Parte III Installazione in una rete geografica

Questa parte del manuale descrive l'uso del metodo di installazione boot WAN per installare un sistema in una rete geografica (WAN).

Capitolo 10 boot WAN (panoramica)

Questo capitolo fornisce informazioni generali sul metodo di installazione boot WAN. Gli argomenti trattati sono i seguenti.

• Cos'è boot WAN?

• Quando utilizzare boot WAN

• Modalità operative del metodo boot WAN (panoramica)

• Configurazioni di sicurezza supportate dal metodo boot WAN (panoramica)

Cos'è boot WAN?

Il metodo di installazione boot WAN permette di avviare e installare il software su una rete geografica o WAN (Wide Area Network) utilizzando HTTP. Con il metodo boot WAN è possibile installare il sistema operativo Solaris sui sistemi SPARC tramite grandi reti pubbliche in cui l'infrastruttura di rete potrebbe non essere affidabile. Per questo motivo è possibile avvalersi di funzioni di sicurezza specifiche per proteggere la riservatezza dei dati e l'integrità dell'immagine di installazione.

Il metodo di installazione boot WAN consente di trasmettere un archivio Solaris Flash codificato a un client remoto basato su processore SPARC tramite una rete pubblica. Il boot WAN programma e quindi installa il sistema client eseguendo un'installazione JumpStart personalizzata. Per proteggere l'integrità dell'installazione è possibile usare una chiave privata per autenticare e cifrare i dati. È anche possibile trasmettere i dati e i file di installazione usando una connessione HTTP sicura configurando l'utilizzo dei certificati digitali sui sistemi interessati.

Per eseguire un'installazione boot WAN, occorre installare un sistema SPARC scaricando le seguenti informazioni da un server Web con un collegamento HTTP o HTTPS.

• Programma wanboot – Il programma wanboot è il programma di secondo livello che carica la miniroot di boot WAN, i file di configurazione dei client e i file di installazione. Il programma wanboot esegue attività simili a quelle eseguite dai programmi di boot di secondo livello ufsboot o inetboot.

• File system di boot WAN – Il metodo boot WAN utilizza diversi file per configurare i client e richiamare i dati per installare i sistemi client. Questi file sono ubicati nella directory /etc/netboot del server Web. Il programma wanboot-cgi trasmette i file al client sotto forma di file system, denominato file system di boot WAN.

• Miniroot di boot WAN – La miniroot di boot WAN è una versione della miniroot di Solaris modificata per eseguire un'installazione boot WAN. La miniroot di boot WAN, come la miniroot di Solaris, contiene un kernel e il software sufficiente a installare l'ambiente Solaris. che contiene un sottogruppo del software della miniroot di Solaris.

• File di configurazione per l'installazione JumpStart personalizzata – Per installare il sistema, il boot WAN trasmette i file sysidcfg, rules.ok e di profilo al client. Il boot WAN utilizza questi file per eseguire un'installazione JumpStart personalizzata sul sistema client.

• Archivio Solaris Flash – Un archivio Solaris Flash è una raccolta di file che vengono copiati da un sistema master. L'archivio può essere utilizzato in seguito per installare un sistema client. Il boot WAN usa il metodo di installazione JumpStart personalizzata per installare un archivio Solaris Flash sul sistema client. Dopo l'installazione dell'archivio sul sistema client, il sistema contiene l'esatta configurazione del sistema master.

  ---

  Nota –

  Il comando flarcreate non ha più limitazioni relative alla dimensione massima dei singoli file. È possibile creare un archivio Solaris Flash che contenga file di dimensioni superiori a 4 Gbyte.

  Per maggiori informazioni, vedere Creazione di un archivio che contiene file di grandi dimensioni in Guida all’installazione di Solaris 10 10/08: archivi Solaris Flash (creazione e installazione).

  ---

Quindi si procede all'installazione dell'archivio sul client utilizzando il metodo di installazione JumpStart personalizzata.

Si può proteggere il trasferimento delle informazioni elencate in precedenza utilizzando le chiavi e i certificati digitali.

Per una descrizione in maggiore dettaglio della sequenza di eventi nell'installazione boot WAN, vedere la sezione Modalità operative del metodo boot WAN (panoramica).

Quando utilizzare boot WAN

Il metodo di installazione boot WAN permette di installare i sistemi SPARC situati in aree remote dal punto di vista geografico. Il metodo boot WAN è utile per l'installazione di server o client remoti accessibili solo tramite una rete pubblica.

Per installare i sistemi situati nella rete locale LAN (Local Area Network), il metodo di installazione boot WAN può richiedere una quantità maggiore di operazioni di configurazione e amministrazione di quanto necessario. Per maggiori informazioni su come installare i sistemi in rete, vedere il Capitolo 4Installazione dalla rete (panoramica).

Modalità operative del metodo boot WAN (panoramica)

L'installazione con boot da WAN si avvale di una serie di server, file di configurazione, programmi CGI (Common Gateway Interface) e file di installazione per installare un client SPARC remoto. Questa sezione descrive la sequenza generale di eventi di un'installazione boot WAN.

Sequenza di eventi in un'installazione boot WAN

La Figura 10–1 mostra la sequenza di base degli eventi in un'installazione boot WAN. In questa figura, un client SPARC richiama i dati di configurazione e i file di installazione da un server Web e da un server di installazione su una WAN.

Figura 10–1 Sequenza di eventi in un'installazione boot WAN

1. Per avviare il client, procedere in uno dei modi seguenti:

   • Avviare il sistema dalla rete impostando le variabili dell'interfaccia di rete nell'OBP (Open Boot PROM).

   • Avviare il sistema dalla rete con l'opzione DHCP.

   • Avviare il sistema da un CD-ROM locale.

2. Il client OBP ricava le informazioni di configurazione da una delle seguenti fonti:

   • Dai valori degli argomenti di boot digitati dall'utente dalla riga di comando

   • Dal server DHCP, se la rete utilizza questo protocollo

3. L'OBP del client richiede il programma di boot di secondo livello per il boot WAN (wanboot).

   L'OBP del client scarica il programma wanboot dalle seguenti fonti:

   • Da un server Web speciale, denominato server di boot WAN, usando il protocollo HTTP (Hyper Text Transfer Protocol)

   • Da un CD-ROM locale (non riportato in figura)

4. Il programma wanboot richiede le informazioni di configurazione del client dal server di boot WAN.

5. Il programma wanboot scarica i file di configurazione trasmessi dal programma wanboot-cgi dal server di boot WAN. I file di configurazione sono trasmessi al client come file system di boot WAN.

6. Il comando wanboot richiede il download della miniroot di boot WAN dal server di boot WAN.

7. Il programma wanboot scarica la miniroot di boot WAN dal server di boot WAN utilizzando HTTP o HTTPS.

8. Il programma wanboot carica ed esegue il kernel UNIX dalla miniroot di boot WAN.

9. Il kernel UNIX individua e attiva il file system di boot WAN utilizzato dal programma di installazione di Solaris.

10. Il programma di installazione richiede il download di un archivio Solaris Flash e i file dell'installazione JumpStart personalizzata da un server di installazione.

    Il programma di installazione scarica l'archivio e i file dell'installazione JumpStart personalizzata con un collegamento HTTP o HTTPS.

11. Il programma di installazione esegue un'installazione JumpStart personalizzata per installare l'archivio Solaris Flash sul client.

Protezione dei dati durante un'installazione boot WAN

Il metodo di installazione boot WAN permette di usare chiavi di hashing, chiavi di cifratura e certificati digitali per proteggere i dati del sistema durante l'installazione. Questa sezione descrive i diversi metodi di protezione dei dati supportati dal metodo di installazione boot WAN.

Controllo dell'integrità dei dati con una chiave di hashing

Per proteggere i dati trasmessi dal server di boot WAN al client, è possibile generare una chiave HMAC (Hashed Message Authentication Code). Questa chiave di hashing viene installata sia sul server di boot WAN che sul client. Il server di boot WAN la utilizza per “firmare” i dati da trasmettere al client, che, a sua volta, la usa per verificare l'integrità dei dati trasmessi dal server di boot WAN. Una volta installata la chiave di hashing su un client, quest'ultimo la utilizza per le future installazioni con il metodo boot WAN.

Per istruzioni sull'uso di una chiave di hashing, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.

Dati crittografati con le chiavi di cifratura

Il metodo di installazione boot WAN consente la cifratura dei dati trasmessi dal server di boot WAN al client. Le utility di boot WAN permettono di creare una chiave di cifratura 3DES (Triple Data Encryption Standard) o AES (Advanced Encryption Standard). La chiave potrà in seguito essere fornita al server boot WAN e al client. Il metodo boot WAN si avvale della chiave di cifratura per crittografare i dati inviati dal server boot WAN al client. Il client può quindi utilizzare tale chiave per la cifratura o la decifrazione dei file di configurazione e dei file di sicurezza trasmessi durante l'installazione.

Una volta installata la chiave di cifratura sul client, quest'ultimo la utilizza per le future installazioni boot WAN.

Il sito potrebbe non consentire l'uso delle chiavi di cifratura. Per determinare se il sito ammette la cifratura, consultare l'amministratore della sicurezza del sito. Se il sito consente la cifratura, richiedere all'amministratore il tipo di chiave di cifratura da utilizzare, 3DES o AES.

Per istruzioni sull'uso delle chiavi di cifratura, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.

Protezione dei dati con HTTPS

Il boot WAN supporta l'uso di HTTP su Secure Sockets Layer (HTTPS) per il trasferimento dei dati tra il server boot WAN e il client. Usando HTTPS, è possibile richiedere al server, o al server e al client, di autenticarsi durante l'installazione. HTTPS esegue inoltre la cifratura dei dati trasferiti dal server al client durante l'installazione.

HTTPS usa i certificati digitali per autenticare i sistemi che eseguono scambi di dati in rete. Un certificato digitale è un file che identifica un sistema, sia esso server o client, come sistema "fidato" durante la comunicazione online. È possibile richiedere i certificati digitali presso un'autorità esterna di certificazione oppure crearne di propri internamente.

Per far sì che il client ritenga fidato il server e accetti i dati da tale provenienza, occorre installare un certificato digitale sul server. In seguito si comunicherà al client di ritenere fidato tale certificato. Si può anche richiedere al client di autenticarsi presso i server fornendo un certificato digitale al client, quindi si istruirà il server di accettare il firmatario del certificato quando il client presenterà il certificato durante l'installazione.

Per usare i certificati digitali durante l'installazione, è necessario configurare il server Web per l'uso di HTTPS. Per informazioni sull'uso di HTTPS, consultare la documentazione del server Web.

Per informazioni sui requisiti per l'uso dei certificati digitali durante l'installazione boot WAN, vedere Requisiti dei certificati digitali. Per istruzioni su come usare i certificati digitali nella propria installazione boot WAN, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.

Configurazioni di sicurezza supportate dal metodo boot WAN (panoramica)

Il metodo di installazione boot WAN supporta diversi livelli di sicurezza. È possibile usare una combinazione delle funzioni di sicurezza supportate dal metodo boot WAN per adattarle all'esigenze della rete in uso. Le configurazioni più sicure hanno maggiori esigenze di amministrazione ma proteggono anche in modo più efficace il sistema. Per i sistemi più critici o per quelli che vengono installati usando una rete pubblica, è possibile scegliere la configurazione indicata in Configurazione sicura per l'installazione boot WAN. Per i sistemi di importanza minore, o i sistemi in reti semi-private, si può optare per la configurazione descritta in Configurazione non sicura per l'installazione boot WAN.

Questa sezione descrive le diverse configurazioni utilizzabili per impostare il livello di sicurezza per l'installazione boot WAN. Vengono presentati inoltre i meccanismi di sicurezza richiesti da tali configurazioni.

Configurazione sicura per l'installazione boot WAN

Questa configurazione protegge l'integrità dei dati scambiati tra server e client e contribuisce a tutelare la riservatezza dei contenuti degli scambi. Questa configurazione usa un collegamento HTTPS e l'algoritmo 3DES o AES per la cifratura dei file di configurazione dei client. Questa configurazione richiede anche che il server esegua la propria autenticazione presso il client durante l'installazione. Un'installazione di boot da WAN sicura richiede le seguenti funzioni di sicurezza:

• HTTPS attivato sul server boot WAN e sul server di installazione

• Chiave di hashing HMAC SHA1 sul server di boot WAN e sul client

• Chiave di cifratura 3DES o AES per il server di boot WAN e il client

• Certificato digitale di un'autorità di certificazione per il server boot WAN

Qualora sia inoltre richiesta l'autenticazione del client durante l'installazione, occorre usare anche le seguenti funzioni di sicurezza:

• Chiave privata per il server di boot WAN

• Certificato digitale per il client

Per un elenco delle attività richieste per l'installazione con questa configurazione, vedere la Tabella 12–1.

Configurazione non sicura per l'installazione boot WAN

Questa configurazione di sicurezza richiede attività minime di amministrazione, ma fornisce il livello minore di sicurezza per il trasferimento dei dati dal server Web al client, Non è necessario creare una chiave di hashing, una chiave di cifratura o certificati digitali. Non è necessario configurare il server Web per l'uso di HTTPS. Tuttavia, questa configurazione trasferisce i dati e i file di installazione su un collegamento HTTP, che lascia l'installazione vulnerabile all'intercettazione in rete.

Per fare in modo che il client controlli l'integrità dei dati trasmessi, è possibile utilizzare questa configurazione assieme a una chiave di hashing HMAC SHA1. Tuttavia, l'archivio Solaris Flash non è protetto dalla chiave di hashing. L'archivio viene trasferito in modo non sicuro tra il server e il client durante l'installazione.

Per un elenco delle attività richieste per l'installazione con questa configurazione, vedere la Tabella 12–2.

Capitolo 11 Preparazione all'installazione con il metodo boot WAN (procedure)

Questo capitolo descrive come preparare la rete per l'installazione con il metodo boot WAN. Gli argomenti trattati sono i seguenti.

• Requisiti e linee guida di boot WAN

• Limitazioni alla sicurezza di boot WAN

• Raccolta delle informazioni per le installazioni boot WAN

Requisiti e linee guida di boot WAN

Questa sezione descrive i requisiti di sistema per eseguire un'installazione boot WAN.

Requisiti e linee guida del server Web

Il server Web utilizzato sul server di boot WAN e sul server di installazione deve soddisfare i seguenti requisiti:

• Requisiti del sistema operativo – Il metodo boot WAN fornisce un programma CGI (Common Gateway Interface) (wanboot-cgi) che converte dati e file in un formato specifico previsto dal sistema client. Per eseguire un'installazione boot WAN con questi script, il server Web deve essere eseguito sul sistema operativo Solaris 9 12/03 o su una versione compatibile.

• Limiti delle dimensioni dei file – Il server Web può limitare le dimensioni dei file che è possibile trasmettere su HTTP. Controllare la documentazione del server Web per assicurarsi che il software sia in grado di trasmettere file delle dimensioni di un archivio Solaris Flash.

  ---

  Nota –

  Il comando flarcreate non ha più limitazioni relative alla dimensione massima dei singoli file. È possibile creare un archivio Solaris Flash che contenga file di dimensioni superiori a 4 Gbyte.

  Per maggiori informazioni, vedere Creazione di un archivio che contiene file di grandi dimensioni in Guida all’installazione di Solaris 10 10/08: archivi Solaris Flash (creazione e installazione).

  ---

• Supporto SSL – Per usare HTTPS nell'installazione boot WAN, il server Web deve supportare SSL versione 3.

Opzioni di configurazione del server

La configurazione dei server richiesti dal boot WAN è impostabile in base alle singole esigenze della rete. Tutti i server possono essere ospitati su un unico sistema oppure distribuiti su più sistemi.

• Server singolo – Se si desidera centralizzare i dati e i file di boot WAN su un unico sistema, occorre ospitare tutti i server sulla stessa macchina. In questo caso, è possibile amministrare tutti i server da un unico sistema e si deve configurare un solo sistema come server Web. Tuttavia, un singolo server potrebbe non essere in grado di supportare il volume di traffico richiesto per un alto numero di installazioni boot WAN simultanee.

• Server multipli – Se si intende distribuire i dati e i file di installazione in rete, è possibile ospitare i server su più macchine. In questo caso, si può impostare un server di boot WAN centrale e configurare più server di installazione per ospitare gli archivi Solaris Flash in rete. Qualora si allochino il server di installazione e il server di log su macchine indipendenti, occorre configurarli come server Web.

Memorizzazione dei file di installazione e configurazione nella directory radice dei documenti

Il programma wanboot-cgi trasmette i seguenti file durante l'installazione boot WAN.

• Programma wanboot

• Miniroot di boot WAN

• File dell'installazione JumpStart personalizzata

• Archivio Solaris Flash

Per abilitare il programma wanboot-cgi alla trasmissione di questi file, è necessario memorizzarli in una directory accessibile al server Web. Un sistema per rendere accessibili questi file è di collocarli nella directory radice dei documenti del server Web.

La directory radice dei documenti, o directory principale dei documenti, è la posizione del server Web in cui memorizzare i file da rendere disponibili ai client. Il server Web permette di assegnare un nome alla directory e di configurarla. Per maggiori informazioni sull'impostazione della directory radice dei documenti sul server Web, consultare la relativa documentazione.

All'interno di questa directory si possono creare diverse sottodirectory in cui memorizzare i vari file di installazione e configurazione. Ad esempio, è possibile creare sottodirectory specifiche per ogni gruppo di client da installare. Se si prevede di installare in rete diverse versioni di Solaris, occorre creare delle sottodirectory per ciascuna versione.

La Figura 11–1 illustra un esempio di struttura di base di questo tipo di directory. Nell'esempio, il server di boot WAN e il server di installazione si trovano sulla stessa macchina. Il server esegue il server Web Apache.

Figura 11–1 Esempio di struttura per la directory radice dei documenti

Questo esempio di directory dei documenti usa la seguente struttura:

• La directory /opt/apache/htdocs è la directory radice dei documenti.

• La directory miniroot contiene la miniroot di boot WAN.

• La directory wanboot contiene il programma wanboot.

• La directory di Solaris Flash (flash) contiene i file di installazione JumpStart personalizzata richiesti per l'installazione del client e la sottodirectory archives. La directory archives contiene l'archivio la versione corrente di Solaris Flash.

Se il server di boot WAN e il server di installazione sono sistemi diversi, memorizzare la directory flash sul server di installazione. Accertarsi che file e directory siano accessibili al server di boot WAN.

Per informazioni sulla creazione della directory radice dei documenti, vedere la documentazione del server Web. Per istruzioni in dettaglio su come creare e memorizzare i file di installazione, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot

La directory /etc/netboot contiene le informazioni di configurazione, la chiave privata, il certificato digitale e l'autorità di certificazione richiesti per l'installazione boot WAN. Questa sezione descrive i file e le directory da creare nella directory /etc/netboot per personalizzare l'installazione boot WAN.

Personalizzazione dell'installazione boot WAN

Durante l'installazione, il programma wanboot-cgi ricerca le informazioni del client nella directory /etc/netboot sul server di boot WAN. Il programma wanboot-cgi converte quindi tali informazioni nel file system di boot WAN e lo trasmette al client. Per personalizzare l'installazione WAN è possibile creare delle sottodirectory nella directory /etc/netboot. Usare la struttura di directory seguente per definire le modalità di condivisione delle informazioni di configurazione tra i client da installare:

• Configurazione globale – Se si desidera che tutti i client della rete condividano le informazioni di configurazione, memorizzare i file da condividere nella directory /etc/netboot.

• Configurazione specifica della rete – Se si desidera che solo le macchine di una sottorete specifica condividano le informazioni di configurazione, memorizzare i file di configurazione da condividere in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:

  /etc/netboot/ip-sottorete

  In questo esempio, ip-sottorete è l'indirizzo IP della sottorete del client. Ad esempio, se si desidera installare tutti i sottosistemi sulla sottorete con indirizzo IP 192.168.255.0 per condividere i file di configurazione, creare una directory /etc/netboot/192.168.255.0, quindi memorizzarvi i file di configurazione.

• Configurazioni specifiche per un client – Per far sì che solo un client specifico utilizzi il file system di boot, memorizzare quest'ultimo in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:

  /etc/netboot/ip-sottorete/ID-client

  In questo esempio, ip-sottorete è l'indirizzo IP della sottorete. ID-client è l'ID del client assegnatogli dal server DHCP o l'ID di un client specifico. Ad esempio, se si desidera che il sistema con ID client 010003BA152A42 della sottorete 192.168.255.0 utilizzi file di configurazione specifici, creare una directory /etc/netboot/192.168.255.0/010003BA152A42, quindi memorizzarvi i file appropriati.

Specifica delle informazioni di configurazione e sicurezza nella directory /etc/netboot

Per specificare le informazioni di configurazione e sicurezza, creare i seguenti file e memorizzarli nella directory /etc/netboot.

• wanboot.conf – Questo file specifica le informazioni di configurazione del client per l'installazione boot WAN.

• File di configurazione del sistema (system.conf) – Questo file specifica l'ubicazione del file sysidcfg dei client e i file dell'installazione JumpStart personalizzata.

• keystore – Questo file contiene la chiave di hashing HMAC SHA, la chiave di cifratura 3DES o AES e la chiave privata SSL.

• truststore – Questo file contiene i certificati digitali delle autorità firmatarie dei certificati che il client dovrà ritenere fidati. Questi certificati istruiscono il client di ritenere fidato il server durante l'installazione.

• certstore – Questo file contiene il certificato digitale del client.

  ---

  Nota –

  Il file certstore deve essere ubicato nella directory dell'ID del client. Vedere Personalizzazione dell'installazione boot WAN per maggiori informazioni sulle sottodirectory di /etc/netboot.

  ---

Per istruzioni in dettaglio su come creare e memorizzare i file di installazione, vedere le procedure seguenti.

• Creare il file di configurazione del sistema

• Creare il file wanboot.conf

• (Opzionale) Creare una chiave di hashing e una chiave di cifratura

• (Opzionale) Usare i certificati digitali per l'autenticazione di client e server

Condivisione delle informazioni di configurazione e sicurezza nella directory /etc/netboot

Per installare i client in rete, occorre condividere i file di configurazione e sicurezza tra diversi clienti o su intere sottoreti. Per condividere i file, si procede distribuendo le informazioni di configurazione nelle directory /etc/netboot/ip-sottorete/ID-client, /etc/netboot/ip-sottorete ed /etc/netboot. Il programma wanboot-cgi esegue una ricerca in tali directory per individuare le informazioni di configurazione più adatte al client e utilizzarle durante l'installazione.

Il programma wanboot-cgi esegue la ricerca delle informazioni del client nell'ordine seguente.

1. /etc/netboot/ip-sottorete/ID-client – Il programma wanboot-cgi controlla prima le informazioni di configurazione specifiche del sistema client. Se la directory /etc/netboot/ip-sottorete/ID-client contiene tutte le informazioni del client, il programma wanboot-cgi non ricerca altre informazioni di configurazione nella directory /etc/netboot.

2. /etc/netboot/ip-sottorete – Se non tutte le informazioni richieste si trovano nella directory /etc/netboot/ip-sottorete/ID-client, il programma wanboot-cgi passerà a controllare le informazioni di configurazione della sottorete nella directory /etc/netboot/ip-sottorete.

3. /etc/netboot – Se le informazioni rimanenti non si trovano nella directory /etc/netboot/ip-sottorete, il programma wanboot-cgi controllerà le informazioni di configurazione globali nella directory /etc/netboot.

La Figura 11–2 mostra come impostare la directory /etc/netboot per personalizzare le proprie installazioni boot WAN.

Figura 11–2 Directory /etc/netboot di esempio

L'organizzazione della directory /etc/netboot nella Figura 11–2 permette di eseguire le seguenti installazioni con boot WAN.

• Quando si installa il client 010003BA152A42, il programma wanboot-cgi usa i seguenti file della directory /etc/netboot/192.168.255.0/010003BA152A42.

  • system.conf

  • archivio chiavi

  • truststore

  • certstore

  Il programma wanboot-cgi usa quindi il file wanboot.conf della directory /etc/netboot/192.168.255.0.

• Quando si installa un client situato nella sottorete 192.168.255.0, il programma wanboot-cgi usa i file wanboot.conf, keystore e truststore nella directory in /etc/netboot/192.168.255.0. Il programma wanboot-cgi usa quindi il file system.conf nella directory /etc/netboot.

• Quando si installa un sistema client non situato nella sottorete 192.168.255.0, il programma wanboot-cgi usa invece i file seguenti della directory /etc/netboot:

  • wanboot.conf

  • system.conf

  • archivio chiavi

  • truststore

Memorizzazione del programma wanboot-cgi

Il programma wanboot-cgi trasmette i file e i dati dal server di boot WAN al client. Occorre accertarsi che il programma si trovi in una directory del server di boot WAN accessibile al client. Un metodo per renderlo accessibile è di memorizzare il programma nella directory cgi-bin del server di boot WAN. Per utilizzare il programma wanboot-cgi come programma CGI può essere necessario configurare il server Web. Per informazioni sui requisiti dei programmi CGI, vedere la documentazione del server Web.

Requisiti dei certificati digitali

Per aumentare la sicurezza dell'installazione boot WAN, è possibile avvalersi dei certificati digitali per abilitare l'autenticazione del server e del client. Il boot da WAN utilizza un certificato digitale per determinare l'identità del server o del client nel corso di una transazione online. I certificati digitali sono emessi da un'autorità di certificazione (CA) e contengono un numero di serie, date di scadenza, una copia della chiave pubblica del possessore del certificato e la firma digitale dell'autorità di certificazione.

Per richiedere l'autenticazione del server o di client e server durante l'installazione, è necessario installare i certificati digitali sul server. Per l'uso dei certificati digitali, attenersi alle linee guida seguenti.

• Per poter essere utilizzati, i certificati digitali devono essere formattati come file PKCS#12 (Public-Key Cryptography Standards #12).

• Anche i certificati digitali creati internamente devono essere in formato PKCS#12.

• Se si ricevono i certificati da autorità di terze parti, richiedere che siano in formato PKCS#12.

Per istruzioni dettagliate su come usare i certificati PKCS#12 nell'installazione boot WAN, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.

Limitazioni alla sicurezza di boot WAN

Sebbene questo metodo disponga di varie funzioni di sicurezza, boot WAN risulta inefficace nei seguenti casi.

• Attacchi DoS (Denial of service) – Questo tipo di attacchi può assumere molte forme, con l'obiettivo di impedire agli utenti di accedere a un servizio specifico. Un attacco DoS può colpire una rete inviando grandi quantità di dati oppure consumare in modo intensivo una risorsa limitata. Altri attacchi DoS manipolano i dati trasmessi tra i sistemi in transito. Il metodo di installazione boot WAN non protegge i server o i client dagli attacchi DoS.

• Dati binari danneggiati sui server – Il metodo di installazione boot WAN non controlla l'integrità della miniroot di boot WAN né l'archivio Solaris Flash prima di eseguire l'installazione. Controllare pertanto l'integrità degli eseguibili di Solaris a fronte del Solaris Fingerprint Database disponibile all'indirizzo http://sunsolve.sun.com.

• Riservatezza della chiave di cifratura e della chiave di hashing – Se si usano chiavi di cifratura o chiavi di hashing con boot WAN, occorre digitare il valore della chiave dalla riga di comando durante l'installazione. Per questo motivo è necessario seguire tutte le precauzioni di rete necessarie a garantire che i valori della chiave non vengano divulgati.

• Compromissione del servizio di denominazione di rete – Se si fa uso di un servizio di denominazione, verificare l'integrità dei name server prima di eseguire l'installazione boot WAN.

Raccolta delle informazioni per le installazioni boot WAN

Per configurare la rete per l'installazione boot WAN, occorre raccogliere un'ampia gamma di informazioni. Si consiglia pertanto di prenderne nota mentre si prepara l'installazione WAN.

Utilizzare i seguenti fogli di lavoro per registrare le informazioni di installazione boot WAN per la rete.

• Tabella 11–2

• Tabella 11–3

Capitolo 12 Installazione con il metodo boot WAN (attività)

Questo capitolo descrive le procedure necessarie a preparare la rete per l'installazione boot WAN.

• Installazione in una rete geografica (mappa delle attività)

• Configurazione del server di boot WAN

• Creazione dei file dell'installazione JumpStart personalizzata

• Creazione dei file di configurazione

• (Opzionale) Fornitura delle informazioni di configurazione con un server DHCP

• (Opzionale) Configurazione del server di log per il boot WAN

Installazione in una rete geografica (mappa delle attività)

Le tabelle seguenti elencano le procedure necessarie per eseguire le operazioni preliminari all'installazione boot WAN.

• Per l'elenco delle operazioni che occorre eseguire per preparare un'installazione boot WAN sicura, vedere la Tabella 12–1.

  Per una descrizione di un'installazione boot WAN sicura attraverso HTTPS, vedere Configurazione sicura per l'installazione boot WAN.

• Per l'elenco delle operazioni che occorre eseguire per preparare un'installazione boot WAN non sicura, vedere la Tabella 12–2.

  Per una descrizione di un'installazione boot WAN non sicura, vedere Configurazione non sicura per l'installazione boot WAN.

Per usare un server DHCP o un server di log, eseguire le operazioni elencate alla fine di ogni tabella.

Configurazione del server di boot WAN

Il server di boot WAN è un server Web che fornisce i dati di boot e di configurazione durante l'installazione boot WAN. Per l'elenco dei requisiti di sistema del server di boot WAN, vedere la Tabella 11–1.

Questa sezione descrive le procedure richieste per la configurazione del server di boot WAN per un'installazione boot WAN.

• Creazione della directory radice dei documenti

• Creazione della miniroot di boot WAN

• Installazione del programma wanboot sul server di boot WAN

• Creazione della struttura gerarchica /etc/netboot sul server di boot WAN

• Copia del programma CGI di boot WAN sul server di boot WAN

• (Opzionale) Protezione dei dati con l'uso di HTTPS

Creazione della directory radice dei documenti

Per poterli utilizzare per la configurazione e l'installazione, occorre che questi file siano accessibili al software server Web sul server di boot WAN. Un metodo per renderli accessibili è di memorizzarli nella directory radice dei documenti del server di boot WAN.

Per poter usare la directory radice dei documenti con i file di installazione e configurazione, occorre prima crearla. Per informazioni sulle operazioni di creazione della directory, consultare la documentazione del server Web. Per informazioni dettagliate su come organizzare la directory radice dei documenti, vedere Memorizzazione dei file di installazione e configurazione nella directory radice dei documenti.

Per un esempio di creazione di questa directory, vedere Creazione della directory radice dei documenti.

Dopo aver creato la directory radice dei documenti, creare la miniroot di boot WAN. Per le relative istruzioni, vedere Creazione della miniroot di boot WAN.

Creazione della miniroot di boot WAN

Il boot WAN usa una speciale miniroot Solaris modificata specificamente per eseguire l'installazione boot WAN. che contiene un sottogruppo del software della miniroot di Solaris. Per eseguire l'installazione boot WAN, occorre copiare sul server di boot WAN la miniroot dal DVD di Solaris o dal Solaris Software - 1. Usare l'opzione -w del comando setup_install_server per copiare la miniroot di boot WAN dai supporti di Solaris al disco fisso del sistema.

SPARC: Creare una miniroot di boot WAN

Questa procedura crea una miniroot di boot WAN SPARC con i supporti SPARC. Per poter usare la miniroot di boot WAN SPARC da un server x86, occorre crearla su un sistema SPARC. Una volta creata la miniroot, copiarla nella directory radice dei documenti sul server x86.

Prima di cominciare

Questa procedura presuppone che il server di boot WAN utilizzi la gestione dei volumi. Se la gestione dei volumi non è attiva, vedere System Administration Guide: Devices and File Systems.

1. Diventare superutente o assumere un ruolo equivalente sul server di boot WAN.

   Il sistema deve soddisfare i seguenti requisiti:

   • Includere un'unità CD-ROM o DVD-ROM

   • Far parte della rete del sito e del servizio di denominazione

     Se si utilizza un servizio di denominazione, ad esempio NIS, NIS+, DNS o LDAP, il sistema deve già essere configurato in questo servizio. Se non si utilizza un servizio di denominazione, è necessario distribuire le informazioni relative al sistema in base ai criteri adottati nel proprio sito.

2. Inserire il CD Solaris Software - 1 o il DVD di Solaris nell'unità del server di installazione.

3. Creare una directory per la miniroot di boot WAN e l'immagine di installazione di Solaris.

   # mkdir -p dir_wan dir_inst

   -p

   Comunica al comando mkdir di creare tutte le directory principali necessarie per la directory da creare.

   dir_wan

   Specifica la directory in cui creare la miniroot di boot WAN sul server di installazione. Questa directory deve ospitare miniroot con dimensioni tipiche di 250 Mbyte.

   dir_inst

   Specifica la directory in cui copiare l'immagine di Solaris sul server di installazione. In una fase successiva della procedura, si potrà rimuovere la directory.

4. Spostarsi nella directory Tools sul disco attivato:

   # cd /cdrom/cdrom0/Solaris_10/Tools

   Nell'esempio precedente, cdrom0 è il percorso dell'unità che contiene il supporto del sistema operativo Solaris.

5. Copiare la miniroot di boot WAN e l'immagine di Solaris nel disco rigido del server di boot WAN.

   # ./setup_install_server -w dir_wan dir_inst

   dir_wan

   Specifica la directory in cui copiare la miniroot di boot WAN

   dir_inst

   Specifica la directory in cui deve essere copiata l'immagine di Solaris

   ---

   Nota –

   Il comando setup_install_server indica se lo spazio su disco è sufficiente per le immagini del disco di Solaris. Per determinare lo spazio su disco disponibile, usare il comando df -kl.

   ---

   Il comando setup_install_server -w crea la miniroot di boot WAN e un'immagine di installazione di rete di Solaris.

6. (Opzionale) Rimuovere l'immagine di installazione di rete.

   Per eseguire un'installazione WAN con un archivio Solaris Flash non è necessaria l'immagine di Solaris. Se non si intende usare l'immagine dell'installazione di rete per altre installazioni di rete, è possibile liberare spazio su disco. Digitare il comando seguente per rimuovere l'immagine di installazione di rete.

   # rm -rf dir_inst

7. Per rendere la miniroot di boot WAN disponibile al server di boot WAN, procedere in uno dei modi seguenti:

   • Creare un collegamento simbolico con la miniroot di boot WAN nella directory radice dei documenti del server di boot WAN.

     # cd /directory_radice_documenti/miniroot # ln -s /dir_wan/miniroot .

     directory_radice_documenti/miniroot

     Specifica la directory nella directory radice dei documenti del server di boot WAN in cui collegare la miniroot di boot WAN

     /dir_wan/miniroot

     Specifica il percorso della miniroot di boot WAN

   • Spostare la miniroot nella directory radice dei documenti sul server di boot WAN.

     # mv /dir_wan/miniroot /directory_radice_documenti/miniroot/nome-miniroot

     dir_wan/miniroot

     Specifica il percorso della miniroot di boot WAN.

     /directory_radice_documenti/miniroot/

     Specifica il percorso della directory della miniroot di boot WAN nella directory radice dei documenti del server di boot WAN.

     nome-miniroot

     Specifica il nome della miniroot di boot WAN. Assegnare al file un nome descrittivo, ad esempio miniroot.s10_sparc.

Esempio 12–1 Creazione della miniroot di boot WAN

Usare il comando setup_install_server(1M) con l'opzione -w per copiare la miniroot di boot WAN e l'immagine del software di Solaris nella directory /export/install/Solaris_10 di server_wan-1.

Inserire i supporti di Solaris nell'unità collegata a server_wan-1. Digitare i seguenti comandi:

server_wan-1# mkdir -p /export/install/cdrom0
server_wan-1# cd /cdrom/cdrom0/Solaris_10/Tools
server_wan-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Spostare la miniroot di boot WAN nella directory radice dei documenti (/opt/apache/htdocs/) del server di boot WAN. In questo esempio, il nome della miniroot di boot WAN è miniroot.s10_sparc.

server_wan-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Continuazione dell'installazione boot WAN

Dopo aver creato la miniroot di boot WAN, verificare che la OpenBoot PROM (OBP) del client supporti il boot WAN. Per le relative istruzioni, vedere Verifica del supporto del boot WAN sul client.

Vedere anche

Per maggiori informazioni sul comando setup_install_server, vedere install_scripts(1M).

Verifica del supporto del boot WAN sul client

Per eseguire un'installazione boot WAN non presidiata, è necessario che la OpenBoot PROM (OBP) del sistema client supporti il boot WAN. Se la OBP del client non supporta il boot WAN, è possibile eseguire l'installazione con questo metodo richiamando i programmi necessari da un CD locale.

Per determinare se il client supporta il boot WAN, controllare le variabili di configurazione della OBP. Per controllare se il client supporta il boot WAN, procedere come segue.

Controllare il supporto del boot WAN da parte della OBP del client

La procedura seguente descrive come determinare se la OBP del client supporta il boot WAN.

1. Diventare superutente o assumere un ruolo equivalente.

   I ruoli comportano determinate autorizzazioni e consentono di eseguire comandi che richiedono privilegi. Per maggiori informazioni sui ruoli, vedere Configuring RBAC (Task Map) in System Administration Guide: Security Services.

2. Controllare le variabili di configurazione OBP per il supporto boot WAN.

   # eeprom | grep network-boot-arguments

   • Se viene visualizzata la variabile network-boot-arguments o se il comando precedente ha come risultato network-boot-arguments:data not available, la OBP supporta le installazioni boot WAN. Non occorre aggiornare la OBP prima di eseguire l'installazione boot WAN.

   • Se il comando precedente non produce alcun risultato, la OBP non supporta le installazioni boot WAN. Occorre quindi completare una delle attività seguenti.

     • Aggiornare la OBP del client. Consultare la documentazione del sistema per informazioni sulle procedure di aggiornamento della OBP sui client la cui OBP non può supportare le installazioni boot WAN.

       ---

       Nota –

       Non tutte le OBP dei client supportano il metodo boot WAN. Per questi client, utilizzare l'opzione indicata di seguito.

       ---

     • Al termine delle operazioni di preparazione, eseguire l'installazione boot WAN sul client dal CD 1 o dal DVD di Solaris. Questa opzione opera correttamente in tutti i casi in cui la OBP in uso non dispone del supporto per boot WAN.

       Per istruzioni sull'avvio del client dal CD 1, vedere Eseguire un'installazione boot WAN con un CD locale. Per continuare la preparazione dell'installazione boot WAN, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.

Esempio 12–2 Verifica del supporto OBP per il boot WAN sul client

Il comando seguente mostra come controllare la OBP del client per il supporto del boot WAN.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

In questo esempio, il risultato network-boot-arguments: data not available indica che la OBP del client supporta le installazioni boot WAN.

Continuazione dell'installazione boot WAN

Dopo aver verificato che la OBP del client supporta il boot WAN, occorre copiare il programma wanboot sul server di boot WAN. Per le relative istruzioni, vedere Installazione del programma wanboot sul server di boot WAN.

Se la OBP del client non supporta il boot WAN, non è necessario copiare il programma wanboot sul server di boot WAN. Occorre viceversa fornire al client il programma wanboot da un CD locale. Per continuare l'installazione, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.

Vedere anche

Per maggiori informazioni sul comando setup_install_server, vedere il Capitolo 4Installazione dalla rete (panoramica).

Installazione del programma wanboot sul server di boot WAN

Per l'installazione del client, il metodo boot WAN si avvale di uno speciale programma di secondo livello (wanboot). Il programma wanboot carica la miniroot di boot WAN, i file di configurazione del client e i file di installazione richiesti per l'esecuzione dell'installazione boot WAN.

Per eseguire l'installazione boot WAN, occorre fornire il programma wanboot al client durante l'installazione. Si può procedere nei modi seguenti:

• Se la PROM del client supporta il boot WAN, è possibile trasmettere il programma dal server di boot WAN al client. È necessario installare il programma wanboot sul server di boot WAN.

  Per determinare se la PROM del client supporta il boot WAN, vedere Controllare il supporto del boot WAN da parte della OBP del client.

• Se la PROM del client non supporta il boot dalla WAN, occorre fornire il programma al client su un CD locale. Se la PROM del client non supporta il boot WAN, passare a Creazione della struttura gerarchica /etc/netboot sul server di boot WAN per continuare la preparazione dell'installazione.

SPARC: Installare il programma wanboot sul server di boot WAN

In questa sezione viene spiegato come copiare il programma wanboot dal supporto di Solaris sul server di boot WAN.

Questa procedura presuppone che il server di boot WAN utilizzi la gestione dei volumi. Se la gestione dei volumi non è attiva, vedere System Administration Guide: Devices and File Systems.

Prima di cominciare

Verificare che il sistema client supporti il boot WAN. Per maggiori informazioni, vedere Controllare il supporto del boot WAN da parte della OBP del client.

1. Diventare superutente o assumere un ruolo equivalente sul server di installazione.

2. Inserire il CD Solaris Software - 1 o il DVD di Solaris nell'unità del server di installazione.

3. Modificare la directory della piattaforma sun4u sul CD Solaris Software - 1 o sul DVD di Solaris.

   # cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/

4. Copiare il programma wanboot sul server di installazione.

   # cp wanboot /directory_radice_documenti/wanboot/nome-wanboot

   directory_radice_documenti

   Specifica la directory radice dei documenti sul server di boot WAN.

   nome-wanboot

   Specifica il nome del programma wanboot. Assegnare al file un nome descrittivo, ad esempio wanboot.s10_sparc.

5. Per rendere disponibile il programma wanboot al server di boot WAN, procedere in uno dei modi seguenti:

   • Creare un collegamento simbolico al programma wanboot nella directory radice dei documenti del server di boot WAN.

     # cd /directory_radice_documenti/wanboot # ln -s /dir_wan/wanboot .

     directory_radice_documenti/wanboot

     Specifica la directory nella directory radice dei documenti del server di boot WAN in cui collegare il programma wanboot.

     /dir_wan/wanboot

     Specifica il percorso del programma wanboot.

   • Spostare la miniroot nella directory radice dei documenti sul server di boot WAN.

     # mv /dir_wan/wanboot /directory_radice_documenti/wanboot/nome-wanboot

     dir_wan/wanboot

     Specifica il percorso del programma wanboot.

     /directory_radice_documenti/wanboot/

     Specifica il percorso della directory del programma wanboot nella directory radice dei documenti del server di boot WAN.

     nome-wanboot

     Specifica il nome del programma wanboot. Assegnare al file un nome descrittivo, ad esempio wanboot.s10_sparc.

Esempio 12–3 Installazione del programma wanboot sul server di boot WAN

Per installare il programma wanboot sul server di boot WAN, copiare il programma dai supporti di Solaris alla directory radice dei documenti del server di boot WAN.

Inserire il DVD di Solaris o il CD Solaris Software - 1 nell'unità collegata a server_wan-1 e digitare i seguenti comandi.

server_wan-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
server_wan-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

In questo esempio, il nome del programma wanboot è wanboot.s10_sparc.

Continuazione dell'installazione boot WAN

Dopo avere installato il programma wanboot sul server di boot WAN, è necessario creare la struttura gerarchica /etc/netboot. Per le relative istruzioni, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN

Vedere anche

Per informazioni generali sul programma wanboot, vedere Cos'è boot WAN?.

Creazione della struttura gerarchica /etc/netboot sul server di boot WAN

Durante l'installazione, il boot WAN fa riferimento ai contenuti della struttura gerarchica /etc/netboot sul server Web per le istruzioni di esecuzione dell'installazione. Questa directory contiene informazioni di configurazione, chiave privata, certificato digitale e autorità di certificazione richieste per l'installazione boot WAN. Durante l'installazione, il programma wanboot-cgi converte queste informazioni nel file system di boot WAN. Il programma wanboot-cgi trasmette quindi tale file system al client.

Per personalizzare l'installazione WAN è possibile creare delle sottodirectory nella directory /etc/netboot. Usare la struttura di directory seguente per definire le modalità di condivisione delle informazioni di configurazione tra i client da installare:

• Configurazione globale – Se si desidera che tutti i client della rete condividano le informazioni di configurazione, memorizzare i file da condividere nella directory /etc/netboot.

• Configurazione specifica della rete – Se si desidera che solo le macchine di una sottorete specifica condividano le informazioni di configurazione, memorizzare i file di configurazione da condividere in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:

  /etc/netboot/ip-sottorete

  In questo esempio, ip-sottorete è l'indirizzo IP della sottorete del client.

• Configurazioni specifiche per un client – Per far sì che solo un client specifico utilizzi il file system di boot, memorizzare quest'ultimo in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:

  /etc/netboot/ip-sottorete/ID-client

  In questo esempio, ip-sottorete è l'indirizzo IP della sottorete. ID-client è l'ID del client assegnatogli dal server DHCP o l'ID di un client specifico.

Per informazioni dettagliate sulla pianificazione di queste configurazioni, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.

La procedura seguente descrive la creazione della struttura gerarchica /etc/netboot.

Creare la struttura gerarchica /etc/netboot sul server di boot WAN

Per creare la struttura gerarchica /etc/netboot, procedere come segue.

1. Diventare superutente o assumere un ruolo equivalente sul server di boot WAN.

2. Creare la directory /etc/netboot.

   # mkdir /etc/netboot

3. Modificare le autorizzazioni della directory /etc/netboot su 700.

   # chmod 700 /etc/netboot

4. Modificare il proprietario della directory /etc/netboot impostandolo sul proprietario del server Web.

   # chown utente-server-Web:gruppo-server-Web /etc/netboot/

   utente-server-Web

   Specifica l'utente proprietario del processo server Web

   gruppo-server-Web

   Specifica il gruppo proprietario del processo server Web

5. Uscire da superutente.

   # exit

6. Assumere il ruolo utente del proprietario del server Web.

7. Creare nel client la sottodirectory della directory /etc/netboot.

   # mkdir -p /etc/netboot/ip-sottorete/ID-client

   -p

   Comunica al comando mkdir di creare tutte le directory principali necessarie per la directory da creare.

   (Opzionale) ip-sottorete

   Specifica l'indirizzo IP della sottorete del client.

   (Opzionale) ID-client

   Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. La directory ID-client deve essere una sottodirectory di ip-sottorete.

8. Per ogni directory della struttura gerarchica /etc/netboot, modificare le autorizzazioni su 700.

   # chmod 700 /etc/netboot/nome-dir

   nome-dir

   Specifica il nome della directory nella struttura gerarchica /etc/netboot

Esempio 12–4 Creazione della struttura gerarchica /etc/netboot sul server di boot WAN

L'esempio seguente mostra come creare la struttura gerarchica di /etc/netboot per il client 010003BA152A42 nella sottorete 192.168.198.0. In questo esempio, l'utente nobody e il gruppo admin sono i proprietari del processo server Web.

I comandi in questo esempio eseguono le seguenti attività.

• Creare la directory /etc/netboot.

• Modificare le autorizzazioni della directory /etc/netboot su 700.

• Modificare il proprietario della directory /etc/netboot in modo che corrisponda al proprietario del processo del server Web.

• Assumere lo stesso ruolo dell'utente del server Web.

• Creare una sottodirectory di /etc/netboot il cui nome corrisponda alla sottorete (192.168.198.0).

• Creare una sottodirectory nella directory della sottorete utilizzando come nome l'ID del client.

• Modificare le autorizzazioni delle sottodirectory di /etc/netboot su 700.

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Continuazione dell'installazione boot WAN

Dopo aver creato la struttura gerarchica /etc/netboot, è necessario copiare il programma CGI di boot WAN sul server di boot WAN. Per le relative istruzioni, vedere Copia del programma CGI di boot WAN sul server di boot WAN.

Vedere anche

Per informazioni dettagliate sulla pianificazione della struttura gerarchica /etc/netboot, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.

Copia del programma CGI di boot WAN sul server di boot WAN

Il programma wanboot-cgi crea i data stream che trasmettono i seguenti file dal server di avvio :

• Programma wanboot

• File system di boot WAN

• Miniroot di boot WAN

Il programma wanboot-cgi viene installato sul sistema quando si installa la versione corrente di Solaris. Per abilitare il server di boot WAN all'uso del programma, copiarlo nella directory cgi-bin del server di boot WAN.

Copiare il programma wanboot-cgi nel server di boot WAN

1. Diventare superutente o assumere un ruolo equivalente sul server di boot WAN.

2. Copiare il programma wanboot-cgi nel server di boot WAN.

   # cp /usr/lib/inet/wanboot/wanboot-cgi /rad-server-WAN/cgi-bin/wanboot-cgi

   /rad-server-WAN

   Specifica la directory radice del software server Web sul server di boot WAN

3. Sul server di boot WAN, modificare le autorizzazioni del programma CGI su 755.

   # chmod 755 /rad-server-WAN/cgi-bin/wanboot-cgi

Continuazione dell'installazione boot WAN

Dopo aver copiato il programma CGI di boot WAN sul server di boot WAN, è possibile configurare un server di log. Per le relative istruzioni, vedere (Opzionale) Configurazione del server di log per il boot WAN.

Se non si desidera configurare un server di log separato, vedere (Opzionale) Protezione dei dati con l'uso di HTTPS per istruzioni su come configurare le funzioni di sicurezza in un'installazione boot WAN.

Vedere anche

Per informazioni generali sul programma wanboot-cgi, vedere Cos'è boot WAN?.

(Opzionale) Configurazione del server di log per il boot WAN

Nell'impostazione predefinita, i messaggi relativi al boot WAN vengono visualizzati sul sistema client. Questo comportamento permette di identificare e correggere rapidamente gli eventuali problemi di installazione.

Per registrare i log di boot e installazione su un sistema diverso dal client, occorre impostare un server di log. Se si desidera usare un server di log con collegamento HTTPS durante l'installazione, è necessario configurare il server di boot WAN come server di log.

Per procedere in tal senso, attenersi alla procedura seguente:

1. Copiare lo script bootlog-cgi nella directory degli script CGI del server di log.

   # cp /usr/lib/inet/wanboot/bootlog-cgi rad-server-log/cgi-bin

   rad-server-log/cgi-bin

   Specifica la directory cgi-bin nella directory server Web del server di log

2. Modificare le autorizzazioni dello script bootlog-cgi su 755.

   # chmod 755 rad-server-log/cgi-bin/bootlog-cgi

3. Impostare il valore del parametro boot_logger nel file wanboot.conf.

   Nel file wanboot.conf, specificare l'URL dello script bootlog-cgi sul server di log.

   Per maggiori informazioni sull'impostazione dei parametri nel file wanboot.conf, vedere Creare il file wanboot.conf.

   Durante l'installazione, i log di boot e installazione vengono registrati nella directory /tmp del server di log. Il file di log è denominato bootlog.nome_host, in cui nome_host è il nome host del client.

Esempio 12–5 Configurazione di un server di log per l'installazione boot WAN con collegamento HTTPS

L'esempio seguente configura il server di boot WAN come server di log.

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Continuazione dell'installazione boot WAN

Dopo aver configurato il server di log, è possibile impostare l'installazione boot WAN in modo da utilizzare i certificati digitali e le chiavi di sicurezza. Per le relative istruzioni, vedere (Opzionale) Protezione dei dati con l'uso di HTTPS.

(Opzionale) Protezione dei dati con l'uso di HTTPS

Per proteggere i dati durante il trasferimento dal server di boot WAN al client, è possibile usare HTTP su Secure Sockets Layer (HTTPS). Per usare la configurazione di installazione più sicura descritta in Configurazione sicura per l'installazione boot WAN, è necessario impostare il server Web in modo che utilizzi HTTPS.

Se non si desidera eseguire un boot WAN sicuro, ignorare le procedure descritte in questa sezione. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Per abilitare per l'uso di HTTPS il software server Web sul server di boot WAN, eseguire le operazioni seguenti:

• Attivare il supporto dell'SSL (Secure Sockets Layer) nel proprio software server Web.

  I processi per abilitare il supporto SSL e l'autenticazione dei client variano a seconda del server Web. Il presente documento non descrive le procedure per abilitare le funzioni di sicurezza sul server Web in uso. Per ulteriori informazioni sull'argomento, consultare i documenti seguenti:

  • Per informazioni sull'attivazione di SSL sui server Web SunONE e iPlanet, vedere le raccolte della documentazione su SunONE e iPlanet all'indirizzo http://docs.sun.com.

  • Per informazioni sull'attivazione di SSL sul server Web Apache, vedere l'Apache Documentation Project all'indirizzo http://httpd.apache.org/docs-project/.

  • Se il software in uso non è contenuto nell'elenco precedente, vedere la relativa documentazione.

• Installare i certificati digitali sul server di boot WAN.

  Per informazioni sull'uso dei certificati digitali con il boot WAN, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.

• Fornire un certificato digitale al client.

  Per istruzioni su come creare un certificato digitale, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.

• Creare una chiave di hashing e una chiave di cifratura.

  Per istruzioni sulla creazione delle chiavi, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.

• (Opzionale) Configurare il software server Web per il supporto dell'autenticazione del client.

  Per informazioni su come configurare il server Web per il supporto dell'autenticazione dei client, vedere la relativa documentazione.

Questa sezione descrive l'uso dei certificati digitali e delle chiavi nell'installazione boot WAN.

(Opzionale) Usare i certificati digitali per l'autenticazione di client e server

Il metodo di installazione boot WAN può utilizzare i file PKCS#12 per eseguire un'installazione tramite HTTPS con l'autenticazione del server (o sia del server che del client). Per i requisiti e le linee guida relativi all'uso dei file PKCS#12, vedere Requisiti dei certificati digitali.

Per usare un file PKCS#12 in un'installazione boot WAN, eseguire le operazioni seguenti:

• Suddividere il file PKCS#12 in chiave privata e file di certificato.

• Inserire il certificato trusted nel file truststore del client nella struttura gerarchica /etc/netboot. Il certificato trusted istruisce il client di considerare fidato il server.

• (Opzionale) Inserire i contenuti del file di chiave privata SSL nel file keystore del client nella struttura gerarchica /etc/netboot.

Il comando wanbootutil fornisce le opzioni per eseguire le operazioni riportate nell'elenco precedente.

Se non si desidera eseguire un boot WAN sicuro, ignorare questa procedura. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Per creare un certificato digitale e una chiave privata per il client, procedere come segue.

Prima di cominciare

Prima di suddividere il file PKCS#12, creare le sottodirectory appropriate della struttura gerarchica /etc/netboot sul server di boot WAN.

• Per informazioni generali sulla struttura gerarchica /etc/netboot, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.

• Per istruzioni su come creare la struttura gerarchica /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Estrarre il certificato trusted dal file PKCS#12. Inserire il certificato nel file truststore del client nella struttura gerarchica /etc/netboot.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/ip-sottorete/ID-client/truststore

   p12split

   Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

   -i p12cert

   Specifica il nome del file PKCS#12 da suddividere.

   -t /etc/netboot/ip-sottorete/ID-client/truststore

   Inserisce il certificato nel file truststore del client. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

3. (Opzionale) Decidere se richiedere l'autenticazione del client.

   • In caso negativo, passare alla sezione (Opzionale) Creare una chiave di hashing e una chiave di cifratura.

   • In caso positivo, continuare con le procedure seguenti.

     1. Inserire il certificato del client nel suo certstore.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/ip-sottorete/ID-client/certstore -k file_chiave

        p12split

        Opzione del comando wanbootutil che suddivide un file PKCS#12 in chiave privata e file di certificati.

        -i p12cert

        Specifica il nome del file PKCS#12 da suddividere.

        -c /etc/netboot/ip-sottorete/ID-client/certstore

        Inserisce il certificato del client nel suo certstore. ip-sottorete è l'indirizzo IP della sottorete del client. ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

        -k file_chiave

        Specifica il nome del file della chiave privata SSL del client da creare dal file PKCS#12 suddiviso.

     2. Inserire la chiave privata nel keystore del client.

        # wanbootutil keymgmt -i -k file_chiave \ -s /etc/netboot/ip-sottorete/ID-client/keystore -o type=rsa

        keymgmt -i

        Inserisce la chiave privata SSL nel file keystore del client

        -k file_chiave

        Specifica il nome del file della chiave privata del client appena creato.

        -s /etc/netboot/ip-sottorete/ID-client/keystore

        Specifica il percorso del keystore del client

        -o type=rsa

        Specifica il tipo di chiave come RSA

Esempio 12–6 Creazione di un certificato digitale per l'autenticazione del server

Nell'esempio seguente, viene usato un file PKCS#12 per installare il client 010003BA152A42 nella sottorete 192.168.198.0. Questo comando di esempio estrae dal file PKCS#12 il certificato denominato client.p12. Successivamente, il comando inserisce i contenuti del certificato trusted nel file truststore del client.

Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Continuazione dell'installazione boot WAN

Dopo aver creato un certificato digitale, creare una chiave di hashing e una chiave di cifratura. Per le relative istruzioni, vedere(Opzionale) Creare una chiave di hashing e una chiave di cifratura.

Vedere anche

Per maggiori informazioni sulla creazione dei certificati digitali, vedere la pagina man wanbootutil(1M).

(Opzionale) Creare una chiave di hashing e una chiave di cifratura

Per usare HTTPS per la trasmissione dei dati, occorre creare una chiave di hashing HMAC SHA1 e una chiave di cifratura. Se si pianifica l'installazione su una rete parzialmente privata, non cifrare i dati di installazione. La chiave di hashing HMAC SHA1 permette di controllare l'integrità del programma wanboot.

Con il comando wanbootutil keygen è possibile generare chiavi e memorizzarle nella directory /etc/netboot appropriata.

Se non si desidera eseguire un boot WAN sicuro, ignorare questa procedura. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Per creare una chiave di hashing e una chiave di cifratura, procedere come segue.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Creare la chiave HMAC SHA1 master.

   # wanbootutil keygen -m

   keygen -m

   Crea la chiave HMAC SHA1 master per il server di boot WAN

3. Creare la chiave di hashing HMAC SHA1 per il client dalla chiave master.

   # wanbootutil keygen -c -o [net=ip-sottorete,{cid=ID-client,}]type=sha1

   -c

   Crea la chiave di hashing del client dalla rispettiva chiave master.

   -o

   Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.

   (Opzionale) net=ip-sottorete

   Specifica l'indirizzo IP per la sottorete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e può essere utilizzata da tutti i client di boot WAN.

   (Opzionale) cid=ID-client

   Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid con il comando net, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.

   type=sha1

   Istruisce l'utility wanbootutil keygen di creare una chiave di hashing HMAC SHA1 per il client.

4. Decidere se è necessario creare una chiave di cifratura per il client.

   La creazione della chiave di cifratura è richiesta per eseguire l'installazione boot WAN con un collegamento HTTPS. Prima che il client stabilisca un collegamento HTTPS con il server di boot dalla WAN, quest'ultimo trasmette i dati e le informazioni cifrate al client. La chiave di cifratura permette al client di decifrare queste informazioni e di utilizzarle durante l'installazione.

   • Se si esegue un'installazione WAN più sicura con collegamento HTTPS e autenticazione del server, proseguire.

   • Non è invece necessario creare la chiave di cifratura se si intende unicamente controllare l'integrità del programma wanboot. Passare al Punto 6.

5. Creare una chiave di cifratura per il client.

   # wanbootutil keygen -c -o [net=ip-sottorete,{cid=ID-client,}]type=tipo-chiave

   -c

   Crea la chiave di cifratura per il client.

   -o

   Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.

   (Opzionale) net=ip-sottorete

   Specifica l'indirizzo IP di rete del client. Senza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e può essere utilizzata da tutti i client di boot WAN.

   (Opzionale) cid=ID-client

   Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid con il comando net, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.

   type=tipo-chiave

   Istruisce l'utility wanbootutil keygen di creare una chiave di cifratura per il client. tipo-chiave può assumere il valore 3des o aes.

6. Installare le chiavi sul sistema client.

   Per istruzioni sull'installazione delle chiavi sul client, vedere Installazione delle chiavi sul client.

Esempio 12–7 Creazione delle chiavi richieste per l'installazione boot WAN con collegamento HTTPS

L'esempio seguente crea una chiave master HMAC SHA1 per il server di boot WAN. Vengono inoltre create una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per il client 010003BA152A42 della sottorete 192.168.198.0.

Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Continuazione dell'installazione boot WAN

Dopo aver creato una chiave di hashing e una chiave di cifratura, è necessario creare i file di installazione. Per le relative istruzioni, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Vedere anche

Per informazioni generali sulle chiavi di hashing e le chiavi di cifratura, vedere Protezione dei dati durante un'installazione boot WAN .

Per maggiori informazioni sulla creazione delle chiavi di hashing e di cifratura, vedere la pagina man wanbootutil(1M).

Creazione dei file dell'installazione JumpStart personalizzata

Il metodo di boot WAN esegue un'installazione JumpStart personalizzata per installare un archivio Solaris Flash sul client. Il metodo di installazione JumpStart personalizzato è un'interfaccia dalla riga di comando che permette di installare automaticamente diversi sistemi a seconda dei profili creati. I profili definiscono requisiti specifici per l'installazione del software. È anche possibile includere nella procedura uno o più script da eseguire prima o dopo l'installazione. L'utente sceglie il profilo e gli script da utilizzare per l'installazione o per l'aggiornamento. Il metodo JumpStart personalizzato esegue quindi l'installazione o l'aggiornamento del sistema in base al profilo e agli script selezionati. Inoltre, è possibile usare un file sysidcfg per specificare le informazioni di configurazione in modo che l'installazione JumpStart personalizzata non richieda alcun intervento manuale.

Per preparare i file di installazione JumpStart personalizzata per l'installazione con boot da WAN, completare le seguenti procedure:

• Creare l'archivio Solaris Flash

• Creare il file sysidcfg

• Creare il file rules

• Creare il profilo

• (Opzionale) Creazione di script iniziali e finali

Per informazioni dettagliate sul metodo di installazione JumpStart personalizzato, vedere il Capitolo 2, Installazione JumpStart personalizzata (panoramica) in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

Creare l'archivio Solaris Flash

La funzione di installazione Solaris Flash permette di usare un'unica installazione di riferimento del sistema operativo Solaris su un sistema denominato master. A questo punto si può creare un archivio Solaris Flash, che è un'immagine duplicata del sistema master. L'archivio Solaris Flash può essere installato su altri sistemi della rete, creando sistemi clone.

Questa sezione descrive come creare un archivio Solaris Flash.

Prima di cominciare

• Prima di creare un archivio Solaris Flash, occorre installare il sistema master.

  • Per informazioni su come installare un sistema master, vedere Installazione del sistema master in Guida all’installazione di Solaris 10 10/08: archivi Solaris Flash (creazione e installazione).

  • Per informazioni dettagliate sugli archivi Solaris Flash, vedere il Capitolo 1, Solaris Flash (panoramica) in Guida all’installazione di Solaris 10 10/08: archivi Solaris Flash (creazione e installazione).

• Problemi relativi alla dimensione del file -

  Controllare la documentazione del server Web per assicurarsi che il software sia in grado di trasmettere file delle dimensioni di un archivio Solaris Flash.

  • Controllare la documentazione del server Web per assicurarsi che il software sia in grado di trasmettere file delle dimensioni di un archivio Solaris Flash.

  • Il comando flarcreate non ha più limitazioni relative alla dimensione massima dei singoli file. È possibile creare un archivio Solaris Flash che contenga file di dimensioni superiori a 4 Gbyte.

    Per maggiori informazioni, vedere Creazione di un archivio che contiene file di grandi dimensioni in Guida all’installazione di Solaris 10 10/08: archivi Solaris Flash (creazione e installazione).

1. Avviare il sistema master.

   Lasciare quanto più possibile il sistema master in stato di inattività e Se possibile, usare il sistema in modalità monoutente. Se non fosse possibile, arrestare le applicazioni che si desidera archiviare e quelle che utilizzano molte risorse del sistema operativo.

2. Per creare l'archivio, usare il comando flarcreate.

   # flarcreate -n name [parametri-opzionali] radice-documenti/flash/nome_file

   nome

   È il nome assegnato all'archivio. Il nome specificato sarà il valore della parola chiave content_name.

   parametri-opzionali

   Assieme al comando flarcreate si possono utilizzare diverse opzioni per personalizzare l'archivio Solaris Flash. Per le descrizioni in dettaglio di queste opzioni, vedere il Capitolo 5, Solaris Flash (riferimenti) in Guida all’installazione di Solaris 10 10/08: archivi Solaris Flash (creazione e installazione).

   radice-documenti/flash

   Il percorso della sottodirectory di Solaris Flash nella directory radice dei documenti del server di installazione.

   nome_file

   È il nome del file che contiene l'archivio.

   Per risparmiare spazio su disco, usare l'opzione -c del comando flarcreate in modo da comprimere l'archivio. Tuttavia, un archivio compresso può incidere sulle prestazioni dell'installazione boot WAN. Per maggiori informazioni sulla creazione di un archivio compresso, vedere la pagina man flarcreate(1M).

   • Se la creazione dell'archivio si conclude correttamente, il comando flarcreate restituisce il codice 0.

   • Se l'operazione non riesce, il comando flarcreate restituisce un codice diverso da zero.

Esempio 12–8 Creazione di un archivio Solaris Flash per un'installazione boot WAN

In questo esempio, l'archivio Solaris Flash viene creato clonando il server di boot WAN con il nome host server_wan. L'archivio, denominato sol_10_sparc, viene copiato esattamente dal sistema master in modo da costituire un esatto duplicato del sistema master. L'archivio viene memorizzato in sol_10_sparc.flar. L'archivio va salvato nella sottodirectory flash/archives della directory radice dei documenti sul server di boot WAN.

server_wan# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Continuazione dell'installazione boot WAN

Dopo aver creato l'archivio Solaris Flash, preconfigurare le informazioni sul client nel file sysidcfg. Per le relative istruzioni, vedere Creare il file sysidcfg.

Vedere anche

Per istruzioni dettagliate sulla creazione di un archivio Solaris Flash, vedere il Capitolo 3, Creazione di un archivio Solaris Flash (procedure) in Guida all’installazione di Solaris 10 10/08: archivi Solaris Flash (creazione e installazione).

Per maggiori informazioni sul comando flarcreate, vedere la pagina man flarcreate(1M).

Creare il file sysidcfg

Il file sysidcfg permette di specificare una serie di parole chiave con cui preconfigurare il sistema.

Per creare il file sysidcfg, procedere come segue.

Prima di cominciare

Creare l'archivio Solaris Flash. Per istruzioni dettagliate, vedere Creare l'archivio Solaris Flash.

1. Creare un file denominato sysidcfg in un editor di testo sul server di installazione.

2. Inserire le parole chiave desiderate di sysidcfg.

   Per informazioni dettagliate sulle parole chiave di sysidcfg, vedere Parole chiave del file sysidcfg.

3. Salvare il file sysidcfg in una posizione accessibile al server di boot WAN.

   Salvare il file in una delle posizioni seguenti:

   • Se il server di boot WAN e il server di installazione sono sullo stesso sistema, salvare il file nella sottodirectory flash della directory radice dei documenti sul server di boot WAN.

   • In caso contrario, salvare il file nella sottodirectory flash della directory radice dei documenti del server di installazione.

Esempio 12–9 File sysidcfg per l'installazione boot WAN

Nell'esempio seguente è presentato un esempio di file sysidcfg per un sistema SPARC. Nome host, indirizzo IP e maschera di rete del sistema sono stati preconfigurati modificando il servizio di denominazione.

network_interface=primary {hostname=client_wan
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none

Continuazione dell'installazione boot WAN

Dopo aver creato il file sysidcfg, creare un profilo JumpStart personalizzato per il client. Per le relative istruzioni, vedere Creare il profilo.

Vedere anche

Per informazioni più dettagliate sulle parole chiave di sysidcfg e i relativi valori, vedere Preconfigurazione con il file sysidcfg.

Creare il profilo

Un profilo è il file di testo che comunica al programma JumpStart personalizzato le modalità di installazione del software Solaris su un sistema. Il profilo definisce gli elementi dell'installazione, ad esempio il gruppo software da installare.

Per informazioni in dettaglio su come creare i profili, vedere Creazione di un profilo in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

Per creare il profilo, procedere come segue.

Prima di cominciare

Creare il file sysidcfg per il client. Per istruzioni dettagliate, vedere Creare il file sysidcfg.

1. Creare un file di testo sul server di installazione. Assegnare al file un nome descrittivo.

   Assegnare al profilo un nome indicativo del modo in cui si intende installare Solaris sul sistema. Ad esempio, si possono scegliere i nomi installazione_base, profilo_prog o profilo_utente.

2. Aggiungere le parole chiave e i valori desiderati.

   Per un elenco delle parole chiave e dei valori accettati nei profili, vedere Parole chiave e valori usati nei profili in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

   Le parole chiave e i relativi valori distinguono tra maiuscole e minuscole.

3. Salvare il profilo in una posizione accessibile al server di boot WAN.

   Salvare il profilo in una delle posizioni seguenti:

   • Se il server di boot WAN e il server di installazione sono sullo stesso sistema, salvare il file nella sottodirectory flash della directory radice dei documenti sul server di boot WAN.

   • In caso contrario, salvare il file nella sottodirectory flash della directory radice dei documenti del server di installazione.

4. Verificare che il proprietario del profilo sia root e che le autorizzazioni siano impostate su 644.

5. (Opzionale) Provare il profilo

   Per informazioni sulla prova dei profili, vedere Prova di un profilo in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

Esempio 12–10 Richiamo di un archivio Solaris Flash da un server HTTPS

Nell'esempio seguente, il profilo indica che il programma JumpStart personalizzato richiama l'archivio Solaris Flash da un server HTTPS.

# parole chiave            valori
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

L'elenco seguente descrive alcune parole chiave e valori dell'esempio.

install_type

Il profilo installa un archivio Solaris Flash sul sistema clone. Tutti i file verranno sovrascritti, come in un'installazione iniziale.

archive_location

L'archivio Solaris Flash compresso viene recuperato dal server HTTPS.

partitioning

Le slice dei file system sono determinate dalle parole chiave filesys, con valore explicit. Le dimensioni di root (/) si basano sulle dimensioni dell'archivio di Solaris Flash. La partizione di swap è impostata sulla dimensione necessaria e deve essere installata su c0t1d0s1. /export/home utilizza lo spazio su disco rimanente. /export/home è installata su c0t1d0s7.

Continuazione dell'installazione boot WAN

Dopo aver creato un profilo, è necessario creare e convalidare il file rules. Per le relative istruzioni, vedereCreare il file rules.

Vedere anche

Per maggiori informazioni sulla creazione dei profili, vedere Creazione di un profilo in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

Per maggiori informazioni sulle parole chiave e sui valori accettati nei profili, vedere Parole chiave e valori usati nei profili in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

Creare il file rules

Il file rules è un file di testo contenente una regola per ogni gruppo di sistemi su cui deve essere installato il sistema operativo Solaris. Ogni regola distingue un gruppo di sistemi accomunato da uno o più attributi. Collega inoltre ogni gruppo a un determinato profilo. Il profilo è un file di testo che definisce in che modo occorre installare Solaris su ogni sistema del gruppo. Ad esempio, la regola seguente specifica che il programma JumpStart dovrà usare le informazioni del profilo prof_base per installare i sistemi appartenenti al gruppo di piattaforme sun4u.

karch sun4u - prof_base -

Il file rules viene usato per creare il file rules.ok, richiesto per l'installazione JumpStart personalizzata.

Per maggiori informazioni sulla creazione del file rules, vedere Creazione del file rules in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

Per creare il file rules, procedere come segue.

Prima di cominciare

Creare il profilo per il client. Per istruzioni dettagliate, vedere Creare il profilo.

1. Sul server di installazione, creare un file di testo denominato rules.

2. Aggiungere una regola nel file rules per ciascuno dei gruppi di sistemi da installare.

   Per maggiori informazioni sulla creazione del file rules, vedere Creazione del file rules in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

3. Salvare il file rules sul server di installazione.

4. Convalidare il file rules.

   $ ./check -p percorso -r nome_file

   -p percorso

   Verifica il file rules usando lo script check dall'immagine di la versione corrente di Solaris anziché dal sistema in uso. percorso è l'immagine del software presente su un disco locale, su un DVD di Solaris attivato o su un CD Solaris Software - 1.

   Se il sistema utilizza una versione precedente di Solaris, questa opzione permette di eseguire la versione più recente di check.

   -r nome_file

   Specifica un file di regole diverso da quello denominato rules. Usando questa opzione, è possibile provare la validità di una regola prima di integrarla nel file rules.

   Durante l'esecuzione, lo script check restituisce i risultati del controllo di validità del file rules e dei singoli profili. Se non vengono riscontrati errori, lo script restituisce il messaggio seguente: The custom JumpStart configuration is ok. Lo script check crea il file rules.ok.

5. Salvare il file rules.ok in una posizione accessibile al server di boot WAN.

   Salvare il file in una delle posizioni seguenti:

   • Se il server di boot WAN e il server di installazione sono sullo stesso sistema, salvare il file nella sottodirectory flash della directory radice dei documenti sul server di boot WAN.

   • In caso contrario, salvare il file nella sottodirectory flash della directory radice dei documenti del server di installazione.

6. Verificare che il proprietario del file rules.ok sia root e che le autorizzazioni siano impostate su 644.

Esempio 12–11 Creazione e convalida del file rules

I programmi di installazione JumpStart personalizzata usano il file rules per selezionare il profilo di installazione giusto per il sistema client_wan-1. Creare un file di testo denominato rules. Aggiungervi le parole chiave e i valori.

L'indirizzo IP del client è 192.168.198.210, la maschera di sottorete è 255.255.255.0. Usare la parola chiave network per specificare il profilo che il programma JumpStart personalizzato deve utilizzare per installare il client.

network 192.168.198.0 - client_wan_prof - 

Il file rules comunica ai programmi JumpStart di usare client_wan_prof per l'installazione di la versione corrente di Solaris sul client.

Denominare il file regole_client_wan.

Una volta creato il profilo e il file rules, eseguire lo script check per verificare che i file siano validi.

server_wan# ./check -r regole_client_wan

Se lo script check non rileva errori, viene creato il file rules.ok.

Salvare il file rules.ok nella directory /opt/apache/htdocs/flash/.

Continuazione dell'installazione boot WAN

Dopo aver creato il file rules.ok, è possibile creare script iniziali e finali per l'installazione. Per le relative istruzioni, vedere (Opzionale) Creazione di script iniziali e finali.

Se non si desidera configurare questi script, vedere Creazione dei file di configurazione per continuare l'installazione boot WAN.

Vedere anche

Per maggiori informazioni sulla creazione del file rules, vedere Creazione del file rules in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

Per maggiori informazioni sulle parole chiave e i valori accettati nel file rules, vedere Parole chiave e valori usati nelle regole in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

(Opzionale) Creazione di script iniziali e finali

Gli script iniziali e finali sono script per la Bourne shell definiti dall'utente che vengono specificati nel file rules. Lo script iniziale viene creato per eseguire una serie di operazioni prima dell'installazione di Solaris sul sistema. Le operazioni specificate nello script finale vengono eseguite dopo l'installazione di Solaris ma prima del riavvio del sistema. Gli script finali possono essere usati solo con il metodo di installazione JumpStart personalizzato.

Gli script iniziali si possono usare per creare profili derivati. Gli script finali permettono di eseguire diverse attività post-installazione, come l'aggiunta di file, pacchetti, patch o software addizionale.

Gli script iniziali e finali vanno memorizzati sul server di installazione nella stessa directory dei file sysidcfg, rules.ok e dei profili.

• Per maggiori informazioni sulla creazione degli script iniziali, vedere Creazione di uno script iniziale in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

• Per maggiori informazioni sulla creazione degli script finali, vedere Creazione di uno script finale in Guida all’installazione di Solaris 10 10/08: metodo JumpStart personalizzato e installazioni avanzate .

Per continuare la preparazione dell'installazione boot WAN, vedere Creazione dei file di configurazione.

Creazione dei file di configurazione

Il metodo boot WAN usa i seguenti file per specificare la posizione dei dati e dei file richiesti per l'installazione boot WAN:

• File di configurazione del sistema (system.conf)

• File wanboot.conf

Questa sezione descrive come creare e memorizzare questi due file.

Creare il file di configurazione del sistema

Il file di configurazione del sistema permette di dirigere i programmi di installazione boot WAN verso i file seguenti:

• File sysidcfg

• File rules.ok

• Profilo JumpStart personalizzato

Il boot WAN segue i puntatori del file di configurazione del sistema per installare e configurare il client.

Il file di configurazione del sistema è un file di testo e deve essere formattato nel modo seguente:

impostazione=valore

Per usare un file di configurazione del sistema per dirigere i programmi di installazione WAN verso i file sysidcfg, rules.ok e dei profili, attenersi alla procedura seguente.

Prima di cominciare

Prima di creare il file di configurazione del sistema, è necessario creare i file di installazione richiesti per la procedura boot WAN. Per istruzioni dettagliate, vedere Creazione dei file dell'installazione JumpStart personalizzata.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Creare un file di testo. Assegnare al file un nome descrittivo, ad esempio sys-conf.s10–sparc.

3. Aggiungere le voci seguenti al file di configurazione del sistema.

   SsysidCF=URL-file-sysidcfg

   Questa impostazione punta alla directory flash del server di installazione che contiene il file sysidcfg. Accertarsi che questo URL corrisponda al percorso del file sysidcfg creato in Creare il file sysidcfg.

   Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.

   SjumpsCF=URL-file-jumpstart

   Questa impostazione punta alla directory Solaris Flash sul server di installazione che contiene il file rules.ok, il file dei profili e gli script iniziali e finali. Accertarsi che questo URL corrisponda al percorso dei file dell'installazione JumpStart personalizzata creati in Creare il profilo e Creare il file rules.

   Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.

4. Salvare il file in una directory accessibile al server di boot WAN.

   A fini amministrativi, è consigliabile salvare il file nella directory appropriata in /etc/netboot sul server di boot WAN.

5. Nel file di configurazione del sistema, modificare le autorizzazioni su 600.

   # chmod 600 /percorso/file_configurazione_sistema

   percorso

   Specifica il percorso della directory contenente il file di configurazione del sistema.

   file_configurazione_sistema

   Specifica il nome del file di configurazione del sistema.

Esempio 12–12 File di configurazione del sistema per l'installazione boot WAN con collegamento HTTPS

Nell'esempio seguente, i programmi di boot WAN controllano la presenza dei file sysidcfg e JumpStart sul server Web https://www.example.com alla porta 1234. Il server Web usa il collegamento HTTPS per cifrare i dati e i file durante l'installazione.

Il file sysidcfg e i file dell'installazione JumpStart personalizzata si trovano nella sottodirectory flash della directory radice dei documenti (/opt/apache/htdocs).

SsysidCF=https://www.example.com:1234/flash
SjumpsCF=https://www.example.com:1234/flash

Esempio 12–13 File di configurazione del sistema per le installazioni boot WAN non sicure

Nell'esempio seguente, i programmi di boot da WAN controllano la presenza dei file sysidcfg e JumpStart sul server Web http://www.example.com alla porta 1234. Il server Web usa HTTP, quindi i dati e i file non sono protetti durante l'installazione.

Il file sysidcfg e i file dell'installazione JumpStart personalizzata si trovano nella sottodirectory flash della directory radice dei documenti (/opt/apache/htdocs).

SsysidCF=http://www.example.com/flash
SjumpsCF=http://www.example.com/flash

Continuazione dell'installazione boot WAN

Dopo aver creato il file di configurazione del sistema, creare il file wanboot.conf. Per le relative istruzioni, vedere Creare il file wanboot.conf.

Creare il file wanboot.conf

Il file wanboot.conf è un file di testo di configurazione utilizzato dai programmi di boot per eseguire l'installazione WAN. Il programma wanboot-cgi, il file system di boot e la miniroot di boot WAN usano le informazioni incluse nel file wanboot.conf per l'installazione del sistema client.

Salvare il file wanboot.conf nella sottodirectory client appropriata, nella gerarchia /etc/netboot sul server di boot WAN. Per informazioni su come definire l'installazione boot WAN con la gerarchia /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.

Se il server di boot WAN esegue la la versione corrente di Solaris, è disponibile un esempio del file wanboot.conf in /etc/netboot/wanboot.conf.sample. Questo file può essere utilizzato come modello per la propria installazione boot WAN.

Nel file wanboot.conf è necessario includere le informazioni seguenti.

Queste informazioni si specificano elencando i parametri e i valori associati nel formato seguente:

parametro=valore

Per informazioni in dettaglio sui parametri e la sintassi del file wanboot.conf, vedere Parametri e sintassi del file wanboot.conf.

Per creare il file wanboot.conf, procedere come segue.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Creare il file di testo wanboot.conf.

   Si può creare un nuovo file di testo denominato wanboot.conf, oppure usare il file campione situato in /etc/netboot/wanboot.conf.sample. Se si usa il file di esempio, rinominare il wanboot.conf una volta aggiunti i parametri.

3. Digitare i parametri e i valori di wanboot.conf per l'installazione.

   Per descrizioni in dettaglio di parametri e valori del file wanboot.conf, vedere Parametri e sintassi del file wanboot.conf.

4. Salvare il file wanboot.conf nella sottodirectory appropriata della struttura gerarchica /etc/netboot.

   Per informazioni su come creare la struttura gerarchica /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.

5. Convalidare il file wanboot.conf.

   # bootconfchk /etc/netboot/percorso-wanboot.conf/wanboot.conf

   percorso-wanboot.conf

   Specifica il percorso del file wanboot.conf del client sul server boot WAN

   • Se il file wanboot.conf è valido dal punto di vista strutturale, il comando bootconfchk restituisce un codice di uscita 0.

   • Se invece non è valido, il comando bootconfchk restituisce un codice diverso da zero.

6. Cambiare le autorizzazioni del file wanboot.conf su 600.

   # chmod 600 /etc/netboot/percorso-wanboot.conf/wanboot.conf

Esempio 12–14 File wanboot.conf per l'installazione boot WAN con collegamento HTTPS

Il seguente file wanboot.conf di esempio include informazioni di configurazione per un'installazione WAN che usa un collegamento HTTPS. Il file wanboot.conf indica inoltre che in questa installazione è impiegata una chiave di cifratura 3DES.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Il file wanboot.conf specifica la configurazione seguente:

boot_file=/wanboot/wanboot.s10_sparc

Il programma di boot di secondo livello è wanboot.s10_sparc ed è situato nella directory /wanboot della directory radice dei documenti del server di boot WAN.

root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi

La posizione del programma wanboot-cgi sul server di boot WAN è https://www.example.com:1234/cgi-bin/wanboot-cgi. La parte https dell'URL indica che questa installazione boot WAN usa HTTPS.

root_file=/miniroot/miniroot.s10_sparc

Il nome della miniroot di boot WAN è miniroot.s10_sparc. ed è situata nella directory /miniroot della directory radice dei documenti del server di boot WAN.

signature_type=sha1

Il programma wanboot.s10_sparc e il file system di boot WAN sono firmati con una chiave di hashing HMAC SHA1.

encryption_type=3des

Il programma wanboot.s10_sparc e il file system di boot sono cifrati con una chiave 3DES.

server_authentication=yes

Il server è autenticato durante l'installazione.

client_authentication=no

Il client non è autenticato durante l'installazione.

resolve_hosts=

Per eseguire l'installazione WAN non sono necessari altri nomi host. Tutti le informazioni e i file richiesti sono ubicati nella directory radice dei documenti nel server di boot WAN.

boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi

(Opzionale) I messaggi di log di boot e installazione sono registrati sul server di boot WAN tramite il collegamento HTTPS.

Per istruzioni sulla configurazione di un server di log per l'installazione boot WAN, vedere (Opzionale) Configurazione del server di log per il boot WAN.

system_conf=sys-conf.s10–sparc

Il file di configurazione del sistema che contiene le posizioni dei file sysidcfg e JumpStart si trova in una sottodirectory della struttura gerarchica /etc/netboot. Il nome del file di configurazione del sistema è sys-conf.s10–sparc.

Esempio 12–15 File wanboot.conf per l'installazione boot WAN non sicura

Il seguente file wanboot.conf include informazioni di configurazione per un'installazione boot WAN con minore grado di sicurezza che usa HTTP. Il file wanboot.conf indica inoltre che l'installazione non usa una chiave di cifratura o una chiave di hashing.

boot_file=/wanboot/wanboot.s10_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Il file wanboot.conf specifica la configurazione seguente:

boot_file=/wanboot/wanboot.s10_sparc

Il programma di boot di secondo livello è wanboot.s10_sparc ed è situato nella directory /wanboot della directory radice dei documenti del server di boot WAN.

root_server=http://www.example.com/cgi-bin/wanboot-cgi

La posizione del programma wanboot-cgi sul server di boot WAN è http://www.example.com/cgi-bin/wanboot-cgi. Questa installazione non usa un collegamento HTTPS.

root_file=/miniroot/miniroot.s10_sparc

Il nome della miniroot di boot WAN è miniroot.s10_sparc. ed è situata nella sottodirectory /miniroot nella directory radice dei documenti del server di boot WAN.

signature_type=

Il programma wanboot.s10_sparc e il file system di boot WAN non sono firmati con una chiave di hashing.

encryption_type=

Il programma wanboot.s10_sparc e il file system di boot non sono cifrati.

server_authentication=no

Il server non è autenticato con chiavi o certificati durante l'installazione.

client_authentication=no

Il client non è autenticato con chiavi o certificati durante l'installazione.

resolve_hosts=

Per eseguire l'installazione non sono necessari altri nomi host. Tutti le informazioni e i file richiesti sono ubicati nella directory radice dei documenti nel server di boot WAN.

boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

(Opzionale) I messaggi di log di avvio e installazione sono registrati sul server di boot WAN.

Per istruzioni sulla configurazione di un server di log per l'installazione boot WAN, vedere (Opzionale) Configurazione del server di log per il boot WAN.

system_conf=sys-conf.s10–sparc

Il file di configurazione di sistema che contiene le posizioni del file sysidcfg e dei file di JumpStart è denominato sys-conf.s10–sparc ed è situato nella sottodirectory appropriata del client nella struttura gerarchica /etc/netboot.

Continuazione dell'installazione boot WAN

Dopo aver creato il file wanboot.conf, è possibile configurare un server DHCP per il supporto del boot WAN. Per le relative istruzioni, vedere (Opzionale) Fornitura delle informazioni di configurazione con un server DHCP.

Se non si desidera usare un server DHCP nell'installazione boot WAN, vedere Controllare l'alias di dispositivo net nella OBP del client.

Vedere anche

Per una descrizione dettagliata dei parametri e dei valori usati in wanboot.conf, vedere Parametri e sintassi del file wanboot.conf e la pagina man wanboot.conf(4).

(Opzionale) Fornitura delle informazioni di configurazione con un server DHCP

Se si usa un server DHCP nella rete, è possibile configurarlo per fornire le seguenti informazioni:

• Indirizzo IP del server proxy

• Posizione del programma wanboot-cgi

Nell'installazione boot WAN si possono usare le seguenti opzioni di fornitori DHCP.

SHTTPproxy

Specifica l'indirizzo IP del server proxy della rete

SbootURI

Specifica l'URL del programma wanboot-cgi sul server di boot WAN.

Per informazioni su come impostare le opzioni dei fornitori su un server DHCP Solaris, vedere Preconfigurazione delle informazioni di configurazione del sistema con il servizio DHCP (procedure).

Per informazioni in dettaglio sulla configurazione di un server DHCP Solaris, vedere il Capitolo 14, Configuring the DHCP Service (Tasks) in System Administration Guide: IP Services.

Per proseguire l'installazione boot WAN, vedere il Capitolo 13SPARC: Installazione con il metodo boot WAN (procedure).

Capitolo 13 SPARC: Installazione con il metodo boot WAN (procedure)

Questo capitolo descrive come eseguire un'installazione boot WAN su un client SPARC. Per informazioni su come predisporre un'installazione boot WAN, vedere il Capitolo 12Installazione con il metodo boot WAN (attività).

Questo capitolo descrive le seguenti operazioni:

• Preparazione del client per un'installazione boot WAN

• Installazione del client

Mappa delle attività: Installazione di un client con il metodo boot WAN

La tabella seguente elenca le procedure necessarie per eseguire l'installazione di un client da una WAN.

Preparazione del client per un'installazione boot WAN

Prima di installare il sistema client, prepararlo eseguendo le attività seguenti:

• Controllare l'alias di dispositivo net nella OBP del client

• Installazione delle chiavi sul client

Controllare l'alias di dispositivo net nella OBP del client

Per avviare il client dalla WAN con boot net, l'alias di dispositivo net deve essere impostato sul dispositivo di rete principale del client. Sulla maggior parte dei sistemi, l'alias è già impostato correttamente. Tuttavia, se l'alias non è impostato sul dispositivo di rete da usare, è necessario modificarlo.

Per maggiori informazioni sull'impostazione degli alias dei dispositivi, vedere la sezione “The Device Tree” nel documento OpenBoot 3.x Command Reference Manual.

Per controllare l'alias di dispositivo net sul client, attenersi alla procedura seguente.

1. Diventare superutente o assumere un ruolo equivalente sul client.

2. Portare il sistema al livello di esecuzione 0.

   # init 0

   Viene visualizzato il prompt ok.

3. Al prompt ok, controllare gli alias di dispositivo impostati nella OBP.

   ok devalias

   Il comando devalias restituisce informazioni simili a quelle riportate nell'esempio seguente:

   screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

   • Se l'alias net è impostato sul dispositivo di rete da usare durante l'installazione, non è necessario ripristinare l'alias. Per continuare l'installazione, passare a Installazione delle chiavi sul client.

   • Se l'alias net non è impostato sul dispositivo di rete da usare, bisogna ripristinarlo. Continuare.

4. Impostare l'alias di dispositivo net.

   Scegliere uno dei comandi seguenti per impostare l'alias di dispositivo net.

   • Per impostare l'alias di dispositivo net per questa sola installazione, usare il comando devalias.

     ok devalias net percorso-dispositivo

     net percorso-dispositivo

     Assegna il dispositivo percorso-dispositivo all'alias net

   • Per impostare l'alias di dispositivo net in modo permanente, digitare nvalias.

     ok nvalias net percorso-dispositivo

     net percorso-dispositivo

     Assegna il dispositivo percorso-dispositivo all'alias net

Esempio 13–1 Controllo e ripristino dell'alias di dispositivo net

I comandi seguenti mostrano come controllare e ripristinare l'alias di dispositivo net.

Controllare gli alias di dispositivo.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

Per usare il dispositivo di rete /pci@1f,0/pci@1,1/network@5,1, digitare il comando seguente.

ok devalias net /pci@1f,0/pci@1,1/network@5,1

Continuazione dell'installazione boot WAN

Dopo aver controllato l'alias di dispositivo net, vedere la sezione appropriata per continuare l'installazione.

• Se nell'installazione si utilizzano una chiave di hashing e una chiave di cifratura, vedere Installazione delle chiavi sul client.

• Se si sta eseguendo un'installazione meno sicura senza chiavi, vedere Installazione del client.

Installazione delle chiavi sul client

Per un'installazione boot WAN più sicura o un'installazione non sicura con il controllo di integrità dei dati, occorre installare le chiavi sul client. Usando una chiave di hashing e una di cifratura, è possibile proteggere i dati trasmessi al client. Le chiavi si possono installare con i metodi seguenti:

• Impostare le variabili OBP – è possibile assegnare i valori delle chiavi alle variabili degli argomenti di avvio di rete OBP prima di avviare il client. Queste chiavi si possono usare anche per le future installazioni di boot WAN del client.

• Inserire i valori delle chiavi durante il processo di boot – è possibile impostare i valori delle chiavi al prompt del programma wanboot boot>. Se si opta per quest'ultimo metodo, le chiavi vengono utilizzate solo per l'installazione con boot da WAN corrente.

Le chiavi si possono installare anche nella OBP di un client in esecuzione. Per installare le chiavi su un client in esecuzione, il sistema deve eseguire il sistema operativo Solaris 9 12/03 o una versione compatibile.

All'installazione delle chiavi sul client, accertarsi che i valori non vengano trasmessi tramite un collegamento non sicuro. Per garantire la riservatezza dei valori delle chiavi, attenersi strettamente alle politiche di sicurezza del sito.

• Per istruzioni su come assegnare i valori delle chiavi alle variabili degli argomenti di boot di rete OBP, vedere Installare le chiavi nella OBP del client.

• Per istruzioni sull'installazione delle chiavi durante il processo di boot, vedere Eseguire un'installazione boot WAN interattiva.

• Per istruzioni su come installare le chiavi nella OBP di un client in esecuzione,vedere Installare una chiave di hashing e una di cifratura su un client in esecuzione.

Installare le chiavi nella OBP del client

È possibile assegnare i valori delle chiavi alle variabili degli argomenti di avvio in rete OBP prima di avviare il client. Queste chiavi si possono usare anche per le future installazioni di boot WAN del client.

Per installare le chiavi nella OBP del client, procedere come segue.

Per assegnare i valori delle chiavi alle variabili degli argomenti del boot di rete OBP, attenersi alla procedura seguente.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Visualizzare il valore per ogni chiave del client.

   # wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave

   ip-rete

   L'indirizzo IP della sottorete del client.

   ID-client

   L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.

   tipo-chiave

   Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.

   Viene visualizzato il valore esadecimale della chiave.

3. Ripetere la procedura precedente per ogni tipo di chiave da installare.

4. Portare il sistema client al livello di esecuzione 0.

   # init 0

   Viene visualizzato il prompt ok.

5. Al prompt ok del client, impostare il valore della chiave di hashing.

   ok set-security-key wanboot-hmac-sha1 valore-chiave

   set-security-key

   Installa la chiave sul client

   wanboot-hmac-sha1

   Istruisce la OBP di installare una chiave di hashing HMAC SHA1

   valore-chiave

   Specifica la stringa esadecimale visualizzata al Punto 2.

   La chiave di hashing HMAC SHA1 è installata nel client OBP.

6. Al prompt ok del client, installare la chiave di cifratura.

   ok set-security-key wanboot-3des valore-chiave

   set-security-key

   Installa la chiave sul client

   wanboot-3des

   Istruisce la OBP di installare una chiave di cifratura 3DES. Per usare una chiave di cifratura AES, impostare questo valore su wanboot-aes.

   valore-chiave

   Specifica la stringa esadecimale che rappresenta la chiave di cifratura.

   La chiave di cifratura 3DES è installata nella OBP del client.

   Una volta installate le chiavi, si è pronti per installare il client. Per istruzioni su come installare il sistema client, vedere Installazione del client.

7. (Opzionale) Verificare che le chiavi siano impostate nella OBP del client.

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (Opzionale) Per eliminare una chiave, digitare il comando seguente:

   ok set-security-key tipo-chiave

   tipo-chiave

   Specifica il tipo di chiave da eliminare. Usare il valore wanboot-hmac-sha1, wanboot-3des, o wanboot-aes.

Esempio 13–2 Installazione delle chiavi nella OBP del client

L'esempio mostra come installare una chiave di hashing e una chiave di cifratura nella OBP del client.

Visualizzare i valori delle chiavi sul server di boot WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

L'esempio precedente usa le seguenti informazioni:

net=192.168.198.0

Specifica l'indirizzo IP della sottorete del client

cid=010003BA152A42

Specifica l'ID del client

b482aaab82cb8d5631e16d51478c90079cc1d463

Specifica il valore della chiave di hashing HMAC SHA1 del client

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Specifica il valore della chiave di cifratura 3DES del client

Se nell'installazione si fa uso di una chiave di cifratura AES, modificare wanboot-3des in wanboot-aes per visualizzare il valore della chiave di cifratura.

Installare le chiavi sul sistema client.

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

I comandi precedenti eseguono le seguenti operazioni:

• Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client

• Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client

  Se nell'installazione si fa uso di una chiave di cifratura AES, modificare wanboot-3des in wanboot-aes.

Continuazione dell'installazione boot WAN

Dopo avere installato le chiavi sul client, si è pronti per installare il client attraverso la WAN. Per le relative istruzioni, vedere Installazione del client.

Vedere anche

Per maggiori informazioni sulla visualizzazione dei valori delle chiavi, vedere la pagina man wanbootutil(1M).

Installare una chiave di hashing e una di cifratura su un client in esecuzione

È possibile impostare i valori delle chiavi al prompt boot> del programma wanboot su un sistema in esecuzione. Se si opta per quest'ultimo metodo, le chiavi vengono utilizzate solo per l'installazione con boot da WAN corrente.

Per installare una chiave di hashing e una chiave di cifratura nella OBP di un client in esecuzione, attenersi alla procedura seguente.

Prima di cominciare

Nella procedura, si ipotizza quanto segue:

• Il sistema client è alimentato.

• Il client è accessibile tramite un collegamento sicuro, come una shell sicura (ssh).

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Visualizzare il valore per ogni chiave del client.

   # wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave

   ip-rete

   L'indirizzo IP della sottorete del client.

   ID-client

   L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.

   tipo-chiave

   Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.

   Viene visualizzato il valore esadecimale della chiave.

3. Ripetere la procedura precedente per ogni tipo di chiave da installare.

4. Diventare superutente o assumere un ruolo equivalente sul client.

5. Installare le chiavi necessarie sul sistema client in esecuzione.

   # /usr/lib/inet/wanboot/ickey -o type=tipo-chiave > valore-chiave

   tipo-chiave

   Specifica il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.

   valore-chiave

   Specifica la stringa esadecimale visualizzata al Punto 2.

6. Ripetere la procedura precedente per ogni tipo di chiave da installare.

   Una volta installate le chiavi, si è pronti per installare il client. Per istruzioni su come installare il sistema client, vedere Installazione del client.

Esempio 13–3 Installazione delle chiavi nella OBP di un sistema client in esecuzione

L'esempio seguente mostra come installare le chiavi nella OBP di un client in esecuzione.

Visualizzare i valori delle chiavi sul server di boot WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

L'esempio precedente usa le seguenti informazioni:

net=192.168.198.0

Specifica l'indirizzo IP della sottorete del client

cid=010003BA152A42

Specifica l'ID del client

b482aaab82cb8d5631e16d51478c90079cc1d463

Specifica il valore della chiave di hashing HMAC SHA1 del client

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Specifica il valore della chiave di cifratura 3DES del client

Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzare il valore della chiave di cifratura.

Installare le chiave nella OBP del client in esecuzione.

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

I comandi precedenti eseguono le seguenti operazioni:

• Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client.

• Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client

Continuazione dell'installazione boot WAN

Dopo avere installato le chiavi sul client, si è pronti per installare il client attraverso la WAN. Per le relative istruzioni, vedere Installazione del client.

Vedere anche

Per maggiori informazioni sulla visualizzazione dei valori delle chiavi, vedere la pagina man wanbootutil(1M).

Per maggiori informazioni su come installare le chiavi su un sistema in esecuzione, vedere ickey(1M).

Installazione del client

Una volta completata la preparazione della rete per l'installazione boot WAN, è possibile scegliere tra i metodi di installazione esposti a seguire.

Eseguire un'installazione boot WAN non interattiva

Usare questo metodo se si preferisce installare le chiavi e impostare le informazioni di configurazione del client prima dell'installazione. Successivamente si potrà eseguire il boot del client dalla WAN ed eseguire un'installazione non presidiata.

In questa procedura si presume che le chiavi siano state installate nella OBP del client oppure che si stia eseguendo un'installazione non sicura. Per informazioni sull'installazione delle chiavi sul client prima dell'installazione, vedere Installazione delle chiavi sul client.

1. Se il sistema client è in esecuzione, portarlo al livello 0.

   # init 0

   Viene visualizzato il prompt ok.

2. Al prompt ok sul sistema client, impostare le variabili degli argomenti dell'avvio di rete nella OBP.

   ok setenv network-boot-arguments host-ip=IP-client, router-ip=ip-router,subnet-mask=valore-maschera, hostname=nome-client,http-proxy=ip-proxy:porta, file=URL-wanbootCGI

   ---

   Nota –

   Le interruzioni di riga sono incluse in questo esempio di comando a titolo puramente esemplificativo. Non inserire un ritorno a capo fino al termine della digitazione del comando.

   ---

   setenv network-boot-arguments

   Indica alla OBP di impostare i seguenti argomenti di avvio

   host-ip=IP-client

   Specifica l'indirizzo IP del client

   router-ip=ip-router

   Specifica l'indirizzo IP del router di rete

   subnet-mask=valore-maschera

   Specifica il valore della maschera di sottorete

   hostname=nome-client

   Specifica il nome host del client

   (Opzionale) http-proxy=ip-proxy:porta

   Specifica l'indirizzo IP e la porta del server proxy di rete

   file=URL-wanbootCGI

   Specifica l'URL del programma wanboot-cgi sul server Web

3. Avvio del client.

   ok boot net - install

   net - install

   Istruisce il client di usare le variabili degli argomenti di boot di rete per eseguire il boot dalla WAN

   Il client viene installato nella WAN. Se i programmi di boot WAN non individuano tutte le informazioni di installazione necessarie, il programma wanboot chiede di fornire le informazioni mancanti. Al prompt, digitare le informazioni addizionali richieste.

Esempio 13–4 Installazione boot WAN non interattiva

Nell'esempio seguente, le variabili degli argomenti dell'avvio di rete per il sistema client nome-client vengono impostate prima di avviare il sistema. In questo esempio si presume che sul client siano già installate una chiave di hashing e una chiave di cifratura. Per informazioni sull'installazione delle chiavi prima del boot dalla WAN,vedere Installazione delle chiavi sul client.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192
hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

Vengono definite le seguenti variabili:

• L'indirizzo IP del client è impostato su 192,168,198,136.

• L'indirizzo IP del router del client è impostato su 192.168.198.129

• La maschera di sottorete del client è impostata su 255.255.255.192.

• Il nome host del client è impostato su lupo_di_mare

• L'ubicazione del programma wanboot-cgi è http://192.168.198.135/cgi-bin/wanboot-cgi.

Vedere anche

Per maggiori informazioni su come impostare gli argomenti per l'avvio in rete, vedere set(1).

Per maggiori informazioni su come avviare un sistema, vedere boot(1M).

Eseguire un'installazione boot WAN interattiva

Usare questo metodo di installazione per installare le chiavi e impostare le informazioni di configurazione del client dalla riga di comando durante l'installazione.

In questa procedura si presume che venga utilizzato il protocollo HTTPS per l'installazione WAN. Se si esegue un'installazione non sicura, senza impiegare chiavi, non visualizzare o installare le chiavi del client.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Visualizzare il valore per ogni chiave del client.

   # wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave

   ip-rete

   Indirizzo IP della sottorete del client da installare.

   ID-client

   L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.

   tipo-chiave

   Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.

   Viene visualizzato il valore esadecimale della chiave.

3. Ripetere la procedura precedente per ogni tipo di chiave del client da installare.

4. Se il sistema client è attualmente in esecuzione, portare il client al livello di esecuzione 0.

5. Al prompt ok sul sistema client, impostare le variabili degli argomenti dell'avvio di rete nella OBP.

   ok setenv network-boot-arguments host-ip=IP-client,router-ip=ip-router, subnet-mask=valore-maschera,hostname=nome-client, http-proxy=ip-proxy:porta,bootserver=URL-wanbootCGI

   ---

   Nota –

   Le interruzioni di riga sono incluse in questo esempio di comando a titolo puramente esemplificativo. Non inserire un ritorno a capo fino al termine della digitazione del comando.

   ---

   setenv network-boot-arguments

   Indica alla OBP di impostare i seguenti argomenti di avvio

   host-ip=IP-client

   Specifica l'indirizzo IP del client

   router-ip=ip-router

   Specifica l'indirizzo IP del router di rete

   subnet-mask=valore-maschera

   Specifica il valore della maschera di sottorete

   hostname=nome-client

   Specifica il nome host del client

   (Opzionale) http-proxy=ip-proxy:porta

   Specifica l'indirizzo IP e la porta del server proxy di rete

   bootserver=URL-wanbootCGI

   Specifica l'URL del programma wanboot-cgi sul server Web

   ---

   Nota –

   Il valore dell'URL per la variabile bootserver non deve essere un URL HTTPS. L'URL deve iniziare con http://.

   ---

6. Al prompt ok del client, eseguire il boot del sistema.

   ok boot net -o prompt - install

   net -o prompt - install

   Istruisce il client di eseguire il boot e l'installazione dalla rete. Il programma wanboot richiede all'utente di inserire le informazioni di configurazione del client al prompt boot>.

   Viene visualizzato il prompt boot>.

7. Installare la chiave di cifratura.

   boot> 3des=valore-chiave

   3des=valore-chiave

   Specifica la chiave esadecimale della chiave 3DES visualizzata al Punto 2.

   Se si usa una chiave di cifratura AES, avvalersi del seguente formato di comando.

   boot> aes=valore-chiave

8. Installare la chiave di hashing.

   boot> sha1=valore-chiave

   sha1=valore-chiave

   Specifica la chiave di hashing visualizzata al Punto 2.

9. Digitare il comando seguente per continuare il processo di boot.

   boot> go

   Il client viene installato nella WAN.

10. Se richiesto, digitare le informazioni di configurazione del client dalla riga di comando.

    Se i programmi di boot WAN non individuano tutte le informazioni di installazione necessarie, il programma wanboot chiede di fornire le informazioni mancanti. Al prompt, digitare le informazioni addizionali richieste.

Esempio 13–5 Installazione boot WAN interattiva

Nell'esempio seguente, il programma wanboot richiede di impostare i valori chiave per il sistema client durante l'installazione.

Visualizzare i valori delle chiavi sul server di boot WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

L'esempio precedente usa le seguenti informazioni:

net=192.168.198.0

Specifica l'indirizzo IP della sottorete del client

cid=010003BA152A42

Specifica l'ID del client

b482aaab82cb8d5631e16d51478c90079cc1d463

Specifica il valore della chiave di hashing HMAC SHA1 del client

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Specifica il valore della chiave di cifratura 3DES del client

Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzare il valore della chiave di cifratura.

Impostare le variabili degli argomenti dell'avvio di rete nella OBP del client.

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient,
bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

Vengono definite le seguenti variabili:

• L'indirizzo IP del client è impostato su 192,168,198,136.

• L'indirizzo IP del router del client è impostato su 192.168.198.129

• La maschera di sottorete del client è impostata su 255.255.255.192.

• Il nome host del client è impostato su nome-client

• L'ubicazione del programma wanboot-cgi è http://192.168.198.135/cgi-bin/wanboot-cgi.

Avviare e installare il client.

ok boot net -o prompt - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net -o prompt                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> go

I comandi precedenti eseguono le seguenti operazioni:

• Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client

• Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client.

• Avvia l'installazione

Vedere anche

Per maggiori informazioni su come visualizzare i valori delle chiavi, vedere wanbootutil(1M).

Per maggiori informazioni su come impostare gli argomenti per l'avvio in rete, vedere set(1).

Per maggiori informazioni su come avviare un sistema, vedere boot(1M).

Eseguire un'installazione boot WAN con un server DHCP

Se è stato configurato un server DHCP per il supporto delle opzioni di boot WAN, è possibile usare tale server per fornire informazioni di configurazione ai client durante l'installazione. Per maggiori informazioni su come configurare un server DHCP per il supporto di un'installazione boot WAN, vedere (Opzionale) Fornitura delle informazioni di configurazione con un server DHCP.

Nella procedura, si ipotizza quanto segue:

• Il sistema client è in esecuzione.

• Si sono installate le chiavi sul client, oppure si è eseguita un'installazione non sicura.

  Per informazioni sull'installazione delle chiavi sul client prima dell'installazione, vedere Installazione delle chiavi sul client.

• Si è configurato il server DHCP per il supporto delle opzioni di boot WAN SbootURI e SHTTPproxy.

  Queste opzioni permettono al server DHCP di fornire le informazioni di configurazione richieste dal boot WAN.

  Per informazioni su come impostare le opzioni di installazione sul server DHCP, vedere Preconfigurazione delle informazioni di configurazione del sistema con il servizio DHCP (procedure).

1. Se il sistema client è in esecuzione, portarlo al livello 0.

   # init 0

   Viene visualizzato il prompt ok.

2. Al prompt ok sul sistema client, impostare le variabili degli argomenti dell'avvio di rete nella OBP.

   ok setenv network-boot-arguments dhcp,hostname=nome-client

   setenv network-boot-arguments

   Indica alla OBP di impostare i seguenti argomenti di avvio

   dhcp

   Istruisce la OBP di usare il server DHCP per configurare il client

   hostname=nome-client

   Specifica il nome host da assegnare al client

3. Avviare il client dalla rete.

   ok boot net - install

   net - install

   Istruisce il client di usare le variabili degli argomenti di boot di rete per eseguire il boot dalla WAN

   Il client viene installato nella WAN. Se i programmi di boot WAN non individuano tutte le informazioni di installazione necessarie, il programma wanboot chiede di fornire le informazioni mancanti. Al prompt, digitare le informazioni addizionali richieste.

Esempio 13–6 Installazione di boot WAN con un server DHCP

Nell'esempio seguente, il server DHCP della rete fornisce informazioni di configurazione al client. Questo esempio richiede il nome host esempio_client per il client.

ok setenv network-boot-arguments dhcp, hostname=myclient

ok boot net - install
Resetting ...



Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

Vedere anche

Per maggiori informazioni su come impostare gli argomenti per l'avvio in rete, vedere set(1).

Per maggiori informazioni su come avviare un sistema, vedere boot(1M).

Per maggiori informazioni su come configurare un server DHCP, vedere (Opzionale) Fornitura delle informazioni di configurazione con un server DHCP.

Eseguire un'installazione boot WAN con un CD locale

Se la OBP del client non supporta il boot WAN, è possibile eseguire l'installazione con il CD Solaris Software - 1 inserito nell'unità CD-ROM del client. Quando si usa un CD locale, il client richiama il programma wanboot dai supporti locali invece che dal server di boot WAN.

In questa procedura si presume che venga utilizzato il protocollo HTTPS per l'installazione WAN. Se si esegue un'installazione non sicura, non visualizzare o installare le chiavi del client.

Per eseguire l'installazione boot WAN da un CD locale, attenersi alla procedura seguente.

1. Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.

2. Visualizzare il valore per ogni chiave del client.

   # wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave

   ip-rete

   L'indirizzo IP del client da installare.

   ID-client

   L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.

   tipo-chiave

   Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.

   Viene visualizzato il valore esadecimale della chiave.

3. Ripetere la procedura precedente per ogni tipo di chiave del client da installare.

4. Sul client, inserire il CD Solaris Software - 1 nell'unità CD-ROM del sistema.

5. Accendere il client.

6. Avviare il client dal CD.

   ok boot cdrom -o prompt -F wanboot - install

   cdrom

   Istruisce la OBP di eseguire il boot dal CD-ROM locale

   -o prompt

   Istruisce il programma wanboot di richiedere all'utente l'immissione delle informazioni di configurazione del client

   -F wanboot

   Istruisce la OBP di caricare il programma wanboot dal CD-ROM

   - install

   Istruisce il client di eseguire un'installazione boot WAN

   L'OBP del client carica il programma wanboot dal CD Solaris Software - 1. Il programma wanbootavvia il sistema e viene visualizzato il prompt boot>.

7. Digitare il valore della chiave di cifratura.

   boot> 3des=valore-chiave

   3des=valore-chiave

   Specifica la chiave esadecimale della chiave 3DES visualizzata al Punto 2.

   Se si usa una chiave di cifratura AES, avvalersi del seguente formato di comando.

   boot> aes=valore-chiave

8. Digitare il valore della chiave di hashing.

   boot> sha1=valore-chiave

   sha1=valore-chiave

   Specifica la stringa esadecimale che rappresenta il valore della chiave di hashing visualizzata al Punto 2.

9. Impostare le variabili dell'interfaccia di rete.

   boot> variabile=valore[,variabile=valore*]

   Digitare le seguenti coppie di variabile e valore al prompt boot>.

   host-ip=IP-client

   Specifica l'indirizzo IP del client

   router-ip=ip-router

   Specifica l'indirizzo IP del router di rete

   subnet-mask=valore-maschera

   Specifica il valore della maschera di sottorete

   hostname=nome-client

   Specifica il nome host del client

   (Opzionale) http-proxy=ip-proxy:porta

   Specifica l'indirizzo IP e il numero di porta del server proxy di rete

   bootserver=URL-wanbootCGI

   Specifica l'URL del programma wanboot-cgi sul server Web

   ---

   Nota –

   Il valore dell'URL per la variabile bootserver non deve essere un URL HTTPS. L'URL deve iniziare con http://.

   ---

   Le chiavi si possono immettere con i metodi seguenti:

   • Digitare una coppia di variabile e valore al prompt boot>, quindi premere il tasto Return.

     boot> host-ip=IP-client boot> subnet-mask=valore-maschera

   • Digitare tutte le coppie di valore e variabile sulla riga del prompt boot>, quindi premere il tasto Return. Digitare le virgole necessarie a separare ogni coppia.

     boot> host-ip=IP-client,subnet-mask=valore-maschera, router-ip=ip-router,hostname=nome-client, http-proxy=ip-proxy:porta,bootserver=URL-wanbootCGI

10. Digitare il comando seguente per continuare il processo di boot.

    boot> go

    Il client viene installato nella WAN. Se i programmi di boot WAN non individuano tutte le informazioni di installazione necessarie, il programma wanboot chiede di fornire le informazioni mancanti. Al prompt, digitare le informazioni addizionali richieste.

Esempio 13–7 Installazione con i supporti CD locali

Nell'esempio seguente, il programma wanboot su un CD locale richiede di impostare le variabili dell'interfaccia di rete per il client durante l'installazione.

Visualizzare i valori delle chiavi sul server di boot WAN.

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

L'esempio precedente usa le seguenti informazioni:

net=192.168.198.0

Specifica l'indirizzo IP della sottorete del client

cid=010003BA152A42

Specifica l'ID del client

b482aaab82cb8d5631e16d51478c90079cc1d463

Specifica il valore della chiave di hashing HMAC SHA1 del client

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Specifica il valore della chiave di cifratura 3DES del client

Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzare il valore della chiave di cifratura.

Avviare e installare il client.

ok boot cdrom -o prompt -F wanboot - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot cdrom -F wanboot - install                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> host-ip=192.168.198.124

boot> subnet-mask=255.255.255.128

boot> router-ip=192.168.198.1

boot> hostname=myclient
boot> client-id=010003BA152A42

boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

boot> go

I comandi precedenti eseguono le seguenti operazioni:

• Immette la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client.

• Immette la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client.

• Imposta l'indirizzo IP del client su 192.168.198.124

• Imposta la maschera di sottorete del client su 255.255.255.128

• Imposta l'indirizzo IP del router del client su 192.168.198.1

• Imposta il nome host del client su esempio_client

• Imposta l'ID del client su 010003BA152A42

• Imposta la posizione del programma wanboot-cgi su http://192.168.198.135/cgi-bin/wanboot-cgi/

Vedere anche

Per maggiori informazioni su come visualizzare i valori delle chiavi, vedere wanbootutil(1M).

Per maggiori informazioni su come impostare gli argomenti per l'avvio in rete, vedere set(1).

Per maggiori informazioni su come avviare un sistema, vedere boot(1M).

Capitolo 14 SPARC: Installazione con il metodo boot WAN (esempi)

Questo capitolo fornisce un esempio di configurazione e installazione dei sistemi client in una rete geografica o WAN (Wide Area Network). Gli esempi illustrati descrivono come eseguire un'installazione boot WAN sicura con un collegamento HTTPS.

• Configurazione del sito di riferimento

• Creazione della directory radice dei documenti

• Creazione della miniroot di boot WAN

• Controllo del supporto del boot WAN da parte dell'OBP del client

• Installazione del programma wanboot sul server di boot WAN

• Creazione della struttura gerarchica /etc/netboot

• Copiare il programma wanboot-cgi sul server di boot WAN

• (Opzionale) Configurazione del server di boot WAN come server di log

• Configurazione del server di boot WAN per l'uso di HTTPS

• Fornitura del certificato digitale al client

• (Opzionale) Uso della chiave privata e del certificato per l'autenticazione del client

• Creazione di chiavi per il server e il client

• Creazione dell'archivio Solaris Flash

• Creazione del file sysidcfg

• Creazione del profilo del client

• Creazione e convalida del file rules

• Creazione del file di configurazione del sistema

• Creazione del file wanboot.conf

• Controllo dell'alias di dispositivo net in OBP

• Installazione delle chiavi sul client

• Installazione del client

Configurazione del sito di riferimento

La Figura 14–1 mostra la configurazione del sito a cui fa riferimento l'esempio descritto.

Figura 14–1 Sito di esempio per l'installazione boot WAN

Questo sito di esempio presenta le seguenti caratteristiche:

• Il server server_wan-1 deve essere configurato come server di boot WAN e server di installazione.

• L'indirizzo IP di server_wan-1 è 192.168.198.2.

• Il nome di dominio di server_wan-1 è www.example.com.

• server_wan-1 esegue la versione corrente di Solaris.

• server_wan-1 esegue il server Web di Apache. Il software Apache su server_wan-1 è configurato per il supporto di HTTPS.

• Il client da installare è client_wan-1.

• client_wan-1 è un sistema UltraSPARCII.

• L'ID client di client_wan-1 è 010003BA152A42.

• L'indirizzo IP di client_wan-1 è 192.168.198.210.

• L'indirizzo IP della sottorete del client è 192.168.198.0.

• Il sistema client client_wan-1 ha accesso a Internet, ma non è collegato direttamente alla rete su cui si trova server_wan-1.

• client_wan-1 è un nuovo sistema su cui deve essere installato la versione corrente di Solaris.

Creazione della directory radice dei documenti

Per memorizzare i file e i dati di installazione, definire le seguenti directory nella directory radice dei documenti (/opt/apache/htdocs) su server_wan-1.

• Directory Solaris Flash

  server_wan-1# mkdir -p /opt/apache/htdocs/flash/

• Directory della miniroot di boot WAN

  server_wan-1# mkdir -p /opt/apache/htdocs/miniroot/

• Directory del programma wanboot

  server_wan-1# mkdir -p /opt/apache/htdocs/wanboot/

Creazione della miniroot di boot WAN

Usare il comando setup_install_server(1M) con l'opzione -w per copiare la miniroot di boot WAN e l'immagine del software di Solaris nella directory /export/install/Solaris_10 di server_wan-1.

Inserire i supporti di Solaris nell'unità collegata a server_wan-1. Digitare i seguenti comandi:

server_wan-1# mkdir -p /export/install/cdrom0
server_wan-1# cd /cdrom/cdrom0/Solaris_10/Tools
server_wan-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Spostare la miniroot di boot WAN nella directory radice dei documenti (/opt/apache/htdocs/) del server di boot WAN.

server_wan-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Controllo del supporto del boot WAN da parte dell'OBP del client

Determinare se la OBP del client supporta il boot WAN digitando il seguente comando sul client.

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

Nell'esempio precedente, il risultato network-boot-arguments: datanot available indica che la OBP del client supporta le installazioniboot WAN.

Installazione del programma wanboot sul server di boot WAN

Per installare il programma wanboot sul server di boot WAN, copiare il programma dai supporti di Solaris alla directory radice dei documenti del server di boot WAN.

Inserire il DVD di Solaris o il CD Solaris Software - 1 nell'unità collegata a server_wan-1 e digitare i seguenti comandi.

server_wan-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
server_wan-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

Creazione della struttura gerarchica /etc/netboot

Creare le sottodirectory di client_wan-1 della directory /etc/netboot sul server di boot WAN. Durante l'installazione, è da questa directory che i programmi di installazione boot WAN richiamano le informazioni di configurazione e sicurezza.

client_wan-1 si trova nella sottorete 192.168.198.0, e ha un ID client 010003BA152A42. Per creare la sottodirectory appropriata di /etc/netboot per client_wan-1, procedere come segue.

• Creare la directory /etc/netboot.

• Modificare le autorizzazioni della directory /etc/netboot su 700.

• Modificare il proprietario della directory /etc/netboot in modo che corrisponda al proprietario del processo del server Web.

• Assumere lo stesso ruolo dell'utente del server Web.

• Creare una sottodirectory di /etc/netboot il cui nome corrisponda alla sottorete (192.168.198.0).

• Creare una sottodirectory nella directory della sottorete utilizzando come nome l'ID del client.

• Modificare le autorizzazioni delle sottodirectory di /etc/netboot su 700.

server_wan-1# cd /
server_wan-1# mkdir /etc/netboot/
server_wan-1# chmod 700 /etc/netboot
server_wan-1# chown nobody:admin /etc/netboot
server_wan-1# exit
server_wan-1# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Copiare il programma wanboot-cgi sul server di boot WAN

Sui sistemi che eseguono la versione corrente di Solaris, il programma wanboot-cgi è ubicato nella directory /usr/lib/inet/wanboot/. Per abilitare il server di boot WAN alla trasmissione dei dati di installazione, copiare il programma wanboot-cgi nella directory cgi-bin all'interno della directory del server Web.

server_wan-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
server_wan-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(Opzionale) Configurazione del server di boot WAN come server di log

Nell'impostazione predefinita, i messaggi relativi al boot WAN vengono visualizzati sul sistema client. Questo comportamento permette di identificare e correggere rapidamente gli eventuali problemi di installazione.

Per visualizzare i messaggi di boot e installazione sul server di boot WAN, copiare lo script bootlog-cgi nella directory cgi-bin su server_wan-1.

server_wan-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
server_wan-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Configurazione del server di boot WAN per l'uso di HTTPS

Per usare HTTPS nell'installazione boot WAN, è necessario abilitare il supporto di SSL nel server Web. Occorre inoltre installare un certificato digitale sul server di boot WAN. In questo esempio si presume che il server Web Apache su server_wan-1 sia già configurato per l'uso di SSL. In questo esempio si presume inoltre che un certificato digitale e un'autorità di certificazione che stabiliscono l'identità di server_wan-1 siano già installate su server_wan-1.

Per reperire esempi sulla configurazione del server Web per l'uso di SSL, vedere la documentazione del server Web.

Fornitura del certificato digitale al client

Richiedendo al server di autenticarsi presso il client, si proteggono i dati trasmessi dal server al client tramite HTTPS. Per consentire l'autenticazione del server, occorre fornire un certificato digitale trusted al client, che permette a quest'ultimo di verificare l'identità del server durante l'installazione.

Per fornire il certificato trusted al client, assumere lo stesso ruolo dell'utente del server Web. Quindi, suddividere il certificato in modo da estrarre un certificato trusted. Quindi inserire il certificato nel file truststore del client, all'interno della struttura gerarchica /etc/netboot.

In questo esempio, l'utente assume il ruolo dell'utente del server Web (nobody). Quindi, suddivide il certificato PKCS#12 del server cert.p12 e inserisce il certificato trusted nella directory /etc/netboot di client_wan-1.

server_wan-1# su nobody
Password:
server_wan-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(Opzionale) Uso della chiave privata e del certificato per l'autenticazione del client

A ulteriore protezione dei dati durante l'installazione, è auspicabile richiedere che anche client_wan-1 esegua la propria autenticazione presso server_wan-1. Per abilitare l'autenticazione del client nell'installazione boot WAN, inserire un certificato per il client e una chiave privata nella sottodirectory del client della struttura gerarchica /etc/netboot.

Per fornire una chiave privata e un certificato al client, procedere come segue.

• Assumere lo stesso ruolo dell'utente del server Web.

• Suddividere il file PKCS#12 in una chiave privata e un certificato client

• Inserire il certificato nel file certstore del client

• Inserire la chiave privata nel file keystore del client

In questo esempio, l'utente assume il ruolo dell'utente del server Web (nobody). Quindi, suddivide il certificato PKCS#12 cert.p12 del server. Il certificato va inserito nella struttura gerarchica /etc/netboot di client_wan-1, quindi si inserisce la chiave privata client_wan.key nel file keystore del client.

server_wan-1# su nobody
Password:
server_wan-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k client_wan.key
server_wan-1# wanbootutil keymgmt -i -k client_wan.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

Creazione di chiavi per il server e il client

Per proteggere i dati trasmessi tra il server e il client, è possibile creare una chiave di hashing e una chiave di cifratura. Il server utilizza la chiave di hashing per proteggere l'integrità del programma wanboot, mentre la chiave di cifratura consente di cifrare i dati di configurazione e installazione. Il client utilizza a sua volta la chiave di hashing per controllare l'integrità del programma wanboot scaricato, mentre la chiave di cifratura consente di decifrare i dati durante l'installazione.

Per prima cosa, assumere lo stesso ruolo dell'utente del server Web. In questo esempio, il ruolo dell'utente del server Web è nobody.

server_wan-1# su nobody
Password:

Quindi, usare il comando wanbootutil keygen per creare una chiave master HMAC SHA1 per server_wan-1.

server_wan-1# wanbootutil keygen -m

Poi creare una chiave di hashing e una chiave di cifratura per client_wan-1.

server_wan-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
server_wan-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Il comando precedente crea una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per client_wan-1. 192.168.198.0 specifica la sottorete di client_wan-1, mentre 010003BA152A42 specifica l'ID di client_wan-1.

Creazione dell'archivio Solaris Flash

In questo esempio, l'archivio Solaris Flash viene creato per clonazione dal sistema master di server_wan-1. L'archivio, denominato sol_10_sparc, viene copiato esattamente dal sistema master in modo da costituire un esatto duplicato del sistema master. L'archivio viene memorizzato in sol_10_sparc.flar. L'archivio va salvato nella sottodirectory flash/archives della directory radice dei documenti sul server di boot WAN.

server_wan-1# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Creazione del file sysidcfg

Per preconfigurare il sistema client_wan-1, specificare le parole chiave e i valori nel file sysidcfg. Salvare quindi il file nella sottodirectory appropriata della directory radice dei documenti di server_wan-1.

Esempio 14–1 File sysidcfg per il sistema client-1

Il seguente è un esempio di file sysidcfg per client_wan-1. Nome host, indirizzo IP e maschera di sottorete di questi sistemi sono stati preconfigurati modificando il servizio di denominazione. Questo file si trova nella directory /opt/apache/htdocs/flash/.

network_interface=primary {hostname=client_wan-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

Creazione del profilo del client

Per il sistema client_wan-1, creare un profilo denominato client_wan_1_prof. Il file client_wan_1_prof contiene le voci seguenti, che definiscono il software la versione corrente di Solaris da installare sul sistema client_wan-1:

# parole chiave            valori
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/cdrom0.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

L'elenco seguente descrive alcune parole chiave e valori dell'esempio.

install_type

Il profilo installa un archivio Solaris Flash sul sistema clone. Tutti i file verranno sovrascritti, come in un'installazione iniziale.

archive_location

L'archivio Solaris Flash compresso viene recuperato da server_wan-1.

partitioning

Le slice dei file system sono determinate dalle parole chiave filesys, con valore explicit. Le dimensioni di root (/) si basano sulle dimensioni dell'archivio di Solaris Flash. La partizione di swap è impostata sulla dimensione necessaria e deve essere installata su c0t1d0s1. /export/home utilizza lo spazio su disco rimanente. /export/home è installata su c0t1d0s7.

Creazione e convalida del file rules

I programmi di installazione JumpStart personalizzata usano il file rules per selezionare il profilo di installazione giusto per il sistema client_wan-1. Creare un file di testo denominato rules. Aggiungervi le parole chiave e i valori.

L'indirizzo IP di client_wan-1 è 192.168.198.210, la maschera di sottorete è 255.255.255.0. Usare la parola chiave network per specificare il profilo che il programma JumpStart personalizzato deve utilizzare per installare client_wan-1.

network 192.168.198.0 - client_wan_1_prof - 

Il file rules comunica ai programmi JumpStart di usare client_wan_1_prof per l'installazione di la versione corrente di Solaris su client_wan-1.

Denominare il file regole_client_wan.

Una volta creato il profilo e il file rules, eseguire lo script check per verificare che i file siano validi.

server_wan-1# ./check -r regole_client_wan

Se lo script check non rileva errori, viene creato il file rules.ok.

Salvare il file rules.ok nella directory /opt/apache/htdocs/flash/.

Creazione del file di configurazione del sistema

Creare un file di configurazione del sistema che elenchi le posizioni del file sysidcfg e dei file dell'installazione JumpStart personalizzata sul server di installazione. Salvare il file in una directory accessibile al server di boot WAN.

Nell'esempio seguente, il programma wanboot-cgi ricerca il file sysidcfg e i file dell'installazione JumpStart personalizzata nella directory radice dei documenti del server di boot WAN. Il nome di dominio del server di boot WAN è https://www.example.com. Il server di boot WAN è configurato per l'uso di HTTPS, in modo che i dati e i file siano protetti durante l'installazione.

In questo esempio, il file di configurazione del sistema è sys-conf.s10–sparc ed è salvato nella struttura gerarchica /etc/netboot sul server di boot WAN. I file sysidcfg e di installazione JumpStart personalizzata sono ubicati nella sottodirectory flash della directory radice dei documenti.

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

Creazione del file wanboot.conf

La procedura di boot WAN utilizza le informazioni di configurazione incluse nel file wanboot.conf per installare il sistema client. Creare il file wanboot.conf in un editor di testo. Salvare il file nella sottodirectory appropriata del client nella struttura gerarchica /etc/netboot sul server di boot WAN.

Il file wanboot.conf seguente per client_wan-1 include le informazioni di configurazione per un'installazione WAN con HTTPS. Questo file istruisce inoltre il boot WAN di usare una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per proteggere i dati.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

Il file wanboot.conf specifica la configurazione seguente:

boot_file=/wanboot/wanboot.s10_sparc

Il nome del programma wanboot è wanboot.s10_sparc e si trova nella directory wanboot della directory radice dei documenti su server_wan-1.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

La posizione del programma wanboot-cgi su server_wan-1 è https://www.example.com/cgi-bin/wanboot-cgi. La parte https dell'URL indica che questa installazione boot WAN usa HTTPS.

root_file=/miniroot/miniroot.s10_sparc

Il nome della miniroot di boot WAN è miniroot.s10_sparc. La miniroot si trova nella directory miniroot all'interno della directory radice dei documenti su server_wan-1.

signature_type=sha1

Il programma wanboot e il file system di boot WAN sono “firmati” per mezzo di una chiave di hashing HMAC SHA1.

encryption_type=3des

La cifratura del programma wanboot e del file system di boot WAN è eseguita con una chiave 3DES.

server_authentication=yes

Il server è autenticato durante l'installazione.

client_authentication=no

Il client non è autenticato durante l'installazione.

---

Nota –

Se sono state eseguite le operazioni descritte in (Opzionale) Uso della chiave privata e del certificato per l'autenticazione del client, impostare questo parametro come client_authentication=yes

---

resolve_hosts=

Per eseguire l'installazione WAN non sono necessari altri nomi host. Tutti i nomi host richiesti dal programma wanboot-cgi sono specificati nel file wanboot.conf e nel certificato del client.

boot_logger=

I messaggi di log dell'installazione e del boot vengono visualizzati sulla console del sistema. Se il server di log è stato configurato secondo quanto indicato nella sezione (Opzionale) Configurazione del server di boot WAN come server di log e si desidera che i messaggi di boot WAN compaiano anche sul server di boot WAN, impostare questo parametro su boot_logger=https://www.example.com/cgi-bin/bootlog-cgi.

system_conf=sys-conf.s10–sparc

Il file di configurazione del sistema che specifica le posizioni del file sysidcfg e dei file JumpStart si trova nel file sys-conf.s10–sparc nella struttura gerarchica /etc/netboot su server_wan-1.

In questo esempio, il file wanboot.conf viene salvato nella directory /etc/netboot/192.168.198.0/010003BA152A42 su server_wan-1.

Controllo dell'alias di dispositivo net in OBP

Per avviare il client dalla WAN con boot net, l'alias di dispositivo net deve essere impostato sul dispositivo di rete principale del client. Al prompt ok del client, digitare il comando devalias per verificare che l'alias net sia impostato sul dispositivo principale della rete /pci@1f,0/pci@1,1/network@c,1.

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

Nell'esempio di output precedente, il dispositivo principale di rete /pci@1f,0/pci@1,1/network@c,1 è assegnato all'alias net. Non è necessario ripristinare l'alias.

Installazione delle chiavi sul client

Nella sezione Creazione di chiavi per il server e il client si è proceduto a creare la chiave di hashing e la chiave di cifratura per proteggere i dati durante l'installazione. Per abilitare il client alla decifrazione dei dati trasmessi da server_wan-1 durante l'installazione, installare queste chiavi su client_wan-1.

Visualizzare i valori delle chiavi su server_wan-1.

server_wan-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
server_wan-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

L'esempio precedente usa le seguenti informazioni:

net=192.168.198.0

Specifica l'indirizzo IP della sottorete del client

cid=010003BA152A42

Specifica l'ID del client

b482aaab82cb8d5631e16d51478c90079cc1d463

Specifica il valore della chiave di hashing HMAC SHA1 del client

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Specifica il valore della chiave di cifratura 3DES del client

Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzare il valore della chiave di cifratura.

Al prompt ok di client_wan-1, installare le chiavi.

ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

I comandi precedenti eseguono le seguenti operazioni:

• Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 su client_wan-1

• Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 su client_wan-1

Installazione del client

Per eseguire un'installazione non presidiata, impostare le variabili degli argomenti del boot di rete per client_wan-1 al prompt ok, quindi avviare il client.

ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=client_wan-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) 
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.10 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

Vengono definite le seguenti variabili:

• L'indirizzo IP del client è impostato su 192.168.198.210.

• L'indirizzo IP del router del client è impostato su 192.168.198.1

• La maschera di sottorete del client è impostata su 255.255.255.0

• Il nome host del client è impostato su client_wan-1

• Il programma wanboot-cgi è situato in http://192.168.198.2/cgi-bin/wanboot-cgi

Il client viene installato nella WAN. Se il programma wanboot non individua tutte le informazioni di installazione necessarie, occorre intervenire con un prompt dalla riga di comando per fornire tutte le informazioni mancanti.

Capitolo 15 Boot WAN (riferimento)

Questo capitolo descrive i comandi e i file per l'installazione WAN.

• Comandi per l'installazione boot WAN

• Comandi OBP

• Impostazioni e sintassi dei file di configurazione del sistema

• Parametri e sintassi del file wanboot.conf

Comandi per l'installazione boot WAN

Le tabelle seguenti descrivono i comandi per eseguire l'installazione con boot da WAN.

• Tabella 15–1

• Tabella 15–2

Comandi OBP

La tabella seguente elenca i comandi OBP da digitare al prompt ok del client per eseguire l'installazione boot WAN.

Impostazioni e sintassi dei file di configurazione del sistema

Il file di configurazione del sistema permette di dirigere i programmi di installazione boot WAN verso i file seguenti.

• sysidcfg

• rules.ok

• Profilo JumpStart personalizzato

Il file di configurazione del sistema è un file di testo e deve essere formattato nel modo seguente:

impostazione=valore

Il file system.conf deve contenere le seguenti impostazioni.

SsysidCF=URL-file-sysidcfg

Questa impostazione punta alla directory del server di installazione che contiene il file sysidcfg. Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.

SjumpsCF=URL-file-jumpstart

Questa impostazione punta alla directory JumpStart personalizzata che contiene i file rules.ok e del profilo. Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.

Si può memorizzare il file system.conf in qualsiasi directory accessibile al server di boot WAN.

Parametri e sintassi del file wanboot.conf

Il file wanboot.conf è un file di testo di configurazione utilizzato dai programmi di boot per eseguire l'installazione WAN. I seguenti programmi e file utilizzano le informazioni incluse nel file wanboot.conf per installare il sistema client.

• Programma wanboot-cgi

• File system di boot WAN

• Miniroot di boot WAN

Salvare il file wanboot.conf nella sottodirectory client appropriata, nella gerarchia /etc/netboot sul server di boot WAN. Per informazioni su come definire l'installazione boot WAN con la gerarchia /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.

Per specificare le informazioni nel file wanboot.conf, elencare i parametri con i valori associati nel formato seguente.

parametro=valore

Le voci dei parametri non possono occupare più righe. Per includere commenti nel file, occorre farli precedere dal carattere #.

Per informazioni in dettaglio sul file wanboot.conf, vedere la pagina man wanboot.conf(4).

Nel file wanboot.conf occorre impostare i parametri seguenti.

boot_file=percorso-wanboot

Questo parametro specifica il percorso del programma wanboot. Il valore è un percorso relativo alla directory radice dei documenti sul server di boot WAN.

boot_file=/wanboot/wanboot.s10_sparc

root_server=URL-wanbootCGI/wanboot-cgi

Questo parametro specifica l'URL del programma wanboot-cgi sul server di boot WAN.

• Utilizzare un URL HTTP se si esegue l'installazione boot WAN senza autenticazione di client o server.

  root_server=http://www.example.com/cgi-bin/wanboot-cgi

• Utilizzare un URL HTTPS se si esegue l'installazione boot WAN con autenticazione del server o autenticazione di server e client.

  root_server=https://www.example.com/cgi-bin/wanboot-cgi

root_file=percorso-miniroot

Questo parametro specifica il percorso della miniroot del boot WAN sul server di boot WAN. Il valore è un percorso relativo alla directory radice dei documenti sul server di boot WAN.

root_file=/miniroot/miniroot.s10_sparc

signature_type=sha1 | vuoto

Questo parametro specifica il tipo di chiave di hashing da utilizzare per controllare l'integrità dei dati e dei file trasmessi.

• Per le installazioni boot WAN che utilizzano una chiave di hashing di protezione del programma wanboot, impostare il valore su sha1.

  signature_type=sha1

• Per le installazioni WAN non sicure che non usano una chiave di hashing,lasciare il valore vuoto.

  signature_type=

encryption_type=3des | aes | vuoto

Questo parametro specifica il tipo di cifratura da usare per cifrare il programma wanboot e il file system di boot WAN.

• Per le installazioni di boot WAN che usano HTTPS, impostare questo valore su 3des o aes in modo da farlo corrispondere ai formati delle chiavi utilizzate. Occorre inoltre impostare il valore della parola chiave signature_type su sha1.

  encryption_type=3des

  oppure

  encryption_type=aes

• Per le installazioni di boot WAN non sicure che non usano una chiave di cifratura, lasciare questo valore in bianco.

  encryption_type=

server_authentication=yes | no

Questo parametro specifica se il server deve essere autenticato durante l'installazione boot WAN.

• Per le installazioni di boot WAN con autenticazione del server o autenticazione di server e client, impostare questo valore su yes. Occorre inoltre impostare il valore di signature_type su sha1, encryption_type su 3des o aes e l'URL di root_server su un valore HTTPS.

  server_authentication=yes

• Per le installazioni di boot WAN che non usano l'autenticazione del server o l'autenticazione di server e client, impostare questo valore su no. Il valore può anche essere lasciato in bianco.

  server_authentication=no

client_authentication=yes | no

Questo parametro specifica se il client deve essere autenticato durante l'installazione boot WAN.

• Per le installazioni di boot WAN con autenticazione di server e client, impostare questo valore su yes. Occorre inoltre impostare il valore di signature_type su sha1, encryption_type su 3des o aes e l'URL di root_server su un valore HTTPS.

  client_authentication=yes

• Per le installazioni di boot WAN che non usano l'autenticazione dei client, impostare questo valore su no. Il valore può anche essere lasciato in bianco.

  client_authentication=no

resolve_hosts=nomehost | vuoto

Questo parametro specifica gli host addizionali da risolvere per il programma wanboot-cgi durante l'installazione.

Impostare il valore sui nomi host dei sistemi non specificati in precedenza nel file wanboot.conf o in un certificato del client.

• Se tutti gli host richiesti sono elencati nel file wanboot.conf o nel certificato del client, lasciare questo valore in bianco.

  resolve_hosts=

• Se gli host specifici non sono elencati nel file wanboot.conf o nel certificato del client, impostare il valore su questi nomi host.

  resolve_hosts=seahag,matters

boot_logger=percorso-bootlog-cgi | vuoto

Questo parametro specifica l'URL nello script bootlog-cgi sul server di log.

• Per registrare i messaggi dei log di installazione o di boot su un server di log dedicato, impostare il valore sull'URL dello script bootlog-cgi sul server di log.

  boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

• Per visualizzare i messaggi di boot e installazione sulla console del client, lasciare questo valore in bianco.

  boot_logger=

system_conf=system.conf | conf-sistema-pers

Questo parametro specifica il percorso del file di configurazione del sistema che include la posizione dei file sysidcfg e dell'installazione JumpStart personalizzata.

Impostare il valore sul percorso dei file sysidcfg e dell'installazione JumpStart personalizzata sul server web.

system_conf=sys.conf