准备进行 WAN Boot 安装的客户机

安装客户机系统之前，请执行以下任务来准备客户机。

• 检查客户机 OBP 的 WAN Boot 支持

• 检查客户机 OBP 中的 net 设备别名

• 在客户机上安装密钥

检查客户机 OBP 的 WAN Boot 支持

要执行不需要手动干预的 WAN Boot 安装，客户机 OpenBoot PROM (OBP) 必须支持 WAN Boot。 以下过程说明了如何确定客户机 OBP 是否支持 WAN Boot。

检查客户机 OBP 的 WAN Boot 支持

1. 成为超级用户或作为等效角色。

   角色包含授权和具有一定权限的命令。 有关角色的详细信息，请参见 System Administration Guide: Security Services 中的“Configuring RBAC (Task Map)”。

2. 检查 OBP 配置变量以确定是否支持 WAN Boot 安装。

   # eeprom | grep network-boot-arguments

   • 如果显示 network-boot-arguments 变量，或如果上面的命令返回以下输出 network-boot-arguments: data not available，则 OBP 支持 WAN Boot 安装。 您在执行 WAN Boot 安装之前无需更新 OBP。

   • 如果上面的命令未返回任何输出，则 OBP 不支持 WAN Boot 安装。 您必需执行以下任务之一。

     • 更新客户机 OBP。 有关如何更新 OBP 的信息，请参见系统文档。

     • 通过本地 CD-ROM 驱动器中的 Solaris 9 Software CD 来执行 WAN Boot 安装。 有关如何通过本地 CD-ROM 驱动器引导客户机的说明，请参见使用本地 CD 介质安装 。

实例 44–1 检验客户机上的 WAN Boot 的 OBP 支持

以下命令显示了如何检查客户机 OBP 的 WAN Boot 支持。

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

在本例中，输出 network-boot-arguments: data not available 表明客户机 OBP 支持 WAN Boot。

检查客户机 OBP 中的 net 设备别名

要使用 boot net 从 WAN 引导客户机，必须将 net 设备别名设置为客户机的主网络设备。 在大多数系统上，此别名已经正确设置。 但是，如果该别名未被设置为要使用的网络设备，则必须更改该别名。

请按照以下步骤检查客户机上的 net 设备别名。

检查 net 设备别名

1. 成为客户机的超级用户。

2. 使系统运行 0 级。

   # init 0

   将显示 ok 提示符。

3. 在 ok 提示符后，输入以下命令，检查在 OBP 中设置的设备别名。

   ok devalias

   devalias 命令输出类似于以下实例的信息。

   screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

   • 如果 net 别名被设置为要在安装时使用的网络设备，则无需重置别名。 转到在客户机上安装密钥 继续安装。

   • 如果 net 别名未被设置为要使用的网络设备，则必须重置别名。 请继续。

4. 设置 net 设备别名。

   选择以下命令之一设置 net 设备别名。

   • 要仅设置此安装的 net 设备别名，请使用 devalias 命令。

     ok devalias net device-path

     net device-path

     将 net 别名指定为设备 device-path

   • 要永久性地设置 net 设备别名，请使用 nvalias 命令。

     ok nvalias net device-path

     net device-path

     将 net 别名指定为设备 device-path

实例 44–2 检查和重置 net 设备别名

以下命展示了如何检查和重置 net 设备别名。

检查设备别名。

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

如果要使用 /pci@1f,0/pci@1,1/network@5,1 网络设备，请键入以下命令。

ok devalias net /pci@1f,0/pci@1,1/network@5,1

有关设置设备别名的详细信息，请参见 OpenBoot 3.x Command Reference Manual 中的 "The Device Tree" 。

在客户机上安装密钥

对于较安全的 WAN Boot 安装或带数据完整性检查的不安全安装，您必须在客户机上安装密钥。 通过使用散列密钥和加密密钥，您可以保护传输到客户机的数据。 您可以通过以下方式来安装这些密钥。

• 设置 OBP 变量 - 您可以在引导客户机之前，为 OBP 网络引导变量指定密钥值。 然后，客户机可在将来安装 WAN Boot 时使用这些密钥。

• 在引导进程进行时输入密钥值 - 您可以在 wanboot program boot> 提示时输入设置密钥值。 如果使用此方法来安装密钥，则密钥只能用于当前的 WAN Boot 安装。

您也可以在运行中的客户机的 OBP 中安装密钥。 如果要在运行中的客户机上安装密钥，系统必须运行 Solaris 9 12/03 操作环境或兼容版本。

在客户机上安装密钥时，请确保密钥值未通过不安全的连接进行传输。 请遵循站点的安全策略以确保密钥值的保密性。

• 有关如何为 OBP 网络引导变量指定密钥值的说明，请参见在客户机 OBP 中安装密钥 。

• 有关如何在引导进程期间安装密钥的说明，请参见执行交互安装 。

• 有关如何在运行中的客户机的 OBP 中安装密钥的说明，请参见在运行中的客户机上安装散列密钥和加密密钥 。

在客户机 OBP 中安装密钥

如果要为 OBP 网络引导变量指定密钥值，请按照以下步骤进行操作。

1. 假设为与 WAN Boot 服务器上的 Web 服务器用户相同的同一用户角色。

2. 显示所有客户机密钥的密钥值。

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   客户机子网的 IP 地址。

   client-ID

   要安装的客户机的 ID。 客户机 ID 可以是用户自定义的 ID，也可以是 DHCP 客户机 ID。

   key-type

   要在客户机上安装的密钥的类型。 有效的密钥类型包括 3des、aes 或 sha1。

   将显示密钥的十六进制值。

3. 针对要安装的每个客户机密钥类型，重复上述步骤。

4. 使客户机系统运行 0 级。

   # init 0

   将显示 ok 提示符。

5. 在客户机 ok 提示符下，设置散列密钥的值。

   ok set-security-key wanboot-hmac-sha1 key-value

   set-security-key

   在客户机上安装密钥

   wanboot-hmac-sha1

   指示 OBP 安装 HMAC SHA1 散列密钥

   key-value

   指定在步骤 2中显示的十六进制字符串。

   HMAC SHA1 散列密钥安装在客户机 OBP 中。

6. 在客户机 ok 提示符下，安装加密密钥。

   ok set-security-key wanboot-3des key-value

   set-security-key

   在客户机上安装密钥

   wanboot-3des

   指示 OBP 安装 3DES 加密密钥。 如果要使用 AES 加密密钥，请将此值设置为 wanboot-aes。

   key-value

   指定代表该加密密钥的十六进制字符串。

   3DES 加密密钥安装在客户机 OBP 中。

   安装密钥后，就可以安装客户机了。 有关如何安装客户机系统的说明，请参见安装客户机 。

7. (可选的) 检验是否已在客户机 OBP 中设置密钥。

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (可选的) 如果需要删除密钥，请键入以下命令。

   ok set-security-key key-type

   key-type

   指定需要删除的密钥的类型。 使用值 wanboot-hmac-sha1、wanboot-3des 或 wanboot-aes。

实例 44–3 在客户机 OBP 中安装密钥

以下实例显示了如何在客户机 OBP 中安装散列密钥和加密密钥。

显示 WAN Boot 服务器上的密钥值。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个实例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装中使用 AES 加密密钥，请将 wanboot-3des 更改为 wanboot-aes 以显示加密密钥值。

在客户机系统上安装密钥。

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个命令执行以下任务。

• 将值为 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 散列密钥安装在客户机上

• 将值为 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密钥安装在客户机上

  如果在安装中使用 AES 加密密钥，请将 wanboot-3des 更改为 wanboot-aes。

在运行中的客户机上安装散列密钥和加密密钥

如果要在运行中的客户机的 OBP 中安装散列密钥和加密密钥，请按照以下步骤进行操作。

此过程进行了以下假设。

• 客户机系统已经打开。

• 可以通过安全连接访问客户机，例如安全 shell (ssh)。

1. 假设为与 WAN Boot 服务器上的 Web 服务器用户相同的同一用户角色。

2. 显示客户机密钥的密钥值。

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   客户机子网的 IP 地址。

   client-ID

   要安装的客户机的 ID。 客户机 ID 可以是用户自定义的 ID，也可以是 DHCP 客户机 ID。

   key-type

   要在客户机上安装的密钥的类型。 有效的密钥类型包括 3des、aes 或 sha1。

   将显示密钥的十六进制值。

3. 针对要安装的每个客户机密钥类型，重复上述步骤。

4. 成为客户机的超级用户。

5. 在运行中的客户机上安装必要的密钥。

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   key-type

   指定要在客户机上安装的密钥类型。 有效的密钥类型包括 3des、aes 或 sha1。

   key-value

   指定在步骤 2中显示的十六进制字符串。

6. 针对要安装的每个客户机密钥类型，重复上述步骤。

   安装密钥后，就可以安装客户机了。 有关如何安装客户机系统的说明，请参见安装客户机 。

实例 44–4 在运行中的客户机系统的 OBP 中安装密钥

以下实例显示了如何在运行中的客户机的 OBP 中安装密钥。

显示 WAN Boot 服务器上的密钥值。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个实例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果您在安装中使用 AES 加密密钥，请将 type=3des 更改为 type=aes 以显示加密密钥值。

在运行中的客户机的 OBP 中安装密钥。

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个命令执行以下任务。

• 将值为 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 散列密钥安装在客户机上

• 将值为 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密钥安装在客户机上