En este capítulo se ofrece un ejemplo de configuración e instalación de sistemas cliente a través de una Red de área extensa (WAN). En los ejemplos de este capítulo se describe cómo efectuar una instalación segura un mediante inicio WAN a través de una conexión HTTPS.
Instalación del programa wanboot en el servidor de inicio WAN
(Opcional) Configuración del servidor de inicio WAN como servidor de registro
Configuración del servidor de inicio WAN para utilizar HTTPS
(Opcional) Uso de la clave privada y el certificado para la autenticación de clientes
La Figura 14–1 muestra la configuración de sede para este ejemplo.
Las características de esta sede de ejemplo son las siguientes.
El servidor wanserver-1 se va a configurar como servidor de inicio WAN y servidor de instalación.
La dirección IP de wanserver-1 es 192.168.198.2.
El nombre de dominio de wanserver-1 es www.example.com.
wanserver-1 está ejecutando el versión actual de Solaris.
wanserver-1 ejecuta el servidor de web Apache. El software Apache de wanserver-1 está configurado para admitir HTTPS.
El cliente que se va a instalar se denomina wanclient-1.
wanclient-1 es un sistema UltraSPARCII.
El ID de cliente de wanclient-1 es 010003BA152A42.
La dirección IP de wanclient-1 es 192.168.198.210.
La dirección IP de la subred del cliente es 192.168.198.0.
El sistema cliente wanclient-1 tiene acceso a Internet, pero no está conectado de forma directa a la red que contiene wanserver-1.
wanclient-1 es un nuevo sistema que se va a instalar con el software versión actual de Solaris.
Para almacenar los archivos y datos de instalación, configure los siguientes directorios en el directorio raíz de documentos (/opt/apache/htdocs) en wanserver-1.
Directorio de Solaris Flash
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
Directorio minirraíz de inicio WAN
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
Directorio del programa wanboot
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
Use setup_install_server(1M) con la opción -w para copiar la minirraíz de inicio WAN y la imagen del software de Solaris en el directorio /export/install/Solaris_10 de wanserver-1.
Inserte el soporte software Solaris en la unidad conectada a wanserver-1. Escriba los comandos siguientes:
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Desplace la minirraíz de inicio WAN al directorio raíz de documentos (/opt/apache/htdocs/) del servidor de inicio WAN.
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Especifique si el OBP cliente admite el inicio WAN; escriba el comando siguiente en el sistema cliente.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
En el ejemplo anterior, la salida network-boot-arguments: data not available indica que el cliente OBP admite el inicio WAN.
Si desea instalar el programa wanboot en el servidor de inicio WAN, copie el programa del soporte del software software Solaris en el directorio raíz de documentos del servidor de inicio WAN.
Inserte el DVD de Solaris o el CD Software 1 de Solaris en la unidad conectada a wanserver-1 y escriba los comandos siguientes.
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
Cree los subdirectorios wanclient-1 del directorio /etc/netboot en el servidor de inicio WAN. Los programas de instalación para inicio WAN recuperan de este directorio la información de configuración y seguridad durante la instalación.
wanclient-1 se encuentra en la subred 192.168.198.0 y su ID de cliente es 010003BA152A42. Para crear el subdirectorio apropiado de /etc/netboot para wanclient-1, efectúe las tareas siguientes.
Crean el directorio /etc/netboot.
Cambian los permisos del directorio /etc/netboot a 700.
Cambian la propiedad del directorio /etc/netboot al propietario del proceso del servidor web.
Toman el mismo rol de usuario que el usuario del servidor web.
Crean un subdirectorio de /etc/netboot denominado como la subred (192.168.198.0).
Crean un subdirectorio del directorio de subred denominado como el ID de cliente.
Cambian los permisos de los subdirectorios /etc/netboot a 700.
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
En los sistemas que ejecutan versión actual de Solaris, el programa wanboot-cgi se ubica en el directorio /usr/lib/inet/wanboot/. Para habilitar el servidor de inicio WAN de forma que transmita los datos de instalación, copie el programa wanboot-cgi en el directorio cgi-bin del directorio del software del servidor web.
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
De forma predeterminada, todos los mensajes de registro de inicio WAN se muestran en el sistema cliente. Este comportamiento predeterminado le permite depurar rápidamente cualquier problema de instalación que pudiera surgir.
Para ver los mensajes de inicio e instalación del servidor de inicio WAN, copie la secuencia de comandos bootlog-cgi en el directorio cgi-bin de wanserver-1.
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Para utilizar HTTPS en su instalación de inicio WAN, deberá habilitar la compatibilidad con SSL en el software del servidor web. Deberá también instalar un certificado digital en el servidor de inicio WAN. En este ejemplo, se da por supuesto que el servidor web Apache de wanserver-1 está configurado para emplear SSL. Asimismo, también se supone que wanserver-1 tiene instalado un certificado digital y una entidad emisora de certificados para establecer la identidad de wanserver-1.
Para ver ejemplos de configuración del software de servidor web para utilizar SSL consulte la documentación del servidor web.
Al obligar al servidor a que se autentique se protegen los datos transmitidos del servidor al cliente a través de HTTPS. Para habilitar la autenticación de servidor se proporciona al cliente un certificado acreditado que le permite comprobar la identidad del servidor durante la instalación.
Si desea proporcionar el certificado acreditado al cliente, asuma la misma función de usuario que el usuario del servidor web. A continuación, divida el certificado para extraer el certificado acreditado y, a continuación, inserte éste en el archivo truststore del cliente en la jerarquía /etc/netboot.
En este ejemplo asume la función del servidor web de nobody. Después, divida el certificado PKCS#12 del servidor, denominado cert.p12, e inserte el certificado acreditado en el directorio /etc/netboot de wanclient-1.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Si desea proteger los datos durante la instalación, es posible que necesite wanclient-1 para autenticarse en wanserver-1. Para habilitar la autenticación de cliente en su instalación mediante inicio WAN, inserte un certificado cliente y una clave privada en el subdirectorio de cliente de la jerarquía /etc/netboot.
Si desea proporcionar una clave y un certificado privados al cliente, efectúe estas tareas.
Tome el mismo rol de usuario que el usuario del servidor web.
Divida el archivo PKCS#12 en una clave privada y un certificado cliente
Inserte el certificado en el archivo certstore del cliente
Inserte la clave privada en el archivo keystore del cliente
En este ejemplo asume la función del servidor web de nobody. Después, divide el certificado PKCS#12 de servidor denominado cert.p12. Se inserta el certificado en la jerarquía /etc/netboot de wanclient-1. A continuación se inserta la clave privada a la que se asigna el nombre wanclient.key en el archivo keystore del cliente.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key wanserver-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
Para proteger los datos transmitidos entre el servidor y el cliente se crea una clave de hashing y otra de cifrado. El servidor utiliza la primera para proteger la integridad del programa wanboot y la segunda para encriptar los datos de configuración e instalación. El cliente utiliza la clave de hashing para comprobar la integridad del programa wanboot descargado y la clave de cifrado para desencriptar los datos durante la instalación.
En primer lugar, asuma la misma función que el usuario del servidor web. En este ejemplo, la función del usuario del servidor web es nobody.
wanserver-1# su nobody Password: |
Después utilice el comando wanbootutil keygen con el fin de crear una clave principal HMAC SHA1 para wanserver-1.
wanserver-1# wanbootutil keygen -m |
A continuación se crean las claves de hashing y de encriptación para wanclient-1.
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
El comando anterior crea una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para wanclient-1. 192.168.198.0 especifica la subred de wanclient-1 y 010003BA152A42 especifica el ID de cliente de wanclient-1.
En este ejemplo, se crea el archivo de almacenamiento de Solaris Flash mediante clonación del sistema maestro wanserver-1. Este archivo se denomina sol_10_sparc y se copia exactamente desde el sistema maestro; es decir, duplica éste de forma exacta. El archivo se almacena en sol_10_sparc.flar. El archivo de almacenamiento se guarda en el subdirectorio flash/archives del directorio raíz de documentos del servidor de inicio WAN.
wanserver-1# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Para preconfigurar el sistema wanclient-1, especifique las palabras clave y valores en el archivo sysidcfg. Guarde este archivo en el subdirectorio adecuado del directorio raíz de documentos de wanserver-1.
A continuación se muestra un ejemplo del archivo sysidcfg para wanclient-1. El nombre del sistema, la dirección IP y la máscara de red de estos sistemas se han preconfigurado mediante la edición del servicio de nombres. Este archivo se ubica en el directorio /opt/apache/htdocs/flash/.
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
Para el sistema wanclient-1, cree un perfil con el nombre wanclient_1_prof. Éste wanclient_1_profcontiene las siguientes entradas, que definen el software versión actual de Solaris que se debe instalar en el sistema wanclient-1.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/cdrom0.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
La siguiente lista describe algunas de las palabras claves y valores del ejemplo.
El perfil instala un archivo de almacenamiento Solaris Flash en el sistema clónico. Se sobrescriben todos los archivos como en una instalación inicial.
El archivo de almacenamiento de Solaris Flash comprimido se recupera de wanserver-1.
Los segmentos del sistema de archivos están determinados por las palabras clave filesys, valor explicit. El tamaño de raíz (/) está basado en el del archivo de almacenamiento Solaris Flash. Se fija el tamaño del archivo swap necesario y se instala en c0t1d0s1. /export/home se basa en el espacio de disco libre. /export/home se instala en c0t1d0s7.
Los programas JumpStart personalizados utilizan el archivo rules para seleccionar el perfil de instalación correcto para el sistema wanclient-1. Cree un archivo de texto y denomínelo rules. A continuación inserte en éste palabras clave y valores.
La dirección IP del sistema wanclient-1 es 192.168.198.210. La máscara de red es 255.255.255.0. Use la palabra clave de regla network para especificar el perfil que los programas JumpStart personalizados deben usar para instalar wanclient-1.
network 192.168.198.0 - wanclient_1_prof - |
Este archivo rules indica a los programas JumpStart personalizados que utilicen wanclient_1_prof para instalar el software versión actual de Solaris en wanclient-1.
Asigne a este archivo de reglas el nombre wanclient_rule.
Después de crear el perfil y el archivo rules, ejecute la secuencia check para comprobar que los archivos sean válidos.
wanserver-1# ./check -r wanclient_rule |
Si la secuencia check no encuentra ningún error, crea el archivo rules.ok.
Guarde el archivo rules.ok en el directorio /opt/apache/htdocs/flash/.
Cree un archivo de configuración del sistema en el que se enumeren las ubicaciones del archivo sysidcfg y los archivos JumpStart personalizados en el servidor de instalación. Guarde este archivo en un directorio accesible para el servidor de inicio WAN.
En el ejemplo siguiente el programa wanboot-cgi busca el archivo sysidcfg y los archivos JumpStart personalizados en el directorio raíz de documentos del servidor de inicio WAN. El nombre de dominio del servidor de inicio WAN es https://www.example.com. El servidor de inicio WAN está configurado para utilizar HTTP seguro, de modo que los datos y archivos estarán protegidos durante la instalación.
En este ejemplo, el archivo de configuración del sistema se llama sys-conf.s10–sparc y se guarda en la jerarquía /etc/netboot del servidor de inicio WAN. El archivo sysidcfg y los archivos JumpStart personalizados se encuentran en el subdirectorio flash del directorio raíz de documentos.
SsysidCF=https://www.example.com/flash/ SjumpsCF=https://www.example.com/flash/
El inicio WAN utiliza la información de configuración contenida en el archivo wanboot.conf para instalar el sistema cliente. Cree el archivo wanboot.conf mediante un editor de texto y guárdelo en el subdirectorio cliente apropiado de la jerarquía /etc/netboot del servidor de inicio WAN.
El archivo wanboot.conf siguiente de wanclient-1 contiene información de configuración relativa a una instalación de WAN que utiliza HTTP seguro. Este archivo indica también al inicio WAN que utilice una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para proteger los datos.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
Este archivo wanboot.conf especifica la configuración siguiente.
El programa wanboot se llama wanboot.s10_sparc. y se encuentra en el directorio wanboot del directorio raíz de documentos de wanserver-1.
La ubicación del programa wanboot-cgi en wanserver-1 es https://www.example.com/cgi-bin/wanboot-cgi . La parte https del URL indica que esta instalación mediante un inicio WAN utiliza HTTP seguro.
La minirraíz de inicio WAN se denomina miniroot.s10_sparc. y se encuentra en el directorio miniroot del directorio raíz de documentos en wanserver-1.
El programa wanboot y el sistema de archivos de inicio WAN se firman mediante una clave de hashing HMAC SHA1.
El programa wanboot y el sistema de archivos de inicio WAN se encriptan mediante una clave 3DES.
El servidor se autentica durante la instalación.
El cliente no se autentica durante la instalación.
Si ha realizado las tareas descritas en (Opcional) Uso de la clave privada y el certificado para la autenticación de clientes, defina este parámetro como client_authentication=yes.
No se necesitan nombres de sistema adicionales para efectuar la instalación en WAN. Todos los nombres de sistema que necesita el programa wanboot-cgi se especifican en el archivo wanboot.conf y en el certificado cliente.
Los mensajes de inicio y de registro de la instalación se muestran en la consola del sistema. Si configuró el servidor de registro en (Opcional) Configuración del servidor de inicio WAN como servidor de registro y desea que los mensajes de inicio WAN también aparezcan en el servidor de inicio WAN, establezca este parámetro en boot_logger=https://www.example.com/cgi-bin/bootlog-cgi.
El archivo de configuración del sistema que especifica la ubicación de los archivos sysidcfg y JumpStart se encuentra en el archivo sys-conf.s10–sparc de la jerarquía /etc/netboot de wanserver-1.
En este ejemplo, el archivo wanboot.conf se guarda en el directorio /etc/netboot/192.168.198.0/010003BA152A42 de wanserver-1.
Para iniciar el cliente desde WAN mediante boot net, el valor del alias del dispositivo net debe ser el dispositivo primario de red del cliente. En el indicador ok del cliente escriba el comando devalias para comprobar que el valor del alias net se ha establecido en el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
En el ejemplo de salida anterior, el dispositivo de red primario /pci@1f,0/pci@1,1/network@c,1 tiene asignado el alias net. No es necesario restablecer el alias.
En Creación de las claves para el servidor y el cliente, creó la clave de hashing y la de cifrado para proteger los datos durante la instalación. Para habilitar el cliente para desencriptar los datos transmitidos desde wanserver-1 durante la instalación, instale estas claves en wanclient-1.
En wanserver-1, se muestran los valores de las claves.
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
El ejemplo anterior utiliza la información siguiente.
Especifica la dirección IP de la subred del cliente
Especifica el ID del cliente
Especifica el valor de la clave de hashing HMAC SHA1 del cliente
Especifica el valor de la clave de encriptación 3DES del cliente
Si utiliza una clave de cifrado AES en la instalación, cambie type=3des por type=aes para mostrar el valor de clave de cifrado.
En el indicador ok de wanclient-1, instale las claves.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Los comandos anteriores efectúan estas tareas.
Instala la clave de hashing HMAC SHA1 con el valor b482aaab82cb8d5631e16d51478c90079cc1d463 en wanclient-1.
Instala la clave de cifrado 3DES con el valor 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 en wanclient-1.
Para efectuar una instalación sin operador, configure las variables network-boot-arguments para wanclient-1 en el indicador ok y inicio el cliente.
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
Se configuran las siguientes variables.
La dirección IP del cliente se establece en 192.168.198.210.
La dirección IP del enrutador del cliente se establece en 192.168.198.1.
La máscara de subred del cliente se establece en 255.255.255.0.
El nombre de sistema del cliente se establece en wanclient-1.
El programa wanboot-cgi se encuentra en http://192.168.198.2/cgi-bin/wanboot-cgi.
El cliente se instala a través de la WAN. Si el programa wanboot no encuentra toda la información de instalación necesaria, se le solicitará que indique ésta en la línea de comandos.