Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Guía de instalación de Oracle Solaris 10 1/13: instalaciones basadas en red Oracle Solaris 10 1/13 Information Library (Español) |
Parte I Planificación para instalar mediante la red
1. Dónde encontrar información sobre cómo planificar la instalación de Oracle Solaris
2. Preconfiguración de la información de configuración del sistema (tareas)
3. Preconfiguración con un servicio de nombres o DHCP
Parte II Instalación mediante una red de área local
4. Instalación desde la red (información general)
5. Instalación desde la red con un DVD (tareas)
6. Instalación desde la red con un CD (tareas)
7. Aplicación de parches a la imagen minirraíz (tareas)
8. Instalación en una red (ejemplos)
9. Instalación desde la red (referencia de comandos)
Parte III Instalación mediante una red de área amplia
10. Inicio WAN (descripción general)
11. Preparación para una instalación mediante Inicio WAN (planificación)
12. Instalación con Inicio WAN (tareas)
Instalación en una red de área amplia (mapas de tareas)
Configuración del servidor de inicio WAN
Creación del directorio raíz de documentos
Creación de la minirraíz de inicio WAN
SPARC: Cómo crear una minirraíz de inicio WAN
Comprobación de la compatibilidad del cliente con el inicio mediante WAN
Cómo comprobar la OBP del cliente para admisión del inicio WAN
Instalación del programa wanboot en el servidor de inicio WAN
SPARC: Cómo instalar el programa wanboot en el servidor de inicio WAN.
Creación de la jerarquía /etc/netboot en el servidor de inicio WAN
Cómo crear la jerarquía /etc/netboot en el servidor de inicio WAN
Copia del programa CGI de inicio WAN en el servidor de inicio WAN
Cómo copiar el programa wanboot-cgi al servidor de inicio WAN
Cómo configurar el servidor de registro de inicio WAN
Protección de datos mediante el uso de HTTPS
Cómo usar certificados digitales para la autenticación del servidor y del cliente
Creación de los archivos para la instalación JumpStart
Cómo crear el archivo sysidcfg
Cómo crear el perfil JumpStart
Cómo crear el archivo rules de JumpStart
Cómo crear secuencias de comandos de inicio y de finalización
Creación de los archivos de configuración
Cómo crear el archivo de configuración del sistema
Cómo crear el archivo wanboot.conf
Suministro de información de configuración mediante un servidor DHCP
13. SPARC: Instalación mediante inicio WAN (tareas)
14. SPARC: Instalación mediante un inicio WAN (ejemplos)
A. Resolución de problemas (tareas)
Si desea proteger los datos durante la transferencia del servidor de inicio WAN al cliente, puede utilizar HTTP en la Capa de zócalo protegido (HTTPS). Para usar la configuración de instalación más segura descrita en Configuración de una instalación segura mediante Inicio WAN, deberá activar el servidor web para que use HTTPS.
Si no desea realizar un inicio WAN seguro, haga caso omiso de los procedimientos que se describen en este apartado. Para continuar con la preparación de una instalación que no sea tan segura, consulte Creación de los archivos para la instalación JumpStart.
Para activar el software del servidor web en el servidor de inicio WAN para utilizar HTTPS deberá efectuar las tareas siguientes.
Activar la admisión de la Capa de zócalos seguros (SSL) en el software del servidor web.
Los procesos para activar la admisión de SSL y la autenticación de cliente varían en cada servidor web. En este documento no se describe la forma de activar las características de seguridad en su servidor web. Si desea obtener más información sobre estas funciones, consulte la documentación de su servidor web. Para obtener información sobre cómo activar SSL en el servidor web Apache, consulte el proyecto de documentación de Apache en http://httpd.apache.org/docs-project/.
Instalar certificados digitales en el servidor de inicio WAN.
Para obtener información sobre el uso de certificados digitales con el inicio WAN, consulte Cómo usar certificados digitales para la autenticación del servidor y del cliente.
Proporcionar al cliente un certificado acreditado.
Para obtener instrucciones acerca de cómo crear un certificado de confianza, consulte Cómo usar certificados digitales para la autenticación del servidor y del cliente.
Crear una clave de hashing y una clave de encriptación.
Para obtener instrucciones acerca de cómo crear claves, consulte Cómo crear claves de hashing y claves de cifrado.
(Opcional) Configurar el software del servidor web para que admita la autenticación del cliente.
Para obtener información acerca de cómo configurar el servidor web para admitir la autenticación del cliente, consulte la documentación del servidor web.
Este apartado describe el uso de certificados y claves digitales en una instalación mediante inicio WAN.
El método de instalación de inicio WAN puede utilizar archivos PKCS#12 para llevar a cabo una instalación en HTTPS con autenticación del servidor o del cliente y el servidor. Para conocer los requisitos y las directrices de uso de los archivos PKCS#12, consulte Requisitos de certificados digitales.
Si no desea realizar un inicio WAN seguro, vaya a Creación de los archivos para la instalación JumpStart.
Antes de empezar
Antes de dividir un archivo PKCS#12 cree los subdirectorios apropiados en la jerarquía /etc/netboot del servidor de inicio WAN.
Para obtener información general sobre la jerarquía /etc/netboot, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.
Para obtener instrucciones sobre cómo crear la jerarquía /etc/netboot , consulte Creación de la jerarquía /etc/netboot en el servidor de inicio WAN.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-IP/client-ID/truststore
Divide un archivo PKCS#12 en archivos de certificados y claves privadas independientes.
Indica el nombre del archivo PKCS#12 que se debe dividir.
Inserta el certificado en el archivo truststore del cliente. net-IP es la dirección IP de la subred del cliente. client-ID puede ser un ID definido por el usuario o el ID de cliente DHCP.
Inserte el certificado de cliente en el archivo certstore del cliente.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-IP/client-ID/certstore -k keyfile
Indica el nombre del archivo PKCS#12 que se debe dividir.
Inserta el certificado de cliente en el archivo certstore del cliente. net-IP es la dirección IP de la subred del cliente. client-ID puede ser un ID definido por el usuario o el ID de cliente DHCP.
Especifica el nombre del archivo de claves privadas SSL del cliente que se debe crear a partir de la división del archivo PKCS#12.
Inserte la clave privada en el archivo keystore del cliente.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-IP/client-ID/keystore -o type=rsa
Inserta una clave privada SSL en el archivo keystore. del cliente
Especifica el nombre del archivo de claves privadas del cliente creado en el paso anterior
Indica la ruta al archivo keystore del cliente
Ejemplo 12-4 Creación de un certificado acreditado para la autenticación del servidor
En el siguiente ejemplo, se usa un archivo PKCS#12 para instalar un cliente 010003BA152A42 en una subred 192.168.198.0. Este ejemplo de comando extrae un certificado desde un archivo PKCS#12 que se llama client.p12. A continuación, el comando inserta el contenido de este certificado de confianza en el archivo truststore del cliente.
Antes de ejecutar estas órdenes, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, el rol del usuario del servidor web es nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore
Pasos siguientes
Después de crear un certificado digital, cree una clave de hashing y una de cifrado. Para obtener instrucciones, consulte Cómo crear claves de hashing y claves de cifrado.
Véase también
Para obtener más información acerca de cómo crear certificados de confianza, consulte la página del comando man wanbootutil(1M).
Si desea utilizar HTTPS para transmitir los datos deberá crear una clave de hashing HMAC SHA1 y una clave de encriptación. Si tiene pensado instalar una red semiprivada, puede que no desee cifrar los datos de instalación. Puede utilizar una clave de hashing HMAC SHA1 para comprobar la integridad del programa wanboot.
Si no desea realizar un inicio WAN seguro, vaya a Creación de los archivos para la instalación JumpStart.
# wanbootutil keygen -m
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=sha1
Crea la clave de hashing del cliente a partir de la clave maestra.
Indica que se incluyan opciones adicionales para el comando wanbootutil keygen.
Especifica la dirección IP de la subred del cliente Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante inicio WAN.
Especifica el ID del cliente que puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacena en el archivo /etc/netboot/ net-IP/keystore. Todos los clientes de inicio WAN de la subred net-IP podrán usar esta clave.
Indica a la utilidad wanbootutil keygen que cree una clave de hashing HMAC SHA1 para el cliente.
Deberá crear una clave de encriptación si desea efectuar una instalación mediante un inicio WAN sobre HTTPS. Antes de que el cliente establezca una conexión HTTPS con el servidor de inicio WAN, éste transmite datos e información encriptaciones al cliente. La clave de encriptación permite al cliente desencriptar esta información y utilizarla durante la instalación.
Si sólo desea comprobar la integridad del programa wanboot, no es necesario que cree la clave de encriptación. Consulte Instalación de claves en el cliente.
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=key-type
Crea la clave de encriptación para el cliente.
Indica que se incluyan opciones adicionales para el comando wanbootutil keygen.
Especifica la dirección IP de red del cliente. Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante inicio WAN.
Especifica el ID del cliente que puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystore. y la podrán todos los clientes mediante un inicio WAN de la subred ip_red.
Indica a la utilidad wanbootutil keygen que cree una clave de cifrado para el cliente. El valor de tipo_clave puede ser 3des o aes.
Ejemplo 12-5 Creación de las claves necesarias para una instalación mediante un inicio WAN sobre HTTPS
En el ejemplo siguiente se crea una clave maestra HMAC SHA1 para el servidor de inicio WAN. Este ejemplo también crea una clave de hashing HMAC SHA1 y una de cifrado 3DES para el cliente 010003BA152A42 en la subred 192.168.198.0.
Antes de ejecutar estas órdenes, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, el rol del usuario del servidor web es nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Pasos siguientes
Después de crear una clave de hashing y de cifrado, debe crear los archivos de instalación. Para obtener instrucciones, consulte Creación de los archivos para la instalación JumpStart.
Para obtener instrucciones acerca de cómo instalar claves en el cliente, consulte Instalación de claves en el cliente.
Véase también
Para obtener información general sobre las claves de hashing y las claves de cifrado, consulte Protección de datos durante una instalación mediante el Inicio WAN .
Para obtener más información acerca de cómo crear claves de hashing y claves de cifrado, consulte la página del comando man wanbootutil(1M).