安装客户机系统之前,请执行以下任务来准备客户机。
要执行不需要手动干预的 WAN Boot 安装,客户机 OpenBoot PROM (OBP) 必须支持 WAN Boot。 以下过程说明了如何确定客户机 OBP 是否支持 WAN Boot。
成为客户机的超级用户。
使系统运行 0 级(PROM 监视器级)。
# init 0 |
显示 ok 提示符。
在 ok 提示符下,检查 OBP 配置变量的 WAN Boot 支持。
ok printenv network-boot-arguments |
如果上一个命令的输出中显示了变量 network-boot-arguments,则 OBP 支持 WAN Boot 安装。您在执行 WAN Boot 安装之前无需更新 OBP。
如果上一个命令的输出中显示了消息未知选项:网络引导变量,则 OBP 不支持 WAN Boot 安装。 您必需执行以下任务之一。请参见系统文档以获得有关如何更新 OBP 的信息。
更新客户机 OBP。 有关如何更新 OBP 的信息,请参见系统文档。
通过本地 CD-ROM 驱动器中的 Solaris 9 Software CD 来执行 WAN Boot 安装。有关如何通过本地 CD-ROM 驱动器引导客户机的说明,请参见使用本地 CD 介质安装。
以下命令显示了如何检查客户机 OBP 的 WAN Boot 支持。
ok printenv network-boot-arguments network-boot-arguments= |
在此实例中,输出 network-boot-arguments= 表明客户机 OBP 支持 WAN Boot。
要使用 boot net 通过 WAN 来引导客户机,必须将 net 设备假名设置为客户机的主网络设备。在大多数系统上,此假名已经正确设置。但是,如果该假名未被设置为要使用的网络设备,则必须更改该假名。
请按照以下步骤检查客户机上的 net 设备假名。
成为客户机的超级用户。
使系统运行 0 级。
# init 0 |
显示 ok 提示符。
在 ok 提示符下,检查在 OBP 中设置的设备假名。
ok devalias |
devalias 命令输出类似于以下实例的信息。
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
如果 net 假名被设置为要在安装期间使用的网络设备,则无需重置假名。转到在客户机上安装密钥继续安装。
如果 net 假名未被设置为要使用的网络设备,则必须重置假名。请继续。
设置 net 设备假名。
选择以下命令之一设置 net 设备假名。
以下命令显示了如何检查和重置 net 设备假名。
检查设备假名。
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
如果要使用 /pci@1f,0/pci@1,1/network@5,1 网络设备,请键入以下命令。
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
有关设置设备假名的详细信息,请参见《OpenBoot 3.x Command Reference Manual》中的“The Device Tree” 。
对于较安全的 WAN Boot 安装或带数据完整性检查的不安全安装,您必须在客户机上安装密钥。通过使用散列密钥和加密密钥,您可以保护传输到客户机的数据。您可以通过以下方式来安装这些密钥。
设置 OBP 变量 – 您可以在引导客户机之前,为 OBP 网络引导变量指定密钥值。然后,客户机可在将来安装 WAN Boot 时使用这些密钥。
在引导进程期间输入密钥值 – 您可以在 wanboot program boot> 提示符下输入设置密钥值。如果使用此方法来安装密钥,则密钥只能用于当前的 WAN Boot 安装。
您也可以在运行中的客户机的 OBP 中安装密钥。如果要在运行中的客户机上安装密钥,系统必须运行 Solaris 9 12/03 操作环境或兼容版本。
在客户机上安装密钥时,请确保密钥值未通过不安全的连接进行传输。请遵循站点的安全策略以确保密钥值的保密性。
有关如何为 OBP 网络引导变量指定密钥值的说明,请参见在客户机 OBP 中安装密钥。
有关如何在引导进程期间安装密钥的说明,请参见执行交互安装。
有关如何在运行中的客户机的 OBP 中安装密钥的说明,请参见在运行中的客户机上安装散列密钥和加密密钥。
如果要为 OBP 网络引导变量指定密钥值,请按照以下步骤进行操作。
将同一用户角色假设为 WAN Boot 服务器上的 Web 服务器用户。
显示所有客户机密钥的密钥值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
客户机子网的 IP 地址。
要安装的客户机的 ID。客户机 ID 可以是用户定义的 ID 也可以是 DHCP 客户机 ID。
要在客户机上安装的密钥类型。有效的密钥类型包括 3des、aes 或 sha1。
将显示密钥的十六进制值。
针对要安装的每个客户机密钥类型,重复上述步骤。
使客户机系统运行 0 级。
# init 0 |
将显示 ok 提示符。
在客户机 ok 提示符下,设置散列密钥的值。
ok set-security-key wanboot-hmac-sha1 key-value |
在客户机上安装密钥
指示 OBP 安装 HMAC SHA1 散列密钥
指定在步骤 2中显示的十六进制字符串。
HMAC SHA1 散列密钥安装在客户机 OBP 中。
在客户机 ok 提示符下,安装加密密钥。
ok set-security-key wanboot-3des key-value |
在客户机上安装密钥
指示 OBP 安装 3DES 加密密钥。 如果要使用 AES 加密密钥,请将此值设置为 wanboot-aes。
指定代表该加密密钥的十六进制字符串。
3DES 加密密钥安装在客户机 OBP 中。
安装密钥后,就可以安装客户机了。有关如何安装客户机系统的说明,请参见安装客户机。
(可选的) 检验是否已在客户机 OBP 中设置密钥。
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des |
(可选的) 如果需要删除密钥,请键入以下命令。
ok set-security-key key-type |
指定需要删除的密钥的类型。使用值 wanboot-hmac-sha1、wanboot-3des 或 wanboot-aes。
以下实例显示了如何在客户机 OBP 中安装散列密钥和加密密钥。
在 WAN Boot 服务器中显示密钥值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上实例使用以下信息。
指定客户机子网的 IP 地址
指定客户机的 ID
指定客户机 HMAC SHA1 散列密钥的值
指定客户机 3DES 加密密钥的值
如果在安装中使用 AES 加密密钥,请将 wanboot-3des 更改为 wanboot-aes 以显示加密密钥值。
在客户机系统上安装密钥。
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上命令执行以下任务。
将值为 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 散列密钥安装在客户机上
将值为 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密钥安装在客户机上
如果在安装中使用 AES 加密密钥,请将 wanboot-3des 更改为 wanboot-aes。
如果要在运行中的客户机的 OBP 中安装散列密钥和加密密钥,请按照以下步骤进行操作。
此过程进行了以下假设。
客户机系统已经打开。
可以通过安全连接访问客户机,例如安全 shell (ssh)。
将同一用户角色假设为 WAN Boot 服务器上的 Web 服务器用户。
显示客户机密钥的密钥值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
客户机子网的 IP 地址。
要安装的客户机的 ID。客户机 ID 可以是用户定义的 ID 也可以是 DHCP 客户机 ID。
要在客户机上安装的密钥的类型。有效的密钥类型包括 3des、aes 或 sha1。
将显示密钥的十六进制值。
针对要安装的每个客户机密钥类型,重复上述步骤。
成为客户机的超级用户。
在运行中的客户机上安装必要的密钥。
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value |
指定要在客户机上安装的密钥类型。有效的密钥类型包括 3des、aes 或 sha1。
指定在步骤 2中显示的十六进制字符串。
针对要安装的每个客户机密钥类型,重复上述步骤。
安装密钥后,就可以安装客户机了。有关如何安装客户机系统的说明,请参见安装客户机。
以下实例显示了如何在运行中的客户机的 OBP 中安装密钥。
在 WAN Boot 服务器中显示密钥值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上实例使用以下信息。
指定客户机子网的 IP 地址
指定客户机的 ID
指定客户机 HMAC SHA1 散列密钥的值
指定客户机 3DES 加密密钥的值
如果要在安装中使用 AES 加密密钥,请将 type=3des 更改为 type=aes 以显示加密密钥值。
在运行中的客户机的 OBP 中安装密钥。
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上命令执行以下任务。
将值为 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 散列密钥安装在客户机上
将值为 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密钥安装在客户机上