/usr/sbin/installadm [subcommand] [-h|--help]
installadm help [subcommand]
installadm create-service [-n <svcname>]
[-p <prefix>=<origin>
[-K <keypath> -C <certpath>]]
[-a <architecture>]
[-s <FMRI/ISO> |
-t <existing_service>]
[-b <boot property>=<value>,... | -G <grub.cfg>]
[-i <dhcp_ip_start> -c <count_of_ipaddr>]
[-B <server_ipaddr>]
[-M <manifest file>]
[-d <imagepath>]
[-y]
installadm set-service [options] -n <svcname>
[-t <existing_service>]
[-M <manifest name>]
[-d <imagepath>]
[-e | -D]
[-G [none|<grub.cfg>]
[-b [none|<property>=<value>[,... ]]
[-p <policy>]]
[-x [--hash <ca-hash>]]
[-A <ca-certfile>...]
[-C <certfile> -K <keyfile>]
[-g] [-E] [-H]
installadm update-service [-s FMRI]
[-p <publisher>=<origin>
[-K <keypath> -C <certpath>]]
-n <svcname>
installadm rename-service -n <svcname> -N <newsvcname>
installadm enable -n <svcname>
installadm disable -n <svcname>
installadm delete-service [-r] [-y] -n <svcname>
installadm list [-a|--all | -s|--server -c|--client -m|--manifest -p|--profile]
[-v|--verbose] [-n|--service <svcname>]
installadm list [-v|--verbose] -e|--macaddr <macaddr>
installadm create-manifest -n <svcname>
-f filename [-m manifest] [-d]
[-c <criteria>=<value|list|range> ... |
-C <criteriafile>]
installadm update-manifest -n <svcname>
-f <filename> [-m <manifest>]
installadm update-manifest -n <svcname>
-f <filename> [-m <manifest>]
installadm delete-manifest -n <svcname> -m <manifest>
installadm create-profile -n <svcname> -f <filename> ...
[-p <profile>]
[-c <criteria>=<value|list|range> ... |
-C <criteriafile>]
installadm update-profile -n <svcname> -f <filename>
[-p <profile>]
installadm delete-profile -n <svcname> -p <profile> ...
installadm export [-o <path>] -n <svcname>
[-m <manifest name>]... [-p <profile name>]...
installadm export [-o <path>]
-n <svcname> | -e <macaddr>
-G
installadm export [-o <path>]
-s | -n <svcname> | -c | -e <macaddr>
[-C] [-K] [-A]
installadm validate -n <svcname>
[-M <manifest_path>]...
[-m <manifest_name>]...
[-P <profile_path>]...
[-p <profile_name>]...
installadm set-criteria -n <svcname>
[-m <manifest>] [-p <profile>]...
[[-c <criteria>=<value|list|range>]... |
[-C <criteria.xml>] |
[-a <criteria>=<value|list|range>]... |
[-d <criteria>]... |
[-D]]
installadm create-client -n <svcname>
-e <macaddr>
[-b <property>=<value>,...]
[-G <grub.cfg>]
installadm set-client -e <macaddr>
[-n <svcname>]
[-b [none|<property>=<value>,... ]]
[-G [none|<grub.cfg>]
[-g]
[-x [-y] [--hash <ca-hash>]
[-A <ca-certfile>]...
[-C <certfile> -K <keyfile>]
[-E]
[-H]
installadm set-server
[-i <dhcp_ip_start> -c <count_of_ipaddr>]
[-p <port>]
[-P <secure_port>]
[-d <directory>]
[-l all|<CIDR>[,...] | [-L none|<CIDR>[,...]]]
[-m | -M]
[-u | -U]
[-z | -Z]
[-s | -S]
[[-D]
[-x [-r] [--hash <ca-hash>]]
[-g]
[-A <ca-certfile>...]
[-C <certfile> -K <keyfile>]
[-E]
[-H]]
installadm execute -f <file>
installadm 可以通过单个子命令或指定一个包含一系列子命令的命令文件以交互方式调用。
自动化安装程序 (Automated Installer, AI) 用于通过网络在一个或多个 SPARC 和 x86 系统上自动完成 Oracle Solaris OS 安装。
通过网络利用 AI 所需的计算机拓扑需要包含一台安装服务器、一台 DHCP 服务器(这可以是与安装服务器相同的系统)以及安装客户机。在安装服务器上,安装服务设置为包含 AI 引导映像(为客户机提供该映像以便它们通过网络引导)、输入指定设置(AI 清单和派生的清单脚本,将为客户机选择其中一项)和服务管理工具 (Service Management Facility, SMF) 配置文件(将为客户机选择其中的零项或多项)。
AI 引导映像的内容作为软件包 install-image/solaris-auto-install 发布,并通过 create-service 子命令安装。create-service 子命令还能够接受和解压缩 AI ISO 文件以创建 AI 引导映像。
安装服务是使用缺省 AI 清单创建的,但是可以使用 create-manifest 子命令将定制的清单或派生的清单脚本(以下称“脚本”)添加到安装服务。有关如何创建清单和派生清单脚本的信息,请参见安装 Oracle Solaris 11.2 系统 。create-manifest 子命令也允许指定条件,这些条件用于确定应为安装客户机选择哪个清单或脚本。可以使用 set-criteria 子命令修改已经与清单或脚本关联的条件。
清单可以包括许多信息,例如目标设备、分区信息、软件包列表以及其他参数。脚本包含的命令可查询正在运行的 AI 客户机系统,并根据所发现的信息构建定制清单。通过脚本调用 AI 时,AI 会首先运行该脚本以生成清单。
当客户机引导时,即会启动搜索,以查找与客户机的条件相匹配的清单或脚本。找到匹配的清单或脚本后,即会根据匹配清单文件中的指定设置或匹配脚本派生的清单文件中的指定设置,在客户机上安装相应的 Oracle Solaris 版本。每个客户机只能使用一个清单或脚本。
每个服务都包含一个缺省清单或脚本。如果没有任何其他清单或脚本的条件与正在安装的系统相匹配,则会使用缺省清单或脚本。可以将任何清单或脚本指定为缺省清单或脚本。缺省清单可以具有与其关联的条件,供查找匹配的清单时使用,不过,如果未找到其他匹配的清单,则会将此清单作为缺省清单返回。没有与任何条件相关联的清单或脚本只能用作缺省清单或脚本。如果将其他清单或脚本指定为缺省清单或脚本,没有条件的清单或脚本将变为非活动状态。
系统配置文件是对清单和脚本的补充,它们也包含安装指定设置。具体地说,配置文件用于指定配置信息,例如用户名、用户口令、时区、主机名和 IP 地址。配置文件可以包含变量,这些变量在安装时将替换为适用于要安装的客户机的相应值。这样,单个配置文件即可在不同客户机上设置不同的配置参数。请参见“示例”部分。
系统配置文件由 smf(5) 进行处理且符合文档格式 service_bundle(4)。有关系统配置文件的更多信息,请参见 sysconfig(1M) 和安装 Oracle Solaris 11.2 系统 中的第 11 章 配置客户机系统。每个客户机可使用任意数量的系统配置文件。对于每个客户机系统,最多只能指定一次特定的 SMF 属性。
如果您想让特定客户机使用特定安装服务,可以使用 create-client 子命令将该客户机与该服务相关联。也可以使用 set-client 修改现有的客户机。
可以通过传输层安全 (Transport Layer Security, TLS) 协议保护自动化安装。可以向安装服务器和客户机分配专用证书和私钥对以及证书颁发机构 (Certificate Authority, CA) 的证书。可以通过 OBP 散列摘要和加密密钥进一步保护从网络下载 SPARC 客户机的引导文件。可以通过下列方式保护自动化安装:
服务器验证:可以验证服务器的身份。
客户机验证:可以验证客户机的身份。
可以控制对自动化安装的访问。
可以控制对服务器数据的访问。
可以为所有客户机保护客户机数据,也可以单独为指定客户机保护客户机数据。
数据可以加密,从而无法通过网络读取该数据。
可以访问受保护的 IPS 软件包系统信息库。
用户指定的目录可以由 Web 服务器安全发布。需要进行客户机验证来访问此目录。
可使用 installadm 实用程序完成下列任务:
配置 AI 服务器 SMF 服务
设置安装服务和别名
更新特定安装服务的网络映像
设置安装映像
设置或删除客户机
添加、更新或删除清单和脚本
指定或修改清单或脚本的条件
导出清单和脚本
添加或删除系统配置文件
验证配置文件
指定或修改配置文件的条件
导出配置文件
启用或禁用安装服务
列出安装服务
列出安装服务的客户机
列出安装服务的清单和脚本
列出安装服务的配置文件
保护安装服务器和 AI 客户机之间的数据传输
启用或禁用安全性
执行子命令批
installadm 命令具有以下选项:
显示所有子命令的用法消息。
如果后跟某个子命令,则将仅显示该子命令的用法消息。
installadm 命令具有以下子命令。另请参见下文的“示例”部分。
显示可用命令的摘要。
显示指定子命令的更多帮助信息。
此子命令用于在指定的 imagepath 目录中设置网络引导映像(网络映像),并创建一个安装服务来指定如何安装从该网络映像引导的客户机。
AI 引导映像内容作为软件包 install-image/solaris-auto-install 发布。如果未指定 –s 选项,则从系统发布者首选项列表中第一个提供该软件包实例的发布者安装该软件包。–s 选项可以接受以映像 ISO 文件的完整 FMRI 或位置来指定 pkg。生成的网络映像最终位于 imagepath。使用网络映像即可进行客户机安装。
请注意以下指定设置:
在安装服务器上创建采用给定体系结构的第一个安装服务时,会自动创建该服务的别名(default-i386 或 default-sparc)。此缺省服务将用于采用该体系结构且未使用 create-client 子命令明确添加到安装服务器的客户机的所有安装。要更改 default-arch 服务用作别名的服务,请使用 set-service 子命令。要更新 default- arch 服务,请使用 update-service 子命令。
如果将 default-arch 别名更改为新的安装服务且找到了本地 ISC DHCP 配置,则此缺省别名引导文件将设置为该体系结构的缺省 DHCP 服务器范围的引导文件。
如果您想让客户机使用该体系结构的缺省安装服务以外的其他安装服务,必须使用 create-client 子命令创建特定于客户机的配置。
选项为下列任一项:
可选:使用此安装服务名称而不是系统生成的服务名称。<svcname> 可以包含字母数字字符、下划线 (_) 和连字符 (-)。<svcname> 的第一个字符不得为连字符。svcname 的长度不能超过 63 个字符。
如果未指定 –n 选项,则会自动生成服务名称。缺省名称包括体系结构和 OS 版本信息。
可选:指定网络映像的数据源。可以为以下任意一项:
IPS AI 网络映像包的 FMRI。这是缺省值。如果未指定 –s 选项,则将使用最新可用版本的 install-image/solaris-auto-install 软件包。将从 –p 选项指定的发布者检索该软件包,或者从安装服务器的发布者首选项列表中提供了该包实例的第一个发布者检索该软件包。
AI ISO 映像的路径。
可选:仅当基于 IPS 软件包创建服务时适用。指定您要从中检索 install-image/solaris-auto-install 软件包的 IPS 软件包系统信息库。例如,solaris=http://pkg.oracle.com/solaris/release/。
如果未指定 –p 选项,则将使用安装服务器的发布者首选项列表中提供了该软件包实例的第一个发布者。
可选:仅当基于 IPS 软件包创建服务时适用。指定安全 IPS 发布者的 PEM 格式密钥的路径。
可选:仅当基于 IPS 软件包创建服务时适用。指定安全 IPS 发布者的 PEM 格式证书的路径。
可选:仅当基于 IPS 软件包创建服务时适用。指定要使用此服务安装的客户机的体系结构。此值可以是 i386 或 sparc。缺省值是安装服务器的体系结构。
可选:指定要在其中创建网络映像的路径。如果未指定,则将在 <svcname> 目录中由 all_services/default_imagepath_basedir 属性的值定义的位置创建映像。有关此属性的缺省值的信息,请参见“安装服务器配置属性”。除非同时指定了 –y,否则会显示确认提示。
可选:抑制任何确认提示,并继续使用提供的选项以及任何缺省值创建服务(请参见 –d)。
可选:此新服务是 aliasof 安装服务的备用名称。
可选:用于指定要用于服务的缺省清单或派生清单脚本的路径。
可选:仅适用于 x86 客户机。在服务映像中特定于服务的引导配置文件中设置一个属性值。可使用此选项设置特定于此服务的引导属性。此选项可以接受多个以逗号分隔的 property=value 对。
可选:分配一个新的 GRUB2 菜单文件,或者删除一个(如果指定了 'none')。
已过时:这些选项已过时,在此上下文中不能再使用,从现在起应当使用 set-server 等效项。有关更多信息,请参阅 set-server 文档。
如果尚未配置 AI 服务器来管理 DHCP,这些选项将失败。
已过时:此选项已过时,在此上下文中不能再使用,从现在起应当使用 set-server 等效项。有关更多信息,请参阅 set-server 文档。
可以通过此子命令修改现有服务。必须至少指定这些选项中的一个:
使 <svcname> 成为 <existing_service> 安装服务的别名。
将已向指定的服务注册的特定清单或派生清单脚本指定为该服务的缺省清单或派生清单脚本。可使用 installadm list 命令显示已向此服务注册的清单和派生清单脚本的列表。
$ installadm list -n <svcname> -m
导致映像重新定位到新的映像路径。
启用/禁用服务。
分配一个新的 GRUB2 菜单文件,或者删除一个(如果指定了 'none')。
设置 GRUB 菜单的引导参数,或者将其删除(如果指定了 'none')。
仅能为安装服务分配这些安全设置之一。<policy> 可以是下列安全策略设置之一,这些设置按照安全性递减的顺序列出:
确认 AI 客户机的身份。需要对指定服务的所有客户机进行客户机和服务器验证。此服务的所有 SPARC 客户机必须定义 OBP 密钥。
确认 AI 安装服务器的身份。需要指定服务的所有客户机执行服务器验证。客户机验证是可选的,但是需要提供任何已分配的客户机凭证。此服务的所有 SPARC 客户机必须定义 OBP 密钥。
允许已验证和未验证的客户机访问安装服务。客户机验证是可选的,但是需要提供任何已分配的客户机凭证。这是缺省行为。
为 x86 安装服务启用 SSL/TLS 端对端加密。不执行验证。
对指定服务的所有客户机禁用所有安全设置。
删除服务的任何安全性配置,或者删除特定的 CA(如果提供了 –-hash)。如果提供了 –y,则不会提示进行确认。
自动生成和分配所有 X.509 安全凭证并生成 OBP 密钥。仅当 CA 证书和 OBP 密钥不存在时才生成它们。
分配位于路径 <ca-certfile> 下的由用户提供的 PEM 编码的 X.509 证书颁发机构 (Certificate Authority, CA) 证书。仅需要指定每个 CA 信任链一次。如果 CA 链包括多个 CA 证书文件,请使用多个 –A 选项。
–C 分配位于路径 <certfile> 下的由用户提供的 PEM 编码的 X.509 证书。
–K 分配位于路径 <keyfile> 下的由用户提供的 PEM 编码的 X.509 私钥。<keyfile> 必须已删除了任何口令短语。
–C 选项必须和 –K 选项一起使用。如果仅指定 –C 和 –K 选项,必须之前已经指定了关联的 CA 证书。
如果您还指定了 –A 选项,则将根据这些 CA 证书对此证书和密钥进行验证。
重新生成 SPARC OBP 固件安全加密密钥。使任何现有密钥失效。
使用 –g、–C、–K 或 –A 选项时,如果 OBP 密钥不存在将自动生成该密钥。生成这些密钥后,可以使用 –E 和 – H 选项替换现有密钥。在 OBP 密钥存在之前指定 –E 或 – H 选项是错误的。可以指定这两个 OBP 密钥选项,也可以指定 –E 或 –H 中的任一个。将使已经存在的 OBP 密钥失效并用新生成的值替换这些密钥。
重新生成 SPARC OBP 固件安全散列密钥 (HMAC)。使任何现有密钥失效。
更新与 <svcname> 关联的映像,其中,<svcname> 是使用 IPS AI 网络映像包创建的服务的别名。使用更新的映像创建一个新服务,并将 <svcname> 用作新服务的别名。
必需的参数为:
指定要更新的安装服务的名称,该名称必须是使用 IPS 网络映像包创建的服务的别名。
[options] 为下列一项或多项:
要从中更新 <svcname> 映像的 IPS 软件包系统信息库。下面是一个示例值:
solaris=http://pkg.oracle.com/solaris/release/
可以通过提供要与选项一起使用的密钥和证书文件的路径为发布者指定证书和密钥:
如果未指定 –p 选项,则使用的发布者是用来为别名为 <svcname> 的服务创建映像的发布者。可以在该服务的详细输出中查看软件包发布者。
用于更新的网络映像包的 FMRI。
如果未指定 –s 选项,则使用在 –p 选项的描述中指定的发布者提供的最新可用版本的 install-image/solaris-auto-install 软件包。
将安装服务 <svcname> 重命名为 <newsvcname>。
<newsvcname> 可以包含字母数字字符、下划线 (_) 和连字符 (-)。<newsvcname> 的第一个字符不得为连字符。<newsvcname> 的长度不能超过 63 个字符。
已过时:此子命令已过时,请优先使用 set-service 子命令的 –-enable 选项。
启用 svcname 安装服务。
已过时:此子命令已过时,请优先使用 set-service 子命令的 –-enable 选项。
禁用 svcname 安装服务。
删除安装服务。
删除此安装服务的清单、配置文件、客户机配置文件和 Web 服务器配置。
删除用于实例化服务的映像。
如果满足以下条件,则会从 ISC DHCP 配置中删除与此服务关联的引导文件:
此服务是一个缺省别名。
存在本地 ISC DHCP 配置。
all_services/manage_dhcp 属性值是 true。
必需的参数为:
指定要删除的安装服务名称。
其中,[options] 为下列一项或多项:
如果指定此选项,还将删除分配给此服务的任何客户机以及以此服务作为别名的任何服务。
抑制任何确认提示并继续删除服务。
不使用任何选项时,将列出 AI 服务器上所有服务的摘要。可用选项包括:
生成更详细的列表
在树形输出中列出 AI 服务器的配置,其中包括 AI 服务器上的服务器、服务、客户机、清单和配置文件的信息。
只能与 –v 或 –n 选项配合使用。
用作过滤器,仅显示服务器上的指定 <svcname> 的客户机、清单或配置文件。
此选项可用来过滤 –a、–c、–m 或 –p 选项。
仅列出所提供的 <macaddress> 的特定信息。
只能与 –v 选项配合使用。
列出关于服务器配置的信息。
不能和 –n 选项同时使用。
列出本地服务器上的安装服务的客户机。
当与 –n 选项一起使用时,仅显示给定服务的清单和脚本。
列出与本地服务器上的安装服务相关联的清单和派生的清单脚本,包括每个清单的条件。将标记出处于非活动状态的清单。处于非活动状态的清单没有关联的条件,并且不是该服务的缺省清单。
当与 –n 选项一起使用时,仅显示给定服务的清单和脚本。
列出与本地服务器上的安装服务相关联的配置文件,包括每个配置文件的条件。
当与 –n 选项一起使用时,仅显示给定服务的配置文件。
当列表输出包括用户不可访问的字段时(即他们没有足够的授权时),输出中将隐藏这些字段。这样的字段包括与是否启用安全性、安全凭证等相关的那些字段。
为特定安装服务创建清单或派生的清单脚本,以便使该清单或脚本在网络上可用,而无需创建服务。仅当存在关联条件时,非缺省清单或脚本才能使用(处于活动状态)。可以在命令行上输入条件 (–c),也可以在条件 XML 文件中输入条件 (–C)。
将按以下顺序确定清单名称:
由 –m 选项指定的 manifest 名称(如果存在)。
ai_instance name 属性的值(如果存在于清单中)。
filename 的基名。
必需的参数为:
指定此清单或脚本要与之关联的安装服务的名称。
指定要添加的清单或派生的清单脚本的路径名。
[options] 可以为下列一项或多项:
指定清单或派生的清单脚本的 AI 实例名称。将清单的 ai_instance 元素的 name 属性设置为 manifest。在后续 installadm 命令和 installadm list 输出中,该清单或脚本将被称为 manifest。
指定要与添加的清单或脚本关联的条件。请参见下文中的“条件”部分。可以多次指定 –c 选项。
指定要与添加的清单或脚本关联的条件所在的条件 XML 文件的路径名。
指定此清单或脚本是服务的新缺省清单或脚本。
从 <svcname> 安装服务更新特定的清单或派生的清单脚本。使用 filename 的内容替换指定的清单或脚本。进行更新后,任何条件或缺省状态都将随清单或脚本保留。
将按以下顺序确定清单名称:
由 –m 选项指定的 manifest(如果存在)。
ai_instance name 属性的值(如果存在于更改的清单中且与现有清单的 ai_instance name 值相匹配)。
filename 的基名(如果与现有清单中的 ai_instance name 属性值相匹配),或是由 installadm list 给定的名称(如果与现有脚本的名称相匹配)。
必需的参数为:
指定要更新的清单或脚本的安装服务名称。
指定供替换的清单或派生的清单脚本的路径名。
还可以指定以下可选项:
指定供替换的清单或脚本的 AI 实例名称。
删除随特定安装服务发布的清单或派生的清单脚本。无法删除缺省清单或脚本。
必需的参数为:
指定要删除的清单或脚本的安装服务名称。
指定清单或派生的清单脚本的 AI 实例名称,作为使用 –n 选项时 installadm list 的输出。
为特定安装服务创建配置文件。(可选)可以通过在命令行上输入条件 (–c) 或者在条件 XML 文件中输入条件 (–C) 来将条件与配置文件相关联。创建时不包括条件的配置文件会与服务的所有客户机相关联。
将按以下顺序确定配置文件名称:
由 –p 选项指定的 profile(如果存在)。
filename 的基名。
AI 服务的配置文件名必须唯一。如果使用多个 –f 选项创建具有相同条件的多个配置文件,则 –p 选项将无效,配置文件的名称从其文件名派生。
必需的参数为:
必需:指定要创建的配置文件的安装服务的名称。
必需:指定要用来添加配置文件之文件的路径名称。可以指定多个配置文件。
[options] 可以为下列一项或多项:
可选:指定要创建的配置文件的名称。仅在创建单个配置文件时有效。
可选:指定要与配置文件相关联的条件。请参见下文中的“条件”部分。可以指定多个 –c 选项。
可选:指定条件 XML 文件(包含要与指定的配置文件相关联的条件)的路径名称。
从 <svcname> 安装服务更新指定的配置文件。使用 filename 的内容替换指定的配置文件。更新后,任何条件都将随配置文件一起保留。
将按以下顺序确定要更新的配置文件:
由 –p 选项指定的 profile(如果存在)。
filename 的基名。
必需:指定要更新的配置文件的安装服务名称。
必需:指定要用来更新配置文件的文件的路径名。
可选:指定要更新的配置文件的名称。如果要更新的配置文件的名称与 filename 的基名不同,请使用此选项。
从 <svcname> 安装服务删除 profile 配置文件。
必需的参数为:
指定要删除的配置文件的安装服务名称。
指定要删除的配置文件的名称。可以指定多个 –p 选项。
export 命令有多个可能的有效选项组合。第一个元素 [selector] 选择作为要输出的项的来源的对象:
指定要用作安全密钥或证书的来源的服务器对象。
指定要用作清单、配置文件、GRUB 菜单或安全密钥或证书的来源的特定服务。
指定要在导出安全密钥或证书时使用的服务器缺省客户机安全性。
通过 MAC 地址指定要用作安全密钥或证书的来源的客户机。
下一个元素 [items] 指定要输出的项:
指定要从指定服务导出的清单或派生清单的名称。可以指定多个 –m 选项。
指定要从指定服务导出的配置文件名称。可以指定多个 –p 选项。
输出当前用于服务或客户机的 GRUB2 菜单 (grub.cfg) 文件。
此选项只能与 –n 或 –e 选项一起使用。
输出指定的服务器、服务或客户机的 PEM 编码 X.509 证书。
此选项可以与选择选项 –n、–e、–s 或 –c 中的任何一个一起使用。
输出指定的服务器、服务或客户机的 PEM 编码 X.509 私钥。
此选项可以与选择选项 –n、–e、–s 或 –c 中的任何一个一起使用。
输出具有指定 <hash> 值的 PEM 编码 X.509 证书颁发机构 (Certificate Authority, CA) 证书。
此选项可以重复使用以导出多个 CA 证书,并且可以与选择选项 –n、–e、–s 或 –c 中的任何一个一起使用。
验证指定的配置文件或清单。validate 子命令可以用于验证数据库中的配置文件 (–p),也可以用于验证正在开发、尚未进入数据库的配置文件 (–P) 或清单 (–M)。
必需的参数为:
指定配置文件或清单所关联的要针对其进行验证的服务。
其中,[options] 为下列一项或多项:
指定要针对所提供的服务进行验证的外部清单文件。
指定要针对所提供的服务进行验证的现有清单的名称。
指定要针对所提供的服务进行验证的外部配置文件。
指定要针对所提供的服务进行验证的现有配置文件的名称。
更新已发布的清单或派生的清单脚本或配置文件的条件。可在命令行上或者在条件 XML 文件中指定条件。
create-manifest 子命令部分说明了有效的条件。
必需的参数为:
指定配置文件或清单所关联的服务。
以及下列一项或多项:
指定清单或派生的清单脚本的 AI 实例名称。
只能指定一个清单,因为不能有多个分配了相同条件的清单。
指定配置文件的名称。
则 [options] 为下列变体之一:
指定要替换清单、脚本或配置文件的所有现有条件的条件。有关可能值,请参见下文中的“条件”部分。
可以指定多个 –c 选项。
指定条件 XML 文件(其中包含要替换清单、脚本或配置文件的所有现有条件的条件)的路径名称。
指定要附加到清单、脚本或配置文件的现有条件的条件。有关可能值,请参见下文中的“条件”部分。如果指定的条件已存在,则该条件的 value|list|range 将被指定的 value|list|range 替换。
可以指定多个 –a 选项。
指定要从清单、脚本或配置文件的现有条件中删除的条件。有关可能值,请参见下文中的“条件”部分。
可以指定多个 –d 选项。
针对指定客户机完成可选设置任务,以便提供与 create-service 子命令所使用的缺省设置不同的定制客户机设置。使用户可以指定客户机的非缺省服务名称和引导参数或 GRUB2 菜单。
可以使用 installadm set-client 子命令修改现有的客户机。
如果满足以下条件,则会在 ISC DHCP 配置中配置客户机:
客户机是一个 x86 系统。
存在本地 ISC DHCP 配置。
all_services/manage_dhcp 属性值是 true。
必需的参数为:
指定用于客户机安装的安装服务。
指定客户机的 MAC 地址。
(仅限 x86 客户机)[options] 可以是下列项中的一个:
在特定于客户机的引导配置文件中设置属性值。可使用此选项设置特定于此客户机的引导属性。此选项可以接受多个 property=value 对,也可以重复使用多次。
指定在引导客户机时要使用的定制 GRUB2 菜单 (grub.cfg) 文件。
必需的参数为:
指定客户机的 MAC 地址。
其中,[options] 为下列项中的任何一个:
如果此服务不同于与客户机关联的现有服务,则会将客户机移动到此服务。
生成一组新的 CA 证书、客户机证书和密钥,包括用于 SPARC 的加密密钥和散列(如果它们尚未存在)。
删除客户机的安全性信息。这可以使用以下选项进一步修改:
指定不应当提示确认。
将命令限制为仅删除与该值匹配的 CA 证书。
分配位于路径 <ca-certfile> 下的由用户提供的 PEM 编码的 X.509 证书颁发机构 (Certificate Authority, CA) 证书。仅需要指定每个 CA 信任链一次。如果 CA 链包括多个 CA 证书文件,请使用多个 –A 选项。
–C 分配位于路径 <certfile> 下的由用户提供的 PEM 编码的 X.509 证书。
–K 分配位于路径 <keyfile> 下的由用户提供的 PEM 编码的 X.509 私钥。<keyfile> 必须已删除了任何口令短语。
–C 选项必须和 –K 选项一起使用。如果仅指定 –C 和 –K 选项,必须之前已经指定了关联的 CA 证书。
如果您还指定了 –A 选项,则将根据这些 CA 证书对此证书和密钥进行验证。
(仅限 SPARC 客户机)[options] 可以是下列项中的一个:
重新生成 SPARC OBP 固件安全加密密钥。使任何现有密钥失效。
使用 –g、–C、–K 或 –A 选项时,如果 OBP 密钥不存在将自动生成该密钥。生成这些密钥后,可以使用 –E 和 – H 选项替换现有密钥。在 OBP 密钥存在之前指定 –E 或 – H 选项是错误的。可以指定这两个 OBP 密钥选项,也可以指定 –E 或 –H 中的任一个。将使已经存在的 OBP 密钥失效并用新生成的值替换这些密钥。
重新生成 SPARC OBP 固件安全散列密钥 (HMAC)。使任何现有密钥失效。
(仅限 x86 客户机)[options] 可以是下列项中的一个:
(仅限 x86 客户机)设置 GRUB 菜单的引导参数,或者删除参数(如果指定了 'none'),恢复服务 GRUB 配置。
如果此客户机已存在定制 GRUB2 菜单,则此选项将失败。
(仅限 x86 客户机)分配一个新的 GRUB2 菜单文件,或者删除一个(如果指定了 'none')。
添加新的 GRUB2 菜单将替换为此客户机指定的任何现有 boot-args。
删除之前使用 create-client 子命令设置的现有客户机的特定服务信息。
如果满足以下条件,则会在 ISC DHCP 配置中取消客户机配置:
客户机是一个 x86 系统。
存在本地 ISC DHCP 配置。
all_services/manage_dhcp 属性值是 true。
必需的参数为:
指定要删除的客户机的 MAC 地址。
修改服务器配置。
请注意以下指定设置:
如果使用了 –i 和 –c 选项,且尚未配置 DHCP 服务器,则会配置 ISC DHCP 服务器。
如果已配置 ISC DHCP 服务器,则会更新该 DHCP 服务器。
即使提供 –i 和 –c 参数且已配置 DHCP,正在创建的安装服务与 IP 范围之间也不存在绑定关系。当传递了 –i 和 –c 且 all_services/manage_dhcp 的值为 true 时,会设置 IP 范围,根据需要创建新的 DHCP 服务器,并且该 DHCP 服务器对于要使用的所有安装服务和所有客户机将保持打开且运行状态。提供给 DHCP 服务器的网络信息与正在创建的服务之间没有特定关系。
如果请求的 IP 范围不在安装服务器直接连接的子网上且安装服务器是多宿主的,则 –B 选项将用于提供引导文件服务器的地址(通常为此系统上的 IP 地址)。仅当在安装服务器上配置多个 IP 地址且使用 DHCP 中继时,才有必要进行此操作。在所有其他配置中,软件可自动确定 IP 地址。
其中,[options] 至少为下列项中的一项:
指定托管 AI 安装服务 Web 服务器的端口。缺省情况下,在端口 5555 上托管 Web 服务器。
如果要使用与缺省值不同的端口号,则在创建任何安装服务之前定制port属性。
指定托管安全 AI 安装服务 Web 服务器的端口。缺省情况下,在端口 5556 上托管 Web 服务器。
指定由 installadm create-service 命令创建的映像的缺省位置。映像位于 <directory>/service_name。此属性的缺省值为 /export/auto_install。
启用 AI 清单向导 Web UI,该选项与 –U 选项互斥。
禁用 AI 清单向导 Web UI,该选项与 –U 选项互斥。
允许 AI 清单向导将生成的清单写入到 AI 服务器上的临时位置以方便通过 installadm 添加到服务。与 –Z 选项互斥。
禁止 AI 清单向导将生成的清单写入到 AI 服务器上的临时位置以方便通过 installadm 添加到服务。与 –z 选项互斥。
接受要允许的网络的逗号分隔列表,采用 CIDR 格式(例如 192.168.56.0/24)。
使用该网络列表可指定此安装服务器为哪些客户机提供服务。使用此选项将替换已使用 –l 或 –L 选项配置的任何网络。
使用此选项将设置 AI 安装服务器 SMF all_services/networks 和 all_services/exclude_networks 值。具体而言,这将 all_services/exclude_networks 属性设置为 false。
缺省情况下,AI 安装服务器配置为向该服务器连接的所有网络上的安装客户机提供服务(如果该服务器为多宿主服务器)。要返回到此状态,您可以在此处使用特殊的 'all' 值。
指示服务器在决定要服务的网络时排除这些网络,该选项与 –l 选项互斥。使用此选项将替换已使用 –l 或 –L 选项配置的任何网络。
接受要禁用的网络的逗号分隔列表,采用 CIDR 格式(例如 192.168.56.0/24)。
使用此选项将设置 AI 安装服务器 SMF all_services/networks 和 all_services/exclude_networks 值。具体而言,这将 all_services/exclude_networks 属性设置为 true。
缺省情况下,AI 安装服务器配置为向该服务器连接的所有网络上的安装客户机提供服务(如果该服务器为多宿主服务器)。要返回到此状态,您可以在此处使用特殊的 'none' 值。
将 AI 服务器属性配置为在本地管理 DHCP 配置。设置后,在安装服务器中修改客户机和服务配置时,会自动更新本地 ISC DHCP 配置。
如果当前没有 ISC DHCP 配置,还必须指定 –i 和 –c 选项来定义要管理的地址范围。
与 –M 选项互斥。
将 AI 服务器属性配置为不在本地管理 DHCP 配置,因此在修改客户机或服务配置时,AI 服务器将不会自动维护 ISC DHCP 配置。
与 –m 选项互斥。
如果在管理 DHCP,将更改 DHCP 配置,还必须同时指定 –i 和 –c 选项。
如果尚未在管理 DHCP,则还必须指定 –m 选项来启用它。
这些选项用来指定要添加到本地 DHCP 配置的范围的起始 IP 地址。
IP 地址数量由 –c 选项提供。如果不存在本地 ISC DHCP 配置,并且还指定了 –m,则会启动 ISC DHCP 服务器。
如果已存在本地 ISC DHCP 配置,则会将这些地址添加现有托管地址集(如果没有重叠)。
用于提供客户机应该从其请求引导文件的引导服务器的 IP 地址。仅当通过其他方法无法确定此 IP 地址时,才需要此选项。
与 -S 选项互斥。
在使用 –-disable-security 选项禁用安全设置之后,在服务器范围内重新启用安全实施。
与 –s 选项互斥。
在服务器范围内禁用安全实施。禁用安全设置时,将不向客户机发出凭证,将不需要客户机提供凭证。禁用安全设置时,将不向提供给 AI 客户机的任何 AI 文件提供 HTTPS 网络保护。禁用安全设置时,无法访问 AI Web 服务器提供的用户指定的安全文件。
禁用安全设置时,您可以继续配置安全性。所有更改会在重新启用安全设置时生效。
对已经配置了安装服务的系统禁用安全设置时应谨慎:将不需要验证就可以访问受保护的 AI 服务数据,并且未经过验证的客户机将可以通过 AI 安装 Oracle Solaris。
将 [sec_options] 限制为仅修改与服务器的安全设置相对的缺省客户机安全设置。
[sec_options] 可以是以下任一项。缺省情况下,应用于服务器,除非指定了 –D|–-default-client-security 选项:
删除已配置的任何安全设置。如果指定了 –-hash,则将仅删除具有该散列的 CA 证书。
未指定 –r 时,将删除先前分配给安装服务器(或指定了 –D 的缺省客户机)的 CA 证书。
指定了 –r 时,将为服务器和使用指定 CA 证书的任何客户机删除该 CA 证书。
删除先前分配给安装服务器、指定客户机、缺省客户机的 CA 证书。
<ca-hash> 的值是证书的 X.509 主体的散列值。使用 list -v 子命令显示 CA 证书散列。
删除客户机的 CA 证书后,无法再验证该客户机。如果使用指定 CA 证书生成证书,installadm 命令将无法生成证书。
自动生成和分配所有 X.509 安全凭证并生成 OBP 密钥。仅当 CA 证书和 OBP 密钥不存在时才生成它们。
分配位于路径 <ca-certfile> 下的由用户提供的 PEM 编码的 X.509 证书颁发机构 (Certificate Authority, CA) 证书。仅需要指定每个 CA 信任链一次。如果 CA 链包括多个 CA 证书文件,请使用多个 –A 选项。
–C 分配位于路径 <certfile> 下的由用户提供的 PEM 编码的 X.509 证书。
–K 分配位于路径 <keyfile> 下的由用户提供的 PEM 编码的 X.509 私钥。<keyfile> 必须已删除了任何口令短语。
–C 选项必须和 –K 选项一起使用。如果仅指定 –C 和 –K 选项,必须之前已经指定了关联的 CA 证书。
如果您还指定了 –A 选项,则将根据这些 CA 证书对此证书和密钥进行验证。
重新生成 SPARC OBP 固件安全加密密钥。使任何现有密钥失效。
使用 –g、–C、–K 或 –A 选项时,如果 OBP 密钥不存在将自动生成该密钥。生成这些密钥后,可以使用 –E 和 – H 选项替换现有密钥。在 OBP 密钥存在之前指定 –E 或 – H 选项是错误的。可以指定这两个 OBP 密钥选项,也可以指定 –E 或 –H 中的任一个。将使已经存在的 OBP 密钥失效并用新生成的值替换这些密钥。
重新生成 SPARC OBP 固件安全散列密钥 (HMAC)。使任何现有密钥失效。
作为批处理作业按顺序执行 <file> 中的子命令列表。
这还具有直到完成批处理运行才刷新/重新启动 SMF 服务的优势。
必需的参数为:
包含要执行的子命令列表(一个子命令占一行)的文件。
将忽略空白行以及以 '#' 开头的那些行。
交互模式提供一个 installadm 提示符,可以在此处一个接一个输入子命令。交互模式的主要优势有:
可以仅使用子命令形式输入几个命令,如果使用 sudo 或 pfexec 以附加特权或授权运行 installadm,此模式尤其有用。
以 Tab 完成子命令。
在交互模式下,有使用一条命令时无法使用的几个其他命令可供使用:
如果指定,将根据环境变量 SHELL 的值在子 shell 中执行 <command>。
没有任何参数时将启动以交互方式使用的子 shell。
此命令还有一种短形式 '!',可以用作 "!ls" 来执行 ls 命令。
退出交互提示符。
清单、派生的清单脚本和配置文件可用来根据特定特征或条件以不同方式对 AI 客户机进行配置。只能将一个清单或脚本与一个特定客户机相关联。可以将任意数量的配置文件与一个特定客户机相关联。
条件值由 AI 客户机在启动期间确定。
有关如何在命令行上指定条件,请参见“示例”部分。有关创建条件文件的信息,请参见安装 Oracle Solaris 11.2 系统 。
|
ipv4、mac、mem 和 network 指定可以表示为由连字符 (-) 分隔的范围值。若不要为范围的一端指定限制,请使用 unbounded。在确定匹配的清单时,具体值匹配项优先于范围匹配项。
arch、cpu、hostname、platform 和 zonename 指定可表示为以空格分隔、用引号括住的值列表。
svc:/system/install/server:default SMF 服务的以下属性用来配置安装服务器。
这些属性大多数可使用 set-server 子命令进行配置,这是更新这些属性的首选机制。
要允许或禁用的网络的列表,采用 CIDR 格式(例如 192.168.56.0/24),允许还是禁用具体取决于 all_services/exclude_networks 属性的设置。
使用该网络列表可指定此安装服务器为哪些客户机提供服务。缺省情况下,AI 安装服务器配置为向该服务器连接的所有网络上的安装客户机提供服务(如果该服务器为多宿主服务器)。
布尔值。如果为 true,则从此安装服务器提供服务的网络中排除由 all_services/networks 属性指定的网络。如果为 false,将包括由 all_services/networks 属性指定的网络。
指定托管 AI 安装服务 Web 服务器的端口。缺省情况下,在端口 5555 上托管 Web 服务器。
如果要使用与缺省值不同的端口号,则在创建任何安装服务之前定制port属性。
指定托管安全 AI 安装服务 Web 服务器的端口。缺省情况下,在端口 5556 上托管 Web 服务器。
指定 AI Web 服务器将使用其标准端口(由 all_services/port 属性定义)提供服务的本地系统上的目录。将可以在以下位置访问此目录:
http://hostname:port/webserver_files_dir
指定 AI Web 服务器将使用其安全端口(由 all_services/secure_port 属性定义)提供服务的本地系统上的目录。将可以在以下位置访问此目录:
https://hostname:secure_port/webserver_secure_files_dir
仅经过验证的客户机可以访问此目录。为了获得最大安全性,webserver_secure_files_dir 目录中的文件应该由用户 webservd 和组 webservd 拥有,不能供所有人访问。
指定由 installadm create-service 命令创建的映像的缺省位置。映像位于 all_services/default_imagepath_basedir/service_name。此属性的缺省值为 /export/auto_install。
布尔值。如果为 true,则在安装服务器中修改客户机和服务配置时,会自动更新本地 ISC DHCP 配置。如果为 false,则不会自动维护 ISC DHCP 配置。
首次创建安装服务器和 x86 安装服务。
如果您未使用 SPARC OBP 的 network-boot-arguments 变量来配置 AI 客户机,则必须配置 DHCP 服务器来提供 AI 服务配置。如果您已配置了 OBP 或 DHCP 服务器,则可以跳过此步骤。否则,installadm 会为 AI 客户机设置和管理要从中引导的本地 ISC DHCP 服务器。要对此进行配置,可以使用 set-server 子命令:
set-server 子命令用来设置起始 IP 地址和 IP 地址的总数以配置 DHCP 服务器。
# installadm set-server -i 172.0.0.10 -c 10
起始 IP 地址 172.0.0.10 和 10 个 IP 地址将添加到本地 ISC DHCP 配置。如果不存在本地 ISC DHCP 配置,则会启动 ISC DHCP 服务器。
如果没有指定网络映像的来源,将使用 IPS 软件包,例如:
# installadm create-service -y
在 x86 安装服务器上,此命令会在位于由 all_services/default_imagepath_basedir 属性的值指定的映像位置处的目录中设置一个 x86 网络映像和带有缺省名称的安装服务。有关此属性的缺省值,请参见“安装服务器配置属性”。–y 选项用于确认缺省位置是否可接受。由于未指定体系结构,因此创建的服务与安装服务器具有相同的体系结构。此命令假定安装服务器的 pkg publisher 列表上的软件包系统信息库包含 install-image/solaris-auto-install 软件包。
此命令使用缺省映像路径和服务名称 /export/auto_install/sol-11_1-i386 设置网络映像和安装服务。
由于这是创建的第一个 x86 服务,因此会自动创建default-i386服务并将其作为此服务的别名。可以使用 default-i386 别名,并且如果未使用 create-client 进行特别配置,通过 PXE 引导的客户机将从 default-i386 服务引导和安装。
示例 2 从软件包系统信息库创建新的 SPARC 安装服务要指定在 x86 安装服务器上创建 SPARC 服务,请使用 –a 选项。
# installadm create-service -y -a sparc
如果没有指定网络映像的来源,则缺省情况下将使用 IPS 软件包。
该网络映像支持 SPARC 客户机安装。
由于这是创建的第一个 SPARC 服务,因此会自动创建 default-sparc 服务并将其作为此服务的别名。可以使用 default-sparc 别名,SPARC 客户机将从 default-sparc 服务引导和安装。
示例 3 从不同的软件包系统信息库创建 x86 安装服务缺省情况下,将从系统配置的发布者获取 solaris-auto-install 软件包。
要指定 solaris-auto-install 软件包的替代软件包系统信息库,请使用 –p 选项。例如,使用以下命令可将位于 http://example.company.com:4281 的 ai-image 发布者指定为 solaris-auto-install 软件包的发布者:
# installadm create-service -y \ -p ai-image=http://example.company.com:4281示例 4 从 ISO 文件创建新的 x86 安装服务
可以使用以下命令从 ISO 映像创建 x86 安装服务:
# installadm create-service -n sol-11_1-i386 \ -s /export/isos/sol-11_1-ai-x86.iso \ -y
AI ISO 映像位于 /export/auto_install/sol-11_1-sparc。此命令在 /export/images/sol-11_1-i386 中基于 AI ISO 映像设置网络映像和安装服务。该网络映像支持客户机安装。
示例 5 从 ISO 文件创建新的 SPARC 安装服务可以使用以下命令从 ISO 映像创建 SPARC 安装服务:
# installadm create-service -n sol-11_1-sparc \ -s /export/isos/sol-11_1-ai-sparc.iso \ -d /export/images/sol-11_1-sparc
AI ISO 映像位于 /export/isos/sol-11_1-ai-sparc.iso。此命令在 /export/images/sol-11_1-sparc 中基于 AI ISO 映像设置网络映像和安装服务。该网络映像支持客户机安装。
示例 6 将客户机与安装服务相关联使用以下样例命令可将客户机与特定安装服务相关联。安装服务必须已存在。
# installadm create-client -b "console=ttya" \ -e 0:e0:81:5d:bf:e0 -n sol-11_1-i386
在本示例中,该命令会为 MAC 地址为 0:e0:81:5d:bf:e0 的系统创建特定于客户机的设置。此客户机将使用以前设置的、名为 sol-11_1-i386 的安装服务以及该服务的关联网络映像。该命令会在 /etc/netboot 中的特定于客户机的引导配置文件设置引导属性 console=ttya。
示例 7 在不修改缺省服务的情况下添加新安装服务使用以下样例命令可添加名为 sol-11-sparc 的新服务、保留现有的服务并使现有的缺省服务保持不变。
# installadm create-service -n sol-11-sparc \ -s /export/isos/sol-11-1111-ai-sparc.iso \ -d /export/ai/sol-11-sparc示例 8 更新 default-i386 服务
使用以下示例命令将 default-i386 别名服务更新为与最新可用映像相关联。installadm list 命令可显示在执行该命令之前和之后的服务。示例假定原先用来创建 default-i386 服务别名的发布者提供了更新的网络映像包。
# installadm list Service Name Base Service Status Arch Type Ali Cli Man Pro ------------ -------- ------ ---- ---- --- --- --- --- default-i386 solaris11-i386 on i386 pkg 0 1 1 0 solaris11-i386 - on i386 pkg 1 0 1 0 # installadm update-service default-i386 ... Creating new i386 service: solaris11_1-i386 Aliasing default-i386 to solaris11_1-i386 ... ... # installadm list Service Name Base Service Status Arch Type Ali Cli Man Pro ------------ -------- ------ ---- ---- --- --- --- --- default-i386 solaris11_1-i386 on i386 pkg 0 1 1 0 solaris11-i386 - on i386 pkg 0 0 1 0 solaris11_1-i386 - on i386 pkg 1 0 1 0示例 9 添加新的安装服务并更新 default-sparc 服务
使用下面两个样例命令可添加名为 my-sparc-service 的新服务,保留现有服务,并将新服务设为 SPARC 客户机的缺省服务。
# installadm create-service -n solaris11_1-sparc \ -s /export/isos/sol-11_1-ai-sparc.iso \ -d /export/ai/solaris11_1-sparc # installadm set-service \ --aliasof=solaris11_1-sparc default-sparc示例 10 将定制缺省 AI 清单添加到安装服务
使用以下样例命令可将新清单添加到 sol-11_1-i386 安装服务,并使其成为服务的缺省清单。清单数据位于 my_default.xml 中。将来的 installadm 命令会将此清单作为 my_default 进行引用。–d 选项使其成为服务的缺省清单。
# installadm create-manifest -d -f my_default.xml \ -m my_default -n sol-11_1-i386示例 11 将派生清单脚本添加到安装服务
使用以下样例命令可将名为 my_script 的派生清单脚本添加到名为 solaris11_1-i386 的现有安装服务。添加脚本的方式与添加清单的方式相同。
# installadm create-manifest -f my_script.py \ -m my_script -n solaris11_1-i386
有关如何创建派生的清单脚本的信息,请参见安装 Oracle Solaris 11.2 系统 。
示例 12 替换安装服务的缺省 AI 清单使用以下样例命令可将现有安装服务 sol-11_1-sparc 的缺省清单替换为已作为 custom_manifest 添加到服务的定制清单。通过为 create-manifest 子命令指定 -m custom_manifest,将此清单添加到了服务。
# installadm set-service \ --default-manifest=custom_manifest sol-11_1-sparc示例 13 列出安装服务
使用以下样例命令可列出本地服务器上的安装服务。
# installadm list Service Name Base Service Status Arch Type Ali Cli Man Pro ------------ -------- ------ ---- ---- --- --- --- --- default-i386 solaris11_1_6_2_0-i386 on i386 pkg 0 1 1 0 default-sparc solaris11_1_6_2_0-sparc on sparc pkg 0 0 1 0 solaris11_1_6_2_0-i386 - on i386 pkg 1 0 1 0 solaris11_1_6_2_0-sparc - on sparc pkg 1 0 1 0示例 14 列出与安装服务相关联的客户机
使用以下样例命令可列出本地服务器上特定安装服务的客户机。
$ installadm list -c -n default-i386
Service Name Client Address Arch Secure Custom Args Custom Grub
------------ -------------- ---- ------ ----------- -----------
default-i386 00:11:22:33:44:55 i386 no yes no
AA:BB:CC:DD:EE:FF i386 no no no
示例 15 列出与安装服务相关联的清单
使用以下样例命令可列出与本地服务器上的特定安装服务相关联的清单和派生的清单脚本。
$ installadm list -m -n default-sparc
Service Name Manifest Name Type Status Criteria
------------ ------------- ---- ------ --------
default-sparc mem xml active mem = 4086 MB
custom_manifest xml default / active mem = 512 -
1024 MB
orig_manfiest xml inactive none
test_derived derived inactive none
该示例显示以下输出:
具有条件的非缺省清单 (mem)
条件指示其仍然处于活动状态的的缺省清单 (custom_manifest)
由于没有条件且不是缺省清单而被标记为非活动的非缺省清单 (orig_default)
由于没有条件且不是缺省清单而被标记为非活动的非缺省派生清单
使用以下样例命令可列出本地服务器上所有安装服务的系统配置文件。
$ installadm list -p
Service Name Profile Name Criteria
------------ ------------ --------
solaris11_1_6_2_0-i386 sc_all-i386.xml none
solaris11_1_6_2_0-sparc sc_all-sparc.xml none
sc_network.xml ipv4 = 10.0.2.100 - 10.0.2.199
network = 10.0.0.0
示例 17 将没有名称的定制 AI 清单添加到安装服务
使用以下样例命令可将 /export/my_manifest.xml 中的清单添加到 sol-11_1-i386(具有 MAC 地址等于 aa:bb:cc:dd:ee:ff 的条件)。
# installadm create-manifest \ -f /export/my_manifest.xml -n sol-11_1-i386 \ -c mac="aa:bb:cc:dd:ee:ff"
在本示例中,清单不包含名称属性,因此会从文件名取得清单名称。
$ installadm list -m -n sol-11_1-i386
Service Name Manifest Name Type Status Criteria
------------ ------------- ---- ------ --------
sol-11_1-i386 my_manifest.xml xml active mac = AA:BB:CC:DD:EE:FF
orig_default xml default none
示例 18 将具有定制名称的定制 AI 清单添加到安装服务
使用以下样例命令可将 /export/my_manifest.xml 中的清单添加到 sol-11_1-i386(具有 IPv4 范围从 10.0.2.100 到 10.0.2.199 的条件)。
# installadm create-manifest \ -f /export/my_manifest.xml \ -n sol-11_1-i386 -m custom_name \ -c ipv4="10.0.2.100-10.0.2.199"
在本示例中,会从 –m 选项取得清单名称。
$ installadm list -m -n sol-11_1-i386
Service Name Manifest Name Type Status Criteria
------------ ------------- ---- ------ --------
sol-11_1-i386 custom_name xml active ipv4 = 10.0.2.100 - 10.0.2.199
orig_default xml default none
示例 19 添加定制 AI 清单并在清单中指定名称
使用以下样例命令可将 /export/manifest3.xml 中的清单添加到 sol-11_1-i386(具有内存为 2048 MB 或更大且体系结构为 i86pc 的条件)。
# installadm create-manifest \ -f /export/manifest3.xml -n sol-11_1-i386 \ -c mem="2048-unbounded" -c arch=i86pc
在本示例中,会从清单中 ai_instance 元素的 name 属性取得清单名称,如以下部分清单所示:
<auto_install>
<ai_instance name="my_name" />
</auto_install>
$ installadm list -m -n sol-11_1-i386
Service Name Manifest Name Type Status Criteria
------------ ------------- ---- ------ --------
sol-11_1-i386 my_name xml active arch = i86pc
mem = 2048 - unbounded
orig_default xml default none
示例 20 将系统配置文件添加到安装服务
使用以下样例命令可将 /export/profile4.xml 中的配置文件添加到 sol-11_1-i386(具有主机名为 myhost1、host3 或 host6 中任一名称的条件)。
# installadm create-profile \ -f /export/profile4.xml -n sol-11_1-i386 -p profile4 \ -c hostname="myhost1 host3 host6" $ installadm list -p -n sol-11_1-i386 Service Name Profile Name Criteria ------------ ------------ -------- sol-11_1-i386 profile4 hostname = myhost1, host3, host6示例 21 添加所有客户机的系统配置文件
如果您不指定条件,则使用指定安装服务的所有客户机都将使用该配置文件。在以下示例中,创建的配置文件由使用 sol-11_1-i386 服务的所有客户机使用。
# installadm create-profile -f /export/locale.xml \
-n sol-11_1-i386
$ installadm list -p -n sol-11_1-i386
Service Name Profile Name Criteria
------------ ------------ --------
sol-11_1-i386 profile4 hostname = myhost1, host3, host6
locale.xml none
示例 22 添加包含变量的系统配置文件
配置文件可以使用在安装客户机时将替换为定制客户机配置信息的变量。如果使用此类变量,便可在任意数量的不同系统中重复使用配置文件。
本例使用一个系统配置文件来为每个安装客户机分配唯一的主机名。hostname.xml 文件包含以下行:
<propval name="nodename" value="{{AI_HOSTNAME}}"/>
在安装时,{{AI_HOSTNAME}} 将替换为该系统的实际主机名。例如,当使用 hostname.xml 来配置主机名为 myhost1 的客户机时,hostname.xml 配置文件包含以下行:
<propval name="nodename" value="myhost1"/>
有关将替换标记与配置文件一起使用的更多信息,请参见安装 Oracle Solaris 11.2 系统 中的使用系统配置文件模板。
示例 23 将条件添加到现有清单使用以下样例命令可将内存为 4096 MB 或更大的条件附加到 sol-11_1-i386 的 manifest2 的条件。
# installadm set-criteria -m manifest2 \ -n sol-11_1-i386 -a mem="4096-unbounded"示例 24 替换现有清单的条件
使用以下样例命令可将 sol-11_1-i386 的 manifest2 的条件替换为在文件 /tmp/criteria.xml 中指定的条件。
# installadm set-criteria -m manifest2 \ -n sol-11_1-i386 -C /tmp/criteria.xml
有关条件 XML 文件内容的信息,请参见安装 Oracle Solaris 11.2 系统 。
示例 25 验证正在开发的配置文件使用以下样例命令可验证存储在文件 myprofdir/myprofile.xml 和 yourprofdir/yourprofile.xml 中、正在开发的配置文件。
# installadm validate -P myprofdir/myprofile.xml \ -P yourprofdir/yourprofile.xml -n sol-11_1-i386示例 26 导出配置文件内容
使用以下样例命令可导出 sol-11_1-i386 服务中的配置文件 myprofile.xml。
# installadm export -p myprofile -n sol-11_1-i386示例 27 替换现有 AI 清单的内容
使用以下样例命令可用文件 /home/admin/new_spec.xml 中清单的内容更新服务 sol-11_1-i386 中具有清单名称或 AI 实例名称 spec 的清单。
# installadm update-manifest -n sol-11_1-i386 \ -f /home/admin/new_spec.xml -m spec示例 28 导出并更新现有 AI 清单
使用以下样例命令可导出服务 sol-11_1-i386 中名为 spec 的现有清单的数据,然后用修改后的内容更新清单。
# installadm export -n sol-11_1-i386 -m spec \ -o /home/admin/spec.xml
对 /home/admin/spec.xml 进行更改。
$ pfexec installadm update-manifest -n sol-11_1-i386 \ -f /home/admin/spec.xml -m spec示例 29 导出并更新现有配置文件
使用以下样例命令可导出服务 sol-11_1-i386 中名为 prof1 的现有配置文件的数据,然后使用已修改的内容更新该配置文件。
# installadm export -n sol-11_1-i386 -p prof1 \ -o /home/admin/prof1.xml
对 /home/admin/prof1.xml 进行更改。
# installadm update-profile -n sol-11_1-i386 \ -f /home/admin/prof1.xml -p prof1示例 30 设置初始服务器验证
配置安全性的第一步是分配服务器凭证。使用以下命令可自动生成所有服务器安全凭证:
# installadm set-server --generate-all-certs Generating server credentials... The root CA certificate has been generated. The CA signing certificate request has been generated. The signing CA certificate has been generated. A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key for server authentication only, enter this OBP command: set-security-key wanboot-aes 8bd64e25e00497f194fa93de2a92157c enerating new hashing key (HMAC)... To set the OBP hashing (HMAC) key for server authentication only, enter this OBP command: set-security-key wanboot-hmac-sha1 4cff95a8fb0b08699de9f1ca5e5251a796b497de Configuring web server security. Changed Server Refreshing SMF service svc:/system/install/server:default Configuring web server security.示例 31 设置初始缺省客户机验证
分配缺省凭证,以便向服务器确认客户机的身份。使用以下命令可生成一组缺省客户机凭证。这些凭证将用于以下 AI 客户机:未通过指定客户机的 MAC 地址而分配有凭证的客户机,或者未通过指定客户机将使用的安装服务而分配有凭证的客户机。
$ installadm set-server --default-client-security \
--generate-all-certs
Generating default client credentials...
A new certificate key has been generated.
A new certificate has been generated.
Generating new encryption key...
To set the OBP encryption key, enter this OBP command:
set-security-key wanboot-aes c17e4842331456680d818f4ef515f222
Generating new hashing key (HMAC)...
To set the OBP hashing (HMAC) key, enter this OBP command:
set-security-key wanboot-hmac-sha1 f3e943d6669835264fcaf0f7fbfb80e45beea7f3
Changed Server
示例 32 为特定 SPARC 客户机设置客户机验证
生成唯一 X.509 凭证和 OBP 密钥并将其分配给 SPARC 客户机:
$ installadm set-client -e 2:0:0:0:0:0 \\
--generate-all-certs
Generating credentials for client 02:00:00:00:00:00...
A new certificate key has been generated.
A new certificate has been generated.
Generating new encryption key...
To set the OBP encryption key, enter this OBP command:
set-security-key wanboot-aes 42a04f73ee6950859febb96d97b7d2bd
Generating new hashing key (HMAC)...
To set the OBP hashing (HMAC) key, enter this OBP command:
set-security-key wanboot-hmac-sha1 7fbed772b69bf104e5e2f72a4c47d42b62bf074b
Changed Client : '02:00:00:00:00:00'
示例 33 显示特定客户机的 OBP 密钥
有时,在配置了 SPARC 客户机后,您需要知道如何在 OBP 中为该客户机设置安全密钥。将 installadm "list -e <macaddr>" 命令与 –-verbose 选项一起使用可显示必需的 OBP 密钥:
# installadm list -e 2:0:0:0:0:0 -v
Service Name Client Address Arch Secure Custom Args Custom Grub
------------ -------------- ---- ------ ----------- -----------
solaris11_2 02:00:00:00:00:00 sparc yes no no
Client Credentials? yes
Security Key? ...... yes
Security Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=CID 01020000000000
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 10:20:00 2013 GMT
to: May 18 10:20:00 2023 GMT
CA Certificates:
d09051e4 Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from: May 20 09:50:00 2013 GMT
to: May 18 09:50:00 2023 GMT
OBP Encr Key (AES) . 42a04f73ee6950859febb96d97b7d2bd
OBP Hash (HMAC) .... 7fbed772b69bf104e5e2f72a4c47d42b62bf074b
Boot Args .......... -
可以在 ILOM 或 ALOM 系统控制台的 ok 提示符下使用 OBP set-security-key 命令设置所显示的密钥和散列,例如:
set-security-key wanboot-aes 42a04f73ee6950859febb96d97b7d2bd set-security-key wanboot-hmac-sha1 7fbed772b69bf104e5e2f72a4c47d42b62bf074b示例 34 对 AI 服务的所有客户机强制执行客户机验证
以下命令要求对 sol-11_2-sparc 安装服务的所有客户机执行客户机和服务器验证。 'optional' 安全策略值是缺省值。
# installadm set-service -p require-client-auth -n sol-11_2-sparc Security policy for service sol-11_2-sparc changing from 'optional' to 'require-client-auth'. Changed Service : 'sol-11_2-sparc' Refreshing SMF service svc:/system/install/server:default
sol-11_2-sparc 安装服务的所有客户机必须分配了有效的安全 X.509 客户机和服务器验证凭证并且必须提供这样的凭证。因为这是 SPARC 安装服务,所以必须为所有客户机输入 OBP 固件安全密钥。
示例 35 为指定安装服务的所有客户机生成缺省凭证以下命令生成的凭证将提供给 solaris11_2-sparc 安装服务的那些没有定制客户机凭证的客户机。有关分配定制客户机凭证的示例,请参见示例 30,“为特定 SPARC 客户机设置客户机验证”。
# installadm set-service -n sol-11_1-sparc \ --generate-all-certs Generating credentials for service sol-11_1-sparc... A new certificate key has been generated. A new certificate has been generated. Generating new encryption key... To set the OBP encryption key, enter this OBP command: set-security-key wanboot-aes 0bd1d30d603174b7fc3ee7fd7654c3c8 Generating new hashing key (HMAC)... To set the OBP hashing (HMAC) key, enter this OBP command: set-security-key wanboot-hmac-sha1 35caa0c8596585c852f120d3872e9227e724496e Changed Service : 'sol-11_1-sparc'
这些凭证还提供给随后使用 create-client 子命令分配给 solaris11_2-sparc 安装服务的客户机。
使用缺省凭证时,多个客户机将具有相同凭证并且可以相互查看安装数据。
示例 36 生成安全摘要列表当以足够的授权运行 "installadm list" 时,缺省情况下将列出服务器、服务和/或客户机的摘要:
# installadm list -s
AI Server Parameter Value
------------------- -----
Hostname ........... ai-server
Architecture ....... i386
Active Networks .... 10.0.0.1
Image Path Base Dir . /export/auto_install
Managing DHCP? ..... yes
Security Enabled? .. yes
Server Credentials? .. yes
Number of Services . 12
Number of Clients .. 4
Number of Manifests 19
Number of Profiles . 5
# installadm list
Service Name Base Service Status Arch Type Secure Ali Cli Man Pro
------------ -------- ------ ---- ---- ------ --- --- --- ---
default-i386 solaris11_2-i386 on i386 pkg no 0 1 4 0
default-sparc solaris11_2-sparc on sparc pkg no 0 0 3 0
solaris11_1_6_2_0-i386 - on i386 pkg no 1 0 2 2
solaris11_1_6_2_0-sparc - on sparc pkg no 1 0 1 2
solaris11_2-i386 - on i386 pkg yes 0 0 1 0
solaris11_2-sparc - on sparc pkg yes 0 2 2 0
# installadm list -c
Service Name Client Address Arch Secure Custom Args Custom Grub
------------ -------------- ---- ------ ----------- -----------
default-i386 00:11:22:33:44:55 i386 yes yes no
solaris11_1_6_2_0-sparc AA:BB:CC:DD:EE:FF sparc yes no no
solaris11_2-sparc 02:00:00:00:00:00 sparc yes no no
03:00:00:00:00:00 sparc yes no no
示例 37 生成安全性详细列表
当以足够的授权运行 "installadm list -v" 时,将输出服务器、服务和/或客户机的安全性配置的详细信息(为简单起见,省略了某些输出):
# installadm list -sv
AI Server Parameter Value
------------------- -----
...
Security Enabled? ...... yes
Server Credentials? .... yes
Security Key? .......... yes
Security Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=ai-server
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 09:50:00 2013 GMT
to: May 18 09:50:00 2023 GMT
CA Certificates:
d09051e4 Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from: May 20 09:50:00 2013 GMT
to: May 18 09:50:00 2023 GMT
f9d73b41 Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from: May 20 09:50:00 2013 GMT
to: May 18 09:50:00 2023 GMT
OBP Encr Key (AES) ..... 8bd64e25e00497f194fa93de2a92157c
OBP Hash (HMAC) ........ 4cff95a8fb0b08699de9f1ca5e5251a796b497de
Def Client Credentials? yes
Def Client Sec Key? .... yes
Def Client Sec Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Client default
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 09:52:00 2013 GMT
to: May 18 09:52:00 2023 GMT
Def Client CA Certs .... none
Def Client OBP Encr Key c17e4842331456680d818f4ef515f222
Def Client OBP Hash .... f3e943d6669835264fcaf0f7fbfb80e45beea7f3
...
# installadm list -v -n solaris11_2-sparc
Service Name Base Service Status Arch Type Secure Ali Cli Man Pro
------------ -------- ------ ---- ---- ------ --- --- --- ---
sol-11_2-sparc - on sparc iso yes 0 2 1 0
...
Supports Security? .. yes
Security Enabled? ... yes
Security Policy ..... require-client-auth
Service Credentials? yes
Security Key? ....... yes
Security Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=AI Service sol-11_2-sparc
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 10:33:00 2013 GMT
to: May 18 10:33:00 2023 GMT
CA Certificates ..... none
OBP Encr Key (AES) .. 0bd1d30d603174b7fc3ee7fd7654c3c8
OBP Hash (HMAC) ..... 35caa0c8596585c852f120d3872e9227e724496e
示例 38 为验证客户机证书添加新 CA 证书
以下命令在名为 cert.pem 的文件中添加 CA 证书:
$ installadm set-server --default-client-security --ca-cert cert.pem Assigning default client credentials... A new CA certificate has been filed. Changed Server
此 CA 证书将可用于验证需要该证书的任何客户机证书。
示例 39 分配新 X.509 凭证以下命令为安装服务器分配新 X.509 证书和私钥以及新 CA 证书:
$ installadm set-server -A cacert.pem -K server.key -C server.crt Assigning server credentials... The key has been replaced. The certificate has been replaced A new CA certificate has been filed. Configuring security for user-specified server cert Configuring web server security. Changed Server Refreshing SMF service svc:/system/install/server:default示例 40 按散列值删除 CA 证书
以下命令为使用指定 CA 证书的所有客户机删除该 CA 证书。–-ca-cert 选项参数的值是证书的 X.509 主题的散列值。使用 –y 选项可禁止用于确认是否要删除 CA 证书的提示。
$ installadm set-server --delete-security \
--recursive --hash d09051e4
Identifier hash: d09051e4
Subject: C=US, O=Oracle, OU=Solaris Deployment, CN=Root CA
Issuer: C=US, O=Oracle, OU=Solaris Deployment, CN=Root CA
Valid from May 20 11:09:00 2013 GMT to May 18 11:09:00 2023 GMT
This CA has the following uses:
Note: this is the server CA certificate
Client default
Note: this is the root CA certificate
Deleting this Certificate Authority certificate can prevent
credentials from validating.
Do you want to delete this Certificate Authority certificate [y|N]: y
Identifier hash: d09051e4
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Issuer: /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from May 20 09:50:00 2013 GMT to May 18 09:50:00 2023 GMT
This CA has the following uses:
Note: this is the server CA certificate
Client default
Note: this is the root CA certificate
Deleting all references to Certficate Authority with hash value d09051e4
Changed Server
示例 41 查看 AI 服务器配置参数
要查看 AI 服务器的最常用参数的当前值和其中某些参数的摘要,可以使用 list -s 命令:
# installadm list -s AI Server Parameter Value ------------------- ----- Hostname ........... ai-server Architecture ....... i386 Active Networks .... 10.0.0.1 Default Image Path . /export/auto_install Managing DHCP? ..... yes Security Enabled? .. yes Server Credentials? .. yes Number of Services . 12 Number of Clients .. 4 Number of Manifests 19 Number of Profiles . 5
要查看更详细的信息以及某些不太常用的参数,请使用详细模式:
# installadm list -sv
AI Server Parameter Value
------------------- -----
Hostname ............... ai-server
Architecture ........... i386
Active Networks ........ 10.0.0.1
Http Port .............. 5555
Secure Port ............ 5556
Default Image Path ..... /export/auto_install
Multi-Homed? ........... yes
Managing DHCP? ......... yes
DHCP IP Range .......... none
Boot Server ............ -
Web UI Enabled? ........ yes
Wizard Saves to Server? no
Security Enabled? ...... yes
Server Credentials? .... yes
Security Key? .......... yes
Security Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=ai-server
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 11:09:00 2013 GMT
to: May 18 11:09:00 2023 GMT
CA Certificates:
f9d73b41 Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Root CA
Valid from: May 20 11:09:00 2013 GMT
to: May 18 11:09:00 2023 GMT
OBP Encr Key (AES) ..... 8bd64e25e00497f194fa93de2a92157c
OBP Hash (HMAC) ........ 4cff95a8fb0b08699de9f1ca5e5251a796b497de
Def Client Credentials? yes
Def Client Sec Key? .... yes
Def Client Sec Cert:
Subject: /C=US/O=Oracle/OU=Solaris Deployment/CN=Client default
Issuer : /C=US/O=Oracle/OU=Solaris Deployment/CN=Signing CA
Valid from: May 20 11:09:00 2013 GMT
to: May 18 11:09:00 2023 GMT
Def Client CA Certs .... none
Def Client OBP Encr Key c17e4842331456680d818f4ef515f222
Def Client OBP Hash .... f3e943d6669835264fcaf0f7fbfb80e45beea7f3
Number of Services ..... 12
Number of Clients ...... 4
Number of Manifests .... 19
Number of Profiles ..... 5
示例 42 调用交互模式
通过发出不带任何参数的 installadm 命令可进入交互模式。例如:
# installadm installadm> create-service -n s11-1-i386 -a i386 -y ... installadm> create-profile -n s11-1-i386 -f initial_profile.xml ... installadm> quit
类似地,当希望使用 root 角色通过 su 以交互模式调用多个命令时,交互模式会比较有用:
$ su root -c /usr/sbin/installadm installadm> create-manifest -n s11-2-sparc -f /tmp/manifest.xml ... installadm> create-profile -n s11-2-sparc -f /tmp/static_net.xml ...示例 43 在批处理中执行多个命令
以批处理模式运行多个命令具有以下优势:将 SMF 服务的刷新推迟到所有命令都完成后才运行。
要运行多个子命令,必须首先填充文件:
$ cat >> /tmp/batch <<_EOF create-service -n my_sparc -a sparc create-service -n my_i386 -a i386 create-manifest -n my_sparc -f /tmp/new_default.xml -d create-manifest -n my_i386 -f /tmp/new_default.xml -d ... _EOF # installadm execute -f /tmp/batch ...
将返回以下退出值:
该命令被成功处理。
出现错误。
指定的命令行选项无效。
installadm 不支持某个服务的版本。
未进行更改-没有要执行的操作。
有关下列属性的说明,请参见 attributes(5):
|
aimanifest(1M)、sysconfig(1M)、ickey(1M)、ai_manifest(4)、service_bundle(4)、dhcp(5)、smf(5)、environ(5)
安装 Oracle Solaris 11.2 系统 中的第 III 部分, 使用安装服务器安装
从 Oracle Solaris 10 JumpStart 转换至 Oracle Solaris 11.2 自动化安装程序