CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES

viernes, 25 de abril de 2008

flisol 2008


Amigos se llego la hora de presenciar este gran acontecimiento en el dia del software libre
que se llevara el 26 de abril en el parque explora de la ciudad de medellin,colombia de 9:AM A 5:PM

para poder asistir al evento generar el ticket en el siguiente link http://medellin.flisol.info/ticket/

lleva tu pc y le instalaremos software libre. linux,solaris.openbsd,freebsd

te esperamos


att: comunidad sena

lunes, 21 de abril de 2008

backtrack













Es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve entorno a la seguridad informática.

Deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX.

WHAX a su vez fue la evolución del Whoppix(WhiteHat Knoppix) el cual paso a basarse en SLAX en lugar de en Knoppix.

Incluye larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless.

Se presenta como un LiveCD (por lo que ni siquiera necesita instalación) que proporciona en un par de minutos acceso a más de 300 herramientas de todo tipo (sniffers, exploits, auditoría wireless, análisis forense, etc) perfectamente organizadas. Por lo demás BackTrack incorpora también todas utilidades habituales en cualquier distribución al uso...

La versión 2 (recién publicada) utiliza un kernel 2.6.20 con varios parches e incluye soporte para tarjetas inalámbricas Broadcom. Integra Metasploit 2 y 3.

Puesto que hace muy poco presentábamos por aquí DVL, otra distribución dirigida al aprendizaje de la (in)seguridad informática, se hace necesario establecer de antemano la principal diferencia entre ambas. Baste decir que DVL -además de ser insegura por defecto- va claramente dirigida a entornos de aprendizaje (con profusión de tutoriales, etc), mientras que BackTrack es mucho más completa y potente, pero está enfocada a profesionales de la seguridad o al menos gente con buenos conocimientos. Aunque he de suponer en nuestros lectores la madurez necesaria, no estará de más recordar nuestro lema al respecto: los experimentos siempre en casa y con gaseosa. Cuidadín, que BackTrack tiene mucho poderío y te puede explotar en las manos.

Aunque en la web de BackTrack se insinúa la próxima liberación de máquinas virtuales para VMware, Kriptópolis se ha adelantado y he creado una máquina virtual desde VMWare Workstation a partir de la ISO descargada (casi 700 MB).

Como siempre, este juego de pantallas trata de mostrar -a grandes rasgos- lo que se encontrará el usuario que se aventure en BackTrack.


Una de las responsabilidades de los administradores de sistemas es limitar el acceso a aquellos usuarios con autorización para entrar en el mismo. Con el fin de bloquear el acceso a terceros se crearon las contraseñas. Cada usuario posee un ‘nombre de usuario’ y una contraseña. Cada vez que un usuario quiere acceder al sistema se le piden dichos datos. Si el nombre de usuario y la contraseña coinciden con los almacenados en el servidor le permitimos el acceso, si no, se lo denegamos.

Uno de los problemas de este sistema surge cuando una tercera persona se hace pasar por uno de nuestros usuarios. Siempre y cuando conozca el nombre de usuario y su password se le permitirá el acceso, independientemente de que la persona no sea quien dice ser.

Otro problema es que si el acceso a sido denegado, el usuario puede volver a intentar acceso n numero de veces (normalmente n es infinito). Por lo general, limitar el número de intentos puede bloquearnos el acceso, haciendo del remedio peor que la enfermedad.

Un ataque muy común que se hace uso de dichas ‘vulnerabilidades’ son los ‘ataques basados en diccionarios’ (dictionary-based attack). El ataque consiste en bombardear al servidor con nombres de usuarios y contraseñas aleatorios. Es algo parecido a intentar abrir una caja fuerte introduciendo números al azar. Si alguna vez te has encargado de algún servidor ssh o ftp seguramente los hayas sufrido.

Ya que el número de posibles combinaciones de usuarios y passwords posibles es demasiado alto, en este tipo de ataque normalmente se usan diccionarios. Un diccionario (de passwords y/o usuarios) es un fichero de texto con nombres de usuario y passwords frecuentemente usados. Por ejemplo, en la mayor parte de sistemas nos solemos encontrar un usuario ‘root‘, y, estadísticamente hablando, passwords como ‘1234‘ o ‘qwerty‘ son usadas mas frecuentemente que ‘a\/gW1~3|23‘. Como te podrás imaginar, para diferentes idiomas se usan diferentes diccionarios.

Pero entonces…? SI!, La única manera de que este ataque funcione es que la combinación usuario-password este en tu diccionario, o en otras palabras, una mala gestión de usuarios/passwords.

El motivo por el que este tipo de ataques están tan extendidos es porque con un simple script podemos testear cientos o miles de servidores de forma automática sin necesidad de intervenir en el proceso. Otro motivo es que los ‘chicos malos’ necesitan ordenadores desde los que realizar sus ataques.

En un ataque real conseguir acceso al sistema es solo el primer paso. Una vez dentro se suele instalar como mínimo algún troyano con el cual garantizar el acceso en caso de que se cambie la password. Hay ocasiones en el que el atacante simplemente cambia la password para levantar sospecha y darle a conocer al usuario que su password es débil.




fuentes:www.wikipedia.org-wwwicaix.com

martes, 15 de abril de 2008

VPN

Red privada virtual (virtual private network)

Ejemplos comunes son, la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

Para hacerlo posible de manera segura es necesario proporcionar los medios para garantizar la autenticación, integridad y confidencialidad de toda la comunicación.

  • Autenticación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener.
  • Integridad: La garantía de que los datos enviados no han sido alterados. Para ello se utiliza funciones de Hash. Los algoritmos de hash más comunes son los Message Digest (MD2 y MD5) y el Secure Hash Algorithm (SHA).
  • Confidencialidad: Dado que los datos viajan a través de un medio potencialmente hostil como Internet, los mismos son susceptibles de intercepción, por lo que es fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma.Se hace uso de algoritmos de cifrado como Data Encryption Standard (DES), Triple DES (3DES) y Advanced Encryption Standard (AES).
  • No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede negar que el mensaje lo envió él.


por que VPN

Las VPN son una salida al costo que puede significar el pagar una conexión de alto coste, para usar líneas alquiladas que estén conectadas a otros puntos que puedan hacer uso de la conexión a Internet o para hacer negocios con clientes frecuentes a través de la red.

Los datos son codificados o cifrados y recién enviados a través de la conexión, para de esa manera asegurar la información y el password que se esté enviando.

Esta tecnología proporciona un medio para aprovechar un canal público de Internet como un canal privado o propio para comunicar datos que son privados. Mas aún, con un método de codificación y encapsulamiento, una VPN básica, crea un camino privado a través de Internet. Esto reduce el trabajo y riesgo en una gestión de red.


La tecnología de túneles esta basado en estándares. Esta tecnología permite transmitir datos entre dos redes similares. A esto también se llama "encapsulación", es decir, a la tecnología que coloca algún tipo de paquetes dentro de otro protocolo (TCP). Aparte de todo esto, también se añade otra información necesaria para poder descifrar la información que se encuentra codificada. Estos paquetes llegan a su destino después de haber atravesado Internet, pero para verificar que ha llegado al destino correcto se realiza un proceso de autentificación.

Las VPNs son una gran solución a distintos problemas, pero solo en el campo de la economía de los usuarios porque por ejemplo en el caso de que se realice una conexión entre dos sedes de empresas, una en Japón y la otra en Perú, sería muy costoso el realizar un cableado entre estos dos países, y un enlace inalámbrico satelital sería muy costoso. Es por ello que una red privada virtual es más económica porque solo se hace uso de Internet que es un conjunto de redes conectadas entre si.

como funciona una vpn

se trata de un proceso totalmente transparente para el usuario y para la mayoría de las aplicaciones. Funciona exactamente igual que cualquier otra conexión de red, es decir, dentro de la VPN cada equipo tendrá una IP, todas las conexiones usando esa IP estarán funcionando dentro de la VPN y serán encriptadas, el usuario simplemente tendrá que usar las IPs de la VPN, y no preocuparse de nada más, el resto ya lo hace el cliente VPN y el servidor VPN.



Caso práctico
La mejor forma de entender y ver como funciona es implementándolo, y eso es lo que haremos a continuación.
  • Escenario: Dos (o más) equipos distantes y conectados a Internet quieren compartir sus recursos (ficheros, impresoras, etc.) entre ellos de forma privada y sencilla.
  • Software: Windows XP o 2000, también es posible realizar la conexión con equipos con Windows 98 y 95 descargando los ficheros de actualización de la web de Microsoft.
  • Solución: Montar una VPN a través de Internet entre estos equipos.


Conexion de acceso remoto:
Una conexión de acceso remoto es realizada por un cliente o un usuario de un computador que se conecta a una red privada, los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto, y este se autentica al servidor de acceso remoto, y el servidor se autentica ante el cliente.


conexion vpn de router a router:
Una conexión VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y tambien sirve para la intranet.

Conexion de vpn de firewall asa a firewall asa:
Una conexión VPN Firewall ASA a Firewall ASA es realizada por un Firewall ASA, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier Usuario en Internet. El Firewall ASA que realiza la llamada se autentica ante el Firewall ASA que responde y este a su vez se autentica ante el Firewall ASA que realiza la llamada.


viernes, 11 de abril de 2008

isa server

que es isa server

microsoft security and acceleration server (isa server)

es un firewall o proxy, es decir, analiza el encabezado de los paquetes IP) y de application layer (analizan la trama de datos en busca de tráfico sospechoso). Adicionalmente, ISA Server es un firewall de red, VPN y web cache.

Es el gateway integrado de seguridad perimetral que permite proteger su entorno de TI frente a las amenazas de Internet, además de proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos.




instalacion isa server

Antes de empezar, lo primero será tener los servidores del Array plataformados, en mi caso el uso de ADS es la mejor solución, pero podés usar cualquier sistema, les recomiendo que las maquinas sean iguales, para que la carga del array se pueda distribuir correctamente, también os recomiendo que todas las maquinas cuenten con los mismos drivers.

Actualizaremos al máximo los servidores con Windows 2003 SP1, no es necesario usar R2 para nada.

No es necesario en este punto aplicar ninguna plantilla de seguridad, ya que Microsoft nos permite actualizar el SCW con una nueva plantilla para ISA 2006 que se encargara de fortificar el servidor.

Es muy importante que durante todo el proceso de instalación, mantengamos el interfaz que nos conecte con Internet deshabilitado, para evitar que puedan atacar el servidor, en lo que no tiene el firewall activo.

ISA 2006 no se beneficia del uso del Scalable Networking Pack (SNP) así que no es necesario instalarlo.

Recomiendo siempre, copiar el CD de instalación de ISA y del directorio I386 de Windows 2003 SP1 en los discos duros de los servidores, así no tendremos que estar acudiendo a los servidores con los CDs y podremos acceder a cualquier archivo que necesitemos en un futuro.

Requeriremos de Tres tarjetas de red, una para Internet, otra para la DMZ y otra para el trafico Intra Array, esta tarjeta será la que usaran los nodos para comunicarse entre ellos y para el hearbeat del NLB que montara el Array para balancear la carga.

Tendremos que generar un certificado para validación de servidor, para el servidor que contenga el CSS, os recomiendo crear este certificado con un nombre que no sea el del servidor algo así como: CSS.BorderArray.Local.

Podeis crear estos certificados o bien usando la web de la entidad certificadora de windows 2000/2003 o bien desde cualquier IIS, un certificado de tipo Web es valido, aunque también podéis crear una plantilla de certificado y usarla para generar los certificados.

También tendréis que añadir a las entidades certificadoras de confianza de cada nodo, el certificado raiz de vuestra CA.

Dado que las maquinas usaran DNS externos, tendréis que añadir al fichero host de cada nodo, las ips y nombres del resto de nodos y del CSS, usando siempre el mismo nombre con el que creéis los certificados.

Meteremos a todas las maquinas en el mismo grupo de trabajo, configuraremos sus tarjetas de red, con los mismos nombres de redes y las ips de nuestras subredes y empezaremos a instalar usando el autorun.exe.













Daremos un nombre a nuestro array y continuaremos con el proceso



Después tendremos que crear la cuenta que usaremos para acceder al CSS desde los nodos del array y asignaremos los roles desde las propiedades del Array y la Enterprise, a traves de estos roles, damos permisos para administrar o acceder al ISA con diferentes tipos de perfiles.

Los roles los configuramos dentro de las propiedades del array y del enterprise, tambien tendremos que revisar en estas propiedades que el nombre del servidor CSS es el correcto y que se valide por certificados.




recomiendo reiniciar en este punto y ver si el CSS se ha instalado bien, mirar el event log y comprobar el CSS con ldp.exe y adsiedit for ADAM:








Una vez creada la empresa e instalado el CSS, el siguiente punto es crear el Array.












A partir de este punto, ya puedes empezar a configurar las reglas y publicar los servicios.





jueves, 10 de abril de 2008

conocimientos en solaris


que es solaris?

Solaris es un sistema operativo desarrollado por Sun Microsystems. Es un sistema certificado como una versión de UNIX. Aunque Solaris en sí mismo aún es software propietario, la parte principal del sistema operativo se ha liberado como un proyecto de software libre denominado Opensolaris. Solaris puede considerarse uno de los sistemas operativos más avanzados. Sun denomina así a su sistema operativo.



Historia

El primer sistema operativo de Sun nació en 1983 y se llamó inicialmente SunOS. Estaba basado en el sistema UNIX BSD, de la Universidad de Berkeley, del cual uno de los fundadores de la compañía fue programador en sus tiempos universitarios. Más adelante incorporó funcionalidades del System V, convirtiéndose prácticamente en un sistema operativo totalmente basado en System V.

Esta versión basada en System V fue publicada en 1992 y fue la primera en Solaris,llamarse más concretamente Solaris 2. Las anteriores fueron llamadas Solaris 1 con efecto retroactivo. SunOS solo tendría sentido a partir de ese momento como núcleo de este nuevo entorno operativo Solaris. De esta forma Solaris 2 contenía SunOS 5.0. Desde ese momento se distingue entre el núcleo del sistema operativo (SunOS), y el entorno operativo en general (Solaris), añadiéndole otros paquetes como Apache o DTrace. Como ejemplo de esta función, Solaris 8 contiene SunOS 5.8.

CARACTERÍSTICAS: Entre las características de Solaris tenemos:

PORTABILIDAD: El software conformado por una ABI aplicación de interfaces binaria (Application Binary Interface) ejecuta con un Shrink-wrapped (Contracción envuelta) el software en todos los sistemas vendidos con la misma arquitectura del microprocesador. Esto obliga a los desarrolladores de aplicaciones a reducir el costo del desarrollo del software y traer productos al mercado rápidamente, y obliga a los usuarios a actualizar el hardware mientras retienen sus aplicaciones de software y minimizan sus costos de conversión.

ESCALABILIDAD: Las aplicaciones se usan con más frecuencia en el sobre tiempo, y requiere sistemas más poderosos para soportarlos. Para operar en un ambiente creciente, el software debe ser capaz de ejecutar en un rango de ancho poderosos y debe ser capaz de tomar ventajas del poder adicional que se está procesando.

INTEROPERATIBIDAD: La computación del ambiente heterogéneo es una realidad hoy. Los usuarios compran de muchos vendedores para implementar la solución que necesitan. La estandarización y una clara interface son criterios para un ambiente heterogéneo, permitiendo a los usuarios desarrollar estrategias para comunicarse por medio de su red. El sistema operativo de Solaris puede interoperar con unos sistemas muy populares hoy en el mercado, y aplicaciones que se ejecutan en UNIX se pueden comunicar fácilmente.

COMPATIBILIDAD: La tecnología de la computación continua avanzando rápidamente, pero necesita permanecer en el ámbito competitivo para minimizar sus costos y maximizar sus ingresos.

CARACTERISTICAS PARA LOS USUARIOS

Dentro de las características de los usuarios tenemos:

ESPACIO DE TRABAJO PARA EL ADMINISTRADOR (A workspace manager): cuenta con una ventana de manejo de servicios rápidos (open, close, more, etc.), así como herramientas el cual le permite al usuario entallar su espacio de trabajo a sus necesidades personales.

INTEGRACION DE SERVICIOS DESKTOP (Desktop Integration Services): incluyen ToolTalk, Drag and Drop (arrastrar y soltar), y cut and paste (cortar y pegar), proporcionando la base para que a las aplicaciones puedan integrarse unos con otros.

BIBLIOTECAS GRAFICAS (Graphics Libraries): incluye XGL, Xlib, PEX, y XIL, proporcionando soporte para aplicaciones de 2D y 3D.

ADMINISTRADOR DE CALENDARIO (Calendar Manager): posee una aplicación de administrador de tiempo que despliega citas y todos los compromisos del día, semana, o un mes en una ojeada. También contiene un Multibrowse que hace un programa de reuniones entre un grupo de usuarios más fácil. Varios calendarios pueden ser cubiertos simultáneamente para determinar la conveniencia de la hora de una reunión en una ojeada.

HERRAMIENTA DE IMAGEN (Image Tool): permite cargar, ver y salvar imágenes en 40 diferentes formatos incluyendo PICT, PostScript (TM), TIFF, GIF, JFIF, y muchas más.

Otras herramientas incluyen una herramienta de impresión, audio, shell, reloj, y editor de texto.

CARACTERISTICAS PARA EL ADMINISTRADOR DEL SISTEMA

El Sistema Solaris ofrece una variedad de herramientas nuevas para el administrador como lo son: Dispositivo de Información: los administradores pueden usar estos accesorios opcionales para obtener información sobre dispositivos instalados incluyendo nombres, atributos, y accesibilidad.

Sistema de Administración de Archivo: estos accesorios permiten a los administradores crear, copiar, amontonar, depurar, reparar y desmontar sistemas de archivos, crear y remover cadenas de archivos y nombrar tuberías o pipes, y manejar volúmenes.

Manejo del Proceso: este controla la agenda de control del sistema. Usando estos accesorios, administradores pueden generar reportes sobre el desempeño, entrada de identificación, ubicación del acceso a discos, y buscar la manera de afinar el desempeño del sistema.

Usuarios y el manejo del grupo: con estos accesorios, un administrador puede crear y eliminar entradas en grupos y entradas de identificación del sistema, y asignar grupos y IDs de usuario.

Seguridad: El ASET (Automated Security Enhancement Tool) es un accesorio que incrementa la seguridad porque permite a los administradores de sistemas revisar archivos del sistema incluyendo permisos, pertenencia, y contenido del archivo. El ASET alerta a los usuarios acerca de problemas de seguridad potencial y donde es apropiado colocar el sistema de archivos automáticamente de acuerdo a los niveles de seguridad especificados.

PAQUETES DE SOFTWARE Y CLUSTERS

El software del sistema de Solaris es entregado en unidades conocidos como paquetes. Un paquete es una colección de archivos y directorios requeridos para el producto de un software. Un cluster (racimo) es una colección de paquetes. Hay 4 tipos de clusters:

Núcleo del Soporte del Sistema (Core System Support): es el software de configuración mínima; contiene solo el software necesario para iniciar el funcionamiento del computador y ejecutar el ambiente operativo de Solaris.

Sa más el Sistema de soporteistema de Soporte para Usuarios Finales (End User System Support): contiene el Núcleo del Soporte del Sistem para usuarios finales, como lo es el Open Windows sistema de ventanas y aplicaciones de archivos DeskSet relacionados; este cluster incluye el software recomendado para un usuario final.

Soporte de Sistemas Desarrollados (Developer System Support): contiene soporte de usuario final del sistema más librerías, incluye archivos y herramientas que se necesitan para desarrollar el software en el sistema de Solaris. Compiladores y depuradores no están incluidos en el sistema de Solaris 2.5.

Distribución Entera (Entire Distribution): contiene todo el ambiente de Solaris.

ADMINISTRACION DEL PAQUETE

El manejo de paquetes de software simplifica la instalación y actualización del software. La administración es simplificada porque el método de manejo del software del sistema y aplicaciones de terceros son ahora consistentes. Las herramientas para crear paquetes de software están en un paquete de aplicaciones de herramientas de biblioteca.

Hay 2 herramientas que se pueden utilizar para instalar y remover paquetes:

Programa de Interface Gráfica (A graphical user interface program): se puede instalar un software en un sistema local o en un sistema remoto con Admintol (comenzando con el comando Admintol). Se utiliza Admintol para:

Ver el software instalado en un sistema local.Instalar o remover un software en un sistema local.

El comando de línea de accesorios (The command-line utilities): se utiliza para instalar, remover, y revisar la instalación del paquete de software.

SERVICE ACCESS FACILITY (SAF)

El SAF es una herramienta usada para administrar terminales, modems, y otros dispositivos de red. En particular, el SAF permite:

  • Añadir y administrar ttymon and listen monitores en puertos (usando el comando sacadm)
  • Añadir y administrar ttymon servicios de monitores en puertos (usando los comandos pmadm y ttyadm)
  • Añadir y administrar listen servicios de monitores en puerto (usando los comandos pmadm y nlsadmin)
  • Administrar y troubleshoot de dispositivos TTY.Administrar y troubleshoot entradas de requisitos de red para servicios de impresión.
  • Administrar y troubleshoot el controlador de acceso al servicio (Service Access Controller) usando el comando sacadm.

El SAF no es un programa. Es una jerarquía de últimos procesos y comandos de administración. El nivel tope del programa SAF es el SAC. El SAC (service access controller) controla monitores de puerto que se pueden administrar por el comando sacdm. Cada puerto de monitor puede manejar uno ó más puertos. Funciones del SAF y Programas Asociados

CONTROLADORES DE INTERFACES DE DISPOSITIVOS

La intención de Solaris 2.5 SPARC DDI/DKI es de proporcionar una compatibilidad de los dispositivos que soporten las plataformas y para todas las futuras innovaciones del ambiente de Solaris 2.5 en esas plataformas. En el ambiente operativo de Solaris 2.5 hay un nuevo conjunto de dispositivos de interfaces.

Los dispositivos de interface en el ambiente operativo de Solaris2.5 están formalizados y son referidos como Solaris 2.5 SPARC DDI/DKI. El término DDI/DKI es derivado de la especificación original que se utiliza como suministro del SVR4 (System V Release 4). DDI/DKI significa device driver interface/driver kernel interface. Las interfaces se dividen en 3 grupos:

DDI/DKIDKI onlyDDI onlyDDI/DKI: se estandarizó en el SVR4, y son genéricos a lo largo de todas las implementaciones del SVR4, independientemente de la plataforma en la que se ejecuta.

DDI only: son genéricos como las interfaces de DDI/DKI y son soportados en todas las implementaciones del SVR4. Por otro lado, no son garantizados para ser soportados en el Solaris V.

DKI only: están destinados a ser de una arquitectura específica; por ejemplo, métodos para accesar y controlar dispositivos y sistemas de hardware específico (archivos de E/S, servicios de DMA, interrupciones, y memoria de mapeo). Estas interfaces no están garantizados para trabajar en otras implementaciones de SVR4.

Estos dispositivos, combinados con un gran número de plataformas SPARC, son una ayuda a nuevos desarrolladores de hardware. En el Solaris 2.5 DDI/DKI solo el DDI only son genéricos a todos los sistemas Solaris basados en SPARC que soportan Solaris 2.5 DDI/DKI.KERNEL

El kernel del Solaris tiene multithread. En vez de una llave maestra. Hay muchas llaves pequeñas que protegen pequeñas regiones de código. Por ejemplo, puede haber una llave de kernel que protege el acceso a un nodo particular, y uno que protege un nodo. Solo un procesador puede estar ejecutando códigos relacionados con ese nodo a la vez, pero otro podría estar accesando un nodo. Esto permite mayor concurrencia. El kernel de multithread tendrá mayor impacto en como está diseñado el controlador.

INSTALACION

Hay 3 formas para instalar un sistema Solaris las cuales son:Que hacer antes de instalar un software de SolarisSalvar información de configuraciónSalvar la información del sistema de archivo

No importa como se planea manejar la transferencia de datos, debe hacer un respaldo de todos sus discos. Debido a que los nombres de conversión son diferentes en el ambiente operativo de Solaris, es posible confundirse e inadvertidamente seleccionar el disco de trabajo equivocado cuando se instala el software de Solaris. Hacer respaldo de los archivos del sistema antes de comenzar la instalación ofrece protección si esta clase de accidente llega a pasar.

Antes de comenzar el proceso de instalación, se debería tener una copia dura (es decir, en papel) de las particiones de discos existentes en el sistema. Si esta información se salva en línea, puede ser sobre escrita durante la instalación. Salvar esta información sirve como referencia de muchas decisiones que se hacen acerca de la configuración del sistema de Solaris.

COMANDOS

Entre los comandos de Solaris tenemos los siguientes:

/etc/system: Es en donde se encuentra la información de la configuración del sistema.

ufsboot: iniciar el comportamiento del computador de disco a disco

inetboot: iniciar el comportamiento del computador a través de la red

bootblk: descarga ufs al iniciar el funcionamiento del computador en el disco

unix: bootable imagen de kernel

/etc/rcs: amontona y copia unix de la red

/etc/rc2,/etc/rc3,/etc/rc2.d,/etc/rc3.,: scripts de la configuración del sistema

mod load, /etc/system,add_drv,rem_drv: customizes el sistema de kernel, carga, adiciona, y remueve modelos como sea necesario

run states 0-6, and s: niveles de ejecución del sistema

add_drv: informa al sistema que hay un nuevo dispositivo controlador instalado

rem_drv: informa al sistema que el controlador especificado ya no es valido

modload: carga él modulo especificado en el sistema en ejecución

modunload: descarga él modulo especificado del sistema en ejecución

pkgadd: para instalar un paquetepkgrm: para remover un paquete

pkgchk: para revisar la instalación del paquete

pkginfo: para hacer un listado de paquetes instalados en el sistema

VERSIONES

Entre las versiones de Solaris tenemos:Solaris 1.x al Solaris 2.xSolaris DDI/DKISolaris VBIBLIOGRAFIAWWW.SUN.COM

INTRODUCCIÓN

Un sistema operativo es un software que supervisa la forma en que se pueden usar los recursos de una computadora.

UNIX es un sistema de investigación, construido para probar nuevos conceptos de diseños de sistemas operativos y proporcionar a un grupo de expertos en ciencia de la computación un ambiente de programación altamente productivo. Dentro del sistema operativo UNIX se crearon otros sistemas operativos como lo son Solaris, Linux, SCO, BSD, etc.

Dentro del contexto del siguiente trabajo se hablará sobre el ambiente operativo de Solaris, el cual nos proporciona muchas razones para emigrar al ambiente del sistema operativo Solaris debido a que provee Portabilidad, Escalabilidad, Interoperatibidad y Compatibilidad. Además de esto también posee una gran funcionalidad en áreas con simetría de multiprocesos con multithreads, funcionalidad de tiempo real, mayor seguridad, y un Sistema de Administración mejorado.

También se hablará sobre el kernel, algunos comandos, entre otras especificaciones técnicas del mismo.

CONCLUSIÓN

El ambiente del Sistema Operativo Solaris nos brinda algunas características, las cuales ayudarán a dar una buena portabilidad, escalabilidad, compatibilidad y seguridad en las aplicaciones para así operar en un ambiente creciente. También presenta características para los usuarios la cual cuenta con ventanas para manejo de servicios rápidos, al igual que integra servicios desktop, bibliotecas gráficas, administración de calendario y herramientas de imagen. Este sistema tiene características para el administrador de sistemas en donde se puede obtener información sobre dispositivos.

El sistema operativo Solaris brinda paquetes de software (colecciones de archivos y directorios) y clusters (colección de paquetes). El kernel de solaris tiene multithread en vez de llave maestra la cual brinda mayor impacto en como está diseñado el controlador. Su instalación se basa en 3 formas como los son el salvar la información de la configuración, del sistema de archivo y que hacer antes de instalar un software de Solarios.

Este sistema cuenta con comandos los cuales nos ayudarán a manejar el sistema; con algunos de ellos podemos revisar, instalar y remover paquetes.


como funciona

Solaris funciona principalmente sobre a arquitectura SPARC en 32 e 64 bits (esta última coñecida como UltraSparc) da mesma compañía e sobre a arquitectura Intel, aínda que nesta última acontece usarse con fines didácticos, e escasamente en entornos de produción.

Proporcionou desde os primeros momentos un excelente soporte para aplicacións de rede en protocolos IP, e foi o primeiro entorno onde se desarrollou o sistema Java, onde segue tendo un excelente rendemento.

Proporciona practicamente todas as funcionalidades típicas dos sistemas UNIX en entorno servidor, como Sockets, Multitarefa, Threads, entorno de escritorio basado en X-Window no que se inclúe diferentes escritorios como Open Look CDE ou máis recentemente Sun Java Desktop System, basado en GNOME.

Nos últimos tempos a compañía puxo en marcha unha clara estratexia de acercamento entre Solaris e Linux desarrollando incluso produtos que permiten executar programas de Linux en Solaris.

Desde a versión 10 de Solaris, esté distribúese de balde, baixo licenza CDDL aprobada pola OSI. E Sun fundou a comunidade OpenSolaris.

como configurar un servidor web en solaris


Creación de la jerarquía /etc/netboot
en el servidor de arranque WAN

Durante la instalación, el arranque WAN recurre al contenido de la jerarquía /etc/netboot del servidor web para obtener instrucciones sobre cómo efectuar la instalación. Este directorio contiene la información de configuración, la clave privada, el certificado digital y la entidad certificadora necesarios para una instalación mediante un arranque WAN. Durante la instalación, el programa wanboot-cgi convierte esta información en el sistema de archivos de arranque WAN El programa wanboot-cgi transmite entonces el sistema de archivos de arranque WAN al cliente.

Se pueden crear subdirectorios en el directorio /etc/netboot para personalizar el ámbito de la instalación en WAN. Utilice las siguientes estructuras de directorio para definir cómo se comparte la información de configuración entre los clientes que desea instalar.

Configuración global: si desea que todos los clientes de la red compartan la información de configuración, guarde los archivos que desee compartir en el directorio /etc/netboot.


Configuración específica de red: si desea que sólo los equipos de una subred específica compartan información de configuración, almacene los archivos de configuración que desee compartir en el subdirectorio /etc/netboot. El subdirectorio debe seguir este convenio de denominación.

/etc/netboot/ip_red

En este ejemplo, ip_red es la dirección IP de la subred del cliente.

Configuración específica del cliente: si desea que sólo un cliente específico utilice el sistema de archivos de arranque, almacene los archivos del sistema de arranque en el subdirectorio de /etc/netboot. El subdirectorio debe seguir este convenio de denominación.

/etc/netboot/ip_red/ID_cliente


En este ejemplo, ip_red es la dirección IP de la subred. ID_cliente es el ID del cliente asignado por el servidor DHCP o un ID de cliente especificado por el usuario.

Para obtener información detallada sobre la planificación de estas configuraciones, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.

El siguiente procedimiento describe cómo se crea la jerarquía /etc/netboot.

Para crear la jerarquía /etc/netboot en el servidor de arranque WAN

Siga estos pasos para crear la jerarquía /etc/netboot.
Conviértase en superusuario del servidor de arranque WAN. Crear el directorio /etc/netboot. # mkdir /etc/netboot

Cambie los permisos del directorio /etc/netboot a 700. # chmod 700 /etc/netboot Cambie el propietario del directorio /etc/netboot al propietario del servidor web.
# chown web-server-user:web-server-group /etc/netboot/


usuario_servidor_web

Indica el usuario propietario del proceso del
servidor web

grupo_servidor_web

Indica el grupo propietario del proceso del
servidor web


Salga del rol de superusuario.
# exit


Tome el rol de usuario de propietario del servidor web.

Cree el subdirectorio cliente del directorio /etc/netboot.

# mkdir -p /etc/netboot/net-ip/client-ID


Indica al comando mkdir que cree todos los directorios superiores necesarios para el directorio que desea crear.

(Opcional) ip_red

Indica la dirección IP de la subred del cliente.


(Opcional) ID_cliente

Especifica el ID del cliente El ID del cliente puede ser un valor definido por el usuario o el ID de cliente DHCP. El directorio ID_cliente debe ser un subdirectorio de ip_red.

Para cada uno de los directorios de la jerarquía /etc/netboot, cambie los permisos a 700.
# chmod 700 /etc/netboot/nombre_directorio

nombre_directorio

Especifica el nombre de un directorio de la jerarquía /etc/netboot.


Ejemplo Creación de la jerarquía /etc/netboot en el servidor de arranque WAN

El siguiente ejemplo muestra cómo se crea una jerarquía /etc/netboot para el cliente 010003BA152A42 en la subred 192.168.198.0. En este ejemplo, el usuario nobody y el grupo admin son los propietarios del proceso del servidor web.

Las órdenes de este ejemplo efectúan las tareas siguientes.

  • Crean el directorio /etc/netboot.

  • Cambian los permisos del directorio /etc/netboot a 700.

  • Cambian la propiedad del directorio /etc/netboot al propietario del proceso del servidor web.

  • Tome el mismo rol de usuario que el usuario del servidor web.

  • Crean un subdirectorio de /etc/netboot denominado como la subred (192.168.198.0).

  • Cree un subdirectorio del directorio de subred denominado como el ID de cliente.


# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit

server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42


Continuación de la instalación mediante arranque WAN

Después de crear la jerarquía /etc/netboot, debe copiar el programa CGI de arranque WAN en el servidor de arranque WAN. Para obtener instrucciones, consulte Copia del programa CGI de arranque WAN en el servidor de arranque WAN.



Almacenamiento de la información de configuración y seguridad en la jerarquía/etc/netboot

El directorio /etc/netboot contiene la información de configuración, clave privada, certificado digital y entidad certificadora necesarios para una instalación mediante arranque WAN. En esta sección se describen los archivos y directorios que se pueden crear en el directorio /etc/netboot para personalizar la instalación mediante arranque WAN.

Personalización del ámbito de la instalación mediante arranque WAN

Durante la instalación, el programa wanboot-cgi busca la información del cliente en el directorio /etc/netboot del servidor de arranque WAN y convierte esta información en el sistema de archivos de arranque WAN que, luego, transmite al cliente. Se pueden crear subdirectorios en el directorio /etc/netboot para personalizar el ámbito de la instalación en WAN. Utilice las siguientes estructuras de directorio para definir cómo se comparte la información de configuración entre los clientes que desea instalar.

  • Configuración global: si desea que todos los clientes de la red compartan la información de configuración, guarde los archivos que desee compartir en el directorio /etc/netboot.

  • Configuración específica de red: si desea que sólo los equipos de una subred específica compartan información de configuración, almacene los archivos de configuración que desee compartir en el subdirectorio /etc/netboot. El subdirectorio debe seguir este convenio de denominación.


    /etc/netboot/ip_red 

    En este ejemplo, ip_red es la dirección IP de la subred del cliente. Por ejemplo, si desea que todos los sistemas de la subred con la dirección IP 192.168.255.0 compartan los archivos de configuración, cree un directorio /etc/netboot/192.168.255.0. A continuación almacene en él los archivos de configuración.

  • Configuración específica del cliente: si desea que sólo un cliente específico utilice el sistema de archivos de arranque, almacene los archivos del sistema de arranque en el subdirectorio de /etc/netboot. El subdirectorio debe seguir este convenio de denominación.


    /etc/netboot/ip_red/ID_cliente 

    En este ejemplo, ip_red es la dirección IP de la subred. ID_cliente es el ID del cliente asignado por el servidor DHCP o un ID de cliente especificado por el usuario. Por ejemplo, si desea que un sistema con ID de cliente 010003BA152A42 en la subred 192.168.255.0 utilice archivos de configuración específicos, cree un directorio /etc/netboot/192.168.255.0/010003BA152A42. A continuación guarde en él los archivos apropiados.

Especificación de la información de configuración y seguridad en el directorio /etc/netboot

Para especificar la información de seguridad y configuración, se deben crear los archivos siguientes y guardarlos en el directorio /etc/netboot.

  • wanboot.conf: este archivo especifica la información de configuración de cliente para una instalación mediante arranque WAN.

  • Archivo de configuración del sistema ( system.conf): este archivo de configuración del sistema especifica la ubicación del archivo sysidcfg y los archivos JumpStart personalizados del cliente.

  • keystore: este archivo contiene la clave de hashing HMAC SHA1, la clave de cifrado 3DES o AES y la clave privada SSL del cliente.

  • truststore: este archivo contiene los certificados digitales de las entidades emisoras de certificados en las que el cliente debe confiar. Estos certificados acreditados indican al cliente que confíe en el servidor durante la instalación.

  • certstore: este archivo contiene el certificado digital del cliente.


    Nota –

    El archivo certstore debe estar en el directorio ID_cliente. Consulte Personalización del ámbito de la instalación mediante arranque WAN para obtener más información acerca de los subdirectorios del directorio /etc/netboot.


Para obtener instrucciones detalladas sobre cómo crear y almacenar estos archivos, consulte los procedimientos siguientes.

Compartición de la información de configuración y seguridad en el directorio /etc/netboot

Para instalar clientes en la red, es conveniente compartir los archivos de configuración y seguridad entre varios clientes o en subredes enteras. Para compartir dichos archivos, distribuya su información de configuración en los directorios /etc/netboot/ip_red/ID_cliente, /etc/netboot/ip_red y /etc/netboot. El programa wanboot-cgi busca en estos directorios la información de configuración que se ajusta mejor al cliente y la utiliza durante la instalación.

El programa wanboot-cgi permite realizar búsquedas de la información del cliente en el siguiente orden.

  1. /etc/netboot/ip_red/ ID_cliente: el programa wanboot-cgi busca en primer lugar información de configuración específica del equipo cliente. Si el directorio /etc/netboot/ip_red/ID_cliente contiene toda la información de configuración del cliente, el programa wanboot-cgi no busca información de configuración en ningún otro lugar del directorio /etc/netboot.

  2. /etc/netboot/ip_red: si el directorio /etc/netboot/ip_red/ID_cliente no contiene toda la información necesaria, el programa wanboot-cgi busca a continuación información de configuración de subred en el directorio /etc/netboot/ip_red.

  3. /etc/netboot: si el directorio /etc/netboot/ip_red no contiene la información restante, el programa wanboot-cgi busca la información de configuración global en el directorio /etc/netboot.

La Figura 10–2 muestra cómo se puede configurar el directorio /etc/netboot para personalizar las instalaciones mediante arranque WAN.

Figura 10–2 Directorio /etc/netboot de ejemplo

El contexto describe la ilustración.

La distribución de directorios de /etc/netboot en la Figura 10–2 permite realizar las siguientes instalaciones de arranque WAN.

  • Al instalar el cliente 010003BA152A42, el programa wanboot-cgi utiliza los siguientes archivos del directorio /etc/netboot/192.168.255.0/010003BA152A42.

    • system.conf

    • keystore

    • truststore

    • certstore

    El programa wanboot-cgi utiliza, a continuación, el archivo wanboot.conf del directorio /etc/netboot/192.168.255.0.

  • Al instalar un cliente ubicado en la subred 192.168.255.0, el programa wanboot-cgi utiliza los archivos wanboot.conf, keystore y truststore del directorio /etc/netboot/192.168.255.0. A continuación, el programa wanboot-cgi utiliza el archivo system.conf del directorio /etc/netboot.

  • Si se instala una máquina cliente no ubicada en la subred 192.168.255.0, el programa wanboot-cgi utiliza los archivos siguientes del directorio /etc/netboot.

    • wanboot.conf

    • system.conf

    • keystore

    • truststore


Almacenamiento del programa wanboot-cgi

El programa wanboot-cgi transmite los datos y archivos del servidor de arranque WAN al cliente. Deberá cerciorarse de que dicho programa se encuentra en un directorio del servidor de arranque WAN accesible al cliente. Una forma de hacer que este programa sea accesible al cliente es almacenarlo en el directorio cgi-bin del servidor de arranque WAN. Quizá deba configurar el software de servidor web para que utilice wanboot-cgi como programa CGI. Consulte la documentación de su servidor web para obtener información acerca de los requisitos de los programas CGI.


Requisitos de certificados digitales

Si desea incrementar la seguridad de la instalación mediante arranque WAN puede utilizar certificados digitales para habilitar la autenticación de cliente y servidor. El arranque WAN puede utilizar un certificado digital para establecer la identidad del servidor o del cliente durante una transacción en línea. Los certificados digitales los emite una entidad certificadora (CA). Éstos contienen un número de serie, fechas de caducidad, una copia de la clave pública del poseedor del certificado y la firma digital de la entidad certificadora.

Si desea requerir autenticación de servidor o de cliente y servidor durante la instalación, deberá instalar certificados digitales en el servidor. Siga estas directrices al utilizar certificados digitales.

  • Si desea utilizar certificados digitales, se deben formatear como parte de un archivo de tipo Public-Key Cryptography Standards #12 (PKCS#12).

  • Si crea sus propios certificados, deberá crearlos como archivos PKCS#12.

  • Si recibe los certificados de otras entidades certificadoras, solicítelos en formato PKCS#12.

Para obtener instrucciones detalladas sobre cómo utilizar certificados PKCS#12 durante la instalación mediante arranque WAN, consulte (Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente.




Limitaciones de seguridad del Arranque WAN

Aunque el arranque WAN ofrece distintas características de seguridad, no resuelve estos problemas potenciales.

  • Ataques de denegación de servicio (DoS): un ataque de denegación de servicio, que puede adquirir diversas formas, tiene como objetivo impedir a los usuarios el acceso a un servicio determinado. Un ataque DoS puede sobrecargar la red con una gran cantidad de datos, o consumir de forma agresiva una cantidad limitada de recursos. Otros ataques DoS manipulan los datos transmitidos entre sistemas mientras están en tránsito. El método de instalación mediante arranque WAN no protege a los servidores ni a los clientes contra ataques DoS.

  • Binarios dañados en los servidores: método de instalación mediante arranque WAN no comprueba la integridad de la miniroot de arranque WAN ni del contenedor Solaris Flash antes de efectuar la instalación. Antes de efectuar la instalación, compruebe la integridad de los binarios de Solaris según la Solaris Fingerprint Database en http://sunsolve.sun.com.

  • Privacidad de las claves de cifrado y de hashing: si utiliza claves de cifrado o de hashing con arranque WAN, deberá escribir el valor de la clave en la línea de comandos durante la instalación. Siga las precauciones pertinentes en su red para garantizar la privacidad de estos valores.

  • Riesgo del servicio de nombres de la red: si utiliza un servicio de nombres en la red, compruebe la integridad de los servidores de nombres antes de efectuar la instalación mediante arranque WAN.


Instalación en una red de área amplia (mapas de tareas)

En las tablas siguientes se enumeran las tareas que se deben efectuar para preparar una instalación mediante un arranque WAN.

Para usar un servidor DHCP o un servidor de registro, complete las tareas opcionales que figuran en la parte inferior de cada tabla.

Tabla 11–1 Mapa de tareas: preparación para una instalación segura mediante un arranque WAN

Tarea

Descripción

Para obtener instrucciones

Decidir las características de seguridad que desee utilizar en su instalación.

Repase las características y configuraciones de seguridad para decidir el nivel de seguridad que desea utilizar en su instalación mediante un arranque WAN.

Protección de datos durante una instalación mediante el Arranque WAN

Configuraciones de seguridad admitidas por el Arranque WAN (información general)

Recopilar información de la instalación mediante un arranque WAN.

Complete la hoja de trabajo para registrar toda la información necesaria para efectuar una instalación mediante un arranque WAN.

Recopilación de información para instalaciones mediante arranque WAN

Crear el directorio root de documentos en el servidor de arranque WAN.

Cree el directorio root de documentos y los subdirectorios necesarios para servir los archivos de configuración e instalación.

Creación del directorio raíz de documentos

Crear la miniroot de arranque WAN.

Utilice el comando setup_install_server para crear la minirraíz de arranque WAN.

SPARC: Para crear la minirraíz de arranque WAN

Comprobar que el sistema cliente admite arranque WAN.

Compruebe en la OBP del cliente si los argumentos de arranque admiten arranque WAN.

Para comprobar que la OBP cliente admite el arranque WAN

Instalar el programa wanboot en el servidor de arranque WAN.

Copie el programa wanboot en el directorio raíz de documentos del servidor de arranque WAN.

Instalación del programa wanboot en el servidor de arranque WAN

Instalar el programa wanboot-cgi en el servidor de arranque WAN.

Copie el programa wanboot-cgi en el directorio CGI del servidor de arranque WAN.

Para copiar el programa wanboot-cgi al servidor de arranque WAN

(Opcional) Configurar el servidor de registro.

Configure un sistema dedicado para mostrar los mensajes de registro de arranque y de instalación.

(Opcional) Para configurar el servidor de registro de arranque WAN

Configurar la jerarquía /etc/netboot.

Llene la jerarquía /etc/netboot con los archivos de configuración y seguridad necesarios para una instalación mediante un arranque WAN.

Creación de la jerarquía /etc/netboot en el servidor de arranque WAN

Configurar el servidor web para que utilice HTTP seguro y así incrementar la seguridad de la instalación mediante un arranque WAN.

Identifique los requisitos para que el servidor web pueda efectuar una instalación mediante un arranque WAN con HTTPS.

(Opcional) Protección de los datos mediante el uso de HTTPS

Formatear certificados digitales para incrementar la seguridad de la instalación mediante un arranque WAN.

Divida el archivo PKCS#12 en una clave privada y un certificado para utilizarlos con la instalación mediante un arranque WAN.

(Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente

Crear una clave de hashing y una clave de encriptación para aumentar la seguridad de la instalación mediante un arranque WAN.

Utilice el comando wanbootutil keygen para crear claves HMAC SHA1, 3DES o AES.

(Opcional) Para crear claves de hashing y de cifrado

Crear el contenedor Solaris Flash.

Utilice el comando flarcreate para crear un contenedor del software que desee instalar en el cliente.

Para crear el contenedor Solaris Flash

Crear los archivos de instalación para la instalación JumpStart personalizada.

Utilice un editor de textos para crear los archivos siguientes:

  • sysidcfg

  • profile

  • rules.ok

  • begin scripts

  • finish scripts

Para crear el archivo sysidcfg

Para crear un perfil

Para crear el archivo rules

(Opcional) Creación de secuencias de inicio y de fin

Crear el archivo de configuración del sistema.

Establezca la información de configuración en el archivo system.conf.

Para crear el archivo de configuración de sistema

Crear el archivo de configuración de arranque WAN.

Establezca la información de configuración en el archivo wanboot.conf.

Para crear el archivo wanboot.conf

(Opcional) Configurar el servidor DHCP para que admita una instalación mediante un arranque WAN.

Establezca las opciones y las macros de proveedor de Sun en el servidor DHCP.

Preconfiguración de la información de configuración del sistema mediante el servicio DHCP (tareas)

Tabla 11–2 Mapa de tareas: preparación para una instalación insegura mediante un arranque WAN

Tarea

Descripción

Para obtener instrucciones

Decidir las características de seguridad que desee utilizar en su instalación.

Repase las características y configuraciones de seguridad para decidir el nivel de seguridad que desea utilizar en su instalación mediante un arranque WAN.

Protección de datos durante una instalación mediante el Arranque WAN

Configuraciones de seguridad admitidas por el Arranque WAN (información general)

Recopilar información de la instalación mediante un arranque WAN.

Complete la hoja de trabajo para registrar toda la información necesaria para efectuar una instalación mediante un arranque WAN.

Recopilación de información para instalaciones mediante arranque WAN

Crear el directorio root de documentos en el servidor de arranque WAN.

Cree el directorio root de documentos y los subdirectorios necesarios para servir los archivos de configuración e instalación.

Creación del directorio raíz de documentos

Crear la miniroot de arranque WAN.

Utilice el comando setup_install_server para crear la minirraíz de arranque WAN.

SPARC: Para crear la minirraíz de arranque WAN

Comprobar que el sistema cliente admite arranque WAN.

Compruebe en la OBP del cliente si los argumentos de arranque admiten arranque WAN.

Para comprobar que la OBP cliente admite el arranque WAN

Instalar el programa wanboot en el servidor de arranque WAN.

Copie el programa wanboot en el directorio raíz de documentos del servidor de arranque WAN.

Instalación del programa wanboot en el servidor de arranque WAN

Instalar el programa wanboot-cgi en el servidor de arranque WAN.

Copie el programa wanboot-cgi en el directorio CGI del servidor de arranque WAN.

Para copiar el programa wanboot-cgi al servidor de arranque WAN

(Opcional) Configurar el servidor de registro.

Configure un sistema dedicado para mostrar los mensajes de registro de arranque y de instalación.

(Opcional) Para configurar el servidor de registro de arranque WAN

Configurar la jerarquía /etc/netboot.

Llene la jerarquía /etc/netboot con los archivos de configuración y seguridad necesarios para una instalación mediante un arranque WAN.

Creación de la jerarquía /etc/netboot en el servidor de arranque WAN

(Opcional) Crear una clave de hashing.

Utilice el comando wanbootutil keygen para crear una clave HMAC SHA1.

Para instalaciones no seguras que comprueban la integridad de los datos, efectúe esta tarea para crear una clave de hashing HMAC SHA1.

(Opcional) Para crear claves de hashing y de cifrado

Crear el contenedor Solaris Flash.

Utilice el comando flarcreate para crear un contenedor del software que desee instalar en el cliente.

Para crear el contenedor Solaris Flash

Crear los archivos de instalación para la instalación JumpStart personalizada.

Utilice un editor de textos para crear los archivos siguientes:

  • sysidcfg

  • profile

  • rules.ok

  • archivo de secuencias de inicio

  • archivo de secuencias de fin

Para crear el archivo sysidcfg

Para crear un perfil

Para crear el archivo rules

(Opcional) Creación de secuencias de inicio y de fin

Crear el archivo de configuración del sistema.

Establezca la información de configuración en el archivo system.conf.

Para crear el archivo de configuración de sistema

Crear el archivo de configuración de arranque WAN.

Establezca la información de configuración en el archivo wanboot.conf.

Para crear el archivo wanboot.conf

(Opcional) Configurar el servidor DHCP para que admita una instalación mediante un arranque WAN.

Establezca las opciones y las macros de proveedor de Sun en el servidor DHCP.

Preconfiguración de la información de configuración del sistema mediante el servicio DHCP (tareas)

Configuración del servidor de arranque WAN

El servidor de arranque WAN es un servidor web que proporciona los datos para el arranque y la configuración durante una instalación de arranque WAN. Para obtener una lista con los requisitos de sistema necesarios para el servidor de arranque WAN, consulte la Tabla 10–1.

En esta sección se describen las tareas siguientes para configurar el servidor de arranque WAN para una instalación mediante un arranque WAN.

Creación del directorio raíz de documentos

Para servir los archivos de configuración e instalación, deberá hacerlos accesibles al software del servidor web en el servidor de arranque WAN. Para ello puede almacenarlos en el directorio root de documentos del servidor de arranque WAN.

Si desea utilizar un directorio root de documentos para servir los archivos de configuración e instalación, deberá crearlo. Para obtener información sobre como hacerlo, consulte la documentación de su servidor web. Para obtener información detallada acerca de cómo diseñar un directorio root de documentos, consulte Almacenamiento de los archivos de instalación y configuración en el directorio raíz de documentos.

Para obtener un ejemplo de cómo configurar este directorio, consulte Creación del directorio raíz de documentos.

Una vez creado el directorio root de documentos, cree la miniroot de arranque WAN. Para obtener instrucciones, consulte Creación de la minirraíz de arranque WAN.

Creación de la minirraíz de arranque WAN

El arranque WAN utiliza una minirraíz especial de Solaris, modificado para efectuar una instalación mediante un arranque WAN, Estas minirraíces contienen un subconjunto del software de la minirraíz de Solaris. Para efectuar una instalación mediante un arranque WAN, deberá copiar la miniroot del DVD de Solaris o del CD Software de Solaris - 1 en el servidor de arranque WAN. Utilice el comando setup_install_server con la opción -w para copiar la miniroot de arranque WAN del soporte del software de Solaris al disco duro del sistema.

SPARC: Para crear la minirraíz de arranque WAN

Este procedimiento crea una minirraíz de arranque WAN SPARC con un soporte SPARC. Si desea servir una minirraíz de arranque WAN SPARC desde un servidor basado en x86, deberá crear la minirraíz en una máquina SPARC. Una vez creada la miniroot, cópiela al directorio root de documentos del servidor basado en x86.

Antes de empezar

Para este procedimiento se presupone que en el servidor de arranque WAN se está ejecutando Volume Manager. Si no utiliza Volume Manager, consulte la System Administration Guide: Devices and File Systems.

  1. Conviértase en superusuario o equivalente en el servidor de arranque WAN.

    El sistema debe cumplir los requisitos siguientes.

    • Disponer de una unidad de CD-ROM o DVD-ROM.

    • Formar parte de la red y del servicio de nombres de la sede.

      Si utiliza un servicio de nombres, el sistema debe estar ya en dicho servicio, ya sea NIS, NIS+, DNS o LDAP. Si no se usa un servicio de nombres, deberá distribuir información sobre este sistema de acuerdo con la política de la sede.

  2. Inserte el CD Software de Solaris - 1 o el DVD de Solaris en la unidad del servidor de instalación.

  3. Cree un directorio para la miniroot de arranque WAN y la imagen de instalación de Solaris.


    # mkdir -p ruta_dir_wan ruta_dir_instalación 
    -p

    Indica al comando mkdir que cree todos los directorios superiores necesarios para el directorio que desea crear.

    ruta_dir_wan

    Indica el directorio en el que se debe crear la minirraíz de arranque WAN en el servidor de instalación. Este directorio debe poder contener miniroot con un tamaño aproximado de 250 Mbytes cada una.

    ruta_dir_instalación

    Indica el directorio del servidor de instalación en el que se debe copiar la imagen del software de Solaris. Este directorio se puede eliminar en un paso posterior de este procedimiento.

  4. Cambie al directorio Tools del disco montado:


    # cd /cdrom/cdrom0/s0/Solaris_10/Tools 

    En el ejemplo anterior, cdrom0 es la ruta a la unidad que contiene el soporte de Solaris SO.

  5. Copie la minirraíz de arranque WAN y la imagen del software de Solaris en el disco duro del servidor de arranque WAN.


    # ./setup_install_server -w ruta_dir_wan ruta_dir_instalación 
    ruta_dir_wan

    Indica el directorio donde se va a copiar la minirraíz de arranque WAN

    ruta_dir_instalación

    Indica el directorio donde se va a copiar la imagen del software de Solaris


    Nota –

    El comando setup_install_server indica si hay espacio suficiente en el disco para las imágenes de disco de software Solaris. Para determinar la cantidad de espacio en el disco disponible, use el comando df -kl.


    El comando setup_install_server -w crea la minirraíz de arranque WAN y una imagen de instalación de red del software de Solaris.

  6. (Opcional) Elimine la imagen de instalación de red.

    Dicha imagen no es necesaria para efectuar una instalación mediante un arranque WAN con un contenedor Solaris Flash. Puede liberar espacio en disco si no tiene previsto utilizar la imagen de instalación de red para otras instalaciones. Escriba el comando siguiente para eliminar la imagen de instalación de red.


    # rm -rf ruta_dir_instalación 
  7. Ponga la miniroot de arranque WAN a disposición del servidor de arranque WAN mediante uno de estos procedimientos.

    • Cree un enlace simbólico a la miniroot de arranque WAN en el directorio root de documentos del servidor de arranque WAN.


      # cd /directorio_root_documentos/miniroot
      # ln -s /ruta_dir_wan/miniroot .
      directorio_root_documentos/miniroot

      Indica el directorio raíz de documentos del servidor de arranque WAN que desea enlazar con la minirraíz de arranque WAN.

      /ruta_dir_wan/miniroot

      Indica la ruta a la miniroot de arranque WAN.

    • Mueva la minirraíz de arranque WAN al directorio raíz de documentos del servidor de arranque WAN.


      # mv /ruta_dir_wan/miniroot /directorio_root_documentos/miniroot/nombre_miniroot 
      ruta_dir_wan/miniroot

      Indica la ruta a la miniroot de arranque WAN.

      /directorio_root_documentos/miniroot/

      Indica la ruta al directorio de la minirraíz de arranque WAN en el directorio raíz de documentos del servidor de arranque WAN.

      nombre_miniroot

      Indica el nombre de la minirraíz de arranque WAN. Se trata de un nombre descriptivo del archivo, por ejemplo, miniroot.s10_sparc.


Ejemplo 11–1 Creación de la minirraíz de arranque WAN

Use setup_install_server(1M) con la opción -w para copiar la minirraíz de arranque WAN y la imagen del software de Solaris en el directorio /export/install/Solaris_10 de wanserver-1.

Inserte el soporte software Solaris en la unidad conectada a wanserver-1. Escriba los comandos siguientes:


wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Desplace la minirroot de arranque WAN al directorio root de documentos (/opt/apache/htdocs/) del servidor de arranque WAN. En este ejemplo, el nombre de la miniroot de arranque WAN está establecido en miniroot.s10_sparc.


wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Continuación de la instalación mediante arranque WAN

Después de crear la miniroot de arranque WAN, compruebe que la OpenBoot PROM (OBP) del cliente es compatible con el arranque mediante WAN. Para obtener instrucciones, consulte Comprobación de la compatibilidad del cliente con el arranque mediante WAN.

Véase también

Para obtener información adicional acerca del comando setup_install_server, consulte install_scripts(1M).

Comprobación de la compatibilidad del cliente con el arranque mediante WAN

Para realizar una instalación mediante arranque WAN sin supervisión, asegúrese de que la OpenBoot PROM (OBP) del sistema cliente es compatible con el arranque mediante WAN. Si la OBP del cliente no admite el arranque mediante WAN, puede realizar una instalación mediante arranque WAN usando un CD local que incluya los programas necesarios.

Para determinar si el cliente admite el arranque mediante WAN, compruebe las variables de configuración de la OBP del cliente. Lleve a cabo el siguiente procedimiento para comprobar si el cliente admite el arranque mediante WAN.

Para comprobar que la OBP cliente admite el arranque WAN

Este procedimiento describe la forma de determinar si la OBP del cliente admite el arranque mediante WAN.

  1. Conviértase en superusuario o asuma una función similar.

    Las funciones incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre las funciones, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

  2. Compruebe si las variables de configuración OBP admiten el arranque WAN.


    # eeprom | grep network-boot-arguments 
    • Si aparece la variable network-boot-arguments o si el comando anterior devuelve la salida network-boot-arguments: data not available, OBP admite las instalaciones de arranque WAN. No es necesario actualizar la OBP antes de efectuar la instalación mediante arranque WAN.

    • Si el comando anterior no devuelve ninguna salida, la OBP no admite instalaciones de arranque WAN. Deberá efectuar una de las tareas siguientes.

      • Actualice la OBP del cliente. En el caso de los clientes que dispongan de una OBP que admita instalaciones de arranque WAN, consulte la documentación para obtener información sobre cómo actualizar la OBP.


        Nota –

        No todas las OBP clientes admiten un arranque WAN. En tales casos, utilice la opción siguiente.


      • Una vez finalizadas las tareas preparatorias y se pueda instalar el cliente, lleve a cabo la instalación mediante arranque WAN desde el CD1 o DVD de software Solaris. Esta opción es válida en todos los casos en que la OBP actual no sea compatible con el arranque WAN.

        Para obtener instrucciones sobre cómo arrancar el cliente desde el CD1, consulte Para realizar una instalación mediante arranque WAN con un medio CD. Para continuar con la preparación de la instalación mediante arranque WAN, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.


Ejemplo 11–2 Comprobación de la admisión del arranque WAN en la OBP del cliente

El comando siguiente muestra cómo comprobar la admisión del arranque WAN en la OBP del cliente.


# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

En este ejemplo, la salida network-boot-arguments: data not available indica que el cliente OBP admite el arranque WAN.


Continuación de la instalación mediante arranque WAN

Cuando haya comprobado que la OBP del cliente es compatible con el arranque mediante WAN, debe copiar el programa wanboot en el servidor de arranque WAN. Para obtener instrucciones, consulte Instalación del programa wanboot en el servidor de arranque WAN.

Si la OBP del cliente no es compatible con el arranque WAN, no necesitará copiar el programa wanboot en el servidor de arranque WAN. Debe proporcionar el programa wanboot al cliente desde un CD local. Para continuar con la instalación, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.

Véase también

Para obtener más información sobre el comando setup_install_server, consulte el Capítulo 4, Instalación desde la red (información general).

Instalación del programa wanboot en el servidor de arranque WAN

El arranque WAN utiliza, para instalar el cliente, un programa especial de arranque de segundo nivel (wanboot) que carga la minirraíz de arranque WAN y los archivos de configuración del cliente y de instalación necesarios para efectuar una instalación mediante un arranque WAN.

Para efectuar esta instalación deberá proporcionar al cliente el programa wanboot durante la instalación mediante uno de los siguientes métodos.

SPARC: Para instalar el programa wanboot en el servidor de arranque WAN

Este procedimiento describe cómo copiar el programa wanboot del soporte de Solaris al servidor de arranque WAN.

Para este procedimiento se presupone que en el servidor de arranque WAN se está ejecutando Volume Manager. Si no utiliza Volume Manager, consulte la System Administration Guide: Devices and File Systems.

Antes de empezar

Compruebe que el sistema cliente admite el arranque mediante WAN. Consulte Para comprobar que la OBP cliente admite el arranque WAN para obtener más información.

  1. Conviértase en superusuario o equivalente en el servidor de instalación.

  2. Inserte el CD Software de Solaris - 1 o el DVD de Solaris en la unidad del servidor de instalación.

  3. Cambie al directorio de la plataforma sun4u en el CD Software de Solaris - 1 o en el DVD de Solaris.


    # cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ 
  4. Copie el programa wanboot en el servidor de instalación.


    # cp wanboot /directorio_root_documentos/wanboot/nombre_wanboot 
    directorio_root_documentos

    Indica el directorio root de documentos del servidor de arranque WAN.

    nombre_wanboot

    Indica el nombre del programa wanboot. Asigne un nombre descriptivo a este archivo como, por ejemplo, wanboot.s10_sparc.

  5. Ponga el programa wanboot a disposición del servidor de arranque WAN mediante uno de estos procedimientos.

    • Cree un enlace simbólico al programa wanboot en el directorio raíz de documentos del servidor de arranque WAN.


      # cd /directorio_root_documentos/wanboot
      # ln -s /ruta_dir_wan/wanboot .
      directorio_root_documentos/wanboot

      Indica el directorio root de documentos del servidor de arranque WAN que desea enlazar con el programa wanboot

      /ruta_dir_wan/wanboot

      Indica la ruta al programa wanboot.

    • Mueva la minirraíz de arranque WAN al directorio raíz de documentos del servidor de arranque WAN.


      # mv /ruta_dir_wan/wanboot /directorio_root_documentos/wanboot/nombre_wanboot 
      ruta_dir_wan/wanboot

      Indica la ruta al programa wanboot.

      /directorio_root_documentos/wanboot/

      Indica la ruta al directorio del programa wanboot en el directorio root de documentos del servidor de arranque WAN.

      nombre_wanboot

      Indica el nombre del programa wanboot. Se trata de un nombre descriptivo del archivo, por ejemplo, wanboot.s10_sparc.


Ejemplo 11–3 Instalación del programa wanboot en el servidor de arranque WAN

Si desea instalar el programa wanboot en el servidor de arranque WAN, copie el programa del soporte del software software Solaris en el directorio root de documentos del servidor de arranque WAN.

Inserte el DVD de Solaris o el CD Software de Solaris - 1 en la unidad conectada a wanserver-1 y escriba los comandos siguientes.


wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

En este ejemplo, el nombre del programa wanboot está establecido en wanboot.s10_sparc.


Continuación de la instalación mediante arranque WAN

Después de instalar el programa wanboot en el servidor de arranque WAN, debe crear la jerarquía /etc/netboot en el servidor de arranque WAN. Para obtener instrucciones, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.

Véase también

Para obtener información acerca del programa wanboot, consulte ¿Qué es el arranque WAN?.

Creación de la jerarquía /etc/netboot en el servidor de arranque WAN

Durante la instalación, el arranque WAN recurre al contenido de la jerarquía /etc/netboot del servidor web para obtener instrucciones sobre cómo efectuar la instalación. Este directorio contiene la información de configuración, la clave privada, el certificado digital y la entidad certificadora necesarios para una instalación mediante un arranque WAN. Durante la instalación, el programa wanboot-cgi convierte esta información en el sistema de archivos de arranque WAN El programa wanboot-cgi transmite entonces el sistema de archivos de arranque WAN al cliente.

Se pueden crear subdirectorios en el directorio /etc/netboot para personalizar el ámbito de la instalación en WAN. Utilice las siguientes estructuras de directorio para definir cómo se comparte la información de configuración entre los clientes que desea instalar.

  • Configuración global – Si desea que todos los clientes de la red compartan información de configuración, los archivos que quiera compatir debe almacenarlos en el directorio /etc/netboot.

  • Configuración específica de la red – Si desea que todos los equipos de una determinada subred compartan información de configuración, los archivos que quiera compatir debe almacenarlos en el directorio /etc/netboot. El subdirectorio debe seguir este convenio de denominación.


    /etc/netboot/ip_red 

    En este ejemplo, ip_red es la dirección IP de la subred del cliente.

  • Configuración específica del cliente – Si desea que sólo un determinado cliente utilice el sistema de archivos de arranque, almacene los archivos del sistema de archivos de arranque en un subdirectorio de /etc/netboot. El subdirectorio debe seguir este convenio de denominación.


    /etc/netboot/ip_red/ID_cliente 

    En este ejemplo, ip_red es la dirección IP de la subred. ID_cliente es el ID del cliente asignado por el servidor DHCP o un ID de cliente especificado por el usuario.

Para obtener información detallada sobre la planificación de estas configuraciones, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.

El siguiente procedimiento describe cómo se crea la jerarquía /etc/netboot.

ProcedimientoPara crear la jerarquía /etc/netboot en el servidor de arranque WAN

Siga estos pasos para crear la jerarquía /etc/netboot.

  1. Conviértase en superusuario o equivalente en el servidor de arranque WAN.

  2. Crean el directorio /etc/netboot.


    # mkdir /etc/netboot 
  3. Cambie a 700 los permisos del directorio /etc/netboot.


    # chmod 700 /etc/netboot 
  4. Cambie el propietario del directorio /etc/netboot al propietario del servidor web.


    # chown usuario_servidor_web:grupo_servidor_web /etc/netboot/ 
    usuario_servidor_web

    Indica el usuario propietario del proceso del servidor web

    grupo_servidor_web

    Indica el grupo propietario del proceso del servidor web

  5. Salga del rol de superusuario.


    # exit 
  6. Tome el rol de usuario de propietario del servidor web.

  7. Cree el subdirectorio cliente del directorio /etc/netboot.


    # mkdir -p /etc/netboot/ip_red/ID_cliente 
    -p

    Indica al comando mkdir que cree todos los directorios superiores necesarios para el directorio que desea crear.

    (Opcional) ip_red

    Indica la dirección IP de la subred del cliente.

    (Opcional) ID_cliente

    Especifica el ID del cliente El ID del cliente puede ser un valor definido por el usuario o el ID de cliente DHCP. El directorio ID_cliente debe ser un subdirectorio de ip_red.

  8. En cada directorio de la jerarquía /etc/netboot, cambie los permisos a 700.


    # chmod 700 /etc/netboot/nombre_directorio 
    nombre_directorio

    Especifica el nombre de un directorio de la jerarquía /etc/netboot.


Ejemplo 11–4 Creación de la jerarquía /etc/netboot en el servidor de arranque WAN

El siguiente ejemplo muestra cómo se crea una jerarquía /etc/netboot para el cliente 010003BA152A42 en la subred 192.168.198.0. En este ejemplo, el usuario nobody y el grupo admin son los propietarios del proceso del servidor web.

Los comandos de este ejemplo efectúan las tareas siguientes.

  • Crean el directorio /etc/netboot.

  • Cambian los permisos del directorio /etc/netboot a 700.

  • Cambian la propiedad del directorio /etc/netboot al propietario del proceso del servidor web.

  • Toman el mismo rol de usuario que el usuario del servidor web.

  • Crean un subdirectorio de /etc/netboot denominado como la subred (192.168.198.0).

  • Crean un subdirectorio del directorio de subred denominado como el ID de cliente.

  • Cambian los permisos de los subdirectorios /etc/netboot a 700.


# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Continuación de la instalación mediante arranque WAN

Después de crear la jerarquía /etc/netboot, debe copiar el programa CGI de arranque WAN en el servidor de arranque WAN. Para obtener instrucciones, consulte Copia del programa CGI de arranque WAN en el servidor de arranque WAN.

Véase también

Para obtener información detallada sobre cómo diseñar la jerarquía /etc/netboot, consulte Almacenamiento de la información de configuración y seguridad en la jerarquía /etc/netboot.

Copia del programa CGI de arranque WAN en el servidor de arranque WAN

El programa wanboot-cgi crea los flujos de datos que transmiten los siguientes archivos desde el servidor de arranque WAN hasta el cliente.

  • Programa wanboot

  • Sistema de arranque WAN

  • Minirraíz de arranque WAN

El programa wanboot-cgi está instalado en el sistema cuando se instala el software versión actual de Solaris. Para habilitar el servidor de arranque WAN para que utilice este programa, cópielo en el directorio cgi-bin de dicho servidor.

ProcedimientoPara copiar el programa wanboot-cgi al servidor de arranque WAN

  1. Conviértase en superusuario o equivalente en el servidor de arranque WAN.

  2. Copie el programa wanboot-cgi en el servidor de arranque WAN.


    # cp /usr/lib/inet/wanboot/wanboot-cgi /root_servidor_WAN/cgi-bin/wanboot-cgi 
    /root_servidor_WAN

    Indica el directorio raíz del software del servidor web en el servidor de arranque WAN

  3. En el servidor de arranque WAN, cambie los permisos del programa CGI a 755.


    # chmod 755 /root_servidor_WAN/cgi-bin/wanboot-cgi 
Continuación de la instalación mediante arranque WAN

Después de copiar el programa CGI de arranque WAN en el servidor de arranque WAN, puede configurar un servidor de registro, si así lo desea. Para obtener instrucciones, consulte (Opcional) Para configurar el servidor de registro de arranque WAN.

Si no desea configurar un servidor de registro independiente, consulte (Opcional) Protección de los datos mediante el uso de HTTPS para obtener instrucciones sobre cómo configurar las funciones de seguridad de una instalación mediante arranque WAN.

Véase también

Para obtener información general acerca del programa wanboot-dgi, consulte ¿Qué es el arranque WAN?.

(Opcional) Para configurar el servidor de registro de arranque WAN

De forma predeterminada, todos los mensajes de registro de arranque WAN se muestran en el sistema cliente. Este comportamiento predeterminado le permite depurar rápidamente cualquier problema de instalación que pudiera surgir.

Si desea almacenar los mensajes de registro de arranque e instalación en un sistema distinto del cliente, deberá configurar un servidor de registro. Si desea utilizar un servidor de registro con HTTPS durante la instalación, deberá configurar el servidor de arranque WAN como servidor de registro.

Para configurar el servidor de registro, siga estos pasos.

  1. Copie la secuencia bootlog-cgi en el directorio de secuencias CGI del servidor de registro.


    # cp /usr/lib/inet/wanboot/bootlog-cgi \   root_servidor_registro/cgi-bin 
    root_servidor_registro/cgi-bin

    Especifica el directorio cgi-bin del directorio de servidor web del servidor de registro.

  2. Cambie los permisos de la secuencia bootlog-cgi a 755.


    # chmod 755 root_servidor_registro/cgi-bin/bootlog-cgi 
  3. Establezca el valor del parámetro boot_logger en el archivo wanboot.conf.

    En el archivo wanboot.conf, especifique el URL de la secuencia de comandos bootlog-cgi en el servidor de registro.

    Para obtener más información acerca de cómo definir los parámetros del archivo wanboot.conf, consulte Para crear el archivo wanboot.conf .

    Durante la instalación, los mensajes de registro de instalación y arranque se guardan en el directorio /tmp del servidor de registro. El archivo de registro se denomina bootlog.nombre_host; nombre_host corresponde al nombre host del cliente.


Ejemplo 11–5 Configuración del servidor de registro para una instalación mediante un arranque WAN sobre HTTPS

En el ejemplo siguiente se configura el servidor de arranque WAN como servidor de registro.


# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Continuación de la instalación mediante arranque WAN

Después de configurar el servidor de registro, puede, si lo desea, configurar la instalación de arranque WAN para que use certificados digitales y claves de seguridad. Consulte (Opcional) Protección de los datos mediante el uso de HTTPS para obtener instrucciones sobre cómo configurar las funciones de seguridad de una instalación mediante arranque WAN.

(Opcional) Protección de los datos mediante el uso de HTTPS

Si desea proteger los datos durante la transferencia del servidor de arranque WAN al cliente, puede utilizar HTTP en la Capa de zócalo protegido (HTTPS). Para usar la configuración de instalación más segura descrita en Configuración de una instalación segura mediante arranque WAN, deberá habilitar el servidor web para que use HTTPS.

Si no desea realizar un arranque WAN seguro, haga caso omiso de los procedimientos que se describen en este apartado. Para continuar con la preparación de una instalación que no sea tan segura, consulte Creación de los archivos para la instalación JumpStart personalizada.

Para habilitar el software del servidor web en el servidor de arranque WAN para utilizar HTTPS deberá efectuar las tareas siguientes.

  • Activar la admisión de la Capa de zócalos seguros (SSL) en el software del servidor web.

    Los procesos para habilitar la admisión de SSL y la autenticación de cliente varían en cada servidor web. En este documento no se describe la forma de habilitar las características de seguridad en su servidor web. Para obtener información sobre éstas consulte la documentación siguiente.

    • Para obtener información sobre cómo activar SSL en los servidores web Sun ONE e iPlanet, consulte la documentación que figura en http://docs.sun.com.

    • Para obtener información sobre cómo activar SSL en el servidor web Apache, consulte Apache Documentation Project en http://httpd.apache.org/docs-project/.

    • Si utiliza un servidor web que no aparece en la lista anterior, consulte la documentación de éste.

  • Instalar certificados digitales en el servidor de arranque WAN.

    Para obtener información sobre el uso de certificados digitales con el arranque WAN, consulte (Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente.

  • Proporcionar al cliente un certificado acreditado.

    Para obtener instrucciones acerca de cómo crear un certificado acreditado, consulte (Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente.

  • Crear una clave de hashing y una clave de encriptación.

    Para obtener instrucciones acerca de cómo crear claves, consulte (Opcional) Para crear claves de hashing y de cifrado.

  • (Opcional) Configurar el software del servidor web para que admita la autenticación del cliente.

    Para obtener información acerca de cómo configurar el servidor web para admitir la autenticación del cliente, consulte la documentación del servidor web.

Este apartado describe el uso de certificados y claves digitales en una instalación mediante arranque WAN.

(Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente

El método de instalación de arranque WAN puede utilizar archivos PKCS#12 para llevar a cabo una instalación en HTTPS con autenticación del servidor o del cliente y el servidor. Para conocer los requisitos y las directrices de uso de los archivos PKCS#12, consulte Requisitos de certificados digitales.

Para utilizar un archivo PKCS#12 en una instalación mediante un arranque WAN deberá efectuar las tareas siguientes.

  • Dividir el archivo PKCS#12 en dos archivos independientes, el de clave privada SSL y el certificado acreditado.

  • Inserte el certificado acreditado en el archivo truststore del cliente que hay en la jerarquía /etc/netboot. El certificado acreditado indica al cliente que confíe en el servidor.

  • (Opcional) Insertar el contenido de la clave privada SSL en el archivo keystore del cliente, en la jerarquía /etc/netboot.

El comando wanbootutil ofrece distintas opciones para efectuar las tareas de la lista anterior.

Si no desea realizar un arranque WAN seguro, haga caso omiso de los procedimientos que se describen en este apartado. Para continuar con la preparación de una instalación que no sea tan segura, consulte Creación de los archivos para la instalación JumpStart personalizada.

Siga estos pasos para crear un certificado acreditado y una clave privada de cliente.

Antes de empezar

Antes de dividir un archivo PKCS#12 cree los subdirectorios apropiados en la jerarquía /etc/netboot del servidor de arranque WAN.

  1. Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.

  2. Extraiga el certificado acreditado del archivo PKCS#12 e insértelo en el archivo truststore del cliente, en la jerarquía /etc/netboot.


    # wanbootutil p12split -i p12cert \
    -t /etc/netboot/ip_red/ID_cliente/truststore
    p12split

    Opción del comando wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.

    -i p12cert

    Indica el nombre del archivo PKCS#12 que se debe dividir.

    -t /etc/netboot/ip_red /ID_cliente/truststore

    Inserta el certificado en el archivo truststore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un Id. definido por el usuario o el Id. de cliente DHCP.

  3. (Opcional) Decida si desea requerir autenticación de cliente.

    • Si no desea requerir autenticación, vaya a (Opcional) Para crear claves de hashing y de cifrado.

    • En caso afirmativo, prosiga con los pasos indicados.

      1. Inserte el certificado de cliente en el archivo certstore del cliente.


        # wanbootutil p12split -i p12cert -c \
        /etc/netboot/ip_red/ID_cliente/certstore -k archivo_claves
        p12split

        Opción del comando wanbootutil que divide un archivo PKCS#12 en archivos independientes de clave privada y de certificado.

        -i p12cert

        Indica el nombre del archivo PKCS#12 que se debe dividir.

        -c /etc/netboot/ip_red/ ID_cliente/certstore

        Inserta el certificado de cliente en el archivo certstore del cliente. ip_red es la dirección IP de la subred del cliente. ID_cliente puede ser un ID definido por el usuario o el ID de cliente DHCP.

        -k archivo_claves

        Especifica el nombre del archivo de claves privadas SSL del cliente que se debe crear a partir de la división del archivo PKCS#12.

      2. Inserte la clave privada en el archivo keystore del cliente.


        # wanbootutil keymgmt -i -k archivo_claves \
        -s /etc/netboot/ip_red/ID_cliente/keystore -o type=rsa
        keymgmt -i

        Inserta una clave privada SSL en el archivo keystore del cliente

        -k archivo_claves

        Especifica el nombre del archivo de claves privadas del cliente creado en el paso anterior

        -s /etc/netboot/ip_red/ ID_cliente/keystore

        Indica la ruta al archivo keystore del cliente

        -o type=rsa

        Especifica el tipo de clave como RSA


Ejemplo 11–6 Creación de un certificado acreditado para la autenticación del servidor

En el siguiente ejemplo, se usa un archivo PKCS#12 para instalar un cliente 010003BA152A42 en una subred 192.168.198.0. Este ejemplo de comando extrae un certificado del archivo PKCS#12 que se llama client.p12 y, a continuación, inserta el contenido de este certificado acreditado en el archivo truststore del cliente.

Antes de ejecutar estas órdenes, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, el rol del usuario del servidor web es nobody.


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

Continuación de la instalación mediante arranque WAN

Después de crear un certificado digital, cree una clave de hashing y una de cifrado. Para obtener instrucciones, consulte (Opcional) Para crear claves de hashing y de cifrado.

Véase también

Para obtener más información acerca de cómo crear certificados acreditados, consulte la página de comando man wanbootutil(1M).

Opcional Para crear claves de hashing y de cifrado

Si desea utilizar HTTPS para transmitir los datos deberá crear una clave de hashing HMAC SHA1 y una clave de encriptación. Si tiene previsto efectuar la instalación sobre una red semiprivada, no es conveniente encriptar los datos de instalación. Puede utilizar una clave de hashing HMAC SHA1 para comprobar la integridad del programa wanboot.

El comando wanbootutil keygen permite generar dichas claves y almacenarlas en el directorio /etc/netboot apropiado.

Si no desea realizar un arranque WAN seguro, haga caso omiso de los procedimientos que se describen en este apartado. Para continuar con la preparación de una instalación que no sea tan segura, consulte Creación de los archivos para la instalación JumpStart personalizada.

Para crear claves de hashing y de cifrado, siga estos pasos.

  1. Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.

  2. Cree la clave HMAC SHA1 maestra.


    # wanbootutil keygen -m 
    keygen -m

    Crea la clave HMAC SHA1 maestra para el servidor de arranque WAN

  3. Cree la clave de hashing HMAC SHA1 para el cliente a partir de la clave maestra.


    # wanbootutil keygen -c -o [net=ip_red,{cid=ID_cliente,}]type=sha1 
    -c

    Crea la clave de hashing del cliente a partir de la clave maestra.

    -o

    Indica que se incluyan opciones adicionales para el comando wanbootutil keygen.

    (Opcional) net=ip_red

    Especifica la dirección IP de la subred del cliente Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.

    (Opcional) cid=ID_cliente

    Especifica el ID del cliente que puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystore. y la podrán todos los clientes mediante un arranque WAN de la subred ip_red.

    type=sha1

    Indica a la utilidad wanbootutil keygen que cree una clave de hashing HMAC SHA1 para el cliente.

  4. Decida si es necesario crear una clave de encriptación para el cliente.

    Deberá crear una clave de encriptación si desea efectuar una instalación mediante un arranque WAN sobre HTTPS. Antes de que el cliente establezca una conexión HTTPS con el servidor de arranque WAN, éste transmite datos e información encriptaciones al cliente. La clave de encriptación permite al cliente desencriptar esta información y utilizarla durante la instalación.

    • Si va a efectuar una instalación mediante un arranque WAN segura sobre HTTPS con autenticación de servidor, prosiga.

    • Si sólo desea comprobar la integridad del programa wanboot, no es necesario que cree la clave de encriptación. Vaya al Paso 6.

  5. Cree una clave de encriptación para el cliente.


    # wanbootutil keygen -c -o [net=ip_red,{cid=ID_cliente,}]type=tipo_clave 
    -c

    Crea la clave de encriptación para el cliente.

    -o

    Indica que se incluyan opciones adicionales para el comando wanbootutil keygen.

    (Opcional) net=ip_red

    Especifica la dirección IP de red del cliente. Si no utiliza la opción net, la clave se almacena en el archivo /etc/netboot/keystore y pueden utilizarla todos los clientes mediante un arranque WAN.

    (Opcional) cid=ID_cliente

    Especifica el ID del cliente que puede ser un ID definido por el usuario o el ID de cliente DHCP. La opción cid debe estar precedida por un valor de net= válido. Si no especifica la opción cid junto con la opción net, la clave se almacenará en el archivo /etc/netboot/ip_red/keystore. y la podrán todos los clientes mediante un arranque WAN de la subred ip_red.

    type=tipo_clave

    Indica a la utilidad wanbootutil keygen que cree una clave de cifrado para el cliente. El valor de tipo_clave puede ser 3des o aes.

  6. Instale las claves en el sistema cliente.

    Para obtener instrucciones sobre cómo instalar claves en el cliente, consulte Instalación de claves en el cliente.


Ejemplo 11–7 Creación de las claves necesarias para una instalación mediante un arranque WAN sobre HTTPS

En el ejemplo siguiente se crea una clave maestra HMAC SHA1 para el servidor de arranque WAN. Este ejemplo también crea una clave de hashing HMAC SHA1 y una de cifrado 3DES para el cliente 010003BA152A42 en la subred 192.168.198.0.

Antes de ejecutar estas órdenes, debe en primer lugar asumir la misma función que el usuario del servidor web. En este ejemplo, el rol del usuario del servidor web es nobody.


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Continuación de la instalación mediante arranque WAN

Después de crear una clave de hashing y de cifrado, debe crear los archivos de instalación. Para obtener instrucciones, consulte Creación de los archivos para la instalación JumpStart personalizada.

Véase también

Para obtener información general sobre las claves de hashing y de cifrado, consulte Protección de datos durante una instalación mediante el Arranque WAN .

Para obtener más información acerca de cómo crear claves de hashing y de cifrado, consulte la página de comando man wanbootutil(1M).

Creación de los archivos para la instalación JumpStart personalizada

El arranque WAN efectúa una instalación JumpStart personalizada para instalar un contenedor Solaris Flash en el cliente. El método de instalación JumpStart personalizado es una interfaz de línea de comandos que permite instalar automáticamente varios sistemas, de acuerdo con unos perfiles que el usuario puede crear y que definen requisitos específicos de instalación de software. También es posible incorporar secuencias de shell que incluyan tareas de pre y postinstalación. Puede elegir qué perfil y secuencias usar para la instalación o la modernización. El método de instalación JumpStart personalizado instala o moderniza el sistema, de acuerdo con los perfiles y secuencias que seleccione. También puede usar un archivo sysidcfg para especificar información de configuración y conseguir que la instalación JumpStart personalizada se realice sin intervención manual alguna.

Para preparar los archivos JumpStart personalizados para una instalación mediante un arranque WAN, efectúe las tareas siguientes.

En lo que concierne al método de instalación JumpStart, consulte el Capítulo 2, JumpStart personalizada (información general) de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas.

ProcedimientoPara crear el contenedor Solaris Flash

La función de instalación de Solaris Flash le permite usar una instalación de referencia única de Solaris SO en un sistema, que recibe el nombre de sistema maestro. A continuación se puede crear un contenedor Solaris Flash, que es una réplica del sistema maestro y que puede instalar en otros sistemas de la red, para crear así sistemas clónicos.

Este apartado describe cómo se crea un contenedor Solaris Flash.

Antes de empezar
  1. Arranque el sistema maestro.

    Ejecute el sistema maestro en el estado más inactivo posible. Si es posible, ejecútelo en modo monousuario. Si no es posible, cierre todas las aplicaciones que desee agregar al contenedor, así como aquellas que precisen gran cantidad de recursos del sistema operativo.

  2. Para crear el contenedor, use el comando flarcreate.


    # flarcreate -n nombre [parámetros_opcionales]  root_documentos/flash/nombre_archivo 
    nombre

    El nombre asignado al contenedor. El nombre que especifique es el valor de la palabra clave content_name.

    parámetros_opcionales

    Puede utilizar diversas opciones en el comando flarcreate para personalizar el contenedor Solaris Flash. Para obtener descripciones detalladas de estas opciones, consulte el Capítulo 5, Solaris Flash (referencia) de Guía de instalación de Solaris 10 8/07: contenedores Flash de Solaris (creación e instalación).

    root_documentos/flash

    La ruta al subdirectorio Solaris Flash del directorio raíz de documentos del servidor de instalación.

    nombre_archivo

    El nombre de archivo del contenedor.

    Para ahorrar espacio en disco, es conveniente utilizar la opción -c del comando flarcreate para comprimir el contenedor. Sin embargo, el hecho de que el contenedor esté comprimido puede afectar al rendimiento de la instalación mediante un arranque WAN. Para obtener más información sobre cómo crear un contenedor comprimido, consulte la página de comando man flarcreate(1M).

    • Si la creación del contenedor resulta satisfactoria, el comando flarcreate devuelve el código de salida 0.

    • En caso contrario, devuelve un código de salida distinto de cero.


Ejemplo 11–8 Creación de un contenedor Solaris Flash para una instalación mediante arranque WAN

En este ejemplo, se crea el contenedor Solaris Flash clonando el sistema del servidor de arranque WAN con el nombre de sistema wanserver. Este archivo se denomina sol_10_sparc y se copia exactamente desde el sistema maestro; es decir, duplica éste de forma exacta. El archivo se almacena en sol_10_sparc.flar. El contenedor se guarda en el subdirectorio flash/archives del directorio raíz de documentos del servidor de arranque WAN.


wanserver# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Continuación de la instalación mediante arranque WAN

Después de crear el contenedor Solaris Flash, preconfigure la información de cliente en el archivo sysidcfg. Para obtener instrucciones, consulte Para crear el archivo sysidcfg .

Véase también

Para obtener información detallada sobre cómo crear un contenedor Solaris Flash, consulte el Capítulo 3, Creación de contenedores Solaris Flash (tareas) de Guía de instalación de Solaris 10 8/07: contenedores Flash de Solaris (creación e instalación).

Para obtener más información acerca del comando flarcreate, consulte la página de comando man flarcreate(1M).

Para crear el archivo sysidcfg

Puede especificar un conjunto de palabras clave en el archivo sysidcfg para preconfigurar un sistema.

Para crear el archivo sysidcfg, siga estos pasos.

Antes de empezar

Crear el contenedor Solaris Flash. Consulte Para crear el contenedor Solaris Flash para obtener instrucciones detalladas.

  1. Cree un archivo denominado sysidcfg en el servidor de instalación mediante un editor de texto.

  2. Escriba las palabras clave sysidcfg que desee.

    Para obtener instrucciones detalladas acerca de la palabra clave sysidcfg, consulte Palabras clave del archivo sysidcfg.

  3. Guarde el archivo sysidcfg en una ubicación accesible para el servidor de arranque WAN.

    Guarde el archivo en una de las ubicaciones siguientes.

    • Si el servidor de arranque WAN y el servidor de instalación se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio root de documentos del servidor de arranque WAN.

    • Si el servidor de arranque WAN y el servidor de instalación no están en la misma máquina, guarde este archivo en el subdirectorio flash del subdirectorio root de documentos del servidor de instalación.


Ejemplo 11–9 Archivo sysidcfg para instalación mediante un arranque WAN

A continuación se muestra un ejemplo de un archivo sysidcfg para un sistema SPARC. El nombre del sistema, la dirección IP y la máscara de red del sistema se han preconfigurado mediante la edición del servicio de nombres.

network_interface=primary {hostname=wanclient
default_route=192.168.198.1
ip_address=192.168.198.210
netmask=255.255.255.0
protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
domain_name=mind.over.example.com
}
security_policy=none

Continuación de la instalación mediante arranque WAN

Después de crear el archivo sysidcfg, cree un perfil JumpStart personalizado para el cliente. Para obtener instrucciones, consulte Para crear un perfil.

Véase también

Para obtener información más detallada sobre las palabras clave y los valores de sysidcfg, consulte Preconfiguración con el archivo sysidcfg .

Para crear un perfil

Un perfil es un archivo de texto que da instrucciones al programa JumpStart personalizado acerca de cómo instalar el software Solaris en un sistema. Un perfil define elementos de la instalación, como el grupo de software que se va a instalar.

Para obtener información detallada sobre cómo crear perfiles, consulte Creación de un perfil de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas.

Para crear el perfil, siga estos pasos.

Antes de empezar

Cree el archivo sysidcfg para el cliente. Consulte Para crear el archivo sysidcfg para obtener instrucciones detalladas.

  1. Cree un archivo de texto en el servidor de instalación. Asigne al archivo un nombre descriptivo.

    El nombre del perfil debe reflejar el uso que se le va a dar al perfil para instalar el software Solaris en un sistema. Por ejemplo, puede asignar los siguientes nombres a los perfiles: basic_install, eng_profile o user_profile.

  2. Agregue al perfil palabras clave y valores de perfil.

    Para obtener una lista de valores y palabras clave de perfiles, consulte Valores y palabras clave de perfiles de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas.

    Las palabras clave y sus valores distinguen entre mayúsculas y minúsculas.

  3. Guarde el perfil en una ubicación accesible para el servidor de arranque WAN.

    Guarde el perfil en una de las ubicaciones siguientes.

    • Si el servidor de arranque WAN y el servidor de instalación se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio root de documentos del servidor de arranque WAN.

    • Si el servidor de arranque WAN y el servidor de instalación no se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio raíz de documentos del servidor de instalación.

  4. Cerciórese de que root tenga el perfil y de que los permisos se fijen en 644.

  5. (Opcional) Pruebe el perfil.

    Comprobación de un perfil de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas contiene información relativa a la comprobación de perfiles.


Ejemplo 11–10 Recuperación de un contenedor Solaris Flash desde un servidor HTTP seguro

En el ejemplo siguiente, el perfil indica que el programa JumpStart personalizado recupera el contenedor Solaris Flash de un servidor HTTP seguro.

# profile keywords         profile values
# ---------------- -------------------
install_type flash_install
archive_location https://192.168.198.2/sol_10_sparc.flar
partitioning explicit
filesys c0t1d0s0 4000 /
filesys c0t1d0s1 512 swap
filesys c0t1d0s7 free /export/home

La siguiente lista describe algunas de las palabras claves y valores del ejemplo.

install_type

El perfil instala un contenedor Solaris Flash en el sistema clónico. Se sobrescriben todos los archivos como en una instalación inicial.

archive_location

El contenedor comprimido Solaris Flash se recupera de un servidor HTTP seguro.

Los segmentos del sistema de archivos están determinados por las palabras clave filesys, valor explicit. El tamaño de root (/) está basado en el del contenedor Solaris Flash. Se fija el tamaño del archivo swap necesario y se instala en c0t1d0s1. /ex

partitioning

port/home se basa en el espacio de disco libre. /export/home se instala en c0t1d0s7.


Continuación de la instalación mediante arranque WAN

Después de crear un perfil, debe crear y validar el archivo rules. Para obtener instrucciones, consulte Para crear el archivo rules.

Véase también

Para obtener más información sobre cómo crear un perfil, consulte Creación de un perfil de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas.

Para obtener más información sobre valores y palabras clave de perfiles, consulte Valores y palabras clave de perfiles de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas.

Para crear el archivo rules

El archivo rules es un archivo de texto que contiene una regla para cada grupo de sistemas en los que se va a instalar Solaris SO. Cada regla diferencia un grupo de sistemas basados en uno o varios atributos de sistema y relaciona, además, un grupo con un perfil. Éste es un archivo de texto que define cómo hay que instalar el software Solaris en cada sistema del grupo. Por ejemplo, la regla siguiente especifica que el programa JumpStart usa la información del perfil basic_prof para realizar instalaciones en cualquier sistema con el grupo de plataformas sun4u.


karch sun4u - basic_prof -

El archivo rules se usa para crear el archivo rules.ok, necesario para las instalaciones JumpStart personalizadas.

Para obtener más información sobre cómo crear un archivo rules, consulte Creación del archivo rules de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas.

Para crear el archivo rules, siga estos pasos.

Antes de empezar

Cree el perfil para el cliente. Consulte Para crear un perfil para obtener instrucciones detalladas.

  1. En el servidor de instalación, cree un archivo de texto denominado rules.

  2. Agregue una regla al archivo rules para cada grupo de sistema que desee instalar.

    Para obtener información detallada sobre cómo crear un archivo rules, consulte Creación del archivo rules de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas.

  3. Guarde el archivo rules en el servidor de instalación.

  4. Valide el archivo rules.


    $ ./check -p ruta -r nombre_archivo 
    -p ruta

    Valida el archivo rules con la secuencia de comandos check desde la imagen del software de versión actual de Solaris en lugar de la secuencia check del sistema que se esté usando. ruta es la imagen en un disco local o un DVD de Solaris o CD Software de Solaris - 1 montado.

    Use esta opción para ejecutar la versión más reciente de check si su sistema cuenta con una versión anterior de Solaris SO.

    -r nombre_archivo

    Especifica un archivo de reglas diferente del denominado rules. Con esta opción se puede probar la validez de una regla antes de integrarla en el archivo rules.

    A medida que se ejecuta, la secuencia check va informando sobre la validez del archivo rules y cada perfil. Si no se encuentran errores, la secuencia emite el siguiente mensaje: The custom JumpStart configuration is ok. La secuencia check crea el archivo rules.ok.

  5. Guarde el archivo rules.ok en una ubicación accesible para el servidor de arranque WAN.

    Guarde el archivo en una de las ubicaciones siguientes.

    • Si el servidor de arranque WAN y el servidor de instalación se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio root de documentos del servidor de arranque WAN.

    • Si el servidor de arranque WAN y el servidor de instalación no se encuentran alojados en la misma máquina, guarde este archivo en el subdirectorio flash del directorio raíz de documentos del servidor de instalación.

  6. Asegúrese de que root sea el propietario del archivo rules y de que los permisos estén establecidos en 644.


Ejemplo 11–11 Creación y validación del archivo rules

Los programas JumpStart personalizados utilizan el archivo rules para seleccionar el perfil de instalación correcto para el sistema wanclient-1. Cree un archivo de texto y denomínelo rules. A continuación inserte en éste palabras clave y valores.

La dirección IP del sistema cliente es 192.168.198.210. La máscara de red es 255.255.255.0. Use la palabra clave de regla network para especificar el perfil que los programas JumpStart personalizados deben usar para instalar el cliente.


network 192.168.198.0 - wanclient_prof - 

Este archivo rules indica a los programas JumpStart personalizados que utilicen wanclient_prof para instalar el software versión actual de Solaris en el cliente.

Asigne a este archivo de reglas el nombre wanclient_rule.

Después de crear el perfil y el archivo rules, ejecute la secuencia check para comprobar que los archivos sean válidos.


wanserver# ./check -r wanclient_rule 

Si la secuencia check no encuentra ningún error, crea el archivo rules.ok.

Guarde el archivo rules.ok en el directorio /opt/apache/htdocs/flash/.


Continuación de la instalación mediante arranque WAN

Después de crear el archivo rules.ok puede, si lo desea, configurar secuencias de inicio y de fin para la instalación. Para obtener instrucciones, consulte (Opcional) Creación de secuencias de inicio y de fin.

Si no desea configurar secuencias de inicio y fin, consulte Creación de los archivos de configuración para continuar con la instalación mediante arranque WAN.

Véase también

Para obtener más información sobre cómo crear un archivo rules, consulte Creación del archivo rules de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas.

Para obtener más información sobre valores y palabras clave de archivos rules, consulte Valores y palabras clave de reglas de Guía de instalación de Solaris 10 8/07: instalaciones avanzadas y JumpStart personalizadas.

(Opcional) Creación de secuencias de inicio y de fin

Las secuencias de inicio y de fin son secuencias del shell Bourne definidas por el usuario que se especifican en el archivo rules. Una secuencia de comandos de inicio realiza tareas antes de instalar el software Solaris en un sistema. Una secuencia de comandos de finalización efectúa tareas una vez instalado el software Solaris, pero antes de que se reinicie el sistema. Estas secuencias se pueden utilizar solamente cuando se usa el programa JumpStart personalizado para la instalación de Solaris.

Se pueden utilizar secuencias de inicio para crear perfiles derivados. Las secuencias de fin permiten efectuar diversas tareas posteriores a la instalación, como agregar archivos, paquetes, modificaciones o software adicional.

Deberá almacenar las secuencias de inicio y de fin en el mismo directorio del servidor de instalación que los archivos sysidcfg, rules.ok y de perfil.

Para continuar con la preparación de la instalación mediante arranque WAN, consulte Creación de los archivos de configuración.

Creación de los archivos de configuración

El arranque WAN utiliza los archivos siguientes para especificar la ubicación de los datos y archivos necesarios para una instalación mediante un arranque WAN.

  • Archivo de configuración del sistema (system.conf)

  • Archivo wanboot.conf

En esta sección se describe cómo crear y almacenar estos dos archivos.

Para crear el archivo de configuración de sistema

En el archivo de configuración del sistema se pueden indicar los siguientes archivos a los programas de instalación mediante un arranque WAN.

  • Archivo sysidcfg

  • Archivo rules.ok

  • Perfil de JumpStart personalizado

El arranque WAN sigue los punteros contenidos en el archivo de configuración del sistema para instalar y configurar el cliente.

El archivo de configuración del sistema es un archivo de texto sin formato, y debe seguir el modelo siguiente.


configuración=valor 

Para utilizar un archivo de configuración del sistema para indicar a los programas de instalación mediante un arranque WAN la ubicación de los archivos sysidcfg, rules.ok y de perfil, siga estos pasos.

Antes de empezar

Antes de comenzar a crear el archivo de configuración de sistema, debe crear los archivos de instalación para la instalación mediante arranque WAN. Consulte Creación de los archivos para la instalación JumpStart personalizada para obtener instrucciones detalladas.

  1. Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.

  2. Cree un archivo de texto. Asigne al archivo un nombre descriptivo, por ejemplo sys-conf.s10–sparc.

  3. Agregue las entradas siguientes al archivo de configuración del sistema.

    SsysidCF=URL_archivo_sysidcfg

    Este parámetro apunta al directorio flash del servidor de instalación que contiene el archivo sysidcfg. Asegúrese de que esta dirección URL coincide con la ruta al archivo sysidcfg que creó en Para crear el archivo sysidcfg .

    En el caso de instalaciones WAN que utilicen HTTPS, establezca el valor en una dirección URL HTTPS válida.

    SjumpsCF=URL_archivos_jumpstart

    Esta configuración señala al directorio Solaris Flash en el servidor de instalación que contiene el archivo rules.ok, el archivo del perfil y las secuencias de comandos de inicio y fin. Asegúrese de que esta dirección URL coincida con la ruta a los archivos JumpStart personalizados que ha creado en Para crear un perfil y Para crear el archivo rules.

    Para instalaciones mediante un arranque WAN sobre HTTPS, establezca como valor una URL HTTPS válida.

  4. Guarde el archivo en un directorio accesible para el servidor de arranque WAN.

    Para facilitar la administración, es conveniente guardar el archivo en el directorio cliente apropiado del directorio /etc/netboot del servidor de arranque WAN.

  5. Cambie los permisos del archivo de configuración del sistema a 600.


    # chmod 600 /ruta/archivo_config_sistema 
    ruta

    Indica la ruta al directorio que contiene el archivo de configuración del sistema.

    archivo_config_sistema

    Especifica el nombre del archivo de configuración del sistema.


Ejemplo 11–12 Archivo de configuración del sistema para una instalación mediante un arranque WAN sobre HTTPS

En el ejemplo siguiente, los programas de arranque WAN comprueban el archivo sysidcfg y los archivos de JumpStart personalizado del servidor web, https://www.example.com, en el puerto 1234. El servidor web usa HTTP seguro para cifrar datos y archivos durante la instalación.

Los archivos sysidcfg y de JumpStart personalizados se ubican en el subdirectorio flash del directorio root de documentos /opt/apache/htdocs.

SsysidCF=https://www.example.com:1234/flash
SjumpsCF=https://www.example.com:1234/flash


Ejemplo Archivo de configuración del sistema para una instalación mediante un arranque WAN no segura

En el ejemplo siguiente, los programas de instalación mediante arranque WAN buscan los archivos sysidcfg y los archivos de JumpStart personalizado en el servidor web http://www.example.com. El servidor web utiliza HTTP, por lo que los datos y los archivos no están protegidos durante la instalación.

El archivo sysidcfg y los archivos JumpStart personalizados se encuentran en el subdirectorio flash del directorio root de documentos opt/apache/htdocs.

SsysidCF=http://www.example.com/flash
SjumpsCF=http://www.example.com/flash

Continuación de la instalación mediante arranque WAN

Después de crear el archivo de configuración del sistema, cree el archivo wanboot.conf. Para obtener instrucciones, consulte Para crear el archivo wanboot.conf .

Para crear el archivo wanboot.conf

El archivo wanboot.conf es un archivo de texto sin formato que los programas de arranque WAN utilizan para efectuar una instalación mediante un arranque WAN. El programa wanboot-cgi, el sistema de archivos de arranque y la miniroot de arranque WAN utilizan la información contenida en el archivo wanboot.conf para instalar el equipo cliente.

Guarde el archivo wanboot.conf en el subdirectorio cliente apropiado de la jerarquía /etc/netboot del servidor de arranque WAN. Para obtener información sobre cómo definir el ámbito de la instalación mediante arranque WAN con la jerarquía /etc/netboot, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.

Si el servidor de arranque WAN ejecuta la versión actual de Solaris, en /etc/netboot/wanboot.conf.sample se ubica un archivo wanboot.conf de muestra. Puede utilizar este ejemplo como plantilla para su instalación mediante un arranque WAN.

Debe incluir la siguiente información en el archivo wanboot.conf.

Tipo de información

Descripción

Información sobre el servidor de arranque WAN

  • Ruta al programa wanboot en el servidor de arranque WAN

  • URL del programa wanboot-cgi en el servidor de arranque WAN

Información sobre el servidor de instalación

  • Ruta a la minirraíz de arranque WAN en el servidor de instalación

  • Ruta al archivo de configuración del sistema en el servidor de arranque WAN que especifique la ubicación de los archivos sysidcfg y los archivos JumpStart personalizados

Información de seguridad

  • Tipo de firma del sistema de archivos de arranque WAN o de la minirraíz de arranque WAN.

  • Tipo de encriptación del sistema de archivos de arranque WAN

  • ¿Debe autenticarse el servidor durante la instalación mediante un arranque WAN?

  • ¿Debe autenticarse el cliente durante la instalación mediante un arranque WAN?

información opcional

  • Sistemas adicionales que el cliente puede tener que determinar durante una instalación mediante un arranque WAN

  • URL de la secuencia bootlog-cgi en el servidor de registro

Esta información se especifica insertando parámetros y sus valores asociados con el formato siguiente.


parámetro=valor 

Para obtener información detallada acerca de los parámetros de archivo wanboot.conf y la sintaxis, consulte Parámetros y sintaxis del archivo wanboot.conf.

Para crear el archivo wanboot.conf, siga estos pasos.

  1. Adquiera en el servidor de arranque WAN el mismo rol de usuario que el usuario del servidor web.

  2. Cree el archivo de texto wanboot.conf.

    Puede crear un archivo de texto nuevo denominado wanboot.conf o utilizar el archivo de ejemplo ubicado en /etc/netboot/wanboot.conf.sample. Si utiliza el archivo de ejemplo, cambie el nombre del archivo wanboot.conf después de agregar los parámetros.

  3. Escriba los parámetros y valores de wanboot.conf necesarios para la instalación.

    Para obtener descripciones detalladas de los parámetros y valores de wanboot.conf, consulte Parámetros y sintaxis del archivo wanboot.conf.

  4. Guarde el archivo wanboot.conf en el subdirectorio apropiado de la jerarquía /etc/netboot.

    Para obtener información acerca de cómo crear la jerarquía /etc/netboot, consulte Creación de la jerarquía /etc/netboot en el servidor de arranque WAN.

  5. Valide el archivo wanboot.conf .


    # bootconfchk /etc/netboot/ruta_a_wanboot.conf/wanboot.conf 
    ruta_a_wanboot.conf

    Indica la ruta al archivo wanboot.conf del cliente en el servidor de arranque WAN

    • Si el archivo wanboot.conf es estructuralmente válido, el comando bootconfchk devuelve el código de salida 0.

    • Si el archivo wanboot.conf no es válido, el comando bootconfchk devuelve un código de salida distinto de cero.

  6. Cambie a 600 los permisos del archivo wanboot.conf.


    # chmod 600 /etc/netboot/ruta_a_wanboot.conf/wanboot.conf 

Ejemplo 11–14 Archivo wanboot.conf para una instalación mediante un arranque WAN sobre HTTPS

El siguiente ejemplo de archivo wanboot.conf incluye información de configuración para una instalación mediante un arranque WAN que utilice HTTP seguro. El archivo wanboot.conf indica también que en esta instalación se utiliza una clave de encriptación 3DES.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Este archivo wanboot.conf especifica la configuración siguiente.

boot_file=/wanboot/wanboot.s10_sparc

El programa de arranque de segundo nivel se llama wanboot.s10_sparc. Este programa se encuentra en el directorio /wanboot del directorio root de documentos del servidor de arranque WAN.

root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi

La ubicación del programa wanboot-cgi en el servidor de arranque WAN es https://www.example.com:1234/cgi-bin/wanboot-cgi. La parte https del URL indica que esta instalación mediante un arranque WAN utiliza HTTP seguro.

root_file=/miniroot/miniroot.s10_sparc

La miniroot de arranque WAN se denomina miniroot.s10_sparc. Esta miniroot se encuentra en el directorio /miniroot del directorio root de documentos del servidor de arranque WAN.

signature_type=sha1

El programa wanboot.s10_sparc y el sistema de archivos de arranque WAN están firmados con una clave de hashing HMAC SHA1.

encryption_type=3des

El programa wanboot.s10_sparc y el sistema de archivos de arranque están encriptados con una clave 3DES.

server_authentication=yes

El servidor se autentica durante la instalación.

client_authentication=no

El cliente no se autentica durante la instalación.

resolve_hosts=

No se necesitan nombres de sistema adicionales para efectuar la instalación en WAN. Todos los archivos e información necesarios se encuentran en el directorio root de documentos del servidor de arranque WAN.

boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi

(Opcional) Los mensajes de registro de arranque y de instalación se graban en el servidor de arranque WAN mediante HTTP seguro.

Para obtener instrucciones sobre cómo configurar un servidor de registro para la instalación mediante arranque WAN, consulte (Opcional) Para configurar el servidor de registro de arranque WAN.

system_conf=sys-conf.s10–sparc

El archivo de configuración del sistema que contiene las ubicaciones de los archivos sysidcfg y de JumpStart está en un subdirectorio de la jerarquía /etc/netboot. El archivo de configuración de sistema se llama sys-conf.s10–sparc.



Ejemplo 11–15 Archivo wanboot.conf para una instalación mediante un arranque WAN no segura

El siguiente ejemplo de archivo wanboot.conf incluye información de configuración para una instalación mediante un arranque WAN menos segura que utiliza HTTP. Este archivo wanboot.conf indica también que en esta instalación no se utilizan claves de encriptación ni de hashing.

boot_file=/wanboot/wanboot.s10_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Este archivo wanboot.conf especifica la configuración siguiente.

boot_file=/wanboot/wanboot.s10_sparc

El programa de arranque de segundo nivel se llama wanboot.s10_sparc. Este programa se encuentra en el directorio /wanboot del directorio root de documentos del servidor de arranque WAN.

root_server=http://www.example.com/cgi-bin/wanboot-cgi

La ubicación del programa wanboot-cgi en el servidor de arranque WAN es http://www.example.com/cgi-bin/wanboot-cgi. Esta instalación no utiliza HTTP seguro.

root_file=/miniroot/miniroot.s10_sparc

La miniroot de arranque WAN se denomina miniroot.s10_sparc. se encuentra en el directorio /miniroot del directorio raíz de documentos del servidor de arranque WAN.

signature_type=

El programa wanboot.s10_sparc y el sistema de archivos de arranque WAN no están firmados con una clave de hashing HMAC SHA1.

encryption_type=

El programa wanboot.s10_sparc y el sistema de archivos de arranque no están encriptados.

server_authentication=no

El servidor no se autentica mediante claves o certificados durante la instalación.

client_authentication=no

El cliente no se autentica mediante claves o certificados durante la instalación.

resolve_hosts=

No se necesitan nombres de sistema adicionales para efectuar la instalación. Todos los archivos e información necesarios se encuentran en el directorio root de documentos del servidor de arranque WAN.

boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

(Opcional) Los mensajes de arranque y de registro de la instalación se graban en el servidor de arranque WAN.

Para obtener instrucciones sobre cómo configurar un servidor de registro para la instalación mediante arranque WAN, consulte (Opcional) Para configurar el servidor de registro de arranque WAN.

system_conf=sys-conf.s10–sparc

The system configuration file that contains the locations of the sysidcfg and JumpStart files is named sys-conf.s10–sparc . Este archivo se encuentra en el subdirectorio cliente apropiado de la jerarquía /etc/netboot.


Continuación de la instalación mediante arranque WAN

Si lo desea, después de crear el archivo wanboot.conf, puede configurar un servidor DHCP para dar soporte al arranque WAN. Para obtener instrucciones, consulte (Opcional) Suministro de información de configuración mediante un servidor DHCP.

Si no desea utilizar un servidor DHCP en la instalación mediante arranque WAN, consulte Para comprobar el alias de dispositivo net en la OBP del cliente para continuar con la instalación mediante arranque WAN.

Véase también

Para obtener descripciones detalladas de los parámetros y los valores de wanboot.conf, consulte Parámetros y sintaxis del archivo wanboot.conf y la página de comando man wanboot.conf(4).

(Opcional) Suministro de información de configuración mediante un servidor DHCP

Si utiliza un servidor DHCP en su red, puede configurarlo para que proporcione la información siguiente.

  • Dirección IP del servidor de proxy

  • Ubicación del programa wanboot-cgi

Puede usar las siguientes opciones de proveedor DHCP en su instalación mediante arranque WAN.

SHTTPproxy

Especifica la dirección IP del servidor proxy de la red

SbootURI

Indica el URL del programa wanboot-cgi en el servidor de arranque WAN