WAN ブートインストールを行うためのクライアントの準備

クライアントシステムのインストールを行う前に、次のタスクを実行してクライアントを準備してください。

「クライアント OBP の net デバイス別名を確認する方法」
「クライアントに対するキーのインストール」

クライアント OBP の `net` デバイス別名を確認する方法

boot net コマンドを使って WAN からクライアントをブートするには、net デバイス別名にクライアントのプライマリネットワークデバイスが設定されている必要があります。ほとんどのシステムで、この別名はすでに正しく設定されています。ただし、使用するネットワークデバイスがデバイス別名に設定されていない場合は、別名を変更する必要があります。

デバイス別名の設定方法の詳細は、『OpenBoot 3.x コマンド・リファレンスマニュアル』の「デバイスツリー」を参照してください。

クライアント上で、スーパーユーザー、またはそれと同等の役割になります。
注 - 役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理: セキュリティーサービス』の「RBAC の構成 (タスクマップ)」を参照してください。
システムを実行レベル 0 にします。
```
 # init 0
```
ok プロンプトが表示されます。
ok プロンプトで、OBP に設定されているデバイス別名を調べます。
```
ok devalias
```
devalias コマンドは、次の例のような情報を出力します。
```
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8
```
- インストール時に使用するネットワークデバイスが net 別名に設定されている場合は、別名を設定し直す必要はありません。「クライアントに対するキーのインストール」に進み、インストールを続行します。
- 使用するネットワークデバイスが net 別名に設定されていない場合は、別名を設定し直す必要があります。
永続的に、またはこのインストールに限り net デバイス別名を設定します。
- このインストールに限り net デバイス別名を変更する場合は、devalias コマンドを使用します。
```
ok devalias net device-path
```
  net device-path
  
  デバイス device-path を net 別名に割り当てます
- net デバイス別名を固定的に変更する場合は、nvalias コマンドを使用します。
```
ok nvalias net device-path
```
  net device-path
  
  デバイス device-path を net 別名に割り当てます

例 13-1 net デバイス別名の確認と設定変更

次のコマンドは、net デバイス別名を確認して設定し直す方法を示しています。

デバイス別名を調べます。

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

/pci@1f,0/pci@1,1/network@5,1 というネットワークデバイスを使用する場合は、次のコマンドを入力します。

ok devalias net /pci@1f,0/pci@1,1/network@5,1

次の手順

net デバイス別名を確認したあと、インストールを続行します。

インストールでハッシュキーと暗号化鍵を使用する場合は、「クライアントに対するキーのインストール」を参照してください。
キーを使用せずに、セキュリティー保護されていないインストールを実行する場合は、「クライアントのインストール」を参照してください。

クライアントに対するキーのインストール

より高いセキュリティーで保護された WAN ブートインストールを行う場合や、セキュリティー保護されていないインストールでデータの完全性をチェックする場合は、クライアントにキーをインストールする必要があります。ハッシュキーや暗号化鍵を使用すると、クライアントに転送されるデータを保護できます。これらのキーは、次の方法でインストールできます。

OBP 変数を設定する – クライアントをブートする前に、OBP のネットワークブート引数にキーの値を設定します。これらのキーは、クライアントに対する以降の WAN ブートインストールで使用されます。
ブート処理中にキーの値を入力する – wanboot プログラムの boot> プロンプトで、キーの値を設定します。この方法でインストールしたキーは、現在の WAN ブートインストールだけに使用されます。

動作中のクライアントの OBP にキーをインストールすることもできます。動作中のクライアントに鍵をインストールするには、そのシステムが Solaris 9 12/03 OS またはその互換バージョンで稼働していることが必要です。

クライアントにキーをインストールするときには、必ずセキュリティー保護された接続を使用して、キーの値を転送してください。キーの値の機密性を確保するために、サイトのセキュリティーポリシーに従ってください。

OBP のネットワークブート引数に鍵の値を割り当てる方法については、「クライアントの OBP に鍵をインストールする方法」を参照してください。
ブート処理中に鍵をインストールする方法については、「対話式 WAN ブートインストールを実行する方法」を参照してください。
動作中のクライアントの OBP に鍵をインストールする方法については、「動作中のクライアントにハッシュ鍵と暗号化鍵をインストールする方法」を参照してください。

クライアントの OBP に鍵をインストールする方法

クライアントをブートする前に、OBP のネットワークブート引数にキーの値を設定できます。これらのキーは、クライアントに対する以降の WAN ブートインストールで使用されます。

WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
クライアントの各キーの値を表示します。
```
# wanbootutil keygen -d -c -o net=net-IP,cid=client-ID,type=key-type
```
net-IP

クライアントのサブネットの IP アドレスを指定します。

client-ID

インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

key-type

クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。

キーの値が 16 進数で表示されます。
クライアントにインストールする各キータイプについて、上記の手順を繰り返します。
クライアントシステムの実行レベルを 0 にします。
```
# init 0
```
ok プロンプトが表示されます。
クライアントの ok プロンプトで、ハッシュキーの値を設定します。
```
ok set-security-key wanboot-hmac-sha1 key-value
```
set-security-key

クライアントに鍵をインストールします。

wanboot-hmac-sha1

HMAC SHA1 ハッシュ鍵をインストールするよう OBP に指示します。

key-value

手順 2 で表示された 16 進数の文字列を指定します。

HMAC SHA1 ハッシュキーがクライアントの OBP にインストールされます。
クライアントの ok プロンプトで、暗号化鍵をインストールします。
```
ok set-security-key wanboot-3des key-value
```
wanboot-3des

3DES 暗号化鍵をインストールするよう OBP に指示します。AES 暗号化鍵を使用する場合は、この値を wanboot-aes にしてください。

key-value

暗号化鍵を表す 16 進数の文字列を指定します。

3DES 暗号化鍵がクライアントの OBP にインストールされます。
(省略可能) クライアントの OBP にキーが設定されていることを確認します。
```
ok list-security-keys
Security Keys:
         wanboot-hmac-sha1
         wanboot-3des
```
(省略可能) 鍵を削除するには、次のコマンドを入力します。
```
ok set-security-key key-type
```
key-type

削除するキーのタイプを指定します。指定できる値は、wanboot-hmac-sha1、wanboot-3des、または wanboot-aes です。

例 13-2 クライアントの OBP に対するキーのインストール

次の例は、クライアントの OBP にハッシュキーと暗号化鍵をインストールする方法を示しています。WAN ブートサーバー上でキーの値を表示します。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

この例では、次の情報が使用されています。

net=192.168.198.0: クライアントのサブネットの IP アドレスを指定します。
cid=010003BA152A42: クライアント ID を指定します。
b482aaab82cb8d5631e16d51478c90079cc1d463: クライアントの HMAC SHA1 ハッシュキーの値です。
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04: クライアントの 3DES 暗号化鍵の値です。

クライアントシステムにキーをインストールします。

次のコマンドは、次のタスクを実行します。

b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントにインストールします
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントにインストールします

インストールで AES 暗号化鍵を使用する場合は、wanboot-3des を wanboot-aes に変更します。

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

次の手順

クライアントにキーをインストールしたら、クライアントに対する WAN インストールの準備は完了です。手順については、「クライアントのインストール」を参照してください。

参照

鍵の値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。

動作中のクライアントにハッシュ鍵と暗号化鍵をインストールする方法

wanboot プログラムの boot> プロンプトで、動作中のシステムにキーの値を設定できます。この方法でインストールしたキーは、現在の WAN ブートインストールだけに使用されます。

始める前に

この手順では、次のように仮定します。

クライアントシステムの電源は入っている。
Secure Shell (ssh) などのセキュリティー保護された接続を介してクライアントにアクセスできる。

WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
クライアントの各キーの値を表示します。
```
# wanbootutil keygen -d -c -o net=net-IP,cid=client-ID,type=key-type
```
net-IP

クライアントのサブネットの IP アドレスを指定します。

client-ID

インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

key-type

クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。

キーの値が 16 進数で表示されます。
クライアントにインストールする各キータイプについて、上記の手順を繰り返します。
クライアントマシン上で、スーパーユーザー、またはそれと同等の役割になります。
注 - 役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理: セキュリティーサービス』の「RBAC の構成 (タスクマップ)」を参照してください。
動作中のクライアントマシンに、必要なキーをインストールします。
```
# /usr/lib/inet/wanboot/ickey -o type=key-type
> key-value
```
key-value

手順 2 で表示された 16 進数の文字列を指定します。
クライアントにインストールする各鍵タイプについて、上記の手順を繰り返します。

例 13-3 動作中のクライアントシステムの OBP に対するキーのインストール

次の例は、動作中のクライアントの OBP にキーをインストールする方法を示しています。

WAN ブートサーバー上でキーの値を表示します。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

この例では、次の情報が使用されています。

net=192.168.198.0

クライアントのサブネットの IP アドレスを指定します。

cid=010003BA152A42

クライアント ID を指定します。

b482aaab82cb8d5631e16d51478c90079cc1d463

クライアントの HMAC SHA1 ハッシュキーの値です。

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

クライアントの 3DES 暗号化鍵の値です。

インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3des を type=aes に変更します。

動作中のクライアントの OBP にキーをインストールします。

次のコマンドは、次のタスクを実行します。

b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントにインストールします
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントにインストールします

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

次の手順

参照

鍵の値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。

動作中のシステムに鍵をインストールする方法については、ickey(1M) のマニュアルページを参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris 10 1/13 インストールガイド: ネットワークベースのインストール Oracle Solaris 10 1/13 Information Library (日本語)