Prima di installare il sistema client, prepararlo eseguendo le attività seguenti:
Controllo del supporto del boot WAN da parte della OBP del client
Controllo dell'alias di dispositivo net nella OBP del client
Per eseguire un'installazione boot WAN, la OBP (OpenBoot PROM) del client deve supportare il metodo boot WAN. La procedura seguente descrive come determinare se la OBP del client supporta il boot WAN.
Diventare utente root o assumere un ruolo equivalente.
I ruoli comportano determinate autorizzazioni e consentono di eseguire comandi che richiedono privilegi. Per maggiori informazioni sui ruoli, vedere “Configuring RBAC (Task Map)” in System Administration Guide: Security Services.
Controllare le variabili di configurazione OBP per il supporto boot WAN.
# eeprom | grep network-boot-arguments |
Se viene visualizzata la variabile network-boot-arguments o se il comando precedente ha come risultato network-boot-arguments: data not available, la OBP supporta le installazioni boot WAN. Non occorre aggiornare la OBP prima di eseguire l'installazione boot WAN.
Se il comando precedente non produce alcun risultato, la OBP non supporta le installazioni boot WAN. Occorre quindi completare una delle attività seguenti.
Aggiornare la OBP del client. Consultare la documentazione del sistema per informazioni su come aggiornare la OBP.
Eseguire l'installazione boot WAN dal CD Solaris 9 Software in un'unità CD-ROM locale. Per istruzioni su come eseguire il boot del client da un'unità CD-ROM locale, vedere la sezione Installazione con i supporti CD locali.
Il comando seguente mostra come controllare la OBP del client per il supporto del boot WAN.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
In questo esempio, il risultato network-boot-arguments: data not available indica che la OBP del client supporta le installazioni boot WAN.
Per eseguire il boot del client dalla WAN con boot net, l'alias di dispositivo net deve essere impostato sul dispositivo di rete principale del client. Sulla maggior parte dei sistemi, l'alias è già impostato correttamente. Tuttavia, se l'alias non è impostato sul dispositivo di rete da usare, è necessario modificarlo.
Per controllare l'alias di dispositivo net sul client, attenersi alla procedura seguente.
Diventare utente root sul client.
Portare il sistema al livello di esecuzione 0.
# init 0 |
Viene visualizzato il prompt ok.
Al prompt ok, controllare gli alias di dispositivo impostati nella OBP.
ok devalias |
Il comando devalias restituisce informazioni simili a quelle riportate nell'esempio seguente:
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Se l'alias net è impostato sul dispositivo di rete da usare durante l'installazione, non è necessario ripristinare l'alias. Passare alla sezione Installazione delle chiavi sul client per continuare l'installazione.
Se l'alias net non è impostato sul dispositivo di rete da usare, bisogna ripristinarlo. Continuare.
Impostare l'alias di dispositivo net.
Scegliere uno dei comandi seguenti per impostare l'alias di dispositivo net.
Per impostare l'alias di dispositivo net per questa sola installazione, usare il comando devalias.
ok devalias net percorso-dispositivo |
Assegna il dispositivo percorso-dispositivo all'alias net
Per impostare l'alias di dispositivo net in modo permanente, digitare nvalias.
ok nvalias net percorso-dispositivo |
Assegna il dispositivo percorso-dispositivo all'alias net
I comandi seguenti mostrano come controllare e ripristinare l'alias di dispositivo net.
Controllare gli alias di dispositivo.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
Per usare il dispositivo di rete /pci@1f,0/pci@1,1/network@5,1, digitare il comando seguente.
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
Per maggiori informazioni sull'impostazione degli alias dei dispositivi, vedere la sezione “The Device Tree” nel documento OpenBoot 3.x Command Reference Manual.
Per un'installazione boot WAN più sicura o un'installazione non sicura con il controllo di integrità dei dati, occorre installare le chiavi sul client. Usando una chiave di hashing e una di cifratura, è possibile proteggere i dati trasmessi al client. Le chiavi si possono installare con i metodi seguenti:
Impostare le variabili OBP – si possono assegnare i valori delle chiavi alle variabili degli argomenti di boot di rete OBP prima di eseguire il boot del client. Queste chiavi si possono usare anche per le future installazioni di boot WAN del client.
Inserire i valori delle chiavi durante il processo di boot – è possibile impostare i valori delle chiavi al prompt del programma wanboot boot>. Se si opta per quest'ultimo metodo, le chiavi vengono utilizzate solo per l'installazione con boot da WAN corrente.
Le chiavi si possono installare anche nella OBP di un client in esecuzione. Per installare le chiavi su un client in esecuzione, il sistema deve eseguire l'ambiente operativo Solaris 9 12/03 o una versione compatibile.
All'installazione delle chiavi sul client, accertarsi che i valori non vengano trasmessi tramite un collegamento non sicuro. Per garantire la riservatezza dei valori delle chiavi, attenersi strettamente alle politiche di sicurezza del sito.
Per istruzioni su come assegnare i valori delle chiavi alle variabili degli argomenti di boot di rete OBP, vedere la sezione Installare le chiavi nella OBP del client.
Per istruzioni sull'installazione delle chiavi durante il processo di boot, vedere la sezione Eseguire un'installazione interattiva.
Per istruzioni su come installare le chiavi nella OBP di un client in esecuzione, vedere la sezione Installare una chiave di hashing e una di cifratura su un client in esecuzione.
Per assegnare i valori delle chiavi alle variabili degli argomenti del boot di rete OBP, attenersi alla procedura seguente.
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Visualizzare il valore per ogni chiave del client.
# wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave |
L'indirizzo IP della sottorete del client.
L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.
Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.
Viene visualizzato il valore esadecimale della chiave.
Ripetere la procedura precedente per ogni tipo di chiave da installare.
Portare il sistema client al livello di esecuzione 0.
# init 0 |
Viene visualizzato il prompt ok.
Al prompt ok del client, impostare il valore della chiave di hashing.
ok set-security-key wanboot-hmac-sha1 valore-chiave |
Installa la chiave sul client
Istruisce la OBP di installare una chiave di hashing HMAC SHA1
Specifica la stringa esadecimale visualizzata nel Punto 2.
La chiave di hashing HMAC SHA1 è installata nel client OBP.
Al prompt ok del client, installare la chiave di cifratura.
ok set-security-key wanboot-3des valore-chiave |
Installa la chiave sul client
Istruisce la OBP di installare una chiave di cifratura 3DES. Per usare una chiave di cifratura AES, impostare questo valore su wanboot-aes.
Specifica la stringa esadecimale che rappresenta la chiave di cifratura.
La chiave di cifratura 3DES è installata nella OBP del client.
Una volta installate le chiavi, si è pronti a installare il client. Vedere la sezione Installazione del client per istruzioni su come installare il sistema client.
(Opzionale) Verificare che le chiavi siano impostate nella OBP del client.
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des |
(Opzionale) Per eliminare una chiave, digitare il comando seguente:
ok set-security-key tipo-chiave |
Specifica il tipo di chiave da eliminare. Usare il valore wanboot-hmac-sha1, wanboot-3des, o wanboot-aes.
L'esempio mostra come installare una chiave di hashing e una chiave di cifratura nella OBP del client.
Visualizzare i valori delle chiavi sul server di boot WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
L'esempio precedente usa le seguenti informazioni:
Specifica l'indirizzo IP della sottorete del client
Specifica l'ID del client
Specifica il valore della chiave di hashing HMAC SHA1 del client
Specifica il valore della chiave di cifratura 3DES del client
Se nell'installazione si fa uso di una chiave di cifratura AES, modificare wanboot-3des in wanboot-aes per visualizzare il valore della chiave di cifratura.
Installare le chiavi sul sistema client.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
I comandi precedenti eseguono le seguenti operazioni:
Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client
Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client
Se nell'installazione si fa uso di una chiave di cifratura AES, modificare wanboot-3des in wanboot-aes.
Per installare una chiave di hashing e una chiave di cifratura nella OBP di un client in esecuzione, attenersi alla procedura seguente.
Nella procedura, si ipotizza quanto segue:
Il sistema client è alimentato.
Il client è accessibile tramite un collegamento sicuro, come una shell sicura (ssh).
Assumere lo stesso ruolo dell'utente del server Web sul server di boot WAN.
Visualizzare il valore per ogni chiave del client.
# wanbootutil keygen -d -c -o net=ip-rete,cid=ID-client,type=tipo-chiave |
L'indirizzo IP della sottorete del client.
L'ID del client da installare. Può essere un ID definito dall'utente o l'ID del client DHCP.
Il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.
Viene visualizzato il valore esadecimale della chiave.
Ripetere la procedura precedente per ogni tipo di chiave da installare.
Diventare utente root sul sistema client.
Installare le chiavi necessarie sul sistema client in esecuzione.
# /usr/lib/inet/wanboot/ickey -o type=tipo-chiave > valore-chiave |
Specifica il tipo di chiave da installare sul client. I tipi di chiavi valide sono 3des, aes, o sha1.
Specifica la stringa esadecimale visualizzata nella procedura Punto 2.
Ripetere la procedura precedente per ogni tipo di chiave da installare.
Una volta installate le chiavi, si è pronti a installare il client. Vedere la sezione Installazione del client per istruzioni su come installare il sistema client.
L'esempio seguente mostra come installare le chiavi nella OBP di un client in esecuzione.
Visualizzare i valori delle chiavi sul server di boot WAN.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
L'esempio precedente usa le seguenti informazioni:
Specifica l'indirizzo IP della sottorete del client
Specifica l'ID del client
Specifica il valore della chiave di hashing HMAC SHA1 del client
Specifica il valore della chiave di cifratura 3DES del client
Se nell'installazione si fa uso di una chiave di cifratura AES, modificare type=3des in type=aes per visualizzarne il valore.
Installare le chiave nella OBP del client in esecuzione.
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
I comandi precedenti eseguono le seguenti operazioni:
Installa la chiave di hashing HMAC SHA1 con un valore di b482aaab82cb8d5631e16d51478c90079cc1d463 sul client
Installa la chiave di cifratura 3DES con un valore di 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 sul client