Este capítulo fornece um exemplo para configuração e instalação dos sistemas cliente através de uma rede de área ampla (WAN). Os exemplos neste capítulo descrevem como efetuar uma instalação de inicialização WAN segura através de uma conexão HTTPS.
Copie o programa wanboot-cgi para o servidor de inicialização WAN
(Opcional) Configure o servidor de inicialização WAN como um servidor de registro
Configure o servidor de inicialização WAN para utilizar HTTPS
(Opcional) Utilize a chave privada e o certificado para autenticação do cliente
Figura 14–1 mostra a configuração do site para esse exemplo.
Este exemplo de site possui as características a seguir.
O servidor wanserver-1 deve ser configurado como um servidor de inicialização WAN e um servidor de instalação.
O endereço IP do wanserver-1 é 192.168.198.2.
O nome de domínio do wanserver-1 é www.example.com .
wanserver-1 está executando o versão atual do Solaris.
wanserver-1 está executando o servidor da Web Apache. O software Apache no wanserver-1 está configurado para suportar HTTPS.
O cliente a ser instalado é nomeado como wanclient-1.
wanclient-1 é um sistema UltraSPARCII.
A identificação do cliente para wanclient-1 é 010003BA152A42.
O endereço IP do wanclient-1 é 192.168.198.210.
O endereço IP da subrede do cliente é 192.168.198.0.
O sistema de clientewanclient-1 possui acesso à Internet, mas não está diretamente conectado à rede que inclui wanserver-1.
wanclient-1 é um novo sistema que deve ser instalado com o software &release.
Para armazenar os dados e os arquivos de instalação, configure os diretórios a seguir no diretório raiz do documento (/opt/apache/htdocs) no wanserver-1.
Diretório Solaris Flash
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
Diretório de minirraiz de inicialização WAN
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
Diretório de programa wanboot
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
Utilize o setup_install_server(1M) com a opção -w para copiar a minirraiz de inicialização WAN e a imagem de software do Solaris para o diretório /export/install/Solaris_10do wanserver-1.
Insira a mídia Software Solaris na unidade de mídia que está anexado ao wanserver-1. Digite os seguintes comandos.
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
Mova a minirraiz de inicialização WAN para o diretório de raiz do documento (/opt/apache/htdocs/) do servidor de inicialização WAN.
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Determine se o cliente OBP suporta a inicialização WAN digitando o comando a seguir no sistema de cliente.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
No exemplo anterior, a saídanetwork-boot-arguments: dados não disponíveis indica que o cliente OBP suporta a inicialização WAN.
Para instalar o programa wanboot no servidor de inicialização WAN, copie o programa a partir da mídia Software Solaris para o diretório raiz do documento do servidor de inicialização WAN.
Insira o Solaris DVD ou o CD Software Solaris - 1 na unidade de mídia que está anexado ao wanserver-1 e digite os comandos a seguir.
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
Crie os subdiretórios wanclient-1 do diretório /etc/netboot no servidor de inicialização WAN. Os programas de instalação de inicialização WAN recuperam a configuração e a informação de segurança a partir desse diretório durante a instalação.
wanclient-1 está localizado na subrede 192.168.198.0 e possui uma identificação de cliente de 010003BA152A42. Para criar o subdiretório apropriado de /etc/netbootpara wanclient-1, efetue as tarefas a seguir.
Crie o diretório /etc/netboot.
Altere as permissões do diretório /etc/netboot para 700.
Altere a propriedade do diretório /etc/netboot para o proprietário do processo de servidor da Web.
Assuma a mesmo função de usuário que o usuário do servidor da Web.
Crie o subdiretório de /etc/netboot que é nomeado depois da sub-rede (192.168.198.0).
Crie um subdiretório do diretório de subrede que é nomeado depois da identificação do cliente.
Altere as permissões dos subdiretórios /etc/netboot para 700.
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Em sistemas que estão executando a versão atual do Solaris, o programa wanboot-cgi está localizado no diretório /usr/lib/inet/wanboot/. Para ativar o servidor de inicialização WAN para transmitir os dados de instalação, copie o programa wanboot-cgi para o diretório cgi-bin no diretório de software do servidor da Web.
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
Por padrão, todas as mensagens de registro de inicialização WAN são exibidas no sistema de cliente. Esse comportamento padrão lhe permite depurar rapidamente quaisquer problemas de instalação.
Se você deseja ver as mensagens de inicialização e instalação no servidor de inicialização WAN, copie o script bootlog-cgi para o diretório cgi-bin no wanserver-1.
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Para utilizar HTTPS em sua instalação de inicialização WAN, é necessário ativar o suporte SSL no software do servidor da Web. Você também deve instalar um certificado digital no servidor de inicialização WAN. Este exemplo supõe que o servidor da Web Apache no wanserver-1 está configurado para utilizar SSL. Este exemplo também supõe que um certificado digital e um certificado de autoridade que determina a identidade do wanserver-1 já está instalado no wanserver-1.
Para obter exemplos sobre como configurar seu software de servidor da Web para utilizar SSL, consulte a documentação do servidor da Web.
Ao exigir que o servidor autentique-se para o cliente, você protege os dados que são transmitidos a partir do servidor para o cliente através do HTTPS. Para ativar a autenticação do servidor, você fornece um certificado de confiança para o cliente. O certificado de confiança permite que o cliente verifique a identidade do servidor durante a instalação.
Para fornecer o certificado de confiança para o cliente, assuma a mesma função do usuário que o usuário do servidor da Web. Em seguida, divida o certificado para extrair um certificado de confiança. Em seguida, insira o certificado de confiança no arquivo truststore do cliente na hierarquia /etc/netboot.
Neste exemplo, você assume a função de usuário do servidor da Web de ninguém. Em seguida, você divide o certificado PKCS#12 do servidor que é nomeado como cert.p12 e insira o certificado de confiança no diretório /etc/netboot para wanclient-1.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Para proteger ainda mais os seus dados durante a instalação, você pode desejar exigir wanclient-1 para autenticar-se em wanserver-1 . Para ativar a autenticação do cliente na sua instalação de inicialização WAN, insira um certificado de cliente e a chave privada no subdiretório do cliente da hierarquia /etc/netboot.
Para fornecer uma chave privada e certificado para o cliente, efetue as tarefas a seguir.
Assuma a mesma função de usuário que o usuário do servidor da Web
Divida o arquivo PKCS#12 em uma chave privada e um certificado do cliente
Insira o certificado no arquivo certstore do cliente
Insira a chave privada no arquivo keystore do cliente
Neste exemplo, você assume a função de usuário do servidor da Web de ninguém. Em seguida, você divide o certificado PKCS#12 do servidor que é nomeado de cert.p12. Insira o certificado na hierarquia /etc/netboot para wanclient-1. Em seguida, insira a chave privada que você nomeou como wanclient.key no arquivo keystore do cliente.
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key wanserver-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
Para proteger os dados transmitidos entre o servidor e o cliente, você cria uma chave de hashing e uma chave de criptografia. O servidor utiliza a chave de hashing para proteger a integridade do programa wanboot. O servidor utiliza a chave de criptografia para criptografar os dados de configuração e instalação. O cliente utiliza a chave de hashing para proteger a integridade do programa wanboot baixado. O cliente utiliza a chave de criptografia para descriptografar os dados durante a instalação.
Primeiro, assuma a mesmo função de usuário que o usuário do servidor da Web. Neste exemplo, a função do usuário do servidor da Web é ninguém.
wanserver-1# su nobody Password: |
Em seguida, você utiliza o comando wanbootutil keygen para criar uma chave HMAC SHA1 mestre para wanserver-1.
wanserver-1# wanbootutil keygen -m |
Em seguida, crie uma chave de hashing e uma chave de criptografia para wanclient-1.
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
O comando anterior criar uma chave de hashing HMAC SHA1 e uma chave de criptografia 3DES para wanclient-1. 192.168.198.0 especifica a subrede de wanclient-1 e 010003BA152A42 especifica a identificação do cliente de wanclient-1.
Neste exemplo, você cria seu arquivo Solaris Flash ao clonar o sistema mestre wanserver-1. O arquivo é nomeado como sol_10_sparc e copiado exatamente a partir do sistema mestre. O arquivo é uma cópia exata do sistema mestre. O arquivo é armazenado em sol_10_sparc.flar. Você salvou o arquivo no subdiretório flash/archives do diretório raiz do documento no servidor de inicialização WAN.
wanserver-1# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Para pré-configurar o sistema do wanclient-1, especifique palavras-chave e valores no arquivo sysidcfg. Salve este arquivo no subdiretório apropriado do diretório raiz do documento de wanserver-1.
A seguir está um exemplo de um arquivo sysidcfg para o wanclient-1. O nome do host, endereço IP e máscara de rede desses sistemas foram pré-configurados ao editar o serviço de identificação. O arquivo está localizado no diretório /opt/apache/htdocs/flash/.
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
Para o sistema wanclient-1, crie um perfil que seja nomeado como wanclient_1_prof. O arquivo wanclient_1_prof contém as entradas a seguir, que definem o software versão atual do Solaris a ser instalado no sistema wanclient-1.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/cdrom0.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
A lista a seguir descreve algumas das palavras-chave e os valores a partir desse exemplo.
O perfil instala um arquivo Solaris Flash no sistema de clone. Todos os arquivos são sobrescritos como em uma instalação inicial.
O arquivo compactado Solaris Flash é restaurado a partir do wanserver-1.
Os segmentos do sistema de arquivos são determinados pelas palavras-chave filesys, valor explícito. O tamanho da raiz (/) é baseada no tamanho do arquivo Solaris Flash. O tamanho da permuta é definido para o tamanho necessário e está instalado no c0t1d0s1. /export/home é baseado no espaço em disco remanescente. /export/home está instalado em c0t1d0s7.
Os programas JumpStart personalizados utilizam o arquivo regras para selecionar o perfil de instalação correto para o sistema wanclient-1. Crie um arquivo de texto que é nomeado como regras. Em seguida, adicione palavras-chave e valores a este arquivo.
O endereço IP do sistema wanclient-1 é 192.168.198.210 e a máscara de rede é 255.255.255.0. Utilize a palavra-chave de regra rede para especificar o perfil que os programas JumpStart personalizados devem utilizar para instalar wanclient-1.
network 192.168.198.0 - wanclient_1_prof - |
Esse arquivo regras instrui os programas JumpStart personalizados a utilizar o wanclient_1_prof para instalar o software versão atual do Solaris no wanclient-1.
Nomeie esse arquivo regra como wanclient_rule.
Depois de criar o perfil e o arquivo regras, você executa o script verificar para verificar se os arquivos são válidos.
wanserver-1# ./check -r wanclient_rule |
Se o script verificar não encontrar nenhum erro, o script cria o arquivo rules.ok.
Salve o arquivo rules.ok no diretório/opt/apache/htdocs/flash/ .
Crie um arquivo de configuração do sistema que lista os locais do arquivo sysidcfg e os arquivos JumpStart personalizados sobre o servidor de instalação. Salve esse arquivo em um diretório que seja acessível ao servidor de inicialização WAN.
No exemplo a seguir, o programa wanboot-cgi procura pelo sysidcfg e por arquivos JumpStart personalizados no diretório raiz do documento do servidor de inicialização WAN. O nome de domínio do servidor de inicialização WAN é https://www.example.com. O servidor de inicialização WAN está configurado para utilizar HTTP seguro, desta forma os dados e arquivos estão protegidos durante a instalação.
Neste exemplo, o arquivo de configuração do sistema é nomeado como sys-conf.s10–sparc e o arquivo é salvo na hierarquia /etc/netboot no servidor de inicialização WAN. O sysidcfg e arquivos JumpStart personalizados estão localizados no subdiretório flash do diretório raiz do documento.
SsysidCF=https://www.example.com/flash/ SjumpsCF=https://www.example.com/flash/
A inicialização WAN utiliza as informações de configuração que estão incluídas no arquivo wanboot.conf para instalar a máquina do cliente. Crie o arquivo wanboot.conf em um editor de texto. Salve o arquivo no subdiretório apropriado do cliente na hierarquia /etc/netboot no servidor de inicialização.
O arquivo wanboot.conf a seguir para wanclient-1 inclui informação de configuração para uma instalação WAN que utiliza HTTP seguro. Esse arquivo também instrui a inicialização WAN a utilizar uma chave de hashing HMAC SHA1 e uma chave de criptografia 3DES para proteger dados.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
Esse arquivo wanboot.conf especifica a configuração a seguir.
O programa wanboot é nomeado como wanboot.s10_sparc . Esse programa está localizado no diretório wanboot no diretório raiz do documento no wanserver-1.
A localização do programa wanboot-cgi no wanserver-1 é https://www.example.com/cgi-bin/wanboot-cgi . A porção https da URL indica que essa instalação de inicialização WAN utiliza HTTP seguro.
A minirraiz de inicialização WAN é nomeada de miniroot.s10_sparc. A minirraiz está localizada no diretório minirraiz no diretório raiz do documento no wanserver-1.
O programa wanboot e o sistema de arquivos de inicialização WAN são atribuídos utilizando uma chave de hashing HMAC SHA1.
O programa wanboot e o sistema de arquivos de inicialização WAN são criptografados com a chave 3DES.
O servidor é autenticado durante a instalação.
O cliente não é autenticado durante a instalação.
Se você efetuar as tarefas em (Opcional) Utilize a chave privada e o certificado para autenticação do cliente, defina esse parâmetro como client_authentication=yes
Nenhum nome de host adicional é necessário para efetuar a instalação WAN. Todos os nomes de host são exigidos pelo programa wanboot-cgi e são especificados no arquivo wanboot.conf e no certificado do cliente.
As mensagens de log de inicialização e instalação são exibidas no console do sistema. Se você configurou o servidor de registro em (Opcional) Configure o servidor de inicialização WAN como um servidor de registro, e deseja que as mensagens de inicialização WAN apareçam também no servidor de inicialização WAN, defina esse parâmetro para boot_logger=https://www.example.com/cgi-bin/bootlog-cgi .
O arquivo de configuração do sistema que especifica os locais dos arquivos sysidcfg e JumpStart está localizado no arquivo sys-conf.s10–sparc na hierarquia /etc/netboot nowanserver-1.
Neste exemplo, você salva o arquivo wanboot.conf no diretório /etc/netboot/192.168.198.0/010003BA152A42 no wanserver-1.
Para inicializar o cliente a partir da WAN com a rede de inicialização, o alias do dispositivo de rede deve ser definido para o dispositivo da rede primária do cliente. No prompt ok do cliente, digite o comando devalias para verificar se o alias rede está definido como dispositivo de rede primária /pci@1f,0/pci@1,1/network@c,1.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
No exemplo anterior de saída, o dispositivo de rede primária /pci@1f,0/pci@1,1/network@c,1 é atribuído ao alias rede. Você não precisa redefinir o alias.
Em Crie as chaves para o servidor e para o cliente, você criou a chave de hashing e a chave de criptografia para proteger seus dados durante a instalação. Para permitir que o cliente descriptografe os dados transmitidos a partir de wanserver-1 durante a instalação, instale essas chaves no wanclient-1.
No wanserver-1, exiba os valores das chaves.
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
O exemplo anterior utiliza a informação a seguir.
Especifica o endereço IP da subrede do cliente
Especifica a identificação do cliente
Especifica o valor da chave de hashing HMAC SHA1 do cliente
Especifica o valor da chave de criptografia 3DES do cliente
Se você utiliza uma chave de criptografia AES em sua instalação, altere type=3des para type=aes para exibir o valor de chave de criptografia.
No prompt ok em wanclient-1, instale as chaves.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Os comandos anteriores efetuam as tarefas a seguir.
Instale a chave de hashing HMAC SHA1 com um valor de b482aaab82cb8d5631e16d51478c90079cc1d463 no wanclient-1
Instale a chave de criptografia 3DES com um valor de 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 no wanclient-1
É possível efetuar uma instalação autônoma configurando as variáveis de argumento de inicialização de rede para wanclient-1 no prompt ok e, em seguida, inicializando o cliente.
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
As variáveis a seguir são definidas.
O endereço IP do cliente é definido como 192.168.198.210.
O endereço IP do roteador do cliente é definido como 192.168.198.1
A máscara de subrede do cliente é definida como 255.255.255.0
O nome de host do cliente é definido como wanclient-1
O programa wanboot-cgi está localizado em http://192.168.198.2/cgi-bin/wanboot-cgi
O cliente instala através da WAN. Se o programa wanboot não encontrar todas as informações de instalação necessárias, você pode ser solicitado a fornecer as informações ausentes na linha de comando.