe estar ya en dicho servicio, ya sea NIS, NIS+, DNS o LDAP. Si no se usa un servicio de nombres, se debe distribuir información sobre este sistema de acuerdo con la política de la sede.
Inserte el CD Software de Solaris - 1 o el DVD de Solaris en la unidad del servidor de instalación.
Cree un directorio para la miniroot de arranque WAN y la imagen de instalación de Solaris.
# mkdir -p ruta_dir_wan ruta_dir_instalación |
Indica al comando mkdir que cree todos los directorios superiores necesarios para el directorio que desea crear.
Indica el directorio en el que se debe crear la minirraíz de arranque WAN en el servidor de instalación. Este directorio debe poder contener miniroot con un tamaño aproximado de 250 Mbytes cada una.
Indica el directorio del servidor de instalación en el que se debe copiar la imagen del software de Solaris. Este directorio se puede eliminar en un paso posterior de este procedimiento.
Cambie al directorio Tools del disco montado:
# cd /cdrom/cdrom0/s0/Solaris_10/Tools |
En el ejemplo anterior, cdrom0 es la ruta a la unidad que contiene el soporte de Solaris SO.
Copie la minirraíz de arranque WAN y la imagen del software de Solaris en el disco duro del servidor de arranque WAN.
# ./setup_install_server -w ruta_dir_wan ruta_dir_instalación |
Indica el directorio donde se va a copiar la minirraíz de arranque WAN
Indica el directorio donde se va a copiar la imagen del software de Solaris
El comando setup_install_server indica si hay espacio suficiente en el disco para las imágenes de disco de software Solaris. Para determinar la cantidad de espacio en el disco disponible, use el comando df -kl.
El comando setup_install_server -w crea la minirraíz de arranque WAN y una imagen de instalación de red del software de Solaris.
(Opcional) Elimine la imagen de instalación de red.
Dicha imagen no es necesaria para efectuar una instalación mediante un arranque WAN con un contenedor Solaris Flash. Puede liberar espacio en disco si no tiene previsto utilizar la imagen de instalación de red para otras instalaciones. Escriba el comando siguiente para eliminar la imagen de instalación de red.
# rm -rf ruta_dir_instalación |
Ponga la miniroot de arranque WAN a disposición del servidor de arranque WAN mediante uno de estos procedimientos.
Cree un enlace simbólico a la miniroot de arranque WAN en el directorio root de documentos del servidor de arranque WAN.
# cd /directorio_root_documentos/miniroot # ln -s /ruta_dir_wan/miniroot . |
Indica el directorio raíz de documentos del servidor de arranque WAN que desea enlazar con la minirraíz de arranque WAN.
Indica la ruta a la miniroot de arranque WAN.
Mueva la minirraíz de arranque WAN al directorio raíz de documentos del servidor de arranque WAN.
# mv /ruta_dir_wan/miniroot /directorio_root_documentos/miniroot/nombre_miniroot |
Indica la ruta a la miniroot de arranque WAN.
Indica la ruta al directorio de la minirraíz de arranque WAN en el directorio raíz de documentos del servidor de arranque WAN.
Indica el nombre de la minirraíz de arranque WAN. Se trata de un nombre descriptivo del archivo, por ejemplo, miniroot.s10_sparc.
Use setup_install_server(1M) con la opción -w para copiar la minirraíz de arranque WAN y la imagen del software de Solaris en el directorio /export/install/Solaris_10 de wanserver-1.
Inserte el soporte software Solaris en la unidad conectada a wanserver-1. Escriba las órdenes siguientes:
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Desplace la minirroot de arranque WAN al directorio root de documentos (/opt/apache/htdocs/) del servidor de arranque WAN. En este ejemplo, el nombre de la miniroot de arranque WAN está establecido en miniroot.s10_sparc.
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Después de crear la miniroot de arranque WAN, compruebe que la OpenBoot PROM (OBP) del cliente es compatible con el arranque mediante WAN. Para obtener instrucciones, consulte Comprobación de la compatibilidad del cliente con el arranque mediante WAN.
Para obtener información adicional acerca del comando setup_install_server, consulte install_scripts(1M).
Para realizar una instalación mediante arranque WAN sin supervisión, asegúrese de que la OpenBoot PROM (OBP) del sistema cliente es compatible con el arranque mediante WAN. Si la OBP del cliente no admite el arranque mediante WAN, puede realizar una instalación mediante arranque WAN usando un CD local que incluya los programas necesarios.
Para determinar si el cliente admite el arranque mediante WAN, compruebe las variables de configuración de la OBP del cliente. Lleve a cabo el siguiente procedimiento para comprobar si el cliente admite el arranque mediante WAN.
Este procedimiento describe la forma de determinar si la OBP del cliente admite el arranque mediante WAN.
Conviértase en superusuario o asuma una función similar.
Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.
Compruebe si las variables de configuración OBP admiten el arranque WAN.
# eeprom | grep network-boot-arguments |
Si aparece la variable network-boot-arguments o si la orden anterior devuelve la salida network-boot-arguments: data not available, OBP admite las instalaciones de arranque WAN. No es necesario actualizar la OBP antes de efectuar la instalación mediante arranque WAN.
Si la orden anterior no devuelve ninguna salida, la OBP no admite instalaciones de arranque WAN. Deberá efectuar una de las tareas siguientes.
Actualice la OBP del cliente. En el caso de los clientes que dispongan de una OBP que admita instalaciones de arranque WAN, consulte la documentación para obtener información sobre cómo actualizar la OBP.
No todas las OBP clientes admiten un arranque WAN. En tales casos, utilice la opción siguiente.
Una vez efectuadas las tareas de preparación, cuando se disponga a instalar el cliente, lleve a cabo la instalación mediante arranque WAN desde el CD o DVD de software Solaris. Esta opción es válida en todos los casos en que la OBP actual no sea compatible con el arranque WAN.
Para obtener instrucciones sobre cómo arrancar el cliente desde el CD1, consulte Para realizar una instalación mediante arranque WAN con un soporte CD. Para continuar con la preparación de la instalación mediante arranque WAN, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.
El comando siguiente muestra cómo comprobar la admisión del arranque WAN en la OBP del cliente.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
En este ejemplo, la salida network-boot-arguments: data not available indica que el cliente OBP admite el arranque WAN.
Cuando haya comprobado que la OBP del cliente es compatible con el arranque mediante WAN, debe copiar el programa wanboot en el servidor de arranque WAN. Para obtener instrucciones, consulte Instalación del programa wanboot en el servidor de arranque WAN.
Si la OBP del cliente no es compatible con el arranque WAN, no necesitará copiar el programa wanboot en el servidor de arranque WAN. Debe proporcionar el programa wanboot al cliente desde un CD local. Para continuar con la instalación, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.
Para obtener más información sobre el comando setup_install_server, consulte el Capítulo 4, Instalación desde la red (información general).
El arranque WAN utiliza, para instalar el cliente, un programa especial de arranque de segundo nivel (wanboot) que carga la minirraíz de arranque WAN y los archivos de configuración del cliente y de instalación necesarios para efectuar una instalación mediante un arranque WAN.
Para efectuar esta instalación deberá proporcionar al cliente el programa wanboot durante la instalación mediante uno de los siguientes métodos.
Si la PROM del cliente admite arranque WAN, puede transmitir el programa desde el servidor de arranque WAN al cliente. Debe instalar el programa wanboot en el servidor de arranque WAN.
Para comprobar si la PROM del cliente admite el arranque WAN, consulte Para comprobar que la OBP cliente admite el arranque WAN.
Si la PROM del cliente no admite arranque WAN, deberá proporcionarle el programa al cliente localmente mediante un CD. Si la PROM del cliente no es compatible con el arranque WAN, vaya a Creación de la jerarquía /etc/netboot en el servidor de arranque WAN para continuar con la preparación de la instalación.
Este procedimiento describe cómo copiar el programa wanboot del soporte de Solaris al servidor de arranque WAN.
Para este procedimiento se presupone que en el servidor de arranque WAN se está ejecutando Volume Manager. Si no utiliza Volume Manager, consulte la System Administration Guide: Devices and File Systems.
Compruebe que el sistema cliente admite el arranque mediante WAN. Consulte Para comprobar que la OBP cliente admite el arranque WAN para obtener más información.
Conviértase en superusuario o equivalente en el servidor de instalación.
Inserte el CD Software de Solaris - 1 o el DVD de Solaris en la unidad del servidor de instalación.
Cambie al directorio de la plataforma sun4u en el CD Software de Solaris - 1 o en el DVD de Solaris.
# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ |
Copie el programa wanboot en el servidor de instalación.
# cp wanboot /directorio_root_documentos/wanboot/nombre_wanboot |
Indica el directorio root de documentos del servidor de arranque WAN.
Indica el nombre del programa wanboot. Asigne un nombre descriptivo a este archivo como, por ejemplo, wanboot.s10_sparc.
Ponga el programa wanboot a disposición del servidor de arranque WAN mediante uno de estos procedimientos.
Cree un enlace simbólico al programa wanboot en el directorio raíz de documentos del servidor de arranque WAN.
# cd /directorio_root_documentos/wanboot # ln -s /ruta_dir_wan/wanboot . |
Indica el directorio root de documentos del servidor de arranque WAN que desea enlazar con el programa wanboot
Indica la ruta al programa wanboot.
Mueva la minirraíz de arranque WAN al directorio raíz de documentos del servidor de arranque WAN.
# mv /ruta_dir_wan/wanboot /directorio_root_documentos/wanboot/nombre_wanboot |
Indica la ruta al programa wanboot.
Indica la ruta al directorio del programa wanboot en el directorio root de documentos del servidor de arranque WAN.
Indica el nombre del programa wanboot. Se trata de un nombre descriptivo del archivo, por ejemplo, wanboot.s10_sparc.
Si desea instalar el programa wanboot en el servidor de arranque WAN, copie el programa del soporte del software software Solaris en el directorio root de documentos del servidor de arranque WAN.
Inserte el DVD de Solaris o el CD Software de Solaris - 1 en la unidad conectada a wanserver-1 y escriba los comandos siguientes.
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
En este ejemplo, el nombre del programa wanboot está establecido en wanboot.s10_sparc.
Después de instalar el programa wanboot en el servidor de arranque WAN, debe crear la jerarquía /etc/netboot en el servidor de arranque WAN. Para obtener instrucciones, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.
Para obtener información acerca del programa wanboot, consulte ¿Qué es el arranque WAN?.
Durante la instalación, el arranque WAN recurre al contenido de la jerarquía /etc/netboot del servidor web para obtener instrucciones sobre cómo efectuar la instalación. Este directorio contiene la información de configuración, la clave privada, el certificado digital y la entidad certificadora necesarios para una instalación mediante un arranque WAN. Durante la instalación, el programa wanboot-cgi convierte esta información en el sistema de archivos de arranque WAN El programa wanboot-cgi transmite entonces el sistema de archivos de arranque WAN al cliente.
Se pueden crear subdirectorios en el directorio /etc/netboot para personalizar el ámbito de la instalación en WAN. Utilice las siguientes estructuras de directorio para definir cómo se comparte la información de configuración entre los clientes que desea instalar.
Configuración global: si desea que todos los clientes de la red compartan la información de configuración, guarde los archivos que desee compartir en el directorio /etc/netboot.
Configuración específica de red: si desea que sólo los equipos de una subred específica compartan información de configuración, almacene los archivos de configuración que desee compartir en el subdirectorio /etc/netboot. El subdirectorio debe seguir este convenio de denominación.
/etc/netboot/ip_red |
En este ejemplo, ip_red es la dirección IP de la subred del cliente.
Configuración específica del cliente: si desea que sólo un cliente específico utilice el sistema de archivos de arranque, almacene los archivos del sistema de arranque en el subdirectorio de /etc/netboot. El subdirectorio debe seguir este convenio de denominación.
/etc/netboot/ip_red/ID_cliente |
En este ejemplo, ip_red es la dirección IP de la subred. ID_cliente es el ID del cliente asignado por el servidor DHCP o un ID de cliente especificado por el usuario.
Para obtener información detallada sobre la planificación de estas configuraciones, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.
El siguiente procedimiento describe cómo se crea la jerarquía /etc/netboot.
Siga estos pasos para crear la jerarquía /etc/netboot.
Conviértase en superusuario o equivalente en el servidor de arranque WAN.
Crean el directorio /etc/netboot.
# mkdir /etc/netboot |
Cambie los permisos del directorio /etc/netboot a 700.
# chmod 700 /etc/netboot |
Cambie el propietario del directorio /etc/netboot al propietario del servidor web.
# chown usuario_servidor_web:grupo_servidor_web /etc/netboot/ |
Indica el usuario propietario del proceso del servidor web
Indica el grupo propietario del proceso del servidor web
Salga del rol de superusuario.
# exit |
Tome el rol de usuario de propietario del servidor web.
Cree el subdirectorio cliente del directorio /etc/netboot.
# mkdir -p /etc/netboot/ip_red/ID_cliente |
Indica al comando mkdir que cree todos los directorios superiores necesarios para el directorio que desea crear.
Indica la dirección IP de la subred del cliente.
Especifica el ID del cliente El ID del cliente puede ser un valor definido por el usuario o el ID de cliente DHCP. El directorio ID_cliente debe ser un subdirectorio de ip_red.
Para cada uno de los directorios de la jerarquía /etc/netboot, cambie los permisos a 700.
# chmod 700 /etc/netboot/nombre_directorio |
El siguiente ejemplo muestra cómo se crea una jerarquía /etc/netboot para el cliente 010003BA152A42 en la subred 192.168.198.0. En este ejemplo, el usuario nobody y el grupo admin son los propietarios del proceso del servidor web.
Los comandos de este ejemplo efectúan las tareas siguientes.
Crean el directorio /etc/netboot.
Cambian los permisos del directorio /etc/netboot a 700.
Cambian la propiedad del directorio /etc/netboot al propietario del proceso del servidor web.
Toman el mismo rol de usuario que el usuario del servidor web.
Crean un subdirectorio de /etc/netboot denominado como la subred (192.168.198.0).
Crean un subdirectorio del directorio de subred denominado como el ID de cliente.
Cambian los permisos de los subdirectorios /etc/netboot a 700.
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Después de crear la jerarquía /etc/netboot, debe copiar el programa CGI de arranque WAN en el servidor de arranque WAN. Para obtener instrucciones, consulte Copia del programa CGI de arranque WAN en el servidor de arranque WAN.
Para obtener información detallada sobre cómo diseñar la jerarquía /etc/netboot, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.
El programa wanboot-cgi crea los flujos de datos que transmiten los siguientes archivos desde el servidor de arranque WAN hasta el cliente.
Programa wanboot
Sistema de arranque WAN
Minirraíz de arranque WAN
El programa wanboot-cgi está instalado en el sistema cuando se instala el software Solaris 10 11/06. Para habilitar el servidor de arranque WAN para que utilice este programa, cópielo en el directorio cgi-bin de dicho servidor.
Conviértase en superusuario o equivalente en el servidor de arranque WAN.
Copie el programa wanboot-cgi en el servidor de arranque WAN.
# cp /usr/lib/inet/wanboot/wanboot-cgi /root_servidor_WAN/cgi-bin/wanboot-cgi |
Indica el directorio raíz del software del servidor web en el servidor de arranque WAN
En el servidor de arranque WAN, cambie los permisos del programa CGI a 755.
# chmod 755 /root_servidor_WAN/cgi-bin/wanboot-cgi |
Después de copiar el programa CGI de arranque WAN en el servidor de arranque WAN, puede configurar un servidor de registro, si así lo desea. Para obtener instrucciones, consulte (Opcional) Para configurar el servidor de registro de arranque WAN.
Si no desea configurar un servidor de registro independiente, consulte (Opcional) Protección de los datos mediante el uso de HTTPS para obtener instrucciones sobre cómo configurar las funciones de seguridad de una instalación mediante arranque WAN.
Para obtener información general acerca del programa wanboot-dgi, consulte ¿Qué es el arranque WAN?.
De forma predeterminada, todos los mensajes de registro de arranque WAN se muestran en el sistema cliente. Este comportamiento predeterminado le permite depurar rápidamente cualquier problema de instalación que pudiera surgir.
Si desea almacenar los mensajes de registro de arranque e instalación en un sistema distinto del cliente, deberá configurar un servidor de registro. Si desea utilizar un servidor de registro con HTTPS durante la instalación, deberá configurar el servidor de arranque WAN como servidor de registro.
Para configurar el servidor de registro, siga estos pasos.
Copie la secuencia bootlog-cgi en el directorio de secuencias CGI del servidor de registro.
# cp /usr/lib/inet/wanboot/bootlog-cgi \ root_servidor_registro/cgi-bin |
Especifica el directorio cgi-bin del directorio de servidor web del servidor de registro.
Cambie los permisos de la secuencia bootlog-cgi a 755.
# chmod 755 root_servidor_registro/cgi-bin/bootlog-cgi |
Establezca el valor del parámetro boot_logger en el archivo wanboot.conf.
En el archivo wanboot.conf, especifique el URL de la secuencia de comandos bootlog-cgi en el servidor de registro.
Para obtener más información acerca de cómo definir los parámetros del archivo wanboot.conf, consulte Para crear el archivo wanboot.conf .
Durante la instalación, los mensajes de registro de instalación y arranque se guardan en el directorio /tmp del servidor de registro. El archivo de registro recibe el nombre de bootlog.nombre_sistema, donde nombre_sistema es el nombre del sistema del cliente.
En el ejemplo siguiente se configura el servidor de arranque WAN como servidor de registro.
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Después de configurar el servidor de registro, puede, si lo desea, configurar la instalación de arranque WAN para que use certificados digitales y claves de seguridad. Consulte (Opcional) Protección de los datos mediante el uso de HTTPS para obtener instrucciones sobre cómo configurar las funciones de seguridad de una instalación mediante arranque WAN.
Si desea proteger los datos durante la transferencia del servidor de arranque WAN al cliente, puede utilizar HTTP en la Capa de zócalo protegido (HTTPS). Para usar la configuración de instalación más segura descrita en Configuración de una instalación segura mediante arranque WAN, deberá habilitar el servidor web para que use HTTPS.
Si no desea realizar un arranque WAN seguro, haga caso omiso de los procedimientos que se describen en este apartado. Para continuar con la preparación de una instalación que no sea tan segura, consulte Creación de los archivos para la instalación JumpStart personalizada.
Para habilitar el software del servidor web en el servidor de arranque WAN para utilizar HTTPS deberá efectuar las tareas siguientes.
Activar la admisión de la Capa de zócalos seguros (SSL) en el software del servidor web.
Los procesos para habilitar la admisión de SSL y la autenticación de cliente varían en cada servidor web. En este documento no se describe la forma de habilitar las características de seguridad en su servidor web. Para obtener información sobre éstas consulte la documentación siguiente.
Para obtener información sobre cómo activar SSL en los servidores web Sun ONE e iPlanet, consulte la documentación que figura en http://docs.sun.com.
Para obtener información sobre cómo activar SSL en el servidor web Apache, consulte Apache Documentation Project en http://httpd.apache.org/docs-project/.
Si utiliza un servidor web que no aparece en la lista anterior, consulte la documentación de éste.
Instalar certificados digitales en el servidor de arranque WAN.
Para obtener información sobre el uso de certificados digitales con el arranque WAN, consulte (Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente.
Proporcionar al cliente un certificado acreditado.
Para obtener instrucciones acerca de cómo crear un certificado acreditado, consulte (Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente.
Crear una clave de hashing y una clave de encriptación.
Para obtener instrucciones acerca de cómo crear claves, consulte (Opcional) Para crear claves de hashing y de cifrado.
(Opcional) Configurar el software del servidor web para que admita la autenticación del cliente.
Para obtener información acerca de cómo configurar el servidor web para admitir la autenticación del cliente, consulte la documentación del servidor web.
Este apartado describe el uso de certificados y claves digitales en una instalación mediante arranque WAN.
El método de instalación de arranque WAN puede utilizar archivos PKCS#12 para llevar a cabo una instalación en HTTPS con autenticación del servidor o del cliente y el servidor. Para conocer los requisitos y las directrices de uso de los archivos PKCS#12, consulte Requisitos de certificados digitales.
Para utilizar un archivo PKCS#12 en una instalación mediante un arranque WAN deberá efectuar las tareas siguientes.
Dividir el archivo PKCS#12 en dos archivos independientes, el de clave privada SSL y el certificado acreditado.
Insertar el certificado acreditado en el archivo truststore del cliente, en la jerarquía /etc/netboot. El certificado acreditado indica al cliente que confíe en el servidor.
(Opcional) Insertar el contenido de la clave privada SSL en el archivo keystore del cliente, en la jerarquía /etc/netboot.
El comando wanbootutil ofrece distintas opciones para efectuar las tareas de la lista anterior.
Si no desea realizar un arranque WAN seguro, haga caso omiso de los procedimientos que se describen en este apartado. Para continuar con la preparación de una instalación que no sea tan segura, consulte Creación de los archivos para la instalación JumpStart personalizada.
Siga estos pasos para crear un certificado acreditado y una clave privada de cliente.
Antes de dividir un archivo PKCS#12 cree los subdirectorios apropiados en la jerarquía /etc/netboot del servidor de arranque WAN.
Para obtener información general sobre la jerarquía /etc/netboot, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.
Para obtener instrucciones sobre cómo crear la jerarquía /etc/netboot, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Extraiga el certificado acreditado del archivo PKCS#12 e insértelo en el archivo truststore del cliente, en la jerarquía /etc/netboot.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/ip_red/ID_cliente/truststore |
Opción de la orden wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.
Indica el nombre del archivo PKCS#12 que se debe dividir.
Inserta el certificado en el archivo truststore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un Id. definido por el usuario o el Id. de cliente DHCP.
(Opcional) Decida si desea requerir autenticación de cliente.
Si no desea requerir autenticación, vaya a (Opcional) Para crear claves de hashing y de cifrado.
En caso afirmativo, prosiga con los pasos indicados.
Inserte el certificado de cliente en el archivo certstore del cliente.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/ip_red/ID_cliente/certstore -k archivo_claves |
Opción de la orden wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.
Indica el nombre del archivo PKCS#12 que se debe dividir.
Inserta el certificado de cliente en el archivo certstore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un ID definido por el usuario o el ID de cliente DHCP.
Especifica el nombre del archivo de claves privadas SSL del cliente que se debe crear a partir de la división del archivo PKCS#12.
Inserte la clave privada en el archivo keystore del cliente.
# wanbootutil keymgmt -i -k archivo_claves \ -s /etc/netboot/ip_red/ID_cliente/keystore -o type=rsa |
Inserta una clave privada SSL en el archivo keystore del cliente
Especifica el nombre del archivo de claves privadas del cliente creado en el paso anterior
Indica la ruta al archivo keystore del cliente
En el siguiente ejemplo, se usa un archivo PKCS#12 para instalar un cliente 010003BA152A42 en una subred 192.168.198.0. Este ejemplo de comando extrae un certificado del archivo PKCS#12 que se llama client.p12 y, a continuación, inserta el contenido de este certificado acreditado en el archivo truststore del cliente.
Antes de ejecutar estas órdenes, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, el rol del usuario del servidor web es nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Después de crear un certificado digital, cree una clave de hashing y una de cifrado. Para obtener instrucciones, consulte (Opcional) Para crear claves de hashing y de cifrado.
Para obtener más información acerca de cómo crear certificados acreditados, consulte la página de comando man wanbootutil(1M).
Si desea utilizar HTTPS para transmitir los datos deberá crear una clave de hashing HMAC SHA1 y una clave de encriptación. Si tiene previsto efectuar la instalación sobre una red semiprivada, no es conveniente encriptar los datos de instalación. Puede utilizar una clave de hashing HMAC SHA1 para comprobar la integridad del programa wanboot.
El comando wanbootutil keygen permite generar dichas claves y almacenarlas en el directorio /etc/netboot apropiado.
Si no desea realizar un arranque WAN seguro, haga caso omiso de los procedimientos que se describen en este apartado. Para continuar con la preparación de una instalación que no sea tan segura, consulte Creación de los archivos para la instalación JumpStart personalizada.
Para crear claves de hashing y de cifrado, siga estos pasos.
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Cree la clave HMAC SHA1 maestra.
# wanbootutil keygen -m |
Crea la clave HMAC SHA1 maestra para el servidor de arranque WAN
Cree la clave de hashing HMAC SHA1 para el cliente a partir de la clave maestra.
# wanbootutil keygen -c -o [net=ip_red,{cid=ID_cliente,}]type=sha1 |
Crea la clave de hashing del cliente a partir de la clave maestra.
Indica que se incluyan opciones adicionales para la orden wanbootutil keygen.
Especifica la dirección IP de la subred del cliente Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.
Especifica el ID del cliente que puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystore. y la podrán todos los clientes mediante un arranque WAN de la subred ip_red.
Indica a la utilidad wanbootutil keygen que cree una clave de hashing HMAC SHA1 para el cliente.
Decida si es necesario crear una clave de encriptación para el cliente.
Deberá crear una clave de encriptación si desea efectuar una instalación mediante un arranque WAN sobre HTTPS. Antes de que el cliente establezca una conexión HTTPS con el servidor de arranque WAN, éste transmite datos e información encriptaciones al cliente. La clave de encriptación permite al cliente desencriptar esta información y utilizarla durante la instalación.
Si va a efectuar una instalación mediante un arranque WAN segura sobre HTTPS con autenticación de servidor, prosiga.
Si sólo desea comprobar la integridad del programa wanboot, no es necesario que cree la clave de encriptación. Vaya al Paso 6.
Cree una clave de encriptación para el cliente.
# wanbootutil keygen -c -o [net=ip_red,{cid=ID_cliente,}]type=tipo_clave |
Crea la clave de encriptación para el cliente.
Indica que se incluyan opciones adicionales para la orden wanbootutil keygen.
Especifica la dirección IP de red del cliente. Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.
Especifica el ID del cliente que puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystore. y la podrán todos los clientes mediante un arranque WAN de la subred ip_red.
Indica a la utilidad wanbootutil keygen que cree una clave de cifrado para el cliente. El valor de tipo_clave puede ser 3des o aes.
Instale las claves en el sistema cliente.
Para obtener instrucciones acerca de cómo instalar claves en el cliente, consulte Instalación de claves en el cliente.
En el ejemplo siguiente se crea una clave maestra HMAC SHA1 para el servidor de arranque WAN. Este ejemplo también crea una clave de hashing HMAC SHA1 y una de cifrado 3DES para el cliente 010003BA152A42 en la subred 192.168.198.0.
Antes de ejecutar estas órdenes, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, el rol del usuario del servidor web es nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
Después de crear una clave de hashing y de cifrado, debe crear los archivos de instalación. Para obtener instrucciones, consulte Creación de los archivos para la instalación JumpStart personalizada.
Para obtener información general sobre las claves de hashing y de cifrado, consulte Protección de datos durante una instalación mediante el Arranque WAN .
Para obtener más información acerca de cómo crear claves de hashing y de cifrado, consulte la página de comando man wanbootutil(1M).
El arranque WAN efectúa una instalación JumpStart personalizada para instalar un contenedor Solaris Flash en el cliente. El método de instalación JumpStart personalizado es una interfaz de línea de comandos que permite instalar automáticamente varios sistemas, de acuerdo con unos perfiles que el usuario puede crear y que definen requisitos específicos de instalación de software. También es posible incorporar secuencias de shell que incluyan tareas de pre y postinstalación. Puede elegir qué perfil y secuencias usar para la instalación o la modernización. El método de instalación JumpStart personalizado instala o moderniza el sistema, de acuerdo con los perfiles y secuencias que seleccione. También puede usar un archivo sysidcfg para especificar información de configuración y conseguir que la instalación JumpStart personalizada se realice sin intervención manual alguna.
Para preparar los archivos JumpStart personalizados para una instalación mediante un arranque WAN, efectúe las tareas siguientes.
En lo que concierne al método de instalación JumpStart, consulte el Capítulo 2, JumpStart personalizada (información general) de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
La función de instalación de Solaris Flash le permite usar una instalación de referencia única de Solaris SO en un sistema, que recibe el nombre de sistema maestro. A continuación se puede crear un contenedor Solaris Flash, que es una réplica del sistema maestro y que puede instalar en otros sistemas de la red, para crear así sistemas clónicos.
Este apartado describe cómo se crea un contenedor Solaris Flash.
Antes de crear un contenedor Solaris Flash deberá instalar el sistema maestro.
Para obtener información sobre cómo instalar un sistema maestro, consulte el Instalación del sistema principal de Guía de instalación de Solaris 10 11/06: contenedores Solaris Flash (creación e instalación).
Para obtener más información sobre contenedores de Solaris Flash, consulte el Capítulo 1, Solaris Flash (descripción general) de Guía de instalación de Solaris 10 11/06: contenedores Solaris Flash (creación e instalación).
Problemas con el tamaño de los archivos:
Repase la documentación de su servidor web para cerciorarse de que el software pueda transmitir archivos del tamaño de un contenedor Solaris Flash.
Repase la documentación de su servidor web para cerciorarse de que el software pueda transmitir archivos del tamaño de un contenedor Solaris Flash.
El comando flarcreate ya no presenta limitaciones de tamaño en los archivos. Puede crear un contenedor de Solaris Flash cuyos archivos tengan un tamaño superior a 4 GB.
Para obtener más información, consulte Creación de un contenedor con archivos de gran tamaño de Guía de instalación de Solaris 10 11/06: contenedores Solaris Flash (creación e instalación).
Arranque el sistema maestro.
Ejecute el sistema maestro en el estado más inactivo posible. Si es posible, ejecútelo en modo monousuario. Si no es posible, cierre todas las aplicaciones que desee agregar al contenedor, así como aquellas que precisen gran cantidad de recursos del sistema operativo.
Para crear el contenedor, use el comando flarcreate.
# flarcreate -n nombre [parámetros_opcionales] root_documentos/flash/nombre_archivo |
El nombre asignado al contenedor. El nombre que especifique es el valor de la palabra clave content_name.
Puede utilizar diversas opciones en el comando flarcreate para personalizar el contenedor Solaris Flash. Para obtener descripciones detalladas de estas opciones, consulte el Capítulo 5, Solaris Flash (referencia) de Guía de instalación de Solaris 10 11/06: contenedores Solaris Flash (creación e instalación).
La ruta al subdirectorio Solaris Flash del directorio raíz de documentos del servidor de instalación.
El nombre de archivo del contenedor.
Para ahorrar espacio en disco, es conveniente utilizar la opción -c del comando flarcreate para comprimir el contenedor. Sin embargo, el hecho de que el contenedor esté comprimido puede afectar al rendimiento de la instalación mediante un arranque WAN. Para obtener más información sobre cómo crear un contenedor comprimido, consulte la página de comando man flarcreate(1M).
Si la creación del contenedor resulta satisfactoria, el comando flarcreate devuelve el código de salida 0;
En caso contrario, devuelve un código de salida distinto de cero.
En este ejemplo, se crea el contenedor Solaris Flash clonando el sistema del servidor de arranque WAN con el nombre de sistema wanserver. Este archivo se denomina sol_10_sparc y se copia exactamente desde el sistema maestro; es decir, duplica éste de forma exacta. El archivo se almacena en sol_10_sparc.flar. El contenedor se guarda en el subdirectorio flash/archives del directorio raíz de documentos del servidor de arranque WAN.
wanserver# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Después de crear el contenedor Solaris Flash, preconfigure la información de cliente en el archivo sysidcfg. Para obtener instrucciones, consulte Para crear el archivo sysidcfg .
Para obtener instrucciones detalladas sobre cómo crear un contenedor de Solaris Flash, consulte el Capítulo 3, Creación de contenedores Solaris Flash (tareas) de Guía de instalación de Solaris 10 11/06: contenedores Solaris Flash (creación e instalación).
Para obtener más información acerca del comando flarcreate, consulte la página de comando man flarcreate(1M).
Puede especificar un conjunto de palabras clave en el archivo sysidcfg para preconfigurar un sistema.
Para crear el archivo sysidcfg, siga estos pasos.
Crear el contenedor Solaris Flash. Consulte Para crear el contenedor Solaris Flash para obtener instrucciones detalladas.
Cree un archivo denominado sysidcfg en el servidor de instalación mediante un editor de texto.
Escriba las palabras clave sysidcfg que desee.
Para obtener instrucciones detalladas acerca de la palabra clave sysidcfg, consulte Palabras clave del archivo sysidcfg.
Guarde el archivo sysidcfg en una ubicación accesible para el servidor de arranque WAN.
Guarde el archivo en una de las ubicaciones siguientes.
Si el servidor de arranque WAN y el servidor de instalación se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio root de documentos del servidor de arranque WAN.
Si el servidor de arranque WAN y el servidor de instalación no están en el mismo equipo, guarde este archivo en el subdirectorio flash del directorio root de documentos del servidor de instalación.
A continuación se muestra un ejemplo de un archivo sysidcfg para un sistema SPARC. El nombre de sistema, dirección IP y máscara de red del sistema se ha preconfigurado mediante la edición del servicio de nombres.
network_interface=primary {hostname=wanclient default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.example.com } security_policy=none
Después de crear el archivo sysidcfg, cree un perfil JumpStart personalizado para el cliente. Para obtener instrucciones, consulte Para crear un perfil.
Para obtener información más detallada sobre las palabras clave y los valores de sysidcfg, consulte Preconfiguración con el archivo sysidcfg .
Un perfil es un archivo de texto que da instrucciones al programa JumpStart personalizado acerca de cómo instalar el software Solaris en un sistema. Un perfil define elementos de la instalación, como el grupo de software que se va a instalar.
Para obtener información detallada sobre cómo crear perfiles, consulte Creación de un perfil de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
Para crear el perfil, siga estos pasos.
Cree el archivo sysidcfg para el cliente. Consulte Para crear el archivo sysidcfg para obtener instrucciones detalladas.
Cree un archivo de texto en el servidor de instalación. Asigne al archivo un nombre descriptivo.
Asegúrese de que el nombre del perfil refleja cómo se pretende utilizar el perfil para instalar el software de Solaris en un sistema. Por ejemplo, puede asignar los siguientes nombres a los perfiles: basic_install, eng_profile o user_profile.
Agregue al perfil palabras clave y valores de perfil.
Para obtener una lista de valores y palabras clave de perfiles, consulte Valores y palabras clave de perfiles de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
Las palabras clave y sus valores distinguen entre mayúsculas y minúsculas.
Guarde el perfil en una ubicación accesible para el servidor de arranque WAN.
Guarde el perfil en una de las ubicaciones siguientes.
Si el servidor de arranque WAN y el servidor de instalación se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio root de documentos del servidor de arranque WAN.
Si el servidor de arranque WAN y el servidor de instalación no se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio raíz de documentos del servidor de instalación.
Cerciórese de que root tenga el perfil y de que los permisos se fijen en 644.
(Opcional) Pruebe el perfil.
Comprobación de un perfil de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadascontiene información relativa a la comprobación de perfiles.
En el siguiente ejemplo, el perfil hace referencia a que el programa JumpStart personalizado recupera el contenedor de Solaris Flash desde un servidor HTTP seguro.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
La siguiente lista describe algunas de las palabras claves y valores del ejemplo.
El perfil instala un contenedor Solaris Flash en el sistema clónico. Se sobrescriben todos los archivos como en una instalación inicial.
El contenedor comprimido Solaris Flash se recupera de un servidor HTTP seguro.
Los segmentos del sistema de archivos están determinados por las palabras clave filesys, valor explicit. El tamaño de root (/) está basado en el del contenedor Solaris Flash. Se fija el tamaño del archivo swap necesario y se instala en c0t1d0s1. /export/home se basa en el espacio de disco libre. /export/home se instala en c0t1d0s7.
Después de crear un perfil, debe crear y validar el archivo rules. Para obtener instrucciones, consulte Para crear el archivo rules.
Para obtener más información sobre cómo crear un perfil, consulte Creación de un perfil de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
Para obtener más información sobre valores y palabras clave de perfiles, consulte Valores y palabras clave de perfiles de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
El archivo rules es un archivo de texto que contiene una regla para cada grupo de sistemas en los que se va a instalar Solaris SO. Cada regla diferencia un grupo de sistemas basados en uno o varios atributos de sistema y relaciona, además, un grupo con un perfil. Éste es un archivo de texto que define cómo hay que instalar el software Solaris en cada sistema del grupo. Por ejemplo, la regla siguiente especifica que el programa JumpStart usa la información del perfil basic_prof para realizar instalaciones en cualquier sistema con el grupo de plataformas sun4u.
karch sun4u - basic_prof - |
El archivo rules se usa para crear el archivo rules.ok, necesario para las instalaciones JumpStart personalizadas.
Para obtener más información sobre cómo crear un archivo rules, consulte Creación del archivo rules de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
Para crear el archivo rules, siga estos pasos.
Cree el perfil para el cliente. Consulte Para crear un perfil para obtener instrucciones detalladas.
En el servidor de instalación, cree un archivo de texto denominado rules.
Agregue una regla al archivo rules para cada grupo de sistema que desee instalar.
Para obtener más información sobre cómo crear un archivo de reglas, consulte Creación del archivo rules de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
Guarde el archivo rules en el servidor de instalación.
$ ./check -p ruta -r nombre_archivo |
Valida el archivo rules con la secuencia de comandos check desde la imagen del software de Solaris 10 11/06 en lugar de la secuencia check del sistema que se esté usando. ruta es la imagen en un disco local o un DVD de Solaris o CD Software de Solaris - 1 montado.
Use esta opción para ejecutar la versión más reciente de check si su sistema cuenta con una versión anterior de Solaris SO.
Especifica un archivo de reglas diferente del denominado rules. Con esta opción se puede probar la validez de una regla antes de integrarla en el archivo rules.
A medida que se ejecuta, la secuencia check va informando sobre la validez del archivo rules y cada perfil. Si no se encuentran errores, la secuencia emite el siguiente mensaje: The custom JumpStart configuration is ok. La secuencia check crea el archivo rules.ok.
Guarde el archivo rules.ok en una ubicación accesible para el servidor de arranque WAN.
Guarde el archivo en una de las ubicaciones siguientes.
Si el servidor de arranque WAN y el servidor de instalación se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio root de documentos del servidor de arranque WAN.
Si el servidor de arranque WAN y el servidor de instalación no se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio raíz de documentos del servidor de instalación.
Asegúrese de que root sea el propietario del archivo rules y de que los permisos estén establecidos en 644.
Los programas JumpStart personalizados utilizan el archivo rules para seleccionar el perfil de instalación correcto para el sistema wanclient-1. Cree un archivo de texto y denomínelo rules. A continuación inserte en éste palabras clave y valores.
La dirección IP del sistema cliente es 192.168.198.210. La máscara de red es 255.255.255.0. Use la palabra clave de regla network para especificar el perfil que los programas JumpStart personalizados deben usar para instalar el cliente.
network 192.168.198.0 - wanclient_prof - |
Este archivo rules indica a los programas JumpStart personalizados que utilicen wanclient_prof para instalar el software Solaris 10 11/06 en el cliente.
Asigne a este archivo de reglas el nombre wanclient_rule.
Después de crear el perfil y el archivo rules, ejecute la secuencia check para comprobar que los archivos sean válidos.
wanserver# ./check -r wanclient_rule |
Si la secuencia check no encuentra ningún error, crea el archivo rules.ok.
Guarde el archivo rules.ok en el directorio /opt/apache/htdocs/flash/.
Después de crear el archivo rules.ok puede, si lo desea, configurar secuencias de inicio y de fin para la instalación. Para obtener instrucciones, consulte (Opcional) Creación de secuencias de inicio y de fin.
Si no desea configurar secuencias de inicio y fin, consulte Creación de los archivos de configuración para continuar con la instalación mediante arranque WAN.
Para obtener más información sobre cómo crear un archivo rules, consulte Creación del archivo rules de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
Para obtener más información sobre valores y palabras clave de archivos rules, consulte Valores y palabras clave de reglas de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
Las secuencias de inicio y de fin son secuencias del shell Bourne definidas por el usuario que se especifican en el archivo rules. Una secuencia de comandos de inicio realiza tareas antes de instalar el software Solaris en un sistema. Una secuencia de comandos de finalización efectúa tareas una vez instalado el software Solaris, pero antes de que se reinicie el sistema. Estas secuencias se pueden utilizar solamente cuando se usa el programa JumpStart personalizado para la instalación de Solaris.
Se pueden utilizar secuencias de inicio para crear perfiles derivados. Las secuencias de fin permiten efectuar diversas tareas posteriores a la instalación, como agregar archivos, paquetes, modificaciones o software adicional.
Deberá almacenar las secuencias de inicio y de fin en el mismo directorio del servidor de instalación que los archivos sysidcfg, rules.ok y de perfil.
Para obtener más información sobre cómo crear secuencias de comandos, consulte Creación de secuencias de inicio de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
Para obtener más información sobre cómo crear secuencias de comandos de finalización, consulte Creación de secuencias de finalización de Guía de instalación de Solaris 10 11/06: instalaciones avanzadas y JumpStart personalizadas.
Para continuar con la preparación de la instalación mediante arranque WAN, consulte Creación de los archivos de configuración.
El arranque WAN utiliza los archivos siguientes para especificar la ubicación de los datos y archivos necesarios para una instalación mediante un arranque WAN.
Archivo de configuración del sistema (system.conf)
Archivo wanboot.conf
En esta sección se describe cómo crear y almacenar estos dos archivos.
En el archivo de configuración del sistema se pueden indicar los siguientes archivos a los programas de instalación mediante un arranque WAN.
Archivo sysidcfg
Archivo rules.ok
Perfil de JumpStart personalizado
El arranque WAN sigue los punteros contenidos en el archivo de configuración del sistema para instalar y configurar el cliente.
El archivo de configuración del sistema es un archivo de texto sin formato, y debe seguir el modelo siguiente.
configuración=valor |
Para utilizar un archivo de configuración del sistema para indicar a los programas de instalación mediante un arranque WAN la ubicación de los archivos sysidcfg, rules.ok y de perfil, siga estos pasos.
Antes de comenzar a crear el archivo de configuración de sistema, debe crear los archivos de instalación para la instalación mediante arranque WAN. Consulte Creación de los archivos para la instalación JumpStart personalizada para obtener instrucciones detalladas.
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Cree un archivo de texto. Asigne un nombre descriptivo al archivo como, por ejemplo, sys-conf.s10–sparc.
Agregue las siguientes entradas al archivo de configuración del sistema.
Este parámetro apunta al directorio flash del servidor de instalación que contiene el archivo sysidcfg. Asegúrese de que esta dirección URL coincide con la ruta al archivo sysidcfg que creó en Para crear el archivo sysidcfg .
En el caso de instalaciones WAN que utilicen HTTPS, establezca el valor en una dirección URL HTTPS válida.
Esta configuración señala al directorio Solaris Flash en el servidor de instalación que contiene el archivo rules.ok, el archivo del perfil y las secuencias de comandos de inicio y fin. Asegúrese de que esta dirección URL coincida con la ruta a los archivos JumpStart personalizados que ha creado en Para crear un perfil y Para crear el archivo rules.
Para instalaciones mediante un arranque WAN sobre HTTPS, establezca como valor una URL HTTPS válida.
Guarde el archivo en un directorio accesible para el servidor de arranque WAN.
Para facilitar la administración, es conveniente guardar el archivo en el directorio cliente apropiado del directorio /etc/netboot del servidor de arranque WAN.
Cambie los permisos del archivo de configuración del sistema a 600.
# chmod 600 /ruta/archivo_config_sistema |
En el ejemplo siguiente, los programas de arranque WAN comprueban el archivo sysidcfg y los archivos de JumpStart personalizado del servidor web, https://www.example.com, en el puerto 1234. El servidor web usa HTTP seguro para cifrar datos y archivos durante la instalación.
El archivo sysidcfg y los archivos de JumpStart personalizado están ubicados en el subdirectorio flash del directorio root de documentos /opt/apache/htdocs.
SsysidCF=https://www.example.com:1234/flash SjumpsCF=https://www.example.com:1234/flash
En el ejemplo siguiente, los programas de instalación mediante arranque WAN buscan los archivos sysidcfg y los archivos deJumpStart personalizado en el servidor web http://www.example.com. El servidor web utiliza HTTP, por lo que los datos y los archivos no están protegidos durante la instalación.
El archivo sysidcfg y los archivos JumpStart personalizados se encuentran en el subdirectorio flash del directorio root de documentos opt/apache/htdocs.
SsysidCF=http://www.example.com/flash SjumpsCF=http://www.example.com/flash
Después de crear el archivo de configuración del sistema, cree el archivo wanboot.conf. Para obtener instrucciones, consulte Para crear el archivo wanboot.conf .
El archivo wanboot.conf es un archivo de texto sin formato que los programas de arranque WAN utilizan para efectuar una instalación mediante un arranque WAN. El programa wanboot-cgi, el sistema de archivos de arranque y la miniroot de arranque WAN utilizan la información contenida en el archivo wanboot.conf para instalar el equipo cliente.
Guarde el archivo wanboot.conf en el subdirectorio cliente apropiado de la jerarquía /etc/netboot del servidor de arranque WAN. Para obtener información sobre cómo definir el ámbito de la instalación mediante arranque WAN con la jerarquía /etc/netboot, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.
Si en el servidor de arranque WAN se está ejecutando el Solaris 10 11/06 SO, hay un archivo wanboot.conf de ejemplo en /etc/netboot/wanboot.conf.sample. Puede utilizar este ejemplo como plantilla para su instalación mediante un arranque WAN.
Debe incluir la siguiente información en el archivo wanboot.conf.
Esta información se especifica insertando parámetros y sus valores asociados con el formato siguiente.
parámetro=valor |
Para obtener información detallada acerca de los parámetros de archivo wanboot.conf y la sintaxis, consulte Parámetros y sintaxis del archivo wanboot.conf.
Para crear el archivo wanboot.conf, siga estos pasos.
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Cree el archivo de texto wanboot.conf.
Puede crear un archivo de texto nuevo denominado wanboot.conf o utilizar el archivo de ejemplo ubicado en /etc/netboot/wanboot.conf.sample. Si utiliza el archivo de ejemplo, cambie el nombre del archivo wanboot.conf después de agregar los parámetros.
Escriba los parámetros y valores de wanboot.conf necesarios para la instalación.
Para obtener descripciones detalladas de los parámetros y valores de wanboot.conf, consulte Parámetros y sintaxis del archivo wanboot.conf.
Guarde el archivo wanboot.conf en el subdirectorio apropiado de la jerarquía /etc/netboot.
Para obtener información acerca de cómo crear la jerarquía /etc/netboot, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.
Valide el archivo wanboot.conf.
# bootconfchk /etc/netboot/ruta_a_wanboot.conf/wanboot.conf |
Indica la ruta al archivo wanboot.conf del cliente en el servidor de arranque WAN
Si el archivo wanboot.conf es estructuralmente válido, el comando bootconfchk devuelve el código de salida 0.
Si el archivo wanboot.conf no es válido, la orden bootconfchk devuelve un código de salida distinto de cero.
Cambie los permisos del archivo wanboot.conf a 600.
# chmod 600 /etc/netboot/ruta_a_wanboot.conf/wanboot.conf |
El siguiente ejemplo de archivo wanboot.conf incluye información de configuración para una instalación mediante un arranque WAN que utilice HTTP seguro. El archivo wanboot.conf indica también que en esta instalación se utiliza una clave de encriptación 3DES.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Este archivo wanboot.conf especifica la configuración siguiente.
El programa de arranque de segundo nivel se llama wanboot.s10_sparc. Este programa se encuentra en el directorio /wanboot del directorio root de documentos del servidor de arranque WAN.
La ubicación del programa wanboot-cgi en el servidor de arranque WAN es https://www.example.com:1234/cgi-bin/wanboot-cgi. La parte https del URL indica que esta instalación mediante un arranque WAN utiliza HTTP seguro.
La miniroot de arranque WAN se denomina miniroot.s10_sparc. Esta miniroot se encuentra en el directorio /miniroot del directorio root de documentos del servidor de arranque WAN.
El programa wanboot.s10_sparc y el sistema de archivos de arranque WAN están firmados con una clave de hashing HMAC SHA1.
El programa wanboot.s10_sparc y el sistema de archivos de arranque están encriptados con una clave 3DES.
El servidor se autentica durante la instalación.
El cliente no se autentica durante la instalación.
No se necesitan nombres de sistema adicionales para efectuar la instalación en WAN. Todos los archivos e información necesarios se encuentran en el directorio root de documentos del servidor de arranque WAN.
(Opcional) Los mensajes de registro de arranque y de instalación se graban en el servidor de arranque WAN mediante HTTP seguro.
Para obtener instrucciones sobre cómo configurar un servidor de registro para la instalación mediante arranque WAN, consulte (Opcional) Para configurar el servidor de registro de arranque WAN.
El archivo de configuración del sistema que contiene las ubicaciones de los archivos sysidcfg y JumpStart se encuentra en el subdirectorio de la jerarquía /etc/netboot. El archivo de configuración de sistema se llama sys-conf.s10–sparc.
El siguiente ejemplo de archivo wanboot.conf incluye información de configuración para una instalación mediante un arranque WAN menos segura que utiliza HTTP. Este archivo wanboot.conf indica también que en esta instalación no se utilizan claves de encriptación ni de hashing.
boot_file=/wanboot/wanboot.s10_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Este archivo wanboot.conf especifica la configuración siguiente.
El programa de arranque de segundo nivel se llama wanboot.s10_sparc. Este programa se encuentra en el directorio /wanboot del directorio root de documentos del servidor de arranque WAN.
La ubicación del programa wanboot-cgi en el servidor de arranque WAN es http://www.example.com/cgi-bin/wanboot-cgi. Esta instalación no utiliza HTTP seguro.
La miniroot de arranque WAN se denomina miniroot.s10_sparc. se encuentra en el directorio /miniroot del directorio raíz de documentos del servidor de arranque WAN.
El programa wanboot.s10_sparc y el sistema de archivos de arranque WAN no están firmados con una clave de hashing HMAC SHA1.
El programa wanboot.s10_sparc y el sistema de archivos de arranque no están encriptados.
El servidor no se autentica mediante claves o certificados durante la instalación.
El cliente no se autentica mediante claves o certificados durante la instalación.
No se necesitan nombres de sistema adicionales para efectuar la instalación. Todos los archivos e información necesarios se encuentran en el directorio root de documentos del servidor de arranque WAN.
(Opcional) Los mensajes de arranque y de registro de la instalación se graban en el servidor de arranque WAN.
Para obtener instrucciones sobre cómo configurar un servidor de registro para la instalación mediante arranque WAN, consulte (Opcional) Para configurar el servidor de registro de arranque WAN.
The system configuration file that contains the locations of the sysidcfg and JumpStart files is named sys-conf.s10–sparc . Este archivo se encuentra en el subdirectorio cliente apropiado de la jerarquía /etc/netboot.
Si lo desea, después de crear el archivo wanboot.conf, puede configurar un servidor DHCP para dar soporte al arranque WAN. Para obtener instrucciones, consulte (Opcional) Suministro de información de configuración mediante un servidor DHCP.
Si no desea utilizar un servidor DHCP en la instalación mediante arranque WAN, consulte Para comprobar el alias de dispositivo net en la OBP del cliente para continuar con la instalación mediante arranque WAN.
Para obtener descripciones detalladas de los parámetros y los valores de wanboot.conf, consulte Parámetros y sintaxis del archivo wanboot.conf y la página de comando man wanboot.conf(4).
Si utiliza un servidor DHCP en su red, puede configurarlo para que proporcione la información siguiente.
Dirección IP del servidor de proxy
Ubicación del programa wanboot-cgi
Puede usar las siguientes opciones del proveedor DHCP en su instalación mediante arranque WAN.
Indica el URL del programa wanboot-cgi en el servidor de arranque WAN
Para obtener información acerca de cómo definir estas opciones de proveedor en un servidor DHCP de Solaris, consulte Preconfiguración de la información de configuración del sistema mediante el servicio DHCP (tareas).
Para obtener información detallada sobre cómo configurar un servidor DHCP de Solaris, consulte el Capítulo 16, Configuring the DHCP Service (Tasks) de System Administration Guide: IP Services.
Para continuar con la instalación mediante arranque WAN, consulte el Capítulo 12, SPARC: Instalación mediante arranque WAN (tareas).
En este capítulo se describe cómo efectuar una instalación mediante arranque WAN en un cliente basado en SPARC. Para obtener información acerca de cómo preparar una instalación mediante arranque WAN, consulte el Capítulo 11, Instalación con Arranque WAN (tareas) .
En este capítulo se describen las tareas siguientes.
En la tabla siguiente se enumeran las tareas que debe efectuar para instalar un cliente mediante un arranque WAN.
Tabla 12–1 Mapa de tareas para la realización de una instalación mediante arranque WAN
Tarea |
Descripción |
Para obtener instrucciones |
---|---|---|
Preparar la red para una instalación mediante arranque WAN |
Configure los servidores y archivos necesarios para efectuar una instalación mediante arranque WAN. | |
Verificar que el alias de dispositivo net esté configurado correctamente en la OBP del cliente. |
Utilice el comando devalias para verificar que el alias de dispositivo net esté definido como la interfaz de red principal. |
Para comprobar el alias de dispositivo net en la OBP del cliente |
Proporcionar claves al cliente |
Proporcione claves al cliente configurando las variables de OBP o escribiendo valores de clave durante la instalación. Esta tarea es necesaria para las configuraciones de instalación seguras. Para instalaciones no seguras que comprueban la integridad de los datos, efectúe esta tarea para proporcionar al cliente una clave de hashing HMAC SHA1. | |
Instalar el cliente a través de una Red de área extensa (WAN). |
Elija el método apropiado para instalar el cliente. |
Para realizar una instalación no interactiva mediante arranque WAN Para realizar una instalación interactiva mediante arranque WAN Para realizar una instalación mediante arranque WAN con un servidor DHCP Para realizar una instalación mediante arranque WAN con un soporte CD |
Antes de instalar el sistema cliente, prepárelo mediante las tareas siguientes.
Para arrancar el cliente desde WAN mediante boot net, el valor del alias del dispositivo net debe ser el dispositivo primario de red del cliente. En la mayoría de sistemas, este alias está establecido de forma correcta. Sin embargo, si el alias no está definido como el dispositivo de red que desea utilizar, deberá cambiar el alias.
Para obtener más información acerca de como configurar alias de dispositivos, consulte ?The Device Tree? en el OpenBoot 3.x Command Reference Manual.
Siga estos pasos para comprobar el alias de dispositivo net en el cliente.
Conviértase en superusuario o equivalente en el cliente.
Lleve el sistema al nivel de ejecución 0.
# init 0 |
Se muestra el indicador ok.
En el indicador ok, compruebe los alias de dispositivos configurados en la OBP.
ok devalias |
El comando devalias muestra información similar al ejemplo siguiente.
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Si el alias net está definido como el dispositivo de red que desea utilizar durante la instalación, no es necesario reiniciarlo. Vaya a Instalación de claves en el cliente para continuar con la instalación.
Si el alias net no está definido como el dispositivo de red que desea utilizar, deberá reiniciarlo. Continúe.
Configure el alias de dispositivo net.
Elija una de las órdenes siguientes para configurar el alias de dispositivo net.
Para configurar el alias de dispositivo net sólo para esta instalación, utilice la orden devalias.
ok devalias net ruta_dispositivo |
Asigna el dispositivo ruta_dispositivo al alias net
Para configurar de forma permanente el alias de dispositivo net, utilice el comando nvalias.
ok nvalias net ruta_dispositivo |
Los comandos siguientes muestran cómo comprobar y reiniciar el alias de dispositivo net.
Compruebe los alias de dispositivos.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Si desea utilizar el dispositivo de red /pci@1f,0/pci@1,1/network@5,1, escriba el comando siguiente.
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
Después de comprobar el alias de dispositivo net, consulte la sección adecuada para continuar con la instalación.
Si, en su instalación, usa una clave de hashing y una de cifrado, consulte Instalación de claves en el cliente.
Si está realizando una instalación menos segura sin claves, consulte Instalación del cliente.
Para efectuar una instalación mediante arranque WAN más segura o una instalación no segura con comprobación de integridad de datos deberá instalar claves en el cliente. El uso de claves de hashing y de encriptación permite proteger los datos transmitidos al cliente. Puede utilizar uno de estos métodos para instalar las claves.
Configurar variables de OBP: se pueden asignar valores de claves a variables de argumentos de arranque de red de la OBP antes de arrancar el cliente. Estas claves pueden utilizarse para futuras instalaciones mediante arranque WAN del cliente.
Escribir los valores de las claves durante el proceso de arranque: puede establecer los valores de las claves en el indicador boot> del programa wanboot. Si utiliza este método para instalar las claves, éstas sólo se utilizarán para la instalación mediante el arranque WAN actual.
También puede instalar claves en la OBP de un cliente en marcha. Si desea instalar claves en un cliente que esté en ejecución, el sistema deberá contar con Solaris 9 12/03 SO o una versión compatible.
Al instalar claves en el cliente, cerciórese de que los valores de éstas no se transmitan por una conexión no segura. Siga las normas de seguridad de la sede para garantizar la privacidad de los valores de las claves.
Para obtener instrucciones acerca de cómo asignar valores de claves a las variables de los argumentos de arranque de red de la OBP, consulte Para instalar claves en la OBP del cliente.
Para obtener instrucciones acerca de cómo instalar claves durante el proceso de arranque, consulte Para realizar una instalación interactiva mediante arranque WAN .
Para obtener instrucciones acerca de cómo instalar claves en la OBP de un cliente en marcha, consulte Para instalar claves de hashing y de encriptación en un cliente en marcha.
Es posible asignar valores de claves a variables de argumentos de arranque de red de la OBP antes de arrancar el cliente. Estas claves pueden utilizarse para futuras instalaciones mediante arranque WAN del cliente.
Para instalar claves en la OBP del cliente, siga estos pasos.
Si desea asignar valores de clave a variables de argumentos de arranque de red de la OBP, siga estos pasos.
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Muestre el valor de cada una de las claves del cliente.
# wanbootutil keygen -d -c -o net=ip_red,cid=ID_cliente,type=tipo_clave |
Dirección IP de la subred del cliente.
ID del cliente que desee instalar. que puede ser un ID definido por el usuario o el ID de cliente DHCP.
Tipo de clave que desee instalar en el cliente. Los tipos de clave válidos son 3des, aes o sha1.
Se muestra el valor hexadecimal de la clave.
Repita el paso anterior para cada tipo de clave de cliente que desee instalar.
Lleve el sistema cliente al nivel de ejecución 0.
# init 0 |
Se muestra el indicador ok.
En el indicador ok del cliente, defina el valor de la clave de hashing.
ok set-security-key wanboot-hmac-sha1 valor_clave |
Instala la clave en el cliente.
Indica a la OBP que instale una clave de hashing HMAC SHA1
Especifica la cadena hexadecimal que se muestra en el Paso 2.
La clave de hashing HMAC SHA1 se instala en la OBP del cliente.
En el indicador ok del cliente, instale la clave de cifrado.
ok set-security-key wanboot-3des valor_clave |
Instala la clave en el cliente.
Indica a la OBP que instale una clave de encriptación 3DES. Si desea utilizar una clave de encriptación AES, configure este valor como wanboot-aes.
Especifica la cadena hexadecimal que representa la clave de encriptación.
La clave de cifrado 3DES se instala en la OBP del cliente.
Una vez instaladas las claves, está preparado para instalar el cliente. Consulte Instalación del cliente para obtener instrucciones sobre cómo instalar el sistema cliente.
(Opcional) Compruebe que las claves estén configuradas en la OBP del cliente.
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des |
(Opcional) Para suprimir una clave escriba el comando siguiente.
ok set-security-key key-type |
En el ejemplo siguiente se muestra la forma de instalar una clave de hashing y una clave de encriptación en la OBP del cliente.
Muestre los valores de las claves en el servidor de arranque WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
El ejemplo anterior utiliza la información siguiente.
Especifica la dirección IP de la subred del cliente
Especifica el ID del cliente
Especifica el valor de la clave de hashing HMAC SHA1 del cliente
Especifica el valor de la clave de encriptación 3DES del cliente
Si utiliza una clave de cifrado AES en la instalación, cambie wanboot-3des por wanboot-aes para mostrar el valor de la clave de cifrado.
Instale las claves en el sistema cliente.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Los comandos anteriores efectúan estas tareas.
Instala la clave de hashing HMAC SHA1 con el valor b482aaab82cb8d5631e16d51478c90079cc1d463 en el cliente.
Instala la clave de cifrado 3DES con el valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 en el cliente.
Si utiliza una clave de encriptación AES, cambie wanboot-3des por wanboot-aes.
Después de instalar las claves en el cliente, podrá proceder a instalar el cliente mediante WAN. Para obtener instrucciones, consulte Instalación del cliente.
Para obtener más información sobre cómo mostrar los valores de claves, consulte la página de comando man wanbootutil(1M).
Puede definir los valores de las claves mediante el indicador boot> del programa wanboot en un sistema que esté en marcha. Si utiliza este método para instalar las claves, éstas sólo se utilizarán para la instalación mediante el arranque WAN actual.
Si desea instalar claves de hashing y de encriptación en la OBP de un cliente en marcha, siga estos pasos.
En este procedimiento se presupone que:
El sistema cliente está encendido.
Se puede acceder al cliente a través de una conexión segura, como un shell seguro (ssh).
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Muestre el valor de cada una de las claves del cliente.
# wanbootutil keygen -d -c -o net=ip_red,cid=ID_cliente,type=tipo_clave |
Dirección IP de la subred del cliente.
ID del cliente que desee instalar. que puede ser un ID definido por el usuario o el ID de cliente DHCP.
Tipo de clave que desee instalar en el cliente. Los tipos de clave válidos son 3des, aes o sha1.
Se muestra el valor hexadecimal de la clave.
Repita el paso anterior para cada tipo de clave de cliente que desee instalar.
Conviértase en superusuario o equivalente en el equipo cliente.
Instale las claves necesarias en el cliente en marcha.
# /usr/lib/inet/wanboot/ickey -o type=tipo_clave > valor_clave |
Especifica el tipo de clave que desee instalar en el cliente. Los tipos de clave válidos son 3des, aes o sha1.
Especifica la cadena hexadecimal que se muestra en el Paso 2.
Repita el paso anterior para cada tipo de clave de cliente que desee instalar.
Una vez instaladas las claves, puede instalar el cliente. Consulte Instalación del cliente para obtener instrucciones sobre cómo instalar el sistema cliente.
En el ejemplo siguiente se muestra cómo instalar claves en la OBP de un cliente en marcha.
Muestre los valores de las claves en el servidor de arranque WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
El ejemplo anterior utiliza la información siguiente.
Especifica la dirección IP de la subred del cliente
Especifica el ID del cliente
Especifica el valor de la clave de hashing HMAC SHA1 del cliente
Especifica el valor de la clave de encriptación 3DES del cliente
Si utiliza una clave de cifrado AES en la instalación, cambie type=3des por type=aes para mostrar el valor de clave de cifrado.
Instale las claves en la OBP del cliente en marcha.
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Los comandos anteriores efectúan estas tareas.
Instala una clave de hashing HMAC SHA1 con el valor b482aaab82cb8d5631e16d51478c90079cc1d463 en el cliente.
Instalan una clave de cifrado 3DES con un valor de 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 en el cliente.
Después de instalar las claves en el cliente, podrá proceder a instalar el cliente mediante WAN. Para obtener instrucciones, consulte Instalación del cliente.
Para obtener más información sobre cómo mostrar los valores de claves, consulte la página de comando man wanbootutil(1M).
Para obtener información adicional acerca de cómo instalar claves en un sistema que esté en marcha, consulte ickey(1M).
Una vez preparada la red para una instalación mediante arranque WAN, puede elegir uno de los siguientes métodos para instalar el sistema.
Tabla 12–2 Métodos para instalar el cliente
Método |
Descripción |
Instrucciones |
---|---|---|
Instalación no interactiva |
Utilice este método de instalación si desea instalar claves en el cliente y establecer la información de configuración del cliente antes de arrancarlo. |
|
Instalación interactiva |
Utilice este método de instalación si desea definir la información de configuración del cliente durante el proceso de arranque. |
Para realizar una instalación interactiva mediante arranque WAN |
Instalación con un servidor DHCP |
Utilice este método de instalación si ha configurado el servidor DHCP de la red para que proporcione la información de configuración del cliente durante la instalación. |
|
Instalación con un soporte CD local |
Si la OBP del cliente no admite el arranque WAN, arranque el cliente desde una copia local del CD software Solaris. |
|
Utilice este método de instalación si prefiere instalar claves en el cliente y establecer la información de configuración éste antes de instalarlo. A continuación podrá arrancar el cliente desde la WAN y efectuar una instalación sin operador.
En este procedimiento se presupone que ha instalado claves en la OBP del cliente o que va a efectuar una instalación no segura. Para obtener información sobre cómo instalar claves en el cliente antes de comenzar la instalación, consulte Instalación de claves en el cliente.
Si el sistema cliente está actualmente en marcha, llévelo al nivel de ejecución 0.
# init 0 |
Se muestra el indicador ok.
En el indicador ok del sistema cliente, configure las variables de argumentos de arranque en la OBP.
ok setenv network-boot-arguments host-ip=IP_cliente, router-ip=IP_encaminador,subnet-mask=valor_máscara, hostname=nombre_cliente,http-proxy=ip_proxy:puerto, file=URL_wanbootCGI |
Los saltos de línea de este ejemplo de orden se incluyen únicamente para dotarla de formato. No introduzca retornos de carro hasta que acabe de escribir el comando.
Indica a la OBP que defina los siguientes argumentos de arranque.
Especifica la dirección IP y el puerto del servidor proxy de la red.
Indica el URL del programa wanboot-cgi en el servidor web.
Arrancar el cliente.
ok boot net - install |
Indica al cliente que utilice las variables de argumentos de arranque en red de la WAN
El cliente realiza la instalación mediante WAN. Si los programas de arranque WAN no encuentran toda la información de instalación necesaria, el programa wanboot solicita la información que falta. Escriba la información adicional en el indicador.
En el ejemplo siguiente, las variables de argumentos de arranque en red para el sistema cliente myclient se configuran antes de arrancar la máquina. En el ejemplo se presupone que el cliente tiene instaladas una clave de hashing y una clave de encriptación. Para obtener información sobre cómo instalar claves antes del arranque WAN, consulte Instalación de claves en el cliente.
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192 hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
Se configuran las siguientes variables.
La dirección IP del cliente se establece en 192.168.198.136.
La dirección IP del encaminador del cliente se establece en 192.168.198.129.
La máscara de subred del cliente se establece en 255.255.255.192.
El nombre de sistema del cliente se establece en seahag.
El programa wanboot-cgi se encuentra en http://192.168.198.135/cgi-bin/wanboot-cgi.
Para obtener más información acerca de cómo se configuran los argumentos de arranque en red, consulte set(1).
Para obtener más información acerca de cómo arrancar un sistema, consulte boot(1M).
Utilice este método de instalación si desea instalar claves y establecer la información de configuración del cliente durante la instalación.
En este procedimiento se presupone que en la instalación mediante arranque WAN se utiliza HTTPS. Si va a llevar a cabo una instalación no segura que no utiliza claves, no muestre ni instale las claves del cliente.
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Muestre el valor de cada una de las claves del cliente.
# wanbootutil keygen -d -c -o net=ip_red,cid=ID_cliente,type=tipo_clave |
La dirección IP de la subred del cliente que desee instalar.
ID del cliente que desee instalar. que puede ser un ID definido por el usuario o el ID de cliente DHCP.
Tipo de clave que desee instalar en el cliente. Los tipos de clave válidos son 3des, aes o sha1.
Se muestra el valor hexadecimal de la clave.
Repita el paso anterior para cada tipo de clave de cliente que vaya a instalar.
Si el sistema cliente está actualmente en marcha, lleve el sistema al nivel de ejecución 0.
En el indicador ok del sistema cliente, configure las variables de argumentos de arranque en red en la OBP.
ok setenv network-boot-arguments host-ip=IP_cliente,router-ip=ip_encaminador, subnet-mask=valor_máscara,hostname=nombre_cliente, http-proxy=ip_proxy:puerto,bootserver=URL_wanbootCGI |
Los saltos de línea de este ejemplo de orden se incluyen únicamente para dotarla de formato. No introduzca retornos de carro hasta que acabe de escribir el comando.
Indica a la OBP que establezca los siguientes argumentos de arranque
Especifica la dirección IP del cliente.
Especifica la dirección IP del encaminador de red.
Especifica el valor de la máscara de subred.
Especifica el nombre de sistema del cliente.
Especifica la dirección IP y el puerto del servidor proxy de la red.
Indica el URL del programa wanboot-cgi en el servidor web.
El valor URL de la variable bootserver no debe ser un URL HTTPS. El URL debe comenzar con http://.
En el indicador ok del cliente, arranque el sistema.
ok boot net -o prompt - install |
Indica al cliente que arranque y se instale desde la red. El programa wanboot solicita al usuario que introduzca información sobre la configuración del cliente en el indicador boot>.
Aparece el indicador boot>.
boot> 3des=valor_clave |
Especifica la cadena hexadecimal de la clave 3DES que se muestra en el Paso 2.
Si utiliza una clave de encriptación AES, formatee la orden como se indica a continuación.
boot> aes=valor_clave |
Instale la clave de hashing.
boot> sha1=valor_clave |
Especifica el valor de la clave de hashing que se muestra en el Paso 2.
Escriba la orden siguiente para proseguir con el proceso de arranque.
boot> go |
El cliente se instala a través de la WAN.
Si se le solicita, escriba la información de configuración del cliente en la línea de órdenes.
Si los programas mediante arranque WAN no encuentran toda la información necesaria, el programa wanboot solicitará que se indique la información que falta. Escriba la información adicional en el indicador.
En el ejemplo siguiente, el programa wanboot solicita que defina los valores de las claves del sistema cliente durante la instalación.
Muestre los valores de las claves en el servidor de arranque WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
El ejemplo anterior utiliza la información siguiente.
Especifica la dirección IP de la subred del cliente
Especifica el ID del cliente
Especifica el valor de la clave de hashing HMAC SHA1 del cliente
Especifica el valor de la clave de encriptación 3DES del cliente
Si utiliza una clave de cifrado AES en la instalación, cambie type=3des por type=aes para mostrar el valor de clave de cifrado.
Configure las variables de argumentos de arranque en red en la OBP del cliente.
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient, bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi |
Se configuran las siguientes variables.
La dirección IP del cliente se establece en 192.168.198.136.
La dirección IP del encaminador del cliente se establece en 192.168.198.129.
La máscara de subred del cliente se establece en 255.255.255.192.
El nombre de sistema del cliente se establece en myclient.
El programa wanboot-cgi se encuentra en http://192.168.198.135/cgi-bin/wanboot-cgi.
Arranque e instale el cliente.
ok boot net -o prompt - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net -o prompt Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> go |
Los comandos anteriores efectúan estas tareas.
Instala la clave de cifrado 3DES con el valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 en el cliente.
Instala la clave de hashing HMAC SHA1 con el valor b482aaab82cb8d5631e16d51478c90079cc1d463 en el cliente.
Inician la instalación
Para obtener más información sobre cómo mostrar los valores de claves, consulte wanbootutil(1M).
Para obtener más información a cerca de cómo se configuran los argumentos de arranque en red, consulte set(1).
Para obtener más información acerca de cómo arrancar un sistema, consulte boot(1M).
Si ha configurado un servidor DHCP para que admita opciones de arranque WAN, puede utilizarlo para que proporcione al cliente información sobre la configuración durante la instalación. Para obtener más información sobre cómo configurar un servidor DHCP para que sea compatible con la instalación mediante arranque WAN, consulte (Opcional) Suministro de información de configuración mediante un servidor DHCP.
En este procedimiento se presupone que:
El sistema cliente está en marcha.
Ha instalado claves en el cliente o va a efectuar una instalación no segura.
Para obtener información sobre cómo instalar claves en el cliente antes de comenzar la instalación, consulte Instalación de claves en el cliente.
Ha configurado el servidor DHCP para que admita las opciones de arranque WAN SbootURI y SHTTPproxy.
Estas opciones permiten al servidor DHCP proporcionar la información de configuración requerida por el arranque WAN.
Para obtener más información acerca de cómo definir las opciones de instalación en el servidor DHCP, consulte Preconfiguración de la información de configuración del sistema mediante el servicio DHCP (tareas).
Si el sistema cliente está actualmente en marcha, llévelo al nivel de ejecución 0.
# init 0 |
Se muestra el indicador ok.
En el indicador ok del sistema cliente, configure las variables de argumentos de arranque en la OBP.
ok setenv network-boot-arguments dhcp,hostname=nombre_cliente |
Indica a la OBP que establezca los siguientes argumentos de arranque
Indica a la OBP que utilice el servidor DHCP para configurar el cliente
Especifica el nombre de sistema que desee asignar al cliente
Arranque el cliente desde la red.
ok boot net - install |
Indica al cliente que utilice las variables de argumentos de arranque en red de la WAN
El cliente realiza la instalación mediante WAN. Si los programas de arranque WAN no encuentran toda la información de instalación necesaria, el programa wanboot solicita la información que falta. Escriba la información adicional en el indicador.
En el ejemplo siguiente, el servidor DHCP de la red proporciona información sobre la configuración del cliente. En este ejemplo, se solicita el nombre del host myclient al cliente.
ok setenv network-boot-arguments dhcp, hostname=myclient ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
Para obtener más información a cerca de cómo se configuran los argumentos de arranque en red, consulte set(1).
Para obtener más información acerca de cómo arrancar un sistema, consulte boot(1M).
Para obtener información sobre cómo configurar un servidor DHCP, consulte (Opcional) Suministro de información de configuración mediante un servidor DHCP.
Si la OBP del cliente no admite arranque WAN, puede efectuar la instalación mediante un CD de Software de Solaris - 1 en la unidad de CD-ROM del cliente. Al utilizar un CD local, el cliente recupera el programa wanboot del soporte CD, en lugar de utilizar el servidor de arranque WAN.
En este procedimiento se presupone que en la instalación mediante arranque WAN se utiliza HTTPS. Si va a efectuar una instalación no segura, no muestre ni instale las claves de cliente.
Siga estos pasos para efectuar una instalación mediante arranque WAN desde un CD local.
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Muestre el valor de cada una de las claves del cliente.
# wanbootutil keygen -d -c -o net=ip_red,cid=ID_cliente,type=tipo_clave |
Dirección IP de red del cliente que va a instalar.
ID del cliente que va a instalar. que puede ser un ID definido por el usuario o el ID de cliente DHCP.
Tipo de clave que va a instalar en el cliente. Los tipos de clave válidos son 3des, aes o sha1.
Se muestra el valor hexadecimal de la clave.
Repita el paso anterior para cada tipo de clave de cliente que vaya a instalar.
En el sistema cliente, inserte el CD Software de Solaris - 1 en la unidad de CD-ROM.
Ponga en marcha el sistema cliente.
Arranque el cliente desde el CD.
ok boot cdrom -o prompt -F wanboot - install |
Indica a la OBP que arranque desde el CD-ROM local
Indica al programa wanboot que solicite al usuario la información de configuración del cliente
Indica a la OBP que cargue el programa wanboot del CD-ROM
Indica al cliente que efectúe una instalación mediante arranque WAN
La OBP del cliente carga el programa wanboot del CD Software de Solaris - 1. El programa wanboot arranca el sistema y aparece el indicador boot>.
Escriba el valor de la clave de cifrado.
boot> 3des=valor_clave |
Especifica la cadena hexadecimal de la clave 3DES que se muestra en el Paso 2.
Si utiliza una clave de encriptación AES, formatee la orden como se indica a continuación.
boot> aes=valor_clave |
Escriba el valor de la clave de hashing.
boot> sha1=valor_clave |
Especifica la cadena hexadecimal que representa el valor de la clave de hashing mostrado en el Paso 2.
Configure las variables de la interfaz de red.
boot> variable=valor[,variable=valor*] |
Escriba los siguientes pares de valores y de variables en el indicador boot>.
Especifica la dirección IP del cliente.
Especifica la dirección IP del encaminador de red.
Especifica el valor de la máscara de subred.
Especifica el nombre de sistema del cliente.
Especifica la dirección IP y el número de puerto del servidor de proxy de la red.
Indica el URL del programa wanboot-cgi en el servidor web.
El valor URL de la variable bootserver no debe ser un URL HTTPS. El URL debe comenzar con http://.
Puede utilizar uno de estos métodos para introducir estas variables.
Escriba el par de valores y de variables en el indicador boot> y después pulse la tecla Intro.
boot> host-ip=IP_cliente boot> subnet-mask=valor_máscara |
Escriba todos los pares de valores y de variables en una línea del indicador boot>; pulse después la tecla Intro. Separe cada pareja de variable y valor mediante comas.
boot> host-ip=IP_cliente,subnet-mask=valor_máscara, router-ip=ip_encaminador,hostname=nombre_cliente, http-proxy=ip_proxy:puerto,bootserver=URL_wanbootCGI |
Escriba la orden siguiente para proseguir con el proceso de arranque.
boot> go |
El cliente realiza la instalación mediante WAN. Si los programas de arranque WAN no encuentran toda la información de instalación necesaria, el programa wanboot solicita la información que falta. Escriba la información adicional en el indicador.
En el ejemplo siguiente, el programa wanboot situado en el CD local solicita valores para las variables de la interfaz de red para el cliente durante la instalación.
Muestre los valores de las claves en el servidor de arranque WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
El ejemplo anterior utiliza la información siguiente.
Especifica la dirección IP de la subred del cliente
Especifica el ID del cliente
Especifica el valor de la clave de hashing HMAC SHA1 del cliente
Especifica el valor de la clave de encriptación 3DES del cliente
Si utiliza una clave de cifrado AES en la instalación, cambie type=3des por type=aes para mostrar el valor de clave de cifrado.
Arranque e instale el cliente.
ok boot cdrom -o prompt -F wanboot - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot cdrom -F wanboot - install Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> host-ip=192.168.198.124 boot> subnet-mask=255.255.255.128 boot> router-ip=192.168.198.1 boot> hostname=myclient boot> client-id=010003BA152A42 boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi boot> go |
Los comandos anteriores efectúan estas tareas.
Instalan la clave de cifrado 3DES con un valor de 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 en el cliente.
Introducen la clave de hashing HMAC SHA1 con el valor b482aaab82cb8d5631e16d51478c90079cc1d463 en el cliente.
Establecen la dirección IP del cliente en 192.168.198.124.
Establecen la máscara de subred del cliente en 255.255.255.128.
Establecen la dirección IP del encaminador del cliente en 192.168.198.1.
Establecen el nombre del sistema cliente en myclient.
Establecen el ID del cliente en 010003BA152A42.
Establecen la ubicación del programa wanboot-cgi en http://192.168.198.135/cgi-bin/wanboot-cgi/.
Para obtener más información sobre cómo mostrar los valores de claves, consulte wanbootutil(1M).
Para obtener más información a cerca de cómo se configuran los argumentos de arranque en red, consulte set(1).
Para obtener más información acerca de cómo arrancar un sistema, consulte boot(1M).
En este capítulo se ofrece un ejemplo de configuración e instalación de sistemas cliente a través de una Red de área extensa (WAN). En los ejemplos de este capítulo se describe cómo efectuar una instalación segura un mediante arranque WAN a través de una conexión HTTPS.
Instalación del programa wanboot en el servidor de arranque WAN
Copia del programa wanboot-cgi en el servidor de arranque WAN
(Opcional) Configuración del servidor de arranque WAN como servidor de registro
Configuración del servidor de arranque WAN para utilizar HTTPS
(Opcional) Uso de la clave privada y el certificado para la autenticación de clientes
La Figura 13–1 muestra la configuración de sede para este ejemplo.
Las características de esta sede de ejemplo son las siguientes.
El servidor wanserver-1 se va a configurar como servidor de arranque WAN y servidor de instalación.
La dirección IP de wanserver-1 es 192.168.198.2.
El nombre de dominio de wanserver-1 es www.example.com.
wanserver-1 está ejecutando Solaris 10 11/06 SO.
wanserver-1 ejecuta el servidor de web Apache. El software Apache de wanserver-1 está configurado para admitir HTTPS.
El cliente que se va a instalar se denomina wanclient-1.
wanclient-1 es un sistema UltraSPARCII.
El ID de cliente de wanclient-1 es 010003BA152A42.
La dirección IP de wanclient-1 es 192.168.198.210.
La dirección IP de la subred del cliente es 192.168.198.0.
El sistema cliente wanclient-1 tiene acceso a Internet, pero no está conectado de forma directa a la red que contiene wanserver-1.
wanclient-1 es un nuevo sistema que se va a instalar con el software Solaris 10 11/06.
Para almacenar los archivos y datos de instalación, configure los siguientes directorios en el directorio root de documentos (/opt/apache/htdocs) en wanserver-1.
Directorio de Solaris Flash
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
Directorio miniroot de arranque WAN
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
Directorio del programa wanboot
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
Use setup_install_server(1M) con la opción -w para copiar la minirraíz de arranque WAN y la imagen del software de Solaris en el directorio /export/install/Solaris_10 de wanserver-1.
Inserte el soporte software Solaris en la unidad conectada a wanserver-1. Escriba los comandos siguientes:
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Desplace la minirroot de arranque WAN al directorio root de documentos (/opt/apache/htdocs/) del servidor de arranque WAN.
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Especifique si el OBP cliente admite el arranque WAN; escriba el comando siguiente en el sistema cliente.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
En el ejemplo anterior, la salida network-boot-arguments: data not available indica que el cliente OBP admite el arranque WAN.
Si desea instalar el programa wanboot en el servidor de arranque WAN, copie el programa del soporte del software software Solaris en el directorio root de documentos del servidor de arranque WAN.
Inserte el DVD de Solaris o el CD Software de Solaris - 1 en la unidad conectada a wanserver-1 y escriba los comandos siguientes.
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
Cree los subdirectorios wanclient-1 del directorio /etc/netboot en el servidor de arranque WAN. Los programas de instalación para arranque WAN recuperan de este directorio la información de configuración y seguridad durante la instalación.
wanclient-1 se encuentra en la subred 192.168.198.0 y su ID de cliente es 010003BA152A42. Para crear el subdirectorio apropiado de /etc/netboot para wanclient-1, efectúe las tareas siguientes.
Crean el directorio /etc/netboot.
Cambian los permisos del directorio /etc/netboot a 700.
Cambian la propiedad del directorio /etc/netboot al propietario del proceso del servidor web.
Toman el mismo rol de usuario que el usuario del servidor web.
Crean un subdirectorio de /etc/netboot denominado como la subred (192.168.198.0).
Crean un subdirectorio del directorio de subred denominado como el ID de cliente.
Cambian los permisos de los subdirectorios /etc/netboot a 700.
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
En los sistemas que ejecutan el Solaris 10 11/06 SO, el programa wanboot-cgi se encuentra en el directorio /usr/lib/inet/wanboot/. Para habilitar el servidor de arranque WAN de forma que transmita los datos de instalación, copie el programa wanboot-cgi en el directorio cgi-bin del directorio del software del servidor web.
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
De forma predeterminada, todos los mensajes de registro de arranque WAN se muestran en el sistema cliente. Este comportamiento predeterminado le permite depurar rápidamente cualquier problema de instalación que pudiera surgir.
Para ver los mensajes de arranque e instalación del servidor de arranque WAN, copie la secuencia de comandos bootlog-cgi en el directorio cgi-bin de wanserver-1.
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Para utilizar HTTPS en su instalación de arranque WAN, deberá habilitar la compatibilidad con SSL en el software del servidor web. Deberá también instalar un certificado digital en el servidor de arranque WAN. En este ejemplo, se da por supuesto que el servidor web Apache de wanserver-1 está configurado para emplear SSL. Asimismo, también se supone que wanserver-1 tiene instalado un certificado digital y una entidad emisora de certificados para establecer la identidad de wanserver-1.
Para ver ejemplos de configuración del software de servidor web para utilizar SSL consulte la documentación del servidor web.
Al obligar al servidor a que se autentique se protegen los datos transmitidos del servidor al cliente a través de HTTPS. Para habilitar la autenticación de servidor se proporciona al cliente un certificado acreditado que le permite comprobar la identidad del servidor durante la instalación.
Si desea proporcionar el certificado acreditado al cliente, asuma la misma función de usuario que el usuario del servidor web. A continuación, divida el certificado para extraer el certificado acreditado y, a continuación, inserte éste en el archivo truststore del cliente en la jerarquía /etc/netboot.
En este ejemplo asume la función del servidor web de nobody. Después, divida el certificado PKCS#12 del servidor, denominado cert.p12, e inserte el certificado acreditado en el directorio /etc/netboot de wanclient-1.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Si desea proteger los datos durante la instalación, es posible que necesite wanclient-1 para autenticarse en wanserver-1. Para habilitar la autenticación de cliente en su instalación mediante arranque WAN, inserte un certificado cliente y una clave privada en el subdirectorio de cliente de la jerarquía /etc/netboot.
Si desea proporcionar una clave y un certificado privados al cliente, efectúe estas tareas.
Tome el mismo rol de usuario que el usuario del servidor web.
Divida el archivo PKCS#12 en una clave privada y un certificado cliente
Inserte el certificado en el archivo certstore del cliente
Inserte la clave privada en el archivo keystore del cliente
En este ejemplo asume la función del servidor web de nobody. Después, divide el certificado PKCS#12 de servidor denominado cert.p12. Se inserta el certificado en la jerarquía /etc/netboot de wanclient-1. A continuación se inserta la clave privada a la que se asigna el nombre wanclient.key en el archivo keystore del cliente.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key wanserver-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
Para proteger los datos transmitidos entre el servidor y el cliente se crea una clave de hashing y otra de cifrado. El servidor utiliza la primera para proteger la integridad del programa wanboot y la segunda para encriptar los datos de configuración e instalación. El cliente utiliza la clave de hashing para comprobar la integridad del programa wanboot descargado y la clave de cifrado para desencriptar los datos durante la instalación.
En primer lugar, asuma la misma función que el usuario del servidor web. En este ejemplo, la función del usuario del servidor web es nobody.
wanserver-1# su nobody Password: |
Después utilice el comando wanbootutil keygen con el fin de crear una clave principal HMAC SHA1 para wanserver-1.
wanserver-1# wanbootutil keygen -m |
A continuación se crean las claves de hashing y de encriptación para wanclient-1.
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
El comando anterior crea una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para wanclient-1. 192.168.198.0 especifica la subred de wanclient-1 y 010003BA152A42, el ID de cliente de wanclient-1.
En este ejemplo, se crea el contenedor de Solaris Flash mediante clonación del sistema maestro wanserver-1. Este archivo se denomina sol_10_sparc y se copia exactamente desde el sistema maestro, es decir, duplica éste de forma exacta. El archivo se almacena en sol_10_sparc.flar. El contenedor se guarda en el subdirectorio flash/archives del directorio raíz de documentos del servidor de arranque WAN.
wanserver-1# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Para preconfigurar el sistema wanclient-1, especifique las palabras clave y valores en el archivo sysidcfg. Guarde este archivo en el subdirectorio adecuado del directorio root de documentos de wanserver-1.
A continuación se muestra un ejemplo del archivo sysidcfg para wanclient-1. El nombre del sistema, la dirección IP y la máscara de red de estos sistemas se han preconfigurado mediante la edición del servicio de nombres. Este archivo se ubica en el directorio /opt/apache/htdocs/flash/.
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
Para el sistema wanclient-1, cree un perfil con el nombre wanclient_1_prof. Éste contiene las siguientes entradas, que definen el software Solaris 10 11/06 que se debe instalar en el sistema wanclient-1.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/cdrom0.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
La siguiente lista describe algunas de las palabras claves y valores del ejemplo.
El perfil instala un contenedor Solaris Flash en el sistema clónico. Se sobrescriben todos los archivos como en una instalación inicial.
El contenedor de Solaris Flash comprimido se recupera de wanserver-1.
Los segmentos del sistema de archivos están determinados por las palabras clave filesys, valor explicit. El tamaño de root (/) está basado en el del contenedor Solaris Flash. Se fija el tamaño del archivo swap necesario y se instala en c0t1d0s1. /export/home se basa en el espacio de disco libre. /export/home se instala en c0t1d0s7.
Los programas JumpStart personalizados utilizan el archivo rules para seleccionar el perfil de instalación correcto para el sistema wanclient-1. Cree un archivo de texto y denomínelo rules. A continuación inserte en éste palabras clave y valores.
La dirección IP del sistema wanclient-1 es 192.168.198.210. La máscara de red es 255.255.255.0. Use la palabra clave de regla network para especificar el perfil que los programas JumpStart personalizados deben usar para instalar wanclient-1.
network 192.168.198.0 - wanclient_1_prof - |
Este archivo rules indica a los programas JumpStart personalizados que utilicen wanclient_1_prof para instalar el software Solaris 10 11/06 en wanclient-1.
Asigne a este archivo de reglas el nombre wanclient_rule.
Después de crear el perfil y el archivo rules, ejecute la secuencia check para comprobar que los archivos sean válidos.
wanserver-1# ./check -r wanclient_rule |
Si la secuencia check no encuentra ningún error, crea el archivo rules.ok.
Guarde el archivo rules.ok en el directorio /opt/apache/htdocs/flash/.
Cree un archivo de configuración del sistema en el que se enumeren las ubicaciones del archivo sysidcfg y los archivos JumpStart personalizados en el servidor de instalación. Guarde este archivo en un directorio accesible para el servidor de arranque WAN.
En el ejemplo siguiente el programa wanboot-cgi busca el archivo sysidcfg y los archivos JumpStart personalizados en el directorio raíz de documentos del servidor de arranque WAN. El nombre de dominio del servidor de arranque WAN es https://www.example.com. El servidor de arranque WAN está configurado para utilizar HTTP seguro, de modo que los datos y archivos estarán protegidos durante la instalación.
En este ejemplo, el archivo de configuración del sistema se llama sys-conf.s10–sparc y se guarda en la jerarquía /etc/netboot del servidor de arranque WAN. El archivo sysidcfg y los archivos JumpStart personalizados se encuentran en el subdirectorio flash del directorio root de documentos.
SsysidCF=https://www.example.com/flash/ SjumpsCF=https://www.example.com/flash/
El arranque WAN utiliza la información de configuración contenida en el archivo wanboot.conf para instalar el sistema cliente. Cree el archivo wanboot.conf mediante un editor de texto y guárdelo en el subdirectorio cliente apropiado de la jerarquía /etc/netboot del servidor de arranque WAN.
El siguiente archivo wanboot.conf de wanclient-1 incluye información de configuración para una instalación en WAN que utiliza HTTP seguro. Este archivo indica también al arranque WAN que utilice una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para proteger los datos.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
Este archivo wanboot.conf especifica la configuración siguiente.
El programa wanboot se llama wanboot.s10_sparc. y se encuentra en el directorio wanboot del directorio raíz de documentos de wanserver-1.
La ubicación del programa wanboot-cgi en wanserver-1 es https://www.example.com/cgi-bin/wanboot-cgi . La parte https del URL indica que esta instalación mediante un arranque WAN utiliza HTTP seguro.
La miniroot de arranque WAN se denomina miniroot.s10_sparc. y se encuentra en el directorio miniroot del directorio root de documentos en wanserver-1.
El programa wanboot y el sistema de archivos de arranque WAN se firman mediante una clave de hashing HMAC SHA1.
El programa wanboot y el sistema de archivos de arranque WAN se encriptan mediante una clave 3DES.
El servidor se autentica durante la instalación.
El cliente no se autentica durante la instalación.
Si ha realizado las tareas descritas en (Opcional) Uso de la clave privada y el certificado para la autenticación de clientes, defina este parámetro como client_authentication=yes.
No se necesitan nombres de sistema adicionales para efectuar la instalación en WAN. Todos los nombres de sistema que necesita el programa wanboot-cgi se especifican en el archivo wanboot.conf y en el certificado cliente.
Los mensajes de arranque y de registro de la instalación se muestran en la consola del sistema. Si configuró el servidor de registro en (Opcional) Configuración del servidor de arranque WAN como servidor de registro y desea que los mensajes de arranque WAN también aparezcan en el servidor de arranque WAN, establezca este parámetro en boot_logger=https://www.example.com/cgi-bin/bootlog-cgi.
El archivo de configuración del sistema que especifica las ubicaciones de los archivos sysidcfg y de los archivos JumpStart se encuentra en sys-conf.s10–sparc, en la jerarquía /etc/netboot de wanserver-1.
En este ejemplo, el archivo wanboot.conf se guarda en el directorio /etc/netboot/192.168.198.0/010003BA152A42 de wanserver-1.
Para arrancar el cliente desde WAN mediante boot net, el valor del alias del dispositivo net debe ser el dispositivo primario de red del cliente. En el indicador ok del cliente escriba el comando devalias para comprobar que el valor del alias net se ha establecido en el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
En el ejemplo de salida anterior, el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1 tiene asignado el alias net. No es necesario restablecer el alias.
En Creación de las claves para el servidor y el cliente, creó la clave de hashing y la de cifrado para proteger los datos durante la instalación. Para habilitar el cliente para desencriptar los datos transmitidos desde wanserver-1 durante la instalación, instale estas claves en wanclient-1.
En wanserver-1, se muestran los valores de las claves.
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
El ejemplo anterior utiliza la información siguiente.
Especifica la dirección IP de la subred del cliente
Especifica el ID del cliente
Especifica el valor de la clave de hashing HMAC SHA1 del cliente
Especifica el valor de la clave de encriptación 3DES del cliente
Si utiliza una clave de cifrado AES en la instalación, cambie type=3des por type=aes para mostrar el valor de clave de cifrado.
En el indicador ok de wanclient-1, instale las claves.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Los comandos anteriores efectúan estas tareas.
Instala la clave de hashing HMAC SHA1 con el valor b482aaab82cb8d5631e16d51478c90079cc1d463 en wanclient-1.
Instala la clave de cifrado 3DES con el valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 en wanclient-1.
Para efectuar una instalación sin operador, configure las variables network-boot-arguments para wanclient-1 en el indicador ok y arranque el cliente.
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
Se configuran las siguientes variables.
La dirección IP del cliente se establece en 192.168.198.210.
La dirección IP del encaminador del cliente se establece en 192.168.198.1.
La máscara de subred del cliente se establece en 255.255.255.0.
El nombre de sistema del cliente se establece en wanclient-1.
El programa wanboot-cgi se encuentra en http://192.168.198.2/cgi-bin/wanboot-cgi.
El cliente se instala a través de la WAN. Si el programa wanboot no encuentra toda la información de instalación necesaria, se le solicitará que indique ésta en la línea de comandos.
En este capítulo se describen brevemente los comandos y archivos utilizados para efectuar una instalación mediante un arranque WAN.
En las tablas siguientes se describen los comandos utilizados para efectuar una instalación mediante arranque WAN.
Tabla 14–1 Preparación de los archivos de instalación y configuración para arranque WANTabla 14–2 Preparación de los archivos de seguridad para arranque WAN
En la siguiente tabla se muestran los comandos OBP que se deben escribir en el indicador ok del cliente para realizar una instalación mediante arranque WAN.
Tabla 14–3 Comandos OBP para una instalación mediante arranque WAN
El archivo de configuración del sistema permite indicar los siguientes archivos a los programas de instalación mediante arranque WAN.
sysidcfg
rules.ok
Perfil de JumpStart personalizado
El archivo de configuración del sistema es un archivo de texto sin formato, y debe seguir el modelo siguiente.
parámetro=valor
El archivo system.conf debe contener los siguientes parámetros de configuración.
Este parámetro señala al directorio del servidor de instalación que contiene el archivo sysidcfg. Para instalaciones mediante un arranque WAN sobre HTTPS, establezca como valor una URL HTTPS válida.
Este parámetro apunta al directorio JumpStart personalizado que contiene los archivos rules.ok y de perfil. Para instalaciones mediante un arranque WAN sobre HTTPS, establezca como valor una URL HTTPS válida.
Puede guardar el archivo system.conf en cualquier directorio accesible al servidor de arranque WAN.
El archivo wanboot.conf es un archivo de texto sin formato que los programas de instalación mediante arranque WAN utilizan para efectuar una instalación. Los programas y archivos siguientes utilizan la información contenida en el archivo wanboot.conf para instalar la máquina cliente.
Programa wanboot-cgi
Sistema de arranque WAN
Minirraíz de arranque WAN
Guarde el archivo wanboot.conf en el subdirectorio cliente apropiado de la jerarquía /etc/netboot del servidor de arranque WAN. Para obtener información acerca de cómo definir el ámbito de su instalación mediante arranque WAN con la jerarquía /etc/netboot, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.
La información se especifica en el archivo wanboot.conf mediante parámetros y sus valores asociados, con el formato siguiente.
parámetro=valor
Las entradas de parámetros no pueden ocupar más de una línea. Se pueden incluir comentarios en el archivo precediéndolos con el carácter #.
Para obtener información detallada acerca del archivo wanboot.conf, consulte la página de comando man wanboot.conf(4).
Debe definir los siguientes parámetros en el archivo wanboot.conf.
Este parámetro especifica la ruta al programa wanboot. El valor es una ruta relativa al directorio raíz de documentos del servidor de arranque WAN.
boot_file=/wanboot/wanboot.s10_sparc
Este parámetro especifica el URL del programa wanboot-cgi en el servidor de arranque WAN.
Utilice un URL HTTP para efectuar una instalación mediante arranque WAN sin autenticación de cliente ni de servidor.
root_server=http://www.example.com/cgi-bin/wanboot-cgi
Use una dirección URL HTTPS si está realizando una instalación mediante arranque WAN con la autenticación del servidor o con la del cliente y el servidor.
root_server=https://www.example.com/cgi-bin/wanboot-cgi
Este parámetro especifica la ruta a la miniroot de arranque WAN del servidor de arranque WAN. El valor es una ruta relativa al directorio raíz de documentos del servidor de arranque WAN.
root_file=/miniroot/miniroot.s10_sparc
Este parámetro especifica el tipo de clave de hashing que se debe utilizar para comprobar la integridad de los datos y archivos transmitidos.
Este parámetro especifica el tipo de encriptación que se debe utilizar para encriptar el programa wanboot y el sistema de archivos de arranque WAN.
En instalaciones mediante arranque WAN que utilicen HTTPS, configure este valor como 3des o aes según los formatos de clave utilizados. También deberá establecer el valor de la palabra clave signature_type en sha1.
encryption_type=3des
o
encryption_type=aes
Para instalaciones mediante arranque WAN no seguras que no usen una clave de cifrado, deje este valor en blanco.
encryption_type=
Este parámetro especifica si el servidor debe autenticarse durante la instalación mediante arranque WAN.
En instalaciones mediante arranque WAN con autenticación de servidor o de cliente y servidor, configure este valor como yes. Deberá establecer también el valor de signature_type en sha1, encryption_type en 3des o aes y el URL de root_server en un valor HTTPS.
server_authentication=yes
Para instalaciones mediante arranque WAN no seguras que no usen autenticación de servidor ni autenticación de servidor y cliente, establezca este valor en no. También puede dejar el valor en blanco.
server_authentication=no
Este parámetro especifica si el cliente debe autenticarse durante la instalación mediante arranque WAN.
En instalaciones mediante arranque WAN con autenticación de cliente y servidor, establezca este valor en yes. Deberá también establecer el valor de signature_type en sha1, encryption_type en 3des o aes y la URL de root_server en un valor HTTPS.
client_authentication=yes
Para instalaciones mediante arranque WAN no seguras que no usen autenticación de cliente, establezca este valor en no. También puede dejar el valor en blanco.
client_authentication=no
Este parámetro especifica sistemas adicionales que el programa wanboot-cgi debe determinar durante la instalación.
Configure este valor con los nombres de los sistemas que no se hayan especificado anteriormente en el archivo wanboot.conf o en un certificado de cliente.
Si el archivo wanboot.conf o el certificado de cliente contienen todos los host necesarios, deje el valor en blanco.
resolve_hosts=
Si los sistemas concretos no figuran en el archivo wanboot.conf o en el certificado del cliente, establezca el valor en estos nombres de sistema.
resolve_hosts=seahag,matters
Este parámetro especifica el URL de la secuencia bootlog-cgi en el servidor de registro.
Para guardar los mensajes de registro de arranque o instalación en un servidor de registro exclusivo, establezca el valor en el URL de la secuencia bootlog-cgi en el servidor de registro.
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
Para mostrar mensajes de arranque y de instalación en la consola del cliente, deje este valor en blanco.
boot_logger=
Este parámetro especifica la ruta al archivo de configuración del sistema, que contiene la ubicación de los archivos sysidcfg y JumpStart personalizados.
Configure el valor con la ruta al archivo sysidcfg y a los archivos JumpStart personalizados en el servidor web.
system_conf=sys.conf