| 跳过导航链接 | |
| 退出打印视图 | |
|
Oracle Solaris 10 1/13 安装指南:基于网络的安装 Oracle Solaris 10 1/13 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Oracle Solaris 10 1/13 安装指南:基于网络的安装 Oracle Solaris 10 1/13 Information Library (简体中文) |
安装客户机系统之前,请执行以下任务来准备客户机。
要使用 boot net 从 WAN 引导客户机,必须将 net 设备别名设置为客户机的主网络设备。在大多数系统上,此别名已经正确设置。但是,如果该别名未被设置为要使用的网络设备,则必须更改该别名。
有关设置设备别名的更多信息,请参见《OpenBoot 3.x Command Reference Manual》中的 "The Device Tree" 。
注 - 角色包含授权和具有特权的命令。有关角色的更多信息,请参见《System Administration Guide: Security Services》中的"Configuring RBAC (Task Map)"。
# init 0
将显示 ok 提示符。
ok devalias
devalias 命令输出类似于以下示例的信息。
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8
如果 net 别名被设置为要在安装时使用的网络设备,则无需重置别名。转到在客户机上安装密钥以继续安装。
如果 net 别名未被设置为要使用的网络设备,则必须重置别名。
示例 13-1 检查和重置 net 设备别名
以下命令说明了如何检查和重置 net 设备别名。
检查设备别名。
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8
如果要使用 /pci@1f,0/pci@1,1/network@5,1 网络设备,请键入以下命令:
ok devalias net /pci@1f,0/pci@1,1/network@5,1
接下来的步骤
检查 net 设备别名之后,请继续进行安装。
对于较安全的 WAN boot 安装或带数据完整性检查的不安全安装,您必须在客户机上安装密钥。通过使用散列密钥和加密密钥,您可以保护传输到客户机的数据。您可以通过以下方式来安装这些密钥。
设置 OBP 变量-您可以在引导客户机之前,为 OBP 网络引导变量指定密钥值。然后,客户机可在将来安装 WAN boot 时使用这些密钥。
在引导过程中输入密钥值-您可以在 wanboot 程序的 boot> 提示符下设置密钥值。如果使用此方法来安装密钥,则密钥只能用于当前的 WAN boot 安装。
您也可以在运行中的客户机的 OBP 中安装密钥。如果希望在运行中的客户机上安装密钥,客户机系统必须运行 Solaris 9 12/03 OS 或兼容版本。
在客户机上安装密钥时,请确保密钥值未通过不安全的连接进行传输。请遵循站点的安全策略以确保密钥值的保密性。
有关如何为 OBP 网络引导参数变量指定密钥值的说明,请参见如何在客户机 OBP 中安装密钥。
有关如何在引导过程期间安装密钥的说明,请参见如何执行交互式 WAN boot 安装。
有关如何在运行中的客户机的 OBP 中安装密钥的说明,请参见如何在运行中的客户机上安装散列密钥和加密密钥。
您可以在引导客户机之前为 OBP 网络引导参数变量指定密钥值。然后,客户机可在将来安装 WAN boot 时使用这些密钥。
# wanbootutil keygen -d -c -o net=net-IP,cid=client-ID,type=key-type
客户机子网的 IP 地址。
要安装的客户机的 ID。客户机 ID 可以是用户定制的 ID,也可以是 DHCP 客户机 ID。
要在客户机上安装的密钥的类型。有效的密钥类型包括 3des、aes 或 sha1。
将显示密钥的十六进制值。
# init 0
将显示 ok 提示符。
ok set-security-key wanboot-hmac-sha1 key-value
在客户机上安装密钥。
指示 OBP 安装 HMAC SHA1 散列密钥。
指定步骤 2 中显示的十六进制字符串。
HMAC SHA1 散列密钥安装在客户机 OBP 中。
ok set-security-key wanboot-3des key-value
指示 OBP 安装 3DES 加密密钥。如果要使用 AES 加密密钥,请将此值设置为 wanboot-aes。
指定代表该加密密钥的十六进制字符串。
3DES 加密密钥安装在客户机 OBP 中。
ok list-security-keys
Security Keys:
wanboot-hmac-sha1
wanboot-3desok set-security-key key-type
示例 13-2 在客户机 OBP 中安装密钥
以下示例显示了如何在客户机 OBP 中安装散列密钥和加密密钥。显示 WAN boot 服务器上的密钥值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42, type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
此示例使用以下信息:
指定客户机子网的 IP 地址
指定客户机的 ID
指定客户机的 HMAC SHA1 散列密钥值
指定客户机的 3DES 加密密钥值
在客户机系统上安装密钥。
下列命令执行如下任务。
将值为 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 散列密钥安装在客户机上
将值为 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密钥安装在客户机上
如果在安装中使用 AES 加密密钥,请将 wanboot-3des 更改为 wanboot-aes。
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
接下来的步骤
在客户机上安装了密钥后,便可通过 WAN 安装客户机。有关说明,请参见安装客户机。
另请参见
有关如何显示密钥值的更多信息,请参见 wanbootutil(1M) 手册页。
您可以在正在运行的系统中的 wanboot 程序 boot> 提示符下设置密钥值。如果使用此方法来安装密钥,则密钥只能用于当前的 WAN boot 安装。
开始之前
此过程进行了以下假设:
客户机系统已经打开。
可以通过安全连接访问客户机,例如安全 shell (ssh)。
# wanbootutil keygen -d -c -o net=net-IP,cid=client-ID,type=key-type
客户机子网的 IP 地址。
要安装的客户机的 ID。客户机 ID 可以是用户定制的 ID,也可以是 DHCP 客户机 ID。
要在客户机上安装的密钥的类型。有效的密钥类型包括 3des、aes 或 sha1。
将显示密钥的十六进制值。
注 - 角色包含授权和具有特权的命令。有关角色的更多信息,请参见《System Administration Guide: Security Services》中的"Configuring RBAC (Task Map)"。
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value
指定步骤 2 中显示的十六进制字符串。
示例 13-3 在运行中的客户机系统的 OBP 中安装密钥
以下示例显示了如何在运行中的客户机的 OBP 中安装密钥。
显示 WAN boot 服务器上的密钥值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
此示例使用以下信息:
指定客户机子网的 IP 地址
指定客户机的 ID
指定客户机的 HMAC SHA1 散列密钥值
指定客户机的 3DES 加密密钥值
如果在安装过程中使用 AES 加密密钥,请将 type=3des 更改为 type=aes 以显示加密密钥值。
在运行中的客户机的 OBP 中安装密钥。
下列命令执行如下任务:
将值为 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 散列密钥安装在客户机上
将值为 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密密钥安装在客户机上
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04
接下来的步骤
在客户机上安装了密钥后,便可通过 WAN 安装客户机。有关说明,请参见安装客户机。
另请参见
有关如何显示密钥值的更多信息,请参见 wanbootutil(1M) 手册页。
有关如何在运行中的系统中安装密钥的额外信息,请参见 ickey(1M) 手册页。
|