準備用於 WAN Boot 安裝的用戶端

在安裝用戶端系統之前，請執行以下工作來準備用戶端。

• 檢查用戶端 OBP 是否支援 WAN Boot

• 檢查用戶端 OBP 中的 net 裝置別名

• 在用戶端上安裝密鑰

檢查用戶端 OBP 是否支援 WAN Boot

若要執行無干預的 WAN Boot 安裝，用戶端 OpenBoot PROM (OBP) 必須支援 WAN Boot。以下程序描述了如何確定用戶端 OBP 是否支援 WAN Boot。

檢查用戶端 OBP 是否支援 WAN Boot

1. 成為用戶端上的超級使用者。

2. 使系統執行 0 階層 (PROM 監視器層)。

   # init 0

   螢幕上會顯示 ok 提示。

3. 在 ok 提示下，檢查 OBP 配置變數是否支援 WAN Boot。

   ok printenv network-boot-arguments

   • 如果變數 network-boot-arguments 顯示在以上指令的輸出結果中，表示 OBP 支援 WAN Boot 安裝。在執行 WAN Boot 安裝之前，無需更新 OBP。

   • 如果在以上指令的輸出結果中包含訊息 Unknown option: network-boot-arguments，則表示 OBP 不支援 WAN Boot 安裝。必須執行以下工作之一。請參閱您的系統說明文件，以取得有關如何更新 OBP 的資訊。

     • 更新用戶端 OBP。 請參閱您的系統說明文件，以取得有關如何更新 OBP 的資訊。

     • 從本機 CD-ROM 光碟機中的 Solaris 9 Software CD 執行 WAN Boot 安裝。如需有關如何從本機 CD-ROM 光碟機啟動用戶端的說明，請參閱使用本機 CD 媒體進行安裝。

範例 41–1 確認 OBP 在用戶端上支援 WAN Boot

以下指令顯示了如何檢查用戶端 OBP 是否支援 WAN Boot。

ok printenv network-boot-arguments
network-boot-arguments= 

在此範例中，輸出結果 network-boot-arguments= 表示用戶端 OBP 支援 WAN Boot。

檢查用戶端 OBP 中的 net 裝置別名

若要使用 boot net 從 WAN 啟動用戶端，必須將 net 裝置別名設定為用戶端的主網路裝置。在大多數系統上，已經正確設定了此別名。但是，如果未將別名設定為要使用的網路裝置，則必須變更別名。

執行下列步驟以檢查用戶端上的 net 裝置別名。

檢查 net 裝置別名

1. 成為用戶端上的超級使用者。

2. 使系統執行 0 階層。

   # init 0

   螢幕上會顯示 ok 提示。

3. 在 ok 提示下，檢查 OBP 中設定的裝置別名。

   ok devalias

   devalias 指令輸出的資訊類似於以下範例。

   screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

   • 如果已經將 net 別名設定為要在安裝期間使用的網路裝置，則無需重設該別名。移至在用戶端上安裝密鑰繼續執行安裝。

   • 如果未將 net 別名設定為要使用的網路裝置，則必須重設別名再繼續。

4. 設定 net 裝置別名。

   選擇下列指令之一來設定 net 裝置別名。

   • 若要設定僅用於此安裝的 net 裝置別名，請使用 devalias 指令。

     ok devalias net device-path

     net device-path

     將裝置 device-path 指定給 net 別名

   • 若要永久設定 net 裝置別名，請使用 nvalias 指令。

     ok nvalias net device-path

     net device-path

     將裝置 device-path 指定給 net 別名

範例 41–2 檢查與重設 net 裝置別名

以下指令顯示了如何檢查與重設 net 裝置別名。

檢查裝置別名。

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

如果要使用 /pci@1f,0/pci@1,1/network@5,1 網路裝置，請輸入以下指令。

ok devalias net /pci@1f,0/pci@1,1/network@5,1

如需有關設定裝置別名的更多資訊，請參閱「OpenBoot 3.x Command Reference Manual」中的「The Device Tree」。

在用戶端上安裝密鑰

若要進行需要檢查資料完整性的較安全 WAN Boot 安裝或不安全安裝，則必須在用戶端上安裝密鑰。透過使用雜湊密鑰與加密密鑰，可以保護傳輸至用戶端的資料。可以使用下列方法安裝這些密鑰。

• 設定 OBP 變數 – 可以在啟動用戶端之前指定 OBP 網路啟動引數變數的密鑰值。這些值即可用於以後的用戶端 WAN Boot 安裝。

• 在啟動過程中輸入密鑰值 – 可以在 wanboot 程式的 boot> 提示下設定密鑰值。如果使用此方法安裝密鑰，則這些密鑰只用於目前的 WAN Boot 安裝。

也可以在執行中用戶端的 OBP 內安裝密鑰。如果要在執行中的用戶端上安裝密鑰，則系統必須執行 Solaris 9 12/03 作業環境或相容版本。

您在用戶端上安裝密鑰時，請確保密鑰值不會透過不安全連接進行傳輸。請遵循網站的安全性策略以確保密鑰值的私密性。

• 如需有關如何指定 OBP 網路啟動引數變數密鑰值的說明，請參閱在用戶端 OBP 內安裝密鑰。

• 如需有關如何在啟動過程中安裝密鑰的說明，請參閱執行互動式安裝。

• 如需有關如何在執行中用戶端的 OBP 內安裝密鑰的說明，請參閱在執行中的用戶端上安裝雜湊密鑰與加密密鑰。

在用戶端 OBP 內安裝密鑰

如果要指定 OBP 網路啟動引數變數的密鑰值，請遵循以下步驟執行。

1. 在 WAN Boot 伺服器上擔當等同於 Web 伺服器使用者的角色。

2. 顯示每個用戶端密鑰的密鑰值。

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   用戶端的子網路 IP 位址。

   client-ID

   要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

   key-type

   要在用戶端上安裝的密鑰類型。有效的密鑰類型包括 3des、aes 或 sha1。

   螢幕上會顯示十六進制的密鑰值。

3. 對於每種要安裝的用戶端密鑰類型，重複執行上面的步驟。

4. 使用戶端系統執行 0 階層。

   # init 0

   螢幕上會顯示 ok 提示。

5. 在用戶端 ok 提示下，設定雜湊密鑰的值。

   ok set-security-key wanboot-hmac-sha1 key-value

   set-security-key

   在用戶端上安裝密鑰

   wanboot-hmac-sha1

   指示 OBP 安裝 HMAC SHA1 雜湊密鑰

   key-value

   指定顯示於步驟 2 中的十六進制字串。

   HMAC SHA1 雜湊密鑰安裝在用戶端 OBP 中。

6. 在用戶端 ok 提示下，安裝加密密鑰。

   ok set-security-key wanboot-3des key-value

   set-security-key

   在用戶端上安裝密鑰

   wanboot-3des

   指示 OBP 安裝 3DES 加密密鑰。如果要使用 AES 加密密鑰，請將該值設定為 wanboot-aes。

   key-value

   指定表示加密密鑰的十六進制字串。

   3DES 加密密鑰安裝在用戶端 OBP 中。

   安裝完密鑰之後，便可以準備安裝用戶端。請參閱安裝用戶端，以取得有關如何安裝用戶端系統的說明。

7. (選擇性的) 確認在用戶端 OBP 中設定了密鑰。

   ok list-security-keys 安全密鑰： wanboot-hmac-sha1 wanboot-3des

8. (選擇性的) 如果需要刪除密鑰，請輸入以下指令。

   ok set-security-key key-type

   key-type

   指定需要刪除的密鑰類型。使用值 wanboot-hmac-sha1、wanboot-3des 或 wanboot-aes。

範例 41–3 在用戶端 OBP 內安裝密鑰

以下範例顯示了如何在用戶端 OBP 內安裝雜湊密鑰與加密密鑰。

顯示 WAN Boot 伺服器上的密鑰值。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上範例使用了下列資訊。

net=192.168.198.0

指定用戶端子網路的 IP 位址

cid=010003BA152A42

指定用戶端的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定用戶端的 HMAC SHA1 雜湊密鑰值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定用戶端的 3DES 加密密鑰值

如果要在安裝中使用 AES 加密密鑰，請將 wanboot-3des 變更為 wanboot-aes 以顯示加密密鑰值。

在用戶端系統上安裝密鑰。

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上指令執行下列工作。

• 在用戶端上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊密鑰

• 在用戶端上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密鑰

  如果要在安裝中使用 AES 加密密鑰，請將 wanboot-3des 變更為 wanboot-aes。

在執行中的用戶端上安裝雜湊密鑰與加密密鑰

如果要在執行中用戶端的 OBP 內安裝雜湊密鑰與加密密鑰，請遵循以下步驟執行。

此程序做出下列假定。

• 用戶端系統處於開機狀態。

• 可以藉由安全連接存取用戶端，例如安全 shell (ssh)。

1. 在 WAN Boot 伺服器上擔當等同於 Web 伺服器使用者的角色。

2. 顯示用戶端密鑰的密鑰值。

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   用戶端的子網路 IP 位址。

   client-ID

   要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID，也可以是 DHCP 用戶端 ID。

   key-type

   要在用戶端上安裝的密鑰類型。有效的密鑰類型包括 3des、aes 或 sha1。

   螢幕上會顯示十六進制的密鑰值。

3. 對於每種要安裝的用戶端密鑰類型，重複執行上面的步驟。

4. 成為用戶端機器上的超級使用者。

5. 在執行中的用戶端機器上安裝必要的密鑰。

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   key-type

   指定要在用戶端上安裝的密鑰類型。有效的密鑰類型包括 3des、aes 或 sha1。

   key-value

   執行顯示於步驟 2 中的十六進制字串。

6. 對於每種要安裝的用戶端密鑰類型，重複執行上面的步驟。

   安裝完密鑰之後，便可以準備安裝用戶端。請參閱安裝用戶端，以取得有關如何安裝用戶端系統的說明。

範例 41–4 在執行中的用戶端系統 OBP 內安裝密鑰

以下範例顯示了如何在執行中用戶端的 OBP 內安裝密鑰。

顯示 WAN Boot 伺服器上的密鑰值。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上範例使用了下列資訊。

net=192.168.198.0

指定用戶端子網路的 IP 位址

cid=010003BA152A42

指定用戶端的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定用戶端的 HMAC SHA1 雜湊密鑰值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定用戶端的 3DES 加密密鑰值

如果要在安裝中使用 AES 加密密鑰，請將 type=3des 變更為 type=aes 以顯示加密密鑰值。

在執行中用戶端的 OBP 內安裝密鑰。

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

以上指令執行下列工作。

• 在用戶端上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊密鑰

• 在用戶端上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密鑰