Questa parte del manuale descrive l'uso del metodo di installazione boot WAN per installare un sistema in una rete geografica (WAN).
Questo capitolo fornisce informazioni generali sul metodo di installazione boot WAN. Gli argomenti trattati sono i seguenti.
Il metodo di installazione boot WAN permette di eseguire il boot e l'installazione del software su una rete geografica o WAN (Wide Area Network) utilizzando HTTP. Con il metodo boot WAN è possibile installare il sistema operativo Solaris sui sistemi SPARC tramite grandi reti pubbliche in cui l'infrastruttura di rete potrebbe non essere affidabile. Per questo motivo è possibile avvalersi di funzioni di sicurezza specifiche per proteggere la riservatezza dei dati e l'integrità dell'immagine di installazione.
Il metodo di installazione boot WAN consente di trasmettere un archivio Solaris Flash codificato a un client remoto basato su processore SPARC tramite una rete pubblica. Il boot WAN programma e quindi installa il sistema client eseguendo un'installazione JumpStart personalizzata. Per proteggere l'integrità dell'installazione è possibile usare una chiave privata per autenticare e cifrare i dati. È anche possibile trasmettere i dati e i file di installazione usando una connessione HTTP sicura configurando l'utilizzo dei certificati digitali sui sistemi interessati.
Per eseguire un'installazione boot WAN, occorre installare un sistema SPARC scaricando le seguenti informazioni da un server Web con un collegamento HTTP o HTTPS.
Programma wanboot – Il programma wanboot è il programma di secondo livello che carica la miniroot di boot WAN, i file di configurazione dei client e i file di installazione. Il programma wanboot esegue attività simili a quelle eseguite dai programmi di boot di secondo livello ufsboot o inetboot.
File system di boot WAN – Il metodo boot WAN utilizza diversi file per configurare i client e richiamare i dati per installare i sistemi client. Questi file sono ubicati nella directory /etc/netboot del server Web. Il programma wanboot-cgi trasmette i file al client sotto forma di file system, denominato file system di boot WAN.
Miniroot di boot WAN – La miniroot di boot WAN è una versione della miniroot di Solaris modificata per eseguire un'installazione boot WAN. La miniroot di boot WAN, come la miniroot di Solaris, contiene un kernel e il software sufficiente a installare l'ambiente Solaris. che contiene un sottogruppo del software della miniroot di Solaris.
File di configurazione per l'installazione JumpStart personalizzata – Per installare il sistema, il boot WAN trasmette i file sysidcfg, rules.ok e di profilo al client. Il boot WAN utilizza questi file per eseguire un'installazione JumpStart personalizzata sul sistema client.
Archivio Solaris Flash – Un archivio Solaris Flash è una raccolta di file che vengono copiati da un sistema master. L'archivio può essere utilizzato in seguito per installare un sistema client. Il boot WAN usa il metodo di installazione JumpStart personalizzata per installare un archivio Solaris Flash sul sistema client. Dopo l'installazione dell'archivio sul sistema client, il sistema contiene l'esatta configurazione del sistema master.
Il comando flarcreate non ha più limitazioni relative alla dimensione massima dei singoli file. È possibile creare un archivio Solaris Flash che contenga file di dimensioni superiori a 4 Gbyte.
Per maggiori informazioni, vedere Creazione di un archivio che contiene file di grandi dimensioni del Guida all’installazione di Solaris 10 8/07: archivi Solaris Flash (creazione e installazione).
Quindi si procede all'installazione dell'archivio sul client utilizzando il metodo di installazione JumpStart personalizzata.
Si può proteggere il trasferimento delle informazioni elencate in precedenza utilizzando le chiavi e i certificati digitali.
Per una descrizione in maggiore dettaglio della sequenza di eventi nell'installazione boot WAN, vedere la sezione Modalità operative del metodo boot WAN (panoramica).
Il metodo di installazione boot WAN permette di installare i sistemi SPARC situati in aree remote dal punto di vista geografico. Il metodo boot WAN è utile per l'installazione di server o client remoti accessibili solo tramite una rete pubblica.
Per installare i sistemi situati nella rete locale LAN (Local Area Network), il metodo di installazione boot WAN può richiedere una quantità maggiore di operazioni di configurazione e amministrazione di quanto necessario. Per maggiori informazioni su come installare i sistemi in rete, vedere il Capitolo 4, Installazione dalla rete (panoramica).
L'installazione con boot da WAN si avvale di una serie di server, file di configurazione, programmi CGI (Common Gateway Interface) e file di installazione per installare un client SPARC remoto. Questa sezione descrive la sequenza generale di eventi di un'installazione boot WAN.
La Figura 9–1 mostra la sequenza di base degli eventi in un'installazione boot WAN. In questa figura, un client SPARC richiama i dati di configurazione e i file di installazione da un server Web e da un server di installazione su una WAN.
Per eseguire il boot del client, procedere in uno dei modi seguenti:
Eseguire il boot dalla rete impostando le variabili dell'interfaccia di rete nell'OBP (Open Boot PROM).
Eseguire il boot dalla rete con l'opzione DHCP.
Eseguire il boot da un CD-ROM locale.
Il client OBP ricava le informazioni di configurazione da una delle seguenti fonti:
Dai valori degli argomenti di boot digitati dall'utente dalla riga di comando
Dal server DHCP, se la rete utilizza questo protocollo
L'OBP del client richiede il programma di boot di secondo livello per il boot WAN (wanboot).
L'OBP del client scarica il programma wanboot dalle seguenti fonti:
Da un server Web speciale, denominato server di boot WAN, usando il protocollo HTTP (Hyper Text Transfer Protocol)
Da un CD-ROM locale (non riportato in figura)
Il programma wanboot richiede le informazioni di configurazione del client dal server di boot WAN.
Il programma wanboot scarica i file di configurazione trasmessi dal programma wanboot-cgi dal server di boot WAN. I file di configurazione sono trasmessi al client come file system di boot WAN.
Il comando wanboot richiede il download della miniroot di boot WAN dal server di boot WAN.
Il programma wanboot scarica la miniroot di boot WAN dal server di boot WAN utilizzando HTTP o HTTPS.
Il programma wanboot carica ed esegue il kernel UNIX dalla miniroot di boot WAN.
Il kernel UNIX individua e attiva il file system di boot WAN utilizzato dal programma di installazione di Solaris.
Il programma di installazione richiede il download di un archivio Solaris Flash e i file dell'installazione JumpStart personalizzata da un server di installazione.
Il programma di installazione scarica l'archivio e i file dell'installazione JumpStart personalizzata con un collegamento HTTP o HTTPS.
Il programma di installazione esegue un'installazione JumpStart personalizzata per installare l'archivio Solaris Flash sul client.
Il metodo di installazione boot WAN permette di usare chiavi di hashing, chiavi di cifratura e certificati digitali per proteggere i dati del sistema durante l'installazione. Questa sezione descrive i diversi metodi di protezione dei dati supportati dal metodo di installazione boot WAN.
Per proteggere i dati trasmessi dal server di boot WAN al client, è possibile generare una chiave HMAC (Hashed Message Authentication Code). Questa chiave di hashing viene installata sia sul server di boot WAN che sul client. Il server di boot WAN la utilizza per “firmare” i dati da trasmettere al client, che, a sua volta, la usa per verificare l'integrità dei dati trasmessi dal server di boot WAN. Una volta installata la chiave di hashing su un client, quest'ultimo la utilizza per le future installazioni con il metodo boot WAN.
Per istruzioni sull'uso di una chiave di hashing, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.
Il metodo di installazione boot WAN consente la cifratura dei dati trasmessi dal server di boot WAN al client. Le utility di boot WAN permettono di creare una chiave di cifratura 3DES (Triple Data Encryption Standard) o AES (Advanced Encryption Standard). La chiave potrà in seguito essere fornita al server boot WAN e al client. Il metodo boot WAN si avvale della chiave di cifratura per crittografare i dati inviati dal server boot WAN al client. Il client può quindi utilizzare tale chiave per la cifratura o la decifrazione dei file di configurazione e dei file di sicurezza trasmessi durante l'installazione.
Una volta installata la chiave di cifratura sul client, quest'ultimo la utilizza per le future installazioni boot WAN.
Il sito potrebbe non consentire l'uso delle chiavi di cifratura. Per determinare se il sito ammette la cifratura, consultare l'amministratore della sicurezza del sito. Se il sito consente la cifratura, richiedere all'amministratore il tipo di chiave di cifratura da utilizzare, 3DES o AES.
Per istruzioni sull'uso delle chiavi di cifratura, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.
Il boot WAN supporta l'uso di HTTP su Secure Sockets Layer (HTTPS) per il trasferimento dei dati tra il server boot WAN e il client. Usando HTTPS, è possibile richiedere al server, o al server e al client, di autenticarsi durante l'installazione. HTTPS esegue inoltre la cifratura dei dati trasferiti dal server al client durante l'installazione.
HTTPS usa i certificati digitali per autenticare i sistemi che eseguono scambi di dati in rete. Un certificato digitale è un file che identifica un sistema, sia esso server o client, come sistema "fidato" durante la comunicazione online. È possibile richiedere i certificati digitali presso un'autorità esterna di certificazione oppure crearne di propri internamente.
Per far sì che il client ritenga fidato il server e accetti i dati da tale provenienza, occorre installare un certificato digitale sul server. In seguito si comunicherà al client di ritenere fidato tale certificato. Si può anche richiedere al client di autenticarsi presso i server fornendo un certificato digitale al client, quindi si istruirà il server di accettare il firmatario del certificato quando il client presenterà il certificato durante l'installazione.
Per usare i certificati digitali durante l'installazione, è necessario configurare il server Web per l'uso di HTTPS. Per informazioni sull'uso di HTTPS, consultare la documentazione del server Web.
Per informazioni sui requisiti per l'uso dei certificati digitali durante l'installazione boot WAN, vedere Requisiti dei certificati digitali. Per istruzioni su come usare i certificati digitali nella propria installazione boot WAN, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.
Il metodo di installazione boot WAN supporta diversi livelli di sicurezza. È possibile usare una combinazione delle funzioni di sicurezza supportate dal metodo boot WAN per adattarle all'esigenze della rete in uso. Le configurazioni più sicure hanno maggiori esigenze di amministrazione ma proteggono anche in modo più efficace il sistema. Per i sistemi più critici o per quelli che vengono installati usando una rete pubblica, è possibile scegliere la configurazione indicata in Configurazione sicura per l'installazione boot WAN. Per i sistemi di importanza minore, o i sistemi in reti semi-private, si può optare per la configurazione descritta in Configurazione non sicura per l'installazione boot WAN.
Questa sezione descrive le diverse configurazioni utilizzabili per impostare il livello di sicurezza per l'installazione boot WAN. Vengono presentati inoltre i meccanismi di sicurezza richiesti da tali configurazioni.
Questa configurazione protegge l'integrità dei dati scambiati tra server e client e contribuisce a tutelare la riservatezza dei contenuti degli scambi. Questa configurazione usa un collegamento HTTPS e l'algoritmo 3DES o AES per la cifratura dei file di configurazione dei client. Questa configurazione richiede anche che il server esegua la propria autenticazione presso il client durante l'installazione. Un'installazione di boot da WAN sicura richiede le seguenti funzioni di sicurezza:
HTTPS attivato sul server boot WAN e sul server di installazione
Chiave di hashing HMAC SHA1 sul server di boot WAN e sul client
Chiave di cifratura 3DES o AES per il server di boot WAN e il client
Certificato digitale di un'autorità di certificazione per il server boot WAN
Qualora sia inoltre richiesta l'autenticazione del client durante l'installazione, occorre usare anche le seguenti funzioni di sicurezza:
Chiave privata per il server di boot WAN
Certificato digitale per il client
Per un elenco delle attività richieste per l'installazione con questa configurazione,vedere la Tabella 11–1.
Questa configurazione di sicurezza richiede attività minime di amministrazione, ma fornisce il livello minore di sicurezza per il trasferimento dei dati dal server Web al client, Non è necessario creare una chiave di hashing, una chiave di cifratura o certificati digitali. Non è necessario configurare il server Web per l'uso di HTTPS. Tuttavia, questa configurazione trasferisce i dati e i file di installazione su un collegamento HTTP, che lascia l'installazione vulnerabile all'intercettazione in rete.
Per fare in modo che il client controlli l'integrità dei dati trasmessi, è possibile utilizzare questa configurazione assieme a una chiave di hashing HMAC SHA1. Tuttavia, l'archivio Solaris Flash non è protetto dalla chiave di hashing. L'archivio viene trasferito in modo non sicuro tra il server e il client durante l'installazione.
Per un elenco delle attività richieste per l'installazione con questa configurazione,vedere la Tabella 11–2.
Questo capitolo descrive come preparare la rete per l'installazione con il metodo boot WAN. Gli argomenti trattati sono i seguenti.
Questa sezione descrive i requisiti di sistema per eseguire un'installazione boot WAN.
Tabella 10–1 Requisiti di sistema per l'installazione boot WAN
Sistema e descrizione |
Requisiti |
---|---|
Server di boot WAN – Il server di boot WAN è un server Web che fornisce il programma wanboot, i file di configurazione e sicurezza e la miniroot di boot da WAN. |
|
Server di installazione – Il server di installazione fornisce l'archivio Solaris Flash e i file dell'installazione JumpStart personalizzata richiesti per installare il client. |
Se il server di installazione è un sistema diverso dal server di boot WAN, deve soddisfare i seguenti requisiti addizionali.
|
|
|
(Opzionale) server DHCP – Per fornire le informazioni di configurazione al client si può utilizzare un server DHCP. |
Se si usa un server DHCP SunOS, occorre eseguire una delle seguenti attività:
Se il server DHCP si trova su una sottorete diversa rispetto al client, occorre configurare un agente di relay BOOTP. Per maggiori informazioni sull'argomento, vedere il Capitolo 14, Configuring the DHCP Service (Tasks) del System Administration Guide: IP Services. |
(Opzionale) server di log – Per impostazione predefinita, tutti i messaggi di log di boot e installazione vengono visualizzati sulla console del client durante l'installazione WAN. Per visualizzare i messaggi su un altro sistema, specificare il sistema che dovrà fungere da server di log. |
Deve essere configurato come server Web Nota – Se durante l'installazione si usa HTTPS, il server di log deve essere lo stesso sistema del server di boot WAN. |
(Opzionale) Server proxy – La funzione di boot da WAN può essere configurata in modo da utilizzare un proxy HTTP durante il download dei dati e dei file di installazione. |
Se l'installazione usa HTTPS, il server proxy deve essere configurato per il tunnel HTTPS. |
Il server Web utilizzato sul server di boot WAN e sul server di installazione deve soddisfare i seguenti requisiti:
Requisiti del sistema operativo – Il metodo boot WAN fornisce un programma CGI (Common Gateway Interface) (wanboot-cgi) che converte dati e file in un formato specifico previsto dal sistema client. Per eseguire un'installazione boot WAN con questi script, il server Web deve essere eseguito sul sistema operativo Solaris 9 12/03 o su una versione compatibile.
Limiti delle dimensioni dei file – Il server Web può limitare le dimensioni dei file che è possibile trasmettere su HTTP. Controllare la documentazione del server Web per assicurarsi che il software sia in grado di trasmettere file delle dimensioni di un archivio Solaris Flash.
Il comando flarcreate non ha più limitazioni relative alla dimensione massima dei singoli file. È possibile creare un archivio Solaris Flash che contenga file di dimensioni superiori a 4 Gbyte.
Per maggiori informazioni, vedere Creazione di un archivio che contiene file di grandi dimensioni del Guida all’installazione di Solaris 10 8/07: archivi Solaris Flash (creazione e installazione).
Supporto SSL – Per usare HTTPS nell'installazione boot WAN, il server Web deve supportare SSL versione 3.
La configurazione dei server richiesti dal boot WAN è impostabile in base alle singole esigenze della rete. Tutti i server possono essere ospitati su un unico sistema oppure distribuiti su più sistemi.
Server singolo – Se si desidera centralizzare i dati e i file di boot WAN su un unico sistema, occorre ospitare tutti i server sulla stessa macchina. In questo caso, è possibile amministrare tutti i server da un unico sistema e si deve configurare un solo sistema come server Web. Tuttavia, un singolo server potrebbe non essere in grado di supportare il volume di traffico richiesto per un alto numero di installazioni boot WAN simultanee.
Server multipli – Se si intende distribuire i dati e i file di installazione in rete, è possibile ospitare i server su più macchine. In questo caso, si può impostare un server di boot WAN centrale e configurare più server di installazione per ospitare gli archivi Solaris Flash in rete. Qualora si allochino il server di installazione e il server di log su macchine indipendenti, occorre configurarli come server Web.
Il programma wanboot-cgi trasmette i seguenti file durante l'installazione boot WAN.
Programma wanboot
Miniroot di boot WAN
File dell'installazione JumpStart personalizzata
Archivio Solaris Flash
Per abilitare il programma wanboot-cgi alla trasmissione di questi file, è necessario memorizzarli in una directory accessibile al server Web. Un sistema per rendere accessibili questi file è di collocarli nella directory radice dei documenti del server Web.
La directory radice dei documenti, o directory principale dei documenti, è la posizione del server Web in cui memorizzare i file da rendere disponibili ai client. Il server Web permette di assegnare un nome alla directory e di configurarla. Per maggiori informazioni sull'impostazione della directory radice dei documenti sul server Web, consultare la relativa documentazione.
All'interno di questa directory si possono creare diverse sottodirectory in cui memorizzare i vari file di installazione e configurazione. Ad esempio, è possibile creare sottodirectory specifiche per ogni gruppo di client da installare. Se si prevede di installare in rete diverse versioni di Solaris, occorre creare delle sottodirectory per ciascuna versione.
La Figura 10–1 illustra un esempio di struttura di base di questo tipo di directory. Nell'esempio, il server di boot WAN e il server di installazione si trovano sulla stessa macchina. Il server esegue il server Web Apache.
Questo esempio di directory dei documenti usa la seguente struttura:
La directory /opt/apache/htdocs è la directory radice dei documenti.
La directory di Solaris Flash (flash) contiene i file di installazione JumpStart personalizzata richiesti per l'installazione del client e la sottodirectory archives. La directory archives contiene l'archivio la versione corrente di Solaris Flash.
Se il server di boot WAN e il server di installazione sono sistemi diversi, memorizzare la directory flash sul server di installazione. Accertarsi che file e directory siano accessibili al server di boot WAN.
Per informazioni sulla creazione della directory radice dei documenti, vedere la documentazione del server Web. Per istruzioni in dettaglio su come creare e memorizzare i file di installazione, vedere Creazione dei file dell'installazione JumpStart personalizzata.
La directory /etc/netboot contiene le informazioni di configurazione, la chiave privata, il certificato digitale e l'autorità di certificazione richiesti per l'installazione boot WAN. Questa sezione descrive i file e le directory da creare nella directory /etc/netboot per personalizzare l'installazione boot WAN.
Durante l'installazione, il programma wanboot-cgi ricerca le informazioni del client nella directory /etc/netboot sul server di boot WAN. Il programma wanboot-cgi converte quindi tali informazioni nel file system di boot WAN e lo trasmette al client. Per personalizzare l'installazione WAN è possibile creare delle sottodirectory nella directory /etc/netboot. Usare la struttura di directory seguente per definire le modalità di condivisione delle informazioni di configurazione tra i client da installare:
Configurazione globale – Se si desidera che tutti i client della rete condividano le informazioni di configurazione, memorizzare i file da condividere nella directory /etc/netboot.
Configurazione specifica della rete – Se si desidera che solo le macchine di una sottorete specifica condividano le informazioni di configurazione, memorizzare i file di configurazione da condividere in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:
/etc/netboot/ip-sottorete |
In questo esempio, ip-sottorete è l'indirizzo IP della sottorete del client. Ad esempio, se si desidera installare tutti i sottosistemi sulla sottorete con indirizzo IP 192.168.255.0 per condividere i file di configurazione, creare una directory /etc/netboot/192.168.255.0, quindi memorizzarvi i file di configurazione.
Configurazioni specifiche per un client – Per far sì che solo un client specifico utilizzi il file system di boot, memorizzare quest'ultimo in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:
/etc/netboot/ip-sottorete/ID-client |
In questo esempio, ip-sottorete è l'indirizzo IP della sottorete. ID-client è l'ID del client assegnatogli dal server DHCP o l'ID di un client specifico. Ad esempio, se si desidera che il sistema con ID client 010003BA152A42 della sottorete 192.168.255.0 utilizzi file di configurazione specifici, creare una directory /etc/netboot/192.168.255.0/010003BA152A42, quindi memorizzarvi i file appropriati.
Per specificare le informazioni di configurazione e sicurezza, creare i seguenti file e memorizzarli nella directory /etc/netboot.
wanboot.conf – Questo file specifica le informazioni di configurazione del client per l'installazione boot WAN.
File di configurazione del sistema (system.conf) – Questo file specifica l'ubicazione del file sysidcfg dei client e i file dell'installazione JumpStart personalizzata.
keystore – Questo file contiene la chiave di hashing HMAC SHA, la chiave di cifratura 3DES o AES e la chiave privata SSL.
truststore – Questo file contiene i certificati digitali delle autorità firmatarie dei certificati che il client dovrà ritenere fidati. Questi certificati istruiscono il client di ritenere fidato il server durante l'installazione.
certstore – Questo file contiene il certificato digitale del client.
Il file certstore deve essere ubicato nella directory dell'ID del client. Vedere Personalizzazione dell'installazione boot WAN per maggiori informazioni sulle sottodirectory di /etc/netboot.
Per istruzioni in dettaglio su come creare e memorizzare i file di installazione, vedere le procedure seguenti.
(Opzionale) Creare una chiave di hashing e una chiave di cifratura
(Opzionale) Usare i certificati digitali per l'autenticazione di client e server
Per installare i client in rete, occorre condividere i file di configurazione e sicurezza tra diversi clienti o su intere sottoreti. Per condividere i file, si procede distribuendo le informazioni di configurazione nelle directory /etc/netboot/ip-sottorete/ID-client, /etc/netboot/ip-sottorete ed /etc/netboot. Il programma wanboot-cgi esegue una ricerca in tali directory per individuare le informazioni di configurazione più adatte al client e utilizzarle durante l'installazione.
Il programma wanboot-cgi esegue la ricerca delle informazioni del client nell'ordine seguente.
/etc/netboot/ip-sottorete/ID-client – Il programma wanboot-cgi controlla prima le informazioni di configurazione specifiche del sistema client. Se la directory /etc/netboot/ip-sottorete/ID-client contiene tutte le informazioni del client, il programma wanboot-cgi non ricerca altre informazioni di configurazione nella directory /etc/netboot.
/etc/netboot/ip-sottorete – Se non tutte le informazioni richieste si trovano nella directory /etc/netboot/ip-sottorete/ID-client, il programma wanboot-cgi passerà a controllare le informazioni di configurazione della sottorete nella directory /etc/netboot/ip-sottorete.
/etc/netboot – Se le informazioni rimanenti non si trovano nella directory /etc/netboot/ip-sottorete, il programma wanboot-cgi controllerà le informazioni di configurazione globali nella directory /etc/netboot.
La Figura 10–2 mostra come impostare la directory /etc/netboot per personalizzare le proprie installazioni con boot da WAN.
L'organizzazione della directory /etc/netboot nella Figura 10–2 permette di eseguire le seguenti installazioni con boot da WAN.
Quando si installa il client 010003BA152A42, il programma wanboot-cgi usa i seguenti file della directory /etc/netboot/192.168.255.0/010003BA152A42.
system.conf
archivio chiavi
truststore
certstore
Il programma wanboot-cgi usa quindi il file wanboot.conf della directory /etc/netboot/192.168.255.0.
Quando si installa un client situato nella sottorete 192.168.255.0, il programma wanboot-cgi usa i file wanboot.conf, keystore e truststore nella directory in /etc/netboot/192.168.255.0. Il programma wanboot-cgi usa quindi il file system.conf nella directory /etc/netboot.
Quando si installa un sistema client non situato nella sottorete 192.168.255.0, il programma wanboot-cgi usa invece i file seguenti della directory /etc/netboot:
wanboot.conf
system.conf
archivio chiavi
truststore
Il programma wanboot-cgi trasmette i file e i dati dal server di boot WAN al client. Occorre accertarsi che il programma si trovi in una directory del server di boot WAN accessibile al client. Un metodo per renderlo accessibile è di memorizzare il programma nella directory cgi-bin del server di boot WAN. Per utilizzare il programma wanboot-cgi come programma CGI può essere necessario configurare il server Web. Per informazioni sui requisiti dei programmi CGI, vedere la documentazione del server Web.
Per aumentare la sicurezza dell'installazione boot WAN, è possibile avvalersi dei certificati digitali per abilitare l'autenticazione del server e del client. Il boot da WAN utilizza un certificato digitale per determinare l'identità del server o del client nel corso di una transazione online. I certificati digitali sono emessi da un'autorità di certificazione (CA) e contengono un numero di serie, date di scadenza, una copia della chiave pubblica del possessore del certificato e la firma digitale dell'autorità di certificazione.
Per richiedere l'autenticazione del server o di client e server durante l'installazione, è necessario installare i certificati digitali sul server. Per l'uso dei certificati digitali, attenersi alle linee guida seguenti.
Per poter essere utilizzati, i certificati digitali devono essere formattati come file PKCS#12 (Public-Key Cryptography Standards #12).
Anche i certificati digitali creati internamente devono essere in formato PKCS#12.
Se si ricevono i certificati da autorità di terze parti, richiedere che siano in formato PKCS#12.
Per istruzioni dettagliate su come usare i certificati PKCS#12 nell'installazione boot WAN, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.
Sebbene questo metodo disponga di varie funzioni di sicurezza, boot WAN risulta inefficace nei seguenti casi.
Attacchi DoS (Denial of service) – Questo tipo di attacchi può assumere molte forme, con l'obiettivo di impedire agli utenti di accedere a un servizio specifico. Un attacco DoS può colpire una rete inviando grandi quantità di dati oppure consumare in modo intensivo una risorsa limitata. Altri attacchi DoS manipolano i dati trasmessi tra i sistemi in transito. Il metodo di installazione boot WAN non protegge i server o i client dagli attacchi DoS.
Dati binari danneggiati sui server – Il metodo di installazione boot WAN non controlla l'integrità della miniroot di boot WAN né l'archivio Solaris Flash prima di eseguire l'installazione. Controllare pertanto l'integrità dei binari di Solaris a fronte del Solaris Fingerprint Database disponibile all'indirizzo http://sunsolve.sun.com.
Riservatezza della chiave di cifratura e della chiave di hashing – Se si usano chiavi di cifratura o chiavi di hashing con boot WAN, occorre digitare il valore della chiave dalla riga di comando durante l'installazione. Per questo motivo è necessario seguire tutte le precauzioni di rete necessarie a garantire che i valori della chiave non vengano divulgati.
Compromissione del servizio di denominazione di rete – Se si fa uso di un servizio di denominazione, verificare l'integrità dei name server prima di eseguire l'installazione boot WAN.
Per configurare la rete per l'installazione boot WAN, occorre raccogliere un'ampia gamma di informazioni. Si consiglia pertanto di prenderne nota mentre si prepara l'installazione WAN.
Utilizzare i seguenti fogli di lavoro per registrare le informazioni di installazione boot WAN per la rete.
Tabella 10–2 Foglio di lavoro per la raccolta delle informazioniTabella 10–3 Foglio di lavoro per la raccolta delle informazioni del client
Informazione |
Note |
---|---|
Indirizzo IP della sottorete del client |
|
Indirizzo IP del router del client |
|
Indirizzo IP del client |
|
Maschera di sottorete del client |
|
Nome host del client |
|
Indirizzo MAC del client |
|
Questo capitolo descrive le procedure necessarie a preparare la rete per l'installazione boot WAN.
Creazione dei file dell'installazione JumpStart personalizzata
(Opzionale) Fornitura delle informazioni di configurazione con un server DHCP
(Opzionale) Configurazione del server di log per il boot WAN
Le tabelle seguenti elencano le procedure necessarie per eseguire le operazioni preliminari all'installazione boot WAN.
Per l'elenco delle operazioni che occorre eseguire per preparare un'installazione boot WAN sicura, vedere la Tabella 11–1.
Per una descrizione di un'installazione boot WAN sicura attraverso HTTPS, vedere Configurazione sicura per l'installazione boot WAN.
Per l'elenco delle operazioni che occorre eseguire per preparare un'installazione boot WAN non sicura, vedere la Tabella 11–2.
Per una descrizione di un'installazione boot WAN non sicura, vedere Configurazione non sicura per l'installazione boot WAN.
Per usare un server DHCP o un server di log, eseguire le operazioni elencate alla fine di ogni tabella.
Tabella 11–1 Mappa delle attività: operazioni preliminari per l'esecuzione di un'installazione boot WAN sicura
Attività |
Descrizione |
Per istruzioni, vedere |
---|---|---|
Decidere quali funzioni di sicurezza usare nell'installazione. |
Analizzare le funzioni di sicurezza e le configurazioni per decidere quale livello di sicurezza scegliere per la propria installazione boot WAN. |
Protezione dei dati durante un'installazione boot WAN Configurazioni di sicurezza supportate dal metodo boot WAN (panoramica) |
Raccogliere informazioni per l'installazione boot WAN. |
Compilare il foglio di lavoro per registrare tutte le informazioni necessarie all'esecuzione dell'installazione boot WAN. | |
Creare la directory radice dei documenti sul server di boot WAN. |
Creare la directory radice dei documenti e le relative sottodirectory per i file di configurazione e installazione. | |
Creare la miniroot di boot WAN. |
Usare il comando setup_install_server per creare la miniroot di boot WAN. | |
Verificare che il sistema client supporti il boot WAN. |
Controllare la OBP del client per il supporto degli argomenti del boot di WAN. |
Controllare il supporto del boot WAN da parte della OBP del client |
Installare il programma wanboot sul server di boot WAN. |
Copiare il programma wanboot nella directory radice dei documenti del server di boot WAN. | |
Installare il programma wanboot-cgi sul server di boot WAN. |
Copiare il programma wanboot-cgi nella directory CGI del server di boot WAN. | |
(Opzionale) Definire il server di log. |
Configurare un sistema dedicato per la visualizzazione dei messaggi di log relativi a boot e installazione. |
(Opzionale) Configurazione del server di log per il boot WAN |
Definire la struttura gerarchica /etc/netboot. |
Inserire nella struttura gerarchica /etc/netboot i file di configurazione e sicurezza richiesti per l'installazione boot WAN. |
Creazione della struttura gerarchica /etc/netboot sul server di boot WAN |
Configurare il server Web per l'uso di HTTPS per un'installazione boot WAN più sicura. |
Identificare i requisiti del server Web necessari ad eseguire l'installazione WAN con HTTPS. | |
Formattare i certificati digitali per un'installazione boot WAN più sicura. |
Suddividere il file PKCS#12 in una chiave privata e in un certificato da usare con l'installazione WAN. |
(Opzionale) Usare i certificati digitali per l'autenticazione di client e server |
Creare una chiave di hashing e una chiave di cifratura per un'installazione boot WAN più sicura. |
Usare il comando wanbootutil keygen per creare le chiavi HMAC SHA1, 3DES o AES. |
(Opzionale) Creare una chiave di hashing e una chiave di cifratura |
Creare l'archivio Solaris Flash. |
Usare il comando flarcreate per creare un archivio del software da installare sul client. | |
Creare i file per l'installazione JumpStart personalizzata. |
Usare un editor di testo per creare i file seguenti:
| |
Creare il file di configurazione del sistema. |
Definire le informazioni di configurazione del file system.conf. | |
Creare il file di configurazione del boot WAN. |
Definire le informazioni di configurazione del file wanboot.conf. | |
(Opzionale) Configurare il server DHCP per il supporto dell'installazione boot WAN. |
Impostare le opzioni del fornitore Sun e le macro nel server DHCP. |
Preconfigurazione delle informazioni di configurazione del sistema con il servizio DHCP (procedure) |
Tabella 11–2 Mappa delle attività: operazioni preliminari per l'esecuzione di un'installazione boot WAN non sicura
Attività |
Descrizione |
Per istruzioni, vedere |
---|---|---|
Decidere quali funzioni di sicurezza usare nell'installazione. |
Analizzare le funzioni di sicurezza e le configurazioni per decidere quale livello di sicurezza scegliere per la propria installazione boot WAN. |
Protezione dei dati durante un'installazione boot WAN Configurazioni di sicurezza supportate dal metodo boot WAN (panoramica) |
Raccogliere informazioni per l'installazione boot WAN. |
Compilare il foglio di lavoro per registrare tutte le informazioni necessarie all'esecuzione dell'installazione boot WAN. | |
Creare la directory radice dei documenti sul server di boot WAN. |
Creare la directory radice dei documenti e le relative sottodirectory per i file di configurazione e installazione. | |
Creare la miniroot di boot WAN. |
Usare il comando setup_install_server per creare la miniroot di boot WAN. | |
Verificare che il sistema client supporti il boot WAN. |
Controllare la OBP del client per il supporto degli argomenti del boot di WAN. |
Controllare il supporto del boot WAN da parte della OBP del client |
Installare il programma wanboot sul server di boot WAN. |
Copiare il programma wanboot nella directory radice dei documenti del server di boot WAN. | |
Installare il programma wanboot-cgi sul server di boot WAN. |
Copiare il programma wanboot-cgi nella directory CGI del server di boot WAN. | |
(Opzionale) Definire il server di log. |
Configurare un sistema dedicato per la visualizzazione dei messaggi di log relativi a boot e installazione. |
(Opzionale) Configurazione del server di log per il boot WAN |
Definire la struttura gerarchica /etc/netboot. |
Inserire nella struttura gerarchica /etc/netboot i file di configurazione e sicurezza richiesti per l'installazione boot WAN. |
Creazione della struttura gerarchica /etc/netboot sul server di boot WAN |
(Opzionale) Creare una chiave di hashing. |
Usare il comando wanbootutil keygen per creare la chiave HMAC SHA1. Per le installazioni non sicure che controllano l'integrità dei dati, completare questa operazione per creare una chiave di hashing HMAC SHA1. |
(Opzionale) Creare una chiave di hashing e una chiave di cifratura |
Creare l'archivio Solaris Flash. |
Usare il comando flarcreate per creare un archivio del software da installare sul client. | |
Creare i file per l'installazione JumpStart personalizzata. |
Usare un editor di testo per creare i file seguenti:
| |
Creare il file di configurazione del sistema. |
Definire le informazioni di configurazione del file system.conf. | |
Creare il file di configurazione del boot WAN. |
Definire le informazioni di configurazione del file wanboot.conf. | |
(Opzionale) Configurare il server DHCP per il supporto dell'installazione boot WAN. |
Impostare le opzioni del fornitore Sun e le macro nel server DHCP. |
Preconfigurazione delle informazioni di configurazione del sistema con il servizio DHCP (procedure) |
Il server di boot WAN è un server Web che fornisce i dati di boot e di configurazione durante l'installazione boot WAN. Per l'elenco dei requisiti di sistema del server di boot WAN, vedere la Tabella 10–1.
Questa sezione descrive le procedure richieste per la configurazione del server di boot WAN per un'installazione boot WAN.
Per poterli utilizzare per la configurazione e l'installazione, occorre che questi file siano accessibili al software server Web sul server di boot WAN. Un metodo per renderli accessibili è di memorizzarli nella directory radice dei documenti del server di boot WAN.
Per poter usare la directory radice dei documenti con i file di installazione e configurazione, occorre prima crearla. Per informazioni sulle operazioni di creazione della directory, consultare la documentazione del server Web. Per informazioni dettagliate su come organizzare la directory radice dei documenti, vedere Memorizzazione dei file di installazione e configurazione nella directory radice dei documenti.
Per un esempio di creazione di questa directory, vedere Creazione della directory radice dei documenti.
Dopo aver creato la directory radice dei documenti, creare la miniroot di boot WAN. Per le relative istruzioni, vedere Creazione della miniroot di boot WAN.
Il boot WAN usa una speciale miniroot Solaris modificata specificamente per eseguire l'installazione boot WAN. che contiene un sottogruppo del software della miniroot di Solaris. Per eseguire l'installazione boot WAN, occorre copiare sul server di boot WAN la miniroot dal DVD di Solaris o dal Solaris Software - 1. Usare l'opzione -w del comando setup_install_server per copiare la miniroot di boot WAN dai supporti di Solaris al disco fisso del sistema.
Questa procedura crea una miniroot di boot WAN SPARC con i supporti SPARC. Per poter usare la miniroot di boot WAN SPARC da un server x86, occorre crearla su un sistema SPARC. Una volta creata la miniroot, copiarla nella directory radice dei documenti sul server x86.
Questa procedura presuppone che il server di boot WAN utilizzi la gestione dei volumi. Se la gestione dei volumi non è attiva, vedere System Administration Guide: Devices and File Systems .
Diventare superutente o assumere un ruolo equivalente sul server di boot WAN.
Il sistema deve soddisfare i seguenti requisiti:
Includere un'unità CD-ROM o DVD-ROM
Far parte della rete del sito e del servizio di denominazione
Se si utilizza un servizio di denominazione, ad esempio NIS, NIS+, DNS o LDAP, il sistema deve già essere configurato in questo servizio. Se non si utilizza un servizio di denominazione, è necessario distribuire le informazioni relative al sistema in base ai criteri adottati nel proprio sito.
Inserire il CD Solaris Software - 1 o il DVD di Solaris nell'unità del server di installazione.
Creare una directory per la miniroot di boot WAN e l'immagine di installazione di Solaris.
# mkdir -p dir_wan dir_inst |
Comunica al comando mkdir di creare tutte le directory principali necessarie per la directory da creare.
Specifica la directory in cui creare la miniroot di boot WAN sul server di installazione. Questa directory deve ospitare miniroot con dimensioni tipiche di 250 Mbyte.
Specifica la directory in cui copiare l'immagine di Solaris sul server di installazione. In una fase successiva della procedura, si potrà rimuovere la directory.
Spostarsi nella directory Tools sul disco attivato:
# cd /cdrom/cdrom0/s0/Solaris_10/Tools |
Nell'esempio precedente, cdrom0 è il percorso dell'unità che contiene il supporto del sistema operativo Solaris.
Copiare la miniroot di boot WAN e l'immagine di Solaris nel disco rigido del server di boot WAN.
# setup_install_server -w dir_wan dir_inst |
Specifica la directory in cui copiare la miniroot di boot WAN
Specifica la directory in cui deve essere copiata l'immagine di Solaris
Il comando setup_install_server indica se lo spazio su disco è sufficiente per le immagini del disco del Solaris. Per determinare lo spazio su disco disponibile, usare il comando df -kl.
Il comando setup_install_server -w crea la miniroot di boot WAN e un'immagine di installazione di rete di Solaris.
(Opzionale) Rimuovere l'immagine di installazione di rete.
Per eseguire un'installazione WAN con un archivio Solaris Flash non è necessaria l'immagine di Solaris. Se non si intende usare l'immagine dell'installazione di rete per altre installazioni di rete, è possibile liberare spazio su disco. Digitare il comando seguente per rimuovere l'immagine di installazione di rete.
# rm -rf dir_inst |
Per rendere la miniroot di boot WAN disponibile al server di boot WAN, procedere in uno dei modi seguenti:
Creare un collegamento simbolico con la miniroot di boot WAN nella directory radice dei documenti del server di boot WAN.
# cd /directory_radice_documenti/miniroot # ln -s /dir_wan/miniroot . |
Specifica la directory nella directory radice dei documenti del server di boot WAN in cui collegare la miniroot di boot WAN
Specifica il percorso della miniroot di boot WAN
Spostare la miniroot nella directory radice dei documenti sul server di boot WAN.
# mv /dir_wan/miniroot /directory_radice_documenti/miniroot/nome-miniroot |
Specifica il percorso della miniroot di boot WAN.
Specifica il percorso della directory della miniroot di boot WAN nella directory radice dei documenti del server di boot WAN.
Specifica il nome della miniroot di boot WAN. Assegnare al file un nome descrittivo, ad esempio miniroot.s10_sparc.
Usare il comando setup_install_server(1M) con l'opzione -w per copiare la miniroot di boot WAN e l'immagine del software di Solaris nella directory /export/install/Solaris_10 di server_wan-1.
Inserire i supporti del Solaris nell'unità collegata al server_wan-1. Digitare i seguenti comandi:
server_wan-1# mkdir -p /export/install/cdrom0 server_wan-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools server_wan-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Spostare la miniroot di boot WAN nella directory radice dei documenti (/opt/apache/htdocs/) del server di boot WAN. In questo esempio, il nome della miniroot di boot WAN è miniroot.s10_sparc.
server_wan-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Dopo aver creato la miniroot di boot WAN, verificare che la OpenBoot PROM (OBP) del client supporti il boot WAN. Per le relative istruzioni, vedere Verifica del supporto del boot WAN sul client.
Per maggiori informazioni sul comando setup_install_server, vedere install_scripts(1M).
Per eseguire un'installazione boot WAN non presidiata, è necessario che la OpenBoot PROM (OBP) del sistema client supporti il boot WAN. Se la OBP del client non supporta il boot WAN, è possibile eseguire l'installazione con questo metodo richiamando i programmi necessari da un CD locale.
Per determinare se il client supporta il boot WAN, controllare le variabili di configurazione della OBP. Per controllare se il client supporta il boot WAN, procedere come segue.
La procedura seguente descrive come determinare se la OBP del client supporta il boot WAN.
Diventare superutente o assumere un ruolo equivalente.
I ruoli comportano determinate autorizzazioni e consentono di eseguire comandi che richiedono privilegi. Per maggiori informazioni sui ruoli, vedere Configuring RBAC (Task Map) del System Administration Guide: Security Services.
Controllare le variabili di configurazione OBP per il supporto boot WAN.
# eeprom | grep network-boot-arguments |
Se viene visualizzata la variabile network-boot-arguments o se il comando precedente ha come risultato network-boot-arguments:data not available, la OBP supporta le installazioni boot WAN. Non occorre aggiornare la OBP prima di eseguire l'installazione boot WAN.
Se il comando precedente non produce alcun risultato, la OBP non supporta le installazioni boot WAN. Occorre quindi completare una delle attività seguenti.
Aggiornare la OBP del client. Consultare la documentazione del sistema per informazioni sulle procedure di aggiornamento della OBP sui client la cui OBP non può supportare le installazioni boot WAN.
Non tutte le OBP dei client supportano il metodo boot WAN. Per questi client, utilizzare l'opzione indicata di seguito.
Al termine delle operazioni di preparazione, eseguire l'installazione boot WAN sul client dal CD 1 o dal DVD del Solaris. Questa opzione opera correttamente in tutti i casi in cui la OBP in uso non dispone del supporto per boot WAN.
Per istruzioni sull'avvio del client dal CD 1, vedere Eseguire un'installazione boot WAN con un CD locale. Per continuare la preparazione dell'installazione boot WAN, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.
Il comando seguente mostra come controllare la OBP del client per il supporto del boot WAN.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
In questo esempio, il risultato network-boot-arguments: data not available indica che la OBP del client supporta le installazioni boot WAN.
Dopo aver verificato che la OBP del client supporta il boot WAN, occorre copiare il programma wanboot sul server di boot WAN. Per le relative istruzioni, vedere Installazione del programma wanboot sul server di boot WAN.
Se la OBP del client non supporta il boot WAN, non è necessario copiare il programma wanboot sul server di boot WAN. Occorre viceversa fornire al client il programma wanboot da un CD locale. Per continuare l'installazione, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.
Per maggiori informazioni sul comando setup_install_server, vedere il Capitolo 4, Installazione dalla rete (panoramica).
Per l'installazione del client, il metodo boot WAN si avvale di uno speciale programma di secondo livello (wanboot). Il programma wanboot carica la miniroot di boot WAN, i file di configurazione del client e i file di installazione richiesti per l'esecuzione dell'installazione boot WAN.
Per eseguire l'installazione boot WAN, occorre fornire il programma wanboot al client durante l'installazione. Si può procedere nei modi seguenti:
Se la PROM del client supporta il boot WAN, è possibile trasmettere il programma dal server di boot WAN al client. È necessario installare il programma wanboot sul server di boot WAN.
Per determinare se la PROM del client supporta il boot WAN, vedere Controllare il supporto del boot WAN da parte della OBP del client.
Se la PROM del client non supporta il boot dalla WAN, occorre fornire il programma al client su un CD locale. Se la PROM del client non supporta il boot WAN, passare a Creazione della struttura gerarchica /etc/netboot sul server di boot WAN per continuare la preparazione dell'installazione.
In questa sezione viene spiegato come copiare il programma wanboot dal supporto di Solaris sul server di boot WAN.
Questa procedura presuppone che il server di boot WAN utilizzi la gestione dei volumi. Se la gestione dei volumi non è attiva, vedere System Administration Guide: Devices and File Systems .
Verificare che il sistema client supporti il boot WAN. Per maggiori informazioni, vedere Controllare il supporto del boot WAN da parte della OBP del client.
Diventare superutente o assumere un ruolo equivalente sul server di installazione.
Inserire il CD Solaris Software - 1 o il DVD di Solaris nell'unità del server di installazione.
Modificare la directory della piattaforma sun4u sul CD Solaris Software - 1 o sul DVD di Solaris.
# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ |
Copiare il programma wanboot sul server di installazione.
# cp wanboot /directory_radice_documenti/wanboot/nome-wanboot |
Specifica la directory radice dei documenti sul server di boot WAN.
Specifica il nome del programma wanboot. Assegnare al file un nome descrittivo, ad esempio wanboot.s10_sparc.
Per rendere disponibile il programma wanboot al server di boot WAN, procedere in uno dei modi seguenti:
Creare un collegamento simbolico al programma wanboot nella directory radice dei documenti del server di boot WAN.
# cd /directory_radice_documenti/wanboot # ln -s /dir_wan/wanboot . |
Specifica la directory nella directory radice dei documenti del server di boot WAN in cui collegare il programma wanboot.
Specifica il percorso del programma wanboot.
Spostare la miniroot nella directory radice dei documenti sul server di boot WAN.
# mv /dir_wan/wanboot /directory_radice_documenti/wanboot/nome-wanboot |
Specifica il percorso del programma wanboot.
Specifica il percorso della directory del programma wanboot nella directory radice dei documenti del server di boot WAN.
Specifica il nome del programma wanboot. Assegnare al file un nome descrittivo, ad esempio wanboot.s10_sparc.
Per installare il programma wanboot sul server di boot WAN, copiare il programma dai supporti del Solaris alla directory radice dei documenti del server di boot WAN.
Inserire il DVD di Solaris o il CD Solaris Software - 1 nell'unità collegata a server_wan-1 e digitare i seguenti comandi.
server_wan-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ server_wan-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
In questo esempio, il nome del programma wanboot è wanboot.s10_sparc.
Dopo avere installato il programma wanboot sul server di boot WAN, è necessario creare la struttura gerarchica /etc/netboot. Per le relative istruzioni, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN
Per informazioni generali sul programma wanboot, vedere Cos'è boot WAN?.
Durante l'installazione, il boot WAN fa riferimento ai contenuti della struttura gerarchica /etc/netboot sul server Web per le istruzioni di esecuzione dell'installazione. Questa directory contiene informazioni di configurazione, chiave privata, certificato digitale e autorità di certificazione richieste per l'installazione boot WAN. Durante l'installazione, il programma wanboot-cgi converte queste informazioni nel file system di boot WAN. Il programma wanboot-cgi trasmette quindi tale file system al client.
Per personalizzare l'installazione WAN è possibile creare delle sottodirectory nella directory /etc/netboot. Usare la struttura di directory seguente per definire le modalità di condivisione delle informazioni di configurazione tra i client da installare:
Configurazione globale – Se si desidera che tutti i client della rete condividano le informazioni di configurazione, memorizzare i file da condividere nella directory /etc/netboot.
Configurazione specifica della rete – Se si desidera che solo le macchine di una sottorete specifica condividano le informazioni di configurazione, memorizzare i file di configurazione da condividere in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:
/etc/netboot/ip-sottorete |
In questo esempio, ip-sottorete è l'indirizzo IP della sottorete del client.
Configurazioni specifiche per un client – Per far sì che solo un client specifico utilizzi il file system di boot, memorizzare quest'ultimo in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:
/etc/netboot/ip-sottorete/ID-client |
In questo esempio, ip-sottorete è l'indirizzo IP della sottorete. ID-client è l'ID del client assegnatogli dal server DHCP o l'ID di un client specifico.
Per informazioni dettagliate sulla pianificazione di queste configurazioni, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.
La procedura seguente descrive la creazione della struttura gerarchica /etc/netboot.
Per creare la struttura gerarchica /etc/netboot, procedere come segue.
Diventare superutente o assumere un ruolo equivalente sul server di boot WAN.
Creare la directory /etc/netboot.
# mkdir /etc/netboot |
Modificare le autorizzazioni della directory /etc/netboot su 700.
# chmod 700 /etc/netboot |
Modificare il proprietario della directory /etc/netboot impostandolo sul proprietario del server Web.
# chown utente-server-Web:gruppo-server-Web /etc/netboot/ |
Specifica l'utente proprietario del processo server Web
Specifica il gruppo proprietario del processo server Web
Uscire da superutente.
# exit |
Assumere il ruolo utente del proprietario del server Web.
Creare nel client la sottodirectory della directory /etc/netboot.
# mkdir -p /etc/netboot/ip-sottorete/ID-client |
Comunica al comando mkdir di creare tutte le directory principali necessarie per la directory da creare.
Specifica l'indirizzo IP della sottorete del client.
Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. La directory ID-client deve essere una sottodirectory di ip-sottorete.
Per ogni directory della struttura gerarchica /etc/netboot, modificare le autorizzazioni su 700.
# chmod 700 /etc/netboot/nome-dir |
L'esempio seguente mostra come creare la struttura gerarchica di /etc/netboot per il client 010003BA152A42 nella sottorete 192.168.198.0. In questo esempio, l'utente nobody e il gruppo admin sono i proprietari del processo server Web.
I comandi in questo esempio eseguono le seguenti attività.
Creare la directory /etc/netboot.
Modificare le autorizzazioni della directory /etc/netboot su 700.
Modificare il proprietario della directory /etc/netboot in modo che corrisponda al proprietario del processo del server Web.
Assumere lo stesso ruolo dell'utente del server Web.
Creare una sottodirectory di /etc/netboot il cui nome corrisponda alla sottorete (192.168.198.0).
Creare una sottodirectory nella directory della sottorete utilizzando come nome l'ID del client.
Modificare le autorizzazioni delle sottodirectory di /etc/netboot su 700.
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Dopo aver creato la struttura gerarchica /etc/netboot, è necessario copiare il programma CGI di boot WAN sul server di boot WAN. Per le relative istruzioni, vedere Copia del programma CGI di boot WAN sul server di boot WAN.
Per informazioni dettagliate sulla pianificazione della struttura gerarchica /etc/netboot, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.
Il programma wanboot-cgi crea i data stream che trasmettono i seguenti file dal server di avvio :
Programma wanboot
File system di boot WAN
Miniroot di boot WAN
Il programma wanboot-cgi viene installato sul sistema quando si installa la versione corrente di Solaris. Per abilitare il server di boot WAN all'uso del programma, copiarlo nella directory cgi-bin del server di boot WAN.
Diventare superutente o assumere un ruolo equivalente sul server di boot WAN.
Copiare il programma wanboot-cgi nel server di boot WAN.
# cp /usr/lib/inet/wanboot/wanboot-cgi /rad-server-WAN/cgi-bin/wanboot-cgi |
Specifica la directory radice del software server Web sul server di boot WAN
Sul server di boot WAN, modificare le autorizzazioni del programma CGI su 755.
# chmod 755 /rad-server-WAN/cgi-bin/wanboot-cgi |
Dopo aver copiato il programma CGI di boot WAN sul server di boot WAN, è possibile configurare un server di log. Per le relative istruzioni, vedere (Opzionale) Configurazione del server di log per il boot WAN.
Se non si desidera configurare un server di log separato, vedere (Opzionale) Protezione dei dati con l'uso di HTTPS per istruzioni su come configurare le funzioni di sicurezza in un'installazione boot WAN.
Per informazioni generali sul programma wanboot-cgi, vedere Cos'è boot WAN?.
Nell'impostazione predefinita, i messaggi relativi al boot WAN vengono visualizzati sul sistema client. Questo comportamento permette di identificare e correggere rapidamente gli eventuali problemi di installazione.
Per registrare i log di boot e installazione su un sistema diverso dal client, occorre impostare un server di log. Se si desidera usare un server di log con collegamento HTTPS durante l'installazione, è necessario configurare il server di boot WAN come server di log.
Per procedere in tal senso, attenersi alla procedura seguente:
Copiare lo script bootlog-cgi nella directory degli script CGI del server di log.
# cp /usr/lib/inet/wanboot/bootlog-cgi \ rad-server-log/cgi-bin |
Specifica la directory cgi-bin nella directory server Web del server di log
Modificare le autorizzazioni dello script bootlog-cgi su 755.
# chmod 755 rad-server-log/cgi-bin/bootlog-cgi |
Impostare il valore del parametro boot_logger nel file wanboot.conf.
Nel file wanboot.conf, specificare l'URL dello script bootlog-cgi sul server di log.
Per maggiori informazioni sull'impostazione dei parametri nel file wanboot.conf, vedere Creare il file wanboot.conf.
Durante l'installazione, i log di boot e installazione vengono registrati nella directory /tmp del server di log. Il file log è denominato bootlog.nome_host,in cui nome_host è il nome host del client.
L'esempio seguente configura il server di boot WAN come server di log.
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Dopo aver configurato il server di log, è possibile impostare l'installazione boot WAN in modo da utilizzare i certificati digitali e le chiavi di sicurezza. Per le relative istruzioni, vedere (Opzionale) Protezione dei dati con l'uso di HTTPS.
Per proteggere i dati durante il trasferimento dal server di boot WAN al client, è possibile usare HTTP su Secure Sockets Layer (HTTPS). Per usare la configurazione di installazione più sicura descritta in Configurazione sicura per l'installazione boot WAN, è necessario impostare il server Web in modo che utilizzi HTTPS.
Se non si desidera eseguire un boot WAN sicuro, ignorare le procedure descritte in questa sezione. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.
Per abilitare per l'uso di HTTPS il software server Web sul server di boot WAN, eseguire le operazioni seguenti:
Attivare il supporto dell'SSL (Secure Sockets Layer) nel proprio software server Web.
I processi per abilitare il supporto SSL e l'autenticazione dei client variano a seconda del server Web. Il presente documento non descrive le procedure per abilitare le funzioni di sicurezza sul server Web in uso. Per ulteriori informazioni sull'argomento, consultare i documenti seguenti:
Per informazioni sull'attivazione di SSL sui server Web SunONE e iPlanet, vedere le raccolte della documentazione su SunONE e iPlanet all'indirizzo http://docs.sun.com.
Per informazioni sull'attivazione di SSL sul server Web Apache, vedere l'Apache Documentation Project all'indirizzo http://httpd.apache.org/docs-project/.
Se il software in uso non è contenuto nell'elenco precedente, vedere la relativa documentazione.
Installare i certificati digitali sul server di boot WAN.
Per informazioni sull'uso dei certificati digitali con il boot WAN, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.
Fornire un certificato digitale al client.
Per istruzioni su come creare un certificato digitale, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.
Creare una chiave di hashing e una chiave di cifratura.
Per istruzioni sulla creazione delle chiavi, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.
(Opzionale) Configurare il software server Web per il supporto dell'autenticazione del client.
Per informazioni su come configurare il server Web per il supporto dell'autenticazione dei client, vedere la relativa documentazione.
Questa sezione descrive l'uso dei certificati digitali e delle chiavi nell'installazione boot WAN.
Il metodo di installazione boot WAN può utilizzare i file PKCS#12 per eseguire un'installazione tramite HTTPS con l'autenticazione del server (o sia del server che del client). Per i requisiti e le linee guida relativi all'uso dei file PKCS#12, vedere Requisiti dei certificati digitali.
Per usare un file PKCS#12 in un'installazione boot WAN, eseguire le operazioni seguenti:
Suddividere il file PKCS#12 in chiave privata e file di certificato.
Inserire il certificato trusted nel file truststore del client nella struttura gerarchica /etc/netboot. Il certificato trusted istruisce il client di considerare fidato il server.
(Opzionale) Inserire i contenuti del file di chiave privata SSL nel file keystore del client nella struttura gerarchica /etc/netboot.
Il comando wanbootutil fornisce le opzioni per eseguire le operazioni riportate nell'elenco precedente.
Se non si desidera eseguire un boot WAN sicuro, ignorare questa procedura. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.
Per creare un certificato digitale e una chiave privata per il client, procedere come segue.
Prima di suddividere il file PKCS#12, creare le sottodirectory appropriate della struttura gerarchica /etc/netboot sul server di boot WAN.
Per informazioni generali sulla struttura gerarchica /etc/netboot, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.
Per istruzioni su come creare la struttura gerarchica /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Estrarre il certificato trusted dal file PKCS#12. Inserire il certificato nel file truststore del client nella struttura gerarchica /etc/netboot.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/ip-sottorete/ID-client/truststore |
Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.
Specifica il nome del file PKCS#12 da suddividere.
Inserisce il certificato nel file truststore del client. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.
(Opzionale) Decidere se richiedere l'autenticazione del client.
In caso negativo, passare alla sezione (Opzionale) Creare una chiave di hashing e una chiave di cifratura.
In caso positivo, continuare con le procedure seguenti.
Inserire il certificato del client nel suo certstore.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/ip-sottorete/ID-client/certstore -k file_chiave |
Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.
Specifica il nome del file PKCS#12 da suddividere.
Inserisce il certificato del client nel suo certstore. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.
Specifica il nome del file della chiave privata SSL del client da creare dal file PKCS#12 suddiviso.
Inserire la chiave privata nel keystore del client.
# wanbootutil keymgmt -i -k file_chiave \ -s /etc/netboot/ip-sottorete/ID-client/keystore -o type=rsa |
Inserisce la chiave privata SSL nel file keystore del client
Specifica il nome del file della chiave privata del client appena creato.
Specifica il percorso del keystore del client
Nell'esempio seguente, viene usato un file PKCS#12 per installare il client 010003BA152A42 nella sottorete 192.168.198.0. Questo comando di esempio estrae dal file PKCS#12 il certificato denominato client.p12. Successivamente, il comando inserisce i contenuti del certificato trusted nel file truststore del client.
Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Dopo aver creato un certificato digitale, creare una chiave di hashing e una chiave di cifratura. Per le relative istruzioni, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.
Per maggiori informazioni sulla creazione dei certificati digitali, vedere la pagina man wanbootutil(1M).
Per usare HTTPS per la trasmissione dei dati, occorre creare una chiave di hashing HMAC SHA1 e una chiave di cifratura. Se si pianifica l'installazione su una rete parzialmente privata, non cifrare i dati di installazione. La chiave di hashing HMAC SHA1 permette di controllare l'integrità del programma wanboot.
Con il comando wanbootutil keygen è possibile generare chiavi e memorizzarle nella directory /etc/netboot appropriata.
Se non si desidera eseguire un boot WAN sicuro, ignorare questa procedura. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.
Per creare una chiave di hashing e una chiave di cifratura, procedere come segue.
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Creare la chiave HMAC SHA1 master.
# wanbootutil keygen -m |
Crea la chiave HMAC SHA1 master per il server di boot WAN
Creare la chiave di hashing HMAC SHA1 per il client dalla chiave master.
# wanbootutil keygen -c -o [net=ip-sottorete,{cid=ID-client,}]type=sha1 |
Crea la chiave di hashing del client dalla rispettiva chiave master.
Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.
Specifica l'indirizzo IP per la sottorete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e può essere utilizzata da tutti i client di boot WAN.
Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.
Istruisce l'utility wanbootutil keygen di creare una chiave di hashing HMAC SHA1 per il client.
Decidere se è necessario creare una chiave di cifratura per il client.
La creazione della chiave di cifratura è richiesta per eseguire l'installazione boot WAN con un collegamento HTTPS. Prima che il client stabilisca un collegamento HTTPS con il server di boot dalla WAN, quest'ultimo trasmette i dati e le informazioni cifrate al client. La chiave di cifratura permette al client di decifrare queste informazioni e di utilizzarle durante l'installazione.
Se si esegue un'installazione WAN più sicura con collegamento HTTPS e autenticazione del server, proseguire.
Non è invece necessario creare la chiave di cifratura se si intende unicamente controllare l'integrità del programma wanboot. Passare al Punto 6.
Creare una chiave di cifratura per il client.
# wanbootutil keygen -c -o net=ip-rete,cid=ID-client,type=tipo-chiave |
Crea la chiave di cifratura per il client.
Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.
Specifica l'indirizzo IP di rete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e può essere utilizzata da tutti i client di boot WAN.
Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid del comando net, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.
Istruisce l'utility wanbootutil keygen di creare una chiave di cifratura per il client. tipo-chiave può assumere il valore 3des o aes.
Installare le chiavi sul sistema client.
Per istruzioni sull'installazione delle chiavi sul client, vedere Installazione delle chiavi sul client.
L'esempio seguente crea una chiave master HMAC SHA1 per il server di boot WAN. Vengono inoltre create una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per il client 010003BA152A42 della sottorete 192.168.198.0.
Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
Dopo aver creato una chiave di hashing e una chiave di cifratura, è necessario creare i file di installazione. Per le relative istruzioni, vedere Creazione dei file dell'installazione JumpStart personalizzata.
Per informazioni generali sulle chiavi di hashing e le chiavi di cifratura, vedere Protezione dei dati durante un'installazione boot WAN.
Per maggiori informazioni sulla creazione delle chiavi di hashing e di cifratura, vedere la pagina man wanbootutil(1M).
Il metodo di boot WAN esegue un'installazione JumpStart personalizzata per installare un archivio Solaris Flash sul client. Il metodo di installazione JumpStart personalizzato è un'interfaccia dalla riga di comando che permette di installare automaticamente diversi sistemi a seconda dei profili creati. I profili definiscono requisiti specifici per l'installazione del software. È anche possibile includere nella procedura uno o più script da eseguire prima o dopo l'installazione. L'utente sceglie il profilo e gli script da utilizzare per l'installazione o per l'aggiornamento. Il metodo JumpStart personalizzato esegue quindi l'installazione o l'aggiornamento del sistema in base al profilo e agli script selezionati. Inoltre, è possibile usare un file sysidcfg per specificare le informazioni di configurazione in modo che l'installazione JumpStart personalizzata non richieda alcun intervento manuale.
Per preparare i file di installazione JumpStart personalizzata per l'installazione con boot da WAN, completare le seguenti procedure:
Per informazioni in dettaglio sul metodo di installazione JumpStart personalizzato,vedere il Capitolo 2, Installazione JumpStart personalizzata (panoramica) del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
La funzione di installazione Solaris Flash permette di usare un'unica installazione di riferimento del sistema operativo Solaris su un sistema denominato master. A questo punto si può creare un archivio Solaris Flash, che è un'immagine duplicata del sistema master. L'archivio Solaris Flash può essere installato su altri sistemi della rete, creando sistemi clone.
Questa sezione descrive come creare un archivio Solaris Flash.
Prima di creare un archivio Solaris Flash, occorre installare il sistema master.
Per informazioni su come installare un sistema master, vedere Installazione del sistema master del Guida all’installazione di Solaris 10 8/07: archivi Solaris Flash (creazione e installazione).
Per informazioni dettagliate sugli archivi Solaris Flash, vedere il Capitolo 1, Solaris Flash (panoramica) del Guida all’installazione di Solaris 10 8/07: archivi Solaris Flash (creazione e installazione).
Problemi relativi alla dimensione del file -
Controllare la documentazione del server Web per assicurarsi che il software sia in grado di trasmettere file delle dimensioni di un archivio Solaris Flash.
Controllare la documentazione del server Web per assicurarsi che il software sia in grado di trasmettere file delle dimensioni di un archivio Solaris Flash.
Il comando flarcreate non ha più limitazioni relative alla dimensione massima dei singoli file. È possibile creare un archivio Solaris Flash che contenga file di dimensioni superiori a 4 Gbyte.
Per maggiori informazioni, vedere Creazione di un archivio che contiene file di grandi dimensioni del Guida all’installazione di Solaris 10 8/07: archivi Solaris Flash (creazione e installazione).
Avviare il sistema master.
Lasciare quanto più possibile il sistema master in stato di inattività e Se possibile, usare il sistema in modalità monoutente. Se non fosse possibile, arrestare le applicazioni che si desidera archiviare e quelle che utilizzano molte risorse del sistema operativo.
Per creare l'archivio, usare il comando flarcreate.
# flarcreate -n nome [parametri-opzionali] radice-documenti/flash/nome_file |
È il nome assegnato all'archivio. Il nome specificato sarà il valore della parola chiave content_name.
Assieme al comando flarcreate si possono utilizzare diverse opzioni per personalizzare l'archivio Solaris Flash. Per le descrizioni in dettaglio di queste opzioni, vedere il Capitolo 5, Solaris Flash (riferimenti) del Guida all’installazione di Solaris 10 8/07: archivi Solaris Flash (creazione e installazione).
Il percorso della sottodirectory di Solaris Flash nella directory radice dei documenti del server di installazione.
È il nome del file che contiene l'archivio.
Per risparmiare spazio su disco, usare l'opzione -c del comando flarcreate in modo da comprimere l'archivio. Tuttavia, un archivio compresso può incidere sulle prestazioni dell'installazione boot WAN. Per maggiori informazioni sulla creazione di un archivio compresso, vedere la pagina man flarcreate(1M).
Se la creazione dell'archivio si conclude correttamente, il comando flarcreate restituisce il codice 0.
Se l'operazione non riesce, il comando flarcreate restituisce un codice diverso da zero.
In questo esempio, l'archivio Solaris Flash viene creato clonando il server di boot WAN con il nome host server_wan. L'archivio, denominato sol_10_sparc, viene copiato esattamente dal sistema master in modo da costituire un esatto duplicato del sistema master. L'archivio viene memorizzato in sol_10_sparc.flar. L'archivio va salvato nella sottodirectory flash/archives della directory radice dei documenti sul server di boot WAN.
server_wan# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Dopo aver creato l'archivio Solaris Flash, preconfigurare le informazioni sul client nel file sysidcfg. Per le relative istruzioni, vedere Creare il file sysidcfg.
Per istruzioni dettagliate sulla creazione di un archivio Solaris Flash, vedere il Capitolo 3, Creazione di un archivio Solaris Flash (procedure) del Guida all’installazione di Solaris 10 8/07: archivi Solaris Flash (creazione e installazione).
Per maggiori informazioni sul comando flarcreate, vedere la pagina man flarcreate(1M).
Il file sysidcfg permette di specificare una serie di parole chiave con cui preconfigurare il sistema.
Per creare il file sysidcfg, procedere come segue.
Creare l'archivio Solaris Flash. Per istruzioni dettagliate, vedere Creare l'archivio Solaris Flash.
Creare un file denominato sysidcfg in un editor di testo sul server di installazione.
Inserire le parole chiave desiderate.
Per informazioni dettagliate sulle parole chiave di sysidcfg, vedere Parole chiave del file sysidcfg.
Salvare il file sysidcfg in una posizione accessibile al server di boot WAN.
Salvare il file in una delle posizioni seguenti:
Se il server di boot WAN e il server di installazione sono sullo stesso sistema, salvare il file nella sottodirectory flash della directory radice dei documenti sul server di boot WAN.
In caso contrario, salvare il file nella sottodirectory flash della directory radice dei documenti del server di installazione.
Nell'esempio seguente è presentato un esempio di file sysidcfg per un sistema SPARC. Nome host, indirizzo IP e maschera di rete del sistema sono stati preconfigurati modificando il servizio di denominazione.
network_interface=primary {hostname=client_wan default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=CET system_locale=it terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.esempio.it } security_policy=none
Dopo aver creato il file sysidcfg, creare un profilo JumpStart personalizzato per il client. Per le relative istruzioni, vedere Creare il profilo.
Per informazioni più dettagliate sulle parole chiave di sysidcfg e i relativi valori, vedere Preconfigurazione con il file sysidcfg.
Un profilo è il file di testo che comunica al programma JumpStart personalizzato le modalità di installazione del software Solaris su un sistema. Il profilo definisce gli elementi dell'installazione, ad esempio il gruppo software da installare.
Per informazioni in dettaglio su come creare i profili, vedere Creazione di un profilo del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Per creare il profilo, procedere come segue.
Creare il file sysidcfg per il client. Per istruzioni dettagliate, vedere Creare il file sysidcfg.
Creare un file di testo sul server di installazione. Assegnare al file un nome descrittivo.
Assegnare al profilo un nome indicativo del modo in cui si intende installare Solaris sul sistema. Ad esempio, si possono scegliere i nomi installazione_base, profilo_prog o profilo_utente.
Aggiungere le parole chiave e i valori desiderati.
Per un elenco delle parole chiave e dei valori accettati nei profili, vedere Parole chiave e valori usati nei profili del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Le parole chiave e i relativi valori distinguono tra maiuscole e minuscole.
Salvare il profilo in una posizione accessibile al server di boot WAN.
Salvare il profilo in una delle posizioni seguenti:
Se il server di boot WAN e il server di installazione sono sullo stesso sistema, salvare il file nella sottodirectory flash della directory radice dei documenti sul server di boot WAN.
In caso contrario, salvare il file nella sottodirectory flash della directory radice dei documenti del server di installazione.
Verificare che il proprietario del profilo sia root e che le autorizzazioni siano impostate su 644.
(Opzionale) Provare il profilo
Per informazioni sulla prova dei profili, vedere Prova di un profilo del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Nell'esempio seguente, il profilo indica che il programma JumpStart personalizzato richiama l'archivio Solaris Flash da un server HTTPS.
# parole chiave valori # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
L'elenco seguente descrive alcune parole chiave e valori dell'esempio.
Il profilo installa un archivio Solaris Flash sul sistema clone. Tutti i file verranno sovrascritti, come in un'installazione iniziale.
L'archivio Solaris Flash compresso viene recuperato dal server HTTPS.
Le slice dei file system sono determinate dalle parole chiave filesys, con valore explicit. Le dimensioni di root (/) si basano sulle dimensioni dell'archivio di Solaris Flash. La partizione di swap è impostata sulla dimensione necessaria e deve essere installata su c0t1d0s1. /export/home utilizza lo spazio su disco rimanente. /export/home è installata su c0t1d0s7.
Dopo aver creato un profilo, è necessario creare e convalidare il file rules. Per le relative istruzioni, vedere Creare il file rules.
Per maggiori informazioni sulla creazione dei profili, vedere Creazione di un profilo del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Per maggiori informazioni sulle parole chiave e sui valori accettati nei profili, vedere Parole chiave e valori usati nei profili del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Il file rules è un file di testo contenente una regola per ogni gruppo di sistemi su cui deve essere installato il sistema operativo Solaris. Ogni regola distingue un gruppo di sistemi accomunato da uno o più attributi. Collega inoltre ogni gruppo a un determinato profilo. Il profilo è un file di testo che definisce in che modo occorre installare Solaris su ogni sistema del gruppo. Ad esempio, la regola seguente specifica che il programma JumpStart dovrà usare le informazioni del profilo prof_base per installare i sistemi appartenenti al gruppo di piattaforme sun4u.
karch sun4u - prof_base - |
Il file rules viene usato per creare il file rules.ok, richiesto per l'installazione JumpStart personalizzata.
Per maggiori informazioni sulla creazione del file rules, vedere Creazione del file rules del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Per creare il file rules, procedere come segue.
Creare il profilo per il client. Per istruzioni dettagliate, vedere Creare il profilo.
Sul server di installazione, creare un file di testo denominato rules.
Aggiungere una regola nel file rules per ciascuno dei gruppi di sistemi da installare.
Per informazioni dettagliate sulla creazione del file rules, vedere Creazione del file rules del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Salvare il file rules sul server di installazione.
$ ./check -p percorso -r nome_file |
Verifica il file rules usando lo script check dall'immagine di la versione corrente di Solaris anziché dal sistema in uso. percorso è l'immagine del software presente su un disco locale, su un DVD di Solaris attivato o su un CD Solaris Software - 1.
Se il sistema utilizza una versione precedente di Solaris, questa opzione permette di eseguire la versione più recente di check.
Specifica un file di regole diverso da quello denominato rules. Usando questa opzione, è possibile provare la validità di una regola prima di integrarla nel file rules.
Durante l'esecuzione, lo script check restituisce i risultati del controllo di validità del file rules e dei singoli profili. Se non vengono riscontrati errori, lo script restituisce il messaggio seguente: The custom JumpStart configuration is ok. Lo script check crea il file rules.ok.
Salvare il file rules.ok in una posizione accessibile al server di boot WAN.
Salvare il file in una delle posizioni seguenti:
Se il server di boot WAN e il server di installazione sono sullo stesso sistema, salvare il file nella sottodirectory flash della directory radice dei documenti sul server di boot WAN.
In caso contrario, salvare il file nella sottodirectory flash della directory radice dei documenti del server di installazione.
Verificare che il proprietario del file rules.ok sia root e che le autorizzazioni siano impostate su 644.
I programmi di installazione JumpStart personalizzata usano il file rules per selezionare il profilo di installazione giusto per il sistema client_wan-1. Creare un file di testo denominato rules. Aggiungervi le parole chiave e i valori.
L'indirizzo IP del client è 192.168.198.210, la maschera di sottorete è 255.255.255.0. Usare la parola chiave network per specificare il profilo che il programma JumpStart personalizzato deve utilizzare per installare il client.
network 192.168.198.0 - client_wan_prof - |
Il file rules comunica ai programmi JumpStart di usare client_wan_prof per l'installazione di la versione corrente di Solaris sul client.
Denominare il file regole_client_wan.
Una volta creato il profilo e il file rules, eseguire lo script check per verificare che i file siano validi.
server_wan# ./check -r wanclient_rule |
Se lo script check non rileva errori, viene creato il file rules.ok.
Salvare il file rules.ok nella directory /opt/apache/htdocs/flash/.
Dopo aver creato il file rules.ok, è possibile creare script iniziali e finali per l'installazione. Per le relative istruzioni, vedere (Opzionale) Creazione di script iniziali e finali.
Se non si desidera configurare questi script, vedere Creazione dei file di configurazione per continuare l'installazione boot WAN.
Per maggiori informazioni sulla creazione del file rules, vedere Creazione del file rules del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Per maggiori informazioni sulle parole chiave e i valori accettati nel file rules, vedere Parole chiave e valori usati nelle regole del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Gli script iniziali e finali sono script per la Bourne shell definiti dall'utente che vengono specificati nel file rules. Lo script iniziale viene creato per eseguire una serie di operazioni prima dell'installazione di Solaris sul sistema. Le operazioni specificate nello script finale vengono eseguite dopo l'installazione di Solaris ma prima del riavvio del sistema. Gli script finali possono essere usati solo con il metodo di installazione JumpStart personalizzato.
Gli script iniziali si possono usare per creare profili derivati. Gli script finali permettono di eseguire diverse attività post-installazione, come l'aggiunta di file, pacchetti, patch o software addizionale.
Gli script iniziali e finali vanno memorizzati sul server di installazione nella stessa directory dei file sysidcfg, rules.ok e dei profili.
Per maggiori informazioni sulla creazione degli script iniziali, vedere Creazione di uno script iniziale del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Per maggiori informazioni sulla creazione degli script finali, vedere Creazione di uno script finale del Guida all’installazione di Solaris 10 8/07: metodo JumpStart personalizzato e installazioni avanzate .
Per continuare la preparazione dell'installazione boot WAN, vedere Creazione dei file di configurazione.
Il metodo boot WAN usa i seguenti file per specificare la posizione dei dati e dei file richiesti per l'installazione boot WAN:
File di configurazione del sistema (system.conf)
File wanboot.conf
Questa sezione descrive come creare e memorizzare questi due file.
Il file di configurazione del sistema permette di dirigere i programmi di installazione boot WAN verso i file seguenti:
File sysidcfg
File rules.ok
Profilo JumpStart personalizzato
Il boot WAN segue i puntatori del file di configurazione del sistema per installare e configurare il client.
Il file di configurazione del sistema è un file di testo e deve essere formattato nel modo seguente:
impostazione=valore |
Per usare un file di configurazione del sistema per dirigere i programmi di installazione WAN verso i file sysidcfg, rules.ok e dei profili, attenersi alla procedura seguente.
Prima di creare il file di configurazione del sistema, è necessario creare i file di installazione richiesti per la procedura boot WAN. Per istruzioni dettagliate, vedere Creazione dei file dell'installazione JumpStart personalizzata.
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Creare un file di testo. Assegnare al file un nome descrittivo, ad esempio sys-conf.s10–sparc.
Aggiungere le voci seguenti al file di configurazione del sistema.
Questa impostazione punta alla directory flash del server di installazione che contiene il file sysidcfg. Accertarsi che questo URL corrisponda al percorso del file sysidcfg creato in Creare il file sysidcfg.
Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.
Questa impostazione punta alla directory Solaris Flash sul server di installazione che contiene il file rules.ok, il file dei profili e gli script iniziali e finali. Accertarsi che questo URL corrisponda al percorso dei file dell'installazione JumpStart personalizzata creati in Creare il profilo e Creare il file rules.
Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.
Salvare il file in una directory accessibile al server di boot WAN.
A fini amministrativi, è consigliabile salvare il file nella directory appropriata in /etc/netboot sul server di boot WAN.
Nel file di configurazione del sistema, modificare le autorizzazioni su 600.
# chmod 600 /percorso/file_configurazione_sistema |
Nell'esempio seguente, i programmi di boot da WAN controllano la presenza dei file sysidcfg e JumpStart sul server Web https://www.esempio.it alla porta 1234. Il server Web usa il collegamento HTTPS per cifrare i dati e i file durante l'installazione.
Il file sysidcfg e i file dell'installazione JumpStart personalizzata si trovano nella sottodirectory flash della directory radice dei documenti (/opt/apache/htdocs).
SsysidCF=https://www.esempio.it:1234/flash SjumpsCF=https://www.esempio.it:1234/flash
Nell'esempio seguente, i programmi di boot da WAN controllano la presenza dei file sysidcfg e JumpStart sul server Web http://www.esempio.it alla porta 1234. Il server Web usa HTTP, quindi i dati e i file non sono protetti durante l'installazione.
Il file sysidcfg e i file dell'installazione JumpStart personalizzata si trovano nella sottodirectory flash della directory radice dei documenti (/opt/apache/htdocs).
SsysidCF=http://www.esempio.it/flash SjumpsCF=http://www.esempio.it/flash
Dopo aver creato il file di configurazione del sistema, creare il file wanboot.conf. Per le relative istruzioni, vedere Creare il file wanboot.conf.
Il file wanboot.conf è un file di testo di configurazione utilizzato dai programmi di boot per eseguire l'installazione WAN. Il programma wanboot-cgi, il file system di boot e la miniroot di boot WAN usano le informazioni incluse nel file wanboot.conf per l'installazione del sistema client.
Salvare il file wanboot.conf nella sottodirectory client appropriata, nella gerarchia /etc/netboot sul server di boot WAN. Per informazioni su come definire l'installazione boot WAN con la gerarchia /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.
Se il server di boot WAN esegue la la versione corrente di Solaris, è disponibile un esempio del file wanboot.conf in /etc/netboot/wanboot.conf.sample. Questo file può essere utilizzato come modello per la propria installazione boot WAN.
Nel file wanboot.conf è necessario includere le informazioni seguenti.
Queste informazioni si specificano elencando i parametri e i valori associati nel formato seguente:
parametro=valore |
Per informazioni in dettaglio sui parametri e la sintassi del file wanboot.conf, vedere Parametri e sintassi del file wanboot.conf.
Per creare il file wanboot.conf, procedere come segue.
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Creare il file di testo wanboot.conf.
Si può creare un nuovo file di testo denominato wanboot.conf, oppure usare il file campione situato in /etc/netboot/wanboot.conf.sample. Se si usa il file di esempio, rinominare il wanboot.conf una volta aggiunti i parametri.
Digitare i parametri e i valori di wanboot.conf per l'installazione.
Per descrizioni in dettaglio di parametri e valori del file wanboot.conf, vedere Parametri e sintassi del file wanboot.conf.
Salvare il file wanboot.conf nella sottodirectory appropriata della struttura gerarchica /etc/netboot.
Per informazioni su come creare la struttura gerarchica /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.
Convalidare il file wanboot.conf.
# bootconfchk /etc/netboot/percorso-wanboot.conf/wanboot.conf |
Specifica il percorso del file wanboot.conf del client sul server boot WAN
Se il file wanboot.conf è valido dal punto di vista strutturale, il comando bootconfchk restituisce un codice di uscita 0.
Se invece non è valido, il comando bootconfchk restituisce un codice diverso da zero.
Cambiare le autorizzazioni del file wanboot.conf su 600.
# chmod 600 /etc/netboot/percorso-wanboot.conf/wanboot.conf |
Il seguente file wanboot.conf di esempio include informazioni di configurazione per un'installazione WAN che usa un collegamento HTTPS. Il file wanboot.conf indica inoltre che in questa installazione è impiegata una chiave di cifratura 3DES.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.esempio.it:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.esempio.it:1234/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Il file wanboot.conf specifica la configurazione seguente:
Il programma di boot di secondo livello è wanboot.s10_sparc ed è situato nella directory /wanboot della directory radice dei documenti del server di boot WAN.
La posizione del programma wanboot-cgi sul server di boot WAN è https://www.esempio.it:1234/cgi-bin/wanboot-cgi. La parte https dell'URL indica che questa installazione boot WAN usa HTTPS.
Il nome della miniroot di boot WAN è miniroot.s10_sparc. ed è situata nella directory /miniroot della directory radice dei documenti del server di boot WAN.
Il programma wanboot.s10_sparc e il file system di boot WAN sono firmati con una chiave di hashing HMAC SHA1.
Il programma wanboot.s10_sparc e il file system di boot sono cifrati con una chiave 3DES.
Il server è autenticato durante l'installazione.
Il client non è autenticato durante l'installazione.
Per eseguire l'installazione WAN non sono necessari altri nomi host. Tutti le informazioni e i file richiesti sono ubicati nella directory radice dei documenti nel server di boot WAN.
(Opzionale) I messaggi di log di boot e installazione sono registrati sul server di boot WAN tramite il collegamento HTTPS.
Per istruzioni sulla configurazione di un server di log per l'installazione boot WAN,vedere (Opzionale) Configurazione del server di log per il boot WAN.
Il file di configurazione del sistema che contiene le posizioni dei file sysidcfg e JumpStart si trova in una sottodirectory della struttura gerarchica /etc/netboot. Il nome del file di configurazione del sistema è sys-conf.s10–sparc.
Il seguente file wanboot.conf include informazioni di configurazione per un'installazione boot WAN con minore grado di sicurezza che usa HTTP. Il file wanboot.conf indica inoltre che l'installazione non usa una chiave di cifratura o una chiave di hashing.
boot_file=/wanboot/wanboot.s10_sparc root_server=http://www.esempio.it/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.esempio.it/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Il file wanboot.conf specifica la configurazione seguente:
Il programma di boot di secondo livello è wanboot.s10_sparc ed è situato nella directory /wanboot della directory radice dei documenti del server di boot WAN.
La posizione del programma wanboot-cgi sul server di boot WAN è http://www.esempio.it/cgi-bin/wanboot-cgi. Questa installazione non usa un collegamento HTTPS.
Il nome della miniroot di boot WAN è miniroot.s10_sparc. ed è situata nella sottodirectory /miniroot nella directory radice dei documenti del server di boot WAN.
Il programma wanboot.s10_sparc e il file system di boot WAN non sono firmati con una chiave di hashing.
Il programma wanboot.s10_sparc e il file system di boot non sono cifrati.
Il server non è autenticato con chiavi o certificati durante l'installazione.
Il client non è autenticato con chiavi o certificati durante l'installazione.
Per eseguire l'installazione non sono necessari altri nomi host. Tutti le informazioni e i file richiesti sono ubicati nella directory radice dei documenti nel server di boot WAN.
(Opzionale) I messaggi di log di avvio e installazione sono registrati sul server di boot WAN.
Per istruzioni sulla configurazione di un server di log per l'installazione boot WAN,vedere (Opzionale) Configurazione del server di log per il boot WAN.
Il file di configurazione di sistema che contiene le posizioni del file sysidcfg e dei file di JumpStart è denominato sys-conf.s10–sparc ed è situato nella sottodirectory appropriata del client nella struttura gerarchica /etc/netboot.
Dopo aver creato il file wanboot.conf, è possibile configurare un server DHCP per il supporto del boot WAN. Per le relative istruzioni, vedere (Opzionale) Fornitura delle informazioni di configurazione con un server DHCP.
Se non si desidera usare un server DHCP nell'installazione boot WAN, vedere Controllare l'alias di dispositivo net nella OBP del client.
Per una descrizione dettagliata dei parametri e dei valori usati in wanboot.conf, vedere Parametri e sintassi del file wanboot.conf e la pagina man wanboot.conf(4).
Se si usa un server DHCP nella rete, è possibile configurarlo per fornire le seguenti informazioni:
Indirizzo IP del server proxy
Posizione del programma wanboot-cgi
Nell'installazione boot WAN si possono usare le seguenti opzioni di fornitori DHCP.
Specifica l'URL del programma wanboot-cgi sul server di boot WAN.
Per informazioni su come impostare le opzioni dei fornitori su un server DHCP Solaris, vedere Preconfigurazione delle informazioni di configurazione del sistema con il servizio DHCP (procedure).
Per informazioni in dettaglio sulla configurazione di un server DHCP Solaris, vedere il Capitolo 14, Configuring the DHCP Service (Tasks) del System Administration Guide: IP Services.
Per proseguire l'installazione boot WAN, vedere il Capitolo 12, SPARC: Installazione con il metodo boot WAN (procedure).
Questo capitolo descrive come eseguire un'installazione boot WAN su un client SPARC. Per informazioni su come predisporre un'installazione boot WAN, vedere il Capitolo 11, Installazione con il metodo boot WAN (attività).
Questo capitolo descrive le seguenti operazioni:
La tabella seguente elenca le procedure necessarie per eseguire l'installazione di un client da una WAN.
Tabella 12–1 Mappa delle attività: Esecuzione di un'installazione boot WAN
Attività |
Descrizione |
Per istruzioni, vedere |
---|---|---|
Preparare la rete per l'installazione boot WAN. |
Impostare i server e i file richiesti per l'esecuzione dell'installazione boot WAN. |
Capitolo 11, Installazione con il metodo boot WAN (attività) |
Verificare che l'alias di dispositivo net sia impostato correttamente nella OBP del client. |
Usare il comando devalias per verificare che l'alias di dispositivo net sia impostato sull'interfaccia di rete principale. | |
Fornire le chiavi al client |
Fornire le chiavi al client impostando le variabili OBP o inserendo direttamente i valori delle chiavi durante l'installazione. Questa attività è richiesta per le configurazioni delle installazioni sicure. Per le installazioni non sicure, che controllano l'integrità dei dati, occorre completare questa attività per fornire la chiave di hashing HMAC SHA1 al client. | |
Installare il client da una rete geografica o WAN (Wide Area Network). |
Scegliere il metodo appropriato per installare il client. |
Eseguire un'installazione boot WAN non interattiva Eseguire un'installazione boot WAN interattiva |
Prima di installare il sistema client, prepararlo eseguendo le attività seguenti:
Per eseguire il boot del client dalla WAN con boot net, l'alias di dispositivo net deve essere impostato sul dispositivo di rete principale del client. Sulla maggior parte dei sistemi, l'alias è già impostato correttamente. Tuttavia, se l'alias non è impostato sul dispositivo di rete da usare, è necessario modificarlo.
Per maggiori informazioni sull'impostazione degli alias dei dispositivi, vedere la sezione “The Device Tree” nel documento OpenBoot 3.x Command Reference Manual.
Per controllare l'alias di dispositivo net sul client, attenersi alla procedura seguente.
Diventare superutente o assumere un ruolo equivalente sul client.
Portare il sistema al livello di esecuzione 0.
# init 0 |
Viene visualizzato il prompt ok.
Al prompt ok, controllare gli alias di dispositivo impostati nella OBP.
ok devalias |
Il comando devalias restituisce informazioni simili a quelle riportate nell'esempio seguente:
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Se l'alias net è impostato sul dispositivo di rete da usare durante l'installazione, non è necessario ripristinare l'alias. Per continuare l'installazione, passare a Installazione delle chiavi sul client.
Se l'alias net non è impostato sul dispositivo di rete da usare, bisogna ripristinarlo. Continuare.
Impostare l'alias di dispositivo net.
Scegliere uno dei comandi seguenti per impostare l'alias di dispositivo net.
Per impostare l'alias di dispositivo net per questa sola installazione, usare il comando devalias.
ok devalias net percorso-dispositivo |
Assegna il dispositivo percorso-dispositivo all'alias net
Per impostare l'alias di dispositivo net in modo permanente, digitare nvalias.
ok nvalias net percorso-dispositivo |
I comandi seguenti mostrano come controllare e ripristinare l'alias di dispositivo net.
Controllare gli alias di dispositivo.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Per usare il dispositivo di rete /pci@1f,0/pci@1,1/network@5,1, digitare il comando seguente.
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
Dopo aver controllato l'alias di dispositivo net, vedere la sezione appropriata per continuare l'installazione.
Se nell'installazione si utilizzano una chiave di hashing e una chiave di cifratura, vedere Installazione delle chiavi sul client.
Se si sta eseguendo un'installazione meno sicura senza chiavi, vedere Installazione del client.
Per un'installazione boot WAN più sicura o un'installazione non sicura con il controllo di integrità dei dati, occorre installare le chiavi sul client. Usando una chiave di hashing e una di cifratura, è possibile proteggere i dati trasmessi al client. Le chiavi si possono installare con i metodi seguenti:
Impostare le variabili OBP – è possibile assegnare i valori delle chiavi alle variabili degli argomenti di avvio di rete OBP prima di avviare il client. Queste chiavi si possono usare anche per le future installazioni di boot WAN del client.
Inserire i valori delle chiavi durante il processo di boot – è possibile impostare i valori delle chiavi al prompt del programma wanboot boot>. Se si opta per quest'ultimo metodo, le chiavi vengono utilizzate solo per l'installazione con boot da WAN corrente.
Le chiavi si possono installare anche nella OBP di un client in esecuzione. Per installare le chiavi su un client in esecuzione, il sistema deve eseguire il sistema operativo Solaris 9 12/03 o una versione compatibile.
All'installazione delle chiavi sul client, accertarsi che i valori non vengano trasmessi tramite un collegamento non sicuro. Per garantire la riservatezza dei valori delle chiavi, attenersi strettamente alle politiche di sicurezza del sito.
Per istruzioni su come assegnare i valori delle chiavi alle variabili degli argomenti di boot di rete OBP, vedere Installare le chiavi nella OBP del client.
Per istruzioni sull'installazione delle chiavi durante il processo di boot, vedere Eseguire un'installazione boot WAN interattiva.
Per istruzioni su come installare le chiavi nella OBP di un client in esecuzione,vedere Installare una chiave di hashing e una di cifratura su un client in esecuzione.
È possibile assegnare i valori delle chiavi alle variabili degli argomenti di avvio in rete OBP prima di avviare il client. Queste chiavi si possono usare anche per le future installazioni di boot WAN del client.
Per installare le chiavi nella OBP del client, procedere come segue.
Per assegnare i valori delle chiavi alle variabili degli argomenti del boot di rete OBP, attenersi alla procedura seguente.
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Visualizzare il valore per ogni chiave del client.
# wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave |
L'indirizzo IP della sottorete del client.
L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.
Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.
Viene visualizzato il valore esadecimale della chiave.
Ripetere la procedura precedente per ogni tipo di chiave da installare.
Portare il sistema client al livello di esecuzione 0.
# init 0 |
Viene visualizzato il prompt ok.
Al prompt ok del client, impostare il valore della chiave di hashing.
ok set-security-key wanboot-hmac-sha1 valore-chiave |
Installa la chiave sul client
Istruisce la OBP di installare una chiave di hashing HMAC SHA1
Specifica la stringa esadecimale visualizzata al Punto 2.
La chiave di hashing HMAC SHA1 è installata nel client OBP.
Al prompt ok del client, installare la chiave di cifratura.
ok set-security-key wanboot-3des valore-chiave |
Installa la chiave sul client
Istruisce la OBP di installare una chiave di cifratura 3DES. Per usare una chiave di cifratura AES, impostare questo valore su wanboot-aes.
Specifica la stringa esadecimale che rappresenta la chiave di cifratura.
La chiave di cifratura 3DES è installata nella OBP del client.
Una volta installate le chiavi, si è pronti per installare il client. Per istruzioni su come installare il sistema client, vedere Installazione del client.
(Opzionale) Verificare che le chiavi siano impostate nella OBP del client.
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des |
(Opzionale) Per eliminare una chiave, digitare il comando seguente:
ok set-security-key tipo-chiave |
L'esempio mostra come installare una chiave di hashing e una chiave di cifratura nella OBP del client.
Visualizzare i valori delle chiavi sul server di boot WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
L'esempio precedente usa le seguenti informazioni:
Specifica l'indirizzo IP della sottorete del client
Specifica l'ID del client
Specifica il valore della chiave di hashing HMAC SHA1 del client
Specifica il valore della chiave di cifratura 3DES del client
Se nell'installazione si fa uso di una chiave di cifratura AES, modificare wanboot-3des in wanboot-aes per visualizzare il valore della chiave di cifratura.
Installare le chiavi sul sistema client.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
I comandi precedenti eseguono le seguenti operazioni:
Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client
Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client
Se nell'installazione si fa uso di una chiave di cifratura AES, modificare wanboot-3des in wanboot-aes.
Dopo avere installato le chiavi sul client, si è pronti per installare il client attraverso la WAN. Per le relative istruzioni, vedere Installazione del client.
Per maggiori informazioni sulla visualizzazione dei valori delle chiavi, vedere la pagina man wanbootutil(1M).
È possibile impostare i valori delle chiavi al prompt boot> del programma wanboot su un sistema in esecuzione. Se si opta per quest'ultimo metodo, le chiavi vengono utilizzate solo per l'installazione con boot da WAN corrente.
Per installare una chiave di hashing e una chiave di cifratura nella OBP di un client in esecuzione, attenersi alla procedura seguente.
Nella procedura, si ipotizza quanto segue:
Il sistema client è alimentato.
Il client è accessibile tramite un collegamento sicuro, come una shell sicura (ssh).
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Visualizzare il valore per ogni chiave del client.
# wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave |
L'indirizzo IP della sottorete del client.
L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.
Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.
Viene visualizzato il valore esadecimale della chiave.
Ripetere la procedura precedente per ogni tipo di chiave da installare.
Diventare superutente o assumere un ruolo equivalente sul client.
Installare le chiavi necessarie sul sistema client in esecuzione.
# /usr/lib/inet/wanboot/ickey -o type=tipo-chiave > valore-chiave |
Specifica il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.
Specifica la stringa esadecimale visualizzata al Punto 2.
Ripetere la procedura precedente per ogni tipo di chiave da installare.
Una volta installate le chiavi, si è pronti per installare il client. Per istruzioni su come installare il sistema client, vedere Installazione del client.
L'esempio seguente mostra come installare le chiavi nella OBP di un client in esecuzione.
Visualizzare i valori delle chiavi sul server di boot WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
L'esempio precedente usa le seguenti informazioni:
Specifica l'indirizzo IP della sottorete del client
Specifica l'ID del client
Specifica il valore della chiave di hashing HMAC SHA1 del client
Specifica il valore della chiave di cifratura 3DES del client
Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzare il valore della chiave di cifratura.
Installare le chiave nella OBP del client in esecuzione.
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
I comandi precedenti eseguono le seguenti operazioni:
Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client.
Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client
Dopo avere installato le chiavi sul client, si è pronti per installare il client attraverso la WAN. Per le relative istruzioni, vedere Installazione del client.
Per maggiori informazioni sulla visualizzazione dei valori delle chiavi, vedere la pagina man wanbootutil(1M).
Per maggiori informazioni su come installare le chiavi su un sistema in esecuzione, vedere ickey(1M).
Una volta completata la preparazione della rete per l'installazione boot WAN, è possibile scegliere tra i metodi di installazione esposti a seguire.
Tabella 12–2 Metodi di installazione del client
Metodo |
Descrizione |
Istruzioni |
---|---|---|
Installazione non interattiva |
Usare questo metodo per installare le chiavi sul client e impostare le informazioni di configurazione del client prima di eseguire il boot. |
|
Installazione interattiva |
Usare questo metodo per impostare le informazioni di configurazione del client durante il processo di boot. | |
Installazione con un server DHCP |
Usare questo metodo se si è configurato il server DHCP di rete per fornire le informazioni di configurazione del client durante l'installazione. |
|
Installazione con i supporti CD locali |
Se la OBP del client non supporta il boot WAN, eseguire il boot del clientda una copia locale del CD del Solaris. |
|
Usare questo metodo se si preferisce installare le chiavi e impostare le informazioni di configurazione del client prima dell'installazione. Successivamente si potrà eseguire il boot del client dalla WAN ed eseguire un'installazione non presidiata.
In questa procedura si presume che le chiavi siano state installate nella OBP del client oppure che si stia eseguendo un'installazione non sicura. Per informazioni sull'installazione delle chiavi sul client prima dell'installazione, vedere Installazione delle chiavi sul client.
Se il sistema client è in esecuzione, portarlo al livello 0.
# init 0 |
Viene visualizzato il prompt ok.
Al prompt ok sul sistema client, impostare le variabili degli argomenti dell'avvio di rete nella OBP.
ok setenv network-boot-arguments host-ip=IP-client, router-ip=router-ip,subnet-mask=valore-maschera, hostname=nome-client,http-proxy=proxy-ip:porta, file=URL-wanbootCGI |
Le interruzioni di riga sono incluse in questo esempio di comando a titolo puramente esemplificativo. Non inserire un ritorno a capo fino al termine della digitazione del comando.
Avvio del client.
ok boot net - install |
Istruisce il client di usare le variabili degli argomenti di boot di rete per eseguire il boot dalla WAN
Il client viene installato nella WAN. Se i programmi di boot WAN non individuano tutte le informazioni di installazione necessarie, il programma wanboot chiede di fornire le informazioni mancanti. Al prompt, digitare le informazioni addizionali richieste.
Nell'esempio seguente, le variabili degli argomenti dell'avvio di rete per il sistema client nome-client vengono impostate prima di avviare il sistema. In questo esempio si presume che sul client siano già installate una chiave di hashing e una chiave di cifratura. Per informazioni sull'installazione delle chiavi prima del boot dalla WAN,vedere Installazione delle chiavi sul client.
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192 hostname=nome-client,file=http://192.168.198.135/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
Vengono definite le seguenti variabili:
L'indirizzo IP del client è impostato su 192,168,198,136.
L'indirizzo IP del router del client è impostato su 192.168.198.129
La maschera di sottorete del client è impostata su 255.255.255.192.
Il nome host del client è impostato su lupo_di_mare
L'ubicazione del programma wanboot-cgi è http://192.168.198.135/cgi-bin/wanboot-cgi.
Per maggiori informazioni su come impostare gli argomenti per l'avvio in rete, vedere set(1).
Per maggiori informazioni su come avviare un sistema, vedere boot(1M).
Usare questo metodo di installazione per installare le chiavi e impostare le informazioni di configurazione del client dalla riga di comando durante l'installazione.
In questa procedura si presume che venga utilizzato il protocollo HTTPS per l'installazione WAN. Se si esegue un'installazione non sicura, senza impiegare chiavi, non visualizzare o installare le chiavi del client.
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Visualizzare il valore per ogni chiave del client.
# wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave |
Indirizzo IP della sottorete del client da installare.
L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.
Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.
Viene visualizzato il valore esadecimale della chiave.
Ripetere la procedura precedente per ogni tipo di chiave del client da installare.
Se il sistema client è attualmente in esecuzione, portare il client al livello di esecuzione 0.
Al prompt ok sul sistema client, impostare le variabili degli argomenti dell'avvio di rete nella OBP.
ok setenv network-boot-arguments host-ip=IP-client,router-ip=IP-router, subnet-mask=valore-maschera,hostname=nome-client, http-proxy=IP-proxy:porta,bootserver=URL-wanbootCGI |
Le interruzioni di riga sono incluse in questo esempio di comando a titolo puramente esemplificativo. Non inserire un ritorno a capo fino al termine della digitazione del comando.
Indica alla OBP di impostare i seguenti argomenti di avvio
Specifica l'indirizzo IP del client
Specifica l'indirizzo IP del router di rete
Specifica il valore della maschera di sottorete
Specifica il nome host del client
Specifica l'indirizzo IP e la porta del server proxy di rete
Specifica l'URL del programma wanboot-cgi sul server Web
Il valore dell'URL per la variabile bootserver non deve essere un URL HTTPS. L'URL deve iniziare con http://.
Al prompt ok del client, eseguire il boot del sistema.
ok boot net -o prompt - install |
Istruisce il client di eseguire il boot e l'installazione dalla rete. Il programma wanboot richiede all'utente di inserire le informazioni di configurazione del client al prompt boot>.
Viene visualizzato il prompt boot>.
Installare la chiave di cifratura.
boot> 3des=valore-chiave |
Specifica la chiave esadecimale della chiave 3DES visualizzata al Punto 2.
Se si usa una chiave di cifratura AES, avvalersi del seguente formato di comando.
boot> aes=valore-chiave |
Installare la chiave di hashing.
boot> sha1=valore-chiave |
Specifica la chiave di hashing visualizzata al Punto 2.
Digitare il comando seguente per continuare il processo di boot.
boot> go |
Il client viene installato nella WAN.
Se richiesto, digitare le informazioni di configurazione del client dalla riga di comando.
Se i programmi di boot WAN non individuano tutte le informazioni di installazione necessarie, il programma wanboot chiede di fornire le informazioni mancanti. Al prompt, digitare le informazioni addizionali richieste.
Nell'esempio seguente, il programma wanboot richiede di impostare i valori chiave per il sistema client durante l'installazione.
Visualizzare i valori delle chiavi sul server di boot WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
L'esempio precedente usa le seguenti informazioni:
Specifica l'indirizzo IP della sottorete del client
Specifica l'ID del client
Specifica il valore della chiave di hashing HMAC SHA1 del client
Specifica il valore della chiave di cifratura 3DES del client
Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzare il valore della chiave di cifratura.
Impostare le variabili degli argomenti dell'avvio di rete nella OBP del client.
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=nome-client, bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi |
Vengono definite le seguenti variabili:
L'indirizzo IP del client è impostato su 192,168,198,136.
L'indirizzo IP del router del client è impostato su 192.168.198.129
La maschera di sottorete del client è impostata su 255.255.255.192.
Il nome host del client è impostato su nome-client
L'ubicazione del programma wanboot-cgi è http://192.168.198.135/cgi-bin/wanboot-cgi.
Avviare e installare il client.
ok boot net -o prompt - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net -o prompt Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> go |
I comandi precedenti eseguono le seguenti operazioni:
Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client
Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client.
Avvia l'installazione
Per maggiori informazioni su come visualizzare i valori delle chiavi, vedere wanbootutil(1M).
Per maggiori informazioni su come impostare gli argomenti per l'avvio in rete, vedere set(1).
Per maggiori informazioni su come avviare un sistema, vedere boot(1M).
Se è stato configurato un server DHCP per il supporto delle opzioni di boot WAN, è possibile usare tale server per fornire informazioni di configurazione ai client durante l'installazione. Per maggiori informazioni su come configurare un server DHCP per il supporto di un'installazione boot WAN, vedere (Opzionale) Fornitura delle informazioni di configurazione con un server DHCP.
Nella procedura, si ipotizza quanto segue:
Il sistema client è in esecuzione.
Si sono installate le chiavi sul client, oppure si è eseguita un'installazione non sicura.
Per informazioni sull'installazione delle chiavi sul client prima dell'installazione, vedere Installazione delle chiavi sul client.
Si è configurato il server DHCP per il supporto delle opzioni di boot WAN SbootURI e SHTTPproxy.
Queste opzioni permettono al server DHCP di fornire le informazioni di configurazione richieste dal boot WAN.
Per informazioni su come impostare le opzioni di installazione sul server DHCP, vedere Preconfigurazione delle informazioni di configurazione del sistema con il servizio DHCP (procedure).
Se il sistema client è in esecuzione, portarlo al livello 0.
# init 0 |
Viene visualizzato il prompt ok.
Al prompt ok sul sistema client, impostare le variabili degli argomenti dell'avvio di rete nella OBP.
ok setenv network-boot-arguments dhcp,hostname=nome-client |
Indica alla OBP di impostare i seguenti argomenti di avvio
Istruisce la OBP di usare il server DHCP per configurare il client
Specifica il nome host da assegnare al client
Avviare il client dalla rete.
ok boot net - install |
Istruisce il client di usare le variabili degli argomenti di boot di rete per eseguire il boot dalla WAN
Il client viene installato nella WAN. Se i programmi di boot WAN non individuano tutte le informazioni di installazione necessarie, il programma wanboot chiede di fornire le informazioni mancanti. Al prompt, digitare le informazioni addizionali richieste.
Nell'esempio seguente, il server DHCP della rete fornisce informazioni di configurazione al client. Questo esempio richiede il nome host esempio_client per il client.
ok setenv network-boot-arguments dhcp, hostname=nome-client ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
Per maggiori informazioni su come impostare gli argomenti per l'avvio in rete, vedere set(1).
Per maggiori informazioni su come avviare un sistema, vedere boot(1M).
Per maggiori informazioni su come configurare un server DHCP, vedere (Opzionale) Fornitura delle informazioni di configurazione con un server DHCP.
Se la OBP del client non supporta il boot WAN, è possibile eseguire l'installazione con il CD Solaris Software - 1 inserito nell'unità CD-ROM del client. Quando si usa un CD locale, il client richiama il programma wanboot dai supporti locali invece che dal server di boot WAN.
In questa procedura si presume che venga utilizzato il protocollo HTTPS per l'installazione WAN. Se si esegue un'installazione non sicura, non visualizzare o installare le chiavi del client.
Per eseguire l'installazione boot WAN da un CD locale, attenersi alla procedura seguente.
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Visualizzare il valore per ogni chiave del client.
# wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave |
L'indirizzo IP del client da installare.
L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.
Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.
Viene visualizzato il valore esadecimale della chiave.
Ripetere la procedura precedente per ogni tipo di chiave del client da installare.
Sul client, inserire il CD Solaris Software - 1 nell'unità CD-ROM del sistema.
Accendere il client.
Avviare il client dal CD.
ok boot cdrom -o prompt -F wanboot - install |
Istruisce la OBP di eseguire il boot dal CD-ROM locale
Istruisce il programma wanboot di richiedere all'utente l'immissione delle informazioni di configurazione del client
Istruisce la OBP di caricare il programma wanboot dal CD-ROM
Istruisce il client di eseguire un'installazione boot WAN
L'OBP del client carica il programma wanboot dal CD Solaris Software - 1. Il programma wanboot avvia il sistema e viene visualizzato il prompt boot>.
Digitare il valore della chiave di cifratura.
boot> 3des=valore-chiave |
Specifica la chiave esadecimale della chiave 3DES visualizzata al Punto 2.
Se si usa una chiave di cifratura AES, avvalersi del seguente formato di comando.
boot> aes=valore-chiave |
Digitare il valore della chiave di hashing.
boot> sha1=valore-chiave |
Specifica la stringa esadecimale che rappresenta il valore della chiave di hashing visualizzata al Punto 2.
Impostare le variabili dell'interfaccia di rete.
boot> variabile=valore[,variabile=valore*] |
Digitare le seguenti coppie di variabile e valore al prompt boot>.
Specifica l'indirizzo IP del client
Specifica l'indirizzo IP del router di rete
Specifica il valore della maschera di sottorete
Specifica il nome host del client
Specifica l'indirizzo IP e il numero di porta del server proxy di rete
Specifica l'URL del programma wanboot-cgi sul server Web
Il valore dell'URL per la variabile bootserver non deve essere un URL HTTPS. L'URL deve iniziare con http://.
Le chiavi si possono immettere con i metodi seguenti:
Digitare una coppia di variabile e valore al prompt boot>, quindi premere il tasto Return.
boot> host-ip=IP-client boot> subnet-mask=valore-maschera |
Digitare tutte le coppie di valore e variabile sulla riga del prompt boot>, quindi premere il tasto Return. Digitare le virgole necessarie a separare ogni coppia.
boot> host-ip=IP-client,subnet-mask=valore-maschera, router-ip=IP-router,hostname=nome-client, http-proxy=IP-proxy:porta,bootserver=URL-wanbootCGI |
Digitare il comando seguente per continuare il processo di boot.
boot> go |
Il client viene installato nella WAN. Se i programmi di boot WAN non individuano tutte le informazioni di installazione necessarie, il programma wanboot chiede di fornire le informazioni mancanti. Al prompt, digitare le informazioni addizionali richieste.
Nell'esempio seguente, il programma wanboot su un CD locale richiede di impostare le variabili dell'interfaccia di rete per il client durante l'installazione.
Visualizzare i valori delle chiavi sul server di boot WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
L'esempio precedente usa le seguenti informazioni:
Specifica l'indirizzo IP della sottorete del client
Specifica l'ID del client
Specifica il valore della chiave di hashing HMAC SHA1 del client
Specifica il valore della chiave di cifratura 3DES del client
Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzare il valore della chiave di cifratura.
Avviare e installare il client.
ok boot cdrom -o prompt -F wanboot - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot cdrom -F wanboot - install Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> host-ip=192.168.198.124 boot> subnet-mask=255.255.255.128 boot> router-ip=192.168.198.1 boot> hostname=nome-client boot> client-id=010003BA152A42 boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi boot> go |
I comandi precedenti eseguono le seguenti operazioni:
Immette la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client.
Immette la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client.
Imposta l'indirizzo IP del client su 192.168.198.124
Imposta la maschera di sottorete del client su 255.255.255.128
Imposta l'indirizzo IP del router del client su 192.168.198.1
Imposta il nome host del client su esempio_client
Imposta l'ID del client su 010003BA152A42
Imposta la posizione del programma wanboot-cgi su http://192.168.198.135/cgi-bin/wanboot-cgi/
Per maggiori informazioni su come visualizzare i valori delle chiavi, vedere wanbootutil(1M).
Per maggiori informazioni su come impostare gli argomenti per l'avvio in rete, vedere set(1).
Per maggiori informazioni su come avviare un sistema, vedere boot(1M).
Questo capitolo fornisce un esempio di configurazione e installazione dei sistemi client in una rete geografica o WAN (Wide Area Network). Gli esempi illustrati descrivono come eseguire un'installazione boot WAN sicura con un collegamento HTTPS.
Controllo del supporto del boot WAN da parte dell'OBP del client
(Opzionale) Configurazione del server di boot WAN come server di log
(Opzionale) Uso della chiave privata e del certificato per l'autenticazione del client
La Figura 13–1 mostra la configurazione del sito a cui fa riferimento l'esempio descritto.
Questo sito di esempio presenta le seguenti caratteristiche:
Il server server_wan-1 deve essere configurato come server di boot WAN e server di installazione.
L'indirizzo IP di server_wan-1 è 192.168.198.2.
Il nome di dominio di server_wan-1 è www.esempio.it.
server_wan-1 esegue la versione corrente di Solaris.
server_wan-1 esegue il server Web di Apache. Il software Apache su server_wan-1 è configurato per il supporto di HTTPS.
Il client da installare è client_wan-1.
client_wan-1 è un sistema UltraSPARCII.
L'ID client di client_wan-1 è 010003BA152A42.
L'indirizzo IP di client_wan-1 è 192.168.198.210.
L'indirizzo IP della sottorete del client è 192.168.198.0.
Il sistema client client_wan-1 ha accesso a Internet, ma non è collegato direttamente alla rete su cui si trova server_wan-1.
client_wan-1 è un nuovo sistema su cui deve essere installato la versione corrente di Solaris.
Per memorizzare i file e i dati di installazione, definire le seguenti directory nella directory radice dei documenti (/opt/apache/htdocs) su server_wan-1.
Directory Solaris Flash
server_wan-1# mkdir -p /opt/apache/htdocs/flash/ |
Directory della miniroot di boot WAN
server_wan-1# mkdir -p /opt/apache/htdocs/miniroot/ |
Directory del programma wanboot
server_wan-1# mkdir -p /opt/apache/htdocs/wanboot/ |
Usare il comando setup_install_server(1M) con l'opzione -w per copiare la miniroot di boot WAN e l'immagine del software di Solaris nella directory /export/install/Solaris_10 di server_wan-1.
Inserire i supporti del Solaris nell'unità collegata al server_wan-1. Digitare i seguenti comandi:
server_wan-1# mkdir -p /export/install/cdrom0 server_wan-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools server_wan-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Spostare la miniroot di boot WAN nella directory radice dei documenti (/opt/apache/htdocs/) del server di boot WAN.
server_wan-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Determinare se la OBP del client supporta il boot WAN digitando il seguente comando sul client.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
Nell'esempio precedente, il risultato network-boot-arguments: datanot available indica che la OBP del client supporta le installazioniboot WAN.
Per installare il programma wanboot sul server di boot WAN, copiare il programma dai supporti del Solaris alla directory radice dei documenti del server di boot WAN.
Inserire il DVD di Solaris o il CD Solaris Software - 1 nell'unità collegata a server_wan-1 e digitare i seguenti comandi.
server_wan-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ server_wan-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
Creare le sottodirectory di client_wan-1 della directory /etc/netboot sul server di boot WAN. Durante l'installazione, è da questa directory che i programmi di installazione boot WAN richiamano le informazioni di configurazione e sicurezza.
client_wan-1 si trova nella sottorete 192.168.198.0, e ha un ID client 010003BA152A42. Per creare la sottodirectory appropriata di /etc/netboot per client_wan-1, procedere come segue.
Creare la directory /etc/netboot.
Modificare le autorizzazioni della directory /etc/netboot su 700.
Modificare il proprietario della directory /etc/netboot in modo che corrisponda al proprietario del processo del server Web.
Assumere lo stesso ruolo dell'utente del server Web.
Creare una sottodirectory di /etc/netboot il cui nome corrisponda alla sottorete (192.168.198.0).
Creare una sottodirectory nella directory della sottorete utilizzando come nome l'ID del client.
Modificare le autorizzazioni delle sottodirectory di /etc/netboot su 700.
server_wan-1# cd / server_wan-1# mkdir /etc/netboot/ server_wan-1# chmod 700 /etc/netboot server_wan-1# chown nobody:admin /etc/netboot server_wan-1# exit server_wan-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Sui sistemi che eseguono la versione corrente di Solaris, il programma wanboot-cgi è ubicato nella directory /usr/lib/inet/wanboot/. Per abilitare il server di boot WAN alla trasmissione dei dati di installazione, copiare il programma wanboot-cgi nella directory cgi-bin all'interno della directory del server Web.
server_wan-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi server_wan-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
Nell'impostazione predefinita, i messaggi relativi al boot WAN vengono visualizzati sul sistema client. Questo comportamento permette di identificare e correggere rapidamente gli eventuali problemi di installazione.
Per visualizzare i messaggi di boot e installazione sul server di boot WAN, copiare lo script bootlog-cgi nella directory cgi-bin su server_wan-1.
server_wan-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ server_wan-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Per usare HTTPS nell'installazione boot WAN, è necessario abilitare il supporto di SSL nel server Web. Occorre inoltre installare un certificato digitale sul server di boot WAN. In questo esempio si presume che il server Web Apache su server_wan-1 sia già configurato per l'uso di SSL. In questo esempio si presume inoltre che un certificato digitale e un'autorità di certificazione che stabiliscono l'identità di server_wan-1 siano già installate su server_wan-1.
Per reperire esempi sulla configurazione del server Web per l'uso di SSL, vedere la documentazione del server Web.
Richiedendo al server di autenticarsi presso il client, si proteggono i dati trasmessi dal server al client tramite HTTPS. Per consentire l'autenticazione del server, occorre fornire un certificato digitale trusted al client, che permette a quest'ultimo di verificare l'identità del server durante l'installazione.
Per fornire il certificato trusted al client, assumere lo stesso ruolo dell'utente del server Web. Quindi, suddividere il certificato in modo da estrarre un certificato trusted. Quindi inserire il certificato nel file truststore del client, all'interno della struttura gerarchica /etc/netboot.
In questo esempio, l'utente assume il ruolo dell'utente del server Web (nobody). Quindi, suddivide il certificato PKCS#12 del server cert.p12 e inserisce il certificato trusted nella directory /etc/netboot di client_wan-1.
server_wan-1# su nobody Password: server_wan-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
A ulteriore protezione dei dati durante l'installazione, è auspicabile richiedere che anche client_wan-1 esegua la propria autenticazione presso server_wan-1. Per abilitare l'autenticazione del client nell'installazione boot WAN, inserire un certificato per il client e una chiave privata nella sottodirectory del client della struttura gerarchica /etc/netboot.
Per fornire una chiave privata e un certificato al client, procedere come segue.
Assumere lo stesso ruolo dell'utente del server Web.
Suddividere il file PKCS#12 in una chiave privata e un certificato client
Inserire il certificato nel file certstore del client
Inserire la chiave privata nel file keystore del client
In questo esempio, l'utente assume il ruolo dell'utente del server Web (nobody). Quindi, suddivide il certificato PKCS#12 cert.p12 del server. Il certificato va inserito nella struttura gerarchica /etc/netboot di client_wan-1, quindi si inserisce la chiave privata client_wan.key nel file keystore del client.
server_wan-1# su nobody Password: server_wan-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key server_wan-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
Per proteggere i dati trasmessi tra il server e il client, è possibile creare una chiave di hashing e una chiave di cifratura. Il server utilizza la chiave di hashing per proteggere l'integrità del programma wanboot, mentre la chiave di cifratura consente di cifrare i dati di configurazione e installazione. Il client utilizza a sua volta la chiave di hashing per controllare l'integrità del programma wanboot scaricato, mentre la chiave di cifratura consente di decifrare i dati durante l'installazione.
Per prima cosa, assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.
server_wan-1# su nobody Password: |
Quindi, usare il comando wanbootutil keygen per creare una chiave master HMAC SHA1 per server_wan-1.
server_wan-1# wanbootutil keygen -m |
Poi creare una chiave di hashing e una chiave di cifratura per client_wan-1.
server_wan-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 server_wan-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
Il comando precedente crea una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per client_wan-1. 192.168.198.0 specifica la sottorete di client_wan-1, mentre 010003BA152A42 specifica l'ID di client_wan-1.
In questo esempio, l'archivio Solaris Flash viene creato per clonazione dal sistema master di server_wan-1. L'archivio, denominato sol_10_sparc, viene copiato esattamente dal sistema master in modo da costituire un esatto duplicato del sistema master. L'archivio viene memorizzato in sol_10_sparc.flar. L'archivio va salvato nella sottodirectory flash/archives della directory radice dei documenti sul server di boot WAN.
server_wan-1# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Per preconfigurare il sistema client_wan-1, specificare le parole chiave e i valori nel file sysidcfg. Salvare quindi il file nella sottodirectory appropriata della directory radice dei documenti di server_wan-1.
Il seguente è un esempio di file sysidcfg per client_wan-1. Nome host, indirizzo IP e maschera di sottorete di questi sistemi sono stati preconfigurati modificando il servizio di denominazione. Questo file si trova nella directory /opt/apache/htdocs/flash/.
network_interface=primary {hostname=client_wan-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=CET system_locale=it terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192,168,254,254) domain_name=leti.esempio.it } security_policy=none
Per il sistema client_wan-1, creare un profilo denominato client_wan_1_prof. Il file client_wan_1_prof contiene le voci seguenti, che definiscono il software la versione corrente di Solaris da installare sul sistema client_wan-1:
# parole chiave valori # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/cdrom0.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
L'elenco seguente descrive alcune parole chiave e valori dell'esempio.
Il profilo installa un archivio Solaris Flash sul sistema clone. Tutti i file verranno sovrascritti, come in un'installazione iniziale.
L'archivio Solaris Flash compresso viene recuperato da server_wan-1.
Le slice dei file system sono determinate dalle parole chiave filesys, con valore explicit. Le dimensioni di root (/) si basano sulle dimensioni dell'archivio di Solaris Flash. La partizione di swap è impostata sulla dimensione necessaria e deve essere installata su c0t1d0s1. /export/home utilizza lo spazio su disco rimanente. /export/home è installata su c0t1d0s7.
I programmi di installazione JumpStart personalizzata usano il file rules per selezionare il profilo di installazione giusto per il sistema client_wan-1. Creare un file di testo denominato rules. Aggiungervi le parole chiave e i valori.
L'indirizzo IP di client_wan-1 è 192.168.198.210, la maschera di sottorete è 255.255.255.0. Usare la parola chiave network per specificare il profilo che il programma JumpStart personalizzato deve utilizzare per installare client_wan-1.
network 192.168.198.0 - client_wan_1_prof - |
Il file rules comunica ai programmi JumpStart di usare client_wan_1_prof per l'installazione di la versione corrente di Solaris su client_wan-1.
Denominare il file regole_client_wan.
Una volta creato il profilo e il file rules, eseguire lo script check per verificare che i file siano validi.
server_wan-1# ./check -r wanclient_rule |
Se lo script check non rileva errori, viene creato il file rules.ok.
Salvare il file rules.ok nella directory /opt/apache/htdocs/flash/.
Creare un file di configurazione del sistema che elenchi le posizioni del file sysidcfg e dei file dell'installazione JumpStart personalizzata sul server di installazione. Salvare il file in una directory accessibile al server di boot WAN.
Nell'esempio seguente, il programma wanboot-cgi ricerca il file sysidcfg e i file dell'installazione JumpStart personalizzata nella directory radice dei documenti del server di boot WAN. Il nome di dominio del server di boot WAN è https://www.esempio.it. Il server di boot WAN è configurato per l'uso di HTTPS, in modo che i dati e i file siano protetti durante l'installazione.
In questo esempio, il file di configurazione del sistema è sys-conf.s10–sparc ed è salvato nella struttura gerarchica /etc/netboot sul server di boot WAN. I file sysidcfg e di installazione JumpStart personalizzata sono ubicati nella sottodirectory flash della directory radice dei documenti.
SsysidCF=https://www.esempio.it/flash/ SjumpsCF=https://www.esempio.it/flash/
La procedura di boot WAN utilizza le informazioni di configurazione incluse nel file wanboot.conf per installare il sistema client. Creare il file wanboot.conf in un editor di testo. Salvare il file nella sottodirectory appropriata del client nella struttura gerarchica /etc/netboot sul server di boot WAN.
Il file wanboot.conf seguente per client_wan-1 include le informazioni di configurazione per un'installazione WAN con HTTPS. Questo file istruisce inoltre il boot WAN di usare una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per proteggere i dati.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.esempio.it/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
Il file wanboot.conf specifica la configurazione seguente:
Il nome del programma wanboot è wanboot.s10_sparc e si trova nella directory wanboot della directory radice dei documenti su server_wan-1.
La posizione del programma wanboot-cgi su server_wan-1 è https://www.esempio.it/cgi-bin/wanboot-cgi. La parte https dell'URL indica che questa installazione boot WAN usa HTTPS.
Il nome della miniroot di boot WAN è miniroot.s10_sparc. La miniroot si trova nella directory miniroot all'interno della directory radice dei documenti su server_wan-1.
Il programma wanboot e il file system di boot WAN sono “firmati” per mezzo di una chiave di hashing HMAC SHA1.
La cifratura del programma wanboot e del file system di boot WAN è eseguita con una chiave 3DES.
Il server è autenticato durante l'installazione.
Il client non è autenticato durante l'installazione.
Se sono state eseguite le operazioni descritte in (Opzionale) Uso della chiave privata e del certificato per l'autenticazione del client, impostare questo parametro come client_authentication=yes
Per eseguire l'installazione WAN non sono necessari altri nomi host. Tutti i nomi host richiesti dal programma wanboot-cgi sono specificati nel file wanboot.conf e nel certificato del client.
I messaggi di log dell'installazione e del boot vengono visualizzati sulla console del sistema. Se il server di log è stato configurato secondo quanto indicato nella sezione (Opzionale) Configurazione del server di boot WAN come server di log e si desidera che i messaggi di boot WAN compaiano anche sul server di boot WAN, impostare questo parametro su boot_logger=https://www.esempio.it/cgi-bin/bootlog-cgi.
Il file di configurazione del sistema che specifica le posizioni del file sysidcfg e dei file JumpStart si trova nel file sys-conf.s10–sparc nella struttura gerarchica /etc/netboot su server_wan-1.
In questo esempio, il file wanboot.conf viene salvato nella directory /etc/netboot/192.168.198.0/010003BA152A42 su server_wan-1.
Per eseguire il boot del client dalla WAN con boot net, l'alias di dispositivo net deve essere impostato sul dispositivo di rete principale del client. Al prompt ok del client, digitare il comando devalias per verificare che l'alias net sia impostato sul dispositivo principale della rete /pci@1f,0/pci@1,1/network@c,1.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Nell'esempio di output precedente, il dispositivo principale di rete /pci@1f,0/pci@1,1/network@c,1 è assegnato all'alias net. Non è necessario ripristinare l'alias.
Nella sezione Creazione di chiavi per il server e il client si è proceduto a creare la chiave di hashing e la chiave di cifratura per proteggere i dati durante l'installazione. Per abilitare il client alla decifrazione dei dati trasmessi da server_wan-1 durante l'installazione, installare queste chiavi su client_wan-1.
Visualizzare i valori delle chiavi su server_wan-1.
server_wan-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 server_wan-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
L'esempio precedente usa le seguenti informazioni:
Specifica l'indirizzo IP della sottorete del client
Specifica l'ID del client
Specifica il valore della chiave di hashing HMAC SHA1 del client
Specifica il valore della chiave di cifratura 3DES del client
Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzare il valore della chiave di cifratura.
Al prompt ok di client_wan-1, installare le chiavi.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
I comandi precedenti eseguono le seguenti operazioni:
Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 su client_wan-1
Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 su client_wan-1
Per eseguire un'installazione non presidiata, impostare le variabili degli argomenti del boot di rete per client_wan-1 al prompt ok, quindi eseguire il boot del client.
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=client_wan-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
Vengono definite le seguenti variabili:
L'indirizzo IP del client è impostato su 192.168.198.210.
L'indirizzo IP del router del client è impostato su 192.168.198.1
La maschera di sottorete del client è impostata su 255.255.255.0
Il nome host del client è impostato su client_wan-1
Il programma wanboot-cgi è situato in http://192.168.198.2/cgi-bin/wanboot-cgi
Il client viene installato nella WAN. Se il programma wanboot non individua tutte le informazioni di installazione necessarie, occorre intervenire con un prompt dalla riga di comando per fornire tutte le informazioni mancanti.
Questo capitolo descrive i comandi e i file per l'installazione WAN.
Le tabelle seguenti descrivono i comandi per eseguire l'installazione con boot da WAN.
Tabella 14–1 Preparazione dell'installazione boot WAN e dei file di configurazioneTabella 14–2 Preparazione dei file di sicurezza per il metodo boot WAN
La tabella seguente elenca i comandi OBP da digitare al prompt ok del client per eseguire l'installazione boot WAN.
Tabella 14–3 Comandi OBP per l'installazione boot WAN
Il file di configurazione del sistema permette di dirigere i programmi di installazione boot WAN verso i file seguenti.
sysidcfg
rules.ok
Profilo JumpStart personalizzato
Il file di configurazione del sistema è un file di testo e deve essere formattato nel modo seguente:
impostazione=valore
Il file system.conf deve contenere le seguenti impostazioni.
Questa impostazione punta alla directory del server di installazione che contiene il file sysidcfg. Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.
Questa impostazione punta alla directory JumpStart personalizzata che contiene i file rules.ok e del profilo. Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.
Si può memorizzare il file system.conf in qualsiasi directory accessibile al server di boot WAN.
Il file wanboot.conf è un file di testo di configurazione utilizzato dai programmi di boot per eseguire l'installazione WAN. I seguenti programmi e file utilizzano le informazioni incluse nel file wanboot.conf per installare il sistema client.
Programma wanboot-cgi
File system di boot WAN
Miniroot di boot WAN
Salvare il file wanboot.conf nella sottodirectory client appropriata, nella gerarchia /etc/netboot sul server di boot WAN. Per informazioni su come definire l'installazione boot WAN con la gerarchia /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.
Per specificare le informazioni nel file wanboot.conf, elencare i parametri con i valori associati nel formato seguente.
parametro=valore
Le voci dei parametri non possono occupare più righe. Per includere commenti nel file, occorre farli precedere dal carattere #.
Per informazioni in dettaglio sul file wanboot.conf, vedere la pagina man wanboot.conf(4).
Nel file wanboot.conf occorre impostare i parametri seguenti.
Questo parametro specifica il percorso del programma wanboot. Il valore è un percorso relativo alla directory radice dei documenti sul server di boot WAN.
boot_file=/wanboot/wanboot.s10_sparc
Questo parametro specifica l'URL del programma wanboot-cgi sul server di boot WAN.
Utilizzare un URL HTTP se si esegue l'installazione boot WAN senza autenticazione di client o server.
root_server=http://www.esempio.it/cgi-bin/wanboot-cgi
Utilizzare un URL HTTPS se si esegue l'installazione boot WAN con autenticazione del server o autenticazione di server e client.
root_server=https://www.esempio.it/cgi-bin/wanboot-cgi
Questo parametro specifica il percorso della miniroot del boot WAN sul server di boot WAN. Il valore è un percorso relativo alla directory radice dei documenti sul server di boot WAN.
root_file=/miniroot/miniroot.s10_sparc
Questo parametro specifica il tipo di chiave di hashing da utilizzare per controllare l'integrità dei dati e dei file trasmessi.
Questo parametro specifica il tipo di cifratura da usare per cifrare il programma wanboot e il file system di boot WAN.
Per le installazioni di boot WAN che usano HTTPS, impostare questo valore su 3des o aes in modo da farlo corrispondere ai formati delle chiavi utilizzate. Occorre inoltre impostare il valore della parola chiave signature_type su sha1.
encryption_type=3des
oppure
encryption_type=aes
Per le installazioni di boot WAN non sicure che non usano una chiave di cifratura, lasciare questo valore in bianco.
encryption_type=
Questo parametro specifica se il server deve essere autenticato durante l'installazione boot WAN.
Per le installazioni di boot WAN con autenticazione del server o autenticazione di server e client, impostare questo valore su yes. Occorre inoltre impostare il valore di signature_type su sha1, encryption_type su 3des o aes e l'URL di root_server su un valore HTTPS.
server_authentication=yes
Per le installazioni di boot WAN che non usano l'autenticazione del server o l'autenticazione di server e client, impostare questo valore su no. Il valore può anche essere lasciato in bianco.
server_authentication=no
Questo parametro specifica se il client deve essere autenticato durante l'installazione boot WAN.
Per le installazioni di boot WAN con autenticazione di server e client, impostare questo valore su yes. Occorre inoltre impostare il valore di signature_type su sha1, encryption_type su 3des o aes e l'URL di root_server su un valore HTTPS.
client_authentication=yes
Per le installazioni di boot WAN che non usano l'autenticazione dei client, impostare questo valore su no. Il valore può anche essere lasciato in bianco.
client_authentication=no
Questo parametro specifica gli host addizionali da risolvere per il programma wanboot-cgi durante l'installazione.
Impostare il valore sui nomi host dei sistemi non specificati in precedenza nel file wanboot.conf o in un certificato del client.
Se tutti gli host richiesti sono elencati nel file wanboot.conf o nel certificato del client, lasciare questo valore in bianco.
resolve_hosts=
Se gli host specifici non sono elencati nel file wanboot.conf o nel certificato del client, impostare il valore su questi nomi host.
resolve_hosts=orione,argomenti
Questo parametro specifica l'URL nello script bootlog-cgi sul server di log.
Per registrare i messaggi dei log di installazione o di boot su un server di log dedicato, impostare il valore sull'URL dello script bootlog-cgi sul server di log.
boot_logger=http://www.esempio.it/cgi-bin/bootlog-cgi
Per visualizzare i messaggi di boot e installazione sulla console del client, lasciare questo valore in bianco.
boot_logger=
Questo parametro specifica il percorso del file di configurazione del sistema che include la posizione dei file sysidcfg e dell'installazione JumpStart personalizzata.
Impostare il valore sul percorso dei file sysidcfg e dell'installazione JumpStart personalizzata sul server web.
system_conf=sys.conf