wiki:DocumentacionUsuario1.1.1/equiposUEFI

Gestión de equipo UEFI

Se ha tratado que la gestión de equipos uefi afecte lo mínimo posible al uso de OpenGnsys, de forma que el usuario no modifique su modo de trabajo.

Características y limitaciones de la versión 1.1.1:

  • Los equipos UEFI se pueden arrancar por PXE permitiendo varias opciones: iniciar el ogLive, el sistema operativo de una partición o un cargador de arranque como pueda ser rEFInd o grub2.
  • Si tenemos activado el arranque seguro para usar rEFInd hemos de configurarlo como se explica en el último apartado. En algunos tipos de harware no se puede utilizar.
  • Windows y Linux se podrán arrancar de igual forma que en equipos BIOS: desde PXE llamando al cargador de arranque de la partición o el disco duro, desde el comando iniciar sesión o desde el menú de inicio del equipo.
  • Se pueden crear imágenes y restaurar sistemas operativos Windows y Ubuntu. No se han hecho pruebas con otras distribuciones de linux.
  • Se pueden tener equipos con dos Windows y dos Ubuntu simultaneamente.

Cambios principales BIOS/UEFI

Sistema de arranque MBR/NVRAM

En el proceso de arranque para BIOS la información del sistema operativo que se debía arrancar residía el los primeros sectores del disco, llamados Master Boot Record (MBR). Está información podía dar paso a un sistema operativo directamente, como por ejemplo Windows, o mostrar un menú de opciones para que eligiera el usuario, como por ejemplo grub.

En los equipos UEFI está información se guarda en la placa base del equipo en una memoria no volatil (NVRAM).

Las principal diferencia es que los sistemas operativos pueden modificar la NVRAM. Normalmente al instalarlos van a crear una entrada y se van a situar el la primera opción de arranque. Por lo que cuando instalemos en el equipo modelo un sistema operativo UEFI puede el siguiente arranque no lo haga por red y tengamos que entrar en la configuración del firmware para poner el orden de arranque correcto.

Por otro lado, cuando incluíamos un equipo por primera vez en OpenGnsys, si no configurábamos el arranque por red, por defecto arrancaba desde el MBR. Para equipos UEFI al no existir esta posibilidad es necesario definir de nuevo el comportamiento, que veremos más adelante.

Arranque seguro

El arranque seguro de UEFI es un mecanismo de verificación para garantizar que el firmware confía en el código que ejecuta. Cada binario cargado para arrancar es validado contra claves y certificados situados en él.

Todos los sistemas operativos que ejecutamos en un equipo con arranque seguro activado tendrán que estar correctamente firmados. En concreto, el ogLive tendrá que ser de una versión igual o posterior al 4 de septiembre de este año.

Está versión de OpenGnsys permite utilizar Windows y Ubuntu con secureBoot activado.

Tabla de Particiones GPT

Las tablas de particiones MSDOS y GPT definen la forma en que están situadas las particiones en nuestro disco duro.

MSDOS puede contener un máximo de cuatro particiones primarias, donde el tamaño máximo de cada partición es 2 TB.

Para GPT son los sistemas operativos los que establecen el límite; Windows determina que el número máximo de particiones es 128 y cada partición puede tener un máximo de 18 exabytes (~18,8 millones de terabytes) de espacio.

En sistemas UEFI la tabla de particiones es obligatoriamente GPT.

Primera partición: EFI System Partitions (ESP)

Para equipos UEFI existe una partición especial que alberga los cargadores de arranque de los distintos sistemas operativos y se denomina partición de sistema EFI (ESP).

OpenGnsys obliga que al particionar con tabla de particiones GPT la partición EFI se sitúe en la primera partición. Los sistemas operativos se situarán a partir de la segunda partición.

Aun así podrá gestionar sistemas (iniciar y clonar) con la partición EFI en otro lugar.

Cuando restauramos un sistema operativo en el equipo modelo guardará su cargador de arranque en un subdirectorio de la partición EFI y el resto del sistema en la partición elegida para su instalación.

Gestor de arranque grub

Grub es un gestor de arranque, compatible con EFI y secureBoot, que permite presentar un menú con los sistemas operativos que están instalados en el equipo para que el usuario decida cuál quiere iniciar.

La configuración normal de un equipo en OpenGnsys es el arranque remoto. En sistemas BIOS en caso de fallo en la red el equipo pasaba a arrancar desde el MBR del disco duro. Para UEFI no tenemos esa posibilidad por lo que utilizaremos grub como segunda opción de arranque.

Siempre que OpenGnsys instale un sistema operativo en un sistema UEFI, en la etapa de postconfiguración también instalará grub.

Gestor de arranque rEFInd

rEFInd es un gestor de arranque gráfico que no es compatible con el secureBoot activado.

En caso de no tener activado el secure boot o ser un equipo que permite configurar en quién confia el secure boot, rEFInd podría tener el mismo papel que hemos descrito para grub.

OpenGnsys ofrece funciones para instalar el rEFInd pero se han de utilizar en una postconfiguración personalizada.

Gestor de arranque remoto

Gestión de arranque avanzado

Cuando un equipo solicita una ip al dhcp esté le dirá que el fichero que tiene que solicitar al tftp (nextfile), según sea BIOS o UEFI será diferente y necesitará un formato del archivo de configuración distinto.

Los archivos de configuración PXE se alojarán en directorios diferentes según el tipo de firmware del equipo. Para un equipo siempre existirán los archivos PXE en cada directorio de forma que aunque cambiemos la configuración del equipo de BIOS a UEFI o viceversa siempre encontrará su configuración.

Pasemos a explicar cada modo de arranque:

  • ogLive: inicia el ogLive en modo usuario buscando primero el ogLive asignado en cache, luego en el servidor. Si no lo encontrará iniciaría el equipo con el ogLive por defecto.
  • ogLiveAdmin: inicia el ogLive en modo administración buscando el ogLive asignado en el servidor y si no lo encontrará con el ogLive por defecto.
  • Sin-designar: Los equipos recien incluidos en OpenGnsys se situarán en esta columna.
    • Para BIOS arranca desde el MBR que contendrá la información del sistema operativo que debe arrancar o un gestor de arranque (Ej: grub).
    • Para UEFI buscará distintos cargadores de arranque y mostrará un menú con los que hayan sido detectados. Los cargadores pueden ser: grub, sistemas operativos restaurados con OpenGnsys en las dos primeras particiones, Windows y Ubuntu.
  • 1hd:
    • Para BIOS arranca desde el MBR igual que el caso anterior.
    • Para UEFI arranca desde el grub con la configuración generada al restaurar con OpenGnsys.
  • 1hd-Xparticion: Busca el sistema operativo de la partición elegida. En el caso de UEFI la partición EFI no puede arrancarse, ya no contiene un sistema operativos sino los cargadores de arranque de las demás particiones.

Particionado

El particionado debe tipo GPT y tener una partición tipo UEFI, dedicada a alojar los cargadores de arranque de los sistema operativos.

El comando particionar está limitado a las particiones MSDOS por lo que tenemos que utilizar el asistente de particionado.

Asistente de particionado

Cuando elegimos el tipo de particiones GPT el asistente nos obliga a que la primera sea tipo EFI y le pone como tamaño inicial 512000 que es el recomendado por algunos sistemas operativos.

Configuración del disco duro

Si miramos la configuración del equipo después del particionado podemos apreciar que la tabla de partciones es de tipo GPT y primera partición es de tipo EFI.

Crear imagen

La creación de imágenes se realiza exactamente igual que en cualquier otro equipo. Sólo hemos de seleccionar la partición del sistema operativo y el nombre de la imagen.

OpenGnsys internamente se encargará de guardar en la partición de sistema la información alojada en la partción EFI que necesite para el posterior despliegue del sistema.

En el caso de Windows guardará el subdirectorio del cargador de arranque y para Linux no necesitará copiar nada.

Comando crear Imagen

Restaurar imagen

La restauración de imágenes también se realiza igual que en cualquier otro equipo, tanto en el comando restaurar imágenes como en el asistente de despliegue.

En la postconfiguración del equipo OpenGnsys situará en la partición EFI los cargadores de arranque.

  • Para Windows devolverá el subdirectorio guardado en la partición de sistema y luego realizará los otros pasos de la postconfiguración.
  • Para Linux la función que instala el Grub se encargará de crear el cargador de arranque en la partición EFI

Para gestionar mejor el inicio de los sistemas, en la partición ESP el nombre del directorio de los cargadores de arranque será “Part-numDisk-numPart”, independientemente de que el sistema sea Windows o Linux.

Para garantizar el arranque del equipo, aunque no hubiera red, en la postconfiguración siempre se instalará grub y se configurará segundo en el orden de arranque, trás el arranque de red. Opcionalmente, para equipos sin secure boot activado se podrá instalar rEFInd.

Si se borrara la partición EFI se perdería el arranque de las particiones de sistema. Para evitar errores el comando Restaurar no permite utilizar está partición. Sin embargo, si fuera necesario se puede utilizar el asistente de despliegue de sistema operativo, que mostrará un aviso pero permitirá realizar la restauración.

Comando restaurar imagen

Inicio de sesión

En esta versión no es posible el arranque directo desde OpenGnsys a un sistemas operativo, será necesario reiniciar primero.

Para equipos UEFI cuando queramos iniciar sesión en un sistema operativo, OpenGnsys buscará su cargador de arranque en la partición ESP y configurará que se utilice en el siguiente arranque. Al reiniciar el equipo se iniciará en el sistema operativo elegido.

El inicio de sesión se realiza igual que en cualquier otro equipo, desde la consola o desde el menú de inicio.

Comando inicio de sesión y página de inicio.

rEFInd con secure Boot

Cuando tenemos el arranque seguro activado, cualquier cargador de arranque que queramos utilizar en nuestro equipo tiene que estar firmado con un certificado que esté inscrito en el firmware. Algunos equipos, según las marcas, permiten inscribir nuevos certificados: sólo en estos podremos usar rEFInd como gestor de arranque.

En la instalación de OpenGnsys se genera un certificado que puede servirnos para este propósito. Cuando la postconfiguración de OpenGnsys se personaliza para instalar rEFInd lo firmará con este certificado.

Para inscribir el certificado en el firmware es nececesario hacerlo manualmente la primera vez que usemos rEFInd, como se explica a continuación:

Una vez instalado refind reiniciamos el equipo, al iniciar el arranque de red damos a escape para que salte a la siguiente opción de arranque. Pasará a rEFInd y nos dirá que falla la verificación del cargador y nos permitirá elegir el certificado en el disco duro y inscribirlo (en inglés enroll).

El certificado está situado en la primera partición del disco en el directorio /EFI/refind/keys/opengnsys.cer. La extension cer nos indica que está en formato DER que es el que necesita el firmware.

Inscribir certificado de OpenGnsys en el firmware

Una vez inscribamos el certificado podremos arrancar refind desde el disco duro, es decir si un estudiante quita el cable o existe un corte de red nos mostrará el menú de arranque.

Para arrancar desde PXE podemos usar una plantilla de ejemplo en /opt/opengnsys/tftpboot/grub/examples/refind moviéndola al directorio /opt/opengnsys/tftpboot/grub/templates.

Last modified 2 weeks ago Last modified on Nov 25, 2019, 1:25:34 PM

Attachments (7)

Download all attachments as: .zip