kickstart apenas por HTTPS

5

Background: Iniciando o RHEL7 no powerppc (IBM pSeries)

Então eu comecei sem supervisão por anos, e tive que usar yaboot, NFS, etc. para o kickstart no passado. Tentando modernizar agora. Eu tenho um kickstart de trabalho usando apenas HTTP (Apache) (e TFTP). Meu problema está em tentar fazê-lo https somente . Não tenho certeza se isso é possível, mas seria de se esperar, já que você pode especificar https.

Se eu tiver a resposta do servidor da Web que funcionava anteriormente para HTTP e HTTPS (mesmo htdocs) e o seguinte grub.conf , funcionará bem (IP e FQDN estão mascarados obviamente):

menuentry 'Install RHEL 7 via Kickstart...' {
    set root=http,WEBIP
    linux https://WEBFQDN/software/rhel/ppc/ppc64/vmlinuz ro ip=dhcp ks=https://WEBFQDN/kickstart/rhel7-power.ks
    echo 'Loading initial ramdisk ...'
    inst.repo=https://WEBFQDN/software/rhel/
    initrd https://WEBFQDN/software/rhel/ppc/ppc64/initrd.img
}

No entanto um tcpdump revela que ainda está usando HTTP para muito tráfego. E, de fato, se eu reconfigurar o servidor da web para RedirectMatch (.*) https://WEBFQDN/$1 (redirecionar todos os http para https, não servir para http), recebo o seguinte erro:

error: invalid arch-independent ELF magic.

Se eu remover o RedirectMatch (e voltar a permitir o http em vez de um redirecionamento), ele funcionará bem novamente.

Então, eu poderia viver com http, mas o ideal é que o servidor web seja apenas https (porque ele abriga muitos dados confidenciais além do kickstart). Isso é possível? Eu estou sentindo falta de uma bandeira de chave? Eu tentei root=https,... , mas eu tenho um " arquivo não encontrado " (opção de rede sem suporte, eu acho).

Obrigado por todos os ponteiros!

    
por zenfridge 24.09.2016 / 01:14

1 resposta

0

Então, recebi uma resposta do backline da Red Hat sobre isso. Eles indicam que o grub não suporta HTTPS, apesar de alguns documentos indicarem que você pode usar HTTPS. E, de fato, você PODE usar o HTTPS na configuração ... mas ele ainda vai reverter e usar o HTTP. O Grub não tem certs ou bibliotecas SSL carregadas, de acordo com eles. Portanto, nenhum suporte HTTPS nesse momento.

A resposta então, para a pergunta, e testada: O grub.conf está configurado para usar o TFTP para obter os arquivos vmlinuz e initrd.img (localmente), ao invés de HTTPS (HTTP). ks = https: // ... e inst.repo = https: // ... linhas PODE ser HTTPS porque assim que o kernel é carregado, ele tem SSL e pode obter o arquivo de kickstart e os arquivos repo via HTTPS. Dessa forma, nenhum HTTP é usado.

    
por 19.10.2016 / 22:07