Installationsguide för Solaris 9 4/04

Konfigurera startservern i det globala nätverket

Startservern är en webbserver som tillhandahåller start- och konfigurationsdata under en installation via globala nätverk. En lista med systemkraven för en startserver finns i Tabell 42–1.

I det här avsnittet beskrivs de följande åtgärderna, som är nödvändiga för att konfigurera startservern för installation via det globala nätverket.

Skapa dokumentrotkatalogen

Om konfigurations- och installationsfilerna ska gå att komma åt, måste du göra filerna tillgängliga för webbservern på startservern i det globala nätverket. Ett sätt att göra filerna tillgängliga är att lagra dem i dokumentrotkatalogen på startservern i det globala nätverket.

Om du vill göra konfigurations- och installationsfilerna tillgängliga i en dokumentrotkatalog, måste du skapa katalogen. Dokumentationen till webbservern innehåller information om hur du skapar dokumentrotkatalogen. Detaljerad information om hur du utformar dokumentrotkatalogen finns i Lagra installations- och konfigurationsfiler i dokumentrotkatalogen.

Skapa startminiroten

När en dator startas via ett globalt nätverk används en särskild Solaris-minirot som har ändrats så att den genomför en installation via det globala nätverket. Startminiroten innehåller en del av de program som ingår i Solaris-miniroten. Om du vill installera via ett globalt nätverk, måste du kopiera miniroten från dvd-skivan Solaris DVD eller cd-skivan Solaris Software 1 of 2 till startservern i det globala nätverket. Använd växeln -w till kommandot setup_install_server för att kopiera startminiroten från installationsmediet med Solaris till datorns hårddisk.

Med ett SPARC-medium skapas en SPARC-startminirot på det här sättet. Om du vill göra en SPARC-startminirot tillgänglig på en x86-server, måste du skapa miniroten på en SPARC-dator. När du har skapat miniroten, kopierar du den till dokumentrotkatalogen på x86-servern.

Ytterligare information om kommandot setup_install_server finns i Kapitel 15.

SPARC: Så här skapar du en startminirot

Den här metoden förutsätter att startservern i det globala nätverket kör volymhanteraren. Om du inte använder volymhanteraren finns mer information i Handbok för systemadministratörer: Grundläggande administration om hur du hanterar flyttbara media utan volymhanteraren.

  1. Logga in som superanvändare på startdatorn i det globala nätverket.

    Datorn måste uppfylla följande krav.

    • Den måste ha en cd- eller dvd-enhet

    • Den måste ingå i nätverket och vara känd av namntjänsten.

      Om du använder en namntjänst måste systemet redan vara känd av en namntjänst, till exempel NIS, NIS+, DNS eller LDAP. Om du inte använder en namntjänst måste du distribuera information om systemet genom att följa nätverksplatsens principer.

  2. Mata in cd-skivan Solaris Software 1 of 2 eller dvd-skivan Solaris DVD i enheten på installationsservern.

  3. Skapa en katalog för startminiroten och Solaris-installationsbildfilen.


    # mkdir -p wan-sökväg installationssökväg
    
    -p

    Detta gör att kommandot mkdir skapar alla de överordnade katalogerna till katalogen som du vill skapa.

    wan-sökväg

    Katalogen där startminiroten ska skapas på installationsservern. Katalogen måste ha plats för minirötter, som normalt är omkring 250 MB stora.

    installationssökväg

    Katalogen på installationsservern dit Solaris-installationsbildfilen ska kopieras. Katalogen kan tas bort lite längre fram.

  4. Byt till Tools-katalogen på den monterade skivan.


    # cd /cdrom/cdrom0/s0/Solaris_9/Tools
    

    I det föregående exemplet är cdrom0 sökvägen till enheten som innehåller Solaris-miljöns installationsmedium.

  5. Kopiera startminiroten och Solaris-installationsbildfilen till hårddisken på startservern i det globala nätverket.


    # ./setup_install_server -w wan-sökväg installationssökväg
    
    wan-sökväg

    Anger katalogen dit startminiroten ska kopieras

    installationssökväg

    Katalogen dit Solaris-installationsbildfilen ska kopieras


    Obs!  

    Kommandot setup_install_server anger om det finns tillräckligt mycket ledigt diskutrymme för Solaris Software-avbildningarna. Kontrollera mängden tillgängligt diskutrymme med kommandot df -kl.


    Kommandot setup_install_server -w skapar startminiroten och en nätverksinstallationsbildfil av Solaris.

  6. (Valfritt) Ta bort nätverksinstallationsbildfilen.

    Du behöver inte installationsbildfilen av Solaris för att utföra en installation med ett Solaris Flash-arkiv via ett globalt nätverk. Du kan frigöra diskutrymme om du inte tänker använda nätverksinstallationsbildfilen för andra nätverksinstallationer. Ange följande kommando för att ta bort nätverksinstallationsbildfilen.


    # rm -rf installationssökväg
    
  7. Se till att startservern i det globala nätverket får tillgång till startminiroten på något av följande sätt.

    • Skapa en symbolisk länk till startminiroten i dokumentrotkatalogen på startservern i det globala nätverket.


      # cd /dokumentrotkatalog/miniroot
      # ln -s /wan-sökväg/miniroot.
      
      dokumentrotkatalog/ miniroot

      Katalogen i dokumentrotkatalogen på startservern i det globala nätverket där du vill länka till startminiroten

      /wan-sökväg/miniroot

      Sökvägen till startminiroten

    • Flytta startminiroten till dokumentrotkatalogen på startservern i det globala nätverket.


      # mv /wan-sökväg/miniroot /dokumentrotkatalog/miniroot/minirotens-namn
      
      wan-sökväg/miniroot

      Sökvägen till startminiroten.

      dokumentrotkatalog/ miniroot/

      Sökvägen till startminiroten i dokumentrotkatalogen på startservern i det globala nätverket.

      minirotens-namn

      Startminirotens namn. Ge filen ett begripligt namn, till exempel minirot.s9_sparc.

Installera programmet wanboot på startservern i det globala nätverket

Om en dator startas från ett globalt nätverk används ett särskilt sekundärt startprogram (wanboot) för att installera klienten. Programmet wanboot läser in startminiroten, klientkonfigurationsfilerna och installationsfilerna som krävs för att genomföra en installation via ett globalt nätverk.

Om du vill genomföra en installation via ett globalt nätverk måste du se till att klienten kommer åt programmet wanboot under installationen. Det kan du göra på följande sätt.

SPARC: Så här installerar du programmet wanboot på startservern i det globala nätverket

Den här metoden förutsätter att startservern i det globala nätverket kör volymhanteraren. Om du inte använder volymhanteraren finns mer information i Handbok för systemadministratörer: Grundläggande administration om hur du hanterar flyttbara media utan volymhanteraren.

  1. Logga in som superanvändare på installationsservern.

  2. Mata in cd-skivan Solaris Software 1 of 2 eller dvd-skivan Solaris DVD i enheten på installationsservern.

  3. Gå till katalogen för plattformen sun4u på cd-skivan Solaris Software 1 of 2 eller dvd-skivan Solaris DVD.


    # cd /cdrom/cdrom0/s0/Solaris_9/Tools/Boot/platform/sun4u/
    
  4. Kopiera programmet wanboot till installationsservern.


    # cp wanboot /dokumentrotkatalog/wanboot/namn-på-wanboot
    
    dokumentrotkatalog

    Dokumentrotkatalogen på startservern i det globala nätverket.

    namn-på-wanboot

    Namnet på programmet wanboot. Ge filen ett begripligt namn, till exempel wanboot.s9_sparc.

  5. Se till att programmet wanboot är tillgängligt för startservern i det globala nätverket på ett av följande sätt.

    • Skapa en symbolisk länk till programmet wanboot i dokumentrotkatalogen på startservern i det globala nätverket.


      # cd /dokumentrotkatalog/wanboot
      # ln -s /wan-sökväg/wanboot.
      
      dokumentrotkatalog/ wanboot

      Katalogen i dokumentrotkatalogen på startservern i det globala nätverket där du vill länka till programmet wanboot

      /wan-sökväg/wanboot

      Sökvägen till programmet wanboot

    • Flytta startminiroten till dokumentrotkatalogen på startservern i det globala nätverket.


      # mv /wan-sökväg/wanboot /dokumentrotkatalog/wanboot/namn-på-wanboot
      
      wan-sökväg/wanboot

      Sökvägen till programmet wanboot

      dokumentrotkatalog/ wanboot/

      Sökvägen till katalogen där programmet wanboot lagras i dokumentrotkatalogen på startservern i det globala nätverket.

      namn-på-wanboot

      Namnet på programmet wanboot. Ge filen ett begripligt namn, till exempel wanboot.s9_sparc.

Skapa katalogträdet /etc/netboot på startservern i det globala nätverket

Under installationen letar installationsprogrammet igenom katalogträdet /etc/netboot på webbservern på jakt efter instruktioner om hur installationen ska utföras. Katalogen innehåller konfigurationsdata, en privat nyckel, ett digitalt certifikat och en certifikatutfärdare, något som krävs för installationer via globala nätverk. Under installationen flyttar programmet wanboot-cgi denna information till startfilsystemet. Därefter skickar programmet wanboot-cgi startfilsystemet till klienten.

Du kan skapa underkataloger i katalogen /etc/netboot om du vill anpassa WAN-startinstallationens omfång. Använd följande katalogstruktur för att definiera hur konfigurationsinformation delas mellan de klienter som du vill installera.

Mer detaljerad information om hur du utformar katalogträdet /etc/netboot finns i Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin.

Så här skapar du katalogträdet /etc/netboot
  1. Bli superanvändare på startservern i det globala nätverket.

  2. Skapa katalogen /etc/netboot.


    # mkdir /etc/netboot
    
  3. Ändra behörigheterna till katalogen /etc/netboot till 700.


    # chmod 700 /etc/netboot
    
  4. Gör webbserverns ägare till ägare av katalogen /etc/netboot.


    # chown webbserveranvändare:webbservergrupp /etc/netboot/
    
    webbserveranvändare

    Ägaren till webbserverprocessen

    webbservergrupp

    Gruppägaren till webbserverprocessen

  5. Logga ut superanvändaren.


    # exit
    
  6. Anta webbserverägarens roll.

  7. Skapa klientunderkatalogen till katalogen /etc/netboot.


    # mkdir -p /etc/netboot/IP-adress/klient-ID
    
    -p

    Detta gör att kommandot mkdir skapar alla de överordnade katalogerna till katalogen som du vill skapa.

    (Valfritt) IP-adress

    IP-adressen till klientens delnät.

    (Valfritt) klient-ID

    Klientens ID. Klientens ID kan vara ett värde som användaren anger eller ID-numret som erhålls från DHCP-servern. Katalogen klient-ID måste vara en underkatalog till katalogen IP-adress.

  8. Ändra behörigheter för alla kataloger i katalogträdet /etc/netboot till 700.


    # chmod 700 /etc/netboot/katalognamn
    
    katalognamn

    Namnet på en katalog i katalogträdet /etc/netboot


Exempel 43–1 Skapa katalogträdet /etc/netboot på startservern i det globala nätverket

Exemplet här nedan visar hur det går till att skapa katalogträdet i /etc/netboot för klienten 010003BA152A42 i delnätet 192.168.255.0. I det här exemplet äger användaren nobody och gruppen admin webbserverprocessen.

Följande åtgärder utförs med kommandona i det här exemplet.


# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.255.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.255.0
nobody# chmod 700 /etc/netboot/192.168.255.0/010003BA152A42

Kopiera CGI-startprogrammet till startservern i det globala nätverket

Programmet wanboot-cgi skapar dataströmmarna som överför följande filer från startservern i det globala nätverket till klienten.

Programmet wanboot-cgi installeras på datorn då du installerar operativmiljön Solaris 9 12/03 . Om du vill att startservern i det globala nätverket ska kunna använda det, kopierar du programmet till cgi-bin-katalogen på startservern.

Så här kopierar du programmet wanboot-cgi till startservern i det globala nätverket
  1. Bli superanvändare på startservern i det globala nätverket.

  2. Kopiera programmet wanboot-cgi till startservern i det globala nätverket


    # cp /usr/lib/inet/wanboot/wanboot-cgi /serverrot/cgi-bin/wanboot-cgi
    
    /serverrot

    Rotkatalogen för webbservern på startservern i det globala nätverket

  3. Ändra CGI-programmets behörigheter till 755 på startservern i det globala nätverket.


    # chmod 755 /serverrot/cgi-bin/wanboot-cgi
    

(Valfritt) Konfigurera startloggningsservern

Om du vill spara start- och installationsloggmeddelanden på en annan dator än klienten, måste du konfigurera en loggningsserver. Om du vill använda en loggningsserver och det säkra HTTP-protokollet under installationen, måste du konfigurera startservern i det globala nätverket som loggningsserver.

Gör så här för att konfigurera loggningsservern.

Så här konfigurerar du loggningsservern
  1. Kopiera skriptet bootlog-cgi till CGI-skriptkatalogen på loggningsservern.


    # cp /usr/lib/inet/wanboot/bootlog-cgi \
      loggningsserverns-rot/cgi-bin
    
    loggningsserverns-rot/cgi-bin

    Katalogen cgi-bin i loggningsserverns webbserverkatalog

  2. Ändra behörigheterna till skriptet bootlog-cgi till 755.


    # chmod 755 loggningsserverns-rot/cgi-bin/bootlog-cgi
    
  3. Ange värdet på parametern boot_logger i filen wanboot.conf.

    Ange adressen till skriptet bootlog-cgi på loggningsservern i filen wanboot.conf.

    Mer information om hur du anger parametrar i filen wanboot.conf finns i Skapa filen wanboot.conf.

    Under installationen lagras start- och installationsloggmeddelanden i katalogen /tmp på loggningsservern. Loggfilen heter bootlog.värdnamn, där värdnamn är klientens värdnamn.


Exempel 43–2 Konfigurera en loggningsserver för installation via ett globalt nätverk med det säkra HTTP-protokollet

I exemplet här nedan konfigureras startservern i det globala nätverket som loggningsserver.


# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

(Valfritt) Skydda data genom att använda HTTPS

Om du vill skydda data under överföringen från startservern till klienten kan du använda HTTPS (HTTP over Secure Sockets Layer). Om du vill använda en säkrare installationskonfiguration än den som beskrivs i Säker installationskonfiguration för WAN-start måste du aktivera HTTPS på webbservern.

Om du vill se till att webbservern på startservern i det globala nätverket använder HTTPS måste du utföra följande åtgärder.

Använda digitala certifikat vid autentisering av klienter och servrar

Du kan använda PKCS#12-filer för installationen över globala nätverk om du vill utföra en installation över HTTPS med serverautentisering eller både klient- och serverautentisering. Krav och riktlinjer för hur du använder PKCS#12-filer finns i Krav för digitala certifikat.

Om du vill använda en PKCS#12-fil under en installation via ett globalt nätverk måste du utföra följande åtgärder.

Kommandot wanbootutil har växlar som gör att du kan utföra åtgärderna i listan här ovan.

Innan du delar upp en PKCS#12-fil måste du skapa lämpliga underkataloger i katalogträdet /etc/netboot på startservern i det globala nätverket.

Skapa ett betrott certifikat och en privat klientnyckel
  1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

  2. Extrahera det betrodda certifikatet från PKCS#12-filen. Infoga certifikatet i filen truststore som hör till klienten i katalogträdet /etc/netboot.


    # wanbootutil p12split -i p12certifikat \
      -t /etc/netboot/IP-adress/klient-ID/truststore
    
    p12split

    Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

    -i p12certifikat

    Namnet på PKCS#12-filen som ska delas upp.

    -t /etc/netboot/IP-adress/klient-ID/truststore

    Infogar certifikatet i filen truststore som hör till klienten. IP-adress är IP-adressen till klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

  3. (Valfritt) Besluta dig för om du vill att klienter ska autentiseras.

    1. Infoga klientcertifikatet i filen certstore som hör till klienten.


      # wanbootutil p12split -i p12certifikat -c \
        /etc/netboot/IP-adress/klient-ID/certstore -k nyckelfil
      
      p12split

      Alternativ till kommandot wanbootutil som delar upp en PKCS#12-fil i en separat privat nyckel och separata certifikatfiler.

      -i p12certifikat

      Namnet på PKCS#12-filen som ska delas upp.

      -c /etc/netboot/IP-adress/klient-ID/certstore

      Infogar klientens certifikat i filen certstore som hör till klienten. IP-adress är IP-adressen till klientens delnät. klient-ID kan vara ett användardefinierat ID eller ID för DHCP-klienten.

      -k nyckelfil

      Namnet på klientens privata SSL-nyckelfil som ska skapas av den uppdelade PKCS#12-filen.

    2. Infoga den privata nyckeln i filen keystore som hör till klienten.


      # wanbootutil keymgmt -i -k nyckelfil \
         -s /etc/netboot/IP-adress/klient-ID/keystore -o type=rsa
      
      keymgmt -i

      Infogar en privat SSL-nyckel i filen keystore som hör till klienten

      -k nyckelfil

      Namnet på klientens privata nyckelfil som skapades i föregående steg

      -s /etc/netboot/IP-adress/klient-ID/keystore

      Sökvägen till filen keystore som hör till klienten

      -o type=rsa

      Anger att nyckeltypen är RSA


Exempel 43–3 Skapa ett betrott certifikat för autentisering av servern

I exemplet här nedan används en PKCS#12-fil för att genomföra installationen på klienten 010003BA152A42 på delnätet 192.168.255.0. I kommandoexemplet extraheras ett certfikat från en PKCS#12-fil som heter klient.p12. Därefter lagras innehållet i det betrodda certifikatet i filen truststore som hör till klienten.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
   -t /etc/netboot/192.168.255.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.255.0/010003BA152A42/truststore

Skapa en hashningsnyckel och en krypteringsnyckel

Om du vill överföra data via HTTPS måste du skapa en hashningsnyckel av typen HMAC SHA1 och en krypteringsnyckel. Om du tänker installera via ett halvprivat nätverk, behöver du kanske inte kryptera alla installationsdata. Du kan använda en hashningsnyckel av typen HMAC SHA1 för att kontrollera att programmet wanboot inte har ändrats. Översiktlig information om hashningsnycklar och krypteringsnycklar finns i Skydda data under en WAN-start-installation.

Du kan generera nycklarna och lagra dem i lämplig /etc/netboot-katalog genom att använda kommandot wanbootutil keygen.

Så här skapar du en hashningsnyckel och en krypteringsnyckel
  1. Logga in som samma användarroll som webbserveranvändaren på WAN-startservern.

  2. Skapa HMAC SHA1-huvudnyckeln.


    # wanbootutil keygen -m
    
    keygen -m

    HMAC SHA1-huvudnyckeln för startservern i det globala nätverket skapas

  3. Skapa klientens HMAC SHA1-hashningsnyckel med hjälp av huvudnyckeln.


    # wanbootutil keygen -c -o [net=IP-adress,{cid=klient-ID,}]type=sha1
    
    -c

    Skapar klientens hashningsnyckel med hjälp av huvudnyckeln.

    -o

    Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

    (Valfritt) net=IP-adress

    IP-adressen till klientens delnät. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

    (Valfritt) cid=klient-ID

    Klientens ID. Klient-ID kan vara ett användardefinierat ID eller klientens DHCP-ID-nummer. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

    type=sha1

    Gör att verktyget wanbootutil keygen skapar en hashningsnyckel av typen HMAC SHA1 åt klienten.

  4. Besluta dig för om du behöver skapa en krypteringsnyckel åt klienten.

    Du måste skapa en krypteringsnyckel om du vill utföra fjärrinstallationen via HTTPS. Innan klienten upprättar en HTTPS-anslutning till startservern i det globala nätverk, skickar startservern krypterade data och information till klienten. Krypteringsnyckeln gör att klienten kan dekryptera informationen och använda den under installationen.

    • Om du har tänkt att genomföra en säkrare installation med hjälp av HTTPS och serverautentisering läser du vidare.

    • Om du bara vill kontrollera att programmet wanboot är intakt behöver du inte skapa en krypteringsnyckel. Gå då vidare till Steg 6.

  5. Skapa en krypteringsnyckel för klienten.


    # wanbootutil keygen -c -o [net=IP-adress,{cid=client-ID,}]type=key-type
    
    -c

    Skapar klientens krypteringsnyckel.

    -o

    Visar de ytterligare alternativen som tas med i kommandot wanbootutil keygen.

    (Valfritt) net=IP-adress

    IP-adressen för delnätet där klienten befinner sig. Om du inte använder alternativet net lagras nyckeln i filen /etc/netboot/keystore och kan användas av samtliga klienter som startas via det globala nätverket.

    (Valfritt) cid=klient-ID

    Klientens ID. Klient-ID kan vara ett användardefinierat ID eller klientens DHCP-ID-nummer. Alternativet cid måste föregås av ett giltigt värde på net=. Om du inte anger alternativet cid tillsammans med alternativet net lagras nyckeln i filen /etc/netboot/IP-adress/keystore. Den här nyckeln kan användas av alla klienter som startas via det globala nätverket och som befinner sig i delnätet IP-adress.

    type=nyckeltyp

    Gör att verktyget wanbootutil keygen skapar en krypteringsnyckel åt klienten. nyckeltyp kan ha värdena 3des eller aes.

  6. Installera nycklarna på datorn.

    Anvisningar om hur du installerar nycklar på klientdatorn finns i Installera nycklar på klienten.


Exempel 43–4 Skapa de nycklar som krävs för installation via HTTPS i ett globalt nätverk

I exemplet här nedan skapas en HMAC SHA1-huvudnyckel för startservern i det globala nätverket. I exemplet skapas dessutom en hashningsnyckel av typen HMAC SHA1 och en krypteringsnyckel av typen 3DES för klienten 010003BA152A42 i delnätet 192.168.255.0.

Innan du kör de här kommandona måste du först anta samma användarroll som webbserveranvändaren. I det här exemplet används webbserveranvändarrollen nobody.


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.255.0,cid=010003BA152A42,type=3des