Guide d'installation de Solaris 10 5/08 : installations réseau

Chapitre 14 Initialisation via une connexion WAN – Référence

Ce chapitre décrit brièvement les commandes et fichiers à utiliser dans le cadre d'une installation via connexion WAN.

Commandes d'installation et initialisation via une connexion WAN

Les tableaux suivants présentent les commandes à utiliser pour effectuer ce type d'installation.

Tableau 14–1 Préparation des fichiers d'installation et initialisation via connexion WAN et de configuration

Tâche et description 

Commande 

Copiez l'image de l'installation Solaris dans install-dir-path et copiez la miniracine de l'initialisation via une connexion WAN dans wan-dir-path sur le disque local du serveur d'installation.

setup_install_server –w chemin_rép_WAN chemin_rép_install

Création d'une archive Solaris Flash nommée name.flar .

  • nom est le nom de l'archive.

  • paramètres_optionnels sont des paramètres optionnels vous permettant de personnaliser l'archive.

  • document_racine est le chemin d'accès au répertoire document racine du serveur d'installation.

  • nom_fichier est le nom de l'archive.

flarcreate – n nom [ paramètres_optionnels] document_racine/flash/ nom_fichier

Vérifier la validité du fichier rules de JumpStart appelé règles.

./check -r règles

Vérifier la validité du fichier wanboot.conf.

  • ip_réseau est l'adresse IP du sous-réseau du client.

  • ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

bootconfchk /etc/netboot/ip_réseau/ID_client/wanboot.conf

Vérifiez si l'OBP client prend en charge l'installation et initialisation via connexion WAN.

eeprom | grep network-boot-arguments

Tableau 14–2 Préparation des fichiers de sécurité de l'initialisation via connexion WAN

Tâche et description 

Commande 

Créer une clé HMAC SHA1 maîtresse pour le serveur d'installation et initialisation via une connexion WAN. 

wanbootutil keygen -m

Créer une clé de hachage calculé HMAC SHA1 pour le client. 

  • ip_réseau est l'adresse IP du sous-réseau du client.

  • ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

wanbootutil keygen -c -o net=ip_réseau,cid=ID_client,type=sha1

Créer une clé de chiffrement pour le client. 

  • ip_réseau est l'adresse IP du sous-réseau du client.

  • ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

  • type_clé est soit 3des soit aes.

wanbootutil keygen -c -o net=ip_réseau,cid=ID_client,type=type_clé

Diviser un fichier certificat PKCS#12 et insérer le certificat dans le fichier truststore du client.

  • p12cert est le nom du fichier certificat PKCS#12.

  • ip_réseau est l'adresse IP du sous-réseau du client.

  • ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

wanbootutil p12split -i p12cert -t /etc/netboot/ip_réseau/ID_client/truststore

Diviser un fichier certificat PKCS#12 et insérer le certificat client dans le fichier certstore du client.

  • p12cert est le nom du fichier certificat PKCS#12.

  • ip_réseau est l'adresse IP du sous-réseau du client.

  • ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

  • fichier_clé est le nom de la clé privée du client.

wanbootutil p12split -i p12cert -c /etc/netboot/ip_réseau/ID_client/certstore -k fichier_clé

Insérer la clé privée client à partir d'un fichier PKCS#12 dans le fichier keystore du client.

  • fichier_clé est le nom de la clé privée du client.

  • ip_réseau est l'adresse IP du sous-réseau du client.

  • ID_client peut être un ID défini par l'utilisateur ou un ID client du serveur DHCP.

wanbootutil keymgmt -i -k fichier_clé -s /etc/netboot/ip_réseau/ID_client/keystore -o type=rsa

Afficher la valeur d'une clé de hachage calculé HMAC SHA1. 

  • ip_réseau est l'adresse IP du sous-réseau du client.

  • ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

wanbootutil keygen -d -c -o net=ip_réseau,cid= ID_client,type=sha1

Afficher la valeur d'une clé de chiffrement. 

  • ip_réseau est l'adresse IP du sous-réseau du client.

  • ID_client peut être un ID défini par l'utilisateur ou l'ID client du serveur DHCP.

  • type_clé est soit 3des soit aes.

wanbootutil keygen -d -c -o net=ip_réseau,cid= ID_client,type=type_clé

Insérer une clé de hachage ou une clé de chiffrement dans un système en cours de fonctionnement. type_clé peut avoir une valeur de sha1, 3des ou aes.

/usr/lib/inet/wanboot/ickey -o type=type_clé

Commandes OBP

Le tableau ci-dessous répertorie les commandes OBP que vous saisissez à l'invite ok du client pour effectuer une installation et initialisation via une connexion WAN.

Tableau 14–3 Commandes OBP pour une installation et initialisation via connexion WAN

Tâche et description 

Commande OBP 

Débuter une installation et initialisation via une connexion WAN sans surveillance. 

boot net – install

Débuter une installation et initialisation via connexion WAN interactive. 

boot net –o prompt - install

Débuter une installation et initialisation via connexion WAN à partir d'un CD local. 

boot cdrom –F wanboot - install

Installer une clé de hachage avant de commencer l'installation et initialisation via une connexion WAN.valeur_clé est la valeur hexadécimale de la clé de hachage.

set-security-key wanboot-hmac-sha1 valeur_clé

Installer une clé de chiffrement avant de commencer l'installation et initialisation via une connexion WAN.

  • type_clé est soit wanboot-3des soit wanboot-aes.

  • valeur_clé est la valeur hexadécimale de la clé de chiffrement.

set-security-key type_clé valeur_clé

Vérifier que les valeurs des clés sont définies dans l'OBP.

list-security-keys

Définir les variables de la configuration client avant de commencer votre installation et initialisation via connexion WAN.

  • IP_client est l'adresse IP du client.

  • ip_routeur est l'adresse IP du routeur réseau.

  • valeur_masque est la valeur du masque de sous-réseau.

  • nom_client est le nom d'hôte du client.

  • ip_proxy est l'adresse IP du serveur proxy du réseau.

  • chemin_wanbootCGI est le chemin d'accès aux programmes wanbootCGI du serveur Web.

setenv network-boot-arguments host-ip= IP_client,router-ip=ip_routeur,subnet-mask= valeur_masque,hostname=nom_client ,http-proxy=ip_proxy,file= chemin_wanbootCGI

Vérifier l'alias de périphérique réseau.

devalias

Définir l'alias de périphérique réseau, chemin_périph correspondant au chemin d'accès au périphérique réseau primaire.

  • Pour définir l'alias pour l'installation en cours uniquement, entrez devalias net chemin_périph.

  • Pour définir l'alias de manière permanente, entrez nvvalias net chemin_périph.

Paramétrages et syntaxe du fichier de configuration système

Le fichier de configuration système vous permet de diriger les programmes d'installation et initialisation via une connexion WAN vers les fichiers suivants :

Le fichier de configuration système est un fichier de texte en clair et doit être formaté selon le schéma suivant :

réglage=valeur

Le fichier system.conf doit contenir les paramètres suivants :

SsysidCF=URL_fichier_sysidcfg

Ce paramètre pointe vers le répertoire du serveur qui contient le fichier sysidcfg. Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez la valeur sur un URL HTTPS valide.

SjumpsCF=URL_fichiers_jumpstart

Ce réglage pointe vers le répertoire JumpStart personnalisé contenant les fichiers rules.ok et profil. Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez la valeur sur un URL HTTPS valide.

Vous pouvez stocker le fichier system.conf dans n'importe quel répertoire accessible au serveur d'initialisation via connexion WAN.

Paramètres et syntaxe du fichier wanboot.conf

Le fichier wanboot.conf est un fichier de configuration de texte en clair que les programmes d'installation et initialisation via connexion WAN utilisent pour effectuer une installation via connexion WAN. Les fichiers et programmes suivants utilisent les informations contenues dans ce fichier pour installer la machine client :

Enregistrez le fichier wanboot.conf dans le sous-répertoire client approprié de la hiérarchie /etc/netboot du serveur d'initialisation via connexion WAN. Pour plus d'informations sur la définition de l'étendue de l'installation et initialisation via une connexion WAN au niveau de la hiérarchie /etc/netboot, reportez-vous à la section Création de la hiérarchie /etc/netboot sur le serveur d'initialisation via une connexion WAN.

Pour spécifier des informations dans le fichier wanboot.conf, vous devez dresser une liste des paramètres avec leur valeur associée au format suivant :

paramètre=valeur

Les entrées de paramètres ne peuvent pas s'étendre sur plusieurs lignes. Vous pouvez inclure des commentaires dans le fichier en les faisant précéder du caractère #.

Pour de plus amples informations sur le fichier wanboot.conf, reportez-vous à la page de manuel wanboot.conf(4).

Vous devez définir les paramètres ci-après dans le fichier wanboot.conf.

boot_file=chemin_wanboot

Ce paramètre spécifie le chemin d'accès au programme wanboot. La valeur correspond au chemin d'accès relatif au répertoire document racine sur le serveur d'initialisation via connexion WAN.

boot_file=/wanboot/wanboot.s10_sparc
root_server=URL_wanbootCGI /wanboot-cgi

Ce paramètre spécifie l'URL du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN.

  • Utilisez un URL HTTP si vous réalisez une installation et initialisation via connexion WAN sans authentification client ou serveur.

    root_server=http://www.example.com/cgi-bin/wanboot-cgi
  • Utilisez un URL HTTPS si vous procédez à une installation et initialisation via une connexion WAN par le biais d'une authentification serveur, ou d'une authentification serveur et client.

    root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=chemin_miniracine

Ce paramètre spécifie le chemin d'accès à la miniracine de l'initialisation via une connexion WAN sur le serveur correspondant. La valeur correspond au chemin d'accès relatif au répertoire document racine sur le serveur d'initialisation via connexion WAN.

root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1 | vide

Ce paramètre spécifie le type de clé de hachage à utiliser pour vérifier l'intégrité des fichiers et des données transmis.

  • Pour une installation et initialisation via connexion WAN utilisant une clé de hachage pour protéger le programme wanboot, définissez cette valeur sur sha1.

    signature_type=sha1
  • Pour une installation et initialisation via une connexion WAN non sécurisée, n'utilisez pas de clé de hachage et laissez cette valeur vide.

    signature_type=
encryption_type=3des | aes | vide

Ce paramètre spécifie le type de chiffrement à utiliser pour chiffrer le programme wanboot et le système de fichiers d'initialisation via connexion WAN.

  • Pour une installation et initialisation via connexion WAN utilisant l'HTTPS, définissez cette valeur sur 3des ou aes pour qu'elle corresponde au format de clé que vous utilisez. Vous devez aussi définir la valeur du mot-clé signature_type sur sha1.

    encryption_type=3des

    ou

    encryption_type=aes
  • Pour une installation et initialisation via une connexion WAN non sécurisée, n'utilisez pas de clé de chiffrement et laissez cette valeur vide.

    encryption_type=
server_authentication=yes | no

Ce paramètre indique si le serveur doit être authentifié au cours de l'installation et initialisation via connexion WAN.

  • Pour une installation et initialisation via une connexion WAN avec authentification serveur ou authentification serveur et client, définissez cette valeur sur yes. Vous devez définir la valeur de signature_type pour sha1, encryption_type pour 3des ou aes, et l'URL de root_server pour une valeur HTTPS.

    server_authentication=yes
  • Pour une installation et initialisation via une connexion WAN non sécurisée sans authentification serveur ou authentification serveur et client, définissez cette valeur à no. Vous pouvez aussi laisser la valeur vide.

    server_authentication=no
client_authentication=yes | no

Ce paramètre indique si le client doit être authentifié au cours de l'installation et initialisation via connexion WAN.

  • Pour une installation et initialisation via connexion WAN avec authentification serveur et client, définissez cette valeur sur yes. Vous devez également définir la valeur de signature_type pour sha1, encryption_type pour 3des ou aes, et l'URL de root_server pour une valeur HTTPS.

    client_authentication=yes
  • Pour une installation et initialisation via une connexion WAN sans authentification client, définissez cette valeur sur no. Vous pouvez aussi laisser la valeur vide.

    client_authentication=no
resolve_hosts=nom_hôte | vide

Ce paramètre spécifie les hôtes supplémentaires devant être résolus pour le programme wanboot-cgi au cours de l'installation.

Définissez cette valeur sur des noms d'hôtes de systèmes n'ayant pas déjà été spécifiés dans le fichier wanboot.conf ou dans un certificat client.

  • Si tous les hôtes requis figurent dans le fichier wanboot.conf ou le certificat client, laissez cette valeur vide.

    resolve_hosts=
  • Si des hôtes spécifiques ne figurent pas dans le fichier wanboot.conf ou le certificat client, définissez la valeur sur ces noms d'hôte.

    resolve_hosts=seahag,matters
boot_logger=chemin_bootlog-cgi | vide

Ce paramètre spécifie l'URL du script bootlog-cgi sur le serveur de journalisation.

  • Pour enregistrer les messages d'initialisation ou d'installation sur un serveur de journalisation dédié, définissez la valeur de l'URL du script bootlog-cgi sur le serveur de journalisation.

    boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
  • Pour afficher les messages d'installation et d'initialisation sur la console du client, laissez cette valeur vide.

    boot_logger=
system_conf=system.conf | conf_sys_personnalisée

Ce paramètre spécifie le chemin d'accès au fichier de configuration système incluant l'emplacement de sysidcfg et des fichiers JumpStart personnalisés.

La valeur du chemin d'accès aux fichiers sysidcfg et JumpStart personnalisés doit être définie sur le serveur Web.

system_conf=sys.conf