第 15 章 WAN Boot (參考)
本章簡要介紹用來執行 WAN 安裝的指令和檔案。
WAN Boot 安裝指令
下列表格將介紹用來執行 WAN Boot 安裝的指令。
表 15–1 準備 WAN Boot 安裝檔和配置檔
|
作業和說明
|
指令
|
|
將 Solaris 安裝影像複製到 install-dir-path,並將 WAN Boot miniroot 複製到安裝伺服器本機磁碟的 wan-dir-path 上。
|
setup_install_server –w wan-dir-path install-dir-path
|
|
建立名為 name.flar 的 Solaris Flash 歸檔。
|
flarcreate – n name [ optional-parameters] document-root/flash/ filename
|
|
檢查名為 rules 的自訂 JumpStart rules 檔案的有效性。
|
./check -r rules
|
|
檢查 wanboot.conf 檔案是否有效。
|
bootconfchk /etc/netboot/net-ip/client-ID/wanboot.conf
|
|
檢查在用戶端 OBP 中是否支援 WAN Boot 安裝。
|
eeprom | grep network-boot-arguments
|
表 15–2 準備 WAN Boot 安全檔案
|
作業和說明
|
指令
|
|
建立 WAN Boot 伺服器的主 HMAC SHA1 金鑰。
|
wanbootutil keygen -m
|
|
建立用戶端的 HMAC SHA1 雜湊金鑰。
|
wanbootutil keygen -c -o net=net-ip,cid=client-ID,type=sha1
|
|
建立用戶端的加密金鑰。
|
wanbootutil keygen -c -o net=net-ip,cid=client-ID,type=key-type
|
|
分割 PKCS#12 憑證檔案,並將憑證插入用戶端的 truststore 中。
|
wanbootutil p12split -i p12cert -t /etc/netboot/net-ip/client-ID/truststore
|
|
分割 PKCS#12 憑證檔案,並將用戶端憑證插入用戶端的 certstore 中。
|
wanbootutil p12split -i p12cert -c /etc/netboot/net-ip/client-ID/certstore -k keyfile
|
|
將用戶端私密金鑰從分割的 PKCS#12 檔案插入用戶端的 keystore 中。
|
wanbootutil keymgmt -i -k keyfile -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
|
|
顯示 HMAC SHA1 雜湊金鑰的值。
|
wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=sha1
|
|
顯示加密金鑰的值。
|
wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
|
|
在執行中的系統上插入雜湊金鑰或加密金鑰。key-type 可具有值 sha1、3des 或 aes。
|
/usr/lib/inet/wanboot/ickey -o type=key-type
|
OBP 指令
下表列出您可以在用戶端 ok 提示符號中鍵入用於執行 WAN Boot 安裝的 OBP 指令。
表 15–3 用於 WAN Boot 安裝的 OBP 指令
|
作業和說明
|
OBP 指令
|
|
開始無需干預的 WAN Boot 安裝。
|
boot net – install
|
|
開始互動式 WAN Boot 安裝。
|
boot net –o prompt - install
|
|
從本機 CD 開始 WAN Boot 安裝。
|
boot cdrom –F wanboot - install
|
|
安裝好雜湊金鑰後,再開始 WAN Boot 安裝。key-value 為雜湊金鑰的十六進制值。
|
set-security-key wanboot-hmac-sha1 key-value
|
|
在開始 WAN Boot 安裝之前安裝加密金鑰。
|
set-security-key key-type key-value
|
|
確認已在 OBP 中設定了該金鑰值。
|
list-security-keys
|
|
在開始 WAN Boot 安裝之前先設定用戶端配置變數。
|
setenv network-boot-arguments host-ip= client-IP,router-ip=router-ip,subnet-mask= mask-value,hostname=client-name ,http-proxy=proxy-ip,file= wanbootCGI-path
|
|
檢查網路裝置別名。
|
devalias
|
|
設定網路裝置別名,其中 device-path 是主要網路裝置的路徑。
|
|
系統配置檔的設定和語法
系統配置檔可讓您將 WAN Boot 安裝程式導向下列檔案。
-
sysidcfg
-
rules.ok
-
自訂 JumpStart 設定檔
系統配置檔是純文字檔案,且其格式必須為以下型樣。
setting=value
system.conf 檔案必須包含下列設定。
-
SsysidCF=sysidcfg-file-URL
-
此設定會指向安裝伺服器上包含 sysidcfg 檔案的目錄。對於使用 HTTPS 的 WAN 安裝,請將值設定為有效的 HTTPS URL。
-
SjumpsCF=jumpstart-files-URL
-
此設定指向包含 rules.ok 檔案和設定檔的自訂 JumpStart 目錄。對於使用 HTTPS 的 WAN 安裝,請將值設定為有效的 HTTPS URL。
您可以將 system.conf 儲存在 WAN Boot 伺服器可存取的任一目錄中。
wanboot.conf 檔案參數和語法
wanboot.conf 檔案是 WAN Boot 安裝程式用來執行 WAN 安裝的純文字配置檔。下列程式和檔案使用 wanboot.conf 檔案中所包含的資訊,來安裝用戶端機器。
-
wanboot-cgi 程式
-
WAN Boot 檔案系統
-
WAN Boot miniroot
將 wanboot.conf 檔案儲存在 WAN Boot 伺服器上 /etc/netboot 階層結構內相應的用戶端子目錄中。如需有關如何定義具有 /etc/netboot 階層的 WAN Boot 安裝範圍的資訊,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
您可以使用以下格式列出參數以及相關值,從而在 wanboot.conf 檔案中指定資訊。
parameter=value
參數項目不能跨行。您可以透過在註釋前加上 # 字元,將註釋納入檔案中。
如需有關 wanboot.conf 檔案的詳細資訊,請參閱「wanboot.conf(4) 線上手冊」。
您必須在 wanboot.conf 檔案中設定下列參數。
-
boot_file=wanboot-path
-
此參數指定 wanboot 程式的路徑。此值是 WAN Boot 伺服器上文件根目錄的相對路徑。
boot_file=/wanboot/wanboot.s10_sparc
-
root_server=wanbootCGI-URL/wanboot-cgi
-
此參數指定 WAN Boot 伺服器上 wanboot-cgi 程式的 URL。
-
如果您在沒有用戶端驗證或伺服器驗證的情況下執行 WAN Boot 安裝,請使用 HTTP URL。
root_server=http://www.example.com/cgi-bin/wanboot-cgi
-
若您執行的是具有伺服器認證或伺服器及用戶端認證的 WAN Boot 安裝,請使用 HTTPS URL。
root_server=https://www.example.com/cgi-bin/wanboot-cgi
-
root_file=miniroot-path
-
此參數指定 WAN Boot 伺服器上 WAN Boot miniroot 的路徑。此值是 WAN Boot 伺服器上文件根目錄的相對路徑。
root_file=/miniroot/miniroot.s10_sparc
-
signature_type=sha1 | empty
-
此參數指定雜湊金鑰的類型,以用來檢查所傳送之資料和檔案的完整性。
-
encryption_type=3des | aes | empty
-
此參數指定加密類型,以用來加密 wanboot 程式和 WAN Boot 檔案系統。
-
server_authentication=yes | no
-
此參數指定是否應在 WAN Boot 安裝期間憑證伺服器。
-
對於使用伺服器驗證或伺服器與用戶端驗證的 WAN Boot 安裝,請將此值設定為 yes。還必須將 signature_type 的值設定為 sha1,將 encryption_type 的值設定為 3des 或 aes,以及將 root_server 的 URL 設定為 HTTPS 的值。
server_authentication=yes
-
對於未使用伺服器證驗或伺服器與用戶端驗證的不安全 WAN Boot 安裝,請將此值設定為 no。也可以保留此值為空白。
server_authentication=no
-
client_authentication=yes | no
-
此參數指定是否應在 WAN Boot 安裝期間認證用戶端。
-
對於使用伺服器與用戶端認證的 WAN Boot 安裝,請將此值設定為 yes。還必須將 signature_type 的值設定為 sha1,將 encryption_type 的值設定為 3des 或 aes,以及將 root_server 的 URL 設定為 HTTPS 的值。
client_authentication=yes
-
對於未使用用戶端認證的 WAN Boot 安裝,請將此值設定為 no。也可以保留此值為空白。
client_authentication=no
-
resolve_hosts=hostname | empty
-
此參數指定安裝期間需要為 wanboot-cgi 程式解譯的其他主機。
將此值設定為系統的主機名稱 (先前未在 wanboot.conf 檔案或用戶端憑證中指定此名稱)。
-
如果 wanboot.conf 檔案或用戶端憑證中列出了全部所需的主機,請將此值保持空白。
resolve_hosts=
-
如果 wanboot.conf 檔案或用戶端憑證中沒有列出特定主機,請將此值設定為這些主機名稱。
resolve_hosts=seahag,matters
-
boot_logger=bootlog-cgi-path | empty
-
此參數指定記錄伺服器上 bootlog-cgi 程序檔的 URL。
-
若要在專用的記錄伺服器上記錄啟動記錄訊息或安裝記錄訊息,請將此值設定為記錄伺服器上 bootlog-cgi 程序檔的 URL。
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
-
若要在用戶端主控台上顯示啟動與安裝訊息,請將此值保持空白。
boot_logger=
-
system_conf=system.conf | custom-system-conf
-
此參數指定包含 sysidcfg 檔案位置和自訂 JumpStart 檔案位置的系統配置檔之路徑。
將此值設定為 Web 伺服器上 sysidcfg 檔案和自訂 JumpStart 檔案的路徑。
system_conf=sys.conf
