仅通过HTTPS启动kickstart

Modified on: Fri, 26 Jul 2019 14:40:02 +0800

背景:在powerppc上启动RHEL7(IBM pSeries)

所以我多年来一直无人值守,并且过去不得不使用yaboot,NFS等进行kickstart。现在尝试现代化。我有一个使用HTTP(Apache)的工作kickstart(和TFTP)。我的问题在于尝试执行此操作仅https 。不确定这是否可行,但人们会认为这是因为你可以指定https。

如果我有以前工作的Web服务器答案HTTP和HTTPS(相同的htdocs),以及以下grub.conf,它可以正常工作(显然屏蔽了IP和FQDN):

menuentry 'Install RHEL 7 via Kickstart...' {
    set root=http,WEBIP
    linux https://WEBFQDN/software/rhel/ppc/ppc64/vmlinuz ro ip=dhcp ks=https://WEBFQDN/kickstart/rhel7-power.ks
    echo 'Loading initial ramdisk ...'
    inst.repo=https://WEBFQDN/software/rhel/
    initrd https://WEBFQDN/software/rhel/ppc/ppc64/initrd.img
}

然而 tcpdump显示它仍在使用HTTP进行大量流量。事实上,如果我将Web服务器重新配置为RedirectMatch (.*) https://WEBFQDN/$1(将所有http重定向到https,不要提供http),我会收到以下错误:< / p>

  

错误:与arch无关的ELF魔法无效。

如果我删除RedirectMatch(并返回允许http而不是重定向),它可以再次正常工作。

所以,我可以使用http,但理想情况下,Web服务器只是https(因为它包含许多非kickstart的敏感数据)。这可能吗?我错过了一面钥匙?我尝试了root=https,...,但后来我找到了“找不到文件”(我猜不支持的网络选项)。

感谢您的任何指示!

最佳答案

所以,我确实从Red Hat后台获得了答案。它们表明grub不支持HTTPS,即使某些文档表明您可以使用HTTPS。事实上,您可以在配置中使用HTTPS ...但它仍然会回滚并使用HTTP。据他们说,Grub没有加载证书或SSL库。因此,当时没有HTTPS支持。

然后回答问题并进行测试:grub.conf配置为使用TFTP来获取vmlinuz和initrd.img文件(本地),而不是HTTPS(HTTP)。 ks = https:// ...和inst.repo = https:// ...行CAN是HTTPS,因为一旦内核加载,它就有SSL并且可以获取kickstart文件通过HTTPS的repo文件。这样就不会使用HTTP了。

作者:zenfridge

相关问答

添加新评论