El servidor de arranque WAN es un servidor web que proporciona los datos de arranque y configuración durante una instalación mediante un arranque WAN. Para ver una lista de los requisitos de sistema para el servidor de arranque WAN, consulte la Tabla 39–1.
En esta sección se describen las tareas siguientes para configurar el servidor de arranque WAN para una instalación mediante un arranque WAN.
Instalación del programa wanboot en el servidor de arranque WAN
Creación de la jerarquía /etc/netboot en el servidor de arranque WAN
Copia del programa CGI de arranque WAN en el servidor de arranque WAN
Para servir los archivos de configuración e instalación, deberá hacerlos accesibles al software del servidor web en el servidor de arranque WAN. Para ello puede almacenarlos en el directorio raíz de documentos del servidor de arranque WAN.
Si desea utilizar un directorio raíz de documentos para servir los archivos de configuración e instalación, deberá crearlo. Para obtener información sobre como hacerlo, consulte la documentación de su servidor web. Para obtener información detallada sobre cómo designar el directorio raíz de documentos, consulte Almacenamiento de los archivos de instalación y configuración en el directorio raíz de documentos.
El arranque WAN utiliza una minirraíz especial de Solaris, modificado para efectuar una instalación mediante un arranque WAN, que contiene un subconjunto del software de la minirraíz de Solaris. Para efectuar una instalación mediante un arranque WAN, deberá copiar la minirraíz del DVD de Solaris o del CD Software 1 de 2 de Solaris en el servidor de arranque WAN. Utilice el comando setup_install_server con la opción -w para copiar la minirraíz de arranque WAN del soporte del software de Solaris al disco duro de su sistema.
Este procedimiento crea una minirraíz de arranque WAN SPARC con un soporte SPARC. Si desea servir una minirraíz de arranque WAN SPARC desde un servidor basado en x86, deberá crear la minirraíz en una máquina SPARC. Una vez creada la minirraíz, cópiela al directorio raíz de documentos del servidor basado en x86.
Para obtener información adicional acerca del comando setup_install_server, consulte el Capítulo 12.
Para este procedimiento se presupone que en el servidor de arranque WAN se está ejecutando Volume Manager. En caso contrario, consulte System Administration Guide: Basic Administration para obtener información sobre cómo gestionar soportes extraíbles sin utilizar Volume Manager.
Conviértase en superusuario del servidor de arranque WAN.
El sistema debe cumplir los requisitos siguientes.
Disponer de una unidad de CD-ROM o DVD-ROM.
Formar parte de la red y del servicio de nombres de la sede.
Si utiliza un servicio de nombres, el sistema debe estar ya en dicho servicio, ya sea NIS, NIS+, DNS o LDAP. Si no se usa un servicio de nombres, deberá distribuir información sobre este sistema de acuerdo con las políticas de la sede.
Inserte el CD Software 1 de 2 de Solaris o el DVD de Solaris en la unidad del servidor de instalación.
Cree un directorio para la minirraíz de arranque WAN y la imagen de instalación de Solaris.
# mkdir -p ruta_directorio_wan ruta_directorio_instalación |
Indica al comando mkdir que cree todos los directorios superiores necesarios para el directorio que desea crear.
Indica el directorio en el que se debe crear la minirraíz de arranque WAN en el servidor de instalación. Este directorio debe poder contener minirraíces con un tamaño aproximado de 250 Mbytes cada uno.
Indica el directorio del servidor de instalación en el que se debe copiar la imagen del software de Solaris. Este directorio se puede eliminar en un paso posterior de este procedimiento.
Cambie al directorio Tools del disco montado:
# cd /cdrom/cdrom0/s0/Solaris_9/Tools |
En el ejemplo anterior, cdrom0 es la ruta a la unidad que contiene el soporte del sistema operativo Solaris.
Copie la minirraíz de arranque WAN y la imagen del software de Solaris en el disco duro del servidor de arranque WAN.
# ./setup_install_server -w ruta_directorio_wan ruta_directorio_instalación |
Indica el directorio donde se va a copiar la minirraíz de arranque WAN
Indica el directorio donde se va a copiar la imagen del software de Solaris
El comando setup_install_server indica si hay espacio en el disco suficiente para las imágenes de disco de software Solaris. Para determinar la cantidad de espacio en el disco disponible, use el comando df -kl.
El comando setup_install_server -w crea la minirraíz de arranque WAN y una imagen de instalación de red del software de Solaris.
(Opcional) Elimine la imagen de instalación de red.
Dicha imagen no es necesaria para efectuar una instalación mediante un arranque WAN con un contenedor Solaris Flash. Puede liberar espacio en disco si no tiene previsto utilizar la imagen de instalación de red para otras instalaciones. Escriba el comando siguiente para eliminar la imagen de instalación de red.
# rm -rf ruta_directorio_instalación |
Ponga la minirraíz de arranque WAN a disposición del servidor de arranque WAN mediante uno de estos procedimientos.
Cree un enlace simbólico a la minirraíz de arranque WAN en el directorio raíz de documentos del servidor de arranque WAN.
# cd /directorio_raíz_documentos/miniroot # ln -s /ruta_directorio_wan/miniroot . |
Indica el directorio raíz de documentos del servidor de arranque WAN que desea enlazar con la minirraíz de arranque WAN.
Indica la ruta a la minirraíz de arranque WAN.
Mueva la minirraíz de arranque WAN al directorio raíz de documentos del servidor de arranque WAN.
# mv /ruta_directorio_wan/miniroot /directorio_raíz_documentos/miniroot/nombre_minirraíz |
Indica la ruta a la minirraíz de arranque WAN.
Indica la ruta al directorio de la minirraíz de arranque WAN en el directorio raíz de documentos del servidor de arranque WAN.
Indica el nombre de la minirraíz de arranque WAN. Asigne al archivo un nombre descriptivo; por ejemplo, miniroot.s9_sparc.
El arranque WAN utiliza, para instalar el cliente, un programa especial de arranque de segundo nivel (wanboot) que carga la minirraíz de arranque WAN y los archivos de configuración del cliente y de instalación necesarios para efectuar una instalación mediante un arranque WAN.
Para efectuar esta instalación deberá proporcionar al cliente el programa wanboot durante la instalación mediante uno de los siguientes métodos.
Si la PROM del cliente admite arranque WAN, puede transmitir el programa desde el servidor de arranque WAN al cliente. Para comprobar si la PROM del cliente admite arranque WAN, consulte Comprobación de la OBP cliente para la admisión del arranque WAN.
Si la PROM del cliente no admite arranque WAN, deberá proporcionarle el programa al cliente localmente mediante un CD. Si la PROM de su cliente no admite arranque WAN, vaya a Creación de la jerarquía /etc/netboot en el servidor de arranque WAN para proseguir con la preparación de la instalación.
Para este procedimiento se presupone que en el servidor de arranque WAN se está ejecutando Volume Manager. En caso contrario, consulte System Administration Guide: Basic Administration para obtener información sobre cómo gestionar soportes extraíbles sin utilizar Volume Manager.
Conviértase en superusuario del servidor de instalación.
Inserte el CD Software 1 de 2 de Solaris o el DVD de Solaris en la unidad del servidor de instalación.
Cambie al directorio de la plataforma sun4u en el CD Software 1 de 2 de Solaris o en el DVD de Solaris.
# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/ |
Copie el programa wanboot en el servidor de instalación.
# cp wanboot /directorio_raíz_documentos/wanboot/nombre_wanboot |
Indica el directorio raíz de documentos del servidor de arranque WAN.
Indica el nombre del programa wanboot. Asigne al archivo un nombre descriptivo; por ejemplo, wanboot.s9_sparc.
Ponga la minirraíz de arranque WAN a disposición del servidor de arranque WAN mediante uno de estos procedimientos.
Cree un enlace simbólico al programa wanboot en el directorio raíz de documentos del servidor de arranque WAN.
# cd /directorio_raíz_documentos/wanboot # ln -s /ruta_directorio_wan/wanboot . |
Indica el directorio raíz de documentos del servidor de arranque WAN que desea enlazar con el programa wanboot
Indica la ruta al programa wanboot.
Mueva la minirraíz de arranque WAN al directorio raíz de documentos del servidor de arranque WAN.
# mv /ruta_directorio_wan/wanboot /directorio_raíz_documentos/wanboot/nombre_wanboot |
Indica la ruta al programa wanboot.
Indica la ruta al directorio del programa wanboot en el directorio raíz de documentos del servidor de arranque WAN.
Indica el nombre del programa wanboot. Asigne al archivo un nombre descriptivo; por ejemplo, wanboot.s9_sparc.
Durante la instalación, el arranque WAN recurre al contenido de la jerarquía /etc/netboot del servidor web para obtener instrucciones sobre cómo efectuar la instalación. Este directorio contiene la información de configuración, la clave privada, el certificado digital y la entidad certificadora necesarios para una instalación mediante un arranque WAN. Durante la instalación, el programa wanboot-cgi convierte esta información en el sistema de archivos de arranque WAN que, a continuación, transmite al cliente.
Para obtener información relativa a la planificación para el diseño de la jerarquía /etc/netboot, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.
Conviértase en superusuario del servidor de arranque WAN.
Cree el directorio /etc/netboot.
# mkdir /etc/netboot |
Cambie los permisos del directorio /etc/netboot a 700.
# chmod 700 /etc/netboot |
Cambie el propietario del directorio /etc/netboot al propietario del servidor web.
# chown usuario_servidor_web:grupo_servidor_web /etc/netboot/ |
Indica el usuario propietario del proceso del servidor web
Indica el grupo propietario del proceso del servidor web
Salga del rol de superusuario.
# exit |
Tome el rol de usuario de propietario del servidor web.
Cree el subdirectorio cliente del directorio /etc/netboot.
# mkdir -p /etc/netboot/ip_red/ID_cliente |
Indica al comando mkdir que cree todos los directorios superiores necesarios para el directorio que desea crear.
Indica la dirección IP de la subred del cliente.
Especifica el ID del cliente. El ID del cliente puede ser un valor definido por el usuario o el ID de cliente DHCP. El directorio ID_cliente debe ser un subdirectorio de ip_red.
Para cada uno de los directorios de la jerarquía /etc/netboot cambie los permisos a 700.
# chmod 700 /etc/netboot/nombre_directorio |
Indica el nombre de un directorio de la jerarquía /etc/netboot
En el ejemplo siguiente se muestra como crear la jerarquía /etc/netboot para el cliente 010003BA152A42 en la subred 192.168.255.0. En este ejemplo, el usuario nobody y el grupo admin son los propietarios del proceso del servidor web.
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.255.0 nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42 |
El programa wanboot-cgi crea los flujos de datos que transmiten los siguientes archivos del servidor de arranque WAN al cliente.
Programa wanboot
Sistema de arranque WAN
Minirraíz de arranque WAN
El programa wanboot-cgi se instala en el sistema al instalar el sistema operativo Solaris12/03 . Para habilitar el servidor de arranque WAN para que utilice este programa, cópielo en el directorio cgi-bin de dicho servidor.
Conviértase en superusuario del servidor de arranque WAN.
Copie el programa wanboot-cgi en el servidor de arranque WAN.
# cp /usr/lib/inet/wanboot/wanboot-cgi /raíz_servidor_WAN/cgi-bin/wanboot-cgi |
Indica el directorio raíz del software del servidor web en el servidor de arranque WAN
En el servidor de arranque WAN, cambie los permisos del programa CGI a 755.
# chmod 755 /raíz_servidor_WAN/cgi-bin/wanboot-cgi |
Para proteger los datos durante la transferencia del servidor de arranque WAN al cliente, se puede utilizar HTTP sobre Capa de zócalos seguros (HTTPS). Para efectuar la instalación más segura descrita en Configuración de una instalación segura mediante arranque WAN deberá habilitar el servidor web para que utilice HTTPS.
Para habilitar el software del servidor web en el servidor de arranque WAN para utilizar HTTPS deberá efectuar las tareas siguientes.
Activar la admisión de la Capa de zócalos seguros (SSL) en el software del servidor web.
Los procesos para habilitar la admisión de SSL y la autenticación de cliente varían en cada servidor web. En este documento no se describe la forma de habilitar las características de seguridad en su servidor web. Para obtener información sobre éstas consulte la documentación siguiente.
Para obtener información sobre cómo activar SSL en los servidores web Sun ONE e iPlanet, consulte la documentación de Sun ONE e iPlanet en http://docs.sun.com.
Para obtener información sobre cómo activar SSL en el servidor web Apache consulte Apache Documentation Project en http://httpd.apache.org/docs-project/.
Si utiliza un servidor web que no aparece en la lista anterior, consulte la documentación de éste.
Instalar certificados digitales en el servidor de arranque WAN.
Para obtener información acerca del uso de certificados digitales mediante un arranque WAN, consulte Uso de certificados digitales para la autenticación del servidor y del cliente.
Proporcionar al cliente un certificado acreditado.
Para obtener instrucciones sobre cómo crear un certificado acreditado, consulte Uso de certificados digitales para la autenticación del servidor y del cliente.
Crear una clave de hashing y una clave de encriptación.
Para obtener instrucciones sobre la creación de claves, consulte Creación de una clave de hashing y una clave de encriptación.
(Opcional) Configurar el software del servidor web para que admita la autenticación del cliente.
Para obtener información acerca de cómo configurar el servidor web para admitir la autenticación del cliente, consulte la documentación del servidor web.
El método de instalación mediante un arranque WAN puede utilizar archivos PKCS#12 para efectuar una instalación mediante HTTPS con autenticación de servidor o de cliente y servidor. Para conocer requisitos e indicaciones para el uso de archivos PKCS#12, consulte Requisitos de certificados digitales.
Para utilizar un archivo PKCS#12 en una instalación mediante un arranque WAN deberá efectuar las tareas siguientes.
Dividir el archivo PKCS#12 en dos archivos independientes, el de clave privada SSL y el certificado acreditado.
Insertar el certificado acreditado en el archivo truststore del cliente, en la jerarquía /etc/netboot. El certificado acreditado indica al cliente que confíe en el servidor.
(Opcional) Insertar el contenido de la clave privada SSL en el archivo keystore del cliente, en la jerarquía /etc/netboot.
El comando wanbootutil ofrece distintas opciones para efectuar las tareas de la lista anterior.
Antes de dividir un archivo PKCS#12 cree los subdirectorios apropiados en la jerarquía /etc/netboot del servidor de arranque WAN.
Para obtener información general acerca de la jerarquía /etc/netboot, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.
Para obtener instrucciones sobre como crear la jerarquía /etc/netboot, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Extraiga el certificado acreditado del archivo PKCS#12 e insertelo en el archivo truststore del cliente, en la jerarquía /etc/netboot.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/ip_red/ID_cliente/truststore |
Opción del comando wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.
Indica el nombre del archivo PKCS#12 que se debe dividir.
Inserta el certificado en el archivo truststore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un ID definido por el usuario o el ID de cliente DHCP.
(Opcional) Decida si desea requerir autenticación de cliente.
En caso afirmativo, prosiga con los pasos indicados.
En caso negativo, vaya a Creación de una clave de hashing y una clave de encriptación.
Inserte el certificado de cliente en el archivo certstore del cliente.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/ip_red/ID_cliente/certstore -k archivo_claves |
Opción del comando wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.
Indica el nombre del archivo PKCS#12 que se debe dividir.
Inserta el certificado de cliente en el archivo certstore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un ID definido por el usuario o el ID de cliente DHCP.
Especifica el nombre del archivo de claves privadas SSL del cliente que se debe crear a partir de la división del archivo PKCS#12.
Inserte la clave privada en el archivo keystore del cliente.
# wanbootutil keymgmt -i -k archivo_claves \ -s /etc/netboot/ip_red/ID_cliente/keystore -o type=rsa |
Inserta una clave privada SSL en el archivo keystore del cliente
Especifica el nombre del archivo de claves privadas del cliente creado en el paso anterior
Indica la ruta al archivo keystore del cliente
Indica que el tipo de clave es RSA
En el ejemplo siguiente se utiliza un archivo PKCS#12 para instalar el cliente 010003BA152A42 en la subred 192.168.255.0. Este comando de ejemplo extrae un certificado de un archivo PKCS#12 denominado client.p12 y, a continuación, inserta el contenido de este certificado acreditado en el archivo truststore del cliente.
# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.255.0/010003BA152A42/truststore # chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore |
Si desea utilizar HTTPS para transmitir los datos deberá crear una clave de hashing HMAC SHA1 y una clave de encriptación. Si tiene previsto efectuar la instalación sobre una red semiprivada, no es conveniente encriptar los datos de instalación. Puede utilizar una clave de hashing HMAC SHA1 para comprobar la integridad del programa wanboot. Para obtener información general acerca de las claves de hashing y de encriptación, consulte Protección de datos durante una instalación mediante el arranque WAN.
El comando wanbootutil keygen permite generar dichas claves y almacenarlas en el directorio /etc/netboot apropiado.
Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.
Cree la clave HMAC SHA1 maestra.
# wanbootutil keygen -m |
Crea la clave HMAC SHA1 maestra para el servidor de arranque WAN
Cree la clave de hashing HMAC SHA1 para el cliente a partir de la clave maestra.
# wanbootutil keygen -c -o [net=ip_red,{cid=ID_cliente,}]type=sha1 |
Crea la clave de hashing del cliente a partir de la clave maestra.
Indica que se incluyen opciones adicionales para el comando wanbootutil keygen.
Especifica la dirección IP de la subred del cliente Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.
Especifica el ID del cliente que puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystore y la podrán todos los clientes mediante un arranque WAN de la subred ip_red.
Indica a la utilidad wanbootutil keygen que cree una clave de hashing HMAC SHA1 para el cliente.
Decida si es necesario crear una clave de encriptación para el cliente.
Deberá crear una clave de encriptación si desea efectuar una instalación mediante un arranque WAN sobre HTTPS. Antes de que el cliente establezca una conexión HTTPS con el servidor de arranque WAN, éste transmite datos e información encriptaciones al cliente. La clave de encriptación permite al cliente desencriptar esta información y utilizarla durante la instalación.
Si va a efectuar una instalación mediante un arranque WAN segura sobre HTTPS con autenticación de servidor, prosiga.
Si sólo desea comprobar la integridad del programa wanboot, no es necesario que cree la clave de encriptación. Vaya al Paso 6.
Cree una clave de encriptación para el cliente.
# wanbootutil keygen —c -o [net=ip_red,{cid=ID_cliente,}]type=tipo_clave |
Crea la clave de encriptación para el cliente.
Indica que se incluyan opciones adicionales para el comando wanbootutil keygen.
Especifica la dirección IP de red del cliente Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.
Especifica el ID del cliente que puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystore y la podrán todos los clientes mediante un arranque WAN de la subred ip_red.
Indica a la utilidad wanbootutil keygen que cree una clave de encriptación para el cliente. El valor de tipo_clave puede ser 3des o aes.
Instale las claves en el sistema cliente.
Para obtener instrucciones acerca de la instalación de las claves, consulte Instalación de claves en el cliente.
En el ejemplo siguiente se crea una clave maestra HMAC SHA1 para el servidor de arranque WAN. En él se crea también una clave de hashing HMAC SHA1 y una clave de encriptación 3DES para el cliente 01832AA440 en la subred 192.168.255.0.
# wanbootutil keygen -m # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1 # wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des |