Führen Sie folgende Schritte durch, um den Client für die Installation vorzubereiten:
Für eine WAN-Boot-Installation ohne Benutzereingriff muss das Client-OpenBoot PROM (OBP) Unterstützung für WAN-Boot bieten. Ob dies der Fall ist, stellen Sie mit dem nachfolgenden Verfahren fest.
Nehmen Sie Superuser-Status oder eine entsprechende administrative Rolle an.
Administrative Rollen umfassen Berechtigungen und reservierte Befehle. Weitere Informationen zu Rollen entnehmen Sie bitte dem Kapitel “Configuring RBAC (Task Map)” in System Administration Guide: Security Services.
Überprüfen Sie die OBP-Konfigurationsvariablen auf WAN-Boot-Unterstützung.
# eeprom | grep network-boot-arguments |
Wenn die Variable network-boot-arguments angezeigt wird oder der obige Befehl die Ausgabe network-boot-arguments: data not available liefert, bietet das OBP Unterstützung für WAN-Boot-Installationen. Sie müssen das OBP vor der WAN-Boot-Installation also nicht aktualisieren.
Liefert der vorige Befehl keine Ausgabe, bedeutet dies, dass das OBP WAN-Boot-Installationen nicht unterstützt. In diesem Fall müssen Sie eine der nachfolgenden Maßnahmen ergreifen.
Aktualisieren Sie das Client-OBP. Informationen über die Aktualisierung des OBP entnehmen Sie bitte der Dokumentation Ihres Systems.
Führen Sie die WAN-Boot-Installation mit der Solaris 9 Software-CD in einem lokalen CD-ROM-Laufwerk aus. Wie Sie den Client von einem lokalen CD-ROM-Laufwerk booten, erfahren Sie in Installation mit lokaler CD .
Mit dem folgenden Befehl stellen Sie fest, ob das Client-OBP Unterstützung für WAN-Boot bietet.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
Die Ausgabe network-boot-arguments: data not available in diesem Beispiel weist darauf hin, dass das Client-OBP Unterstützung für WAN-Boot-Installationen bietet.
Zum Booten des Clients aus dem WAN mit dem Befehl boot net muss der Gerätealias net auf das primäre Netzwerkgerät des Clients gesetzt werden. Dieser Aliasname ist auf den meisten Systemen bereits richtig eingestellt. Ist der Alias jedoch nicht auf das Netzwerkgerät gesetzt, das verwendet werden soll, müssen Sie ihn ändern.
Führen Sie die nachfolgenden Schritte durch, um den Gerätealias net auf dem Client zu überprüfen:
Melden Sie sich beim Client als Superuser an.
Bringen Sie das System auf Run-Level 0.
# init 0 |
Die Eingabeaufforderung ok wird angezeigt.
An der Eingabeaufforderung ok prüfen Sie die im OBP gesetzten Gerätealiasnamen.
ok devalias |
Der Befehl devalias liefert Informationen wie in diesem Beispiel:
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Wenn der Alias net auf das für die Installation zu verwendende Netzwerkgerät gesetzt ist, brauchen Sie ihn nicht ändern. Setzen Sie die Installation mit Installation von Schlüsseln auf dem Client fort.
Ist net jedoch nicht auf das Netzwerkgerät gesetzt, das verwendet werden soll, müssen Sie den Alias ändern. Fahren Sie fort.
Ändern Sie den Gerätealias net.
Ändern Sie den Gerätealias net mit einem der folgenden Befehle:
Um net nur für die aktuelle Installation zu setzen, verwenden Sie den Befehl devalias.
ok devalias net Gerätepfad |
Weist dem Alias net das Gerät Gerätepfad zu.
Um net dauerhaft zu setzen, greifen Sie auf den Befehl nvalias zurück.
ok nvalias net Gerätepfad |
Weist dem Alias net das Gerät Gerätepfad zu.
Mit den folgenden Befehlen wird der Gerätealias net überprüft und geändert.
Überprüfen Sie die Alias-Einstellungen.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Wenn die Netzwerkschnittstelle /pci@1f,0/pci@1,1/network@5,1 verwendet werden soll, geben Sie folgenden Befehl ein:
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
Weitere Informationen zum Ändern der Alias-Einstellungen finden Sie unter "The Device Tree” in OpenBoot 3.x Command Reference Manual.
Für eine sicherere WAN-Boot-Installation oder eine unsichere Installation mit Überprüfung der Datenintegrität müssen Schlüssel auf dem Client installiert werden. Die an den Client übertragenen Daten können mit einem Hashing-Schlüssel und einer Verschlüsselung (Chiffrierschlüssel) geschützt werden. Sie können diese Schlüssel mit den folgenden Methoden installieren:
Setzen von OBP-Variablen – Sie können den Variablen der OBP-Netzwerk-Boot-Argumente vor dem Booten des Clients Schlüsselwerte zuweisen. Diese Schlüssel stehen dem Client dann für zukünftige WAN-Boot-Installationen weiter zur Verfügung.
Eingeben der Schlüsselwerte beim Booten – Sie können an der Eingabeaufforderung boot> des Programms wanboot Schlüsselwerte festlegen. Auf diese Art installierte Schlüssel stehen nur für die aktuelle WAN-Boot-Installation zur Verfügung.
Schlüssel können auch im OBP eines laufenden Clients installiert werden. Wenn Sie auf einem laufenden Client Schlüssel installieren möchten, muss auf dem System das Betriebssystem Solaris 9 12/03 oder eine kompatible Version ausgeführt werden.
Wenn Sie Schlüssel auf dem Client installieren, vergewissern Sie sich, dass die Schlüsselwerte nicht über eine unsichere Verbindung gesendet werden. Wenden Sie zur Geheimhaltung der Schlüsselwerte die an Ihrem Standort geltenden Sicherheitsrichtlinien an.
Wie Sie den Variablen von OBP-Netzwerk-Boot-Argumenten Schlüsselwerte zuweisen, erfahren Sie in So installieren Sie Schlüssel im Client-OBP .
Anweisungen zur Installation von Schlüsseln während des Bootens finden Sie in So nehmen Sie eine interaktive Installation vor .
Anweisungen zur Installation von Schlüsseln im OBP eines laufenden Clients finden Sie in So installieren Sie einen Hashing- und einen Chiffrierschlüssel auf einem laufenden Client .
Gehen Sie wie folgt vor, wenn Sie Variablen für OBP-Netzwerk-Boot-Argumente Schlüsselwerte zuweisen möchten:
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Zeigen Sie für jeden Client den Schlüsselwert an.
# wanbootutil keygen -d -c -o net=Netz-IP,cid=Client-ID,type=Schlüsseltyp |
IP-Adresse des Teilnetzes, in dem sich der Client befindet.
ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Es wird der Hexadezimalwert des Schlüssels angezeigt.
Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.
Bringen Sie das Client-System auf Run-Level 0.
# init 0 |
Die Eingabeaufforderung ok wird angezeigt.
An der Eingabeaufforderung ok des Clients setzen Sie den Wert für den Hashing-Schlüssel.
ok set-security-key wanboot-hmac-sha1 Schlüsselwert |
Installiert den Schlüssel auf dem Client.
Weist das OBP an, einen HMAC SHA1-Hashing-Schlüssel zu installieren.
Steht für den in Schritt 2 angezeigten Hexadezimalwert.
Der HMAC SHA1-Hashing-Schlüssel wird im Client-OBP installiert.
Installieren Sie an der Eingabeaufforderung ok des Clients den Chiffrierschlüssel (die Verschlüsselung).
ok set-security-key wanboot-3des Schlüsselwert |
Installiert den Schlüssel auf dem Client.
Weist das OBP an, eine 3DES-Verschlüsselung zu installieren. Wenn Sie stattdessen eine AES-Verschlüsselung verwenden möchten, setzen Sie diesen Wert auf wanboot-aes.
Gibt den Hexadezimalwert an, der den Chiffrierschlüssel darstellt.
Die 3DES-Verschlüsselung wird im Client-OBP installiert.
Mit der Installation der Schlüssel sind die Vorbereitungen für die Einrichtung des Clients abgeschlossen. Anweisungen zur Einrichtung des Client-Systems finden Sie in Installation des Clients .
(Optional) Vergewissern Sie sich, dass die Schlüssel im Client-OBP gesetzt sind.
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des |
(Optional) Falls Sie einen Schlüssel löschen müssen, verwenden Sie dazu den folgenden Befehl:
ok set-security-key key-type |
Steht für den Typ des zu löschenden Schlüssels. Verwenden Sie einen der Werte wanboot-hmac-sha1, wanboot-3des oder wanboot-aes.
Das folgende Beispiel zeigt, wie ein Hashing- und ein Chiffrierschlüssel im Client-OBP installiert werden.
Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Dieses Beispiel enthält folgende Informationen:
Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Die Client-ID.
Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.
Den Wert der 3DES-Verschlüsselung des Clients.
Kommt in Ihrer Installation eine AES-Verschlüsselung zum Einsatz, dann ändern Sie wanboot-3des in wanboot-aes ab, um den Schlüsselwert anzuzeigen.
Installieren Sie die Schlüssel auf dem Client-System.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Diese Befehle führen folgende Aktionen durch:
Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf dem Client
Installation des 3DES-Chiffrierschlüssels mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client
Wenn in der Installation eine AES-Verschlüsselung verwendet wird, ändern Sie wanboot-3des in wanboot-aes ab.
Wenn Sie sowohl einen Hashing- als auch einen Chiffrierschlüssel im OBP eines laufenden Clients installieren möchten, gehen Sie nach dem folgenden Verfahren vor.
Dabei wird Folgendes vorausgesetzt:
Das Client-System ist eingeschaltet.
Der Client ist über eine sichere Verbindung wie z. B. eine Secure Shell (ssh) zugänglich.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Zeigen Sie den Schlüsselwert für die Client-Schlüssel an.
# wanbootutil keygen -d -c -o net=Netz-IP,cid=Client-ID,type=Schlüsseltyp |
IP-Adresse des Teilnetzes, in dem sich der Client befindet.
ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Es wird der Hexadezimalwert des Schlüssels angezeigt.
Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.
Melden Sie sich auf dem Client-System als Superuser an.
Installieren Sie die erforderlichen Schlüssel auf dem laufenden Client-System.
# /usr/lib/inet/wanboot/ickey -o type=Schlüsseltyp > Schlüsselwert |
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Steht für den in Schritt 2 angezeigten Hexadezimalwert.
Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.
Mit der Installation der Schlüssel sind die Vorbereitungen für die Einrichtung des Clients abgeschlossen. Anweisungen zur Einrichtung des Client-Systems finden Sie in Installation des Clients .
Das folgende Beispiel zeigt, wie Schlüssel im OBP eines laufenden Clients installiert werden.
Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Dieses Beispiel enthält folgende Informationen:
Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Die Client-ID.
Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.
Den Wert der 3DES-Verschlüsselung des Clients.
Kommt in Ihrer Installation eine AES-Verschlüsselung zum Einsatz, dann ändern Sie type=3des bitte in type=aes ab, um den Schlüsselwert anzuzeigen.
Installieren Sie die Schlüssel im OBP des laufenden Clients.
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
Diese Befehle führen folgende Aktionen durch:
Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf dem Client wanclient-1
Installation der 3DES-Verschlüsselung mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client wanclient-1