| Ignorar Links de Navegao | |
| Sair do Modo de Exibio de Impresso | |
|
Guia de instalação do Oracle Solaris 11 8/10: instalações com base em rede |
| Ignorar Links de Navegao | |
| Sair do Modo de Exibio de Impresso | |
|
|
Guia de instalação do Oracle Solaris 11 8/10: instalações com base em rede |
Parte I Planejando a instalação através da rede
1. Onde encontrar informações de planejamento de instalação Solaris
2. Pré-configurando informações de configuração do sistema (tarefas)
3. Pré-configurando com um serviço de identificação ou DHCP
Parte II Instalando em uma rede de área local
4. Instalando a partir de uma rede (visão geral)
5. Instalando a partir da rede com mídia de DVD (tarefas)
6. Instalação a partir da rede com mídia de CD (tarefas)
7. Atualizando a imagem da miniraiz (tarefas)
8. Instalando através de uma rede (exemplos)
9. Instalando a partir da rede (referência de comando)
Parte III Instalando através de uma rede de área ampla
10. inicialização WAN (visão geral)
11. Preparando para instalar com inicialização WAN (planejamento)
12. Instalando com inicialização WAN (Tarefas)
Instalando por meio de uma Wide Area Network (Mapas de tarefas)
Configurando o servidor de inicialização WAN
Criando o diretório raiz de documentos
Criando a miniraiz de inicialização WAN
SPARC: Para criar uma miniraiz de inicialização WAN
Verificando o suporte a inicialização WAN no cliente
Para verificar se o cliente OBP tem suporte a inicialização WAN
Instalando o programa wanboot no servidor de inicialização WAN
SPARC: Para instalar o programa wanboot no servidor de inicialização WAN
Criando a hierarquia /etc/netboot no servidor de inicialização WAN
Para criar a hierarquia /etc/netboot no servidor de inicialização WAN
Copiando o programa CGI de inicialização WAN para o servidor de inicialização WAN
Para copiar o programa wanboot-cgi para o servidor de inicialização WAN
(Opcional) Para configurar o servidor de registro de inicialização WAN
(Opcional) Protegendo dados utilizando HTTPS
(Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente
(Opcional) Para criar uma chave de hashing e uma chave de criptografia
Criando os arquivos de instalação do JumpStart Personalizado
Para criar um arquivamento Solaris Flash
(Opcional) Criando scripts de início e de finalização
Criando os arquivos de configuração
Para criar o arquivo de configuração do sistema
Para criar o arquivo wanboot.conf
(Opcional) Fornecendo informações de configuração com um servidor de DHCP
13. SPARC: Instalação com a inicialização WAN (tarefas)
14. SPARC: Instalando com inicialização WAN (exemplos)
15. Inicialização WAN (referência)
A. Solução de problemas (tarefas)
Para proteger seus dados durante a transferência do servidor de inicialização WAN para o cliente, é possível utilizar HTTP com Secure Sockets Layer (HTTPS). Para utilizar a configuração de instalação mais segura que é descrita em Configuração de instalação de segurança inicialização WAN, é necessário ativar seu navegador da web para utilizar HTTPS.
Se não desejar realizar uma inicialização WAN segura, ignore os procedimentos desta seção. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.
Para permitir que o software do servidor web no servidor de inicialização WAN utilize HTTPS, é necessário realizar as tarefas a seguir.
Ative o suporte a Secure Sockets Layer (SSL) no software de seu servidor web.
Os processos para ativar o suporte a SSL e autenticação de clientes varia de acordo com o servidor web. Este documento não descreve como ativar estes recursos de segurança em seu servidor web. Para informações sobre este recurso, consulte a documentação a seguir.
Para obter informações sobre a ativação do SSL nos servidores Web SunONE e iPlanet, consulte as coleções de documentação do SunONE e do iPlanet em http://www.oracle.com/technetwork/indexes/documentation/index.html.
Para informações sobre a ativação do SSL no servidor web Apache, consulte o Projeto de Documentação do Apache em http://httpd.apache.org/docs-project/ .
Se estiver utilizando um software de servidor web que não esteja na lista anterior, consulte a documentação do software de seu servidor web.
Instale certificados digitais no servidor de inicialização WAN.
Para informações sobre o uso de certificados digitais com o inicialização WAN, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.
Forneça um certificado confiável ao cliente.
Para instruções sobre como criar um certificado confiável, consulte (Opcional) Para utilizar certificados digitais para autenticação de servidor e de cliente.
Crie uma chave de hashing e uma chave de criptografia.
Para instruções sobre como criar chaves, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.
(Opcional) Configure o software do servidor web para suportar autenticação de cliente.
Para informações sobre como configurar seu servidor web para suportar autenticação de cliente, consulte a documentação de seu servidor web.
Esta seção descreve como utilizar certificados digitais e chaves em sua instalação com inicialização WAN.
O método de instalação com inicialização WAN pode utilizar arquivos PKCS#12 para realizar uma instalação com HTTPS com autenticação de servidor ou de cliente e servidor. Para ver os requisitos e orientações sobre o uso de arquivos PKCS#12, consulte Requisitos dos certificados digitais.
Para utilizar um arquivo PKCS#12 em uma instalação com inicialização WAN, realize as tarefas a seguir.
Divida o arquivo PKCS#12 em arquivos SSL separados de chave privada e certificado confiável.
Insira o certificado confiável no arquivo truststore do cliente na hierarquia /etc/netboot. O certificado confiável instrui o cliente a confiar no servidor.
(Opcional) Insira o conteúdo do arquivo da chave privada de SSL no arquivo keystore do cliente na hierarquia /etc/netboot .
O comando wanbootutil fornece opções para realizar as tarefas na lista anterior.
Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.
Siga estas etapas para criar um certificado confiável e uma chave privada de cliente.
Antes de começar
Antes de dividir um arquivo PKCS#12, crie os subdiretórios apropriados da hierarquia /etc/netboot no servidor de inicialização WAN.
Para informações de visão geral que descreva a hierarquia /etc/netboot , consulte Armazenando informações de configuração e segurança na hierarquia /etc/netboot.
Para instruções sobre como criar a hierarquia /etc/netboot , consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore
Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.
Especifica o nome do arquivo PKCS#12 a dividir.
Insere o certificado no arquivo truststore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile
Opção do comando wanbootutil que divide um arquivo PKCS#12 em arquivos separados de chave privada e certificado.
Especifica o nome do arquivo PKCS#12 a dividir.
Insira o certificado de cliente no certstore do cliente. net-ip é o endereço IP da subrede do cliente. client-ID pode ser uma ID definida pelo usuário ou uma ID de cliente do DHCP.can be a user-defined ID or the DHCP client ID.
Especifica o nome do arquivo da chave privada SSL do cliente a criar a partir do arquivo dividido PKCS#12.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
Insere uma chave SSL privada no keystore do cliente
Especifica o nome do arquivo da chave privada do cliente que foi criado na etapa anterior
Especifica o caminho para o keystore do cliente
Exemplo 12-6 Criando um certificado confiável para autenticação do servidor
No exemplo a seguir, você utiliza um arquivo PKCS#12 pra instalar o cliente 010003BA152A42 na subrede 192.168.198.0. Esta amostra de comando extrai um certificado de um arquivo PKCS#12 chamado client.p12. O comando, então, coloca o conteúdo do certificado confiável no arquivo truststore do cliente.
Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore
Depois de criar um certificado digital, crie uma chave de hashing e uma chave de criptografia. Para instruções, consulte (Opcional) Para criar uma chave de hashing e uma chave de criptografia.
Consulte também
Para mais informações sobre como criar certificados confiáveis, consulte a página do manual wanbootutil(1M).
Se quiser utilizar HTTPS para transmitir seus dados, é necessário criar uma chave de hashing HMAC SHA1 e uma chave de criptografia. Se você planeja instalar por uma rede semiprivada, talvez não queira criptografar os dados de instalação. É possível utilizar uma chave de hashing HMAC SHA1 para verificar a integridade do programa wanboot.
Ao utilizar o comando wanbootutil keygen, é possível gerar essas chaves e armazená-las no diretório /etc/netboot apropriado.
Se não desejar realizar uma inicialização WAN segura, ignore este procedimento. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação do JumpStart Personalizado.
Para criar uma chave de hashing e uma chave de criptografia, siga essas etapas.
# wanbootutil keygen -m
Cria a chave mestre HMAC SHA1 para o servidor de inicialização WAN
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1Cria a chave de hashing do cliente a partir da chave mestre.
Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.
Especifica o endereço IP da subrede do cliente. Se não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore , e poderá ser usada por todos os clientes com inicialização WAN.
Especifica a ID do cliente. A ID do cliente pode ser um valor definido pelo usuário ou a ID de cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-ip/keystore. Esta chave pode ser usada por todos os clientes com inicialização WAN na subrede net-ip.
Instrui o utilitário wanbootutil keygen a criar uma chave de hashing HMAC SHA1 para o cliente.
Você precisará criar uma chave de criptografia para realizar uma instalação com inicialização WAN com HTTPS. Antes do cliente estabelecer uma conexão HTTPS com o servidor de inicialização WAN, o servidor de inicialização WAN transmite os dados criptografados e as informações para o cliente. A chave de criptografia permite que o cliente descriptografe estas informações e utilize-as durante a instalação.
Se estiver realizando uma instalação mais segura WAN com HTTPS e com autenticação de servidor, continue.
Se só desejar verificar a integridade do programa wanboot, não é necessário criar uma chave de criptografia. Vá para a Etapa 6.
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-typeCrie a chave de criptografia do cliente.
Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.
Especifica o endereço IP de rede do cliente. Se você não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore , e poderá ser usada por todos os clientes com inicialização WAN.
Especifica a ID do cliente. A ID do cliente pode ser um valor definido pelo usuário ou a ID de cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-ip/keystore. Esta chave pode ser usada por todos os clientes com inicialização WAN na subrede net-ip.
Instrui o utilitário wanbootutil keygen a criar uma chave de criptografia para o cliente. key-type pode ter um valor de 3des ou aes.
Para instruções sobre como instalar chaves no cliente, consulte Instalando chaves no cliente.
Exemplo 12-7 Criando as chaves necessárias para a instalação com inicialização WAN com HTTPS
O exemplo a seguir cria uma chave mestre HMAC SHA1 para o servidor de inicialização WAN. Este exemplo também cria uma chave de hashing HMAC SHA1 e chave de criptografia 3DES para o cliente 010003BA152A42 na subrede 192.168.198.0.
Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor web. Neste exemplo, a função do usuário do servidor web é nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Depois de criar um hashing e uma chave de criptografia, será preciso criar os arquivos de instalação. Para instruções, consulte Criando os arquivos de instalação do JumpStart Personalizado.
Consulte também
Para informações de visão geral sobre chaves de hashing e chaves de criptografia, consulte Protegendo dados durante a Instalação inicialização WAN.
Para mais informações sobre como criar chaves de hashing e de criptografia, consulte a página do manual wanbootutil(1M).
|