Назад | Перейти на главную страницу

кикстарт только по HTTPS

Предыстория: запуск RHEL7 на powerppc (IBM pSeries)

Так что я много лет работал без присмотра, и в прошлом мне приходилось использовать yaboot, NFS и т.д. для кикстарта. Пытаюсь модернизироваться сейчас. У меня есть рабочий кикстарт, использующий только HTTP (Apache) (и TFTP). Моя проблема заключается в попытке сделать это https только. Не уверен, возможно ли это, но можно было бы подумать, что это будет, поскольку вы можете указать https.

Если у меня есть ранее работающий ответ веб-сервера для HTTP и HTTPS (те же htdocs), и следующие grub.conf, он работает нормально (IP и FQDN явно замаскированы):

menuentry 'Install RHEL 7 via Kickstart...' {
    set root=http,WEBIP
    linux https://WEBFQDN/software/rhel/ppc/ppc64/vmlinuz ro ip=dhcp ks=https://WEBFQDN/kickstart/rhel7-power.ks
    echo 'Loading initial ramdisk ...'
    inst.repo=https://WEBFQDN/software/rhel/
    initrd https://WEBFQDN/software/rhel/ppc/ppc64/initrd.img
}

тем не мение tcpdump показывает, что он все еще использует HTTP для большого трафика. И действительно, если я перенастрою веб-сервер на RedirectMatch (.*) https://WEBFQDN/$1 (перенаправить весь http на https, не обслуживать http), я получаю следующую ошибку:

ошибка: недопустимая магия ELF, независимая от архитектуры.

Если я удалю RedirectMatch (и вернитесь к разрешению http вместо перенаправления), он снова работает нормально.

Итак, я мог бы жить с http, но в идеале веб-сервер - это просто https (потому что на нем хранится много конфиденциальных данных, кроме кикстарта). Это возможно? Мне не хватает ключевого флага? Я попытался root=https,... но потом я получил "файл не найден"(я полагаю, неподдерживаемый сетевой вариант).

Спасибо за любые указатели!

Итак, в конце концов я получил ответ от бэклайна Red Hat по этому поводу. Они указывают, что grub не поддерживает HTTPS, хотя в некоторых документах указано, что вы можете использовать HTTPS. Фактически, вы МОЖЕТЕ использовать HTTPS в конфигурации ... но он все равно откатится и вместо этого будет использовать HTTP. Согласно им, у Grub нет загруженных сертификатов или библиотек SSL. Итак, в то время поддержки HTTPS не было.

Ответ на этот вопрос и протестирован: grub.conf настроен на использование TFTP для получения файлов vmlinuz и initrd.img (локально) вместо HTTPS (HTTP). ks = https: // ... и inst.repo = https: // ... строки ЖЕСТЯНАЯ БАНКА быть HTTPS, потому что после загрузки ядра оно ДЕЙСТВИТЕЛЬНО имеет SSL и может получить файл кикстарта и файлы репо через HTTPS. Таким образом, HTTP не используется.