在安裝用戶端系統之前,請執行以下工作來準備用戶端。
若要執行無干預的 WAN Boot 安裝,用戶端 OpenBoot PROM (OBP) 必須支援 WAN Boot。以下程序描述了如何確定用戶端 OBP 是否支援 WAN Boot。
成為超級使用者,或者假定一個對等身份。
身份包含授權指令與特權指令。如需有關身份的更多資訊,請參閱「System Administration Guide: Security Services」中的「Configuring RBAC (Task Map)」。
檢查 OBP 配置變數是否支援 WAN Boot。
# eeprom | grep network-boot-arguments |
如果顯示變數 network-boot-arguments,或者前一個指令傳回輸出 network-boot-arguments: data not available,則 OBP 支援 WAN Boot 安裝。在執行 WAN Boot 安裝之前,無需更新 OBP。
如果前一個指令未傳回任何輸出,則 OBP 不支援 WAN Boot 安裝。您必須執行以下工作之一。
更新用戶端 OBP。 請參閱您的系統說明文件,以取得有關如何更新 OBP 的資訊。
從本機 CD-ROM 光碟機中的 Solaris 9 Software CD 執行 WAN Boot 安裝。如需有關如何從本機 CD-ROM 光碟機啟動用戶端的說明,請參閱使用本機 CD 媒體進行安裝。
以下指令顯示了如何檢查用戶端 OBP 是否支援 WAN Boot。
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
在此範例中,輸出 network-boot-arguments: data not available 指示用戶端 OBP 支援 WAN Boot。
若要使用 boot net 從 WAN 啟動用戶端,必須將 net 裝置別名設定為該用戶端的主要網路裝置。在大多數系統上,已經正確設定了此別名。但是,如果未將別名設定為要使用的網路裝置,則必須變更別名。
執行下列步驟以檢查用戶端上的 net 裝置別名。
成為用戶端上的超級使用者。
使系統執行 0 階層。
# init 0 |
螢幕上會顯示 ok 提示。
在 ok 提示下,檢查 OBP 中設定的裝置別名。
ok devalias |
devalias 指令輸出的資訊類似於以下範例。
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
如果已經將 net 別名設定為要在安裝期間使用的網路裝置,則無需重設該別名。移至在用戶端上安裝密鑰繼續執行安裝。
如果未將 net 別名設定為要使用的網路裝置,則必須重設別名再繼續。
設定 net 裝置別名。
選擇下列指令之一來設定 net 裝置別名。
以下指令顯示了如何檢查與重設 net 裝置別名。
檢查裝置別名。
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
如果要使用 /pci@1f,0/pci@1,1/network@5,1 網路裝置,請輸入以下指令。
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
如需有關設定裝置別名的更多資訊,請參閱「OpenBoot 3.x Command Reference Manual」中的「The Device Tree」。
若要進行需要檢查資料完整性的較安全 WAN Boot 安裝或不安全安裝,則必須在用戶端上安裝密鑰。透過使用雜湊密鑰與加密密鑰,可以保護傳輸至用戶端的資料。可以使用下列方法安裝這些密鑰。
設定 OBP 變數 – 可以在啟動用戶端之前指定 OBP 網路啟動引數變數的密鑰值。這些值即可用於以後的用戶端 WAN Boot 安裝。
在啟動過程中輸入密鑰值 – 可以在 wanboot 程式的 boot> 提示下設定密鑰值。如果使用此方法安裝密鑰,則這些密鑰只用於目前的 WAN Boot 安裝。
也可以在執行中用戶端的 OBP 內安裝密鑰。如果要在執行中的用戶端上安裝密鑰,則系統必須執行 Solaris 9 12/03 作業環境或相容版本。
您在用戶端上安裝密鑰時,請確保密鑰值不會透過不安全連接進行傳輸。請遵循網站的安全性策略以確保密鑰值的私密性。
如需有關如何指定 OBP 網路啟動引數變數密鑰值的說明,請參閱在用戶端 OBP 內安裝密鑰。
如需有關如何在啟動過程中安裝密鑰的說明,請參閱執行互動式安裝。
如需有關如何在執行中用戶端的 OBP 內安裝密鑰的說明,請參閱在執行中的用戶端上安裝雜湊密鑰與加密密鑰。
如果要指定 OBP 網路啟動引數變數的密鑰值,請遵循以下步驟執行。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
顯示每個用戶端密鑰的密鑰值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
用戶端的子網路 IP 位址。
要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
要在用戶端上安裝的密鑰類型。有效的密鑰類型包括 3des、aes 或 sha1。
螢幕上會顯示十六進制的密鑰值。
對於每種要安裝的用戶端密鑰類型,重複執行上面的步驟。
使用戶端系統執行 0 階層。
# init 0 |
螢幕上會顯示 ok 提示。
在用戶端 ok 提示下,設定雜湊密鑰的值。
ok set-security-key wanboot-hmac-sha1 key-value |
在用戶端上安裝密鑰
指示 OBP 安裝 HMAC SHA1 雜湊密鑰
指定顯示於步驟 2 中的十六進制字串。
HMAC SHA1 雜湊密鑰安裝在用戶端 OBP 中。
在用戶端 ok 提示下,安裝加密密鑰。
ok set-security-key wanboot-3des key-value |
在用戶端上安裝密鑰
指示 OBP 安裝 3DES 加密密鑰。如果要使用 AES 加密密鑰,請將該值設定為 wanboot-aes。
指定表示加密密鑰的十六進制字串。
3DES 加密密鑰安裝在用戶端 OBP 中。
安裝完密鑰之後,便可以準備安裝用戶端。請參閱安裝用戶端,以取得有關如何安裝用戶端系統的說明。
(選擇性的) 確認在用戶端 OBP 中設定了密鑰。
ok list-security-keys 安全密鑰: wanboot-hmac-sha1 wanboot-3des |
(選擇性的) 如果需要刪除密鑰,請輸入以下指令。
ok set-security-key key-type |
指定需要刪除的密鑰類型。使用值 wanboot-hmac-sha1、wanboot-3des 或 wanboot-aes。
以下範例顯示了如何在用戶端 OBP 內安裝雜湊密鑰與加密密鑰。
顯示 WAN Boot 伺服器上的密鑰值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上範例使用了以下資訊。
指定用戶端子網路的 IP 位址
指定用戶端 ID
指定用戶端的 HMAC SHA1 雜湊密鑰值
指定用戶端的 3DES 加密密鑰值
如果要在安裝中使用 AES 加密密鑰,請將 wanboot-3des 變更為 wanboot-aes 以顯示加密密鑰值。
在用戶端系統上安裝密鑰。
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上指令執行下列工作。
在用戶端上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊密鑰
在用戶端上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密鑰
如果要在安裝中使用 AES 加密密鑰,請將 wanboot-3des 變更為 wanboot-aes。
如果要在執行中用戶端的 OBP 內安裝雜湊密鑰與加密密鑰,請遵循以下步驟執行。
此程序做出下列假定。
用戶端系統處於開機狀態。
可以藉由安全連接存取用戶端,例如安全 shell (ssh)。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
顯示用戶端密鑰的密鑰值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
用戶端的子網路 IP 位址。
要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
要在用戶端上安裝的密鑰類型。有效的密鑰類型包括 3des、aes 或 sha1。
螢幕上會顯示十六進制的密鑰值。
對於每種要安裝的用戶端密鑰類型,重複執行上面的步驟。
成為用戶端機器上的超級使用者。
在執行中的用戶端機器上安裝必要的密鑰。
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value |
指定要在用戶端上安裝的密鑰類型。有效的密鑰類型包括 3des、aes 或 sha1。
執行顯示於步驟 2 中的十六進制字串。
對於每種要安裝的用戶端密鑰類型,重複執行上面的步驟。
安裝完密鑰之後,便可以準備安裝用戶端。請參閱安裝用戶端,以取得有關如何安裝用戶端系統的說明。
以下範例顯示了如何在執行中用戶端的 OBP 內安裝密鑰。
顯示 WAN Boot 伺服器上的密鑰值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上範例使用了以下資訊。
指定用戶端子網路的 IP 位址
指定用戶端 ID
指定用戶端的 HMAC SHA1 雜湊密鑰值
指定用戶端的 3DES 加密密鑰值
如果您在安裝中使用 AES 加密密鑰,請將 type=3des 變更為 type=aes,以顯示該加密密鑰值。
在執行中用戶端的 OBP 內安裝密鑰。
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上指令執行下列工作。
在用戶端上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊密鑰
在用戶端上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密鑰