Capítulo 42 Preparación para una instalación mediante un arranque WAN (planificación)

En este capítulo se describe la forma de preparar la red para una instalación mediante un arranque WAN. En él se tratan los siguientes temas.

• Requisitos y directrices del arranque WAN

• Limitaciones de seguridad del arranque WAN

• Recopilación de información para instalaciones mediante arranque WAN

Requisitos y directrices del arranque WAN

En esta sección se describen los requisitos de sistema para efectuar una instalación mediante el arranque WAN.

Tabla 42–1 Requisitos de sistema para una instalación mediante arranque WAN

Sistema y descripción	Requisitos
Servidor de arranque WAN: es un servidor web que proporciona el programa wanboot, los archivos de configuración y seguridad y la minirraíz de arranque WAN.	Sistema operativo: entorno operativo Solaris 9 12/03 o versión compatible Se debe configurar como servidor web El software de servidor web debe admitir HTTP 1.1 Si desea utilizar certificados digitales, el software de servidor web debe admitir HTTPS
Servidor de instalación: proporciona el contenedor Solaris Flash y los archivos JumpStart personalizados necesarios para instalar el cliente.	Espacio en disco disponible: espacio para cada contenedor de Solaris Flash Unidad de lectura de soporte: unidad de CD-ROM o DVD-ROM Sistema operativo: entorno operativo Solaris 9 12/03 o versión compatible Si el servidor de instalación es un sistema distinto del servidor de arranque WAN, deberá cumplir los siguientes requisitos adicionales.   Se debe configurar como servidor web El software de servidor web debe admitir HTTP 1.1 Si desea utilizar certificados digitales, el software de servidor web debe admitir HTTPS
Sistema cliente: el sistema remoto que desea instalar a través de una WAN	Memoria: 256 Mbytes de RAM CPU: procesador UltraSPARC II como mínimo Disco duro: al menos 2 Gbytes de espacio en el disco duro OBP : PROM habilitada para arranque WAN Si el cliente no dispone de la PROM apropiada, deberá disponer de una unidad de CD-ROM. Para determinar si el cliente tiene una PROM habilitada para arranque WAN, consulte Para comprobar que la OBP cliente admite el arranque WAN.
(Opcional) Servidor DHCP: se puede utilizar un servidor DHCP para proporcionar información de configuración del cliente.	Si utiliza un servidor DHCP SunOS, deberá efectuar una de las tareas siguientes.  Modernice el servidor a EDHCP. Cambie el nombre de las opciones de proveedor de Sun para satisfacer el límite de ocho caracteres. Para obtener más información acerca de las opciones de proveedor Sun específicas para instalación WAN, consulte (Opcional) Suministro de información de configuración mediante un servidor DHCP. Si el servidor DHCP se encuentra en una subred distinta que la del cliente, deberá configurar un agente relé BOOTP. Para obtener más información sobre cómo configurar un agente relé BOOTP, consulte “Configuring DHCP Service (Task)” in System Administration Guide: IP Services.
(Opcional) Servidor de registro: de forma predeterminada, todos los mensajes de registro de arranque e instalación se muestran en la consola del cliente durante una instalación WAN. Si desea ver estos mensajes en otro sistema, puede especificar un sistema para que actúe como servidor de registro.	Se debe configurar como servidor web  Nota – Si utiliza HTTPS durante la instalación, el servidor de registro debe ser el mismo sistema que el servidor de arranque WAN.
(Opcional) Servidor proxy: se puede configurar la función de arranque WAN para que utilice un proxy HTTP durante la descarga de los datos y archivos de instalación.	Si la instalación utiliza HTTPS, el servidor proxy se debe configurar para que traspase el protocolo HTTPS.

Requisitos y directrices del software del servidor web

El software del servidor web utilizado en los servidores de arranque WAN y de instalación debe cumplir los requisitos siguientes.

• Requisitos de sistema operativo: el arranque WAN proporciona un programa Common Gateway Interface (CGI) (wanboot-cgi) que convierte los datos y archivos en un formato específico esperado por el sistema cliente. Si desea efectuar una instalación de arranque WAN con estas secuencias de órdenes, el software del servidor web debe ejecutarse en el entorno operativo Solaris 9 12/03 o en una versión compatible.

• Limitaciones de tamaño del archivo: el software de servidor web puede limitar el tamaño de los archivos que pueden transmitirse por HTTP. Repase la documentación de su servidor web para cerciorarse de que el software pueda transmitir archivos del tamaño de un contenedor Solaris Flash.

• Admisión de SSL: si desea utilizar HTTPS en su instalación mediante arranque WAN, el software del servidor web deberá admitir la versión 3 de SSL.

Opciones de configuración del servidor

La configuración de los servidores requeridos para el arranque WAN se puede configurar para que se ajuste a las necesidades de la red. Se puede alojar todos los servidores en un único o en varios sistemas.

• Servidor único: si desea centralizar los datos y archivos de arranque WAN en un único sistema, puede alojar todos los servidores en la misma máquina. Puede administrar todos los servidores en un único sistema y sólo necesita configurar un sistema como servidor web. No obstante, es posible que un único servidor no pueda admitir el volumen de tráfico necesario para un número importante de instalaciones mediante arranque WAN.

• Varios servidores: si desea distribuir los datos y archivos de instalación en la red, puede alojar dichos servidores en varias máquinas. Puede establecer un servidor de arranque WAN centralizado y configurar varios servidores de instalación para alojar los contenedores Solaris Flash en la red. Si aloja los servidores de instalación y de registro en máquinas independientes, deberá configurarlos como servidores web.

Almacenamiento de los archivos de instalación y configuración en el directorio raíz de documentos

Durante una instalación mediante arranque WAN, el programa wanboot-cgi transmite los siguientes archivos.

• Programa wanboot

• Minirraíz de arranque WAN

• Archivos JumpStart personalizados

• Contenedor Solaris Flash

Para habilitar el programa wanboot-cgi para que transmita estos archivos, deberá almacenarlos en un directorio accesible para el software del servidor web. Para ello puede almacenarlos en el directorio raíz de documentos del servidor de web.

El directorio raíz de documentos, o el directorio principal de documentos, es el directorio del servidor web donde almacena archivos que se desea dejar disponibles para los clientes. Para nombrarlo y configurarlo puede utilizar el software del servidor web. Consulte la documentación del servidor web para obtener más información acerca de cómo configurar el directorio raíz de documentos en el servidor web.

Es conveniente crear distintos subdirectorios en el directorio raíz de documentos para almacenar los diferentes archivos de instalación y configuración. Por ejemplo, es recomendable crear subdirectorios específicos para cada grupo de clientes que desee instalar. Si tiene previsto instalar en la red varias versiones distintas del sistema operativo Solaris, conviene crear subdirectorios para cada versión.

La Figura 42–1 muestra un ejemplo de estructura básica para un directorio raíz de documentos. En el ejemplo, el servidor de arranque WAN y el servidor de instalación se encuentran en la misma máquina. El servidor ejecuta el software de servidor web Apache.

Figura 42–1 Ejemplo de estructura del directorio raíz de documentos

Este directorio de documentos de ejemplo utiliza la estructura siguiente.

• El directorio /opt/apache/htdocs es el directorio raíz de documentos.

• El directorio de minirraíz de arranque WAN (miniroot) contiene la minirraíz de arranque WAN.

• El directorio wanboot contiene el programa wanboot.

• El directorio Solaris Flash (flash) contiene los archivos JumpStart personalizados necesarios para instalar el cliente y el subdirectorio archives. El directorio archives contiene el contenedor Flash de Solaris 9.

---

Nota –

Si los servidores de arranque WAN y de instalación se encuentran en sistemas distintos, es conveniente que el directorio flash esté en el servidor de instalación. Cerciórese de que los archivos y directorios sean accesibles para el servidor de arranque WAN.

---

Consulte la documentación del servidor web para obtener información sobre cómo crear el directorio raíz de documentos. Para obtener instrucciones detalladas sobre como crear y almacenar estos archivos de instalación, consulte Creación de los archivos para la instalación JumpStart personalizada.

Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot

El directorio /etc/netboot contiene la información de configuración, clave privada, certificado digital y entidad certificadora necesarios para una instalación mediante arranque WAN. En esta sección se describen los archivos y directorios que se pueden crear en el directorio /etc/netboot para personalizar la instalación mediante arranque WAN.

Personalización del ámbito de la instalación mediante arranque WAN

Durante la instalación, el programa wanboot-cgi busca la información del cliente en el directorio /etc/netboot del servidor de arranque WAN y convierte esta información en el sistema de archivos de arranque WAN que, luego, transmite al cliente. Se pueden crear subdirectorios en el directorio /etc/netboot para personalizar el ámbito de la instalación en WAN. Utilice las siguientes estructuras de directorio para definir cómo se comparte la información de configuración entre los clientes que desea instalar.

• Configuración global: si desea que todos los clientes de la red compartan la información de configuración, guarde los archivos que desea compartir en el directorio /etc/netboot.

• Configuración específica de la red: si desea que únicamente las máquinas de una subred compartan la información de configuración, almacene los archivos de configuración que desea compartir en un subdirectorio de /etc/netboot. El subdirectorio debe seguir este convenio de denominación.

  /etc/netboot/ip_red

  En este ejemplo, ip_red es la dirección IP de la subred del cliente. Por ejemplo, si desea que todos los sistemas de la subred con la dirección IP 192.168.255.0 compartan los archivos de configuración, cree un directorio /etc/netboot/192.168.255.0. A continuación almacene en él los archivos de configuración.

• Configuración específica del cliente: si desea que un único cliente específico utilice el sistema de archivos de arranque, almacene éste en un subdirectorio de /etc/netboot. El subdirectorio debe seguir este convenio de denominación.

  /etc/netboot/ip_red/ID_cliente

  En este ejemplo, ip_red es la dirección IP de la subred. ID_cliente es el ID del cliente asignado por el servidor DHCP o un ID de cliente especificado por el usuario. Por ejemplo, si desea que un sistema con ID de cliente 010003BA152A42 en la subred 192.168.255.0 utilice archivos de configuración específicos, cree un directorio /etc/netboot/192.168.255.0/010003BA152A42. A continuación guarde en él los archivos apropiados.

Especificación de la información de configuración y seguridad en el directorio /etc/netboot

Para especificar la información de seguridad y configuración se deben crear los archivos siguientes y guardarlos en el directorio /etc/netboot.

• wanboot.conf: este archivo especifica la información de configuración del cliente para una instalación mediante arranque WAN.

• Archivo de configuración del sistema (system.conf): este archivo de configuración especifica la ubicación del archivo sysidcfg y de los archivos JumpStart personalizados del cliente.

• keystore: este archivo contiene la clave de hashing HMAC SHA1, la clave de encriptación 3DES o AES y la clave privada SSL del cliente.

• truststore: este archivo contiene los certificados digitales o las entidades certificadoras en las que el cliente debe confiar. Estos certificados acreditados indican al cliente que confíe en el servidor durante la instalación.

• certstore: este archivo contiene el archivo de certificado digital del cliente.

  ---

  Nota –

  El archivo certstore debe estar en el directorio ID_cliente. Consulte Personalización del ámbito de la instalación mediante arranque WAN para obtener más información acerca de los subdirectorios del directorio /etc/netboot.

  ---

Para obtener instrucciones detalladas sobre como crear y almacenar estos archivos, consulte los procedimientos siguientes.

• Creación del archivo de configuración del sistema

• Creación del archivo wanboot.conf

• Creación de una clave de hashing y una clave de encriptación

• Uso de certificados digitales para la autenticación del servidor y del cliente

Compartición de la información de configuración y seguridad en el directorio /etc/netboot

Para instalar clientes en la red, es conveniente compartir los archivos de configuración y seguridad entre varios clientes o en subredes enteras. Para compartir dichos archivos distribuya su información de configuración en los directorios /etc/netboot/ip_red/ID_cliente, /etc/netboot/ip_red y /etc/netboot. El programa wanboot-cgi busca en estos directorios la información de configuración que se ajusta mejor al cliente y la utiliza durante la instalación.

El programa wanboot—cgi busca la información del cliente en el orden siguiente.

1. /etc/netboot/ip_red/ID_cliente: el programa wanboot-cgi busca en primer lugar información de configuración específica de la máquina cliente. Si el directorio /etc/netboot/ip_red/ID_cliente contiene toda la información de configuración del cliente, el programa wanboot-cgi no busca información de configuración en ningún otro lugar del directorio /etc/netboot.

2. /etc/netboot/ip_red: si el directorio /etc/netboot/ip_red/ID_cliente no contiene toda la información necesaria, el programa wanboot-cgi busca a continuación información de configuración de subred en el directorio /etc/netboot/ip_red.

3. /etc/netboot: si el directorio /etc/netboot/ip_red no contiene la información restante, el programa wanboot-cgi busca la información de configuración global en el directorio /etc/netboot.

La Figura 42–2 muestra la forma de configurar el directorio /etc/netboot para personalizar la instalación mediante arranque WAN.

Figura 42–2 Directorio /etc/netboot de ejemplo

El diseño del directorio /etc/netboot en la Figura 42–2 permite efectuar las siguientes instalaciones mediante arranque WAN.

• Al instalar el cliente 010003BA152A42, el programa wanboot-cgi utiliza los siguientes archivos del directorio /etc/netboot/192.168.255.0/010003BA152A42.

  • system.conf

  • keystore

  • truststore

  • certstore

  El programa wanboot-cgi utiliza, a continuación, el archivo wanboot.conf del directorio /etc/netboot/192.168.255.0.

• Al instalar un cliente ubicado en la subred 192.168.255.0, el programa wanboot-cgi utiliza los archivos wanboot.conf, keystore y truststore del directorio /etc/netboot/192.168.255.0. A continuación el programa wanboot-cgi utiliza el archivo system.conf del directorio /etc/netboot.

• Si se instala una máquina cliente no ubicada en la subred 192.168.255.0, el programa wanboot-cgi utiliza los archivos siguientes del directorio /etc/netboot.

  • wanboot.conf

  • system.conf

  • keystore

  • truststore

Almacenamiento del programa wanboot-cgi

El programa wanboot-cgi transmite los datos y archivos del servidor de arranque WAN al cliente. Deberá cerciorarse de que dicho programa se encuentra en un directorio del servidor de arranque WAN accesible al cliente. Una forma de hacer que este programa sea accesible al cliente es almacenarlo en el directorio cgi-bin del servidor de arranque WAN. Es posible que deba configurar el software de servidor web para que utilice wanboot-cgi como programa CGI. Consulte la documentación de su servidor web para obtener información acerca de los requisitos de los programas CGI.

Requisitos de certificados digitales

Si desea incrementar la seguridad de la instalación mediante arranque WAN puede utilizar certificados digitales para habilitar la autenticación de cliente y servidor. El arranque WAN puede utilizar un certificado digital para establecer la identidad del servidor o del cliente durante una transacción en línea. Los certificados digitales los emite una entidad certificadora (CA). Éstos contienen un número de serie, fechas de caducidad, una copia de la clave pública del poseedor del certificado y la firma digital de la entidad certificadora.

Si desea requerir autenticación de servidor o de cliente y servidor durante la instalación, deberá instalar certificados digitales en el servidor. Siga estas directrices al utilizar certificados digitales.

• Si desea utilizar certificados digitales, se deben formatear como parte de un archivo de tipo Public-Key Cryptography Standards #12 (PKCS#12).

• Si crea sus propios certificados, deberá crearlos como archivos PKCS#12.

• Si recibe los certificados de otras entidades certificadoras, solicítelos en formato PKCS#12.

Para obtener instrucciones detalladas sobre el uso de certificados PKCS#12 durante la instalación mediante arranque WAN, consulte Uso de certificados digitales para la autenticación del servidor y del cliente.

Limitaciones de seguridad del arranque WAN

Aunque el arranque WAN ofrece distintas características de seguridad, no resuelve estos problemas potenciales.

• Ataques de denegación de servicio (DoS): un ataque de denegación de servicio, que puede adquirir diversas formas, tiene como objetivo impedir a los usuarios el acceso a un servicio determinado. Un ataque DoS puede sobrecargar la red con una gran cantidad de datos, o consumir de forma agresiva una cantidad limitada de recursos. Otros ataques DoS manipulan los datos transmitidos entre sistemas mientras están en tránsito. El método de instalación mediante arranque WAN no protege a los servidores ni a los clientes contra ataques DoS.

• Binarios dañados en los servidores: el método de instalación mediante arranque WAN no comprueba la integridad de la minirraíz de arranque WAN ni del contenedor de Solaris Flash antes de efectuar la instalación. Antes de efectuar la instalación, compruebe la integridad de los binarios de Solaris según la Solaris Fingerprint Database en http://sunsolve.sun.com.

• Privacidad de la claves de encriptación y de hashing: si utiliza claves de encriptación o de hashing con el arranque WAN, deberá escribir el valor de la clave en la línea de órdenes durante la instalación. Siga las precauciones pertinentes en su red para garantizar la privacidad de estos valores.

• Riesgo del servicio de nombres de la red: si utiliza un servicio de nombres en la red, compruebe la integridad de los servidores de nombres antes de efectuar la instalación mediante el arranque WAN.

Recopilación de información para instalaciones mediante arranque WAN

Para configurar la red para una instalación mediante arranque WAN deberá recopilar una amplia variedad de información. Es conveniente anotar dicha información para preparar la instalación mediante WAN.

Utilice las hojas de trabajo siguientes para registrar la información de instalación mediante arranque WAN para su red.

• Tabla 42–2

• Tabla 42–3

Tabla 42–2 Hoja de trabajo de recopilación de información del servidor

Información necesaria	Notas
Información sobre el servidor de instalación  Ruta a la minirraíz de arranque WAN en el servidor de instalación Ruta a los archivos JumpStart personalizados en el servidor de instalación
Información sobre el servidor de arranque WAN  Ruta al programa wanboot en el servidor de arranque WAN URL del programa wanboot-cgi en el servidor de arranque WAN Ruta al subdirectorio del cliente en la jerarquía /etc/netboot del servidor de arranque WAN (Opcional) Nombre del archivo de certificado PKCS#12. (Opcional) Nombres de sistema de las máquinas necesarias para la instalación en WAN, aparte del servidor de arranque WAN (Opcional) Dirección IP y número de puerto del servidor de proxy de la red
Información opcional del servidor  URL de la secuencia bootlog-cgi en el servidor de registro Dirección IP y número de puerto TCP del servidor de proxy de la red

Tabla 42–3 Hoja de trabajo de recopilación de información del cliente

Información	Notas
Dirección IP de la subred del cliente
Dirección IP del encaminador del cliente
Dirección IP del cliente
Máscara de subred del cliente
Nombre de sistema del cliente
Dirección MAC del cliente