Solaris 10 5/09 安装指南:基于网络的安装

第 3 部分 通过广域网进行安装

此部分介绍如何使用 WAN Boot 安装方法通过广域网 (wide area network, WAN) 安装系统。

第 10 章 WAN Boot(概述)

本章概述了 WAN Boot 安装方法。本章包括以下主题。

什么是 WAN Boot?

WAN Boot 安装方法 使您可以使用 HTTP 在广域网 (WAN) 上引导和安装软件。使用 WAN Boot,可以通过大型的公共网络(该网络基础构架可能是不值得信任的)将 Solaris OS 安装在基于 SPARC 的系统上。您可以使用带有安全功能的 WAN Boot 来保护数据的保密性和安装映像的完整性。

WAN Boot 安装方法使您可以通过公共网络将加密的 Solaris Flash 归档文件传输到基于 SPARC 的远程客户机。然后 WAN Boot 程序通过执行自定义 JumpStart 安装来安装客户机系统。要保护安装的完整性,可以使用私钥来验证和加密数据。您还可以将系统配置为使用数字证书,以通过安全 HTTP 连接传送安装数据和文件。

要执行 WAN Boot 安装,请通过 HTTP 或安全 HTTP 连接从 Web 服务器下载以下信息来安装基于 SPARC 的系统。

然后,通过使用自定义 JumpStart 安装方法将归档文件安装在客户机上。

您可以通过使用密钥和数字证书来保护先前列出的信息的传送。

有关 WAN Boot 安装中的事件序列的详细描述,请参见WAN Boot 工作原理(概述)

何时使用 WAN Boot

使用 WAN Boot 安装方法,可以远程安装基于 SPARC 的系统。在安装那些只能通过公共网络访问的远程服务器和客户机时,您可能需要使用 WAN Boot。

如果要安装位于局域网 (LAN) 上的系统,WAN Boot 安装方法可能需更多的配置和管理。有关如何通过 LAN 安装系统的信息,请参见第 4 章

WAN Boot 工作原理(概述)

WAN Boot 使用服务器、配置文件、公共网关接口 (CGI) 程序以及安装文件的组合来安装基于 SPARC 的远程客户机。本节说明了 WAN Boot 安装中的一般事件序列。

WAN Boot 安装中的事件序列

图 10–1 显示了 WAN Boot 安装的基本事件序列。在此图中,基于 SPARC 的客户机通过 WAN 从 Web 服务器和安装服务器检索配置数据和安装文件。

图 10–1 WAN Boot 安装中的事件序列

文中对该图形进行了说明。

  1. 可以通过以下方式之一引导客户机。

    • 通过在 Open Boot PROM (OBP) 中设置网络接口变量,从网络引导。

    • 使用 DHCP 选项从网络引导。

    • 从本地 CD-ROM 引导。

  2. 客户机 OBP 包含来自以下来源之一的配置信息。

    • 用户在命令行中键入的引导参数值

    • 来自 DHCP 服务器(如果网络使用 DHCP)

  3. 客户机 OBP 请求 WAN Boot 二级引导程序 (wanboot)。

    客户机 OBP 从以下源下载 wanboot 程序。

    • 来自称作 WAN Boot 服务器的特定 Web 服务器(使用超文本传输协议 [HTTP])

    • 来自本地 CD-ROM(此图未显示)

  4. wanboot 程序从 WAN Boot 服务器请求客户机配置信息。

  5. wanboot 程序通过 wanboot-cgi 程序从 WAN Boot 服务器下载配置文件。该配置文件作为 WAN Boot 文件系统被传输到客户机。

  6. wanboot 程序请求从 WAN Boot 服务器下载 WAN Boot Miniroot。

  7. wanboot 程序使用 HTTP 或安全 HTTP 从 WAN Boot 服务器下载 WAN Boot Miniroot。

  8. wanboot 程序从 WAN Boot Miniroot 装入和执行 UNIX 内核。

  9. UNIX 内核通过 Solaris 安装程序来定位和挂载 WAN Boot 文件系统。

  10. 安装程序请求从安装服务器下载 Solaris Flash 归档文件和自定义 JumpStart 文件。

    安装程序通过 HTTP 或 HTTPS 连接来下载归档文件和自定义 JumpStart 文件。

  11. 安装程序执行自定义 JumpStart 安装以将 Solaris Flash 归档文件安装到客户机上。

在 WAN Boot 安装期间保护数据

WAN Boot 安装方法使您可以使用散列密钥、加密密钥以及数字证书来在安装期间保护系统数据。本节简要说明了 WAN Boot 安装方法支持的不同数据保护方法。

使用散列密钥检查数据的完整性

要保护从 WAN Boot 服务器传输到客户机的数据,可以生成散列消息验证代码 (Hashed Message Authentication Code, HMAC) 密钥。将此散列密钥安装在 WAN Boot 服务器和客户机上。WAN Boot 服务器使用此密钥标记传输到客户机的数据。然后,客户机使用此密钥检验 WAN Boot 服务器传输的数据的完整性。将散列密钥安装到客户机后,客户机在将来安装 WAN Boot 时会使用此密钥。

有关如何使用散列密钥的说明,请参见(可选)创建一个散列密钥和一个加密密钥

使用加密密钥加密数据

使用 WAN Boot 安装方法,可以加密从 WAN Boot 服务器传输到客户机的数据。您可以使用 WAN Boot 公用程序创建三重数据加密标准 (3DES) 或高级加密标准 (AES) 加密密钥。然后,可以将此密钥提供给 WAN Boot 服务器和客户机。WAN Boot 使用此加密密钥加密要从 WAN Boot 服务器发送到客户机的数据。客户机可以使用此密钥解密安装期间传输的加密的配置文件和安全文件。

一旦将加密密钥安装到客户机,客户机将在将来安装 WAN Boot 时使用此密钥。

您的站点可能不允许使用加密密钥。要确定您的站点是否允许加密,请询问站点的安全管理员。如果您的站点允许加密,请询问您的安全管理员应当使用哪种加密密钥,是 3DES 还是 AES。

有关如何使用加密密钥的说明,请参见(可选)创建一个散列密钥和一个加密密钥

使用 HTTPS 保护数据

WAN Boot 支持使用通过安全套接字层 (HTTPS) 的 HTTP 以在 WAN Boot 服务器和客户机之间传输数据。通过使用 HTTPS,您可以要求服务器或服务器和客户机在安装期间进行自我认证。HTTPS 也加密安装期间从服务器传送到客户机的数据。

HTTPS 使用数字证书认证通过网络交换数据的系统。数字证书是一个文件,用于将系统(服务器或客户机)标识为联机通信期间可以信任的系统。您可以向外部认证机构请求数字证书,或创建您自己的证书和认证机构。

要使客户机信任服务器并接受来自服务器的数据,您必须在服务器上安装数字证书。然后,您可以指示客户机信任此证书。您可以通过向客户机提供数字证书来要求客户机向服务器做自我认证。然后,您可以指示服务器当客户机在安装期间出示证书时接受证书的签名者。

要在安装期间使用数字证书,您必须配置 Web 服务器使用 HTTPS。有关如何使用 HTTPS 的信息,请参见 Web 服务器文档。

有关在 WAN Boot 安装期间使用数字证书的要求的信息,请参见数字证书要求。有关如何在 WAN Boot 安装期间使用数字证书的说明,请参见(可选)使用数字证书进行服务器和客户机认证

WAN Boot 支持的安全配置(概述)

WAN Boot 支持多种安全级别。为满足网络需要,您可以使用 WAN Boot 支持的安全功能的组合。虽然较安全的配置需要较多的管理,但是却可以较大程度地保护您的系统数据。对于比较重要的系统,或要通过公共网络进行安装的系统,可以选择安全 WAN Boot 安装配置中的配置。对于不是很重要的系统,或半专用网络上的系统,可以考虑使用非安全 WAN Boot 安装配置中所描述的配置。

本节简要说明了可以用于设置 WAN Boot 安装的安全级别的不同配置。本节也说明了这些配置需要的安全机制。

安全 WAN Boot 安装配置

此配置可以保护服务器和客户机之间数据交换的完整性,并且有助于交换内容的保密。此配置使用 HTTPS 连接,并使用 3DES 或 AES 算法来加密客户机配置文件。此配置也要求服务器在安装期间对客户机做出自我认证。安全 WAN Boot 安装要求以下安全功能。

如果希望在安装期间也要求客户机认证,还必须使用以下安全功能。

有关使用此配置进行安装所需要执行的任务列表,请参见表 12–1

非安全 WAN Boot 安装配置

此安全配置对管理的要求最低,但是对从 Web 服务器到客户机的数据传送提供的安全保证也最低。您无须创建散列密钥、加密密钥或数字证书。无须配置 Web 服务器以使用 HTTPS。然而,这种通过 HTTP 连接传输安装数据和文件的配置容易使安装遭到网络窃听。

如果希望客户机检查已传输数据的完整性,您可以在此配置中使用 HMAC SHA1 散列密钥。但是,Solaris Flash 归档文件不受该散列密钥的保护。安装期间归档文件只能在服务器和客户机之间进行不安全的传送。

有关使用此配置进行安装所需要执行的任务列表,请参见表 12–2

第 11 章 准备使用 WAN Boot 进行安装(规划)

本章说明了如何准备您的网络以进行 WAN Boot 安装。本章包括以下主题。

WAN Boot 要求和指南

本节介绍执行 WAN Boot 安装的系统要求。

表 11–1 WAN Boot 安装的系统要求

系统和描述 

要求 

WAN Boot 服务器-WAN Boot 服务器是 Web 服务器,它可以提供 wanboot 程序、配置文件和安全文件以及 WAN Boot Miniroot。

 

  • 操作系统-Solaris 9 12/03 OS,或兼容版本

  • 必须将其配置为 Web 服务器

  • Web 服务器软件必须支持 HTTP 1.1

  • 如果您要使用数字证书,则 Web 服务器软件必须支持 HTTPS

安装服务器-安装服务器提供安装客户机所需的 Solaris Flash 归档文件和自定义 JumpStart 文件。

  • 可用磁盘空间-每个 Solaris Flash 归档文件使用的空间

  • 介质驱动器-CD-ROM 或 DVD-ROM 驱动器

  • 操作系统-Solaris 9 12/03 OS,或兼容版本

如果安装服务器是不同于 WAN Boot 服务器的系统,则安装服务器必须满足以下附加要求。  

  • 必须将其配置为 Web 服务器

  • Web 服务器软件必须支持 HTTP 1.1

  • 如果您要使用数字证书,则 Web 服务器软件必须支持 HTTPS

客户机系统-您要通过 WAN 安装的远程系统

 

  • 内存-最少为 512 MB 的 RAM

  • CPU-至少为 UltraSPARC II 处理器

  • 硬盘-至少 2 GB 的硬盘空间

  • OBP-已启用 WAN Boot 的 PROM

    如果客户机没有相应的 PROM,则必须有 CD-ROM 驱动器。

    要确定客户机是否有已启用 WAN Boot 的 PROM,请参见检查客户机 OBP 的 WAN Boot 支持

(可选)DHCP 服务器-您可以使用 DHCP 服务器来提供客户机配置信息。

如果您使用的是 SunOS DHCP 服务器,则必须执行以下任务之一。 

如果 DHCP 服务器位于不同于此客户机的其他子网中,则您必须配置 BOOTP 中继代理。有关如何配置 BOOTP 中继代理的更多信息,请参见《系统管理指南:IP 服务》中的第 14  章 “配置 DHCP 服务(任务)”

(可选)日志服务器-缺省情况下,在 WAN 安装期间,所有引导和安装日志消息都会显示在客户机控制台上。如果要在其他系统上查看这些消息,您可以将一个系统指定为日志服务器。

必须将其配置为 Web 服务器。 


注 –

如果在安装过程中使用 HTTPS,则日志服务器与 WAN Boot 服务器必须为同一个系统。


(可选)代理服务器-可以将 WAN Boot 功能配置为在下载安装数据和文件的过程中使用 HTTP 代理。

如果安装使用 HTTPS,则必须将代理服务器配置为隧道 HTTPS。 

Web 服务器软件要求和指南

您在 WAN Boot 服务器和安装服务器中使用的 Web 服务器软件必须满足以下要求。

服务器配置选项

您可以自定义 WAN Boot 所需的服务器的配置以满足您的网络需要。您可以将所有服务器放在一个系统上,或者将这些服务器放在多个系统上。

在文档根目录中存储安装和配置文件

wanboot-cgi 程序在 WAN Boot 安装过程中传输以下文件。

要启用 wanboot-cgi 程序以传输这些文件,您必须将这些文件存储在 Web 服务器软件可以访问的目录中。可访问这些文件的一种方法是将这些文件放在您的 Web 服务器上的文档根目录中。

文档根目录或主文档目录是 Web 服务器上存储客户机可访问的文件的目录。您可以在您的 Web 服务器软件中命名并配置此目录。关于在您的 Web 服务器上设置文档根目录的详细信息,请参见您的 Web 服务器文档。

您可能要创建文档根目录的不同子目录以存储不同的安装和配置文件。例如,您可能要为要安装的每组客户机创建特定的子目录。如果计划跨网络安装几个不同版本的 Solaris OS,可以为每个版本的系统创建子目录。

图 11–1 显示了文档根目录的基本结构样例。在此示例中,WAN Boot 服务器和安装服务器位于同一台计算机上。服务器运行的是 Apache Web 服务器软件。

图 11–1 文档根目录结构样例

文中对该图形进行了说明。

此样例文档目录使用以下结构。


注 –

如果 WAN Boot 服务器和安装服务器是不同的系统,则您可能要将 flash 目录存储在安装服务器上。请确保 WAN Boot 服务器可以访问这些文件和目录。


关于如何创建文档根目录的信息,请参见您的 Web 服务器文档。有关如何创建和存储这些安装文件的详细说明,请参见创建自定义 JumpStart 安装文件

/etc/netboot 分层结构中存储配置和安全信息

/etc/netboot 目录包含 WAN Boot 安装所需的配置信息、私钥、数字证书和认证机构。本节说明您可以在 /etc/netboot 目录中创建以自定义您的 WAN Boot 安装的文件和目录。

自定义 WAN Boot 安装的范围

在安装过程中,wanboot-cgi 程序在 WAN Boot 服务器上的 /etc/netboot 目录中搜索客户机信息。wanboot-cgi 程序将此信息转换到 WAN Boot 文件系统中,然后将 WAN Boot 文件系统传输到客户机。您可以在 /etc/netboot 目录内创建子目录以自定义 WAN 安装的范围。使用以下目录结构可以定义如何在您要安装的客户机之间共享配置信息。

/etc/netboot 目录中指定安全和配置信息

通过创建以下文件并将这些文件存储在 /etc/netboot 目录中,可以指定安全和配置信息。

关于如何创建和存储这些文件的详细说明,请参见以下过程。

/etc/netboot 目录中共享安全和配置信息

要在您的网络上安装客户机,可能要在若干个不同的客户机之间或在整个子网上共享安全和配置文件。通过在 /etc/netboot/net-ip/ client-ID/etc/netboot/net-ip/etc/netboot 目录中分发配置信息,您可以共享这些文件。wanboot-cgi 程序搜索这些目录以查找最适合客户机的配置信息,并在安装过程中使用该信息。

wanboot-cgi 程序按以下顺序搜索客户机信息。

  1. /etc/netboot/net-ip/client-IDwanboot-cgi 程序首先检查特定于客户机的配置信息。如果 /etc/netboot/net-ip/client-ID 目录包含所有客户机配置信息,则 wanboot-cgi 程序不检查 /etc/netboot 目录中其他位置的配置信息。

  2. /etc/netboot/net-ip-如果 /etc/netboot/net-ip/client-ID 目录中未包含所有的必需信息,wanboot-cgi 程序会检查 /etc/netboot/net-ip 目录中的子网配置信息。

  3. /etc/netboot-如果剩余的信息不在 /etc/netboot/net-ip 目录中,则 wanboot-cgi 程序会检查 /etc/netboot 目录中的全局配置信息。

图 11–2 说明了如何设置 /etc/netboot 目录以自定义 WAN Boot 安装。

图 11–2 /etc/netboot 目录样例

文中对该图形进行了说明。

通过图 11–2 中的 /etc/netboot 目录布局,您可以执行以下 WAN Boot 安装。

存储 wanboot-cgi 程序

wanboot-cgi 程序将数据和文件从 WAN Boot 服务器传输到客户机。您必须确保该程序位于客户机可以访问的 WAN Boot 服务器上的目录中。使客户机可以访问此程序的一种方法是将此程序存储在 WAN Boot 服务器的 cgi-bin 目录中。可能需要配置 Web 服务器软件以将 wanboot-cgi 程序用作 CGI 程序。有关 CGI 程序要求的信息,请参见您的 Web 服务器文档。

数字证书要求

如果要在 WAN Boot 安装中添加安全保护,可以使用数字证书来启用服务器和客户机认证。WAN Boot 在联机事务中可以使用数字证书建立服务器或客户机的标识。数字证书由认证机构 (CA) 颁发。这些证书包含序列号、终止日期、一份证书持有者的公共密钥和认证机构的数字签名。

如果在您的安装过程中需要服务器或客户机和服务器认证,则您必须在服务器上安装数字证书。使用数字证书时请遵循以下标准。

有关如何在 WAN Boot 安装过程中使用 PKCS#12 证书的详细说明,请参见(可选)使用数字证书进行服务器和客户机认证

WAN Boot 安全限制

当 WAN Boot 提供若干不同的安全功能时,WAN Boot 将忽略这些潜在的不安全性。

收集 WAN Boot 安装的信息

您需要为 WAN Boot 安装收集多种信息,以配置您的网络。在准备通过 WAN 进行安装时,您可能需要记下该信息。

使用以下工作表记录您的网络的 WAN Boot 安装信息。

表 11–2 用于收集服务器信息的工作表

所需的信息 

说明 

安装服务器信息 

  • 安装服务器上 WAN Boot Miniroot 的路径

  • 安装服务器上自定义 JumpStart 文件的路径

 

WAN Boot 服务器信息 

  • WAN Boot 服务器上 wanboot 程序的路径

  • WAN Boot 服务器上 wanboot-cgi 程序的 URL

  • WAN Boot 服务器上 /etc/netboot 分层结构中客户机的子目录的路径

  • (可选)PKCS#12 证书文件的文件名

  • (可选)WAN 安装所需的所有计算机的主机名(除 WAN Boot 服务器以外)

  • (可选)网络代理服务器的 IP 地址和 TCP 端口号

 

可选的服务器信息 

  • 日志服务器上 bootlog-cgi 脚本的 URL

  • 网络代理服务器的 IP 地址和 TCP 端口号

 

表 11–3 用于收集客户机信息的工作表

信息 

说明 

客户机子网的 IP 地址 

 

客户机路由器的 IP 地址 

 

客户机的 IP 地址 

 

客户机的子网掩码 

 

客户机的主机名 

 

客户机的 MAC 地址 

 

第 12 章 使用 WAN Boot 进行安装(任务)

本章说明了为 WAN Boot 安装准备网络时所需执行的以下任务。

通过广域网进行安装(任务图)

以下各表列出了准备 WAN Boot 安装时所需执行的任务。

要使用 DHCP 服务器或日志服务器,请完成各表底部列出的可选任务。

表 12–1 任务图:准备执行安全的 WAN Boot 安装

任务 

说明 

参考 

确定要在安装中使用的安全功能。 

查看安全功能及配置,以确定要在 WAN Boot 安装中使用的安全级别。 

在 WAN Boot 安装期间保护数据

WAN Boot 支持的安全配置(概述)

收集 WAN Boot 安装信息。 

填写工作表单,以记录执行 WAN Boot 安装所需的所有信息。 

收集 WAN Boot 安装的信息

在 WAN Boot 服务器上创建文档根目录。 

创建文档根目录和相应的子目录,供配置文件和安装文件使用。 

创建文档根目录

创建 WAN Boot Miniroot。 

使用 setup_install_server 命令创建 WAN Boot Miniroot。

SPARC: 创建 WAN Boot Miniroot

检验客户机系统是否支持 WAN Boot。 

检查客户机 OBP 的 WAN Boot 引导参数支持。 

检查客户机 OBP 的 WAN Boot 支持

在 WAN Boot 服务器上安装 wanboot 程序。

wanboot 程序复制到 WAN Boot 服务器的文档根目录中。

在 WAN Boot 服务器上安装 wanboot 程序

在 WAN Boot 服务器上安装 wanboot-cgi 程序。

wanboot-cgi 程序复制到 WAN Boot 服务器的 CGI 目录中。

wanboot-cgi 程序复制到 WAN Boot 服务器

(可选)设置日志服务器。 

配置专用系统,以显示引导和安装日志消息。 

(可选)配置 WAN Boot 日志服务器

设置 /etc/netboot 分层结构。

使用 WAN Boot 安装所需的配置文件和安全文件来建立 /etc/netboot 分层结构。

在 WAN Boot 服务器上创建 /etc/netboot 分层结构

配置 Web 服务器,以使用安全的 HTTP 进行更安全的 WAN Boot 安装。 

标识通过 HTTPS 执行 WAN 安装所需的 Web 服务器要求。 

(可选)使用 HTTPS 保护数据

格式化数字证书,以进行更安全的 WAN Boot 安装。 

将 PKCS#12 文件拆分为私钥和证书,以便在 WAN 安装中使用。 

(可选)使用数字证书进行服务器和客户机认证

创建散列密钥和加密密钥,以进行更安全的 WAN Boot 安装。 

使用 wanbootutil keygen 命令创建 HMAC SHA1 密钥、3DES 密钥或 AES 密钥。

(可选)创建一个散列密钥和一个加密密钥

创建 Solaris Flash 归档文件。 

使用 flarcreate 命令创建要安装在客户机上的软件的归档文件。

创建 Solaris Flash 归档文件

创建自定义 JumpStart 安装的安装文件。 

使用文本编辑器创建以下文件: 

  • sysidcfg

  • 配置文件

  • rules.ok

  • 开始脚本

  • 结束脚本

创建 sysidcfg 文件

创建配置文件

创建 rules 文件

(可选)创建开始脚本和结束脚本

创建系统配置文件。 

设置 system.conf 文件中的配置信息。

创建系统配置文件

创建 WAN Boot 配置文件。 

设置 wanboot.conf 文件中的配置信息。

创建 wanboot.conf 文件

(可选)配置 DHCP 服务器,以支持 WAN Boot 安装。 

设置 DHCP 服务器中的 Sun 供应商选项和宏。 

使用 DHCP 服务预配置系统配置信息(任务)

表 12–2 任务图:准备执行不安全的 WAN Boot 安装

任务 

说明 

参考 

确定要在安装中使用的安全功能。 

查看安全功能及配置,以确定要在 WAN Boot 安装中使用的安全级别。 

在 WAN Boot 安装期间保护数据

WAN Boot 支持的安全配置(概述)

收集 WAN Boot 安装信息。 

填写工作表单,以记录执行 WAN Boot 安装所需的所有信息。 

收集 WAN Boot 安装的信息

在 WAN Boot 服务器上创建文档根目录。 

创建文档根目录和相应的子目录,供配置文件和安装文件使用。 

创建文档根目录

创建 WAN Boot Miniroot。 

使用 setup_install_server 命令创建 WAN Boot Miniroot。

SPARC: 创建 WAN Boot Miniroot

检验客户机系统是否支持 WAN Boot。 

检查客户机 OBP 的 WAN Boot 引导参数支持。 

检查客户机 OBP 的 WAN Boot 支持

在 WAN Boot 服务器上安装 wanboot 程序。

wanboot 程序复制到 WAN Boot 服务器的文档根目录中。

在 WAN Boot 服务器上安装 wanboot 程序

在 WAN Boot 服务器上安装 wanboot-cgi 程序。

wanboot-cgi 程序复制到 WAN Boot 服务器的 CGI 目录中。

wanboot-cgi 程序复制到 WAN Boot 服务器

(可选)设置日志服务器。 

配置专用系统,以显示引导和安装日志消息。 

(可选)配置 WAN Boot 日志服务器

设置 /etc/netboot 分层结构。

使用 WAN Boot 安装所需的配置文件和安全文件来建立 /etc/netboot 分层结构。

在 WAN Boot 服务器上创建 /etc/netboot 分层结构

(可选)创建散列密钥。 

使用 wanbootutil keygen 命令创建 HMAC SHA1 密钥。

对于检查数据完整性的不安全安装,请完成此任务以创建 HMAC SHA1 散列密钥。 

(可选)创建一个散列密钥和一个加密密钥

创建 Solaris Flash 归档文件。 

使用 flarcreate 命令创建要安装在客户机上的软件的归档文件。

创建 Solaris Flash 归档文件

创建自定义 JumpStart 安装的安装文件。 

使用文本编辑器创建以下文件: 

  • sysidcfg

  • 配置文件

  • rules.ok

  • 开始脚本

  • 结束脚本

创建 sysidcfg 文件

创建配置文件

创建 rules 文件

(可选)创建开始脚本和结束脚本

创建系统配置文件。 

设置 system.conf 文件中的配置信息。

创建系统配置文件

创建 WAN Boot 配置文件。 

设置 wanboot.conf 文件中的配置信息。

创建 wanboot.conf 文件

(可选)配置 DHCP 服务器,以支持 WAN Boot 安装。 

设置 DHCP 服务器中的 Sun 供应商选项和宏。 

使用 DHCP 服务预配置系统配置信息(任务)

配置 WAN Boot 服务器

WAN Boot 服务器是 Web 服务器,它可以在 WAN Boot 安装期间提供引导和配置数据。有关 WAN Boot 服务器的系统要求列表,请参见表 11–1

本节说明了为 WAN Boot 安装配置 WAN Boot 服务器时所需执行的以下任务。

创建文档根目录

要使用配置文件和安装文件,您必须使 WAN Boot 服务器上的 Web 服务器软件可以访问这些文件。使这些文件能被访问的方法之一是将它们存储在 WAN Boot 服务器的文档根目录中。

如果要通过文档根目录来使用配置文件和安装文件,那么必须创建该目录。有关如何创建文档根目录的信息,请参见 Web 服务器文档。有关如何设计文档根目录的详细信息,请参见在文档根目录中存储安装和配置文件

有关如何设置该目录的示例,请参见创建文档根目录

创建文档根目录之后,请创建 WAN Boot Miniroot。有关说明,请参见创建 WAN Boot Miniroot

创建 WAN Boot Miniroot

WAN Boot 使用已修改的特殊 Solaris miniroot 来执行 WAN Boot 安装。WAN Boot Miniroot 包含 Solaris Miniroot 中的软件的子集。要执行 WAN Boot 安装,必须将 miniroot 从 Solaris DVD 或 Solaris Software - 1 CD 复制到 WAN Boot 服务器。请使用带有 -w 选项的 setup_install_server 命令将 WAN Boot Miniroot 从 Solaris 软件介质复制到系统硬盘。

ProcedureSPARC: 创建 WAN Boot Miniroot

此过程将使用 SPARC 介质创建 SPARC WAN Boot Miniroot。如果要通过基于 x86 的服务器使用 SPARC WAN Boot Miniroot,那么您必须在 SPARC 计算机上创建 miniroot。创建 miniroot 后,请将其复制到基于 x86 的服务器上的文档根目录中。

开始之前

此过程假设 WAN Boot 服务器正在运行卷管理器。如果您没有使用卷管理器,请参见《系统管理指南:设备和文件系统》

  1. 在 WAN Boot 服务器上,成为超级用户或承担等效角色。

    系统必须满足以下要求。

    • 包含 CD-ROM 驱动器或 DVD-ROM 驱动器

    • 是站点网络和命名服务的一部分

      如果使用命名服务,则该系统必须已经在命名服务(如 NIS、NIS+、DNS 或 LDAP)中。如果不使用命名服务,则必须按照站点策略来分发有关该系统的信息。

  2. 将 Solaris Software - 1 CD 或 Solaris DVD 插入安装服务器的驱动器中。

  3. 为 WAN Boot Miniroot 和 Solaris 安装映像创建目录。


    # mkdir -p wan-dir-path install-dir-path
    
    -p

    指示 mkdir 命令为要创建的目录创建所有必需的父目录。

    wan-dir-path

    指定安装服务器上要用来创建 WAN Boot Miniroot 的目录。该目录需要容纳 miniroot(通常为 250 MB)。

    install-dir-path

    指定安装服务器上 Solaris 软件映像将被复制到其中的目录。在此过程中,该目录稍后可以删除。

  4. 转到已挂载光盘上的 Tools 目录。


    # cd /cdrom/cdrom0/Solaris_10/Tools
    

    在以上示例中,cdrom0 为指向包含 Solaris OS 介质的驱动器的路径。

  5. 将 WAN Boot Miniroot 和 Solaris 软件映像复制到 WAN Boot 服务器的硬盘。


    # ./setup_install_server -w wan-dir-path install-dir-path
    
    wan-dir-path

    指定 WAN Boot Miniroot 将被复制到其中的目录

    install-dir-path

    指定 Solaris 软件映像将被复制到其中的目录


    注 –

    setup_install_server 命令指示您是否有足够的磁盘空间用于 Solaris Software 光盘映像。要确定可用磁盘空间,请使用 df -kl 命令。


    setup_install_server -w 命令可以创建 WAN Boot Miniroot 和 Solaris 软件的网络安装映像。

  6. (可选的)删除网络安装映像。

    使用 Solaris Flash 归档文件执行 WAN 安装时无需 Solaris 软件映像。如果该网络安装映像不再用于其他网络安装,请执行此操作以释放磁盘空间。请键入以下命令,以删除网络安装映像。


    # rm -rf install-dir-path
    
  7. 通过以下方法之一使 WAN Boot Miniroot 可用于 WAN Boot 服务器。

    • 在 WAN Boot 服务器的文档根目录中创建指向 WAN Boot Miniroot 的符号链接。


      # cd /document-root-directory/miniroot
      # ln -s /wan-dir-path/miniroot .
      
      document-root-directory/miniroot

      指定 WAN Boot 服务器的文档根目录中,要链接到 WAN Boot Miniroot 的目录。

      /wan-dir-path/miniroot

      指定指向 WAN Boot Miniroot 的路径。

    • 将 WAN Boot Miniroot 移到 WAN Boot 服务器上的文档根目录中。


      # mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name
      
      wan-dir-path/miniroot

      指定指向 WAN Boot Miniroot 的路径。

      /document-root-directory/miniroot/

      指定 WAN Boot 服务器的文档根目录中,指向 WAN Boot Miniroot 目录的路径。

      miniroot-name

      指定 WAN Boot Miniroot 的名称。对文件进行描述性命名,例如 miniroot.s10_sparc


示例 12–1 创建 WAN Boot Miniroot

使用带有 -w 选项的 setup_install_server(1M) 将 WAN Boot Miniroot 和 Solaris 软件映像复制到 wanserver-1/export/install/Solaris_10 目录中。

将 Solaris Software 介质放入已连接至 wanserver-1 的介质驱动器中。键入以下命令。


wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

将 WAN Boot Miniroot 移到 WAN Boot 服务器的文档根目录 (/opt/apache/htdocs/) 中。在此示例中,将 WAN Boot miniroot 的名称设置为 miniroot.s10_sparc


wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

继续 WAN Boot 安装

创建 WAN Boot Miniroot 后,请验证客户机 OpenBoot PROM (OBP) 是否支持 WAN Boot。有关说明,请参见在客户机上验证 WAN Boot 支持

另请参见

有关 setup_install_server 命令的其他信息,请参见 install_scripts(1M)

在客户机上验证 WAN Boot 支持

要执行自动 WAN Boot 安装,客户机系统的 OpenBoot PROM (OBP) 必须支持 WAN Boot。如果客户机的 OBP 不支持 WAN Boot,您可以通过从本地 CD 提供必要的程序来执行 WAN Boot 安装。

您可以通过检查客户机的 OBP 配置变量来确定客户机是否支持 WAN Boot。要检验客户机的 WAN Boot 支持,请执行以下步骤。

Procedure检查客户机 OBP 的 WAN Boot 支持

此过程说明了如何确定客户机 OBP 是否支持 WAN Boot。

  1. 成为超级用户或承担等效角色。

    角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”

  2. 检查 OBP 配置变量以确定是否支持 WAN Boot 安装。


    # eeprom | grep network-boot-arguments
    
    • 如果显示 network-boot-arguments 变量,或如果上面的命令返回以下输出 network-boot-arguments: data not available,则 OBP 支持 WAN Boot 安装。您在执行 WAN Boot 安装之前无需更新 OBP。

    • 如果上面的命令未返回任何输出,则 OBP 不支持 WAN Boot 安装。您必须执行以下任务之一。

      • 更新客户机 OBP。对于那些确实具有能够支持 WAN Boot 安装的 OBP 的客户机,请参见系统文档以获取有关如何更新 OBP 的信息。


        注 –

        并非所有客户机 OBP 都支持 WAN Boot。对于这些客户机,请使用下一个选项。


      • 在您完成预备任务并准备安装客户机之后,通过 Solaris Software CD1 或 DVD 执行 WAN Boot 安装。目前的 OBP 不提供 WAN Boot 支持时,此选项可适用于各种情况。

        有关如何从 CD1 引导客户机的说明,请参见使用本地 CD 介质执行 WAN Boot 安装。要继续 WAN Boot 安装的准备工作,请参见在 WAN Boot 服务器上创建 /etc/netboot 分层结构


示例 12–2 检验客户机上的 WAN Boot 的 OBP 支持

以下命令显示了如何检查客户机 OBP 的 WAN Boot 支持。


# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

在此示例中,输出 network-boot-arguments: data not available 表明客户机 OBP 支持 WAN Boot。


继续 WAN Boot 安装

在验证了客户机 OBP 支持 WAN Boot 之后,您必须将 wanboot 程序复制到 WAN Boot 服务器。有关说明,请参见在 WAN Boot 服务器上安装 wanboot 程序

如果客户机 OBP 不支持 WAN Boot,您不必将 wanboot 程序复制到 WAN Boot 服务器。您必须在本地 CD 上向客户机提供 wanboot 程序。要继续安装,请参见在 WAN Boot 服务器上创建 /etc/netboot 分层结构

另请参见

有关 setup_install_server 命令的其他信息,请参见第 4 章

在 WAN Boot 服务器上安装 wanboot 程序

WAN Boot 使用特殊的二级引导程序 (wanboot) 来安装客户机。wanboot 程序将装入执行 WAN Boot 安装所需的 WAN Boot Miniroot、客户机配置文件以及安装文件。

要执行 WAN Boot 安装,必须在安装期间为客户机提供 wanboot 程序。可以使用以下方法为客户机提供此程序。

ProcedureSPARC: 在 WAN Boot 服务器上安装 wanboot 程序

此过程说明如何将 wanboot 程序从 Solaris 介质复制到 WAN Boot 服务器。

此过程假设 WAN Boot 服务器正在运行卷管理器。如果您没有使用卷管理器,请参见《系统管理指南:设备和文件系统》

开始之前

检验您的客户机系统是否支持 WAN Boot。有关更多信息,请参见检查客户机 OBP 的 WAN Boot 支持

  1. 在安装服务器上,成为超级用户或承担等效角色。

  2. 将 Solaris Software - 1 CD 或 Solaris DVD 插入安装服务器的驱动器中。

  3. 转到 Solaris Software - 1 CD 或 Solaris DVD 上的 sun4u 平台目录。


    # cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
    
  4. wanboot 程序复制到安装服务器。


    # cp wanboot /document-root-directory/wanboot/wanboot-name
    
    document-root-directory

    指定 WAN Boot 服务器的文档根目录。

    wanboot-name

    指定 wanboot 程序的名称。对文件进行描述性命名,如 wanboot.s10_sparc

  5. 通过以下方法之一使 wanboot 程序可用于 WAN Boot 服务器。

    • 在 WAN Boot 服务器的文档根目录中创建指向 wanboot 程序的符号链接。


      # cd /document-root-directory/wanboot
      # ln -s /wan-dir-path/wanboot .
      
      document-root-directory/wanboot

      指定 WAN Boot 服务器的文档根目录中,要链接到 wanboot 程序的目录。

      /wan-dir-path/wanboot

      指定指向 wanboot 程序的路径

    • 将 WAN Boot Miniroot 移到 WAN Boot 服务器上的文档根目录中。


      # mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name
      
      wan-dir-path/wanboot

      指定指向 wanboot 程序的路径

      /document-root-directory/wanboot/

      指定 WAN Boot 服务器的文档根目录中,指向 wanboot 程序目录的路径。

      wanboot-name

      指定 wanboot 程序的名称。对文件进行描述性命名,如 wanboot.s10_sparc


示例 12–3 在 WAN Boot 服务器上安装 wanboot 程序

要在 WAN Boot 服务器上安装 wanboot 程序,请将该程序从 Solaris Software 介质上复制到 WAN Boot 服务器的文档根目录。

将 Solaris DVD 或 Solaris Software - 1 CD 放入连接至 wanserver-1 的介质驱动器并键入以下命令。


wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

在本示例中,将 wanboot 程序的名称设置为 wanboot.s10_sparc


继续 WAN Boot 安装

在 WAN Boot 服务器上安装了 wanboot 程序之后,您必须在该服务器上创建 /etc/netboot 分层结构。有关说明,请参见在 WAN Boot 服务器上创建 /etc/netboot 分层结构

另请参见

有关 wanboot 程序的概述,请参见什么是 WAN Boot?

在 WAN Boot 服务器上创建 /etc/netboot 分层结构

在安装期间,WAN Boot 参考 Web 服务器上的 /etc/netboot 分层结构的内容以获得有关如何执行安装的说明。此目录包含 WAN Boot 安装所需的配置信息、私钥、数字证书和认证机构。在安装期间,wanboot-cgi 程序将此信息转换到 WAN Boot 文件系统中,然后再将 WAN Boot 文件系统传送到客户机。

您可以在 /etc/netboot 目录内创建子目录以自定义 WAN 安装的范围。使用以下目录结构可以定义如何在您要安装的客户机之间共享配置信息。

有关这些配置的详细规划信息,请参见/etc/netboot 分层结构中存储配置和安全信息

以下过程描述如何创建 /etc/netboot 分层结构。

Procedure在 WAN Boot 服务器上创建 /etc/netboot 分层结构

要创建 /etc/netboot 分层结构,请执行以下步骤。

  1. 在 WAN Boot 服务器上,成为超级用户或承担等效角色。

  2. 创建 /etc/netboot 目录。


    # mkdir /etc/netboot
    
  3. /etc/netboot 目录的权限更改为 700。


    # chmod 700 /etc/netboot
    
  4. /etc/netboot 目录的属主更改为 Web 服务器属主。


    # chown web-server-user:web-server-group /etc/netboot/
    
    web-server-user

    指定 Web 服务器进程的用户属主

    web-server-group

    指定 Web 服务器进程的组属主

  5. 退出超级用户角色。


    # exit
    
  6. 假设用户角色为 Web 服务器属主。

  7. 创建 /etc/netboot 目录的客户机子目录。


    # mkdir -p /etc/netboot/net-ip/client-ID
    
    -p

    指示 mkdir 命令为要创建的目录创建所有必需的父目录。

    (可选)net-ip

    指定客户机子网的网络 IP 地址。

    (可选)client-ID

    指定客户机 ID。客户机 ID 可以是用户自定义的 ID,也可以是 DHCP 客户机 ID。client-ID 目录必须是 net-ip 目录的子目录。

  8. /etc/netboot 分层结构中各个目录的权限更改为 700。


    # chmod 700 /etc/netboot/dir-name
    
    dir-name

    指定 /etc/netboot 分层结构中目录的名称


示例 12–4 在 WAN Boot 服务器上创建 /etc/netboot 分层结构

以下示例说明如何为子网 192.168.198.0 上的客户机 010003BA152A42 创建 /etc/netboot 分层结构。在本示例中,用户 nobody 和组 admin 是 Web 服务器进程的属主。

本示例中的命令执行以下任务。


# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

继续 WAN Boot 安装

创建 /etc/netboot 分层结构后,您必须将 WAN Boot CGI 程序复制到 WAN Boot 服务器。有关说明,请参见将 WAN Boot CGI 程序复制到 WAN Boot 服务器

另请参见

有关如何设计 /etc/netboot 分层结构的详细规划信息,请参见/etc/netboot 分层结构中存储配置和安全信息

将 WAN Boot CGI 程序复制到 WAN Boot 服务器

wanboot-cgi 程序用于创建数据流,以将以下文件从 WAN Boot 服务器传送至客户机。

安装 当前 Solaris 发行版 软件会将 wanboot-cgi 程序安装在系统上。要允许 WAN Boot 服务器使用该程序,请将此程序复制到 WAN Boot 服务器的 cgi-bin 目录中。

Procedurewanboot-cgi 程序复制到 WAN Boot 服务器

  1. 在 WAN Boot 服务器上,成为超级用户或承担等效角色。

  2. wanboot-cgi 程序复制到 WAN Boot 服务器。


    # cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi
    
    /WAN-server-root

    指定 WAN Boot 服务器上 Web 服务器软件的根目录。

  3. 在 WAN Boot 服务器上,将 CGI 程序的权限更改为 755。


    # chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi
    
继续 WAN Boot 安装

将 WAN Boot CGI 程序复制到 WAN Boot 服务器后,您可以根据需要设置日志服务器。有关说明,请参见(可选)配置 WAN Boot 日志服务器

如果不想设置独立日志服务器,请参见(可选)使用 HTTPS 保护数据以了解如何设置 WAN Boot 安装的安全功能的说明。

另请参见

有关 wanboot-cgi 程序的概述,请参见什么是 WAN Boot?

Procedure(可选)配置 WAN Boot 日志服务器

缺省情况下,WAN Boot 日志消息将显示在客户机系统上。此缺省行为可使您快速调试任何安装问题。

如果要在非客户机的系统上记录引导和安装日志消息,必须设置一个日志服务器。在安装期间,如果使用具有 HTTPS 的日志服务器,必须将 WAN Boot 服务器配置为日志服务器。

要配置日志服务器,请按以下步骤执行操作。

  1. bootlog-cgi 脚本复制到日志服务器的 CGI 脚本目录中。


    # cp /usr/lib/inet/wanboot/bootlog-cgi \   log-server-root/cgi-bin
    
    log-server-root/cgi-bin

    指定日志服务器的 Web 服务器目录中的 cgi-bin 目录。

  2. bootlog-cgi 脚本的权限更改为 755。


    # chmod 755 log-server-root/cgi-bin/bootlog-cgi
    
  3. 设置 wanboot.conf 文件中 boot_logger 参数的值。

    wanboot.conf 文件中,指定日志服务器中 bootlog-cgi 脚本的 URL。

    有关设置 wanboot.conf 文件中的参数的更多信息,请参见创建 wanboot.conf 文件

    安装期间, 引导和安装日志消息将被记录在日志服务器的 /tmp 目录中。日志文件名为 bootlog.hostname,其中 hostname 是客户机的主机名。


示例 12–5 通过 HTTPS 配置 WAN Boot 安装的日志服务器

以下示例将 WAN Boot 服务器配置为日志服务器。


# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

继续 WAN Boot 安装

设置了日志服务器后,您可以根据需要设置 WAN Boot 安装以使用数字证书和安全密钥。有关如何设置 WAN Boot 安装的安全功能的说明,请参见(可选)使用 HTTPS 保护数据

(可选)使用 HTTPS 保护数据

要在从 WAN Boot 服务器到客户机的传送期间保护数据,可以使用安全套接字层上的 HTTP (HTTPS)。要使用安全 WAN Boot 安装配置中描述的更多安全安装配置,必须启用您的 Web 服务器以使用 HTTPS。

如果您不想执行安全 WAN Boot,请跳过此部分描述的过程。要继续准备安全性较低的安装,请参见创建自定义 JumpStart 安装文件

要允许 WAN Boot 服务器上的 Web 服务器软件使用 HTTPS,必须执行以下任务。

此部分说明如何在 WAN Boot 安装中使用数字证书和密钥。

Procedure(可选)使用数字证书进行服务器和客户机认证

WAN Boot 安装方法可以使用 PKCS#12 文件,以通过带有服务器认证/客户机和服务器认证的 HTTPS 来执行安装。有关使用 PKCS#12 文件的要求和指南,请参见数字证书要求

要在 WAN Boot 安装中使用 PKCS#12 文件,请执行以下任务。

wanbootutil 命令提供了执行前面列表中的任务的选项。

如果您不想执行安全的 WAN Boot,请跳过此过程。要继续准备安全性较低的安装,请参见创建自定义 JumpStart 安装文件

要创建受信任证书和客户机私钥,请执行以下步骤。

开始之前

拆分 PKCS#12 文件之前,请在 WAN Boot 服务器上创建 /etc/netboot 分层结构的相应子目录。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 从 PKCS#12 文件中提取受信任证书。将证书插入 /etc/netboot 分层结构中客户机的 truststore 文件中。


    # wanbootutil p12split -i p12cert \
    -t /etc/netboot/net-ip/client-ID/truststore
    
    p12split

    wanbootutil 命令的选项,用于将 PKCS#12 文件拆分为独立的私钥文件和证书文件。

    -i p12cert

    指定要拆分的 PKCS#12 文件的名称。

    -t /etc/netboot/net-ip /client-ID/truststore

    将证书插入客户机的 truststore 文件中。net-ip 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

  3. (可选的)确定是否需要客户机认证。

    • 如果不需要,请转至(可选)创建一个散列密钥和一个加密密钥

    • 如果是,请继续执行以下步骤。

      1. 将客户机证书插入客户机的 certstore 中。


        # wanbootutil p12split -i p12cert -c \
        /etc/netboot/net-ip/client-ID/certstore -k keyfile
        
        p12split

        wanbootutil 命令的选项,用于将 PKCS#12 文件拆分为独立的私钥文件和证书文件。

        -i p12cert

        指定要拆分的 PKCS#12 文件的名称。

        -c /etc/netboot/net-ip/ client-ID/certstore

        将客户机证书插入客户机的 certstore 中。net-ip 是客户机子网的 IP 地址。client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

        -k keyfile

        指定通过拆分 PKCS#12 文件而创建的客户机 SSL 私钥文件的名称。

      2. 将私钥插入客户机的 keystore 中。


        # wanbootutil keymgmt -i -k keyfile \
        -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
        
        keymgmt -i

        在客户机的 keystore 中插入 SSL 私钥

        -k keyfile

        指定在上一步中创建的客户机私钥文件的名称

        -s /etc/netboot/net-ip/ client-ID/keystore

        指定指向客户机的 keystore 的路径

        -o type=rsa

        将密钥类型指定为 RSA


示例 12–6 创建用于服务器认证的受信任证书

在以下示例中,您可以在子网 192.168.198.0 上使用 PKCS#12 文件安装客户机 010003BA152A42。此命令样例首先从名为 client.p12 的 PKCS#12 文件中提取一个证书,然后将受信任证书的内容放入客户机的 truststore 文件中。

在执行这些命令之前,您首先必须采用与 Web 服务器用户相同的用户角色。在本示例中,Web 服务器用户角色为 nobody


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

继续 WAN Boot 安装

创建数字证书后,请创建一个散列密钥和一个加密密钥。有关说明,请参见(可选)创建一个散列密钥和一个加密密钥

另请参见

有关如何创建受信任证书的更多信息,请参见手册页 wanbootutil(1M)

Procedure(可选)创建一个散列密钥和一个加密密钥

如果要使用 HTTPS 传送数据,那么您必须创建 HMAC SHA1 散列密钥和加密密钥。如果计划通过半专用网络进行安装,则可能不需要加密安装数据。您可以使用 HMAC SHA1 散列密钥检查 wanboot 程序的完整性。

通过使用 wanbootutil keygen 命令,可以生成这些密钥并将它们存储在相应的 /etc/netboot 目录中。

如果您不想执行安全的 WAN Boot,请跳过此过程。要继续准备安全性较低的安装,请参见创建自定义 JumpStart 安装文件

要创建散列密钥和加密密钥,请执行以下步骤。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 创建主 HMAC SHA1 密钥。


    # wanbootutil keygen -m
    
    keygen -m

    创建 WAN Boot 服务器的主 HMAC SHA1 密钥

  3. 从主密钥中创建客户机的 HMAC SHA1 散列密钥。


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1
    
    -c

    从主密钥中创建客户机的散列密钥。

    -o

    指示包含 wanbootutil keygen 命令的附加选项。

    (可选)net=net-ip

    指定客户机子网的 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,可被所有 WAN Boot 客户机使用。

    (可选)cid=client-ID

    指定客户机 ID。客户机 ID 可以是用户自定义的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果指定 net 选项时未带有 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-ip 子网上的所有 WAN Boot 客户机均可使用此密钥。

    type=sha1

    指示 wanbootutil keygen 实用程序创建客户机的 HMAC SHA1 散列密钥。

  4. 确定是否要创建客户机的加密密钥。

    您需要创建加密密钥以通过 HTTPS 执行 WAN Boot 安装。在客户机与 WAN Boot 服务器建立 HTTPS 连接之前,WAN Boot 服务器会将加密数据和信息传送至客户机。在安装期间,加密密钥使客户机解密此信息,然后使用其中的信息。

    • 如果要通过带有服务器认证的 HTTPS 执行更安全的 WAN 安装,请继续。

    • 如果只是要检查 wanboot 程序的完整性,则无需创建加密密钥。请转至步骤 6

  5. 为客户机创建加密密钥。


    # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type
    
    -c

    创建客户机的加密密钥。

    -o

    指示包含 wanbootutil keygen 命令的附加选项。

    (可选)net=net-ip

    指定客户机的网络 IP 地址。如果不使用 net 选项,密钥将存储在 /etc/netboot/keystore 文件中,可被所有 WAN Boot 客户机使用。

    (可选)cid=client-ID

    指定客户机 ID。客户机 ID 可以是用户自定义的 ID,也可以是 DHCP 客户机 ID。cid 选项之前必须有一个有效的 net= 值。如果指定 net 选项时未带有 cid 选项,密钥将存储在 /etc/netboot/net-ip/keystore 文件中。net-ip 子网上的所有 WAN Boot 客户机均可使用此密钥。

    type=key-type

    指示 wanbootutil keygen 实用程序创建客户机的加密密钥。key-type 可以具有 3des 的值,也可以具有 aes 的值。

  6. 在客户机系统上安装密钥。

    有关如何在客户机上安装密钥的说明,请参见在客户机上安装密钥


示例 12–7 创建通过 HTTPS 执行 WAN Boot 安装时所需的密钥

以下示例创建了 WAN Boot 服务器的主 HMAC SHA1 密钥,还创建了子网 192.168.198.0 上的客户机 010003BA152A42 的 HMAC SHA1 散列密钥和 3DES 加密密钥。

在执行这些命令之前,您首先必须采用与 Web 服务器用户相同的用户角色。在本示例中,Web 服务器用户角色为 nobody


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

继续 WAN Boot 安装

创建散列密钥和加密密钥后,您必须创建安装文件。有关说明,请参见创建自定义 JumpStart 安装文件

另请参见

有关散列密钥和加密密钥的概述信息,请参见在 WAN Boot 安装期间保护数据

有关如何创建散列密钥和加密密钥的更多信息,请参见手册页 wanbootutil(1M)

创建自定义 JumpStart 安装文件

WAN Boot 执行自定义 JumpStart 安装,以便在客户机上安装 Solaris Flash 归档文件。自定义 JumpStart 安装方法是一个命令行界面,允许您基于创建的配置文件自动安装若干个系统。配置文件定义了特定软件安装要求。您还可以结合使用 shell 脚本以包含安装前和安装后任务。选择安装或升级所使用的配置文件和脚本。自定义 JumpStart 安装方法基于所选择的配置文件和脚本来安装或升级系统。此外,您可以使用 sysidcfg 文件指定配置信息,以便使自定义 JumpStart 安装完全不需要手动干预。

要准备 WAN Boot 安装的自定义 JumpStart 文件,请完成以下任务。

有关自定义 JumpStart 安装方法的详细信息,请参见《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的第 2  章 “自定义 JumpStart(概述)”

Procedure创建 Solaris Flash 归档文件

Solaris Flash 安装功能允许您在主系统上使用 Solaris OS 的单引用安装,然后,您可以创建 Solaris Flash 归档文件,即主系统的副本映像。您还可以在网络中的其他系统上安装 Solaris Flash 归档文件,以创建克隆系统。

本部分描述如何创建 Solaris Flash 归档文件。

开始之前
  1. 引导主系统。

    尽可能在未激活状态下运行主系统。如果可能,则在单用户模式下运行该系统。如果不可能,请关闭要归档的所有应用程序以及需要大量操作系统资源的所有应用程序。

  2. 要创建归档文件,请使用 flarcreate 命令。


    # flarcreate -n name [optional-parameters]  document-root/flash/filename
    
    name

    您赋予归档文件的名称。您指定的 namecontent_name 关键字的值。

    optional-parameters

    您可以使用 flarcreate 命令的若干个选项,以自定义 Solaris Flash 归档文件。有关这些选项的详细说明,请参见《Solaris 10 5/09 安装指南:Solaris Flash 归档文件(创建和安装)》中的第 5  章 “Solaris Flash(参考)”

    document-root/flash

    指向安装服务器文档根目录的 Solaris Flash 子目录的路径。

    filename

    归档文件的名称。

    为了节省磁盘空间,可能需要在 flarcreate 命令中使用 -c 选项来压缩归档文件。但是,压缩归档文件会影响 WAN Boot 安装的性能。有关创建压缩归档文件的更多信息,请参见手册页 flarcreate(1M)

    • 如果归档文件创建成功,则 flarcreate 命令返回退出代码 0。

    • 如果归档文件创建失败,则 flarcreate 命令返回一个非零的退出代码。


示例 12–8 为 WAN Boot 安装创建 Solaris Flash 归档文件

在本示例中,您可以通过使用主机名 wanserver 来克隆 WAN Boot 服务器系统,从而创建出您的 Solaris Flash 归档文件。此归档文件的文件名为 sol_10_sparc,完全是从主系统复制而来的。此归档文件是与主系统完全相同的副本。此归档文件存储在 sol_10_sparc.flar 中。将归档文件保存在 WAN Boot 服务器上文档根目录的 flash/archives 子目录中。


wanserver# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

继续 WAN Boot 安装

创建 Solaris Flash 归档文件之后,请在 sysidcfg 文件中预配置客户机信息。有关说明,请参见创建 sysidcfg 文件

另请参见

有关如何创建 Solaris Flash 归档文件的详细说明,请参见《Solaris 10 5/09 安装指南:Solaris Flash 归档文件(创建和安装)》中的第 3  章 “创建 Solaris Flash 归档文件(任务)”

有关 flarcreate 命令的更多信息,请参见手册页 flarcreate(1M)

Procedure创建 sysidcfg 文件

您可以在 sysidcfg 文件中指定一组关键字以预配置系统。

要创建 sysidcfg 文件,请执行以下步骤。

开始之前

创建 Solaris Flash 归档文件。有关详细说明,请参见创建 Solaris Flash 归档文件

  1. 使用文本编辑器,在安装服务器上创建一个名为 sysidcfg 的文件。

  2. 键入所需的 sysidcfg 关键字。

    有关 sysidcfg 关键字的详细信息,请参见sysidcfg 文件关键字

  3. sysidcfg 文件保存在 WAN Boot 服务器可以访问的位置。

    请将该文件保存到以下位置之一。

    • 如果 WAN Boot 服务器和安装服务器在同一台计算机上,请将该文件保存到 WAN Boot 服务器上文档根目录的 flash 子目录中。

    • 如果 WAN Boot 服务器和安装服务器不在同一台计算机上,请将该文件保存到安装服务器的文档根目录的 flash 子目录中。


示例 12–9 用于 WAN Boot 安装的 sysidcfg 文件

以下示例是一个基于 SPARC 的系统的 sysidcfg 文件。该系统的主机名、IP 地址和网络掩码均已通过编辑命名服务进行了预配置。

network_interface=primary {hostname=wanclient
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none

继续 WAN Boot 安装

创建 sysidcfg 文件之后,请创建客户机的自定义 JumpStart 配置文件。有关说明,请参见创建配置文件

另请参见

有关 sysidcfg 关键字和值的更多详细信息,请参见使用 sysidcfg 文件进行预配置

Procedure创建配置文件

配置文件是指导自定义 JumpStart 程序如何在系统中安装 Solaris 软件的文本文件。配置文件定义了安装元素,例如要安装的软件组。

有关如何创建配置文件的详细信息,请参见《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的“创建配置文件”

要创建配置文件,请执行以下步骤。

开始之前

创建客户机的 sysidcfg 文件。有关详细说明,请参见创建 sysidcfg 文件

  1. 在安装服务器上创建一个文本文件,描述性地命名该文件。

    确保配置文件的名称可以反映您要使用配置文件在系统上安装 Solaris 软件的方式。例如,您可以将配置文件命名为 basic_installeng_profileuser_profile

  2. 在该配置文件中添加配置文件关键字和值。

    有关配置文件关键字和值的列表,请参见《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的“配置文件关键字和值”

    配置文件关键字及其值区分大小写。

  3. 将配置文件保存在 WAN Boot 服务器可以访问的位置。

    请将配置文件保存在以下位置之一。

    • 如果 WAN Boot 服务器和安装服务器在同一台计算机上,请将该文件保存到 WAN Boot 服务器上文档根目录的 flash 子目录中。

    • 如果 WAN Boot 服务器和安装服务器不在同一台计算机上,请将该文件保存到安装服务器的文档根目录的 flash 子目录中。

  4. 确保 root 用户拥有该配置文件,并且权限被设置为 644。

  5. (可选)测试配置文件。

    《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的“测试配置文件”包含有关测试配置文件的信息。


示例 12–10 从安全 HTTP 服务器检索 Solaris Flash 归档文件

在下面的配置文件示例中,自定义 JumpStart 程序从安全 HTTP 服务器中检索 Solaris Flash 归档文件。

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

下表说明了此示例中的一些关键字和值。

install_type

该配置文件在克隆系统上安装 Solaris Flash 归档文件。在初始安装过程中,所有文件都被覆盖。

archive_location

从安全 HTTP 服务器检索已压缩的 Solaris Flash 归档文件。

partitioning

文件系统片由 filesys 关键字和 explicit 值来确定。根目录 (/) 的大小基于 Solaris Flash 归档文件的大小。swap 的大小被设置为所需的大小,安装在 c0t1d0s1 上。/export/home 基于剩余的磁盘空间。/export/home 安装在 c0t1d0s7 上。


继续 WAN Boot 安装

创建配置文件之后,您必须创建和验证 rules 文件。有关说明,请参见创建 rules 文件

另请参见

有关如何创建配置文件的更多信息,请参见《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的“创建配置文件”

有关配置文件关键字和值的更多详细信息,请参见《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的“配置文件关键字和值”

Procedure创建 rules 文件

rules 文件是文本文件,它包含用于每组系统的规则,系统是指您想安装 Solaris OS 的系统。每个规则区分一组基于一个或多个系统属性的系统。每个规则还可以将相应的系统组链接到一个配置文件。配置文件是一个文本文件,它定义了如何在组中的各个系统上安装 Solaris 软件。例如,以下规则指定 JumpStart 程序使用 basic_prof 配置文件中的信息来安装 sun4u 平台组中的系统。


karch sun4u - basic_prof -

rules 文件用于创建自定义 JumpStart 安装所必需的 rules.ok 文件。

有关如何创建 rules 文件的详细信息,请参见《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的“创建 rules 文件”

要创建 rules 文件,请执行以下步骤。

开始之前

创建客户机的配置文件。有关详细的说明,请参见创建配置文件

  1. 在安装服务器上,创建名为 rules 的文本文件。

  2. rules 文件中,为要安装的每组系统增加一条规则。

    有关如何创建 rules 文件的详细信息,请参见《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的“创建 rules 文件”

  3. rules 文件保存在安装服务器上。

  4. 验证 rules 文件。


    $ ./check -p path -r file-name
    
    -p path

    使用 当前 Solaris 发行版 软件映像中的 check 脚本(而不是所使用系统中的 check 脚本)来验证 rulespath 是本地磁盘上的映像或已挂载的 Solaris DVD 或 Solaris Software - 1 CD。

    如果您的系统运行的是 Solaris OS 的早期版本,请使用此选项来运行 check 的最新版本。

    -r file_name

    指定一个名称不是 rules 的规则文件。使用此选项,您可以在将某条规则集成到 rules 文件中之前,测试该规则的有效性。

    check 脚本运行时,它会报告检查 rules 文件和各个配置文件的有效性的结果。如果没有遇到任何错误,该脚本将报告: 自定义 JumpStart 配置运行良好。然后,check 脚本将创建 rules.ok 文件。

  5. rules.ok 文件保存在 WAN Boot 服务器可以访问的位置。

    请将该文件保存到以下位置之一。

    • 如果 WAN Boot 服务器和安装服务器在同一台计算机上,请将该文件保存到 WAN Boot 服务器上文档根目录的 flash 子目录中。

    • 如果 WAN Boot 服务器和安装服务器不在同一台计算机上,请将该文件保存到安装服务器的文档根目录的 flash 子目录中。

  6. 确保 root 拥有 rules.ok 文件,并且权限被设置为 644。


示例 12–11 创建并验证 rules 文件

自定义 JumpStart 程序使用 rules 文件为 wanclient-1 系统选择正确的安装配置文件。创建名为 rules 的文本文件。然后,将关键字和值添加到此文件中。

客户机系统的 IP 地址为 192.168.198.210,网络掩码为 255.255.255.0。使用 network rule 关键字指定自定义 JumpStart 程序用来安装客户机的配置文件。


network 192.168.198.0 - wanclient_prof - 

rules 文件指示自定义 JumpStart 程序使用 wanclient_prof 将 当前 Solaris 发行版 软件安装在客户机上。

命名此规则文件 wanclient_rule

创建配置文件和 rules 文件之后,请运行 check 脚本检验文件是否有效。


wanserver# ./check -r wanclient_rule

如果 check 脚本没有找到任何错误,该脚本将创建 rules.ok 文件。

rules.ok 文件保存在 /opt/apache/htdocs/flash/ 目录中。


继续 WAN Boot 安装

创建 rules.ok 文件之后,您可以根据需要设置安装的开始脚本和结束脚本。有关说明,请参见(可选)创建开始脚本和结束脚本

如果您不想设置开始脚本和结束脚本,请参见创建配置文件以继续 WAN Boot 安装。

另请参见

有关如何创建 rules 文件的更多信息,请参见《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的“创建 rules 文件”

有关 rules 文件关键字和值的更多详细信息,请参见《Solaris 10 5/09 安装指南:自定义 JumpStart 和高级安装》中的“规则关键字和值”

(可选)创建开始脚本和结束脚本

开始脚本和结束脚本是您在 rules 文件中指定的用户自定义的 Bourne shell 脚本。开始脚本可以在将 Solaris 软件安装到系统之前执行任务。结束脚本可以在将 Solaris 软件安装到系统之后但在系统重新引导之前执行任务。仅当使用自定义 JumpStart 来安装 Solaris 时,才能使用这些脚本。

您可以使用开始脚本创建派生配置文件。而结束脚本则允许您执行各种安装之后的任务,如增加文件、软件包、修补程序或其他软件。

您必须将开始脚本和结束脚本存储在安装服务器上 sysidcfg 文件、rules.ok 文件和配置文件所在的目录中。

要继续 WAN Boot 安装的准备工作,请参见创建配置文件

创建配置文件

WAN Boot 使用以下文件指定执行 WAN Boot 安装所需的数据和文件的位置。

本节说明了如何创建和存储这两个文件。

Procedure创建系统配置文件

在系统配置文件中,您可以将 WAN Boot 安装程序定向到以下文件。

WAN Boot 将按照系统配置文件中的指示来安装和配置客户机。

系统配置文件是纯文本文件,必须按以下模式进行格式化。


setting=value

要使用系统配置文件以将 WAN 安装程序定向到 sysidcfg 文件、rules.ok 文件和配置文件,请按照以下步骤执行操作。

开始之前

在创建系统配置文件之前,您必须创建 WAN Boot 安装的安装文件。有关详细说明,请参见创建自定义 JumpStart 安装文件

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 创建一个文本文件。对文件进行描述性命名,例如,sys-conf.s10–sparc

  3. 将以下项添加到系统配置文件中。

    SsysidCF=sysidcfg-file-URL

    此设置指向安装服务器上包含 sysidcfg 文件的 flash 目录。请确保该 URL 与创建 sysidcfg 文件中创建的 sysidcfg 文件的路径相匹配。

    对于使用 HTTPS 的 WAN 安装,请将值设置为有效的 HTTPS URL。

    SjumpsCF=jumpstart-files-URL

    此设置指向安装服务器上包含 rules.ok 文件、配置文件以及开始脚本和结束脚本的 Solaris Flash 目录。请确保该 URL 与创建配置文件创建 rules 文件中创建的自定义 JumpStart 文件的路径相匹配。

    对于使用 HTTPS 的 WAN 安装,请将值设置为有效的 HTTPS URL。

  4. 将该文件保存到 WAN Boot 服务器可以访问的目录中。

    为了便于管理,您可能需要将该文件保存到 WAN Boot 服务器上 /etc/netboot 目录中相应的客户机目录中。

  5. 将系统配置文件的权限更改为 600。


    # chmod 600 /path/system-conf-file
    
    path

    指定指向包含系统配置文件的目录的路径。

    system-conf-file

    指定系统配置文件的名称。


示例 12–12 用于通过 HTTPS 进行 WAN Boot 安装的系统配置文件

在以下示例中,WAN Boot 程序在 Web 服务器 https://www.example.com 的端口 1234 处检查 sysidcfg 和自定义 JumpStart 文件。Web 服务器在安装期间使用安全 HTTP 加密数据和文件。

sysidcfg 和自定义 JumpStart 文件位于文档根目录 /opt/apache/htdocsflash 子目录中。

SsysidCF=https://www.example.com:1234/flash
SjumpsCF=https://www.example.com:1234/flash


示例 12–13 用于不安全的 WAN Boot 安装的系统配置文件

在以下示例中,WAN Boot 程序检查 Web 服务器 http://www.example.com 上的 sysidcfg 文件和自定义 JumpStart 文件。Web 服务器使用 HTTP,因此在安装期间数据和文件不受保护。

sysidcfg 和自定义 JumpStart 文件位于文档根目录 /opt/apache/htdocsflash 子目录中。

SsysidCF=http://www.example.com/flash
SjumpsCF=http://www.example.com/flash

继续 WAN Boot 安装

创建系统配置文件之后,请创建 wanboot.conf 文件。有关说明,请参见创建 wanboot.conf 文件

Procedure创建 wanboot.conf 文件

wanboot.conf 文件是一种纯文本配置文件,WAN Boot 程序使用该文件执行 WAN 安装。wanboot-cgi 程序、引导文件系统和 WAN Boot Miniroot 均使用 wanboot.conf 文件中包含的信息来安装客户机。

wanboot.conf 文件保存在 WAN Boot 服务器的 /etc/netboot 分层结构中的相应客户机子目录中。有关如何使用 /etc/netboot 分层结构来定义 WAN Boot 安装范围的信息,请参见在 WAN Boot 服务器上创建 /etc/netboot 分层结构

如果 WAN Boot 服务器在运行当前 Solaris 发行版,则 /etc/netboot/wanboot.conf.sample 中有一个样例 wanboot.conf 文件。您可以将此样例用作 WAN Boot 安装的模板。

必须在 wanboot.conf 文件中包括下列信息。

信息类型 

说明 

WAN Boot 服务器信息 

  • 指向 WAN Boot 服务器上 wanboot 程序的路径

  • WAN Boot 服务器上 wanboot-cgi 程序的 URL

安装服务器信息 

  • 指向安装服务器上 WAN Boot Miniroot 的路径

  • 指向 WAN Boot 服务器上系统配置文件的路径,该文件指定了 sysidcfg 文件和自定义 JumpStart 文件的位置

安全信息 

  • 用于 WAN Boot 文件系统或 WAN Boot Miniroot 的签名类型

  • 用于 WAN Boot 文件系统的加密类型

  • 在 WAN Boot 安装期间,是否应对服务器进行认证

  • 在 WAN Boot 安装期间,是否应对客户机进行认证

可选信息 

  • 在 WAN Boot 安装期间,可能需要为客户机解析的附加主机

  • 指向日志服务器上 bootlog-cgi 脚本的 URL

指定某个信息时,请使用以下格式列出相应的参数及其关联值。


parameter=value

有关 wanboot.conf 文件参数和语法的详细信息,请参见wanboot.conf 文件参数和语法

要创建 wanboot.conf 文件,请执行以下步骤。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 创建 wanboot.conf 文本文件。

    您可以创建一个名为 wanboot.conf 的新文本文件,也可以使用位于 /etc/netboot/wanboot.conf.sample 中的样例文件。如果使用样例文件,请在添加参数后重命名文件 wanboot.conf

  3. 针对您的安装键入 wanboot.conf 参数和值。

    有关 wanboot.conf 参数和值的详细描述,请参见wanboot.conf 文件参数和语法

  4. wanboot.conf 文件保存到 /etc/netboot 分层结构的相应子目录中。

    有关如何创建 /etc/netboot 分层结构的信息,请参见在 WAN Boot 服务器上创建 /etc/netboot 分层结构

  5. 验证 wanboot.conf 文件。


    # bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf
    
    path-to-wanboot.conf

    指定 WAN Boot 服务器上客户机的 wanboot.conf 文件的路径

    • 如果 wanboot.conf 文件在结构上有效,bootconfchk 命令将返回退出代码 0。

    • 如果 wanboot.conf 文件无效,bootconfchk 命令将返回一个非零的退出代码。

  6. wanboot.conf 文件的权限更改为 600。


    # chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf
    

示例 12–14 用于通过 HTTPS 进行 WAN Boot 安装的 wanboot.conf 文件

以下 wanboot.conf 文件示例包含使用安全 HTTP 的 WAN 安装的配置信息。wanboot.conf 文件还表明此安装中使用了 3DES 加密密钥。

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

wanboot.conf 文件指定以下配置。

boot_file=/wanboot/wanboot.s10_sparc

二级引导程序命名为 wanboot.s10_sparc 。此程序位于 WAN Boot 服务器的文档根目录的 /wanboot 目录中。

root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi

wanboot-cgi 程序在 WAN Boot 服务器上的位置是 https://www.example.com:1234/cgi-bin/wanboot-cgi。URL 的 https 部分表示此 WAN Boot 安装使用安全的 HTTP。

root_file=/miniroot/miniroot.s10_sparc

WAN Boot Miniroot 命名为 miniroot.s10_sparc。此 miniroot 位于 WAN Boot 服务器的文档根目录的 /miniroot 目录中。

signature_type=sha1

wanboot.s10_sparc 程序和 WAN Boot 文件系统使用 HMAC SHA1 散列密钥签名。

encryption_type=3des

wanboot.s10_sparc 程序和 Wan Boot 文件系统使用 3DES 密钥加密。

server_authentication=yes

在安装过程中认证服务器。

client_authentication=no

在安装过程中不认证客户机。

resolve_hosts=

不需要其他主机名来执行 WAN 安装。所有需要的文件和信息均位于 WAN Boot 服务器上的文档根目录中。

boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi

(可选)使用安全 HTTP 将引导和安装日志消息记录在 WAN Boot 服务器上。

有关如何为 WAN Boot 安装设置日志服务器的说明,请参见 (可选)配置 WAN Boot 日志服务器

system_conf=sys-conf.s10–sparc

包含 sysidcfg 和 JumpStart 文件的位置的系统配置文件位于 /etc/netboot 分层结构的子目录中。系统配置文件命名为 sys-conf.s10–sparc



示例 12–15 用于不安全的 WAN Boot 安装的 wanboot.conf 文件

以下 wanboot.conf 文件示例包含了使用 HTTP 的安全性较低的 WAN Boot 安装的配置信息。此 wanboot.conf 文件还表明该安装未使用加密密钥或散列密钥。

boot_file=/wanboot/wanboot.s10_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

wanboot.conf 文件指定以下配置。

boot_file=/wanboot/wanboot.s10_sparc

二级引导程序命名为 wanboot.s10_sparc 。此程序位于 WAN Boot 服务器的文档根目录的 /wanboot 目录中。

root_server=http://www.example.com/cgi-bin/wanboot-cgi

wanboot-cgi 程序在 WAN Boot 服务器上的位置是 http://www.example.com/cgi-bin/wanboot-cgi。此安装不使用安全 HTTP。

root_file=/miniroot/miniroot.s10_sparc

WAN Boot Miniroot 命名为 miniroot.s10_sparc。此 miniroot 位于 WAN Boot 服务器的文档根目录的 /miniroot 子目录中。

signature_type=

wanboot.s10_sparc 程序和 WAN Boot 文件系统未用散列密钥签名。

encryption_type=

wanboot.s10_sparc 程序和 Wan Boot 文件系统未进行加密。

server_authentication=no

在安装期间,不使用密钥或证书对服务器进行认证。

client_authentication=no

在安装期间,不使用密钥或证书对客户机进行认证。

resolve_hosts=

执行安装时不需要附加主机名。所有需要的文件和信息均位于 WAN Boot 服务器上的文档根目录中。

boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

(可选)将引导和安装日志消息记录在 WAN Boot 服务器上。

有关如何为 WAN Boot 安装设置日志服务器的说明,请参见 (可选)配置 WAN Boot 日志服务器

system_conf=sys-conf.s10–sparc

包含 sysidcfg 和 JumpStart 文件的位置的系统配置文件命名为 sys-conf.s10–sparc。此文件位于 /etc/netboot 分层结构的相应客户机子目录中。


继续 WAN Boot 安装

创建 wanboot.conf 文件之后,您可以根据需要配置 DHCP 服务器以支持 WAN Boot。有关说明,请参见(可选)使用 DHCP 服务器提供配置信息

如果不想在 WAN Boot 安装中使用 DHCP 服务器,请参见检查客户机 OBP 中的 net 设备别名以继续 WAN Boot 安装。

另请参见

有关 wanboot.conf 参数和值的详细描述,请参见wanboot.conf 文件参数和语法和手册页 wanboot.conf(4)

(可选)使用 DHCP 服务器提供配置信息

如果在网络中使用 DHCP 服务器,那么可以配置 DHCP 服务器,以提供以下信息。

您可以在 WAN Boot 安装中使用以下 DHCP 供应商选项。

SHTTPproxy

指定网络代理服务器的 IP 地址

SbootURI

指定 WAN Boot 服务器上 wanboot-cgi 程序的 URL

有关在 Solaris DHCP 服务器上设置这些供应商选项的信息,请参见使用 DHCP 服务预配置系统配置信息(任务)

有关设置 Solaris DHCP 服务器的详细信息,请参见《系统管理指南:IP 服务》中的第 14  章 “配置 DHCP 服务(任务)”

要继续 WAN Boot 安装,请参见第 13 章

第 13 章 SPARC: 使用 WAN Boot 进行安装(任务)

本章说明了如何在基于 SPARC 的客户机上执行 WAN Boot 安装。有关如何准备 WAN Boot 安装的信息,请参见第 12 章

本章说明了以下任务。

任务图:使用 WAN Boot 安装客户机

下表列出了通过 WAN 安装客户机时需要执行的任务。

表 13–1 任务图:执行 WAN Boot 安装

任务 

说明 

参考 

准备用于 WAN Boot 安装的网络。 

设置执行 WAN Boot 安装需要的服务器和文件。 

第 12 章

检验客户机 OBP 中 net 设备别名的设置是否正确。

使用 devalias 命令验证 net 设备别名是否设置为主网络接口。

检查客户机 OBP 中的 net 设备别名

为客户机提供密钥 

通过在安装期间设置 OBP 变量或输入密钥值为客户机提供密钥。 

安全安装配置需要此任务。对于检查数据完整性的不安全安装,请完成此任务以为客户机提供 HMAC SHA1 散列密钥。 

在客户机上安装密钥

通过广域网安装客户机。 

选择适当的方法安装客户机。 

执行非交互式 WAN Boot 安装

执行交互式 WAN Boot 安装

使用 DHCP 服务器执行 WAN Boot 安装

使用本地 CD 介质执行 WAN Boot 安装

准备进行 WAN Boot 安装的客户机

安装客户机系统之前,请执行以下任务来准备客户机。

Procedure检查客户机 OBP 中的 net 设备别名

要使用 boot net 从 WAN 引导客户机,必须将 net 设备别名设置为客户机的主网络设备。在大多数系统上,此别名已经正确设置。但是,如果该别名未被设置为要使用的网络设备,则必须更改该别名。

有关设置设备别名的更多信息,请参见《OpenBoot 3.x Command Reference Manual》中的 "The Device Tree" 。

请按照以下步骤检查客户机上的 net 设备别名。

  1. 在客户机上,成为超级用户或承担等效角色。

  2. 使系统运行 0 级。


     # init 0
    

    将显示 ok 提示符。

  3. ok 提示符后,输入以下命令,检查在 OBP 中设置的设备别名。


    ok devalias
    

    devalias 命令输出类似于以下示例的信息。


    screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
    net                      /pci@1f,0/pci@1,1/network@c,1
    net2                     /pci@1f,0/pci@1,1/network@5,1
    disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
    cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
    keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
    mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8
    • 如果 net 别名被设置为要在安装时使用的网络设备,则无需重置别名。转至在客户机上安装密钥以继续安装。

    • 如果 net 别名未被设置为要使用的网络设备,则必须重置别名。请继续。

  4. 设置 net 设备别名。

    选择以下命令之一设置 net 设备别名。

    • 如果仅设置此安装的 net 设备别名,请使用 devalias 命令。


      ok devalias net device-path
      
      net device-path

      net 别名指定为设备 device-path

    • 要永久性地设置 net 设备别名,请使用 nvalias 命令。


      ok nvalias net device-path
      
      net device-path

      net 别名指定为设备 device-path


示例 13–1 检查和重置 net 设备别名

以下命令说明了如何检查和重置 net 设备别名。

检查设备别名。


ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

如果要使用 /pci@1f,0/pci@1,1/network@5,1 网络设备,请键入以下命令。


ok devalias net /pci@1f,0/pci@1,1/network@5,1

继续 WAN Boot 安装

检查了 net 设备别名后,请参见相应的章节继续安装。

在客户机上安装密钥

对于较安全的 WAN Boot 安装或带数据完整性检查的不安全安装,您必须在客户机上安装密钥。通过使用散列密钥和加密密钥,您可以保护传输到客户机的数据。您可以通过以下方式来安装这些密钥。

您也可以在运行中的客户机的 OBP 中安装密钥。如果希望在正在运行的客户机上安装密钥,则系统必须运行 Solaris 9 12/03 OS 或兼容的版本。

在客户机上安装密钥时,请确保密钥值未通过不安全的连接进行传输。请遵循站点的安全策略以确保密钥值的保密性。

Procedure在客户机 OBP 中安装密钥

您可以在引导客户机之前为 OBP 网络引导参数变量指定密钥值。然后,客户机可在将来安装 WAN Boot 时使用这些密钥。

要在客户机 OBP 中安装密钥,请按照以下步骤进行操作。

如果要为 OBP 网络引导参数变量指定密钥值,请按照以下步骤进行操作。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 显示所有客户机密钥的密钥值。


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    
    net-ip

    客户机子网的 IP 地址。

    client-ID

    要安装的客户机的 ID。客户机 ID 可以是用户自定义的 ID,也可以是 DHCP 客户机 ID。

    key-type

    要在客户机上安装的密钥的类型。有效的密钥类型包括 3desaessha1

    将显示密钥的十六进制值。

  3. 针对要安装的每个客户机密钥类型,重复上述步骤。

  4. 使客户机系统运行 0 级。


    # init 0
    

    将显示 ok 提示符。

  5. 在客户机 ok 提示符下,设置散列密钥的值。


    ok set-security-key wanboot-hmac-sha1 key-value
    
    set-security-key

    在客户机上安装密钥

    wanboot-hmac-sha1

    指示 OBP 安装 HMAC SHA1 散列密钥

    key-value

    指定步骤 2 中显示的十六进制字符串。

    HMAC SHA1 散列密钥安装在客户机 OBP 中。

  6. 在客户机 ok 提示符下,安装加密密钥。


    ok set-security-key wanboot-3des key-value
    
    set-security-key

    在客户机上安装密钥

    wanboot-3des

    指示 OBP 安装 3DES 加密密钥。如果要使用 AES 加密密钥,请将此值设置为 wanboot-aes

    key-value

    指定代表该加密密钥的十六进制字符串。

    3DES 加密密钥安装在客户机 OBP 中。

    安装密钥后,就可以安装客户机了。有关如何安装客户机系统的说明,请参见安装客户机

  7. (可选的)检验是否已在客户机 OBP 中设置密钥。


    ok list-security-keys
    Security Keys:
             wanboot-hmac-sha1
             wanboot-3des
  8. (可选的)如果需要删除密钥,请键入以下命令。


    ok set-security-key key-type
    
    key-type

    指定需要删除的密钥的类型。使用值 wanboot-hmac-sha1wanboot-3deswanboot-aes


示例 13–2 在客户机 OBP 中安装密钥

以下示例显示了如何在客户机 OBP 中安装散列密钥和加密密钥。

显示 WAN Boot 服务器上的密钥值。


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个示例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装中使用 AES 加密密钥,请将 wanboot-3des 更改为 wanboot-aes 以显示加密密钥值。

在客户机系统上安装密钥。


ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个命令执行以下任务。


继续 WAN Boot 安装

在客户机上安装了密钥后,便可通过 WAN 安装客户机。有关说明,请参见安装客户机

另请参见

有关如何显示密钥值的更多信息,请参见手册页 wanbootutil(1M)

Procedure在运行中的客户机上安装散列密钥和加密密钥

您可以在正在运行的系统中的 wanboot program boot> 提示符下设置密钥值。如果使用此方法来安装密钥,则密钥只能用于当前的 WAN Boot 安装。

如果要在运行中的客户机的 OBP 中安装散列密钥和加密密钥,请按照以下步骤进行操作。

开始之前

此过程进行了以下假设。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 显示客户机密钥的密钥值。


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    
    net-ip

    客户机子网的 IP 地址。

    client-ID

    要安装的客户机的 ID。客户机 ID 可以是用户自定义的 ID,也可以是 DHCP 客户机 ID。

    key-type

    要在客户机上安装的密钥的类型。有效的密钥类型包括 3desaessha1

    将显示密钥的十六进制值。

  3. 针对要安装的每个客户机密钥类型,重复上述步骤。

  4. 在客户机上,成为超级用户或承担等效角色。

  5. 在运行中的客户机上安装必要的密钥。


    # /usr/lib/inet/wanboot/ickey -o type=key-type
    > key-value
    
    key-type

    指定要在客户机上安装的密钥类型。有效的密钥类型包括 3desaessha1

    key-value

    指定步骤 2 中显示的十六进制字符串。

  6. 针对要安装的每个客户机密钥类型,重复上述步骤。

    密钥安装完毕后,就可以安装客户机了。有关如何安装客户机系统的说明,请参见安装客户机


示例 13–3 在运行中的客户机系统的 OBP 中安装密钥

以下示例显示了如何在运行中的客户机的 OBP 中安装密钥。

显示 WAN Boot 服务器上的密钥值。


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个示例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装过程中使用 AES 加密密钥,请将 type=3des 更改为 type=aes 以显示加密密钥值。

在运行中的客户机的 OBP 中安装密钥。


# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个命令执行以下任务。


继续 WAN Boot 安装

在客户机上安装了密钥后,便可通过 WAN 安装客户机。有关说明,请参见安装客户机

另请参见

有关如何显示密钥值的更多信息,请参见手册页 wanbootutil(1M)

有关如何在正在运行的系统中安装密钥的其他信息,请参见 ickey(1M)

安装客户机

完成针对 WAN Boot 安装的网络准备工作后,您可以选择以下方法安装系统。

表 13–2 安装客户机的方法

方法 

说明 

参考 

非交互安装 

如果要在客户机上安装密钥并在引导客户机之前设置客户机配置信息,请使用此安装方法。 

交互安装 

如果要在引导过程运行期间设置客户机配置信息,请使用此安装方法。 

执行交互式 WAN Boot 安装

使用 DHCP 服务器安装 

如果已将网络 DHCP 服务器配置为提供安装期间的客户机配置信息,请使用此安装方法。 

使用本地 CD 介质安装 

如果客户机 OBP 不支持 WAN Boot,请使用 Solaris Software CD 的本地副本引导客户机。 

Procedure执行非交互式 WAN Boot 安装

如果希望在安装客户机之前安装密钥并设置客户机配置信息,请使用此安装方法。然后,可以通过 WAN 引导客户机并执行无人参与的安装。

此过程假设您或者已经在客户机 OBP 中安装了密钥,或者执行不安全安装。有关在安装之前在客户机上安装密钥的信息,请参见在客户机上安装密钥

  1. 如果客户机系统当前正在运行,请使系统运行 0 级。


    # init 0
    

    将显示 ok 提示符。

  2. 在客户机系统上的 ok 提示符下,设置 OBP 中的网络引导参数变量。


    ok setenv network-boot-arguments  host-ip=client-IP,
    router-ip=router-ip,subnet-mask=mask-value,
    hostname=client-name,http-proxy=proxy-ip:port,
    file=wanbootCGI-URL
    

    注 –

    此命令样例中包含换行符只是出于格式的目的。只有完成命令键入后才能输入回车。


    setenv network-boot-arguments

    指示 OBP 设置以下引导参数

    host-ip=client-IP

    指定客户机的 IP 地址

    router-ip=router-ip

    指定网络路由器的 IP 地址

    subnet-mask=mask-value

    指定子网掩码值

    hostname=client-name

    指定客户机的主机名

    (可选)http-proxy=proxy-ip:port

    指定网络代理服务器的 IP 地址和端口

    file=wanbootCGI-URL

    指定 Web 服务器上的 wanboot-cgi 程序的 URL

  3. 引导客户机。


    ok boot net - install
    
    net - install

    指示客户机使用网络引导参数变量来通过 WAN 引导

    客户机通过 WAN 进行安装。如果 WAN Boot 程序未找到所有必需的安装信息,wanboot 程序将提示提供缺失的信息。在提示符下键入附加信息。


示例 13–4 非交互 WAN Boot 安装

在以下示例中,客户机系统 myclient 的网络引导参数变量在引导计算机之前设置。此示例假设客户机上已安装散列密钥和加密密钥。有关在通过 WAN 引导之前安装密钥的信息,请参见在客户机上安装密钥


ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192
hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

将设置以下变量。


另请参见

有关如何设置网络引导参数的更多信息,请参见 set(1)

有关如何引导系统的更多信息,请参见 boot(1M)

Procedure执行交互式 WAN Boot 安装

如果要在安装期间安装密钥并在命令行中设置客户机配置信息,请使用此安装方法。

此过程假设在 WAN 安装中使用 HTTPS。如果执行不使用密钥的不安全安装,请不要显示或安装客户机密钥。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 显示所有客户机密钥的密钥值。


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    
    net-ip

    您要安装的客户机子网的 IP 地址。

    client-ID

    要安装的客户机的 ID。客户机 ID 可以是用户自定义的 ID,也可以是 DHCP 客户机 ID。

    key-type

    要在客户机上安装的密钥的类型。有效的密钥类型包括 3desaessha1

    将显示密钥的十六进制值。

  3. 针对要安装的每个客户机密钥类型,重复上述步骤。

  4. 如果客户机系统当前正在运行,请使客户机运行 0 级。

  5. 在客户机系统的 ok 提示符下,设置 OBP 中的网络引导参数变量。


    ok setenv network-boot-arguments  host-ip=client-IP,router-ip=router-ip,
    subnet-mask=mask-value,hostname=client-name,
    http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL
    

    注 –

    此命令样例中包含换行符只是出于格式的目的。只有完成命令键入后才能输入回车。


    setenv network-boot-arguments

    指示 OBP 设置以下引导参数

    host-ip=client-IP

    指定客户机的 IP 地址

    router-ip=router-ip

    指定网络路由器的 IP 地址

    subnet-mask=mask-value

    指定子网掩码值

    hostname=client-name

    指定客户机的主机名

    (可选)http-proxy=proxy-ip:port

    指定网络代理服务器的 IP 地址和端口

    bootserver=wanbootCGI-URL

    指定 Web 服务器上的 wanboot-cgi 程序的 URL


    注 –

    bootserver 变量的 URL 值不能是 HTTPS URL。URL 必须以 http:// 开头。


  6. 在客户机 ok 提示符下,引导系统。


    ok boot net -o prompt - install
    
    net -o prompt - install

    指示客户机通过网络引导并安装。wanboot 程序提示用户在 boot> 提示符后输入客户机配置信息。

    将显示 boot> 提示符。

  7. 安装加密密钥。


    boot> 3des=key-value
    
    3des=key-value

    指定步骤 2 中显示的 3DES 密钥的十六进制字符串。

    如果使用 AES 加密密钥,请使用此命令的以下格式。


    boot> aes=key-value
    
  8. 安装散列密钥。


    boot> sha1=key-value
    
    sha1=key-value

    指定步骤 2 中显示的散列密钥值。

  9. 键入以下命令以继续引导过程。


    boot> go
    

    客户机通过 WAN 进行安装。

  10. 如果提示,请在命令行中键入客户机配置信息。

    如果 WAN Boot 程序没有找到所有必需的安装信息,则 wanboot 程序会提示您提供缺失的信息。在提示符下键入附加信息。


示例 13–5 交互 WAN Boot 安装

以下示例中,wanboot 程序提示您在安装期间设置客户机系统的密钥值。

显示 WAN Boot 服务器上的密钥值。


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个示例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装过程中使用 AES 加密密钥,请将 type=3des 更改为 type=aes 以显示加密密钥值。

在客户机的 OBP 中设置网络引导参数变量。


ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient,
bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

将设置以下变量。

引导并安装客户机。


ok boot net -o prompt - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net -o prompt                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> go

上一个命令执行以下任务。


另请参见

有关如何显示密钥值的更多信息,请参见 wanbootutil(1M)

有关如何设置网络引导参数的更多信息,请参见 set(1)

有关如何引导系统的更多信息,请参见 boot(1M)

Procedure使用 DHCP 服务器执行 WAN Boot 安装

如果已将 DHCP 服务器配置成支持 WAN Boot 选项,在安装期间您可以使用 DHCP 服务器提供客户机配置信息。有关配置 DHCP 服务器以支持 WAN Boot 安装的更多信息,请参见(可选)使用 DHCP 服务器提供配置信息

此过程进行了以下假设。

  1. 如果客户机系统当前正在运行,请使系统运行 0 级。


    # init 0
    

    将显示 ok 提示符。

  2. 在客户机系统上的 ok 提示符下,设置 OBP 中的网络引导参数变量。


    ok setenv network-boot-arguments dhcp,hostname=client-name
    
    setenv network-boot-arguments

    指示 OBP 设置以下引导参数

    dhcp

    指示 OBP 使用 DHCP 服务器来配置客户机

    hostname=client-name

    指定要指定给客户机的主机名

  3. 通过网络引导客户机。


    ok boot net - install
    
    net - install

    指示客户机使用网络引导参数变量来通过 WAN 引导

    客户机通过 WAN 进行安装。如果 WAN Boot 程序未找到所有必需的安装信息,wanboot 程序将提示提供缺失的信息。在提示符下键入附加信息。


示例 13–6 使用 DHCP 服务器进行 WAN Boot 安装

在以下示例中,网络上的 DHCP 服务器提供客户机配置信息。本样例要求客户机的主机名为 myclient


ok setenv network-boot-arguments dhcp, hostname=myclient

ok boot net - install
Resetting ...



Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

另请参见

有关如何设置网络引导参数的更多信息,请参见 set(1)

有关如何引导系统的更多信息,请参见 boot(1M)

有关如何配置 DHCP 服务器的更多信息,请参见(可选)使用 DHCP 服务器提供配置信息

Procedure使用本地 CD 介质执行 WAN Boot 安装

如果客户机的 OBP 不支持 WAN Boot,您可以将 Solaris Software - 1 CD 插入客户机的 CD-ROM 驱动器中进行安装。使用本地 CD 时,客户机将通过本地介质(而非 WAN Boot 服务器)检索 wanboot 程序。

此过程假设在 WAN 安装中使用 HTTPS。如果执行的是不安全安装,请不要显示或安装客户机密钥。

请按照以下步骤通过本地 CD 执行 WAN Boot 安装。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 显示所有客户机密钥的密钥值。


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    
    net-ip

    要安装的客户机的网络 IP 地址。

    client-ID

    要安装的客户机的 ID 。客户机 ID 可以是用户自定义的 ID,也可以是 DHCP 客户机 ID。

    key-type

    在客户机上安装的密钥的类型。有效的密钥类型包括 3desaessha1

    将显示密钥的十六进制值。

  3. 针对要安装的每个客户机密钥类型,重复上述步骤。

  4. 在客户机系统的 CD-ROM 驱动器中插入 Solaris Software - 1 CD。

  5. 打开客户机系统的电源。

  6. 通过该 CD 引导客户机。


    ok boot cdrom -o prompt -F wanboot - install
    
    cdrom

    指示 OBP 通过本地 CD-ROM 引导

    -o prompt

    指示 wanboot 程序提示用户输入客户机配置信息

    -F wanboot

    指示 OBP 通过 CD-ROM 装入 wanboot 程序

    - install

    指示客户机执行 WAN Boot 安装

    客户机的 OBP 通过 Solaris Software - 1 CD 装入 wanboot 程序。wanboot 程序引导该系统,并显示 boot> 提示符。

  7. 键入加密密钥值。


    boot> 3des=key-value
    
    3des=key-value

    指定步骤 2 中显示的 3DES 密钥的十六进制字符串。

    如果使用 AES 加密密钥,请使用此命令的以下格式。


    boot> aes=key-value
    
  8. 键入散列密钥值。


    boot> sha1=key-value
    
    sha1=key-value

    指定步骤 2 中显示的表示散列密钥值的十六进制字符串。

  9. 设置网络接口变量。


    boot> variable=value[,variable=value*]

    boot> 提示符后键入以下变量和值对。

    host-ip=client-IP

    指定客户机的 IP 地址。

    router-ip=router-ip

    指定网络路由器的 IP 地址。

    subnet-mask=mask-value

    指定子网掩码值。

    hostname=client-name

    指定客户机的主机名。

    (可选)http-proxy=proxy-ip:port

    指定网络代理服务器的 IP 地址和端口号。

    bootserver=wanbootCGI-URL

    指定 Web 服务器上的 wanboot-cgi 程序的 URL。


    注 –

    bootserver 变量的 URL 值不能是 HTTPS URL。URL 必须以 http:// 开头。


    您可以通过以下方式输入这些变量。

    • boot> 提示符后键入一个变量和值对,然后按回车键。


      boot> host-ip=client-IP
      boot> subnet-mask=mask-value
      
    • 在一个 boot> 提示行中键入所有变量和值对,然后按回车键。键入逗号以分隔每个变量和值对。


      boot> host-ip=client-IP,subnet-mask=mask-value,
      router-ip=router-ip,hostname=client-name,
      http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL
      
  10. 键入以下命令以继续引导过程。


    boot> go
    

    客户机通过 WAN 进行安装。如果 WAN Boot 程序未找到所有必需的安装信息,wanboot 程序将提示提供缺失的信息。在提示符下键入附加信息。


示例 13–7 使用本地 CD 介质安装

在以下示例中,本地 CD 中的 wanboot 程序提示您在安装期间设置客户机的网络接口变量。

显示 WAN Boot 服务器上的密钥值。


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个示例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装过程中使用 AES 加密密钥,请将 type=3des 更改为 type=aes 以显示加密密钥值。

引导并安装客户机。


ok boot cdrom -o prompt -F wanboot - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot cdrom -F wanboot - install                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> host-ip=192.168.198.124

boot> subnet-mask=255.255.255.128

boot> router-ip=192.168.198.1

boot> hostname=myclient
boot> client-id=010003BA152A42

boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

boot> go

上一个命令执行以下任务。


另请参见

有关如何显示密钥值的更多信息,请参见 wanbootutil(1M)

有关如何设置网络引导参数的更多信息,请参见 set(1)

有关如何引导系统的更多信息,请参见 boot(1M)

第 14 章 SPARC: 使用 WAN Boot 进行安装(示例)

本章提供通过广域网 (WAN) 设置和安装客户机系统的示例。本章中的示例说明如何通过 HTTPS 连接执行安全的 WAN Boot 安装。

样例站点设置

图 14–1 显示了此示例的站点设置。

图 14–1 WAN Boot 安装的样例站点

文中对该图形进行了说明。

此样例站点具有以下特征。

创建文档根目录

要存储安装文件和数据,请在 wanserver-1 上的文档根目录 (/opt/apache/htdocs) 中设置以下目录 。

创建 WAN Boot Miniroot

使用带有 -w 选项的 setup_install_server(1M) 将 WAN Boot Miniroot 和 Solaris 软件映像复制到 wanserver-1/export/install/Solaris_10 目录中。

将 Solaris Software 介质放入已连接至 wanserver-1 的介质驱动器中。键入以下命令。


wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

将 WAN Boot Miniroot 移到 WAN Boot 服务器的文档根目录 (/opt/apache/htdocs/) 中。


wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

检查客户机 OBP 的 WAN Boot 支持

通过在客户机系统中键入以下命令来确定客户机 OBP 是否支持 WAN Boot。


# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

在前面的示例中,network-boot-arguments: data not available 输出表示客户机 OBP 支持 WAN Boot。

在 WAN Boot 服务器上安装 wanboot 程序

要在 WAN Boot 服务器上安装 wanboot 程序,请将该程序从 Solaris Software 介质上复制到 WAN Boot 服务器的文档根目录。

将 Solaris DVD 或 Solaris Software - 1 CD 放入连接至 wanserver-1 的介质驱动器并键入以下命令。


wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

创建 /etc/netboot 分层结构

在 WAN Boot 服务器上创建 /etc/netboot 目录的 wanclient-1 子目录。WAN Boot 安装程序在安装过程中从此目录检索配置和安全信息。

wanclient-1 位于子网 192.168.198.0 中,并且客户机 ID 为 010003BA152A42。要为 wanclient-1 创建 /etc/netboot 的相应子目录,请执行以下任务。


wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

wanboot-cgi 程序复制到 WAN Boot 服务器

在运行当前 Solaris 发行版的系统上,wanboot-cgi 程序位于 /usr/lib/inet/wanboot/ 目录中。要启用 WAN Boot 服务器以传输安装数据,请将 wanboot-cgi 程序复制到 Web 服务器软件目录中的 cgi-bin 目录中。


wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(可选)将 WAN Boot 服务器配置为日志服务器

缺省情况下,WAN Boot 日志消息将显示在客户机系统上。此缺省行为可使您快速调试任何安装问题。

要在 WAN Boot 服务器上查看引导和安装消息,请将 bootlog-cgi 脚本复制到 wanserver-1 上的 cgi-bin 目录中。


wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

将 WAN Boot 服务器配置为使用 HTTPS

要在您的 WAN Boot 安装中使用 HTTPS,必须在 Web 服务器软件中启用 SSL 支持。还必须在 WAN Boot 服务器上安装数字证书。此示例假设 wanserver-1 上的 Apache Web 服务器被配置为使用 SSL。此示例还假设已将建立 wanserver-1 标识的数字证书和证书颁发机构安装在 wanserver-1 中。

有关如何将您的 Web 服务器软件配置为使用 SSL 的示例,请参见您的 Web 服务器文档。

为客户机提供受信任证书

通过要求服务器对客户机认证自己,可以保护通过 HTTPS 从服务器传输到客户机的数据。要启用服务器认证,您要为客户机提供受信任证书。受信任证书使客户机可以在安装过程中检验服务器的标识。

要向客户机提供受信任证书,使用与 Web 服务器用户相同的用户角色。然后,拆分该证书,以提取受信任证书。然后,将受信任证书插入客户机的 /etc/netboot 分层结构中客户机的 truststore 文件中。

在此示例中,假设 Web 服务器用户角色为 nobody。然后,拆分名为 cert.p12 的服务器 PKCS#12 证书,并将受信任证书插入 wanclient-1/etc/netboot 目录中。


wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(可选)将私钥和证书用于客户机认证

为了在安装过程中进一步保护您的数据,您可能希望要求 wanclient-1 自身也向 wanserver-1 进行验证。要在您的 WAN Boot 安装中启用客户机认证,请将客户机证书和私钥插入 /etc/netboot 分层结构的客户机子目录中。

要向客户机提供私钥和证书,请执行以下任务。

在此示例中,假设 Web 服务器用户角色为 nobody。然后拆分名为 cert.p12 的服务器 PKCS#12 证书。您为 wanclient-1/etc/netboot 分层结构中插入证书。然后在客户机的 keystore 文件中插入名为 wanclient.key 的私钥。


wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

为服务器和客户机创建密钥

要保护在服务器和客户机之间传输的数据,可以创建一个散列密钥和一个加密密钥。服务器使用散列密钥保护 wanboot 程序的完整性。服务器使用加密密钥对配置和安装数据进行加密。客户机使用散列密钥检查下载的 wanboot 程序的完整性。客户机使用加密密钥在安装过程中解密数据。

首先,使用与 Web 服务器用户相同的用户角色。在本示例中,Web 服务器用户角色为 nobody


wanserver-1# su nobody
Password:

然后,使用 wanbootutil keygen 命令创建 wanserver-1 的主 HMAC SHA1 密钥。


wanserver-1# wanbootutil keygen -m

然后,为 wanclient-1 创建散列密钥和加密密钥。


wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

上一个命令为 wanclient-1 创建 HMAC SHA1 散列密钥和 3DES 加密密钥。192.168.198.0 指定 wanclient-1 的子网,010003BA152A42 指定 wanclient-1 的客户机 ID。

创建 Solaris Flash 归档文件

在本示例中,您通过克隆 wanserver-1 主系统创建 Solaris Flash 归档文件。此归档文件的文件名为 sol_10_sparc,完全是从主系统复制而来的。此归档文件是与主系统完全相同的副本。此归档文件存储在 sol_10_sparc.flar 中。将归档文件保存在 WAN Boot 服务器上文档根目录的 flash/archives 子目录中。


wanserver-1# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

创建 sysidcfg 文件

要预配置 wanclient-1 系统,请在 sysidcfg 文件中指定关键字和值。将此文件保存在 wanserver-1 文档根目录的相应的子目录中。


示例 14–1 Wanclient-1 系统的 sysidcfg 文件

以下是 wanclient-1sysidcfg 文件示例。这些系统的主机名、IP 地址和网络掩码已通过编辑命名服务得到预配置。此文件位于 /opt/apache/htdocs/flash/ 目录。

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

创建客户机的配置文件

对于 wanclient-1 系统,创建名为 wanclient_1_prof 的配置文件。wanclient_1_prof 文件包含以下项,这些项定义要安装在 wanclient-1 系统中的 当前 Solaris 发行版 软件。

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/cdrom0.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

下表说明了此示例中的一些关键字和值。

install_type

该配置文件在克隆系统上安装 Solaris Flash 归档文件。在初始安装过程中,所有文件都被覆盖。

archive_location

wanserver-1 中检索到压缩的 Solaris Flash 归档文件。

partitioning

文件系统片由 filesys 关键字和 explicit 值来确定。根目录 (/) 的大小基于 Solaris Flash 归档文件的大小。swap 的大小被设置为所需的大小,安装在 c0t1d0s1 上。/export/home 基于剩余的磁盘空间。/export/home 安装在 c0t1d0s7 上。

创建并验证 rules 文件

自定义 JumpStart 程序使用 rules 文件为 wanclient-1 系统选择正确的安装配置文件。创建名为 rules 的文本文件。然后,将关键字和值添加到此文件中。

wanclient-1 系统的 IP 地址为 192.168.198.210,网络掩码为 255.255.255.0。使用 network 规则关键字指定自定义 JumpStart 程序安装 wanclient-1 时应使用的配置文件。


network 192.168.198.0 - wanclient_1_prof - 

rules 文件指定自定义 JumpStart 程序使用 wanclient_1_profwanclient-1 上安装 当前 Solaris 发行版 软件。

命名此规则文件 wanclient_rule

创建配置文件和 rules 文件之后,请运行 check 脚本检验文件是否有效。


wanserver-1# ./check -r wanclient_rule

如果 check 脚本没有找到任何错误,该脚本将创建 rules.ok 文件。

rules.ok 文件保存在 /opt/apache/htdocs/flash/ 目录中。

创建系统配置文件

创建系统配置文件,该文件列出 sysidcfg 文件和自定义 JumpStart 文件在安装服务器上的位置。将此文件保存在 WAN Boot 服务器可以访问的目录中。

在以下示例中,wanboot-cgi 程序在 WAN Boot 服务器的文档根目录中查找 sysidcfg 和自定义 JumpStart 文件。WAN Boot 服务器的域名为 https://www.example.com。WAN Boot 服务器被配置为使用安全的 HTTP,因此数据和文件在安装过程中受到保护。

在此示例中,系统配置文件名称为 sys-conf.s10–sparc,该文件保存在 WAN Boot 服务器上的 /etc/netboot 分层结构中。sysidcfg 文件和自定义 JumpStart 文件位于文档根目录的 flash 子目录中。

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

创建 wanboot.conf 文件

WAN Boot 使用包含在 wanboot.conf 文件中的配置信息安装客户机。在文本编辑器中创建 wanboot.conf 文件。将该文件保存到 WAN Boot 服务器上的 /etc/netboot 分层结构中相应的客户机子目录中。

以下 wanclient-1wanboot.conf 文件包含使用安全 HTTP 的 WAN 安装的配置信息。此文件也指示 WAN Boot 使用 HMAC SHA1 散列密钥和 3DES 加密密钥来保护数据。

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

wanboot.conf 文件指定以下配置。

boot_file=/wanboot/wanboot.s10_sparc

wanboot 程序命名为 wanboot.s10_sparc。此程序位于 wanserver-1 上文档根目录的 wanboot 目录中。

root_server=https://www.example.com/cgi-bin/wanboot-cgi

wanserver-1wanboot-cgi 程序的位置为 https://www.example.com/cgi-bin/wanboot-cgi。URL 的 https 部分表示此 WAN Boot 安装使用安全的 HTTP。

root_file=/miniroot/miniroot.s10_sparc

WAN Boot Miniroot 命名为 miniroot.s10_sparc。Miniroot 位于 wanserver-1 上的文档根目录的 miniboot 目录中。

signature_type=sha1

通过使用 HMAC SHA1 散列密钥为 wanboot 程序和 WAN Boot 文件系统签名。

encryption_type=3des

wanboot 程序和 WAN Boot 文件系统使用 3DES 密钥进行加密。

server_authentication=yes

在安装过程中认证服务器。

client_authentication=no

在安装过程中不认证客户机。


注 –

如果您执行(可选)将私钥和证书用于客户机认证中的任务,则将该参数设置为 client_authentication=yes


resolve_hosts=

不需要其他主机名来执行 WAN 安装。wanboot-cgi 程序所需的所有主机名均在 wanboot.conf 文件和客户机证书中进行指定。

boot_logger=

引导和安装日志信息显示在系统控制台上。如果您配置了(可选)将 WAN Boot 服务器配置为日志服务器中日志服务器,而且还希望 WAN Boot 消息显示在 WAN Boot 服务器上,则将该参数设置为 boot_logger=https://www.example.com/cgi-bin/bootlog-cgi

system_conf=sys-conf.s10–sparc

指定 sysidcfg 和 JumpStart 文件位置的系统配置文件位于 wanserver--1/etc/netboot 分层结构的 sys-conf.s10–sparc 文件中。

在本示例中,您将 wanboot.conf 文件保存在 wanserver-1 上的 /etc/netboot/192.168.198.0/010003BA152A42 目录中。

检查 OBP 中的 net 设备别名

要使用 boot net 从 WAN 引导客户机,必须将 net 设备别名设置为客户机的主网络设备。在客户机的 ok 提示符后键入 devalias 命令,以检验 net 别名是否被设置为主网络设备 /pci@1f,0/pci@1,1/network@c,1


ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

在上一个输出示例中,主网络设备 /pci@1f,0/pci@1,1/network@c,1 被指定为 net 别名。您不需要重置别名。

在客户机上安装密钥

为服务器和客户机创建密钥中,您已创建散列密钥和加密密钥,以便在安装过程中保护您的数据。要使客户机能够在安装过程中对传输自 wanserver-1 的数据进行加密,请在 wanclient-1 上安装这些密钥。

wanserver-1 上显示密钥值。


wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个示例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装过程中使用 AES 加密密钥,请将 type=3des 更改为 type=aes 以显示加密密钥值。

wanclient-1 上的 ok 提示符后安装密钥。


ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个命令执行以下任务。

安装客户机

通过在 ok 提示符后为 wanclient-1 设置网络引导参数,然后引导客户机,可以执行无人参与安装。


ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) 
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.10 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

将设置以下变量。

客户机通过 WAN 进行安装。如果 wanboot 程序没有找到所需的所有安装信息,则可能会提示您在命令行输入缺少的信息。

第 15 章 WAN Boot(参考)

本章简要说明了用于执行 WAN 安装的命令和文件。

WAN Boot 安装命令

下表说明了用于执行 WAN Boot 安装的命令。

表 15–1 准备 WAN Boot 安装和配置文件

任务和描述 

命令 

将 Solaris 安装映像复制到 install-dir-path,并将 WAN Boot Miniroot 复制到安装服务器的本地磁盘上的 wan-dir-path 中。

setup_install_server –w wan-dir-path install-dir-path

创建名为 name.flar 的 Solaris Flash 归档文件。

  • name 是归档文件的名称

  • optional-parameters 是可用于自定义归档文件的可选参数

  • document-root 是安装服务器上文档根目录的路径

  • filename 是归档文件的名称

flarcreate – n name [ optional-parameters] document-root/flash/ filename

检查名为 rules 的定制 JumpStart rules 文件的有效性。

./check -r rules

检查 wanboot.conf 文件的有效性。

  • net-ip 是客户机子网的 IP 地址。

  • client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

bootconfchk /etc/netboot/net-ip/ client-ID/wanboot.conf

检查在客户机 OBP 中是否支持 WAN Boot 安装。

eeprom | grep network-boot-arguments

表 15–2 准备 WAN Boot 安全文件

任务和描述 

命令 

为 WAN Boot 服务器创建主 HMAC SHA1 密钥。 

wanbootutil keygen -m

为客户机创建 HMAC SHA1 散列密钥。 

  • net-ip 是客户机子网的 IP 地址。

  • client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

wanbootutil keygen -c -o net=net-ip,cid= client-ID,type=sha1

为客户机创建加密密钥。 

  • net-ip 是客户机子网的 IP 地址。

  • client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

  • key-type3desaes

wanbootutil keygen -c -o net=net-ip,cid= client-ID,type=key-type

拆分 PKCS#12 证书文件,并将证书插入客户机的 truststore

  • p12cert 是 PKCS#12 证书文件的名称。

  • net-ip 是客户机子网的 IP 地址。

  • client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

wanbootutil p12split -i p12cert -t /etc/netboot/net-ip/client-ID/truststore

拆分 PKCS#12 证书文件,并将客户机证书插入客户机的 certstore 中。

  • p12cert 是 PKCS#12 证书文件的名称。

  • net-ip 是客户机子网的 IP 地址。

  • client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

  • keyfile 是客户机的私钥的名称。

wanbootutil p12split -i p12cert -c /etc/netboot/net-ip/client-ID/certstore -k keyfile

将拆分 PKCS#12 文件中的客户机私钥插入客户机的 keystore 中。

  • keyfile 是客户机的私钥的名称。

  • net-ip 是客户机子网的 IP 地址。

  • client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

wanbootutil keymgmt -i -k keyfile -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

显示 HMAC SHA1 散列密钥的值。 

  • net-ip 是客户机子网的 IP 地址。

  • client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

wanbootutil keygen -d -c -o net=net-ip,cid= client-ID,type=sha1

显示加密密钥的值。 

  • net-ip 是客户机子网的 IP 地址。

  • client-ID 可以是用户定义的 ID 或 DHCP 客户机 ID。

  • key-type3desaes

wanbootutil keygen -d -c -o net=net-ip,cid= client-ID,type=key-type

在运行的系统中插入散列密钥或加密密钥。key-type 的值可以为 sha13desaes

/usr/lib/inet/wanboot/ickey -o type=key-type

OBP 命令

下表列出在客户机 ok 提示符下键入的、用于执行 WAN Boot 安装的 OBP 命令。

表 15–3 用于 WAN Boot 安装的 OBP 命令

任务和描述 

OBP 命令 

开始自动 WAN Boot 安装。 

boot net – install

开始交互式 WAN Boot 安装。 

boot net –o prompt - install

从本地 CD 开始 WAN Boot 安装。 

boot cdrom –F wanboot - install

在开始 WAN Boot 安装之前安装一个散列密钥。key-value 是散列密钥的十六进制值。

set-security-key wanboot-hmac-sha1 key-value

开始 WAN Boot 安装前,安装加密密钥。

  • key-typewanboot-3des wanboot-aes

  • key-value 是加密密钥的十六进制值。

set-security-key key-type key-value

验证是否已在 OBP 中设置密钥值。

list-security-keys

开始 WAN Boot 安装前,设置客户机配置变量。

  • client-IP 是客户机的 IP 地址。

  • router-ip 是网络路由器的 IP 地址。

  • mask-value 是子网掩码值。

  • client-name 是客户机的主机名。

  • proxy-ip 是网络的代理服务器的 IP 地址。

  • wanbootCGI-path 是 Web 服务器上的 wanbootCGI 程序的路径。

setenv network-boot-arguments host-ip= client-IP,router-ip=router-ip,subnet-mask= mask-value,hostname=client-name ,http-proxy=proxy-ip,file= wanbootCGI-path

检查网络设备别名。

devalias

设置网络设备别名,其中 device-path 为主网络设备的路径。

  • 要仅设置当前安装的假名,请键入 devalias net device-path

  • 要永久性地设置别名,请键入 nvvalias net device-path

系统配置文件设置和语法

系统配置文件使您可以将 WAN Boot 安装程序指向以下文件。

系统配置文件是纯文本文件,必须按以下模式进行格式化。

setting=value

system.conf 文件必须包含以下设置。

SsysidCF=sysidcfg-file-URL

该设置指向安装服务器上包含 sysidcfg 文件的目录。对于使用 HTTPS 的 WAN 安装,请将值设置为有效的 HTTPS URL。

SjumpsCF=jumpstart-files-URL

此设置指向包含 rules.ok 和配置文件的自定义 JumpStart 目录。对于使用 HTTPS 的 WAN 安装,请将值设置为有效的 HTTPS URL。

您可以将 system.conf 存储在 WAN Boot 服务器可以访问的任一目录中。

wanboot.conf 文件参数和语法

wanboot.conf 文件是 WAN Boot 安装程序用于执行 WAN 安装的纯文本配置文件。以下程序和文件使用 wanboot.conf 文件中包含的信息安装客户机。

wanboot.conf 文件保存在 WAN Boot 服务器的 /etc/netboot 分层结构中的相应客户机子目录中。有关如何使用 /etc/netboot 分层结构定义 WAN Boot 安装范围的信息,请参见在 WAN Boot 服务器上创建 /etc/netboot 分层结构

您可以通过以下列格式列出参数和相关联的值来指定 wanboot.conf 文件中的信息。

parameter=value

参数输入不能跨行。可以在文件中包含注释,方法是在注释前加上 # 字符。

有关 wanboot.conf 文件的详细信息,请参见 wanboot.conf(4) 手册页。

必须在 wanboot.conf 文件中设置以下参数。

boot_file=wanboot-path

该参数指定 wanboot 程序的路径。此值是相对于 WAN Boot 服务器上的文档根目录的路径。

boot_file=/wanboot/wanboot.s10_sparc
root_server=wanbootCGI-URL /wanboot-cgi

此参数指定 WAN Boot 服务器上 wanboot-cgi 程序的 URL。

  • 如果要执行不使用客户机或服务器认证的 WAN Boot 安装,请使用 HTTP URL。

    root_server=http://www.example.com/cgi-bin/wanboot-cgi
  • 如果使用服务器认证或服务器和客户机认证执行 WAN Boot 安装,请使用 HTTPS URL。

    root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=miniroot-path

该参数指定 WAN Boot 服务器上 WAN Boot Miniroot 的路径。此值是相对于 WAN Boot 服务器上的文档根目录的路径。

root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1 | empty

此参数指定用于检查传输的数据和文件的完整性的散列密钥的类型。

  • 对于使用散列密钥保护 wanboot 程序的 WAN Boot 安装,请将此值设置为 sha1

    signature_type=sha1
  • 对于不使用散列密钥的不安全 WAN 安装,请保留该值为空。

    signature_type=
encryption_type=3des | aes | empty

此参数指定用于加密 wanboot 程序和 WAN Boot 文件系统的加密类型。

  • 对于使用 HTTPS 的 WAN Boot 安装,请将此值设置为 3desaes 以匹配您使用的密钥格式。您还必须将 signature_type 关键字值设置为 sha1

    encryption_type=3des

    encryption_type=aes
  • 对于不使用加密密钥的不安全 WAN Boot 安装,请保留该值为空。

    encryption_type=
server_authentication=yes | no

此参数指定 WAN Boot 安装期间是否应当认证服务器。

  • 对于使用服务器认证或服务器和客户机认证的 WAN Boot 安装,请将此值设置为 yes。您还必须将 signature_type 的值设置为 sha1、将 encryption_type 的值设置为 3desaes,将 root_server 的 URL 设置为 HTTPS 值。

    server_authentication=yes
  • 对于不使用服务器认证或服务器和客户机认证的不安全 WAN Boot 安装,请将该值设置为 no。您还可以保留此值为空。

    server_authentication=no
client_authentication=yes | no

此参数指定在 WAN Boot 安装期间是否应当认证客户机。

  • 对于使用服务器和客户机认证的 WAN Boot 安装,请将此值设置为 yes。您还必须将 signature_type 的值设置为 sha1、将 encryption_type 的值设置为 3desaes,将 root_server 的 URL 设置为 HTTPS 值。

    client_authentication=yes
  • 对于不使用客户机认证的 WAN Boot 安装,请将该值设置为 no。您还可以保留此值为空。

    client_authentication=no
resolve_hosts=hostname | empty

此参数指定在安装期间需要为 wanboot-cgi 程序解析的其他主机。

将此值设置为先前未在 wanboot.conf 文件或客户机证书中指定的系统的主机名。

  • 如果所有需要的主机均列在 wanboot.conf 文件或客户机证书中,请保留此值为空。

    resolve_hosts=
  • 如果特定的主机没有在 wanboot.conf 文件或客户机证书中列出,则将该值设置为这些主机名。

    resolve_hosts=seahag,matters
boot_logger=bootlog-cgi-path | empty

该参数指定日志服务器上指向 bootlog-cgi 脚本的 URL。

  • 要在专用日志服务器上记录引导或安装日志消息,请将此值设置为日志服务器上 bootlog-cgi 脚本的 URL。

    boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
  • 要在客户机控制台上显示引导和安装消息,请保留该值为空。

    boot_logger=
system_conf=system.conf | custom-system-conf

此参数指定包含 sysidcfg 和自定义 JumpStart 文件的位置的系统配置文件的路径。

将此值设置为 Web 服务器上 sysidcfg 和自定义 JumpStart 文件的路径。

system_conf=sys.conf