/usr/sbin/installadm [subcommand] [-h|--help]
installadm help [subcommand]
installadm create-service [-n <svcname>]
[-p <prefix>=<origin>
[-K <keypath> -C <certpath>]]
[-a <architecture>]
[-s <FMRI/ISO> |
-t <existing_service>]
[-b <boot property>=<value>,... | -G <grub.cfg>]
[-i <dhcp_ip_start> -c <count_of_ipaddr>]
[-B <server_ipaddr>]
[-M <manifest file>]
[-d <imagepath>]
[-y]
installadm set-service [options] -n <svcname>
[-t <existing_service>]
[-M <manifest name>]
[-d <imagepath>]
[-e | -D]
[-G [none|<grub.cfg>]
[-b [none|<property>=<value>[,... ]]
[-p <policy>]]
[-x [--hash <ca-hash>]]
[-A <ca-certfile>...]
[-C <certfile> -K <keyfile>]
[-g] [-E] [-H]
installadm update-service [-s FMRI]
[-p <publisher>=<origin>
[-K <keypath> -C <certpath>]]
-n <svcname>
installadm rename-service -n <svcname> -N <newsvcname>
installadm enable -n <svcname>
installadm disable -n <svcname>
installadm delete-service [-r] [-y] -n <svcname>
installadm list [-a|--all | -s|--server -c|--client -m|--manifest -p|--profile]
[-v|--verbose] [-n|--service <svcname>]
installadm list [-v|--verbose] -e|--macaddr <macaddr>
installadm create-manifest -n <svcname>
-f filename [-m manifest] [-d]
[-c <criteria>=<value|list|range> ... |
-C <criteriafile>]
installadm update-manifest -n <svcname>
-f <filename> [-m <manifest>]
installadm update-manifest -n <svcname>
-f <filename> [-m <manifest>]
installadm delete-manifest -n <svcname> -m <manifest>
installadm create-profile -n <svcname> -f <filename> ...
[-p <profile>]
[-c <criteria>=<value|list|range> ... |
-C <criteriafile>]
installadm update-profile -n <svcname> -f <filename>
[-p <profile>]
installadm delete-profile -n <svcname> -p <profile> ...
installadm export [-o <path>] -n <svcname>
[-m <manifest name>]... [-p <profile name>]...
installadm export [-o <path>]
-n <svcname> | -e <macaddr>
-G
installadm export [-o <path>]
-s | -n <svcname> | -c | -e <macaddr>
[-C] [-K] [-A]
installadm validate -n <svcname>
[-M <manifest_path>]...
[-m <manifest_name>]...
[-P <profile_path>]...
[-p <profile_name>]...
installadm set-criteria -n <svcname>
[-m <manifest>] [-p <profile>]...
[[-c <criteria>=<value|list|range>]... |
[-C <criteria.xml>] |
[-a <criteria>=<value|list|range>]... |
[-d <criteria>]... |
[-D]]
installadm create-client -n <svcname>
-e <macaddr>
[-b <property>=<value>,...]
[-G <grub.cfg>]
installadm set-client -e <macaddr>
[-n <svcname>]
[-b [none|<property>=<value>,... ]]
[-G [none|<grub.cfg>]
[-g]
[-x [-y] [--hash <ca-hash>]
[-A <ca-certfile>]...
[-C <certfile> -K <keyfile>]
[-E]
[-H]
installadm set-server
[-i <dhcp_ip_start> -c <count_of_ipaddr>]
[-p <port>]
[-P <secure_port>]
[-d <directory>]
[-l all|<CIDR>[,...] | [-L none|<CIDR>[,...]]]
[-m | -M]
[-u | -U]
[-z | -Z]
[-s | -S]
[[-D]
[-x [-r] [--hash <ca-hash>]]
[-g]
[-A <ca-certfile>...]
[-C <certfile> -K <keyfile>]
[-E]
[-H]]
installadm execute -f <file>
installadm は対話形式で個々のサブコマンドを使って呼び出すことも、一連のサブコマンドが含まれているコマンドファイルを指定して呼び出すこともできます。
自動インストーラ (AI) は、1 つ以上の SPARC および x86 システムにネットワーク経由で Oracle Solaris OS を自動インストールするために使用します。
ネットワーク経由で AI を使用するために必要なマシントポグラフィーは、インストールサーバー、DHCP サーバー (これはインストールサーバーと同じシステムでもよい)、およびインストールクライアントです。インストールサーバーでは、AI ブートイメージ (クライアントがネットワーク経由でブートするために提供される)、入力仕様 (AI マニフェストと派生したマニフェストスクリプトのいずれかがクライアント用に選択される)、およびサービス管理機能 (SMF) 構成プロファイル (このうちゼロ個以上がクライアント用に選択される) が含まれるようにインストールサービスが設定されます。
AI ブートイメージの内容は、パッケージ install-image/solaris-auto-install として公開され、create-service サブコマンドでインストールされます。 create-service サブコマンドを使用すると、AI ブートイメージを作成する AI ISO ファイルを受け入れて、展開することもできます。
インストールサービスはデフォルトの AI マニフェストを使用して作成されますが、create-manifest サブコマンドを使用して、カスタマイズされたマニフェストまたは派生したマニフェストスクリプト (今後は「スクリプト」と呼びます) をインストールサービスに追加できます。マニフェストおよび派生したマニフェストスクリプトの作成方法の詳細は、Oracle Solaris 11.2 システムのインストール を参照してください。create-manifest サブコマンドを使用して、インストールクライアント用に選択するマニフェストまたはスクリプトを決定する際に使用される条件を指定することもできます。すでにマニフェストまたはスクリプトに関連付けられている条件は、set-criteria サブコマンドを使用して変更できます。
マニフェストには、ターゲットデバイス、パーティション情報、パッケージの一覧、その他のパラメータなどの情報を含めることができます。スクリプトには、実行中の AI クライアントシステムを照会し、検索した情報に基づいてカスタムマニフェストを作成するコマンドが含まれています。スクリプトで AI が起動されると、AI はそのスクリプトを最初のタスクとして実行し、マニフェストを生成します。
クライアントがブートすると、クライアントのマシン条件に一致するマニフェストまたはスクリプトの検索が開始されます。一致するマニフェストまたはスクリプトが見つかると、一致するマニフェストファイルの仕様、または一致するスクリプトから派生したマニフェストファイルの仕様に従って、クライアントに Oracle Solaris リリースがインストールされます。各クライアントは、マニフェストまたはスクリプトを 1 つだけ使用できます。
各サービスには、デフォルトのマニフェストまたはスクリプトが 1 つ含まれています。このデフォルトは、インストールされるシステムに一致するマニフェストまたはスクリプトの条件がほかに存在しない場合に使用されます。任意のマニフェストまたはスクリプトをデフォルトとして指定できます。デフォルトマニフェストは関連付けられた条件を持つことができ、これを使って一致するマニフェストの検索が試みられますが、ほかに一致するマニフェストが見つからない場合には、これがデフォルトとして返されます。条件が関連付けられていないマニフェストまたはスクリプトは、デフォルトのマニフェストまたはスクリプトとしてのみ使用できます。条件がないマニフェストまたはスクリプトは、別のマニフェストまたはスクリプトがデフォルトに指定されると非アクティブになります。
システム構成プロファイルは、インストールの仕様も含むという点で、マニフェストやスクリプトを補完するものです。プロファイルは、特にユーザー名、ユーザーパスワード、タイムゾーン、ホスト名、IP アドレスなどの構成情報を指定するために使用されます。プロファイルには、インストール時に、インストールされるクライアントに適した値に置き換えられる変数が含まれていることがあります。このように、単一のプロファイルファイルで、さまざまなクライアントにさまざまな構成パラメータを設定できます。「使用例」のセクションを参照してください。
システム構成プロファイルは smf(5) によって処理され、ドキュメント形式 service_bundle(4) に準拠しています。システム構成プロファイルの詳細は、sysconfig(1M) およびOracle Solaris 11.2 システムのインストール の第 11 章クライアントシステムの構成を参照してください。各クライアントは、任意の数のシステム構成プロファイルを使用できます。特定の SMF プロパティーは、クライアントシステムごとに 1 回しか指定できません。
特定のクライアントが特定のインストールサービスを使用する場合は、create-client サブコマンドを使用してクライアントをサービスに関連付けることができます。set-client を使用して既存のクライアントを変更することもできます。
自動インストールは、TLS (Transport Layer Security) プロトコルを使用してセキュリティー保護できます。個人証明書と鍵ペアおよび認証局 (CA) 証明書をインストールサーバーやクライアントに割り当てることができます。SPARC クライアントのブートファイルのネットワークダウンロードは、OBP ハッシュダイジェストおよび暗号化鍵を使用してさらにセキュリティー保護されます。自動インストールは、次の方法でセキュリティー保護できます。
サーバー認証: サーバーの識別情報を確認できます。
クライアント認証: クライアントの識別情報を確認できます。
自動インストールへのアクセスを制御できます。
サーバーデータへのアクセスを制御できます。
クライアントデータは、すべてのクライアントに対して、または指定されたクライアントに対して個別に保護できます。
データがネットワーク経由で読み取られることがないようにデータを暗号化できます。
セキュアな IPS パッケージリポジトリにアクセスできます。
ユーザー指定のディレクトリを、Web サーバーによってセキュアに公開できます。このディレクトリにアクセスするには、クライアント認証が必要です。
installadm ユーティリティーを使用して次のタスクを実行できます。
AI サーバー SMF サービスの構成
インストールサービスおよび別名の設定
特定のインストールサービスのネットイメージを更新する
インストールイメージの設定
クライアントの設定または削除
マニフェストおよびスクリプトの追加、更新、または削除
マニフェストまたはスクリプトに対する条件の指定または変更
マニフェストおよびスクリプトのエクスポート
システム構成プロファイルの追加または削除
プロファイルの検証
プロファイルに対する条件の指定または変更
プロファイルのエクスポート
インストールサービスの有効化または無効化
インストールサービスの一覧表示
インストールサービスのクライアントの一覧表示
インストールサービスのマニフェストおよびスクリプトの一覧表示
インストールサービスのプロファイルの一覧表示
インストールサーバーと AI クライアントの間のセキュアなデータ転送を行います
セキュリティーの有効化または無効化
サブコマンドのバッチを実行する
installadm コマンドには、次のオプションがあります。
すべてのサブコマンドの使用法のメッセージを表示します。
サブコマンドが続く場合は、そのサブコマンドの使用法のメッセージのみを表示します。
installadm コマンドには、次に示すサブコマンドがあります。後述の「使用例」のセクションを参照してください。
使用可能なコマンドのサマリーを表示します。
指定されたサブコマンドのヘルプをさらに表示します。
このサブコマンドは、指定された imagepath ディレクトリにネットワークブートイメージ (ネットイメージ) を設定し、ネットイメージからブートされたクライアントのインストール方法を指定するインストールサービスを作成します。
AI ブートイメージの内容は、パッケージ install-image/solaris-auto-install として公開されています。 –s オプションが指定されない場合は、そのパッケージのインスタンスが記載されているシステムのパブリッシャー設定一覧の 1 番目のパブリッシャーからパッケージがインストールされます。 –s オプションは、pkg の指定を完全な FMRI またはイメージ ISO ファイルの場所として受け入れます。ネットイメージは最終的に imagepath に配置されます。このネットイメージを使用してクライアントインストールを実行できます。
次の仕様に注意してください。
指定されたアーキテクチャーの最初のインストールサービスがインストールサーバー上で作成されると、そのサービスの別名 (default-i386 または default-sparc) が自動的に作成されます。このデフォルトサービスは、create-client サブコマンドを使用して明示的にインストールサーバーに追加されなかったアーキテクチャーのクライアントへのすべてのインストールで使用されます。default-arch サービスに別名が設定されたサービスを変更するには、set-service サブコマンドを使用します。default- arch サービスを更新するには、update-service サブコマンドを使用します。
default-arch の別名が新しいインストールサービスに変更されたときに、ローカル ISC DHCP 構成が見つかった場合は、このデフォルトの別名ブートファイルが、そのアーキテクチャーのデフォルトの DHCP サーバー全体のブートファイルとして設定されます。
クライアントがそのアーキテクチャーのデフォルト以外のインストールサービスを使用する場合は、create-client サブコマンドを使用してクライアント固有の構成を作成する必要があります。
オプションは、次のいずれかです。
オプション: システムによって生成されたサービス名の代わりに、このインストールサービス名を使用します。<svcname> は、英数字、アンダースコア (_)、ハイフン (-) で構成できます。<svcname> の最初の文字をハイフンにすることはできません。svcname の長さは 63 文字を超えることはできません。
–n オプションが指定されなかった場合は、自動的にサービス名が生成されます。デフォルトの名前には、アーキテクチャーや OS バージョン情報が含まれます。
オプション: ネットイメージのデータソースを指定します。これは次のいずれかです。
IPS AI ネットイメージパッケージの FMRI。これはデフォルトです。–s オプションが指定されていない場合、入手可能な最新バージョンの install-image/solaris-auto-install パッケージが使用されます。パッケージは、–p オプションで指定された発行元から、またはパッケージのインスタンスが記載されているインストールサーバーの発行元設定一覧の最初の発行元から取得します。
AI ISO イメージへのパス
オプション: サービスが IPS パッケージから作成されるときに限り適用されます。install-image/solaris-auto-install パッケージを取得する IPS パッケージリポジトリを指定します。たとえば、solaris=http://pkg.oracle.com/solaris/release/ です。
–p オプションが指定されなかった場合、使用される発行元は、パッケージのインスタンスが記載されているインストールサーバーの発行元設定一覧の最初の発行元です。
オプション: サービスが IPS パッケージから作成されるときに限り適用されます。セキュリティー保護されている IPS パブリッシャーの PEM 形式の鍵へのパスを指定します。
オプション: サービスが IPS パッケージから作成されるときに限り適用されます。セキュリティー保護されている IPS パブリッシャーの PEM 形式の証明書へのパスを指定します。
オプション: サービスが IPS パッケージから作成されるときに限り適用されます。このサービスとともにインストールするクライアントのアーキテクチャーを指定します。値は i386 または sparc のいずれかです。デフォルトは、インストールサーバーのアーキテクチャーです。
オプション: ネットイメージを作成するパスを指定します。指定しない場合、イメージは、all_services/default_imagepath_basedir プロパティーの値で定義された場所にある <svcname> ディレクトリに作成されます。このプロパティーのデフォルト値については、「インストールサーバー構成のプロパティー」を参照してください。–y も指定したときを除き、確認プロンプトが表示されます。
オプション: 確認プロンプトを非表示にして、指定されたオプションとデフォルト値を使用してサービスの作成を続行します (–d を参照)。
オプション: この新規サービスは、aliasof インストールサービスの代替名です。
オプション: サービスで使用されるデフォルトマニフェストまたは派生マニフェストスクリプトへのパスを指定するために使用されます。
オプション: x86 クライアント専用。サービスイメージ内のサービス固有のブート構成ファイルにプロパティー値を設定します。このオプションを使用して、このサービスに固有のブートプロパティーを設定します。このオプションには、コンマで区切られた複数の property= value ペアを指定できます。
オプション: 新しい GRUB2 メニューファイルを割り当てるか、'none' が指定されている場合には削除します。
廃止: これらのオプションは、このコンテキストでの使用が廃止されているため、今後は set-server と同等のものを使用してください。詳細は、set-server のドキュメントを参照してください。
AI サーバーが DHCP を管理するように事前に構成されていない場合、これらのオプションは失敗します。
廃止: このオプションは、このコンテキストでの使用が廃止されているため、今後は set-server と同等のものを使用してください。詳細は、set-server のドキュメントを参照してください。
このサブコマンドは、既存のサービスの変更を可能にします。これらのオプションを 1 つ以上指定する必要があります。
<svcname> を <existing_service> インストールサービスの別名にします。
指定されたサービスにすでに登録されている特定のマニフェストまたは派生マニフェストスクリプトを、そのサービスのデフォルトマニフェストまたは派生マニフェストスクリプトに指定します。このサービスに登録されているマニフェストおよび派生マニフェストスクリプトの一覧を表示するには、installadm list コマンドを使用します。
$ installadm list -n <svcname> -m
イメージを新しいイメージパスに再配置します。
サービスを有効または無効にします。
新しい GRUB2 メニューファイルを割り当てるか、'none' が指定されている場合には削除します。
GRUB メニューのブート引数を設定するか、'none' が指定されている場合には削除します。
インストールサービスには、次のいずれかのセキュリティー設定のみを割り当てることができます。<policy> は、次の、セキュリティーの高い順に示されたセキュリティーポリシー設定のいずれかにできます。
AI クライアントの識別情報を確認します。指定されたサービスのすべてのクライアントにクライアントおよびサーバー認証が必要です。このサービスのすべての SPARC クライアントに定義済みの OBP 鍵が必要です。
AI インストールサーバーの識別情報を確認します。指定されたサービスのすべてのクライアントでサーバー認証を実行する必要があります。クライアント認証はオプションですが、割り当てられたクライアント資格は、すべて指定する必要があります。このサービスのすべての SPARC クライアントに定義済みの OBP 鍵が必要です。
認証されたクライアントと認証されていないクライアントの両方がインストールサービスにアクセスできるようにします。クライアント認証はオプションですが、割り当てられたクライアント資格は、すべて指定する必要があります。これはデフォルトの動作です。
x86 インストールサービスでの SSL/TLS のエンドツーエンドの暗号化を有効にします。認証は実行されません。
指定されたサービスのすべてのクライアントのすべてのセキュリティーを無効にします。
サービスの任意のセキュリティー構成か、–-hash が指定されている場合には特定の CA を削除します。–y を指定すると、確認を求めるプロンプトは表示されません。
X.509 のすべてのセキュリティー資格を自動的に生成して割り当て、OBP 鍵を生成します。CA 証明書と OBP 鍵は、それらがまだ存在していない場合にのみ生成されます。
パス <ca-certfile> にある、ユーザー指定の PEM エンコードされた X.509 認証局 (CA) 証明書を割り当てます。各 CA 信頼チェーンは 1 回だけ指定する必要があります。CA チェーンに複数の CA 証明書ファイルが含まれる場合は、複数の –A オプションを使用します。
–C は、パス <certfile> にある、ユーザー指定の PEM エンコードされた X.509 証明書を割り当てます。
–K は、パス <keyfile> にある、ユーザー指定の PEM エンコードされた X.509 非公開鍵を割り当てます。<keyfile> は、パスフレーズがすべて削除されている必要があります。
–C オプションは、–K オプションとともに使用する必要があります。–C および –K オプションのみを指定する場合は、関連付けられた CA 証明書が事前に割り当てられている必要があります。
–A オプションも指定する場合、これらの CA 証明書に対してこの証明書および鍵が検証されます。
SPARC OBP ファームウェアのセキュリティー暗号化鍵を再生成します。既存の鍵をすべて無効にします。
–g、–C、–K、または –A オプションを使用すると、OBP 鍵がまだ存在していない場合に OBP 鍵が自動的に生成されます。これらの鍵が生成されたら、–E および –H オプションを使用すると既存の鍵を置き換えることができます。OBP 鍵が存在する前に –E または –H オプションを指定すると、エラーになります。両方の OBP 鍵オプションを指定することも、–E または –H のどちらかを指定することもできます。すでに存在する OBP 鍵は無効にされ、新しく生成された値に置き換えられます。
SPARC OBP ファームウェアのセキュリティーハッシュ鍵 (HMAC) を再生成します。既存の鍵をすべて無効にします。
<svcname> に関連付けられたイメージを更新します。<svcname> は、IPS AI ネットイメージパッケージを使用して作成されたサービスの別名です。更新されたイメージを使用して新規サービスが作成され、新規サービスに別名として <svcname> が設定されます。
必須の引数は次のとおりです。
更新するインストールサービスの名前を指定します。これは、IPS ネットイメージパッケージを使用して作成されたサービスの別名である必要があります。
[options] は次の 1 つ以上になります。
< svcname> イメージを更新する IPS パッケージリポジトリ。次に値の例を示します。
solaris=http://pkg.oracle.com/solaris/release/
証明書と鍵をパブリッシャーに指定するには、次のオプションを使って、使用する鍵と証明書ファイルへのパスを指定します。
–p オプションが指定されていない場合、<svcname> が別名であるサービスのイメージの作成に使用されたパブリッシャーが使用されます。パッケージパブリッシャーは、そのサービスの詳細出力で表示できます。
更新用ネットイメージパッケージの FMRI。
–s オプションが指定されていない場合、入手可能な最新バージョンの install-image/solaris-auto-install パッケージが、–p オプションの記述子で指定された発行元から使用されます。
インストールサービス <svcname> の名前を <newsvcname> に変更します。
<newsvcname> は、英数字、アンダースコア (_)、ハイフン (-) で構成できます。<newsvcname> の最初の文字をハイフンにすることはできません。<newsvcname> の長さは 63 文字を超えることはできません。
廃止: このサブコマンドは set-service サブコマンドの –-enable オプションよりも優先して廃止されています。
svcname インストールサービスを有効にします。
廃止: このサブコマンドは set-service サブコマンドの –-enable オプションよりも優先して廃止されています。
svcname インストールサービスを無効にします。
インストールサービスを削除します。
このインストールサービスのマニフェスト、プロファイル、クライアント構成ファイル、および Web サーバー構成を削除します。
サービスをインスタンス化するために使用されたイメージを削除します。
次の条件が存在する場合、このサービスに関連付けられたブートファイルは ISC DHCP 構成から削除されます:
このサービスはデフォルトの別名です。
ローカル ISC DHCP 構成が存在します。
all_services/manage_dhcp プロパティー値は true です。
必須の引数は次のとおりです。
削除するインストールサービス名を指定します。
[options] は次の 1 つ以上になります。
指定された場合は、このサービスに割り当てられたクライアント、およびこのサービスに別名が設定されたサービスも削除されます。
確認プロンプトを非表示にして、サービスの削除を続行します。
オプションなしの場合、AI サーバー上のすべてのサービスのサマリーを一覧表示します。次のオプションを使用できます。
より詳細な一覧を生成します
AI サーバーの構成、および AI サーバー上のサーバー、サービス、クライアント、マニフェスト、およびプロファイルに関する情報をツリー状の出力に一覧表示します。
–v または –n オプションと組み合わせる場合にのみ使用できます。
フィルタのように動作し、サーバー上の指定した <svcname> のクライアント、マニフェスト、またはプロファイルのみを表示します。
このオプションは、–a、–c、–m、または –p オプションのフィルタ処理に使用できます。
指定された <macaddress> の特定情報のみを一覧表示します。
–v オプションとの組み合わせでのみ使用できます。
サーバー構成に関する情報を一覧表示します。
–n オプションと同時には使用できません。
ローカルサーバー上のインストールサービスのクライアントを一覧表示します。
–n オプションと組み合わせて使用する場合は、指定されたサービスのマニフェストとスクリプトのみを表示します。
各マニフェストの条件を含む、ローカルサーバー上のインストールサービスに関連付けられたマニフェストおよび派生マニフェストスクリプトを表示します。アクティブでないマニフェストにはラベルが付けられます。アクティブでないマニフェストは、関連する条件を持たず、そのサービスのデフォルトマニフェストではありません。
–n オプションと組み合わせて使用する場合は、指定されたサービスのマニフェストとスクリプトのみを表示します。
各プロファイルの条件を含む、ローカルサーバー上のインストールサービスに関連付けられたプロファイルを表示します。
–n オプションと組み合わせて使用する場合は、指定されたサービスのプロファイルのみを表示します。
一覧の出力にユーザーがアクセスできないフィールドが含まれている (つまり、ユーザーが十分な認証を取得していない) 場合、これらのフィールドは常に出力で非表示になります。この種のフィールドの例としては、セキュリティーが有効か無効か、セキュリティー資格などに関連したフィールドが挙げられます。
特定のインストールサービスのマニフェストまたは派生したマニフェストスクリプトを作成します (したがって、サービスの作成とは別に、マニフェストまたはスクリプトをネットワーク上で使用可能にします)。デフォルト以外のマニフェストまたはスクリプトは、条件が関連付けられている場合にのみ使用できます (アクティブにできます)。条件は、コマンド行で (–c)、または条件 XML ファイルで (–C) 入力できます。
マニフェストの名前は次の順序で決定されます。
–m オプションで指定された manifest 名 (存在する場合)。
ai_instance name 属性の値 (マニフェストに存在する場合)。
filename のベース名。
必須の引数は次のとおりです。
このマニフェストまたはスクリプトが関連付けられるインストールサービスの名前を指定します。
追加するマニフェストまたは派生マニフェストスクリプトのパス名を指定します。
[options] は、次の 1 つ以上にできます。
マニフェストまたは派生マニフェストスクリプトの AI インスタンス名を指定します。マニフェストの ai_instance 要素の name 属性を manifest に設定します。このマニフェストまたはスクリプトは、以降の installadm コマンドおよび installadm list 出力の manifest で参照されます。
追加されたマニフェストまたはスクリプトに関連付けられる条件を指定します。後述の「条件」のセクションを参照してください。–c オプションは複数回指定できます。
追加されたマニフェストまたはスクリプトに関連付けられる条件を含む条件 XML ファイルのパス名を指定します。
このマニフェストまたはスクリプトがサービスの新しいデフォルトのマニフェストまたはスクリプトであることを指定します。
特定のマニフェストまたは派生マニフェストスクリプトを <svcname> インストールサービスから更新します。指定されたマニフェストまたはスクリプトを filename の内容で置き換えます。マニフェストまたはスクリプトの条件やデフォルトステータスは更新後もそのままです。
マニフェストの名前は次の順序で決定されます。
–m オプションで指定された manifest (存在する場合)。
ai_instance name 属性の値 (変更されたマニフェストに存在する場合、および既存のマニフェストの ai_instance name 値と一致する場合)。
filename のベース名 (既存のマニフェストの ai_instance name 属性値と一致する場合)、または installadm list で指定された名前 (既存のスクリプトの名前と一致する場合)。
必須の引数は次のとおりです。
更新するマニフェストまたはスクリプトのインストールサービスの名前を指定します。
置換用のマニフェストまたは派生マニフェストスクリプトのパス名を指定します。
オプションで、次を指定できます。
置換用のマニフェストまたはスクリプトの AI インスタンス名を指定します。
特定のインストールサービスで公開されたマニフェストまたは派生マニフェストスクリプトを削除します。デフォルトのマニフェストまたはスクリプトは削除できません。
必須の引数は次のとおりです。
削除するマニフェストまたはスクリプトのインストールサービスの名前を指定します。
–n オプションを付けた installadm list で出力されるマニフェストまたは派生マニフェストスクリプトの AI インスタンス名を指定します。
特定のインストールサービスのプロファイルを作成します。必要に応じて、条件をコマンド行で入力する (–c) か、または条件 XML ファイルに入力する (–C) ことで、プロファイルに条件を関連付けることができます。条件なしで作成されたプロファイルは、サービスのすべてのクライアントに関連付けられます。
プロファイルの名前は次の順序で決定されます。
–p オプションで指定された profile (存在する場合)。
filename のベース名。
プロファイル名は AI サービスで一意である必要があります。複数の –f オプションを使用して同じ条件を持つ複数のプロファイルを作成すると、–p オプションは無効になり、プロファイルの名前はファイル名から派生します。
必須の引数は次のとおりです。
必須: 作成するプロファイルのインストールサービスの名前を指定します。
必須: プロファイルを追加するために使用するファイルのパス名を指定します。複数のプロファイルを指定できます。
[options] は、次の 1 つ以上にできます。
オプション: 作成するプロファイルの名前を指定します。1 つのプロファイルを作成する場合にのみ有効です。
オプション: プロファイルに関連付ける条件を指定します。後述の「条件」のセクションを参照してください。複数の –c オプションを指定できます。
オプション: 指定されたプロファイルに関連付けられる条件を含む条件 XML ファイルのパス名を指定します。
<svcname> インストールサービスから指定されたプロファイルを更新します。指定されたプロファイルを filename の内容で置き換えます。プロファイルの条件は更新後もそのままです。
更新するプロファイルは、次の順序で決定されます:
–p オプションで指定された profile (存在する場合)。
filename のベース名。
必須: 更新するプロファイルのインストールサービスの名前を指定します。
必須: プロファイルを追加するために使用するファイルのパス名を指定します。
オプション: 更新するプロファイルの名前を指定します。更新するプロファイルの名前が filename のベース名と異なる場合は、このオプションを使用します。
profile プロファイルを <svcname> インストールサービスから削除します。
必須の引数は次のとおりです。
プロファイルが削除されるインストールサービスの名前を指定します。
削除するプロファイルの名前を指定します。複数の –p オプションを指定できます。
export コマンドには、有効なオプションの組み合わせがいくつかあります。最初の要素 [selector] では、出力する項目のソースであるオブジェクトを選択します。
セキュリティー鍵または証明書のソースとして使用するサーバーオブジェクトを指定します。
マニフェスト、プロファイル、GRUB メニュー、セキュリティー鍵や証明書のソースとして使用する特定のサービスを指定します。
セキュリティー鍵または証明書のエクスポートで使用するサーバーのデフォルトクライアントセキュリティーを指定します。
セキュリティー鍵または証明書のソースとして使用するクライアントを、MAC アドレスで指定します。
次の要素 [items] では、出力する 1 つまたは複数の項目を指定します。
指定されたサービスからエクスポートするマニフェストまたは派生マニフェストの名前を指定します。複数の –m オプションを指定できます。
指定されたサービスからエクスポートするプロファイルの名前を指定します。複数の –p オプションを指定できます。
サーバーまたはクライアントで使用中の GRUB2 メニュー (grub.cfg) ファイルを出力します。
これは、–n または –e オプションとの組み合わせでのみ使用できます。
指定されたサーバー、サービス、またはクライアントの PEM エンコードされた X.509 証明書を出力します。
これは、選択オプション –n、–e、–s、–c のいずれかと組み合わせて使用できます。
指定されたサーバー、サービス、またはクライアントの PEM エンコードされた X.509 非公開鍵を出力します。
これは、選択オプション –n、–e、–s、–c のいずれかと組み合わせて使用できます。
PEM エンコードされた X.509 認証局 (CA) 証明書、および指定された <hash> 値を出力します。
このオプションは、繰り返すことで複数の CA 証明書をエクスポートすることも、選択オプション –n、–e、–s、–c のいずれかと組み合わせて使用することもできます。
指定されたプロファイルまたはマニフェストを検証します。validate サブコマンドは、データベース内のプロファイルを検証する (–p) か、データベースへの入力前に開発中のプロファイル (–P) またはマニフェスト (–M) を検証するために使用できます。
必須の引数は次のとおりです。
プロファイルまたはマニフェストが関連付けられていて、検証が実行されるサービスを指定します。
[options] は、次の 1 つ以上になります。
指定されたサービスに対して検証を実行する外部マニフェストファイルを指定します。
指定されたサービスに対して検証を実行する既存のマニフェストの名前を指定します。
指定されたサービスに対して検証を実行する外部プロファイルファイルを指定します。
指定されたサービスに対して検証を実行する既存のプロファイルの名前を指定します。
すでに公開されているマニフェスト、派生マニフェストスクリプト、またはプロファイルの条件を更新します。条件はコマンド行または条件 XML ファイルで指定できます。
有効な条件については、create-manifest サブコマンドで説明しています。
必須の引数は次のとおりです。
プロファイルまたはマニフェストが関連付けられたサービスを指定します。
および次の 1 つ以上です。
マニフェストまたは派生マニフェストスクリプトの AI インスタンス名を指定します。
同じ条件が割り当てられた複数のマニフェストを保持することはできないため、指定できるマニフェストは 1 つだけです。
プロファイルの名前を指定します。
[options] は、次のバリエーションのいずれかです。
マニフェスト、スクリプト、またはプロファイルに対する既存のすべての条件の代わりに使用する条件を指定します。指定可能な値については、後述の「条件」のセクションを参照してください。
複数の –c オプションを指定できます。
マニフェスト、スクリプト、またはプロファイルに対する既存のすべての条件の代わりに使用する条件を含む条件 XML ファイルのパス名を指定します。
マニフェスト、スクリプト、またはプロファイルに対する既存の条件に追加する条件を指定します。指定可能な値については、後述の「条件」のセクションを参照してください。指定された条件がすでに存在する場合は、その条件の value|list|range が指定された value|list|range で置換されます。
複数の –a オプションを指定できます。
マニフェスト、スクリプト、またはプロファイルに対する既存の条件から削除する条件を指定します。指定可能な値については、後述の「条件」のセクションを参照してください。
複数の –d オプションを指定できます。
create-service サブコマンドで使用されるデフォルト設定とは異なるカスタムクライアント設定を指定するため、指定されたクライアントの省略可能な設定タスクを実行します。ユーザーは、クライアントにデフォルト以外のサービス名およびブート引数または GRUB2 メニューを指定できます。
既存のクライアントは、installadm set-client サブコマンドを使用して変更可能です。
次の条件が存在する場合、クライアントは ISC DHCP 構成で構成されます:
クライアントが x86 システムです。
ローカル ISC DHCP 構成が存在します。
all_services/manage_dhcp プロパティー値は true です。
必須の引数は次のとおりです。
クライアントインストール用のインストールサービスを指定します。
クライアントの MAC アドレスを指定します。
x86 クライアントの場合のみ、[options] を次のいずれかにできます。
クライアント固有のブート構成ファイル内でプロパティー値を設定します。このオプションを使用して、このクライアントに固有のブートプロパティーを設定します。このオプションには、プロパティー = 値ペアを複数指定することも、何回も繰り返して指定することもできます。
クライアントのブート時に使用するカスタム GRUB2 メニュー (grub.cfg) ファイルを指定します。
必須の引数は次のとおりです。
クライアントの MAC アドレスを指定します。
[options] は、次のいずれかです。
関連付けられている既存のサービスとは異なる場合、このサービスにクライアントを移動します。
SPARC の暗号化鍵およびハッシュを含む、CA 証明書、クライアント証明書および鍵の新しいセットがまだ存在しない場合に、生成します。
クライアントのセキュリティー情報を削除します。これは、次のオプションを使用してさらに変更できます。
確認を求めるプロンプトの非表示を指定します。
コマンドが、この値に一致する CA 証明書だけを削除するように制限します。
パス <ca-certfile> にある、ユーザー指定の PEM エンコードされた X.509 認証局 (CA) 証明書を割り当てます。各 CA 信頼チェーンは 1 回だけ指定する必要があります。CA チェーンに複数の CA 証明書ファイルが含まれる場合は、複数の –A オプションを使用します。
–C は、パス <certfile> にある、ユーザー指定の PEM エンコードされた X.509 証明書を割り当てます。
–K は、パス <keyfile> にある、ユーザー指定の PEM エンコードされた X.509 非公開鍵を割り当てます。<keyfile> は、パスフレーズがすべて削除されている必要があります。
–C オプションは、–K オプションとともに使用する必要があります。–C および –K オプションのみを指定する場合は、関連付けられた CA 証明書が事前に割り当てられている必要があります。
–A オプションも指定する場合、これらの CA 証明書に対してこの証明書および鍵が検証されます。
SPARC クライアントの場合のみ、[options] を次のいずれかにできます。
SPARC OBP ファームウェアのセキュリティー暗号化鍵を再生成します。既存の鍵をすべて無効にします。
–g、–C、–K、または –A オプションを使用すると、OBP 鍵がまだ存在していない場合に OBP 鍵が自動的に生成されます。これらの鍵が生成されたら、–E および –H オプションを使用すると既存の鍵を置き換えることができます。OBP 鍵が存在する前に –E または –H オプションを指定すると、エラーになります。両方の OBP 鍵オプションを指定することも、–E または –H のどちらかを指定することもできます。すでに存在する OBP 鍵は無効にされ、新しく生成された値に置き換えられます。
SPARC OBP ファームウェアのセキュリティーハッシュ鍵 (HMAC) を再生成します。既存の鍵をすべて無効にします。
x86 クライアントの場合のみ、[options] を次のいずれかにできます。
x86 クライアントの場合のみ、GRUB メニューのブート引数を設定するか、'none' が指定されている場合には削除して、サービスの GRUB 構成を復元します。
このクライアントにカスタム GRUB2 メニューがすでに存在する場合、このオプションは失敗します。
x86 クライアントの場合のみ、新しい GRUB2 メニューファイルを割り当てるか、'none' が指定されている場合には削除します。
新しい GRUB2 メニューを追加すると、このクライアント用に指定された既存の boot-args が置換されます。
create-client サブコマンドを使用して事前に設定された既存のクライアントの特定のサービス情報を削除します。
次の条件が存在する場合、クライアントは ISC DHCP 構成で未構成です:
クライアントが x86 システムです。
ローカル ISC DHCP 構成が存在します。
all_services/manage_dhcp プロパティー値は true です。
必須の引数は次のとおりです。
削除するクライアントの MAC アドレスを指定します。
サーバー構成を変更します。
次の仕様に注意してください。
–i および –c オプションを使用し、かつ DHCP サーバーが未構成である場合は、ISC DHCP サーバーが構成されます。
ISC DHCP サーバーがすでに構成されている場合は、その DHCP サーバーが更新されます。
–i および –c 引数が指定され、DHCP が構成されている場合でも、作成されるインストールサービスと IP 範囲との間に結合は存在しません。–i と –c が渡され、all_services/manage_dhcp の値が true の場合は、IP 範囲が設定され、必要に応じて新しい DHCP サーバーが作成され、その DHCP サーバーは使用するすべてのインストールサービスとすべてのクライアントのために実行された状態のままになります。DHCP サーバーに指定されたネットワーク情報には、作成されるサービスとの特定の関係はありません。
インストールサーバーが直接接続され、インストールサーバーがマルチホームになっているサブネット上に要求された IP 範囲が存在しない場合は、–B オプションを使用してブートファイルサーバーのアドレス (通常はこのシステム上の IP アドレス) を指定します。これは、インストールサーバー上で複数の IP アドレスが構成され、DHCP リレーが採用されている場合にのみ必要です。その他のすべての構成では、ソフトウェアでこれを自動的に決定できます。
[options] は、次の 1 つ以上になります。
AI インストールサービス Web サーバーをホストするポートを指定します。デフォルトでは、Web サーバーはポート 5555 でホストされます。
デフォルトとは異なるポート番号を使用する場合は、インストールサービスを作成する前にportプロパティーをカスタマイズしてください。
セキュアな AI インストールサービス Web サーバーをホストするポートを指定します。デフォルトでは、Web サーバーはポート 5556 でホストされます。
installadm create-service コマンドによって作成されるイメージのデフォルトの場所を指定します。イメージは、<directory>/service_name にあります。このプロパティーのデフォルト値は /export/auto_install です。
AI マニフェストウィザード Web UI を有効にします (–U オプションと一緒には使用できません)。
AI マニフェストウィザード Web UI を無効にします (–U オプションと一緒には使用できません)。
AI マニフェストウィザードが、生成されたマニフェストを AI サーバー上の一時的な場所に書き込めるようにして、installadm を利用したサービスの追加を容易にする機能を有効にします。–Z オプションと一緒には使用できません。
AI マニフェストウィザードが、生成されたマニフェストを AI サーバー上の一時的な場所に書き込めるようにして、installadm を利用したサービスの追加を容易にする機能を無効にします。–z オプションと一緒には使用できません。
許可するネットワークのカンマ区切りのリストを CIDR 形式 (たとえば、192.168.56.0/24) で受け取ります。
このネットワーク一覧を使用して、このインストールサーバーで処理されるクライアントを指定します。このオプションを使用すると、–l or –L オプションを使ってすでに構成されているすべてのネットワークが置換されます。
このオプションを使用すると、AI インストールサーバー SMF all_services/networks および all_services/exclude_networks の値が設定されます。具体的には、これにより all_services/exclude_networks プロパティーが false に設定されます。
デフォルトでは、AI インストールサーバーがマルチホームになっている場合は、そのサーバーが接続されているすべてのネットワーク上のインストールクライアントを処理するよう構成されます。この状態に戻す場合、ここで特殊な 'all' 値を使用できます。
サービスの提供先を決定する際、サーバーに対しこれらのネットワークを除外するように指示します (–l オプションと一緒には使用できません)。このオプションを使用すると、–l or –L オプションを使ってすでに構成されているすべてのネットワークが置換されます。
許可しないネットワークのカンマ区切りのリストを CIDR 形式 (たとえば、192.168.56.0/24) で受け取ります。
このオプションを使用すると、AI インストールサーバー SMF all_services/networks および all_services/exclude_networks の値が設定されます。具体的には、これにより all_services/exclude_networks プロパティーが true に設定されます。
デフォルトでは、AI インストールサーバーがマルチホームになっている場合は、そのサーバーが接続されているすべてのネットワーク上のインストールクライアントを処理するよう構成されます。この状態に戻す場合、ここで特殊な 'none' 値を使用できます。
DHCP 構成をローカルで管理するように、AI サーバーのプロパティーを構成します。設定する場合、クライアントとサービス構成がインストールサーバーで変更されると、AI サーバーはローカル ISC DHCP 構成を自動的に更新します。
既存の ISC DHCP 構成が存在しない場合は、管理するアドレス範囲を定義するため、–i および –c オプションも指定する必要があります。
–M オプションと一緒には使用できません。
DHCP 構成をローカルで管理しないように AI サーバーのプロパティーを構成して、クライアントまたはサービス構成の変更時に AI サーバーが自動的に ISC DHCP 構成を管理することがないようにします。
–m オプションと一緒には使用できません。
DHCP を管理する場合に、DHCP 構成を変更します (–i および –c オプションも一緒に指定する必要があります)。
まだ DHCP を管理していない場合は、これを有効にするために –m オプションも指定する必要があります。
これらのオプションを使用して、ローカル DHCP 構成に追加する範囲内の開始 IP アドレスを指定します。
IP アドレスの数は、–c オプションで指定されます。ローカルの ISC DHCP 構成が存在せず、かつ –m も指定されている場合、ISC DHCP サーバーが開始されます。
ローカルの ISC DHCP 構成がすでに存在する場合、重複していないのであれば、これらのアドレスが既存の管理対象のアドレスセットに追加されます。
クライアントがブートファイルを要求するブートサーバーの IP アドレスを指定するために使用します。ほかの方法ではこの IP アドレスを決定できない場合にのみ必要です。
-S オプションと一緒には使用できません。
–-disable-security オプションを使用してセキュリティーを無効にしたあと、サーバー全体にわたるセキュリティーの適用をふたたび有効にします。
–s オプションと一緒には使用できません。
サーバー全体にわたるセキュリティーの適用を無効にします。セキュリティーが無効になっている間は、クライアントに資格が発行されず、クライアントからも資格が要求されません。セキュリティーが無効になっている間は、AI クライアントに提供されるどの AI ファイルにも HTTPS ネットワークによる保護が提供されません。AI Web サーバーが処理しているユーザー指定のセキュアなファイルは、セキュリティーが無効になっている間はアクセスできません。
セキュリティーが無効になっている間も、引き続きセキュリティーを構成できます。変更内容はすべて、セキュリティーがふたたび有効になったときに反映されます。
すでにインストールサービスが構成されたシステムのセキュリティーを無効にするときは注意してください。セキュアな AI サービスデータへのアクセスに認証が不要になり、認証されていないクライアントが AI を使用して Oracle Solaris をインストールできるようになります。
[sec_options] を、サーバーのセキュリティー設定ではなく、デフォルトクライアントセキュリティーの変更のみに制限します。
[sec_options] は、次のいずれかにできます。デフォルトでは、–D|–-default-client-security オプションが指定されている場合を除き、これらはサーバーに適用されます。
構成済みのセキュリティーを削除します。–-hash が指定されている場合は、そのハッシュを持つ CA 証明書だけが削除されます。
–r なしの場合、以前にインストールサーバー (–D が指定されている場合はデフォルトクライアント) に割り当てられた CA 証明書を削除します。
–r ありの場合、指定された CA 証明書を使用するサーバーおよびクライアントの CA 証明書を削除します。
インストールサーバー、指定されたクライアント、デフォルトのクライアントに以前に割り当てられた CA 証明書を削除します。
<ca-hash の値は、証明書の X.509 サブジェクトのハッシュ値です。CA 証明書のハッシュを表示するには、list -v サブコマンドを使用します。
クライアントの CA 証明書が削除されると、そのクライアントを認証できなくなります。指定された CA 証明書を使用して証明書を生成しようとしても、installadm コマンドは証明書を生成できません。
X.509 のすべてのセキュリティー資格を自動的に生成して割り当て、OBP 鍵を生成します。CA 証明書と OBP 鍵は、それらがまだ存在していない場合にのみ生成されます。
パス <ca-certfile> にある、ユーザー指定の PEM エンコードされた X.509 認証局 (CA) 証明書を割り当てます。各 CA 信頼チェーンは 1 回だけ指定する必要があります。CA チェーンに複数の CA 証明書ファイルが含まれる場合は、複数の –A オプションを使用します。
–C は、パス <certfile> にある、ユーザー指定の PEM エンコードされた X.509 証明書を割り当てます。
–K は、パス <keyfile> にある、ユーザー指定の PEM エンコードされた X.509 非公開鍵を割り当てます。<keyfile> は、パスフレーズがすべて削除されている必要があります。
–C オプションは、–K オプションとともに使用する必要があります。–C および –K オプションのみを指定する場合は、関連付けられた CA 証明書が事前に割り当てられている必要があります。
–A オプションも指定する場合、これらの CA 証明書に対してこの証明書および鍵が検証されます。
SPARC OBP ファームウェアのセキュリティー暗号化鍵を再生成します。既存の鍵をすべて無効にします。
–g、–C、–K、または –A オプションを使用すると、OBP 鍵がまだ存在していない場合に OBP 鍵が自動的に生成されます。これらの鍵が生成されたら、–E および –H オプションを使用すると既存の鍵を置き換えることができます。OBP 鍵が存在する前に –E または –H オプションを指定すると、エラーになります。両方の OBP 鍵オプションを指定することも、–E または –H のどちらかを指定することもできます。すでに存在する OBP 鍵は無効にされ、新しく生成された値に置き換えられます。
SPARC OBP ファームウェアのセキュリティーハッシュ鍵 (HMAC) を再生成します。既存の鍵をすべて無効にします。
<file> からのサブコマンドのリストを、バッチジョブとして順番に実行します。
また、バッチの実行が完了するまで、SMF サービスのリフレッシュ/再起動をそのままにしておくという利点もあります。
必須の引数は次のとおりです。
実行するサブコマンドのリストを含むファイルで、サブコマンドごとに 1 行が使用されます。
空白行または '#' で始まる行は無視されます。
対話側モードでは、サブコマンドを次々に入力可能なところで、installadm プロンプトが提供されます。対話型モードの主な利点を次に示します。
サブコマンド形式のみを使用して複数のコマンドを入力する場合、特に sudo または pfexec を使用し、追加の権限または承認で installadm を実行する場合に有用です。
サブコマンドのタブ補完。
対話型モードでは、単一コマンドの実行時には使用されないその他のコマンドを活用できます。
これを指定すると、環境変数 SHELL の値に基づき、サブシェル内で <command> が実行されます。
パラメータなしの場合、対話的に使用するサブシェルが開始されます。
このコマンドの短縮形式 '!' もあり、ls コマンドを実行する場合に "!ls" のように使用できます。
対話形式のプロンプトを終了します。
マニフェスト、派生マニフェストスクリプト、およびプロファイルを使用すると、特定の特性または条件に従って AI クライアントを異なる方法で構成できます。1 つのマニフェストまたはスクリプトのみを特定のクライアントに関連付けることができます。任意の数のプロファイルを特定のクライアントに関連付けることができます。
条件の値は、起動中の AI クライアントによって決定されます。
コマンド行で条件を指定する方法については、「使用例」のセクションを参照してください。条件ファイルの作成については、Oracle Solaris 11.2 システムのインストール を参照してください。
|
ipv4、mac、mem、および network の指定は、ハイフン (-) で区切られた範囲値で表現できます。範囲の一端に制限なしを指定するには、unbounded を使用します。一致するマニフェストの判定時には、範囲の一致よりも特定値の一致が優先されます。
arch、cpu、hostname、platform、および zonename の指定は、スペースで区切られた値の引用符付きリストとして表現されます。
SMF サービス svc:/system/install/server:default の次のプロパティーは、インストールサーバーを構成する際に使用されます。
これらの大半は、更新用の優先メカニズムである set-server サブコマンドを使用して構成可能です。
all_services/exclude_networks プロパティーの設定に応じて、許可または却下する CIDR 形式のネットワーク (たとえば、192.168.56.0/24) の一覧。
このネットワーク一覧を使用して、このインストールサーバーで処理されるクライアントを指定します。デフォルトでは、AI インストールサーバーがマルチホームになっている場合は、そのサーバーが接続されているすべてのネットワーク上のインストールクライアントを処理するよう構成されます。
ブール値。true の場合、このインストールサーバーによる処理対象から、all_services/networks プロパティーで指定されたネットワークを除外します。false の場合、all_services/networks プロパティーで指定されたネットワークを含めます。
AI インストールサービス Web サーバーをホストするポートを指定します。デフォルトでは、Web サーバーはポート 5555 でホストされます。
デフォルトとは異なるポート番号を使用する場合は、インストールサービスを作成する前にportプロパティーをカスタマイズしてください。
セキュアな AI インストールサービス Web サーバーをホストするポートを指定します。デフォルトでは、Web サーバーはポート 5556 でホストされます。
AI Web サーバーがその標準ポート (all_services/port プロパティーによって定義される) を使用して処理するローカルシステム上のディレクトリを指定します。このディレクトリには、次の場所でアクセスできます。
http://hostname:port/webserver_files_dir
AI Web サーバーがセキュアポート (all_services/secure_port プロパティーによって定義される) を使用して処理するローカルシステム上のディレクトリを指定します。このディレクトリには、次の場所でアクセスできます。
https://hostname:secure_port/webserver_secure_files_dir
このディレクトリには、認証されたクライアントのみがアクセスできます。最高のセキュリティーを確保するために、webserver_secure_files_dir ディレクトリ内のファイルをユーザー webservd およびグループ webservd が所有するようにし、どこからでもアクセス可能にしないでください。
installadm create-service コマンドによって作成されるイメージのデフォルトの場所を指定します。イメージは、all_services/default_imagepath_basedir/service_name にあります。このプロパティーのデフォルト値は /export/auto_install です。
ブール値。true の場合、クライアントとサービス構成がインストールサーバーで変更されるとローカル ISC DHCP 構成を自動的に更新します。false の場合、ISC DHCP 構成を自動的に維持しません。
インストールサーバーと x86 インストールサービスをはじめて設定します。
AI クライアントの構成に SPARC OBP の network-boot-arguments 変数を使用していない場合は、DHCP サーバーを構成して AI サービス構成を指定する必要があります。OBP または DHCP サーバーを構成済みの場合、この段階はスキップできます。それ以外の場合、installadm は、AI クライアントのブート元であるローカルの ISC DHCP サーバーを設定および管理できます。これを構成する場合に、set-server サブコマンドを使用できます。
set-server サブコマンドを使用して、DHCP サーバーを構成するための開始 IP アドレスおよび IP アドレスの総数を設定します。
# installadm set-server -i 172.0.0.10 -c 10
開始 IP アドレス 172.0.0.10 と 10 個の IP アドレスがローカル ISC DHCP 構成に追加されます。ローカル ISC DHCP 構成が存在しない場合は、ISC DHCP サーバーが起動されます。
ネットイメージのソースを指定しない場合、次の例に示すように、IPS パッケージが使用されます。
# installadm create-service -y
このコマンドは、x86 インストールサーバー上で、all_services/default_imagepath_basedir プロパティーの値で指定したイメージの場所のディレクトリに x86 ネットイメージとデフォルトの名前のインストールサービスを設定します。このプロパティーのデフォルト値については、「インストールサーバー構成のプロパティー」を参照してください。–y オプションは、デフォルトの場所を使用できることを確認します。アーキテクチャーが指定されていないため、作成されるサービスはインストールサーバーと同じアーキテクチャーのサービスです。このコマンドでは、インストールサーバーの pkg publisher 一覧にあるパッケージリポジトリに install-image/solaris-auto-install パッケージが含まれることが前提となっています。
このコマンドは、デフォルトのイメージパスおよびサービス名 /export/auto_install/sol-11_1-i386 を使用して、ネットイメージおよびインストールサービスを設定します。
これは最初に作成される x86 サービスであるため、default-i386サービスが自動的に作成され、このサービスに別名が設定されます。default-i386 の別名は操作可能であり、PXE 経由でブートしたクライアントは、create-client を使用して具体的に構成していない場合に、default-i386 サービスからブートおよびインストールを実行します。
使用例 2 パッケージリポジトリから新しい SPARC インストールサービスを設定するx86 インストールサーバーへの SPARC サービスの作成を指定するには、–a オプションを使用します。
# installadm create-service -y -a sparc
ネットイメージのソースを指定しない場合、デフォルトで IPS パッケージが使用されます。
このネットイメージを使用して SPARC クライアントのインストールを実行できます。
これは最初に作成される SPARC サービスであるため、default-sparc サービスが自動的に作成され、このサービスに別名が設定されます。別名 default-sparc は稼働しており、SPARC クライアントは default-sparc サービスからブートおよびインストールします。
使用例 3 異なるパッケージリポジトリから x86 インストールサービスを設定するデフォルトでは、solaris-auto-install パッケージはシステムで構成されたパブリッシャーから取得されます。
solaris-auto-install パッケージの代替パッケージリポジトリを指定するには、–p オプションを使用します。たとえば、http://example.company.com:4281 にある ai-image パブリッシャーを solaris-auto-install パッケージのパブリッシャーとして指定するには、次のコマンドを使用します。
# installadm create-service -y \ -p ai-image=http://example.company.com:4281使用例 4 ISO ファイルから新しい x86 インストールサービスを設定する
次を使用して、ISO イメージから x86 インストールサービスを作成できます。
# installadm create-service -n sol-11_1-i386 \ -s /export/isos/sol-11_1-ai-x86.iso \ -y
AI ISO イメージは /export/auto_install/sol-11_1-sparc にあります。このコマンドは、AI ISO イメージに基づいた /export/images/sol-11_1-i386 にあるネットイメージとインストールサービスを設定します。このネットイメージを使用してクライアントインストールを実行できます。
使用例 5 ISO ファイルから新しい SPARC インストールサービスを設定するISO イメージからの SPARC インストールサービスは、次のコマンドを使用して作成できます。
# installadm create-service -n sol-11_1-sparc \ -s /export/isos/sol-11_1-ai-sparc.iso \ -d /export/images/sol-11_1-sparc
AI ISO イメージは /export/isos/sol-11_1-ai-sparc.iso にあります。このコマンドは、AI ISO イメージに基づいた /export/images/sol-11_1-sparc にあるネットイメージとインストールサービスを設定します。このネットイメージを使用してクライアントインストールを実行できます。
使用例 6 クライアントをインストールサービスに関連付けるクライアントを特定のインストールサービスに関連付けるには、次のサンプルコマンドを使用します。インストールサービスはすでに存在している必要があります。
# installadm create-client -b "console=ttya" \ -e 0:e0:81:5d:bf:e0 -n sol-11_1-i386
この例のコマンドは、MAC アドレスが 0:e0:81:5d:bf:e0 であるシステムのためにクライアント固有の設定を作成します。このクライアントは、事前に設定された sol-11_1-i386 という名前のインストールサービスと、そのサービスに関連付けられたネットイメージを使用します。このコマンドは、/etc/netboot にあるクライアント固有のブート構成ファイルにブートプロパティー console=ttya を設定します。
使用例 7 デフォルトサービスを変更せずに新しいインストールサービスを追加するsol-11-sparc という名前の新しいサービスを追加するときに、既存のサービスを保持し、既存のデフォルトを変更しないようにするには、次のサンプルコマンドを使用します。
# installadm create-service -n sol-11-sparc \ -s /export/isos/sol-11-1111-ai-sparc.iso \ -d /export/ai/sol-11-sparc使用例 8 default-i386 サービスを更新する
入手可能な最新のイメージに関連付ける default-i386 別名サービスを更新するには、次のサンプルコマンドを使用します。installadm list コマンドは、コマンドの前および後のサービスを表示します。この例では、更新されたネットイメージパッケージが、default-i386 サービス別名の作成に最初に使用された発行元から使用可能であることを想定しています。
# installadm list Service Name Base Service Status Arch Type Ali Cli Man Pro ------------ -------- ------ ---- ---- --- --- --- --- default-i386 solaris11-i386 on i386 pkg 0 1 1 0 solaris11-i386 - on i386 pkg 1 0 1 0 # installadm update-service default-i386 ... Creating new i386 service: solaris11_1-i386 Aliasing default-i386 to solaris11_1-i386 ... ... # installadm list Service Name Base Service Status Arch Type Ali Cli Man Pro ------------ -------- ------ ---- ---- --- --- --- --- default-i386 solaris11_1-i386 on i386 pkg 0 1 1 0 solaris11-i386 - on i386 pkg 0 0 1 0 solaris11_1-i386 - on i386 pkg 1 0 1 0使用例 9 新しいインストールサービスを追加して default-sparc サービスを更新する
my-sparc-service という名前の新しいサービスを追加するときに、既存のサービスを保持し、新しいサービスを SPARC クライアントのデフォルトにするには、次の 2 つのサンプルコマンドを使用します。
# installadm create-service -n solaris11_1-sparc \ -s /export/isos/sol-11_1-ai-sparc.iso \ -d /export/ai/solaris11_1-sparc # installadm set-service \ --aliasof=solaris11_1-sparc default-sparc使用例 10 カスタムのデフォルト AI マニフェストをインストールサービスに追加する
新しいマニフェストを sol-11_1-i386 インストールサービスに追加し、それをサービスのデフォルトマニフェストにするには、次のサンプルコマンドを使用します。マニフェストのデータは my_default.xml にあります。以降の installadm コマンドでは、このマニフェストが my_default として参照されます。–d オプションを指定すると、これがサービスのデフォルトマニフェストになります。
# installadm create-manifest -d -f my_default.xml \ -m my_default -n sol-11_1-i386使用例 11 派生したマニフェストスクリプトをインストールサービスに追加する
my_script という名前の派生したマニフェストスクリプトを solaris11_1-i386 という名前の既存のインストールサービスに追加するには、次のサンプルコマンドを使用します。スクリプトはマニフェストの追加と同じ方法で追加されます。
# installadm create-manifest -f my_script.py \ -m my_script -n solaris11_1-i386
派生マニフェストスクリプトの作成方法については、Oracle Solaris 11.2 システムのインストール を参照してください。
使用例 12 インストールサービスのデフォルト AI マニフェストを置換する既存のインストールサービス sol-11_1-sparc のデフォルトマニフェストを、custom_manifest としてすでにサービスに追加されているカスタムマニフェストに置換するには、次のサンプルコマンドを使用します。このマニフェストは、create-manifest サブコマンドに -m custom_manifest を指定することによってサービスに追加されました。
# installadm set-service \ --default-manifest=custom_manifest sol-11_1-sparc使用例 13 インストールサービスの一覧表示
ローカルサーバー上のインストールサービスを一覧表示するには、次のサンプルコマンドを使用します。
# installadm list Service Name Base Service Status Arch Type Ali Cli Man Pro ------------ -------- ------ ---- ---- --- --- --- --- default-i386 solaris11_1_6_2_0-i386 on i386 pkg 0 1 1 0 default-sparc solaris11_1_6_2_0-sparc on sparc pkg 0 0 1 0 solaris11_1_6_2_0-i386 - on i386 pkg 1 0 1 0 solaris11_1_6_2_0-sparc - on sparc pkg 1 0 1 0使用例 14 インストールサービスに関連付けられたクライアントを一覧表示する
ローカルサーバー上の特定のインストールサービスのクライアントを一覧表示するには、次のサンプルコマンドを使用します。
$ installadm list -c -n default-i386
Service Name Client Address Arch Secure Custom Args Custom Grub
------------ -------------- ---- ------ ----------- -----------
default-i386 00:11:22:33:44:55 i386 no yes no
AA:BB:CC:DD:EE:FF i386 no no no
使用例 15 インストールサービスに関連付けられたマニフェストを一覧表示する
ローカルサーバー上の特定のインストールサービスに関連付けられたマニフェストおよび派生マニフェストスクリプトを表示するには、次のサンプルコマンドを使用します。
$ installadm list -m -n default-sparc
Service Name Manifest Name Type Status Criteria
------------ ------------- ---- ------ --------
default-sparc mem xml active mem = 4086 MB
custom_manifest xml default / active mem = 512 -
1024 MB
orig_manfiest xml inactive none
test_derived derived inactive none
この例では、次の出力が表示されます。
条件付きのデフォルト以外のマニフェスト (mem)
引き続きアクティブであることを示す条件付きのデフォルトマニフェスト (custom_manifest)
条件がなく、デフォルトでないために非アクティブとマークされているデフォルト以外のマニフェスト (orig_default)
条件がなく、デフォルトでないために非アクティブとマークされているデフォルト以外の派生マニフェスト
ローカルサービス上のすべてのインストールサービスのシステム構成プロファイルを一覧表示するには、次のサンプルコマンドを使用します。
$ installadm list -p
Service Name Profile Name Criteria
------------ ------------ --------
solaris11_1_6_2_0-i386 sc_all-i386.xml none
solaris11_1_6_2_0-sparc sc_all-sparc.xml none
sc_network.xml ipv4 = 10.0.2.100 - 10.0.2.199
network = 10.0.0.0
使用例 17 名前なしのカスタム AI マニフェストをインストールサービスに追加する
MAC アドレスが aa:bb:cc:dd:ee:ff と等しいという条件で /export/my_manifest.xml のマニフェストを sol-11_1-i386 に追加するには、次のサンプルコマンドを使用します。
# installadm create-manifest \ -f /export/my_manifest.xml -n sol-11_1-i386 \ -c mac="aa:bb:cc:dd:ee:ff"
この例では、マニフェストに名前属性が含まれないため、マニフェスト名はファイル名から取得されます。
$ installadm list -m -n sol-11_1-i386
Service Name Manifest Name Type Status Criteria
------------ ------------- ---- ------ --------
sol-11_1-i386 my_manifest.xml xml active mac = AA:BB:CC:DD:EE:FF
orig_default xml default none
使用例 18 カスタム名付きのカスタム AI マニフェストをインストールサービスに追加する
IPv4 範囲が 10.0.2.100 から 10.0.2.199 までという条件付きで /export/my_manifest.xml のマニフェストを sol-11_1-i386 に追加するには、次のサンプルコマンドを使用します。
# installadm create-manifest \ -f /export/my_manifest.xml \ -n sol-11_1-i386 -m custom_name \ -c ipv4="10.0.2.100-10.0.2.199"
この例では、マニフェスト名は –m オプションから取得されます。
$ installadm list -m -n sol-11_1-i386
Service Name Manifest Name Type Status Criteria
------------ ------------- ---- ------ --------
sol-11_1-i386 custom_name xml active ipv4 = 10.0.2.100 - 10.0.2.199
orig_default xml default none
使用例 19 マニフェストに指定された名前付きのカスタム AI マニフェストを追加する
メモリーが 2048M バイト以上あり、アーキテクチャーが i86pc であるという条件付きで /export/manifest3.xml のマニフェストを sol-11_1-i386 に追加するには、次のサンプルコマンドを使用します。
# installadm create-manifest \ -f /export/manifest3.xml -n sol-11_1-i386 \ -c mem="2048-unbounded" -c arch=i86pc
この例では、次の部分的なマニフェストで示すように、マニフェスト名はマニフェストの ai_instance 要素の name 属性から取得されます。
<auto_install>
<ai_instance name="my_name" />
</auto_install>
$ installadm list -m -n sol-11_1-i386
Service Name Manifest Name Type Status Criteria
------------ ------------- ---- ------ --------
sol-11_1-i386 my_name xml active arch = i86pc
mem = 2048 - unbounded
orig_default xml default none
使用例 20 システム構成プロファイルをインストールサービスに追加する
ホスト名のいずれかが myhost1、host3、または host6 であるという条件付きで /export/profile4.xml のプロファイルを sol-11_1-i386 に追加するには、次のサンプルコマンドを使用します。
# installadm create-profile \ -f /export/profile4.xml -n sol-11_1-i386 -p profile4 \ -c hostname="myhost1 host3 host6" $ installadm list -p -n sol-11_1-i386 Service Name Profile Name Criteria ------------ ------------ -------- sol-11_1-i386 profile4 hostname = myhost1, host3, host6使用例 21 すべてのクライアント用のシステム構成プロファイルを追加する
条件を指定しなかった場合、そのプロファイルは指定されたインストールサービスを使用するすべてのクライアントによって使用されます。次の例では、作成されたプロファイルが sol-11_1-i386 サービスを使用するすべてのクライアントによって使用されます。
# installadm create-profile -f /export/locale.xml \
-n sol-11_1-i386
$ installadm list -p -n sol-11_1-i386
Service Name Profile Name Criteria
------------ ------------ --------
sol-11_1-i386 profile4 hostname = myhost1, host3, host6
locale.xml none
使用例 22 変数を含むシステム構成プロファイルを追加する
プロファイルは、クライアントのインストール時にカスタムクライアント構成情報と置き換えられる変数を使用できます。そのような変数を使用すると、さまざまなシステムでプロファイルファイルを再利用できます。
この例では、1 つのシステム構成プロファイルファイルを使用して、各インストールクライアントに固有のホスト名を割り当てます。hostname.xml ファイルには次の行が含まれます。
<propval name="nodename" value="{{AI_HOSTNAME}}"/>
インストール時に、{{AI_HOSTNAME}} はそのシステムの実際のホスト名に置き換えられます。たとえば、hostname.xml を使用して、ホスト名 myhost1 を持つクライアントを構成するときは、hostname.xml プロファイルには次の行が含まれています:
<propval name="nodename" value="myhost1"/>
プロファイルでの置換タグの使用の詳細は、Oracle Solaris 11.2 システムのインストール のシステム構成プロファイルテンプレートの使用を参照してください。
使用例 23 条件を既存のマニフェストに追加するメモリーが 4096M バイト以上あるという条件を sol-11_1-i386 の manifest2 の条件に追加するには、次のサンプルコマンドを使用します。
# installadm set-criteria -m manifest2 \ -n sol-11_1-i386 -a mem="4096-unbounded"使用例 24 既存のマニフェストに対する条件を置換する
sol-11_1-i386 の manifest2 の条件を /tmp/criteria.xml ファイルに指定された条件で置換するには、次のサンプルコマンドを使用します。
# installadm set-criteria -m manifest2 \ -n sol-11_1-i386 -C /tmp/criteria.xml
条件 XML ファイルの内容については、Oracle Solaris 11.2 システムのインストール を参照してください。
使用例 25 開発中のプロファイルファイルを検証するmyprofdir/myprofile.xml および yourprofdir/yourprofile.xml ファイルに格納されたプロファイルを開発中に検証するには、次のサンプルコマンドを使用します。
# installadm validate -P myprofdir/myprofile.xml \ -P yourprofdir/yourprofile.xml -n sol-11_1-i386使用例 26 プロファイルの内容をエクスポートする
サービス sol-11_1-i386 のプロファイル myprofile.xml をエクスポートするには、次のサンプルコマンドを使用します。
# installadm export -p myprofile -n sol-11_1-i386使用例 27 既存の AI マニフェストの内容を置換する
spec というマニフェスト名 (または AI インスタンス名) を持つサービス sol-11_1-i386 のマニフェストを /home/admin/new_spec.xml ファイルのマニフェストの内容で更新するには、次のサンプルコマンドを使用します。
# installadm update-manifest -n sol-11_1-i386 \ -f /home/admin/new_spec.xml -m spec使用例 28 既存の AI マニフェストをエクスポートして更新する
サービス sol-11_1-i386 の spec という名前の既存のマニフェストのデータをエクスポートし、そのマニフェストを変更済みの内容で更新するには、次のサンプルコマンドを使用します。
# installadm export -n sol-11_1-i386 -m spec \ -o /home/admin/spec.xml
/home/admin/spec.xml を変更します。
$ pfexec installadm update-manifest -n sol-11_1-i386 \ -f /home/admin/spec.xml -m spec使用例 29 既存のプロファイルをエクスポートして更新する
サービス sol-11_1-i386 の prof1 という名前の既存のプロファイルのデータをエクスポートし、そのプロファイルを変更済みの内容で更新するには、次のサンプルコマンドを使用します。
# installadm export -n sol-11_1-i386 -p prof1 \ -o /home/admin/prof1.xml
/home/admin/prof1.xml を変更します。
# installadm update-profile -n sol-11_1-i386 \ -f /home/admin/prof1.xml -p prof1使用例 30 初期のサーバー認証を設定する
セキュリティーの構成における最初の手順は、サーバー資格の割り当てです。サーバーのすべてのセキュリティー資格を自動的に生成するには、次のコマンドを使用します。
# installadm set-server --generate-all-certs Generating server credentials... The root CA certificate has been generated. The CA signing certificate request has been generated. The signing CA certificate has been generated. A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key for server authentication only, enter this OBP command: set-security-key wanboot-aes 8bd64e25e00497f194fa93de2a92157c enerating new hashing key (HMAC)... To set the OBP hashing (HMAC) key for server authentication only, enter this OBP command: set-security-key wanboot-hmac-sha1 4cff95a8fb0b08699de9f1ca5e5251a796b497de Configuring web server security. Changed Server Refreshing SMF service svc:/system/install/server:default Configuring web server security.使用例 31 初期のデフォルトのクライアント認証を設定する
クライアントの識別情報をサーバーに対して確認できるように、デフォルトのクライアント資格を割り当てます。一連のデフォルトのクライアント資格を生成するには、次のコマンドを使用します。これらの資格は、クライアントの MAC アドレスか、またはそのクライアントが使用するインストールサービスを指定することによって資格が割り当てられていないすべての AI クライアントに使用されます。
$ installadm set-server --default-client-security \
--generate-all-certs
Generating default client credentials...
A new certificate key has been generated.
A new certificate has been generated.
Generating new encryption key...
To set the OBP encryption key, enter this OBP command:
set-security-key wanboot-aes c17e4842331456680d818f4ef515f222
Generating new hashing key (HMAC)...
To set the OBP hashing (HMAC) key, enter this OBP command:
set-security-key wanboot-hmac-sha1 f3e943d6669835264fcaf0f7fbfb80e45beea7f3
Changed Server
使用例 32 特定の SPARC クライアントのクライアント認証を設定する
一意の X.509 資格と OBP 鍵を生成し、SPARC クライアントに割り当てます。
$ installadm set-client -e 2:0:0:0:0:0 \\
--generate-all-certs
Generating credentials for client 02:00:00:00:00:00...
A new certificate key has been generated.
A new certificate has been generated.
Generating new encryption key...
To set the OBP encryption key, enter this OBP command:
set-security-key wanboot-aes 42a04f73ee6950859febb96d97b7d2bd
Generating new hashing key (HMAC)...
To set the OBP hashing (HMAC) key, enter this OBP command:
set-security-key wanboot-hmac-sha1 7fbed772b69bf104e5e2f72a4c47d42b62bf074b
Changed Client : '02:00:00:00:00:00'
使用例 33 特定のクライアントの OBP 鍵を表示する
SPARC クライアントが構成されたあとしばらくしてから、OBP でそのクライアントのセキュリティー鍵を設定する方法を確認する必要があります。必須の OBP 鍵を表示するには、installadm "list -e <macaddr>" コマンドと –-verbose オプションを使用します。
# installadm list -e 2:0:0:0:0:0 -v
Service Name Client Address Arch Secure Custom Args Custom Grub
------------ -------------- ---- ------ ----------- -----------
solaris11_2 02:00:00:00:00:00 sparc yes no no
Client Credentials? yes
Security Key? ...... yes
Security Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=CID 01020000000000
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 10:20:00 2013 GMT
to: May 18 10:20:00 2023 GMT
CA Certificates:
d09051e4 Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from: May 20 09:50:00 2013 GMT
to: May 18 09:50:00 2023 GMT
OBP Encr Key (AES) . 42a04f73ee6950859febb96d97b7d2bd
OBP Hash (HMAC) .... 7fbed772b69bf104e5e2f72a4c47d42b62bf074b
Boot Args .......... -
表示される鍵およびハッシュは、ILOM または ALOM システムコンソールの ok プロンプトで OBP set-security-key コマンドを使用して設定できます。
set-security-key wanboot-aes 42a04f73ee6950859febb96d97b7d2bd set-security-key wanboot-hmac-sha1 7fbed772b69bf104e5e2f72a4c47d42b62bf074b使用例 34 AI サービスのすべてのクライアントにクライアント認証を適用する
次のコマンドでは、sol-11_2-sparc インストールサービスのすべてのクライアントにクライアントおよびサーバー認証を要求します。'optional' のセキュリティーポリシー値がデフォルト値です。
# installadm set-service -p require-client-auth -n sol-11_2-sparc Security policy for service sol-11_2-sparc changing from 'optional' to 'require-client-auth'. Changed Service : 'sol-11_2-sparc' Refreshing SMF service svc:/system/install/server:default
sol-11_2-sparc インストールサービスのすべてのクライアントに有効なセキュリティー X.509 クライアントおよびサーバー認証資格を割り当てる必要があり、これらのクライアントはこれを指定する必要があります。これは SPARC インストールサービスであるため、すべてのクライアントで OBP ファームウェアのセキュリティー鍵を入力する必要があります。
使用例 35 指定されたインストールサービスのすべてのクライアントのデフォルトの資格を生成する次のコマンドは、カスタムのクライアント資格を持っていない solaris11_2-sparc インストールサービスのすべてのクライアントに帰属する資格を生成します。カスタムのクライアント資格を割り当てる例については、例 30「特定の SPARC クライアントのクライアント認証を設定する」を参照してください。
# installadm set-service -n sol-11_1-sparc \ --generate-all-certs Generating credentials for service sol-11_1-sparc... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 0bd1d30d603174b7fc3ee7fd7654c3c8 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 35caa0c8596585c852f120d3872e9227e724496e Changed Service : 'sol-11_1-sparc'
また、これらの資格は、そのあと create-client サブコマンドを使用することによって solaris11_2-sparc インストールサービスに割り当てられたすべてのクライアントにも帰属します。
デフォルトの資格を使用する場合は、複数のクライアントに同一の資格が割り当てられ、各クライアントが互いのインストールデータを表示できます。
使用例 36 セキュリティーのサマリーリストを生成する"installadm list" を十分な承認付きで実行すると、サーバー、サービスまたはクライアント (あるいは両方) のセキュリティーのサマリーが一覧表示されます。
# installadm list -s
AI Server Parameter Value
------------------- -----
Hostname ........... ai-server
Architecture ....... i386
Active Networks .... 10.0.0.1
Image Path Base Dir . /export/auto_install
Managing DHCP? ..... yes
Security Enabled? .. yes
Server Credentials? .. yes
Number of Services . 12
Number of Clients .. 4
Number of Manifests 19
Number of Profiles . 5
# installadm list
Service Name Base Service Status Arch Type Secure Ali Cli Man Pro
------------ -------- ------ ---- ---- ------ --- --- --- ---
default-i386 solaris11_2-i386 on i386 pkg no 0 1 4 0
default-sparc solaris11_2-sparc on sparc pkg no 0 0 3 0
solaris11_1_6_2_0-i386 - on i386 pkg no 1 0 2 2
solaris11_1_6_2_0-sparc - on sparc pkg no 1 0 1 2
solaris11_2-i386 - on i386 pkg yes 0 0 1 0
solaris11_2-sparc - on sparc pkg yes 0 2 2 0
# installadm list -c
Service Name Client Address Arch Secure Custom Args Custom Grub
------------ -------------- ---- ------ ----------- -----------
default-i386 00:11:22:33:44:55 i386 yes yes no
solaris11_1_6_2_0-sparc AA:BB:CC:DD:EE:FF sparc yes no no
solaris11_2-sparc 02:00:00:00:00:00 sparc yes no no
03:00:00:00:00:00 sparc yes no no
使用例 37 セキュリティーの詳細なリストを生成する
"installadm list -v" を十分な承認付きで実行すると、サービスまたはクライアント (あるいは両方) のセキュリティー構成の詳細が出力されます (簡潔にするため、一部の出力は省略されます)。
# installadm list -sv
AI Server Parameter Value
------------------- -----
...
Security Enabled? ...... yes
Server Credentials? .... yes
Security Key? .......... yes
Security Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=ai-server
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 09:50:00 2013 GMT
to: May 18 09:50:00 2023 GMT
CA Certificates:
d09051e4 Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from: May 20 09:50:00 2013 GMT
to: May 18 09:50:00 2023 GMT
f9d73b41 Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from: May 20 09:50:00 2013 GMT
to: May 18 09:50:00 2023 GMT
OBP Encr Key (AES) ..... 8bd64e25e00497f194fa93de2a92157c
OBP Hash (HMAC) ........ 4cff95a8fb0b08699de9f1ca5e5251a796b497de
Def Client Credentials? yes
Def Client Sec Key? .... yes
Def Client Sec Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Client default
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 09:52:00 2013 GMT
to: May 18 09:52:00 2023 GMT
Def Client CA Certs .... none
Def Client OBP Encr Key c17e4842331456680d818f4ef515f222
Def Client OBP Hash .... f3e943d6669835264fcaf0f7fbfb80e45beea7f3
...
# installadm list -v -n solaris11_2-sparc
Service Name Base Service Status Arch Type Secure Ali Cli Man Pro
------------ -------- ------ ---- ---- ------ --- --- --- ---
sol-11_2-sparc - on sparc iso yes 0 2 1 0
...
Supports Security? .. yes
Security Enabled? ... yes
Security Policy ..... require-client-auth
Service Credentials? yes
Security Key? ....... yes
Security Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=AI Service sol-11_2-sparc
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 10:33:00 2013 GMT
to: May 18 10:33:00 2023 GMT
CA Certificates ..... none
OBP Encr Key (AES) .. 0bd1d30d603174b7fc3ee7fd7654c3c8
OBP Hash (HMAC) ..... 35caa0c8596585c852f120d3872e9227e724496e
使用例 38 クライアント証明書を検証するための新しい CA 証明書を追加する
次のコマンドは、cert.pem という名前のファイル内に CA 証明書を追加します。
$ installadm set-server --default-client-security --ca-cert cert.pem Assigning default client credentials... A new CA certificate has been filed. Changed Server
この CA 証明書は、それを必要とするすべてのクライアント証明書を認証するために使用できます。
使用例 39 新しい X.509 資格を割り当てる次のコマンドは、インストールサーバーに新しい X.509 証明書と秘密鍵および新しい CA 証明書を割り当てます。
$ installadm set-server -A cacert.pem -K server.key -C server.crt Assigning server credentials... The key has been replaced. The certificate has been replaced A new CA certificate has been filed. Configuring security for user-specified server cert Configuring web server security. Changed Server Refreshing SMF service svc:/system/install/server:default使用例 40 ハッシュ値で CA 証明書を削除する
次のコマンドは、その CA 証明書を使用するすべてのクライアントの指定された CA 証明書を削除します。–-ca-cert オプション引数の値は、その証明書の X.509 サブジェクトのハッシュ値です。CA 証明書を削除することを確認するプロンプトを抑制するには、–y オプションを使用します。
$ installadm set-server --delete-security \
--recursive --hash d09051e4
Identifier hash: d09051e4
Subject: C=US, O=Oracle, OU=Solaris Deployment, CN=Root CA
Issuer: C=US, O=Oracle, OU=Solaris Deployment, CN=Root CA
Valid from May 20 11:09:00 2013 GMT to May 18 11:09:00 2023 GMT
This CA has the following uses:
Note: this is the server CA certificate
Client default
Note: this is the root CA certificate
Deleting this Certificate Authority certificate can prevent
credentials from validating.
Do you want to delete this Certificate Authority certificate [y|N]: y
Identifier hash: d09051e4
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Issuer: /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from May 20 09:50:00 2013 GMT to May 18 09:50:00 2023 GMT
This CA has the following uses:
Note: this is the server CA certificate
Client default
Note: this is the root CA certificate
Deleting all references to Certficate Authority with hash value d09051e4
Changed Server
使用例 41 AI サーバーの構成パラメータの表示
AI サーバーのもっとも一般的なパラメータの現在値およびそのサマリーを表示する場合は、list -s コマンドを使用できます。
# installadm list -s AI Server Parameter Value ------------------- ----- Hostname ........... ai-server Architecture ....... i386 Active Networks .... 10.0.0.1 Default Image Path . /export/auto_install Managing DHCP? ..... yes Security Enabled? .. yes Server Credentials? .. yes Number of Services . 12 Number of Clients .. 4 Number of Manifests 19 Number of Profiles . 5
詳細な情報や、あまり一般的ではないパラメータを表示するには、詳細モードを使用します。
# installadm list -sv
AI Server Parameter Value
------------------- -----
Hostname ............... ai-server
Architecture ........... i386
Active Networks ........ 10.0.0.1
Http Port .............. 5555
Secure Port ............ 5556
Default Image Path ..... /export/auto_install
Multi-Homed? ........... yes
Managing DHCP? ......... yes
DHCP IP Range .......... none
Boot Server ............ -
Web UI Enabled? ........ yes
Wizard Saves to Server? no
Security Enabled? ...... yes
Server Credentials? .... yes
Security Key? .......... yes
Security Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=ai-server
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 11:09:00 2013 GMT
to: May 18 11:09:00 2023 GMT
CA Certificates:
f9d73b41 Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from: May 20 11:09:00 2013 GMT
to: May 18 11:09:00 2023 GMT
OBP Encr Key (AES) ..... 8bd64e25e00497f194fa93de2a92157c
OBP Hash (HMAC) ........ 4cff95a8fb0b08699de9f1ca5e5251a796b497de
Def Client Credentials? yes
Def Client Sec Key? .... yes
Def Client Sec Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Client default
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 11:09:00 2013 GMT
to: May 18 11:09:00 2023 GMT
Def Client CA Certs .... none
Def Client OBP Encr Key c17e4842331456680d818f4ef515f222
Def Client OBP Hash .... f3e943d6669835264fcaf0f7fbfb80e45beea7f3
Number of Services ..... 12
Number of Clients ...... 4
Number of Manifests .... 19
Number of Profiles ..... 5
使用例 42 対話型モードの呼び出し
対話型モードに入るには、installadm コマンドだけを、パラメータを指定せずに実行します。例:
# installadm installadm> create-service -n s11-1-i386 -a i386 -y ... installadm> create-profile -n s11-1-i386 -f initial_profile.xml ... installadm> quit
同様に、対話型モードは、su で root 役割を使用して複数のコマンドを対話的に呼び出す場合に便利です。
$ su root -c /usr/sbin/installadm installadm> create-manifest -n s11-2-sparc -f /tmp/manifest.xml ... installadm> create-profile -n s11-2-sparc -f /tmp/static_net.xml ...使用例 43 複数のコマンドのバッチ実行
複数のコマンドをバッチモードで実行すると、すべてのコマンドが完了するまで SMF サービスのリフレッシュを遅延させられるという利点があります。
複数のサブコマンドを実行するには、最初にファイルを作成する必要があります。
$ cat >> /tmp/batch <<_EOF create-service -n my_sparc -a sparc create-service -n my_i386 -a i386 create-manifest -n my_sparc -f /tmp/new_default.xml -d create-manifest -n my_i386 -f /tmp/new_default.xml -d ... _EOF # installadm execute -f /tmp/batch ...
次の終了ステータスが返されます。
コマンドが正常に処理されました。
エラーが発生した。
無効なコマンド行オプションが指定された。
サービスのバージョンは installadm ではサポートされません。
変更が行われませんでした - 何もしません。
次の属性については、attributes(5) を参照してください。
|
aimanifest(1M), sysconfig(1M), ickey(1M), ai_manifest(4), service_bundle(4), dhcp(5), smf(5), environ(5)
Oracle Solaris 11.2 システムのインストール のパート IIIインストールサーバーを使用したインストール
Oracle Solaris 10 JumpStart から Oracle Solaris 11.2 自動インストーラへの移行