En este capítulo se ofrece un ejemplo de configuración e instalación de sistemas cliente a través de una Red de área extensa (WAN). En los ejemplos de este capítulo se describe cómo efectuar una instalación segura un mediante arranque WAN a través de una conexión HTTPS.
Instalación del programa wanboot en el servidor de arranque WAN
Copia del programa wanboot-cgi en el servidor de arranque WAN
(Opcional) Configuración del servidor de arranque WAN como servidor de registro
Configuración del servidor de arranque WAN para utilizar HTTPS
(Opcional) Uso de la clave privada y el certificado para la autenticación de clientes
La Figura 13–1 muestra la configuración de sede para este ejemplo.
Las características de esta sede de ejemplo son las siguientes.
El servidor wanserver-1 se va a configurar como servidor de arranque WAN y servidor de instalación.
La dirección IP de wanserver-1 es 192.168.198.2.
El nombre de dominio de wanserver-1 es www.example.com.
wanserver-1 está ejecutando el versión actual de Solaris.
wanserver-1 ejecuta el servidor de web Apache. El software Apache de wanserver-1 está configurado para admitir HTTPS.
El cliente que se va a instalar se denomina wanclient-1.
wanclient-1 es un sistema UltraSPARCII.
El ID de cliente de wanclient-1 es 010003BA152A42.
La dirección IP de wanclient-1 es 192.168.198.210.
La dirección IP de la subred del cliente es 192.168.198.0.
El sistema cliente wanclient-1 tiene acceso a Internet, pero no está conectado de forma directa a la red que contiene wanserver-1.
wanclient-1 es un nuevo sistema que se va a instalar con el software versión actual de Solaris.
Para almacenar los archivos y datos de instalación, configure los siguientes directorios en el directorio root de documentos (/opt/apache/htdocs) en wanserver-1.
Directorio de Solaris Flash
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
Directorio miniroot de arranque WAN
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
Directorio del programa wanboot
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
Use setup_install_server(1M) con la opción -w para copiar la minirraíz de arranque WAN y la imagen del software de Solaris en el directorio /export/install/Solaris_10 de wanserver-1.
Inserte el soporte software Solaris en la unidad conectada a wanserver-1. Escriba los comandos siguientes:
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Desplace la minirroot de arranque WAN al directorio root de documentos (/opt/apache/htdocs/) del servidor de arranque WAN.
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Especifique si el OBP cliente admite el arranque WAN; escriba el comando siguiente en el sistema cliente.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
En el ejemplo anterior, la salida network-boot-arguments: data not available indica que el cliente OBP admite el arranque WAN.
Si desea instalar el programa wanboot en el servidor de arranque WAN, copie el programa del soporte del software software Solaris en el directorio root de documentos del servidor de arranque WAN.
Inserte el DVD de Solaris o el CD Software de Solaris - 1 en la unidad conectada a wanserver-1 y escriba los comandos siguientes.
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
Cree los subdirectorios wanclient-1 del directorio /etc/netboot en el servidor de arranque WAN. Los programas de instalación para arranque WAN recuperan de este directorio la información de configuración y seguridad durante la instalación.
wanclient-1 se encuentra en la subred 192.168.198.0 y su ID de cliente es 010003BA152A42. Para crear el subdirectorio apropiado de /etc/netboot para wanclient-1, efectúe las tareas siguientes.
Crean el directorio /etc/netboot.
Cambian los permisos del directorio /etc/netboot a 700.
Cambian la propiedad del directorio /etc/netboot al propietario del proceso del servidor web.
Toman el mismo rol de usuario que el usuario del servidor web.
Crean un subdirectorio de /etc/netboot denominado como la subred (192.168.198.0).
Crean un subdirectorio del directorio de subred denominado como el ID de cliente.
Cambian los permisos de los subdirectorios /etc/netboot a 700.
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
En los sistemas que ejecutan versión actual de Solaris, el programa wanboot-cgi se ubica en el directorio /usr/lib/inet/wanboot/. Para habilitar el servidor de arranque WAN de forma que transmita los datos de instalación, copie el programa wanboot-cgi en el directorio cgi-bin del directorio del software del servidor web.
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
De forma predeterminada, todos los mensajes de registro de arranque WAN se muestran en el sistema cliente. Este comportamiento predeterminado le permite depurar rápidamente cualquier problema de instalación que pudiera surgir.
Para ver los mensajes de arranque e instalación del servidor de arranque WAN, copie la secuencia de comandos bootlog-cgi en el directorio cgi-bin de wanserver-1.
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Para utilizar HTTPS en su instalación de arranque WAN, deberá habilitar la compatibilidad con SSL en el software del servidor web. Deberá también instalar un certificado digital en el servidor de arranque WAN. En este ejemplo, se da por supuesto que el servidor web Apache de wanserver-1 está configurado para emplear SSL. Asimismo, también se supone que wanserver-1 tiene instalado un certificado digital y una entidad emisora de certificados para establecer la identidad de wanserver-1.
Para ver ejemplos de configuración del software de servidor web para utilizar SSL consulte la documentación del servidor web.
Al obligar al servidor a que se autentique se protegen los datos transmitidos del servidor al cliente a través de HTTPS. Para habilitar la autenticación de servidor se proporciona al cliente un certificado acreditado que le permite comprobar la identidad del servidor durante la instalación.
Si desea proporcionar el certificado acreditado al cliente, asuma la misma función de usuario que el usuario del servidor web. A continuación, divida el certificado para extraer el certificado acreditado y, a continuación, inserte éste en el archivo truststore del cliente en la jerarquía /etc/netboot.
En este ejemplo asume la función del servidor web de nobody. Después, divida el certificado PKCS#12 del servidor, denominado cert.p12, e inserte el certificado acreditado en el directorio /etc/netboot de wanclient-1.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Si desea proteger los datos durante la instalación, es posible que necesite wanclient-1 para autenticarse en wanserver-1. Para habilitar la autenticación de cliente en su instalación mediante arranque WAN, inserte un certificado cliente y una clave privada en el subdirectorio de cliente de la jerarquía /etc/netboot.
Si desea proporcionar una clave y un certificado privados al cliente, efectúe estas tareas.
Tome el mismo rol de usuario que el usuario del servidor web.
Divida el archivo PKCS#12 en una clave privada y un certificado cliente
Inserte el certificado en el archivo certstore del cliente
Inserte la clave privada en el archivo keystore del cliente
En este ejemplo asume la función del servidor web de nobody. Después, divide el certificado PKCS#12 de servidor denominado cert.p12. Se inserta el certificado en la jerarquía /etc/netboot de wanclient-1. A continuación se inserta la clave privada a la que se asigna el nombre wanclient.key en el archivo keystore del cliente.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key wanserver-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
Para proteger los datos transmitidos entre el servidor y el cliente se crea una clave de hashing y otra de cifrado. El servidor utiliza la primera para proteger la integridad del programa wanboot y la segunda para encriptar los datos de configuración e instalación. El cliente utiliza la clave de hashing para comprobar la integridad del programa wanboot descargado y la clave de cifrado para desencriptar los datos durante la instalación.
En primer lugar, asuma la misma función que el usuario del servidor web. En este ejemplo, la función del usuario del servidor web es nobody.
wanserver-1# su nobody Password: |
Después utilice el comando wanbootutil keygen con el fin de crear una clave principal HMAC SHA1 para wanserver-1.
wanserver-1# wanbootutil keygen -m |
A continuación se crean las claves de hashing y de encriptación para wanclient-1.
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
El comando anterior crea una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para wanclient-1. 192.168.198.0 especifica la subred de wanclient-1 y 010003BA152A42, el ID de cliente de wanclient-1.
En este ejemplo, se crea el contenedor de Solaris Flash mediante clonación del sistema maestro wanserver-1. Este archivo se denomina sol_10_sparc y se copia exactamente desde el sistema maestro, es decir, duplica éste de forma exacta. El archivo se almacena en sol_10_sparc.flar. El contenedor se guarda en el subdirectorio flash/archives del directorio raíz de documentos del servidor de arranque WAN.
wanserver-1# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Para preconfigurar el sistema wanclient-1, especifique las palabras clave y valores en el archivo sysidcfg. Guarde este archivo en el subdirectorio adecuado del directorio root de documentos de wanserver-1.
A continuación se muestra un ejemplo del archivo sysidcfg para wanclient-1. El nombre del sistema, la dirección IP y la máscara de red de estos sistemas se han preconfigurado mediante la edición del servicio de nombres. Este archivo se ubica en el directorio /opt/apache/htdocs/flash/.
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
Para el sistema wanclient-1, cree un perfil con el nombre wanclient_1_prof. Éste contiene las siguientes entradas, que definen el software versión actual de Solaris que se debe instalar en el sistema wanclient-1.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/cdrom0.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
La siguiente lista describe algunas de las palabras claves y valores del ejemplo.
El perfil instala un contenedor Solaris Flash en el sistema clónico. Se sobrescriben todos los archivos como en una instalación inicial.
El contenedor de Solaris Flash comprimido se recupera de wanserver-1.
Los segmentos del sistema de archivos están determinados por las palabras clave filesys, valor explicit. El tamaño de root (/) está basado en el del contenedor Solaris Flash. Se fija el tamaño del archivo swap necesario y se instala en c0t1d0s1. /export/home se basa en el espacio de disco libre. /export/home se instala en c0t1d0s7.
Los programas JumpStart personalizados utilizan el archivo rules para seleccionar el perfil de instalación correcto para el sistema wanclient-1. Cree un archivo de texto y denomínelo rules. A continuación inserte en éste palabras clave y valores.
La dirección IP del sistema wanclient-1 es 192.168.198.210. La máscara de red es 255.255.255.0. Use la palabra clave de regla network para especificar el perfil que los programas JumpStart personalizados deben usar para instalar wanclient-1.
network 192.168.198.0 - wanclient_1_prof - |
Este archivo rules indica a los programas JumpStart personalizados que utilicen wanclient_1_prof para instalar el software versión actual de Solaris en wanclient-1.
Asigne a este archivo de reglas el nombre wanclient_rule.
Después de crear el perfil y el archivo rules, ejecute la secuencia check para comprobar que los archivos sean válidos.
wanserver-1# ./check -r wanclient_rule |
Si la secuencia check no encuentra ningún error, crea el archivo rules.ok.
Guarde el archivo rules.ok en el directorio /opt/apache/htdocs/flash/.
Cree un archivo de configuración del sistema en el que se enumeren las ubicaciones del archivo sysidcfg y los archivos JumpStart personalizados en el servidor de instalación. Guarde este archivo en un directorio accesible para el servidor de arranque WAN.
En el ejemplo siguiente el programa wanboot-cgi busca el archivo sysidcfg y los archivos JumpStart personalizados en el directorio raíz de documentos del servidor de arranque WAN. El nombre de dominio del servidor de arranque WAN es https://www.example.com. El servidor de arranque WAN está configurado para utilizar HTTP seguro, de modo que los datos y archivos estarán protegidos durante la instalación.
En este ejemplo, el archivo de configuración del sistema se llama sys-conf.s10–sparc y se guarda en la jerarquía /etc/netboot del servidor de arranque WAN. El archivo sysidcfg y los archivos JumpStart personalizados se encuentran en el subdirectorio flash del directorio root de documentos.
SsysidCF=https://www.example.com/flash/ SjumpsCF=https://www.example.com/flash/
El arranque WAN utiliza la información de configuración contenida en el archivo wanboot.conf para instalar el sistema cliente. Cree el archivo wanboot.conf mediante un editor de texto y guárdelo en el subdirectorio cliente apropiado de la jerarquía /etc/netboot del servidor de arranque WAN.
El archivo wanboot.conf siguiente de wanclient-1 contiene información de configuración relativa a una instalación de WAN que utiliza HTTP seguro. Este archivo indica también al arranque WAN que utilice una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para proteger los datos.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
Este archivo wanboot.conf especifica la configuración siguiente.
El programa wanboot se llama wanboot.s10_sparc. y se encuentra en el directorio wanboot del directorio raíz de documentos de wanserver-1.
La ubicación del programa wanboot-cgi en wanserver-1 es https://www.example.com/cgi-bin/wanboot-cgi . La parte https del URL indica que esta instalación mediante un arranque WAN utiliza HTTP seguro.
La miniroot de arranque WAN se denomina miniroot.s10_sparc. y se encuentra en el directorio miniroot del directorio root de documentos en wanserver-1.
El programa wanboot y el sistema de archivos de arranque WAN se firman mediante una clave de hashing HMAC SHA1.
El programa wanboot y el sistema de archivos de arranque WAN se encriptan mediante una clave 3DES.
El servidor se autentica durante la instalación.
El cliente no se autentica durante la instalación.
Si ha realizado las tareas descritas en (Opcional) Uso de la clave privada y el certificado para la autenticación de clientes, defina este parámetro como client_authentication=yes.
No se necesitan nombres de sistema adicionales para efectuar la instalación en WAN. Todos los nombres de sistema que necesita el programa wanboot-cgi se especifican en el archivo wanboot.conf y en el certificado cliente.
Los mensajes de arranque y de registro de la instalación se muestran en la consola del sistema. Si configuró el servidor de registro en (Opcional) Configuración del servidor de arranque WAN como servidor de registro y desea que los mensajes de arranque WAN también aparezcan en el servidor de arranque WAN, establezca este parámetro en boot_logger=https://www.example.com/cgi-bin/bootlog-cgi.
El archivo de configuración del sistema que especifica las ubicaciones de los archivos sysidcfg y de los archivos JumpStart se encuentra en sys-conf.s10–sparc, en la jerarquía /etc/netboot de wanserver-1.
En este ejemplo, el archivo wanboot.conf se guarda en el directorio /etc/netboot/192.168.198.0/010003BA152A42 de wanserver-1.
Para arrancar el cliente desde WAN mediante boot net, el valor del alias del dispositivo net debe ser el dispositivo primario de red del cliente. En el indicador ok del cliente escriba el comando devalias para comprobar que el valor del alias net se ha establecido en el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
En el ejemplo de salida anterior, el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1 tiene asignado el alias net. No es necesario restablecer el alias.
En Creación de las claves para el servidor y el cliente, creó la clave de hashing y la de cifrado para proteger los datos durante la instalación. Para habilitar el cliente para desencriptar los datos transmitidos desde wanserver-1 durante la instalación, instale estas claves en wanclient-1.
En wanserver-1, se muestran los valores de las claves.
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
El ejemplo anterior utiliza la información siguiente.
Especifica la dirección IP de la subred del cliente
Especifica el ID del cliente
Especifica el valor de la clave de hashing HMAC SHA1 del cliente
Especifica el valor de la clave de encriptación 3DES del cliente
Si utiliza una clave de cifrado AES en la instalación, cambie type=3des por type=aes para mostrar el valor de clave de cifrado.
En el indicador ok de wanclient-1, instale las claves.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Los comandos anteriores efectúan estas tareas.
Instala la clave de hashing HMAC SHA1 con el valor b482aaab82cb8d5631e16d51478c90079cc1d463 en wanclient-1.
Instala la clave de cifrado 3DES con el valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 en wanclient-1.
Para efectuar una instalación sin operador, configure las variables network-boot-arguments para wanclient-1 en el indicador ok y arranque el cliente.
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
Se configuran las siguientes variables.
La dirección IP del cliente se establece en 192.168.198.210.
La dirección IP del encaminador del cliente se establece en 192.168.198.1.
La máscara de subred del cliente se establece en 255.255.255.0.
El nombre de sistema del cliente se establece en wanclient-1.
El programa wanboot-cgi se encuentra en http://192.168.198.2/cgi-bin/wanboot-cgi.
El cliente se instala a través de la WAN. Si el programa wanboot no encuentra toda la información de instalación necesaria, se le solicitará que indique ésta en la línea de comandos.