test

Installationsguide för Solaris 9 12/03

Kapitel 42 SPARC: Installera med WAN-start (Exempel)

I det här kapitlet finns exempel på hur du konfigurerar och installerar klientdatorer över ett WAN-nätverk. Exemplen i det här kapitlet beskriver hur du utför en säker WAN-startinstallation över en HTTPS-anslutning.

Exempel på platsinstallation

Figur 42–1 visar platsinstallationen i det här exemplet.

Figur 42–1 Exempelwebbplats för WAN-startinstallationen

Sammanhanget beskriver bilden.

Den här exempelwebbplatsen har följande egenskaper.

Skapa dokumentrotkatalogen

Om du vill lagra installationsfiler och installationsdata konfigurerar du följande kataloger i dokumentrotkatalogen (/opt/apache/htdocs) på wanserver-1.

Skapa WAN-startminiroten

Använd setup_install_server(1M) med alternativet -w om du vill kopiera WAN-startminiroten och programvauavbildningen för Solaris till katalogen /export/install/Solaris_9 för wanserver-1.

Sätt in Solaris-programvaru-cd i medieenheten som är ansluten till wanserver-1. Skriv följande kommandon. 


wanserver-1# mkdir -p /export/install/sol_9_sparc
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_9/Tools
wanserver-1# ./setup_install_server -w /export/install/sol_9_sparc/miniroot \
  /export/install/sol_9_sparc

Flytta WAN-startminiroten till dokumentrotkatalogen (/opt/apache/htdocs/) på WAN-startservern.


wanserver-1# mv /export/install/sol_9_sparc/miniroot \
  /opt/apache/htdocs/miniroot/miniroot.s9_sparc

Installera wanboot-programmet på WAN-startservern

Om du vill installera wanboot-programmet på WAN-startservern kopierar du programmet från programvaru-cd:n för Solaris 9 12/03 till dokumentrotkatalogen på WAN-startservern.

Sätt in Solaris-dvd eller Solaris programvaru-cd 1 (av 2) i medieenheten som är ansluten till wanserver-1 och skriv följande kommandon.


wanserver-1# cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s9_sparc

Skapa /etc/netboot-hierarkin

Skapa underkatalogerna för wanclient-1 i katalogen /etc/netboot på WAN-startservern. Installationsprogrammen för WAN-start hämtar konfigurations- och säkerhetsinformation från den här katalogen under installationen.

wanclient-1 finns på delnätet 198.168.198.0 och har klient-ID 010003BA152A42. Gör så här om du vill skapa de rätta underkatalogerna i /etc/netboot för wanclient-1.


wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobodyPassword:
nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.255.0
nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42

Kopiera programmet wanboot-cgi till WAN-startservern

På datorer som kör operativmiljön Solaris 9 12/03 finns programmet wanboot-cgi i katalogen /usr/lib/inet/wanboot/. Om du vill att WAN-startservern ska överföra installationsdata kopierar du programmet wanboot-cgi till katalogen cgi-bin i webbserverns programvarukatalog.


wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
  /opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

Konfigurera WAN-startservern att använda HTTPS

Om du vill använda HTTPS för WAN-startinstallationen måste du aktivera SSL-stödet i webbserverns programvara. Du måste också installera ett digitalt certifikat på WAN-startservern. I det här exemplet antas det att webbservern Apache på wanserver-1 har konfigurerats att använda SSL. I exemplet antas det också att ett digitalt certifikat och en certifikatmyndighet (CA) som identifierar wanserver-1 redan är installerade på wanserver-1.

Exempel på hur du konfigurerar webbserverprogrammet att använda SSL finns i dokumentationen för webbservern.

Förse klienten med det betrodda certifikatet

Genom att kräva att servern autentiseras för klienten skyddar du de data som överförs från servern till klienten över HTTPS. Om du vill aktivera serverautentisering förser du klienten med ett betrott certifikat. Det betrodda certifikatet gör att klienten kan verifiera serverns identitet under installationen.

Genom att dela certifikatet och extrahera ett betrott certifkat förser du klienten med det betrodda certifikatet. Infoga sedan det betrodda certifikatet i klientens truststore-fil i /etc/netboot-hierarkin.

I det här exemplet delar du serverns PKCS#12-certifikat som heter cert.p12 och infogar det i katalogen /etc/netboot för wanclient-1.


wanserver-1# wanbootutil p12split -i cert.p12 -t \
  /etc/netboot/192.168.198.0/010003BA152A42/truststore

(Valfritt) Använd privat nyckel och certifikat för klientautentisering

Om du vill skydda dina data ytterligare under installationen kan du kräva att wanclient-1 autentiseras för wanserver-1. Om du vill aktivera klientautentisering för WAN-startinstallationen infogar du ett klientcertifikat och en privat nyckel i klientunderkatalogen i /etc/netboot-hierarkin.

Om du vill förse klienten med en privat nyckel och ett certifikat använder du kommandot wanbootutil och utför följande åtgärder.

I det här exemplet delar du serverns PKCS#12-certifikat som heter cert.p12. Infoga certifikatet i /etc/netboot-hierarkin för wanclient-1. Sedan infogar du den privata nyckel som du gav namnet wanclient.key i klientens keystore-fil.


wanserver-1# wanbootutil p12split -i cert.p12 -c \
  /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
  -s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
  -o type=rsa

Skapa serverns och klientens nycklar

Om du vill skydda de data som överförs mellan servern och klienten skapar du en hashnings- och en krypteringsnyckel. Servern använder hashningsnyckeln för att skydda wanboot-programmets integritet. Servern använder krypteringsnyckeln för att kryptera konfigurations- och installationsdata. Klienten använder hashningsnyckeln för att kontrollera integriteten för det hämtade wanboot-programmet. Klienten använder krypteringsnyckeln för att dekryptera data under installationen.

Du använder kommandot wanbootutil keygen om du vill skapa de här nycklarna. Skapa först en HMAC SHA1-huvudnyckel för wanserver-1.


wanserver-1# wanbootutil keygen -m

Skapa sedan en hashnings- och en krypteringsnyckel för wanclient-1.


wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Det föregående kommandot skapar en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för wanclient-1. 192.168.198.0 anger delnätet för wanclient-1 och 010003BA152A42 anger klient-ID för wanclient-1.

Skapa Solaris Flash-arkivet

I det här exemplet skapar du Solaris Flash-arkivet genom att klona huvudsystemet wanserver-1. Det här arkivet kallas sol-9-sparc och kopieras exakt från huvudsystemet. Arkivet är en exakt kopia av huvusystemet. Arkivet lagras i sol-9–sparc.flar. Du sparar arkivet i underkatalogen flash/archives i dokumentrotkatalogen på WAN-startservern.


wanserver-1# flar create -n sol-9-sparc /opt/apache/htdocs/flash/archives/sol-9-sparc.flar

Skapa filen sysidcfg

Om du vill förkonfigurera systemet wanclient-1 anger du nyckelord och värden i filen sysidcfg. Spara den här filen i underkatalogen flash i dokumentrotkatalogen på wanserver-1.

Exempel 42–1 Filen sysidcfg för systemet client-1

Det här är ett exempel på en sysidcfg-fil för wanclient-1. Värdnamn, IP-adress och nätmask för de här systemen har förkonfigurerats genom att namntjänsten redigerats. Den här filen finns i katalogen /opt/apache/htdocs/flash/sol_9_sparc.

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

Skapa klientens profil

Skapa en profil som heter wanclient_1_prof för systemet wanclient-1. Filen wanclient_1_prof innehåller följande poster, vilka anger vilken Solaris 9-programvara som ska installeras på systemet wanclient-1.

# profilnyckelord         profilvärden
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/htdocs/flash/sol_9_sparc/archive1.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

I följande lista beskrivs några av nyckelorden och värdena från det här exemplet.

install_type

Profilen installerar ett Solaris Flash-arkiv på klonsystemet. Alla filer skrivs över som vid en standardinstallation.

archive_location

Det komprimerade Solaris Flash-arkivet hämtas från wanserver-1.

partitioning

Skivdelarna för filsystemet styrs av nyckelorden för filesys med värdet explicit. Rotfilsystemets (/) storlek är baserat på Solaris Flash-arkivet. Storleken på utrymmet för minnesväxling (swap) är angiven till nödvändig storlek och det installeras på c0t1d0s1. /export/home baseras på det återstående diskutrymmet. /export/home installeras på c0t1d0s7.

Skapa och validera filen rules

De anpassade JumpStart-programmen använder filen rules för att välja rätt installationsprofil för systemet wanclient-1. Skapa en textfil som heter rules. Lägg sedan till nyckelord och värden i filen.

IP-adressen för systemet wanclient-1 är 192.168.198.210. Använd regelnyckelordet network om du vill ange vilken profil som de anpassade JumpStart-programmen ska använda när client-1 installeras.


network 192.168.198.210 - wanclient_1_prof -

Den här rules-filen instruerar de anpassade JumpStart-programmen att använda wanclient_1_prof när operativmiljön Solaris 9 installeras på wanclient-1.

Ge den här regelfilen namnet wanclient_rule.

När du har skapat profilen och rules-filen kör du check-skriptet för att verifiera att filerna är giltiga.


wanserver-1# ./check -r wanclient_rule

Om inga fel påträffas med check-skript, skapas filen rules.ok.

Spara filen rules.ok i katalogen /opt/apache/htdocs/flash/.

Skapa systemkonfigurationsfilen

Skapa en systemkonfigurationsfil som listar var sysidcfg-filen och de anpassade JumpStart-filerna finns på installationsservern. Spara den här filen i en katalog som WAN-startservern har åtkomst till.

I följande exempel söker progammet wanboot-cgi efter sysidcfgoch de anpassade JumpStart-filerna i dokumentrotkatalogen på WAN-startservern. Namnet på WAN-startserverns domän är https://www.example.com. WAN-startservern har konfigurerats att använda säker HTTP så data och filer är skyddade under installationen.

I det här exemplet heter systemkonfigurationsfilen sys.conf och den sparas i /etc/netboot-hierarkin på WAN-startservern. Filen sysidcfg och de anpassade JumpStart-filerna finns i Solaris Flash-underkatalogen flash i dokumentrotkatalogen.

SsysidCF=https://www.example.com/htdocs/flash/
SjumpsCF=https://www.example.com/htdocs/flash/

Skapa filen wanboot.conf

WAN-start använder konfigurationsinformationen i filen wanboot.conf för att installera klientdatorn. Skapa filen wanboot.conf i en textredigerare. Spara filen i lämplig klientunderkatalog i /etc/netboot-hierarkin på WAN-startservern.

I den här wanboot.conf-filen för wanclient-1 finns konfigurationsinformation för en WAN-installation som använder säker HTTP. Den här filen innehåller även instruktioner för WAN-start att använda en HMAC SHA1-hashningsnyckel och en 3DES-krypteringsnyckel för att skydda data.

boot_file=/wanboot/wanboot.s9_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s9_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys.conf

Den här wanboot.conf-filen anger följande konfiguration.

boot_file=/wanboot/wanboot.s9_sparc

Programmet wanboot kallas wanboot.s9_sparc. Det här programmet finns i wanboot-katalogen i dokumentrotkatalogen på wanserver-1.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

Adressen till programmet wanboot-cgiwanserver-1 är https://www.example.com/cgi-bin/wanboot-cgi. Den del av URL:n som anger https indikerar att den här WAN-startinstallationen använder säker HTTP.

root_file=/miniroot/miniroot.s9_sparc

WAN-startminiroten kallas miniroot.s9_sparc. Miniroten finns i miniroot-katalogen i dokumentrotkatalogen på wanserver-1.

signature_type=sha1

Programmet wanboot och WAN-startfilsystemet är signerade genom att de använder en HMAC SHA1-hashningsnyckel.

encryption_type=3des

Programmet wanboot och WAN-startfilsystemet är krypterade med en 3DES-nyckel.

server_authentication=yes

Servern autentiseras under installationen.

client_authentication=no

Klienten autentiseras inte under installationen.

Obs!  

Om du utförde åtgärderna i (Valfritt) Använd privat nyckel och certifikat för klientautentisering anger du den här parametern till client_authentication=yes

resolve_hosts=

Inga ytterligare värdamn behövs för WAN-installationen. Alla värdnamn som krävs av programmet wanboot-cgi anges i filen wanboot.conf och i klientcertifikatet.

boot_logger=https://www.example.com/cgi-bin/bootlog-cgi

Start- och installationslogg meddelanden registreras på wanserver-1 med säker HTTP.

system_conf=sys.conf

Systemkonfigurationsfilen som anger var filen sysid.cfg och JumpStart-filerna finns i sys.conf-filen i /etc/netboot-hierarkin på wanserver-1.

I det här exemplet sparar du filen wanboot.conf i katalogen /etc/netboot/192.168.198.0/010003BA152A42wanserver-1.

Konfigurera WAN-startservern som en inloggningsserver

Om du vill visa start- coh installationsloggmeddelanden på WAN-startservern kopierar du bootlog-cgi-skriptet till katalogen cgi-binwanserver-1.


wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Kontrollera om klientens OBP stöder WAN-start

Kontrollera att klientens OBP stöder WAN-start genom att skriva följande kommando vid klientens ok-ledtext.


ok printenv network-boot-arguments
network-boot-arguments=

I föregående exempel visar resultatet av network-boot-arguments= att klientens OBP stöder WAN-start.

Kontrollera enhetsalias för net i OBP

Om du vill starta klienten över WAN-nätverket med kommandot boot net måste klientens primära nätverksenhet anges som enhetsalias för net. Verifiera att den primära nätverksenheten /pci@1f,0/pci@1,1/network@c,1 har angetts som net-alias genom att skriva kommandot devalias vid klientens ok-ledtext.


ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

I det föregående exemplet anges den primära nätverksenheten /pci@1f,0/pci@1,1/network@c,1 net-alias. Du behöver inte återställa alias.

Installera nycklar på klienten

I Skapa serverns och klientens nycklarskapade du hashnings- och krypteringsnyckeln för att skydda data under installationen. Om du vill att klienten ska dekryptera data som överförs från wanserver-1 under installationen, installerar du de här nycklarna på wanclient-1.

Visa nyckelvärdena på wanserver-1.


wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Det föregående exemplet använder följande information.

net=192.168.198.0

Anger IP-adressen för klientens delnät

cid=010003BA152A42

Anger klientens ID

b482aaab82cb8d5631e16d51478c90079cc1d463

Anger värdet för klientens HMAC SHA1-hashningsnyckel

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Anger värdet för klientens 3DES-krypteringsnyckel

Om du använder en AES-krypteringsnyckel under installationen visar du värdet för krypteringsnyckeln genom att ändra type=3des till type=aes.

Installera nycklarna vid ok-ledtexten på wanclient-1.


ok set-security-key wanboot-hmac-sha1 
b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Följande åtgärder utförs med de föregående kommandona.

Installera klienten

Du kan utföra en obevakad installation genom att ange argumentvariablerna för nätverksstart för wanclient-1 vid ok-ledtexten och sedan starta klienten.


ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi

ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 256 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) 
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.9 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

Följande variabler har angetts.

Klienten installerar över WAN. Om programmet wanboot inte hittar all installationsinformation som krävs kan du bli ombedd att ange den saknade informationen på kommandoraden.