| Ignora collegamenti di spostamento | |
| Esci da visualizzazione stampa | |
|
Guida all'installazione di Oracle Solaris 10 1/13: installazioni di rete Oracle Solaris 10 1/13 Information Library (Italiano) |
| Ignora collegamenti di spostamento | |
| Esci da visualizzazione stampa | |
|
|
Guida all'installazione di Oracle Solaris 10 1/13: installazioni di rete Oracle Solaris 10 1/13 Information Library (Italiano) |
Parte I Pianificazione dell'installazione in rete
1. Informazioni sulla pianificazione dell'installazione di Oracle Solaris
2. Preconfigurazione delle informazioni sul sistema (procedure)
3. Preconfigurazione con un servizio di denominazione o DHCP
Parte II Installazione in una rete locale
4. Installazione dalla rete (panoramica)
5. Installazione in rete da DVD (procedure)
6. Installazione in rete da CD (procedure)
7. Applicazione di patch all'immagine della miniroot (procedure)
8. Installazione dalla rete (esempi)
9. Installazione dalla rete (riferimenti sui comandi)
Parte III Installazione in una rete geografica
11. Preparazione all'installazione con il metodo Boot WAN (procedure)
12. Installazione con il metodo Boot WAN (procedure)
Installazione in una rete geografica (mappa delle attività)
Configurazione del server di boot WAN
Creazione della directory root dei documenti
Creazione della miniroot di boot WAN
SPARC: Come creare una miniroot di boot WAN
Verifica del supporto del boot WAN sul client
Come controllare la capacità di supporto del boot WAN della OBP del client
Installazione del programma wanboot sul server di boot WAN
SPARC: Come installare il programma wanboot sul server di boot WAN
Creazione della struttura gerarchica /etc/netboot sul server di boot WAN
Come creare la struttura gerarchica /etc/netboot sul server di boot WAN
Copia del programma CGI di boot WAN sul server di boot WAN
Come copiare il programma wanboot-cgi nel server di boot WAN
Come configurare il server di log per il boot WAN
Creazione dei file di installazione JumpStart
Come creare il profilo JumpStart
Come creare il file rules di JumpStart
Creazione di script iniziali e finali
Creazione dei file di configurazione
Come creare il file di configurazione del sistema
Come creare il file wanboot.conf
Fornitura delle informazioni di configurazione con un server DHCP
13. SPARC: Installazione con il metodo boot WAN (procedure)
14. SPARC: Installazione con il metodo boot WAN (esempi)
A. Risoluzione dei problemi (procedure)
Per proteggere i dati durante il trasferimento dal server di boot WAN al client, è possibile usare HTTP su Secure Sockets Layer (HTTPS). Per usare la configurazione di installazione più sicura descritta in Configurazione sicura per l'installazione Boot WAN, è necessario impostare il server Web in modo che utilizzi HTTPS.
Se non si desidera eseguire un boot WAN sicuro, ignorare le procedure descritte in questa sezione. Per continuare la preparazione di un'installazione meno sicura, vedere Creazione dei file di installazione JumpStart.
Per abilitare per l'uso di HTTPS il software server Web sul server di boot WAN, eseguire le operazioni seguenti:
Attivare il supporto dell'SSL (Secure Sockets Layer) nel proprio software server Web.
I processi per abilitare il supporto SSL e l'autenticazione dei client variano a seconda del server Web. Il presente documento non descrive le procedure per abilitare le funzioni di sicurezza sul server Web in uso. Per ulteriori informazioni su queste funzionalità, consultare la documentazione del server Web. Per informazioni sull'attivazione di SSL sul server Web Apache, vedere Apache Documentation Project all'indirizzo http://httpd.apache.org/docs-project/.
Installare i certificati digitali sul server di boot WAN.
Per informazioni sull'uso dei certificati digitali con il boot WAN, vedere Come utilizzare i certificati digitali per l'autenticazione di client e server.
Fornire un certificato attendibile al client.
Per istruzioni su come creare un certificato attendibile, vedere Come utilizzare i certificati digitali per l'autenticazione di client e server.
Creare una chiave di hashing e una chiave di cifratura.
Per istruzioni sulla creazione delle chiavi, vedere Come creare una chiave di hashing e una chiave di cifratura.
(Opzionale) Configurare il software server Web per il supporto dell'autenticazione del client.
Per informazioni su come configurare il server Web per il supporto dell'autenticazione dei client, vedere la relativa documentazione.
Questa sezione descrive l'uso dei certificati digitali e delle chiavi nell'installazione boot WAN.
Il metodo di installazione boot WAN può utilizzare i file PKCS#12 per eseguire un'installazione tramite HTTPS con l'autenticazione del server (o sia del server che del client). Per i requisiti e le linee guida relativi all'uso dei file PKCS#12, vedere Requisiti dei certificati digitali.
Se non si desidera eseguire un boot WAN sicuro, passare a Creazione dei file di installazione JumpStart.
Prima di cominciare
Prima di suddividere il file PKCS#12, creare le sottodirectory appropriate della struttura gerarchica /etc/netboot sul server di boot WAN.
Per informazioni generali sulla struttura gerarchica /etc/netboot, vedere Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot.
Per istruzioni su come creare la struttura gerarchica /etc/netboot, vedere Creazione della struttura gerarchica /etc/netboot sul server di boot WAN.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-IP/client-ID/truststore
Suddividere un file PKCS#12 in chiave privata e file di certificato.
Specifica il nome del file PKCS#12 da suddividere.
Inserisce il certificato nel file truststore del client. IP_sottorete indica l'indirizzo IP della sottorete del client. ID_client può indicare un ID definito dall'utente o l'ID del client DHCP.
Inserire il certificato del client nel file certstore.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-IP/client-ID/certstore -k keyfile
Specifica il nome del file PKCS#12 da suddividere.
Inserisce il certificato nel file certstore del client. IP_sottorete indica l'indirizzo IP della sottorete del client. ID_client può indicare un ID definito dall'utente o l'ID del client DHCP.
Specifica il nome del file della chiave privata SSL del client da creare dal file PKCS#12 suddiviso.
Inserire la chiave privata nel keystore del client.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-IP/client-ID/keystore -o type=rsa
Inserisce la chiave privata SSL nel file keystore. del client
Specifica il nome del file della chiave privata del client appena creato.
Specifica il percorso del keystore del client
Esempio 12-4 Creazione di un certificato attendibile per l'autenticazione del server
Nell'esempio seguente viene utilizzato un file PKCS#12 per installare il client 010003BA152A42 sulla sottorete 192.168.198.0. Questo esempio di comando estrae un certificato da un file PKCS#12 denominato client.p12. Il comando inserisce quindi i contenuti del certificato attendibile nel file truststore del client.
Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio il ruolo dell'utente del server Web è nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore
Procedura successiva
Dopo aver creato un certificato digitale, creare una chiave di hashing e una chiave di cifratura. Per istruzioni, vedere Come creare una chiave di hashing e una chiave di cifratura.
Vedere anche
Per ulteriori informazioni su come creare certificati attendibili, vedere la pagina man wanbootutil(1M).
Per usare HTTPS per la trasmissione dei dati, occorre creare una chiave di hashing HMAC SHA1 e una chiave di cifratura. Se si intende eseguire un'installazione su una rete semi privata, potrebbe non essere necessario cifrare i dati di installazione. La chiave di hashing HMAC SHA1 permette di controllare l'integrità del programma wanboot.
Se non si desidera eseguire un boot WAN sicuro, passare a Creazione dei file di installazione JumpStart.
# wanbootutil keygen -m
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=sha1Crea la chiave di hashing del client dalla rispettiva chiave master.
Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.
Specifica l'indirizzo IP per la sottorete del client. Se non si utilizza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e può essere utilizzata da tutti i client di boot WAN.
Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid con l'opzione net, la chiave viene memorizzata nel file /etc/netboot/ IP_sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP_sottorete.
Istruisce l'utility wanbootutil keygen di creare una chiave di hashing HMAC SHA1 per il client.
La creazione della chiave di cifratura è richiesta per eseguire l'installazione boot WAN con un collegamento HTTPS. Prima che il client stabilisca un collegamento HTTPS con il server di boot dalla WAN, quest'ultimo trasmette i dati e le informazioni cifrate al client. La chiave di cifratura permette al client di decifrare queste informazioni e di utilizzarle durante l'installazione.
Non è invece necessario creare la chiave di cifratura se si intende unicamente controllare l'integrità del programma wanboot. Vedere Installazione delle chiavi sul client.
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=key-typeCrea la chiave di cifratura per il client.
Indica che sono incluse le opzioni addizionali per il comando wanbootutil keygen.
Specifica l'indirizzo IP di rete del client. Se non si utilizza l'opzione net, la chiave viene memorizzata nel file /etc/netboot/keystore e può essere utilizzata da tutti i client di boot WAN.
Specifica l'ID del client. Può essere un ID definito dall'utente o l'ID del client DHCP. L'opzione cid deve essere preceduta da un valore net= valido. Se non si specifica l'opzione cid con il comando net, la chiave viene memorizzata nel file /etc/netboot/ip-sottorete/keystore. La chiave può essere utilizzata da tutti i client di boot WAN della sottorete IP-sottorete.
Istruisce l'utility wanbootutil keygen di creare una chiave di cifratura per il client. tipo-chiave può assumere il valore 3des o aes.
Esempio 12-5 Creazione delle chiavi richieste per l'installazione boot WAN con collegamento HTTPS
L'esempio seguente crea una chiave master HMAC SHA1 per il server di boot WAN. Vengono inoltre create una chiave di hashing HMAC SHA1 e una chiave di cifratura 3DES per il client 010003BA152A42 della sottorete 192.168.198.0.
Prima di eseguire questi comandi è necessario assumere lo stesso ruolo dell'utente del server Web. In questo esempio il ruolo dell'utente del server Web è nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Procedura successiva
Dopo aver creato una chiave di hashing e una chiave di cifratura, è necessario creare i file di installazione. Per istruzioni, vedere Creazione dei file di installazione JumpStart
Per istruzioni su come installare le chiavi sul client, vedere Installazione delle chiavi sul client.
Vedere anche
Per una panoramica delle chiavi di hashing e delle chiavi di cifratura, vedere Protezione dei dati durante un'installazione Boot WAN .
Per ulteriori informazioni sulla creazione delle chiavi di hashing e di cifratura, vedere la pagina man wanbootutil(1M).
|