背景:在powerppc上启动RHEL7(IBM pSeries)
所以我多年来一直无人值守,并且在过去不得不使用yaboot,NFS等进行kickstart.现在尝试现代化.我有一个使用HTTP(Apache)的工作kickstart(和TFTP).我的问题来自尝试只做https.不确定这是否可行,但人们会认为这是因为你可以指定https.
如果我有以前工作的Web服务器答案HTTP和HTTPS(相同的htdocs),以及下面的grub.conf,它工作正常(显然屏蔽了IP和FQDN):
menuentry 'Install RHEL 7 via Kickstart...' {
set root=http,WEBIP
linux https://WEBFQDN/software/rhel/ppc/ppc64/vmlinuz ro ip=dhcp ks=https://WEBFQDN/kickstart/rhel7-power.ks
echo 'Loading initial ramdisk ...'
inst.repo=https://WEBFQDN/software/rhel/
initrd https://WEBFQDN/software/rhel/ppc/ppc64/initrd.img
}
然而,tcpdump显示它仍在使用HTTP进行大量流量.事实上,如果我将Web服务器重新配置为RedirectMatch(.*)https:// WEBFQDN / $1(将所有http重定向到https,不要提供http),我会收到以下错误:
error: invalid arch-independent ELF magic.
如果我删除RedirectMatch(并返回允许http而不是重定向),它再次正常工作.
所以,我可以使用http,但理想情况下,Web服务器只是https(因为它包含很多敏感数据而不是kickstart).这可能吗?我错过了一面钥匙?我试过root = https,…但后来我找到了“找不到文件”(我猜不支持的网络选项).
感谢您的任何指示!
解决方法
所以,我最终从Red Hat的后台获得了答案.它们表明grub不支持HTTPS,即使某些文档表明您可以使用HTTPS.事实上,您可以在配置中使用HTTPS …但它仍然会回滚并使用HTTP.据他们说,Grub没有加载证书或SSL库.所以,那时没有HTTPS支持.
然后回答问题并进行测试:grub.conf配置为使用TFTP来获取vmlinuz和initrd.img文件(本地),而不是HTTPS(HTTP). ks = https:// …和inst.repo = https:// …行可以是HTTPS,因为一旦内核加载,它就有SSL并且可以通过HTTPS获取kickstart文件和repo文件.以这种方式,不使用HTTP.
