| Ignorar Links de Navegao | |
| Sair do Modo de Exibio de Impresso | |
|
Guia de instalação do Oracle Solaris 10 1/13: instalações baseadas em rede Oracle Solaris 10 1/13 Information Library (Português (Brasil)) |
| Ignorar Links de Navegao | |
| Sair do Modo de Exibio de Impresso | |
|
|
Guia de instalação do Oracle Solaris 10 1/13: instalações baseadas em rede Oracle Solaris 10 1/13 Information Library (Português (Brasil)) |
Parte I Planejando a instalação através da rede
1. Onde encontrar informações de planejamento de instalações Oracle Solaris
2. Pré-configurando informações de configuração do sistema (tarefas)
3. Pré-configurando com um serviço de nomeação ou DHCP
Parte II Instalando em uma rede de área local
4. Instalando a partir de uma rede (visão geral)
5. Instalando a partir da rede com mídia de DVD (tarefas)
6. Instalação a partir da rede com mídia de CD (tarefas)
7. Corrigindo a imagem da minirraiz (tarefas)
8. Instalando através de uma rede (exemplos)
9. Instalando a partir da rede (referência de comando)
Parte III Instalando através de uma rede de área ampla
10. Inicialização WAN (visão geral)
11. Preparando para instalar com Inicialização WAN (planejamento)
12. Instalando com o Inicialização WAN (tarefas)
Instalando através de uma rede de longa distância (WAN) (mapas de tarefas)
Configurando o servidor de inicialização WAN
Criando o diretório raiz de documentos
Criando a minirraiz de inicialização WAN
SPARC: Como criar uma minirraiz de inicialização WAN
Verificando o suporte a inicialização WAN no cliente
Como verificar o OBP do cliente quanto ao suporte a inicialização WAN
Instalando o programa wanboot no servidor de inicialização WAN
SPARC: Como instalar o programa wanboot no servidor de inicialização WAN
Criando a hierarquia /etc/netboot no servidor de inicialização WAN
Como criar a hierarquia /etc/netboot no servidor de inicialização WAN
Copiando o programa CGI de inicialização WAN para o servidor de inicialização WAN
Como copiar o programa wanboot-cgi para o servidor de inicialização WAN
Como configurar o servidor de logs de inicialização WAN
Criando os arquivos de instalação JumpStart
Como criar o arquivo JumpStart rules
Criando scripts de início e de fim
Criando os arquivos de configuração
Como criar o arquivo de configuração do sistema
Como criar o arquivo wanboot.conf
Fornecendo informações de configuração com um servidor DHCP
13. SPARC: Instalação com a inicialização WAN (tarefas)
14. SPARC: Instalando com inicialização WAN (exemplos)
15. Inicialização WAN (referência)
A. Solução de problemas (tarefas)
Para proteger seus dados durante a transferência do servidor de inicialização WAN para o cliente, é possível utilizar HTTP com Secure Sockets Layer (HTTPS). Para utilizar a configuração de instalação mais segura que é descrita em Configuração de instalação segura do Inicialização WAN, é necessário ativar seu navegador da web para utilizar HTTPS.
Se não desejar realizar uma inicialização WAN segura, ignore os procedimentos desta seção. Para continuar a preparar sua instalação menos segura, consulte Criando os arquivos de instalação JumpStart.
Para permitir que o software do servidor Web no servidor de inicialização WAN utilize HTTPS, é necessário realizar as tarefas a seguir.
Ative o suporte a SSL (Secure Sockets Layer) no software do servidor Web.
Os processos para ativar o suporte a SSL e autenticação de clientes variam de acordo com o servidor Web. Este documento não descreve como ativar esses recursos de segurança em seu servidor Web. Para obter informações sobre esse recursos, consulte a documentação do servidor Web. Para obter informações sobre como ativar o SSL no servidor Web Apache, consulte o Apache Documentation Project em http://httpd.apache.org/docs-project/.
Instale certificados digitais no servidor de inicialização WAN.
Para obter informações sobre o uso de certificados digitais com a inicialização WAN, consulte Como usar certificados digitais para autenticação de servidor e de cliente.
Forneça um certificado confiável ao cliente.
Para obter instruções sobre como criar um certificado confiável, consulte Como usar certificados digitais para autenticação de servidor e de cliente.
Crie uma chave de hash e uma chave de criptografia.
Para obter instruções sobre como criar chaves, consulte Como criar uma chave de hash e uma chave de criptografia.
(Opcional) Configure o software do servidor Web para suportar autenticação de cliente.
Para obter informações sobre como configurar seu servidor Web para suportar autenticação de cliente, consulte a documentação do servidor Web.
Esta seção descreve como utilizar certificados digitais e chaves na instalação de inicialização WAN.
O método de instalação de inicialização WAN pode utilizar arquivos PKCS#12 para realizar uma instalação via HTTPS com autenticação de servidor ou de cliente e servidor. Para ver os requisitos e orientações sobre o uso de arquivos PKCS#12, consulte Requisitos de certificados digitais.
Caso não queira executar uma inicialização WAN segura, pule para Criando os arquivos de instalação JumpStart.
Antes de começar
Antes de dividir um arquivo PKCS#12, crie os subdiretórios apropriados da hierarquia /etc/netboot no servidor de inicialização WAN.
Para informações de visão geral que descreva a hierarquia /etc/netboot , consulte Armazenando informações de configuração e segurança na hierarquia /etc/netboot.
Para obter instruções sobre como criar a hierarquia /etc/netboot , consulte Criando a hierarquia /etc/netboot no servidor de inicialização WAN.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-IP/client-ID/truststore
Divide um arquivo PKCS#12 em arquivos separados de chave privada e de certificado.
Especifica o nome do arquivo PKCS#12 a dividir.
Insere o certificado no arquivo truststore do cliente. net-IP é o endereço IP da sub-rede do cliente. client-ID pode ser um ID definido pelo usuário ou um ID do cliente DHCP.
Insira o certificado de cliente no arquivo certstore do cliente.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-IP/client-ID/certstore -k keyfile
Especifica o nome do arquivo PKCS#12 a dividir.
Insira o certificado de cliente no arquivo certstore do cliente. net-IP é o endereço IP da sub-rede do cliente. client-ID pode ser um ID definido pelo usuário ou o ID do cliente DHCP.
Especifica o nome do arquivo da chave privada SSL do cliente a criar a partir do arquivo dividido PKCS#12.
Insira a chave privada no keystore do cliente.
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-IP/client-ID/keystore -o type=rsa
Insere uma chave SSL privada no keystore. do cliente
Especifica o nome do arquivo da chave privada do cliente que foi criado na etapa anterior
Especifica o caminho para o keystore do cliente
Exemplo 12-4 Criando um certificado confiável para autenticação do servidor
No exemplo a seguir, você usa um arquivo PKCS#12 para instalar o cliente 010003BA152A42 na sub-rede 192.168.198.0. Esse exemplo de comando extrai um certificado de um arquivo PKCS#12 denominado client.p12. O comando coloca o conteúdo do certificado confiável no arquivo truststore do cliente.
Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor Web. Neste exemplo, a função do usuário do servidor Web é nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore
Próximas etapas
Depois de criar um certificado digital, crie uma chave de hash e uma chave de criptografia. Para obter instruções, consulte Como criar uma chave de hash e uma chave de criptografia.
Consulte também
Para obter mais informações sobre como criar certificados confiáveis, consulte a página man wanbootutil(1M).
Se quiser utilizar HTTPS para transmitir seus dados, é necessário criar uma chave de hash HMAC SHA1 e uma chave de criptografia. Se você planeja instalar através de uma rede semiprivada, talvez não queira criptografar os dados de instalação. É possível utilizar uma chave de hash HMAC SHA1 para verificar a integridade do programa wanboot.
Caso não queira executar uma inicialização WAN segura, pule para Criando os arquivos de instalação JumpStart.
# wanbootutil keygen -m
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=sha1Cria a chave de hash do cliente a partir da chave mestre.
Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.
Especifica o endereço IP da sub-rede do cliente. Se você não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore e poderá ser usada por todos os clientes de inicialização WAN.
Especifica o ID do cliente. O ID do cliente pode ser definido pelo usuário ou pode ser o ID do cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-IP/keystore. Essa chave pode ser usada por todos os clientes de inicialização WAN na sub-rede net-IP.
Instrui o utilitário wanbootutil keygen a criar uma chave de hash HMAC SHA1 para o cliente.
Você precisará criar uma chave de criptografia para realizar uma instalação de inicialização WAN via HTTPS. Antes do cliente estabelecer uma conexão HTTPS com o servidor de inicialização WAN, o servidor de inicialização WAN transmite os dados criptografados e as informações para o cliente. A chave de criptografia permite que o cliente descriptografe estas informações e utilize-as durante a instalação.
Se só desejar verificar a integridade do programa wanboot, não é necessário criar uma chave de criptografia. ConsulteInstalando chaves no cliente.
# wanbootutil keygen -c -o [net=net-IP,{cid=client-ID,}]type=key-typeCrie a chave de criptografia do cliente.
Indica que opções adicionais estão incluídas para o comando wanbootutil keygen.
Especifica o endereço IP de rede do cliente. Se não utilizar a opção net, a chave será armazenada no arquivo /etc/netboot/keystore e poderá ser usada por todos os clientes de inicialização WAN.
Especifica o ID do cliente. O ID do cliente pode ser um valor definido pelo usuário ou o ID de cliente DHCP. A opção cid deverá ser precedida por um valor net= válido. Se você não especificar a opção cid com a opção net, a chave será armazenada no arquivo /etc/netboot/ net-ip/keystore. Esta chave pode ser usada por todos os clientes com inicialização WAN na sub-rede net-ip.
Instrui o utilitário wanbootutil keygen a criar uma chave de criptografia para o cliente. key-type pode ter um valor de 3des ou aes.
Exemplo 12-5 Criando as chaves necessárias para a instalação de inicialização WAN via HTTPS
O exemplo a seguir cria uma chave mestre HMAC SHA1 para o servidor de inicialização WAN. Este exemplo também cria uma chave de hash HMAC SHA1 e uma chave de criptografia 3DES para o cliente 010003BA152A42 na sub-rede 192.168.198.0.
Antes de executar esses comandos, é necessário primeiro assumir a mesma função de usuário que o usuário do servidor Web. Neste exemplo, a função do usuário do servidor Web é nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Próximas etapas
Depois de criar um hashing e uma chave de criptografia, será preciso criar os arquivos de instalação. Para obter instruções, consulte Criando os arquivos de instalação JumpStart
Para obter instruções sobre como instalar chaves no cliente, consulte Instalando chaves no cliente.
Consulte também
Para obter informações gerais sobre chaves de hash e chaves de criptografia, consulte Protegendo dados durante a Instalação Inicialização WAN.
Para obter mais informações sobre como criar chaves de hashing e chaves de criptografia, consulte a página man wanbootutil(1M).
|