Navigationslinks überspringen | |
Druckansicht beenden | |
![]() |
Oracle Solaris 10 1/13 Installationshandbuch: Netzwerkbasierte Installation Oracle Solaris 10 1/13 Information Library (Deutsch) |
Teil I Planung der Netzwerkinstallation
1. Informationen zur Planung einer Oracle Solaris-Installation
2. Vorkonfigurieren der Systemkonfigurations- informationen (Vorgehen)
3. Vorkonfigurieren mit einem Naming-Service oder DHCP
Teil II Installation über ein LAN
4. Installieren über das Netzwerk (Übersicht)
5. Installieren über das Netzwerk mithilfe von DVDs (Vorgehen)
6. Installieren über das Netzwerk mithilfe von CDs (Vorgehen)
7. Patchen des Miniroot-Abbilds (Vorgehen)
8. Installieren über das Netzwerk (Beispiele)
9. Installation über das Netzwerk (Befehlsreferenz)
Teil III Installation über ein WAN
11. Vorbereiten der Installation mit WAN-Boot (Planung)
12. Installieren mit WAN-Boot (Vorgehen)
Installieren über ein regional erweitertes Netzwerk (WAN) (Übersicht der Schritte)
Konfiguration des WAN-Boot-Servers
Erstellen des Dokument-Root-Verzeichnisses
Erzeugen der WAN-Boot-Miniroot
SPARC: So erzeugen Sie eine WAN-Boot-Miniroot
Überprüfen des Clients auf WAN-Boot-Unterstützung
So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung
Installation des wanboot-Programms auf dem WAN-Boot-Server
SPARC: So installieren Sie das wanboot-Programm auf dem WAN-Boot-Server
Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server
So erstellen Sie die /etc/netboot-Hierarchie auf dem WAN-Boot-Server
Kopieren des WAN-Boot-CGI-Programms auf den WAN-Boot-Server
So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server
So konfigurieren Sie den WAN-Boot-Protokollserver
Erzeugen der Dateien für die JumpStart-Installation
So erstellen Sie ein Flash-Archiv
So erzeugen Sie die Datei sysidcfg
So erstellen Sie ein JumpStart-Profil
So erstellen Sie die JumpStart-Datei rules
Erzeugen von Begin- und Finish-Skripten
Erstellen der Konfigurationsdateien
So erzeugen Sie die Systemkonfigurationsdatei
So erzeugen Sie die Datei wanboot.conf
Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server
13. SPARC: Installation mit WAN-Boot (Vorgehen)
14. SPARC: Installation mit WAN-Boot (Beispiele)
B. Ausführen einer Installation oder eines Upgrades von einem entfernten System (Vorgehen)
Zum Schutz Ihrer Daten während der Übertragung vom WAN-Boot-Server auf den Client können Sie HTTPS (HTTP over Secure Sockets Layer) einsetzen. Wenn Sie die in Sichere WAN-Boot-Installationskonfiguration beschriebene sicherere Installationskonfiguration verwenden möchten, müssen Sie HTTPS auf Ihrem Webserver aktivieren.
Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie die Schritte in diesem Abschnitt überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die JumpStart-Installation fort.
Führen Sie die folgenden Schritte durch, um die Webserver-Software auf dem WAN-Boot-Server auf die Verwendung von HTTPS einzustellen:
Aktivieren Sie die SSL-Unterstützung in Ihrer Webserver-Software.
Die Vorgehensweise zum Aktivieren der SSL-Unterstützung und der Client-Authentifizierung ist vom jeweiligen Webserver abhängig. Dieses Dokument enthält keine Anweisungen zum Aktivieren dieser Sicherheitsfunktionen auf dem Webserver. Weitere Informationen zu diesen Features finden Sie in der Dokumentation Ihres Webservers. Informationen zum Aktivieren von SSL auf dem Webserver Apache finden Sie im Apache-Dokumentationsprojekt unter http://httpd.apache.org/docs-project/.
Installieren Sie digitale Zertifikate auf dem WAN-Boot-Server.
In So verwenden Sie digitale Zertifikate für die Server- und Clientauthentifizierung erhalten Sie Informationen über die Verwendung von digitalen Zertifikaten mit WAN-Boot.
Stellen Sie dem Client ein vertrauenswürdiges Zertifikat zur Verfügung.
In So verwenden Sie digitale Zertifikate für die Server- und Clientauthentifizierung finden Sie Anweisungen zum Erstellen vertrauenswürdiger Zertifikate.
Erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.
Anweisungen zum Generieren von Schlüsseln finden Sie in So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.
(Optional) Aktivieren Sie die Unterstützung für die Client-Authentifizierung in der Konfiguration der Webserver-Software.
Anweisungen hierzu entnehmen Sie bitte der Dokumentation zu Ihrem Webserver.
Dieser Abschnitt beschreibt, wie Sie digitale Zertifikate und Schlüssel bei Ihrer WAN-Boot-Installation verwenden können.
Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von PKCS#12-Dateien für eine Installation über HTTPS mit Server- oder sowohl Server- als auch Client-Authentifizierung. Die Voraussetzungen und Richtlinien für die Verwendung von PKCS#12-Dateien lesen Sie bitte unter Voraussetzungen für digitale Zertifikate nach.
Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, überspringen Sie diese Schritte und fahren mit Erzeugen der Dateien für die JumpStart-Installation fort.
Bevor Sie beginnen
Erzeugen Sie, bevor Sie eine PKCS#12-Datei aufteilen, geeignete Unterverzeichnisse in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Einen Überblick über die /etc/netboot-Hierarchie finden Sie unter Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie.
Anweisungen zum Erstellen der /etc/netboot-Hierarchie finden Sie unter Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-IP/client-ID/truststore
Teilt eine PKCS#12-Datei in einen privaten Schlüssel und ein Zertifikat auf.
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Zertifikat in die Datei truststore des Clients ein. net-IP ist die IP-Adresse des Subnetzes, in dem sich der Client befindet. client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Fügen Sie das Clientzertifikat in die Datei certstore des Clients ein.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-IP/client-ID/certstore -k keyfile
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Clientzertifikat in die Datei certstore des Clients ein. net-IP ist die IP-Adresse des Subnetzes, in dem sich der Client befindet. client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Steht für den Namen des privaten SSL-Schlüssels des Clients, der aus der aufgeteilten PKCS#12-Datei generiert werden soll.
Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-IP/client-ID/keystore -o type=rsa
Fügt einen privaten SSL-Schlüssel in die Datei keystore des Clients ein.
Steht für den Namen der im vorigen Schritt erzeugten Schlüsseldatei des Clients.
Gibt den Pfad zur Datei keystore des Clients an.
Beispiel 12-4 Generieren vertrauenswürdiger Zertifikate für die Server-Authentifizierung
Im folgenden Beispiel installieren Sie den Client 010003BA152A42 mithilfe einer PKCS#12-Datei im Subnetz 192.168.198.0. Über dieses Befehlsbeispiel wird ein Zertifikat aus einer PKCS#12-Datei namens client.p12 extrahiert. Anschließend speichert der Befehl den Inhalt des vertrauenswürdigen Zertifikats in der Datei truststore des Clients.
Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore
Nächste Schritte
Nachdem Sie ein digitales Zertifikat erstellt haben, erzeugen Sie einen Hashing- und einen Chiffrierschlüssel. Die Vorgehensweise dazu ist in So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel beschrieben.
Siehe auch
Nähere Informationen zum Erstellen von vertrauenswürdigen Zertifikaten finden Sie auf der Manpage wanbootutil(1M).
Wenn Sie Ihre Daten mit HTTPS übertragen möchten, müssen Sie einen HMAC SHA1-Hashing-Schlüssel und einen Chiffrierschlüssel (Verschlüsselung) erzeugen. Falls Sie beabsichtigen, die Installation über ein halb-privates Netzwerk vorzunehmen, können Sie sich auch gegen eine Verschlüsselung der Installationsdaten entscheiden. Mit einem HMAC SHA1-Hashing-Schlüssel kann die Integrität des wanboot-Programms überprüft werden.
Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, überspringen Sie diese Schritte und fahren mit Erzeugen der Dateien für die JumpStart-Installation fort.
# wanbootutil keygen -m
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=sha1
Generiert den Hashing-Schlüssel für den Client aus dem Masterschlüssel.
Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.
Gibt die IP-Adresse des Subnetzes an, in dem sich der Client befindet. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/net-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Subnetz net-IP zur Verfügung.
Weist das Serviceprogramm wanbootutil keygen an, einen HMAC SHA1-Hashing-Schlüssel für den Client zu erzeugen.
Einen Chiffrierschlüssel, also eine Verschlüsselung, brauchen Sie dann, wenn Sie eine WAN-Boot-Installation per HTTPS durchführen möchten. Bevor der Client eine HTTPS-Verbindung zum WAN-Boot-Server herstellt, überträgt der WAN-Boot-Server verschlüsselte Daten und Informationen an den Client. Mithilfe des Chiffrierschlüssels kann der Client diese Informationen entschlüsseln und bei der Installation auf sie zugreifen.
Wenn nur die Integrität des wanboot-Programms überprüft werden soll, benötigen Sie keine Verschlüsselung. Siehe Installation von Schlüsseln auf dem Client.
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=key-type
Erzeugt den Chiffrierschlüssel für den Client.
Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.
Gibt die Netzwerk-IP-Adresse des Clients an. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Subnetz Netz-IP zur Verfügung.
Weist das Serviceprogramm wanbootutil keygen an, einen Chiffrierschlüssel für den Client zu erzeugen. key-type kann den Wert 3des oder aes annehmen.
Beispiel 12-5 Erzeugen der erforderlichen Schlüssel für die WAN-Boot-Installation per HTTPS
In folgendem Beispiel wird ein HMAC SHA1-Masterschlüssel für den WAN-Boot-Server generiert. Außerdem wird in diesem Beispiel ein HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für den Client 010003BA152A42 im Subnetz 192.168.198.0 generiert.
Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Nächste Schritte
Nachdem Sie einen Hashing- und einen Chiffrierschlüssel erzeugt haben, müssen Sie die Installationsdateien erzeugen. Die Anleitung hierzu finden Sie in Erzeugen der Dateien für die JumpStart-Installation.
Anweisungen zum Installieren von Schlüsseln auf dem Client finden Sie unter Installation von Schlüsseln auf dem Client.
Siehe auch
Einen Überblick über Hashing- und Chiffrierschlüssel finden Sie in Schutz der Daten während einer WAN-Boot-Installation.
Nähere Informationen zum Erzeugen von Hashing- und Chiffrierschlüsseln finden Sie auf der Manpage wanbootutil(1M).