认证目标2.03 自动安装选项

Kickstart是Red Hat为自动安装RHEL提供的一个解决方案。我们把安装过程中每一步执行的操作视为一个问题。有了Kickstart，就可以用一个文本文件自动得到这些问题的回答。此外还可以很快地设置相同的系统。因此，Kickstart文件可以用于Linux系统的快速部署和发布。

此外，安装过程正好是一个更好学习RHEL 7的机会，不仅学习有关引导媒介的知识，还可以学习在安装完成后有关分区、逻辑卷的配置。由于虚拟机的出现，在Kickstart的帮助下，在一个新建的虚拟机上实现自动安装不再是一件难事。

本节所提到的步骤假定能够连接到一个FTP服务器，该服务器上保存了在第1章的实验题2中创建和配置的RHEL 7安装文件。

2.3.1 Kickstart的概念

在执行Kickstart安装时，遇到的一个问题是，它并没有包含基本安装完成后的用户自定义设置。尽管可以把这些参数包括在安装后的脚本中，但是这已超出RHCSA考试的范围。

有两个方法可以创建所需要的Kickstart配置文件：

● 从root用户的主目录/root下的anaconda-ks.cfg文件开始。

● 利用system-config-kickstart命令启动图形模式的Kickstart Configurator（Kickstart配置程序）。

第一个方法允许我们使用由Anaconda为本地系统创建的Kickstart模板文件，即保存在/root目录中的anaconda-ks.cfg。第二个方法（即Kickstart Configurator）将在本章后面详细讨论。

为不同系统定制anaconda-ks.cfg文件相对比较容易。后面我们就要介绍如何为不同的硬盘空间大小、主机名字和IP地址以及其他参数定制这个文件的内容。

考试提示

最好的办法是经常浏览https://bugzilla.redhat.com上的内容，及时了解这些关键程序存在的bug，这对于Kickstart尤为重要。例如，bug 1121008说明在Anaconda 19.31.83-1之前，基于NFS的Kickstart安装在使用自定义挂载选项时存在很多问题。

2.3.2 设置对Kickstart的本地访问

当Kickstart文件配置好后，我们就可以把它安装在USB Key、CD、空闲的分区甚至软盘等本地媒介上（不要笑，许多虚拟机系统（包括KVM）使虚拟软盘驱动器的使用更容易）。为此按照下面的基本步骤进行操作：

（1）根据需要配置并编辑anaconda-ks.cfg文件，稍后将详细介绍这步操作。

（2）挂载用到的本地媒介。你可能需要以root用户的身份运行fdisk-l命令以识别正确的设备文件。如果驱动器不能自动挂载，可以用mount/dev/sdb1 /mnt命令挂载驱动器。

（3）把Kickstart文件复制到刚挂载的本地媒介上，并命名为ks.cfg（其他名字也可以，ks.cfg只是Red Hat文档中最常用的一个文件名）。

（4）确保ks.cfg文件对所有用户至少拥有读权限。如果SELinux在本地系统中已启动，则安全上下文通常与同一目录中的其他文件相匹配。更多信息请参阅第4章。

注意，在FTP服务器上一个Kickstart配置文件可能存在安全上的风险。它就像是一个系统的DNA。如果黑帽黑客得到这个文件，他就可以用该文件建立这个系统的副本，研究如何闯入这个系统并且修改这个系统的数据。由于此文件通常包含root系统管理员口令，因此在系统第一次启动时需要修改这个口令。

实际经验

使用Kickstart配置文件时必须格外小心。除非root用户直接登录被禁用，否则此文件肯定包含root管理员的口令。即使此口令已加密，黑帽黑客用合适的工具和这个Kickstart配置文件的一个副本就可以进行字典攻击，如果口令不够安全，就会破解这个口令。

现在可以在不同的系统中使用这个Kickstart媒介。稍后要在后面的一个练习中执行此操作。

（5）现在尝试访问本地媒介上的Kickstart文件。启动RHEL 7安装CD/DVD。当第一个菜单出现时，选择Install Red Hat Enterprise Linux 7.0并按下Tab键。肯定会出现如下命令为Anaconda安装管理程序。光标会出现在该命令后的末尾。

        > vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=RHEL-7.08↲
        \x20Server.x86_64 quiet

（6）在此命令行的末尾添加Kickstart文件的位置信息，例如，下面添加的信息表示此文件保存在第二个硬盘驱动器的第一个分区上，此硬盘可能是USB驱动器。

        ks=hd:sdb1:/ks.cfg

或者，如果Kickstart文件保存在引导CD上，则添加以下命令：

        ks=cdrom:/ks.cfg

或者，如果Kickstart文件保存在第一个软盘驱动器上，则输入下面的位置信息：

        ks=hd:fd0:/ks.cfg

这种方法需要不断尝试，可能会有错误。确实，设备文件是按顺序分配名字（sda、sdb、sdc等）。然而，除非我们用给定的存储媒介引导Linux，否则无法确定哪个设备文件指定给一个特定的设备驱动器。

2.3.3 建立Kickstart的网络访问

在本地媒介上创建一个Kickstart文件会很耗时间，特别是为了加载这个文件需要不断从这个系统移到另一个系统。通常情况下，在网络服务器上建立Kickstart文件的效率会比较高。一个符合逻辑的位置是安装文件所使用的同一个网络服务器。例如，根据第1章实验题2创建的FTP服务器，假定有一个ks.cfg文件保存在这个FTP服务器的/var/ftp/pub目录中。而且，SELinux上下文必须与此目录的上下文相匹配，这可以用下面的命令得到验证：

        # ls -Zd /var/ftp/pub
        # ls -Z /var/ftp/pub

当/var/ftp/pub目录中有一个合适的ks.cfg文件时，我们就可以在前面第5步用到的vmlinuz命令行末尾添加如下指令：

        ks=ftp://192.168.122.1/pub/ks.cfg

同样的选项也适用于保存在NFS或HTTP服务器上的Kickstart文件，如下所示：

        ks=nfs:192.168.122.1:/ks.cfg
        ks=http://192.168.122.1/ks.cfg

如果在本地网络上有一个可操作的DNS服务器，则可以用此目标服务器的主机名或完全限定域名替代前面的IP地址。

实际经验

Red Hat正努力简化基于Kickstart的安装服务器的创建过程。更多信息请访问http://cobbler.github.com上的Cobbler项目。Cobbler使用配置文件和小块代码（代码段）来动态生成Kickstart文件，并自动执行网络安装。

2.3.4 示例Kickstart文件

本节内容是以我们在基于KVM的虚拟机上安装RHEL 7时生成的anaconda-ks.cfg文件为基础，增加了一些注释。虽然可以将此文件当作示例使用，但是必须根据自己的硬件和网络进行定制。本节只是简要介绍Kickstart文件的处理过程。你自己的Kickstart文件可能会不一样。

考试提示

不同于Red Hat的其他程序包可用的文档，在RHEL 7系统中可用的Kickstart文档非常少。换言之，在考试中考生无法从/usr/share/doc目录中的man页面或文件得到任何帮助。当考生不能确定某个命令是否包括在Kickstart文件中时，可以参考稍后介绍的Kickstart Configurator。

虽然大多数选项都不言自明，但我们还是要在此文件中给每个命令加上注释。这个文件只说明一小部分可用的命令。有关此文件每个命令（及选项）的详细用法，可以阅读最新的RHEL 7安装指南，它可以从https://access.redhat.com/documentation在线获得。

在创建Kickstart文件时要遵循下面的基本规则和指示：

● 通常情况下要保持指令的顺序不变，但有时根据是用本地媒介还是用网络进行安装，发生少许变化也是可以的。

● 不需要使用全部选项。

● 如果遗漏了一个必需的选项，系统会提示用户输入。

● 不要害怕修改，例如，默认情况下与分区有关的指令都已被注释掉。

● 允许换行。

实际经验

如果遗漏了一个选项，安装过程会停下来。通过这种办法很容易检查Kickstart文件是否正确配置。但是由于Kickstart选项要改变硬盘上的分区，甚至这些选项的测试可能会存在风险。因此，最好在一个测试系统上测试Kickstart文件，或者更好的办法是在一个专用的测试虚拟机上进行测试。

下面是来自我们的anaconda-ks.cfg文件之一的代码。第一行说明此文件是为RHEL 7创建的。

        #version=RHEL7

接下来，auth命令设置Shadow Password Suite（--enableshadow），并为口令加密设置SHA512加密算法（--passalgo=sha512）。采用SHA512算法加密的口令以$6开头：

        authconfig --enableshadow --passalgo=sha512

下一个命令很简单，它使用系统上的第一个DVD/CD驱动器启动安装过程：

        cdrom

下一步是指定安装文件的源。如果使用RHEL 7 DVD，则保留cdrom。如果使用NFS服务器进行安装，则还要指定URI，如下所示。如果在本地网络上有可用的DNS服务器，可以把IP地址替换为服务器的主机名。

        nfs --server=192.168.122.1--dir=/inst

此外，替换上述一个命令还可以配置到FTP或HTTP服务器的一个连接。这里要指定的是在第1章创建的FTP和HTTP安装服务器上的目录。

        url --url http://192.168.122.1/inst

或

        url --url ftp://192.168.122.1/pub/inst

如果代表RHEL 7 DVD的ISO文件保存在本地的硬盘分区上，也可以指定这个文件。例如，下面的指令指向/dev/sda10分区上的ISO CD或DVD：

        harddrive --partition=/dev/sda10--dir=/tmp/michael/

firstboot --enable在首次安装期间运行安装代理。如果想要避开firstboot进程，可以将这个命令替换为firstboot --disabled指令。由于无法设置Kickstart文件来响应firstboot提示，--disabled指令可帮助自动完成Kickstart过程。

        firstboot --disabled

接下来的ignoredisk指令仅指定了vda驱动器上的卷。当然，只有目标虚拟机上有指定的虚拟驱动器时这个指令才能生效（在这种虚拟机上也有办法指定SAS或SCSI驱动器，但是会与这些指令冲突）。

        # ignoredisk --only-use=vda

lang命令指定在安装过程中使用的语言。当此文件遗漏了某个命令而引起安装终止时，此命令就非常有用。keyboard命令的含义不言自明，它指定了配置计算机所使用的键盘布局：

        keyboard --vckeymap=us --xlayouts='us'
        lang en_US.UTF-8

如果本地网络中有一个DHCP服务器，则network命令是必需的，也是最简单的：network --device eth0--bootproto dhcp。反之，下面的两行命令配置静态IP地址，同时设置了网络掩码（--netmask）、网关地址（--gateway）、DNS服务器（--nameserver）和计算机名（--hostname）。

        network --bootproto static --device=eth0--gateway=192.168.122.1↲
        --ip=192.168.122.150--netmask=255.255.255.0--noipv6↲
        --nameserver==192.168.122.1--activate
        network --hostname tester1.example.com

注意，network命令的全部静态网络信息都必须在同一行中，当选项超过文本编辑器的空间时换行是允许的。如果为另一个系统创建这个文件，不要忘了对IP地址和主机名信息做相应修改。注意，如果在安装过程没有配置网络，则网络信息不会保存到主题anaconda-ks.cfg文件中。由于network指令的复杂性，可以用Kickstart Configurator设置该指令，或者在安装完成后设置网络。

由于root用户的口令是RHEL 7安装过程的一部分，因此Kickstart配置文件可以用加密形式指定root用户的口令。虽然加密并不是必需的，但是它至少可以拖延系统安装完成后黑帽黑客闯入系统的时间。由于相关的加密哈希函数与/etc/shadow文件所用的相同，因此可以从这个文件复制所需要的口令：

        rootpw --iscrypted $6$5UrLfXTk$CsCW0nQytrUuvycuLT317/

timezone指令与时区设置的长列表有关。tzdata程序包的文档中有时区设置的详细说明。要查看完整的列表，可执行rpm -ql tzdata命令。默认情况下，Red Hat使用--isUtc开关选项把硬件时钟设置为格林威治标准时间。该设置支持夏令时的自动转换。下面这个设置可以在/usr/share/zoneinfo目录下的一个子目录和文件中找到。

        timezone America/Los_Angeles --isUtc

可以包含user指令，在引导过程中创建一个用户。为此，需要提供用户名、加密的口令，另外也可以列出该用户所属的组以及该用户的GECOS信息（通常是该用户的完整姓名）。在下面的例子中，为简洁起见，省略了加密的口令：

        user --groups=wheel name=michael --password=... --iscrypted --gecos="MJ"

为安全起见，建议启用firewall指令。当它与--service=ssh一起使用时，它指定了一个允许通过防火墙的服务。

        firewall --service=ssh

selinux指令也是可选的，可以设置为--enforcing、--permissive或--disabled等值。默认值为--enforcing：

        selinux --enforcing

默认的引导装载程序是GRUB 2，通常它应该安装在硬盘的主引导记录（Master Boot Record, MBR）和第一个分区之间。可以包含一个--boot-drive开关来指定安装有引导装载程序的驱动器，包含一个--append开关来指定内核的参数：

        bootloader --location=mbr --boot-drive=vda

指令后面的注释表明，最重要的是清除现有的一组分区。首先，用clearpart --all --initlabel--drives=vda指令清除vda虚拟硬盘驱动器上的全部分区。如果这个硬盘以前还未曾用过，则--initlabel选项对此驱动器进行初始化处理。

        clearpart --all --initlabel --drives=vda

需要改变紧随之后的分区（part）指令。它们必须指定目录、文件系统格式（--fstype）和大小（--size，以MB为单位）。

        part /boot --fstype="xfs" --size=500
        part swap --fstype="swap" --size=1000
        part / --fstype="xfs" --size=10000
        part /home --fstype="xfs" --size=1000

注意，你的anaconda-ks.cfg文件可能还包含--onpart指令，它定义了像/dev/vda1这样的分区设备文件。除非该分区已经存在，否则就会产生一个错误。因此如果看到--onpart指令，最简单的办法是删除它们。否则安装过程开始之前必须建立这些分区，这可是一个棘手的任务。

虽然建立RAID和逻辑卷还有其他分区选项，但毫无疑问，Red Hat考试的重点是在安装结束之后如何创建这些卷。如果想试试逻辑卷等其他选项，则需要创建自己的Kickstart文件。如果从不同的VM安装机上建立这个Kickstart文件，那是最好不过了。不过需要注意，该Kickstart文件按如下顺序（这个顺序很重要）配置物理卷（PV）、卷组（VG）和逻辑卷（LV）：

        part pv.01--fstype="lvmpv" --ondisk=vda --size=11008
        part /boot --fstype="xfs" --ondisk=vda --size=500
        part swap --fstype="swap" --ondisk=vda --size=1000
        volgroup rhel --pesize=4096 pv.01
        logvol / --fstype="xfs" --size=10000--name=root --vgname=rhel
        logvol /home --fstype="xfs" --size=1000-name=home --vgname=rhel

有关逻辑卷配置方法的更多信息可以阅读第8章内容。

默认的Kickstart文件可能包含一个repo指令。它指向第1章实验题2创建的FTP网络安装源，必须删除这个指令或者把它注释掉，如下所示：

        #repo --name="Red Hat Enterprise Linux" ↲
        --baseurl=ftp://192.168.122.1/pub/inst --cost=100

为了确保系统能真正完成安装过程，这里要插入reboot、shutdown、halt或poweroff指令。如果打算重用一个现存的、基于KVM的虚拟机，则可能需要关闭系统以把引导媒介从CD/DVD改为硬盘，因此推荐使用下面的指令：

        shutdown

接着是通过Kickstart配置文件安装的程序包组列表。这些程序包组的名字可从RHEL 7 DVD上/repodata目录中的*-compsServer.x86_64.xml文件中找到，这在第1章中曾介绍过。由于此列表太长，下面只列出其中部分程序包组（前面有@符号）和程序包名：

        %packages
        @base
        @core
        ...
        @print-client
        @x11
        %end

安装这些程序包组后，就可以在下面的指令后指定安装后的命令。例如，可以建立定制的配置文件。但是%post指令和之后的任何参数都不是必需的。

        %post

最后，使用ksvalidator实用工具来验证Kickstart文件的语法。下面给出一个例子：

        # ksvalidator ks.cfg

        The following problem occurred on line 32 of the kickstart file:
        Unknown command: vogroup

2.3.5 练习2-3：创建和使用示例Kickstart文件

本练习中，我们将使用anaconda-ks.cfg文件把安装系统从一个计算机复制到另一个具有相同硬件配置的计算机上。本练习将在第二台计算机上安装所有相同的程序包，并进行相同的分区配置。此练习甚至还为Kickstart文件配置了SELinux上下文。

由于本练习的目的是安装与当前安装系统完全相同的程序包，因此不需要对/root目录中默认anaconda-ks.cfg文件的程序包组或程序包做任何改变。本练习假定可以访问第1章实验题2建立的网络安装源。

本练习的操作步骤假设当前至少有足够的磁盘空间和资源来支持两个不同的基于KVM的虚拟机：

（1）检查server1.example.com上的/root/anaconda-ks.cfg文件，将它复制为ks.cfg。

（2）如果此文件已有network指令，则将它修改为指向IP地址为192.168.122.150、主机名为tester1.example.com的系统。如果带有该主机名和IP地址的系统已经存在，则使用同一网络上的其他主机名和IP地址。如果没有这个指令，则不需要任何修改。网络设置可以在安装完成后使用第3章介绍的方法进行配置。

（3）确保ks.cfg文件中与驱动器和分区有关的指令置于活动状态，没有被注释掉。要特别注意clearpart指令，给它添加--all开关选项就会删除全部分区；添加--initlabel开关选项则对新建立的硬盘进行初始化。如果虚拟机有多个硬盘驱动器，则用--drives=vda开关选项选择基于KVM的虚拟机的第一个虚拟驱动器。

（4）如果存在cdrom指令，就删除该指令。检查与url或nfs指令关联的安装服务器所在的位置。本实验题假设通过192.168.122.1的IP地址和pub/inst/子目录可以访问一个FTP服务器。如果是另一个IP地址或目录，则做相应的修改。

        url --url ftp://192.168.122.1/pub/inst

（5）确保将下面的指令插入到文件末尾的%packages指令之前。

        shutdown

（6）使用ksvalidator实用工具检查Kickstart文件的语法。如果没有报告错误，继续执行下一步。

        ksvalidator ks.cfg

（7）把ks.cfg文件复制到安装服务器的基目录。如果这是一个vsFTP服务器，则目录是/var/ftp/pub。保证所有用户对此文件都有读权限（默认情况下只有拥有600权限的root管理员用户能够访问该文件），例如，可使用下面的命令：

        # chmod +r /var/ftp/pub/ks.cfg

（8）假设基目录是/var/ftp/pub，则用下面的命令设置此文件的SELinux上下文：

        # restorecon /var/ftp/pub/ks.cfg

（9）确保当前防火墙不会阻止与安装服务器有关的端口通信，详细信息请查看第4章。最简单的方法是使用firewall-cmd命令打开ftp服务：

        # firewall-cmd --permanent --add-service=ftp
        # firewall-cmd --reload

（10）在本地主机上创建一个基于KVM的虚拟机，使其具有足够的硬盘空间。使用RHEL 7 DVD启动该虚拟机。

（11）在Red Hat安装菜单中选择第一个菜单项，并按下Tab键，它会在屏幕的底部显示启动指令。在此列表的末尾添加以下指令：

        ks=ftp://192.168.122.1/pub/ks.cfg

如果Kickstart文件是在另一个服务器上或在本地媒介上，则做相应的替换。

可以看到现在系统安装程序创建了一个与第一个系统完全相同的基本配置。如果安装过程在重新引导之前停止，则表示Kickstart文件存在问题，这很可能是由于安装信息不足。

2.3.6 Kickstart配置程序

即使喜欢在命令行工作的用户也会从Red Hat的Kickstart配置程序（Kickstart Configurator）GUI工具学到不少知识。它包含了建立一个Kickstart配置文件要用到的绝大多数基本选项。用下面的命令可以安装这个程序：

        # yum install system-config-kickstart

作为一个与安装过程有关的GUI工具，此命令通常包含许多依赖选项。

实际经验

有些人可能对书面语言的规范使用比较敏感，可能会反对Kickstart Configurator这个术语。但是它只是Red Hat给一个GUI配置工具指定的名称而已。

既然你已经掌握了Kickstart文件的基本内容，现在就可以通过图形化的Kickstart配置程序进一步巩固这些知识。它可以帮助你进一步了解Kickstart文件的配置方法。安装了正确的程序包后，可以用system-config-kickstart命令在GUI命令行中启动这个Kickstart配置程序。如果想使用本地系统的默认配置来启动该配置程序，则使用anaconda-ks.cfg文件，如下所示：

        # system-config-kickstart /root/anaconda-ks.cfg

上述命令打开如图2-18所示的Kickstart配置程序（当然，如有可能，最好先备份anacnda-ks.cfg文件）。

实际经验

启动Kickstart配置程序之前，最好确保通过RHN与远程的RHEL 7库有一个活动的连接。

图2-18说明了几个基本的安装步骤。如果已经安装过RHEL，则这些步骤都看起来非常相似。

在左侧窗格中有几个其他选项，每个都对应于不同的Kickstart命令。为深入了解Kickstart，可以尝试配置其中一些参数。用File | Save命令保存文件的这些设置，文件名由你自己来决定，然后用文本编辑器查看这个文件。或者用File | Preview命令查看不同设置对Kickstart文件的影响。

接下来将简单介绍左侧窗格中的每个选项。全面掌握Kickstart配置程序的用法有助于更好地理解安装过程。

基本配置

在基本配置（Basic Configuration）界面中，我们可以给以下选项设置参数：

● 默认的语言（Default Language） 给安装过程和操作系统指定默认的语言。

● 键盘（Keyboard） 设置默认的键盘，通常要与语言相对应。

● 时区（Time Zone） 定制本地时区，并指定是否把计算机的硬件时钟设置为UTC时间，也即格林威治标准时间。

● root管理员口令（Root Password） 指定root管理员的口令，可能需要加密。

● 目标体系结构（Target Architecture） 可用于为不同的系统定制Kickstart文件。

● 安装后重新引导系统（Reboot System After Installation） 在Kickstart文件的末尾处添加reboot命令。

● 按文本模式执行系统安装（Perform System Installation In Text Mode） 支持按文本模式执行自动安装。当安装过程自动化后，安装模式就不重要了。

安装方法

Installation Method（安装方法）选项很容易理解。你可能是第一次安装Linux，也可能是升级一个已安装Linux的系统。安装方法和输入内容都取决于安装文件所在的位置。例如，如果选择NFS安装方法，则Kickstart配置程序要求用户输入NFS服务器的名称或IP地址以及RHEL安装文件的共享目录。

在Kickstart文件中，可以设置从CD/DVD、本地的硬盘分区启动RHEL的安装，或者从NFS、HTTP或FTP标准网络服务器中的一个启动安装。

引导装载程序选项

接着列出了引导装载程序的选项。默认的引导装载程序是GRUB，在引导过程为进一步加强系统的安全，GRUB支持口令的加密。

Linux引导装载程序通常安装在MBR上。如果系统属于Linux和微软Windows的双引导系统，则可以配置Windows引导装载程序（或其他第三方引导装载程序）指向位于Linux分区中第一个扇区的GRUB（在/boot目录中）。

分区信息

分区信息（Partition Information）选项决定了安装程序配置系统上硬盘的方式。虽然它支持标准分区和RAID分区，但是它并不支持LVM组的配置。Clear Master Boot Record（清除主引导记录）选项允许用户删除老式硬盘上的MBR，这些老式硬盘可能存在问题。只要在Kickstart文件中插入zerombr命令即可。

实际经验

如果想保留MBR上的Microsoft Windows Bootmgr等其他的引导装载程序，则不要使用zerombr这个选项。

是否删除分区取决于它们是否已创建为Linux文件系统。如果使用一个新的硬盘，则必须初始化该硬盘的标签。单击Add命令出现Partition Options对话框。

网络配置

网络配置（Network Configuration）组允许用户为目标计算机的网卡设置IP地址。可以为某个计算机设置一个静态IP地址，或者使用DHCP服务器。单击Add Network Device出现Network Device Information窗口。

验证

验证（Authentication）组选项允许我们给用户口令设置两个安全模式：影子口令（Shadow Password）和口令的Hash加密算法。前者对/etc/shadow文件中的口令进行加密。如果安装了指纹扫描设备，还可以选中对应的复选框，启用指纹识别器。这样可启用二元验证，要求用户在登录时提供凭据，并在指纹识别器上扫描指纹。

这一组选项还允许用户设置各种协议的验证信息。

● NIS 网络信息服务（Network Information Service）连接到网络上一个登录验证数据库，此网络由Unix和Linux计算机组成。

● LDAP 这里，轻型目录访问协议（Lightweight Directory Access Protocol, LDAP）是另一个登录验证数据库。

● Kerberos 5 MIT强加密系统，用来验证网络上的用户。

● Hesiod 它是一个网络数据库，用来存储用户账户和口令信息。

● SMB Samba服务器连接到微软Windows模式的网络，用来验证登录用户。

● Name Switch Cache 它与NIS有关，用来查找用户账户和用户组。

防火墙配置

防火墙配置（Firewall Configuration）选项组用于为对象计算机配置默认的防火墙。在大多数系统中，我们要尽量把可信任服务的个数保持在最小值。但在Red Hat考试中要求在单个系统上设置很多服务，这就需要在防火墙中配置多个受信任的服务。

在这一组选项中，我们也可以配置基本的SELinux参数。Active和Disabled选项容易理解，Warn选项对应于SELinux的Permissive实现。更多内容请阅读第4章。

显示配置

显示配置（Display Configuration）选项组支持基本的Linux GUI安装。实际安装取决于下一组选项中程序包和程序包组的选择。虽然关于基于GUI的管理工具与基于文本的管理工具的优越性存在很多争议，但是基于文本的管理工具更稳定。考虑到这一点及其他因素，许多Linux管理员甚至并不安装GUI程序。但如果在一系列工作站上安装Linux（这可以用一系列Kickstart文件来实现），则这些工作站的用户很可能不是系统管理员。

此外，可以启动或禁用Setup Agent，又称为第一引导进程。如果需要完全自动安装，则要禁用Setup Agent选项。

程序包选择

程序包选择（Package Selection）选项组允许我们选择需要通过Kickstart文件安装的程序包组。如前所述，如果当前没有连接到远程库（如RHN更新库），则相关界面是空的。在撰写本书时，如果使用的是本地安装源，会出现同样的问题。此时，需要手动编辑Kickstart配置程序生成的文件，添加必要的程序包。

安装脚本

可在Kickstart文件中添加预安装脚本和安装后脚本。安装后脚本更常用，通常用来配置Linux操作系统的其他部分。例如，如果你想创建一个记录员工福利信息的目录，则可以添加一个安装后脚本，它可以用cp命令从网络服务器复制这些文件。