Guida all'installazione di Solaris 10 10/08: installazioni di rete

Capitolo 15 Boot WAN (riferimento)

Questo capitolo descrive i comandi e i file per l'installazione WAN.

Comandi per l'installazione boot WAN

Le tabelle seguenti descrivono i comandi per eseguire l'installazione con boot da WAN.

Tabella 15–1 Preparazione dell'installazione boot WAN e dei file di configurazione

Attività e descrizione 

Comando 

Copiare l'immagine di installazione di Solaris nella directory_di_installazione e copiare la miniroot di boot WAN nella directory-wan sul disco locale del server di installazione.

setup_install_server –w directory-wan directory_di_installazione

Creare un archivio Solaris Flash nome.flar,

  • dove nome è il nome dell'archivio.

  • parametri-opzionali sono i parametri opzionali utilizzabili per personalizzare l'archivio

  • radice-documenti è il percorso della directory radice dei documenti sul server di installazione

  • nome_file è il nome del file contenente l'archivio.

flarcreate –n nome [parametri-opzionali] radice-documenti/flash/nome_file

Controlla la validità del file rules dell'installazione JumpStart personalizzata denominato regole.

./check -r regole

Controlla la validità del file wanboot.conf.

  • ip-sottorete è l'indirizzo IP della sottorete del client.

  • ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

bootconfchk /etc/netboot/ip-sottorete/ID-client/wanboot.conf

Controllare che la OBP del client supporti l'installazione boot WAN.

eeprom | grep network-boot-arguments

Tabella 15–2 Preparazione dei file di sicurezza per il metodo boot WAN

Attività e descrizione 

Comando 

Creare una chiave master HMAC SHA1 per il server boot WAN. 

wanbootutil keygen -m

Creare una chiave di hashing HMAC SHA1 per il client. 

  • ip-sottorete è l'indirizzo IP della sottorete del client.

  • ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

wanbootutil keygen -c -o net=ip-sottorete,cid= ID-client,type=sha1

Creare una chiave di cifratura per il client. 

  • ip-sottorete è l'indirizzo IP della sottorete del client.

  • ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

  • tipo-chiave è 3des o aes.

wanbootutil keygen -c -o net=ip-sottorete,cid= ID-client,type=tipo-chiave

Suddividere un file di certificato PKCS#12 e inserire il certificato nel truststore del client.

  • p12cert è il nome del file di certificato PKCS#12.

  • ip-sottorete è l'indirizzo IP della sottorete del client.

  • ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

wanbootutil p12split -i p12cert -t /etc/netboot/ip-sottorete/ID-client/truststore

Suddividere un file di certificato PKCS#12 e inserire il certificato client nel certstore del client.

  • p12cert è il nome del file di certificato PKCS#12.

  • ip-sottorete è l'indirizzo IP della sottorete del client.

  • ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

  • file_chiave è il nome della chiave privata del client.

wanbootutil p12split -i p12cert -c /etc/netboot/ip-sottorete/ID-client/certstore -k file_chiave

Inserire la chiave privata del file PKCS#12 nel keystore del client.

  • file_chiave è il nome della chiave privata del client.

  • ip-sottorete è l'indirizzo IP della sottorete del client.

  • ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

wanbootutil keymgmt -i -k file_chiave -s /etc/netboot/ip-sottorete/ID-client/keystore -o type=rsa

Visualizzare il valore di una chiave di hashing HMAC SHA1. 

  • ip-sottorete è l'indirizzo IP della sottorete del client.

  • ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

wanbootutil keygen -d -c -o net=ip-sottorete,cid= ID-client,type=sha1

Visualizzare il valore di una chiave di cifratura. 

  • ip-sottorete è l'indirizzo IP della sottorete del client.

  • ID-client può essere un ID definito dall'utente o l'ID del client DHCP.

  • tipo-chiave è 3des o aes.

wanbootutil keygen -d -c -o net=ip-sottorete,cid=ID-client,type=tipo-chiave

Inserire una chiave di hashing o una chiave di cifratura su un sistema in esecuzione. tipo-chiave può avere il valore sha1, 3des o aes.

/usr/lib/inet/wanboot/ickey -o type=tipo-chiave

Comandi OBP

La tabella seguente elenca i comandi OBP da digitare al prompt ok del client per eseguire l'installazione boot WAN.

Tabella 15–3 Comandi OBP per l'installazione boot WAN

Attività e descrizione 

Comando OBP 

Avviare un'installazione con boot da WAN non presidiata. 

boot net – install

Avviare un'installazione boot WAN interattiva. 

boot net –o prompt - install

Avviare un'installazione boot WAN da un CD locale. 

boot cdrom –F wanboot - install

Installare una chiave di hashing prima di iniziare l'installazione boot WAN.valore-chiave è il valore esadecimale della chiave di hashing.

set-security-key wanboot-hmac-sha1 valore-chiave

Installare una chiave di cifratura prima di iniziare un'installazione boot WAN.

  • tipo-chiave è wanboot-3des o wanboot-aes.

  • valore-chiave è il valore esadecimale della chiave di cifratura.

set-security-key tipo-chiave valore-chiave

Verificare che i valori delle chiavi siano impostati nell'OBP.

list-security-keys

Impostare le variabili di configurazione del client prima di iniziare l'installazione boot WAN.

  • IP-client è l'indirizzo IP del client.

  • ip-router è l'indirizzo IP del router di rete.

  • valore-maschera è il valore della maschera di sottorete.

  • nome-client è il nome host del client.

  • ip-proxy è l'indirizzo IP del server proxy della rete.

  • percorso-wanbootCGI è il percorso dei programmi wanbootCGI sul server web.

setenv network-boot-arguments host-ip=IP-client,router-ip=IP-router, subnet-mask=valore-maschera,hostname=nome-client, http-proxy=IP-proxy,file=percorso-wanbootCGI

Controllare gli alias dei dispositivi di rete.

devalias

Impostare gli alias del dispositivo di rete, dove percorso-dispositivo è il percorso del dispositivo di rete principale.

  • Per impostare l'alias per la sola installazione corrente, digitare devalias net percorso-dispositivo.

  • Per impostare l'alias in modo permanente, digitare nvvalias net percorso-dispositivo.

Impostazioni e sintassi dei file di configurazione del sistema

Il file di configurazione del sistema permette di dirigere i programmi di installazione boot WAN verso i file seguenti.

Il file di configurazione del sistema è un file di testo e deve essere formattato nel modo seguente:

impostazione=valore

Il file system.conf deve contenere le seguenti impostazioni.

SsysidCF=URL-file-sysidcfg

Questa impostazione punta alla directory del server di installazione che contiene il file sysidcfg. Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.

SjumpsCF=URL-file-jumpstart

Questa impostazione punta alla directory JumpStart personalizzata che contiene i file rules.ok e del profilo. Per le installazioni WAN che utilizzano HTTPS, impostare il valore su un URL HTTPS valido.

Si può memorizzare il file system.conf in qualsiasi directory accessibile al server di boot WAN.

Parametri e sintassi del file wanboot.conf

Il file wanboot.conf è un file di testo di configurazione utilizzato dai programmi di boot per eseguire l'installazione WAN. I seguenti programmi e file utilizzano le informazioni incluse nel file wanboot.conf per installare il sistema client.

Salvare il file wanboot.conf nella sottodirectory client appropriata, nella gerarchia /etc/netboot sul server di boot WAN. Per informazioni su come definire l'installazione boot WAN con la gerarchia /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.

Per specificare le informazioni nel file wanboot.conf, elencare i parametri con i valori associati nel formato seguente.

parametro=valore

Le voci dei parametri non possono occupare più righe. Per includere commenti nel file, occorre farli precedere dal carattere #.

Per informazioni in dettaglio sul file wanboot.conf, vedere la pagina man wanboot.conf(4).

Nel file wanboot.conf occorre impostare i parametri seguenti.

boot_file=percorso-wanboot

Questo parametro specifica il percorso del programma wanboot. Il valore è un percorso relativo alla directory radice dei documenti sul server di boot WAN.

boot_file=/wanboot/wanboot.s10_sparc
root_server=URL-wanbootCGI/wanboot-cgi

Questo parametro specifica l'URL del programma wanboot-cgi sul server di boot WAN.

  • Utilizzare un URL HTTP se si esegue l'installazione boot WAN senza autenticazione di client o server.

    root_server=http://www.example.com/cgi-bin/wanboot-cgi
  • Utilizzare un URL HTTPS se si esegue l'installazione boot WAN con autenticazione del server o autenticazione di server e client.

    root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=percorso-miniroot

Questo parametro specifica il percorso della miniroot del boot WAN sul server di boot WAN. Il valore è un percorso relativo alla directory radice dei documenti sul server di boot WAN.

root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1 | vuoto

Questo parametro specifica il tipo di chiave di hashing da utilizzare per controllare l'integrità dei dati e dei file trasmessi.

  • Per le installazioni boot WAN che utilizzano una chiave di hashing di protezione del programma wanboot, impostare il valore su sha1.

    signature_type=sha1
  • Per le installazioni WAN non sicure che non usano una chiave di hashing,lasciare il valore vuoto.

    signature_type=
encryption_type=3des | aes | vuoto

Questo parametro specifica il tipo di cifratura da usare per cifrare il programma wanboot e il file system di boot WAN.

  • Per le installazioni di boot WAN che usano HTTPS, impostare questo valore su 3des o aes in modo da farlo corrispondere ai formati delle chiavi utilizzate. Occorre inoltre impostare il valore della parola chiave signature_type su sha1.

    encryption_type=3des

    oppure

    encryption_type=aes
  • Per le installazioni di boot WAN non sicure che non usano una chiave di cifratura, lasciare questo valore in bianco.

    encryption_type=
server_authentication=yes | no

Questo parametro specifica se il server deve essere autenticato durante l'installazione boot WAN.

  • Per le installazioni di boot WAN con autenticazione del server o autenticazione di server e client, impostare questo valore su yes. Occorre inoltre impostare il valore di signature_type su sha1, encryption_type su 3des o aes e l'URL di root_server su un valore HTTPS.

    server_authentication=yes
  • Per le installazioni di boot WAN che non usano l'autenticazione del server o l'autenticazione di server e client, impostare questo valore su no. Il valore può anche essere lasciato in bianco.

    server_authentication=no
client_authentication=yes | no

Questo parametro specifica se il client deve essere autenticato durante l'installazione boot WAN.

  • Per le installazioni di boot WAN con autenticazione di server e client, impostare questo valore su yes. Occorre inoltre impostare il valore di signature_type su sha1, encryption_type su 3des o aes e l'URL di root_server su un valore HTTPS.

    client_authentication=yes
  • Per le installazioni di boot WAN che non usano l'autenticazione dei client, impostare questo valore su no. Il valore può anche essere lasciato in bianco.

    client_authentication=no
resolve_hosts=nomehost | vuoto

Questo parametro specifica gli host addizionali da risolvere per il programma wanboot-cgi durante l'installazione.

Impostare il valore sui nomi host dei sistemi non specificati in precedenza nel file wanboot.conf o in un certificato del client.

  • Se tutti gli host richiesti sono elencati nel file wanboot.conf o nel certificato del client, lasciare questo valore in bianco.

    resolve_hosts=
  • Se gli host specifici non sono elencati nel file wanboot.conf o nel certificato del client, impostare il valore su questi nomi host.

    resolve_hosts=seahag,matters
boot_logger=percorso-bootlog-cgi | vuoto

Questo parametro specifica l'URL nello script bootlog-cgi sul server di log.

  • Per registrare i messaggi dei log di installazione o di boot su un server di log dedicato, impostare il valore sull'URL dello script bootlog-cgi sul server di log.

    boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
  • Per visualizzare i messaggi di boot e installazione sulla console del client, lasciare questo valore in bianco.

    boot_logger=
system_conf=system.conf | conf-sistema-pers

Questo parametro specifica il percorso del file di configurazione del sistema che include la posizione dei file sysidcfg e dell'installazione JumpStart personalizzata.

Impostare il valore sul percorso dei file sysidcfg e dell'installazione JumpStart personalizzata sul server web.

system_conf=sys.conf