| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
Oracle Solaris 10 1/13 Installationshandbuch: Netzwerkbasierte Installation Oracle Solaris 10 1/13 Information Library (Deutsch) |
| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
|
Oracle Solaris 10 1/13 Installationshandbuch: Netzwerkbasierte Installation Oracle Solaris 10 1/13 Information Library (Deutsch) |
Teil I Planung der Netzwerkinstallation
1. Informationen zur Planung einer Oracle Solaris-Installation
2. Vorkonfigurieren der Systemkonfigurations- informationen (Vorgehen)
3. Vorkonfigurieren mit einem Naming-Service oder DHCP
Teil II Installation über ein LAN
4. Installieren über das Netzwerk (Übersicht)
5. Installieren über das Netzwerk mithilfe von DVDs (Vorgehen)
6. Installieren über das Netzwerk mithilfe von CDs (Vorgehen)
7. Patchen des Miniroot-Abbilds (Vorgehen)
8. Installieren über das Netzwerk (Beispiele)
9. Installation über das Netzwerk (Befehlsreferenz)
Teil III Installation über ein WAN
11. Vorbereiten der Installation mit WAN-Boot (Planung)
12. Installieren mit WAN-Boot (Vorgehen)
13. SPARC: Installation mit WAN-Boot (Vorgehen)
Übersicht der Schritte: Installation eines Clients mit WAN-Boot
Vorbereitung des Clients für eine WAN-Boot-Installation
So überprüfen Sie den Gerätealias net im Client-OBP
Installation von Schlüsseln auf dem Client
So installieren Sie Schlüssel im Client-OBP
So installieren Sie einen Hashing- und einen Chiffrierschlüssel auf einem laufenden Client
So nehmen Sie eine nicht-interaktive WAN-Boot-Installation vor
So nehmen Sie eine interaktive WAN-Boot-Installation vor
So nehmen Sie eine WAN-Boot-Installation mit einem DHCP-Server vor
So nehmen Sie eine WAN-Boot-Installation mit lokalen CDs vor
14. SPARC: Installation mit WAN-Boot (Beispiele)
B. Ausführen einer Installation oder eines Upgrades von einem entfernten System (Vorgehen)
Führen Sie folgende Schritte durch, um den Client für die Installation vorzubereiten:
Zum Booten des Clients aus dem WAN mit dem Befehl boot net muss der Gerätealias net auf das primäre Netzwerkgerät des Clients gesetzt werden. Dieser Aliasname ist auf den meisten Systemen bereits richtig eingestellt. Ist der Alias jedoch nicht auf das Netzwerkgerät gesetzt, das verwendet werden soll, müssen Sie ihn ändern.
Weitere Informationen zum Ändern der Alias-Einstellungen finden Sie unter "The Device Tree" in OpenBoot 3.x Command Reference Manual.
Hinweis - Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
# init 0
Die Eingabeaufforderung ok wird angezeigt.
ok devalias
Der Befehl devalias liefert Informationen wie in diesem Beispiel:
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8
Wenn der Alias net auf das für die Installation zu verwendende Netzwerkgerät gesetzt ist, brauchen Sie ihn nicht ändern. Setzen Sie die Installation mit dem Schritt Installation von Schlüsseln auf dem Client fort.
Ist net jedoch nicht auf das Netzwerkgerät gesetzt, das verwendet werden soll, müssen Sie den Alias ändern.
Um net nur für die aktuelle Installation zu setzen, verwenden Sie den Befehl devalias.
ok devalias net device-path
Weist dem Alias net das Gerät Gerätepfad zu.
Um net dauerhaft zu setzen, greifen Sie auf den Befehl nvalias zurück.
ok nvalias net device-path
Beispiel 13-1 Überprüfen und Ändern des Gerätealias net
Mit den folgenden Befehlen wird der Gerätealias net überprüft und geändert.
Überprüfen Sie die Alias-Einstellungen.
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8
Wenn die Netzwerkschnittstelle /pci@1f,0/pci@1,1/network@5,1 verwendet werden soll, geben Sie folgenden Befehl ein:
ok devalias net /pci@1f,0/pci@1,1/network@5,1
Nächste Schritte
Prüfen Sie den Gerätealias net, und setzen Sie dann die Installation fort.
Wenn Sie für Ihre Installation einen Hashing- und Chiffrierschlüssel verwenden, fahren Sie mit dem Schritt Installation von Schlüsseln auf dem Client fort.
Wenn Sie eine ungesicherte Installation ohne Schlüssel durchführen, fahren Sie mit dem Schritt Installation des Clients fort.
Für eine sicherere WAN-Boot-Installation oder eine unsichere Installation mit Überprüfung der Datenintegrität müssen Schlüssel auf dem Client installiert werden. Die an den Client übertragenen Daten können mit einem Hashing-Schlüssel und einer Verschlüsselung (Chiffrierschlüssel) geschützt werden. Sie können diese Schlüssel mit den folgenden Methoden installieren:
Setzen von OBP-Variablen – Sie können den Variablen der OBP-Netzwerk-Boot-Argumente vor dem Booten des Clients Schlüsselwerte zuweisen. Diese Schlüssel stehen dem Client dann für zukünftige WAN-Boot-Installationen weiter zur Verfügung.
Eingabe der Schlüsselwerte beim Booten – Sie können an der Eingabeaufforderung boot des wanboot-Programms Schlüsselwerte setzen. Auf diese Art installierte Schlüssel stehen nur für die aktuelle WAN-Boot-Installation zur Verfügung.
Schlüssel können auch im OBP eines laufenden Clients installiert werden. Wenn Sie auf einem laufenden Client Schlüssel installieren möchten, muss auf dem System Solaris 9 12/03 oder eine kompatible Version ausgeführt werden.
Wenn Sie Schlüssel auf dem Client installieren, vergewissern Sie sich, dass die Schlüsselwerte nicht über eine unsichere Verbindung gesendet werden. Wenden Sie zur Geheimhaltung der Schlüsselwerte die an Ihrem Standort geltenden Sicherheitsrichtlinien an.
Wie Sie den Variablen von OBP-Netzwerk-Boot-Argumenten Schlüsselwerte zuweisen, erfahren Sie in So installieren Sie Schlüssel im Client-OBP.
Anweisungen zur Installation von Schlüsseln während des Bootens finden Sie in So nehmen Sie eine interaktive WAN-Boot-Installation vor.
Anweisungen zur Installation von Schlüsseln im OBP eines laufenden Clients finden Sie in So installieren Sie einen Hashing- und einen Chiffrierschlüssel auf einem laufenden Client.
Sie können den Variablen der OBP-Netzwerk-Boot-Argumente vor dem Booten des Clients Schlüsselwerte zuweisen. Diese Schlüssel stehen dem Client dann für zukünftige WAN-Boot-Installationen weiter zur Verfügung.
# wanbootutil keygen -d -c -o net=net-IP,cid=client-ID,type=key-type
IP-Adresse des Subnetzes, in dem sich der Client befindet.
ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Es wird der Hexadezimalwert des Schlüssels angezeigt.
# init 0
Die Eingabeaufforderung ok wird angezeigt.
ok set-security-key wanboot-hmac-sha1 key-value
Installiert den Schlüssel auf dem Client.
Weist das OBP an, einen HMAC SHA1-Hashing-Schlüssel zu installieren.
Steht für den in Schritt 2 angezeigten Hexadezimalwert.
Der HMAC SHA1-Hashing-Schlüssel wird im Client-OBP installiert.
ok set-security-key wanboot-3des key-value
Weist das OBP an, eine 3DES-Verschlüsselung zu installieren. Wenn Sie stattdessen eine AES-Verschlüsselung verwenden möchten, setzen Sie diesen Wert auf wanboot-aes.
Gibt den Hexadezimalwert an, der den Chiffrierschlüssel darstellt.
Die 3DES-Verschlüsselung wird im Client-OBP installiert.
ok list-security-keys
Security Keys:
wanboot-hmac-sha1
wanboot-3desok set-security-key key-type
Beispiel 13-2 Installation von Schlüsseln im Client-OBP
Das folgende Beispiel zeigt, wie ein Hashing- und ein Chiffrierschlüssel im Client-OBP installiert werden. Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
Dieses Beispiel enthält folgende Informationen:
Die IP-Adresse des Subnetzes, in dem sich der Client befindet.
Die Client-ID.
Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.
Den Wert der 3DES-Verschlüsselung des Clients.
Installieren Sie die Schlüssel auf dem Clientsystem.
Die folgenden Befehle führen folgende Aufgaben durch:
Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf dem Client
Installation des 3DES-Chiffrierschlüssels mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client
Wenn in der Installation eine AES-Verschlüsselung verwendet wird, ändern Sie wanboot-3des in wanboot-aes ab.
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
Nächste Schritte
Nachdem Sie die Schlüssel auf dem Client installiert haben, können Sie diesen über das WAN installieren. Die Anleitung hierzu finden Sie unter Installation des Clients.
Siehe auch
Nähere Informationen zum Anzeigen von Schlüsselwerten finden Sie auf der Manpage wanbootutil(1M).
Sie können Schlüsselwerte auf einem laufenden System an der Eingabeaufforderung boot> des wanboot-Programms eingeben. Auf diese Art installierte Schlüssel stehen nur für die aktuelle WAN-Boot-Installation zur Verfügung.
Bevor Sie beginnen
Dabei wird Folgendes vorausgesetzt:
Das Clientsystem ist eingeschaltet.
Der Client ist über eine sichere Verbindung wie z. B. eine Secure Shell (ssh) zugänglich.
# wanbootutil keygen -d -c -o net=net-IP,cid=client-ID,type=key-type
IP-Adresse des Subnetzes, in dem sich der Client befindet.
ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.
Es wird der Hexadezimalwert des Schlüssels angezeigt.
Hinweis - Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value
Steht für den in Schritt 2 angezeigten Hexadezimalwert.
Beispiel 13-3 Installation von Schlüsseln im OBP eines laufenden Clientsystems
Das folgende Beispiel zeigt, wie Schlüssel im OBP eines laufenden Clients installiert werden.
Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
Dieses Beispiel enthält folgende Informationen:
Die IP-Adresse des Subnetzes, in dem sich der Client befindet.
Die Client-ID.
Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.
Den Wert der 3DES-Verschlüsselung des Clients.
Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.
Installieren Sie die Schlüssel im OBP des laufenden Clients.
Die folgenden Befehle führen folgende Aufgaben durch:
Installation des HMAC SHA1-Hashing-Schlüssels mit dem Wert b482aaab82cb8d5631e16d51478c90079cc1d463 auf dem Client
Installation der 3DES-Verschlüsselung mit dem Wert 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 auf dem Client wanclient-1
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
Nächste Schritte
Nachdem Sie die Schlüssel auf dem Client installiert haben, können Sie diesen über das WAN installieren. Die Anleitung hierzu finden Sie unter Installation des Clients.
Siehe auch
Nähere Informationen zum Anzeigen von Schlüsselwerten finden Sie auf der Manpage wanbootutil(1M).
Weitere Informationen zur Installation von Schlüsseln auf einem laufenden System finden Sie in der Manpage ickey(1M).
|