準備用於 WAN Boot 安裝的用戶端
在安裝用戶端系統之前,請執行以下作業來準備用戶端。
檢查用戶端 OBP 中的 net 裝置別名
若要使用 boot net 從 WAN 啟動用戶端,必須將 net 裝置別名設定為該用戶端的主要網路裝置。在大多數系統上,已經正確設定了此別名。但是,如果未將別名設定為要使用的網路裝置,則必須變更別名。
如需有關設定裝置別名的更多資訊,請參閱「OpenBoot 3.x Command Reference Manual」中的「The Device Tree」。
執行下列步驟以檢查用戶端上的 net 裝置別名。
-
在用戶端上成為超級使用者或具有同等權限的角色。
-
使系統執行 0 階層。
# init 0
螢幕上會顯示 ok 提示。
-
在 ok 提示下,檢查 OBP 中設定的裝置別名。
ok devalias
devalias 指令輸出的資訊類似於以下範例。
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8
-
如果已經將 net 別名設定為要在安裝期間使用的網路裝置,則無需重設該別名。請前往在用戶端上安裝金鑰繼續進行安裝。
-
如果未將 net 別名設定為要使用的網路裝置,則必須重設別名再繼續。
-
-
設定 net 裝置別名。
選擇下列指令之一來設定 net 裝置別名。
範例 12–1 檢查與重設 net 裝置別名
以下指令顯示了如何檢查與重設 net 裝置別名。
檢查裝置別名。
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
如果要使用 /pci@1f,0/pci@1,1/network@5,1 網路裝置,請輸入以下指令。
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
繼續進行 WAN Boot 安裝
檢查 net 裝置別名之後,請參閱適當的章節以繼續進行安裝。
在用戶端上安裝金鑰
若要進行需要檢查資料完整性的較安全 WAN Boot 安裝或不安全安裝,則必須在用戶端上安裝金鑰。透過使用雜湊金鑰與加密金鑰,可以保護傳輸至用戶端的資料。可以使用下列方法安裝這些金鑰。
-
設定 OBP 變數 – 可以在啟動用戶端之前指定 OBP 網路啟動引數變數的密鑰值。這些值即可用於以後的用戶端 WAN Boot 安裝。
-
在啟動過程中輸入金鑰值 – 可以在 wanboot 程式的 boot> 提示符號下設定金鑰值。如果使用此方法安裝金鑰,則這些金鑰只用於目前的 WAN Boot 安裝。
也可以在執行中用戶端的 OBP 內安裝金鑰。如果要在執行中的用戶端上安裝金鑰,系統就必須執行 Solaris 9 12/03 作業系統或相容版本。
您在用戶端上安裝金鑰時,請確保金鑰值不會透過不安全連接進行傳輸。請遵循網站的安全性策略以確保金鑰值的私密性。
-
如需有關如何指定 OBP 網路啟動引數變數的指示,請參閱在用戶端 OBP 內安裝金鑰。
-
如需有關如何在啟動過程中安裝金鑰的指示,請參閱執行互動式 WAN Boot 安裝。
-
如需有關如何在執行中用戶端的 OBP 中安裝金鑰的指示,請參閱在執行中的用戶端上安裝雜湊金鑰與加密金鑰。
在用戶端 OBP 內安裝金鑰
啟動用戶端之前,可以將金鑰值指定給 OBP 網路啟動引數變數。這些值即可用於以後的用戶端 WAN Boot 安裝。
如果要在用戶端 OBP 安裝金鑰,請遵循以下步驟。
如果要指定 OBP 網路啟動引數變數的金鑰值,請遵循以下步驟。
-
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
-
顯示每個用戶端金鑰的金鑰值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
- net-ip
-
用戶端的子網路 IP 位址。
- client-ID
-
要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
- key-type
-
要在用戶端上安裝的金鑰類型。有效的金鑰類型包括 3des、aes 或 sha1。
螢幕上會顯示十六進制的金鑰值。
-
對於每種要安裝的用戶端金鑰類型,重複執行上面的步驟。
-
使用戶端系統執行 0 階層。
# init 0
螢幕上會顯示 ok 提示。
-
在用戶端 ok 提示下,設定雜湊金鑰的值。
ok set-security-key wanboot-hmac-sha1 key-value
- set-security-key
-
在用戶端上安裝金鑰。
- wanboot-hmac-sha1
-
指示 OBP 安裝 HMAC SHA1 雜湊金鑰。
- key-value
-
指定步驟 2 中顯示的十六進制字串。
HMAC SHA1 雜湊金鑰安裝在用戶端 OBP 中。
-
在用戶端 ok 提示下,安裝加密金鑰。
ok set-security-key wanboot-3des key-value
- set-security-key
-
在用戶端上安裝金鑰。
- wanboot-3des
-
指示 OBP 安裝 3DES 加密金鑰。如果要使用 AES 加密金鑰,請將該值設定為 wanboot-aes。
- key-value
-
指定表示加密金鑰的十六進制字串。
3DES 加密金鑰安裝在用戶端 OBP 中。
安裝完金鑰之後,便可以準備安裝用戶端。如需有關如何安裝用戶端系統的指示,請參閱安裝用戶端。
-
(可選擇) 確認在用戶端 OBP 中設定了金鑰。
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des -
(可選擇) 如果需要刪除金鑰,請輸入以下指令。
ok set-security-key key-type
範例 12–2 在用戶端 OBP 內安裝金鑰
以下範例顯示了如何在用戶端 OBP 內安裝雜湊金鑰與加密金鑰。
顯示 WAN Boot 伺服器上的金鑰值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上範例使用了以下資訊。
- net=192.168.198.0
-
指定用戶端子網路的 IP 位址
- cid=010003BA152A42
-
指定用戶端 ID
- b482aaab82cb8d5631e16d51478c90079cc1d463
-
指定用戶端的 HMAC SHA1 雜湊金鑰值
- 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
-
指定用戶端的 3DES 加密金鑰值
如果要在安裝中使用 AES 加密金鑰,請將 wanboot-3des 變更為 wanboot-aes 以顯示加密金鑰值。
在用戶端系統上安裝金鑰。
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上指令執行下列作業。
-
在用戶端上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊金鑰
-
在用戶端上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密金鑰
如果要在安裝中使用 AES 加密金鑰,請將 wanboot-3des 變更為 wanboot-aes。
繼續進行 WAN Boot 安裝
在用戶端上安裝金鑰之後,您就可以透過 WAN 安裝用戶端。如需有關說明,請參閱安裝用戶端。
另請參閱
如需有關如何顯示金鑰值的更多資訊,請參閱「wanbootutil(1M) 線上手冊」。
在執行中的用戶端上安裝雜湊金鑰與加密金鑰
在執行中的系統上,您可以在 wanboot 程式的 boot> 提示符號上設定金鑰值。如果使用此方法安裝金鑰,則這些金鑰只用於目前的 WAN Boot 安裝。
如果要在執行中用戶端的 OBP 內安裝雜湊金鑰與加密金鑰,請遵循以下步驟執行。
開始之前
此程序做出下列假定。
-
用戶端系統處於開機狀態。
-
可以藉由安全連接存取用戶端,例如安全 shell (ssh)。
-
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
-
顯示用戶端金鑰的金鑰值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
- net-ip
-
用戶端的子網路 IP 位址。
- client-ID
-
要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
- key-type
-
要在用戶端上安裝的金鑰類型。有效的金鑰類型包括 3des、aes 或 sha1。
螢幕上會顯示十六進制的金鑰值。
-
對於每種要安裝的用戶端金鑰類型,重複執行上面的步驟。
-
成為用戶端機器上的超級使用者或具有同等權限的角色。
-
在執行中的用戶端機器上安裝必要的金鑰。
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value
- key-type
-
指定要在用戶端上安裝的金鑰類型。有效的金鑰類型包括 3des、aes 或 sha1。
- key-value
-
指定步驟 2 中顯示的十六進制字串。
-
對於每種要安裝的用戶端金鑰類型,重複執行上面的步驟。
安裝金鑰之後,便完成了安裝用戶端的準備工作。如需有關如何安裝用戶端系統的指示,請參閱安裝用戶端。
範例 12–3 在執行中的用戶端系統 OBP 內安裝金鑰
以下範例顯示了如何在執行中用戶端的 OBP 內安裝金鑰。
顯示 WAN Boot 伺服器上的金鑰值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上範例使用了以下資訊。
- net=192.168.198.0
-
指定用戶端子網路的 IP 位址
- cid=010003BA152A42
-
指定用戶端 ID
- b482aaab82cb8d5631e16d51478c90079cc1d463
-
指定用戶端的 HMAC SHA1 雜湊金鑰值
- 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
-
指定用戶端的 3DES 加密金鑰值
如果要在安裝中使用 AES 加密金鑰,請將 type=3des 變更為 type=aes 以顯示加密金鑰值。
在執行中用戶端的 OBP 內安裝金鑰。
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上指令執行下列作業。
-
在用戶端上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊金鑰
-
在用戶端上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密金鑰
繼續進行 WAN Boot 安裝
在用戶端上安裝金鑰之後,您就可以透過 WAN 安裝用戶端。如需有關說明,請參閱安裝用戶端。
另請參閱
如需有關如何顯示金鑰值的更多資訊,請參閱「wanbootutil(1M) 線上手冊」。
如需有關如何在執行中系統上安裝金鑰的附加資訊,請參閱「ickey(1M)」。
- © 2010, Oracle Corporation and/or its affiliates