Kapitel 11 WAN-start (Översikt)

Det här kapitlet ger en översikt över installationsmetoden WAN-start. I det här kapitlet beskrivs följande ämnen:

• Vad är WAN-start?

• När ska du använda WAN-start?

• Så här fungerar WAN-start (Översikt)

• Säkerhetskonfigurationer som stöds av WAN-start (Översikt)

Vad är WAN-start?

Med installationsmetoden WAN-start kan du starta och installera programvara över ett WAN (Wide Area Network) genom att använda HTTP. Genom att använda WAN-start kan du installera operativsystemet Solaris på SPARC-baserade system via ett stort offentligt nätverk där nätverkets infrastruktur kanske inte är tillförlitlig. Du kan använda WAN-start med säkerhetsfunktioner om du vill öka datasekretessen och installationsavbildningsintegriteten.

Med installationsmetoden WAN-start kan du skicka ett krypterat Solaris Flash-arkiv över ett offentligt nätverk till en SPARC-baserad fjärrklient. WAN-startprogrammen installerar sedan klientsystemet med en anpassad JumpStart-installation. Du kan skydda installationens integritet genom att verifiera och kryptera data med privata nycklar. Du kan även skicka installationsdata och installationsfiler över en säker HTTP-anslutning genom att konfigurera systemen att använda digitala certifikat.

Om du vill göra en WAN-start-installation installerar du först ett SPARC-baserat system genom att hämta följande information från en webbserver över en HTTP- eller säker HTTP-anslutning.

• Programmet wanboot – Programmet wanboot är ett andranivåns startprogram som laddar WAN-startminiroten, klientkonfigurationsfiler och installationsfiler. Med programmet wanboot utför du åtgärder som liknar dem som görs med andranivåstartprogrammen ufsboot och inetboot.

• WAN-startfilsystem – WAN-start använder flera olika filer för att konfigurera klienten och hämta data som används för att installera klientsystemet. De här filerna finns i katalogen /etc/netboot på webbservern. Med hjälp av programmet wanboot-cgi skickas de här filerna till klienten som ett filsystem, kallat WAN-startfilsystemet.

• WAN-startminirot – WAN-startminiroten är en version av Solaris-miniroten som har ändrats till att utföra en WAN-startinstallation. Precis som Solaris-miniroten innehåller WAN-startminiroten en kärna och den minsta möjliga mängd programvara som krävs för att installera operativmiljön Solaris. WAN-startminiroten innehåller en del av de programvaror som finns i Solaris-miniroten.

• Konfigurationsfiler för anpassad JumpStart – För att installera systemet skickar WAN-starten sysidcfg, rules.ok och profilfiler till klienten. Med hjälp av de här filerna installeras sedan klientsystemet med en anpassad JumpStart-installation.

• Solaris Flash-arkiv – Ett Solaris Flash-arkiv är en samling filer som du kopierar från ett huvudsystem. Du kan sedan installera klientsystem med det här arkivet. WAN-start installerar Solaris Flash-arkiv på klientsystemet genom att använda installtionsmetoden anpassad JumpStart. När du har installerat ett arkiv på ett klientsystem innehåller systemet exakt samma konfiguration som huvudsystemet.

Du kan sedan installera arkivet på klienten genom att använda installationsmetoden anpassad JumpStart.

Du kan skydda överföringen av ovanstående information med hjälp av nycklar och digitala certifikat.

En mer detaljerad beskrivning av händelseförloppet i en WAN-startinstallation finns i Så här fungerar WAN-start (Översikt).

När ska du använda WAN-start?

Med Installationsmetoden WAN-start kan du installera SPARC-baserade system som finns i geografiskt skilda områden. Du kan använda WAN-start vid installation av fjärrservrar eller fjärrklienter som det bara går att nå över ett offentligt nätverk.

Om du vill installera system som finns i det lokala nätverket kräver Installationsmetoden WAN-start onödigt mycket konfiguration och administration. Information om hur du installerar system via ett lokalt nätverk (LAN) finns i Kapitel 7, Förbereda installation över nätverket (Översikt).

Så här fungerar WAN-start (Översikt)

WAN-start använder en kombination av servrar, konfigurationsfiler, CGI-program och installationsfiler för installationer på SPARC-baserade fjärrklienter. I det här avsnittet beskrivs det allmänna händelseförloppet under en WAN-start-installation.

Händelseförlopp under en WAN-start-installation

Figur 11–1 visar standardsekvensen med händelser i en WAN-start-installation. Den här bilden beskriver en SPARC-baserad klient som hämtar konfigurationsdata och installationsfiler från en webbserver och en installationsserver över ett WAN-nätverk.

Figur 11–1 Händelseförlopp under en WAN-startinstallation

1. Starta klienten på ett av följande sätt.

   • Starta från nätverket genom att ange variablerna för nätverksgränssnittet i OBP (öppen start-PROM).

   • Starta från nätverket med DHCP-alternativet.

   • Starta från lokal cd-skiva.

2. Klientens OBP tar emot konfigurationsinformation från en av följande källor.

   • Från startargumentvärden som anges på kommandoraden av användaren

   • Från DHCP-servern om nätverket använder DHCP

3. Klientens OBP skickar en begäran till andranivåstartprogrammet WAN-start (wanboot).

   Klientens OBP hämtar programmet wanboot från följande källor.

   • Från en speciell webbserver, kallad WAN-startserver, via HTTP (Hyper Text Transfer Protocol)

   • Från en lokal cd-skiva (visas inte på bilden)

4. Programmet wanboot begär att klientkonfigurationsinformation ska skickas från WAN-startservern.

5. Programmet wanboot hämtar konfigurationsfiler som skickas av wanboot-cgi-programmet från WAN-startservern. Konfigurationsfilerna skickas till klienten som WAN-startfilsystemet.

6. Programmet wanboot begär att WAN-startminiroten ska hämtas från WAN-startservern.

7. Programmet wanboot hämtar WAN-startminiroten från WAN-startservern via HTTP eller säker HTTP.

8. Programmet wanboot laddar och kör UNIX-kärnan från WAN-startminiroten.

9. UNIX-kärnan lokaliserar och monterar WAN-startfilsystemet som ska användas av installationsprogrammet för Solaris.

10. Installationsprogrammet begär att ett Solaris Flash-arkiv och anpassade JumpStart-filer ska hämtas från en installationsserver.

    Installationsprogrammet hämtar arkivet och de anpassade JumpStart-filerna över en HTTP- eller HTTPS-anslutning.

11. Installationsprogrammet installerar Solaris Flash-arkivet på klienten med en anpassad JumpStart-installation.

Skydda data under en WAN-start-installation

Med installationsmetoden WAN-start kan du skydda systemdata under installationen genom att använda hashnings- och krypteringsnycklar och digitala certifikat. I det här avsnittet beskrivs kortfattat de olika metoder för dataskydd som stöds av installationsmetoden WAN-start.

Kontrollera dataintegritet med en hashningsnyckel

Om du vill skydda data som skickas från WAN-startservern till klienten kan du generera en HMAC-nyckel (Hashed Message Authentication Code). Du kan installera den här hashningsnyckeln på både WAN-startservern och klienten. WAN-startservern använder den här nyckeln för att signera data som ska överföras till klienten. Klienten använder sedan nyckeln för att verifiera integriteten för de data som överförs av WAN-startservern. När du har installerat en hashningsnyckel på en klient använder klienten den här nyckeln för framtida WAN-startinstallationer.

Instruktioner för hur du använder en hashningsnyckel finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

Kryptera data med krypteringsnycklar

Med hjälp av Installationsmetoden WAN-start kan du kryptera data som du överför från WAN-startservern till klienten. Du kan använda WAN-startverktygen om du vill skapa en 3DES- eller AES-krypteringsnyckel. Den här nyckeln kan du sedan göra tillgänglig för både WAN-start-servern och klienten. WAN-start använder krypteringsnyckeln för att kryptera data som skickas från WAN-start-servern till klienten. På klienten används sedan den här nyckeln för att dekryptera de krypterade konfigurations- och säkerhetsfiler som överförts under installationen.

När du har installerat en krypteringsnyckel på en klient använder klienten den här nyckeln för framtida WAN-startinstallationer.

Det är inte säkert att webbplatsen tillåter användningen av krypteringsnycklar. Fråga webbplatsens säkerhetsadministratör om du vill veta om kryptering tillåts. Om kryptering tillåts frågar du säkerhetsadministratören vilken typ av krypteringsnyckel som ska användas, 3DES eller AES.

Instruktioner för hur du använder krypteringsnycklar finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

Skydda data med HTTPS

WAN-start stöder HTTP över SSL (HTTPS) vid överföring av data mellan WAN-startservern och klienten. Genom att använda HTTPS kan du kräva att servern eller både servern och klienten autentiseras under installationen. Dessutom krypterar HTTPS data som överförs från servern till klienten under installationen.

HTTPS använder digitala certifikat för att autentisera system som kan utbyta data via nätverket. Ett digitalt certifikat är en fil som anger talar om att det aktuella systemet, antingen en server eller en klient, är pålitligt under kommunikation online. Du kan begära ett digitalt certifikat från en extern certifikatmyndighet (CA) eller du kan skapa egna certifikat som du autentiserar.

Du måste installera ett digitalt certifikat på servern om du vill att klienten ska acceptera data från servern. Sedan instruerar du klienten att det är ett betrott certifikat. Du kan också kräva att klienten autentiseras för servrar genom att förse den med ett digitalt certifikat. Sedan kan du instruera servern att acceptera certifikatets signatur när certifikatet presenteras under installationen.

Om du vill använda digitala certifikat under installationen måste du konfigurera webbservern att använda HTTPS. Information om hur du använder HTTPS finns i dokumentationen för webbservern.

Information om kraven för att använda digitala certifikat under WAN-startinstallationen finns i Krav för digitala certifikat. Instruktioner för hur du använder digitala certifikat i WAN-startinstallationen finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.

Säkerhetskonfigurationer som stöds av WAN-start (Översikt)

WAN-start stöder varierande säkerhetsnivåer. För att möta de krav som ställs på nätverket kan du använda en kombination av de säkerhetsfunktioner som stöds i WAN-start. En säkrare konfiguration kräver mer administration men skyddar även ditt system i större utsträckning. För mer kritiska system, eller för system som du vill installera via ett offentligt nätverk, kanske du väljer konfigurationen i Säker installationskonfiguration för WAN-start. För mindre kritiska system, eller system i delvis privata nätverk, kan du överväga den konfiguration som beskrivs i Osäker installationskonfiguration för WAN-start.

I det här avsnittet beskrivs kortfatta de olika säkerhetskonfigurationer som du kan använda när du anger säkerhetsnivå för WAN-start-installationen. Dessutom beskrivs de säkerhetsmekanismer som krävs för dessa konfigurationer.

Säker installationskonfiguration för WAN-start

Den här konfigurationen skyddar integriteten för de data som utbyts mellan servern och klienten och hjälper till att bevara sekretessen för innehållet. Den här konfigurationen använder en HTTPS-anslutning och använder antingen 3DES- eller AES-algoritmen vid kryptering av klientkonfigurationsfilerna. Den här konfigurationen kräver att servern autentiseras för klienten under installationen. För en säker WAN-startinstallation krävs följande säkerhetsfunktioner.

• HTTPS måste vara aktiverat på WAN-start- och installationsservern

• HMAC SHA1-hashningsnyckel måste finnas på WAN-start-servern och klienten

• 3DES- eller AES-krypteringsnyckel måste finnas på WAN-start-servern och klienten

• WAN-start-servern måste ha ett digitalt certifikat utfärdat av en certifikatmyndighet (CA)

Om du dessutom vill att klienten ska autentiseras under installationen måste du använda följande säkerhetsfunktioner.

• WAN-startservern måste ha en privat nyckel

• Klienten måste ha ett digitalt certifikat

En lista med de uppgifter som krävs för att installera med den här konfigurationen finns i Tabell 13–1.

Osäker installationskonfiguration för WAN-start

Den här säkerhetskonfigurationen kräver minst administration men ger också den minst säkra överföring av data från webbservern till klienten. Du behöver varken hashnings- och krypteringsnycklar eller digitala certifikat. Du behöver inte konfigurera servern att använda HTTPS. Däremot överförs installationsdata och filer över en HTTP-anslutning med den här konfigurationen vilket innebär att installationen är öppen för attacker över nätverket.

Om du vill att klienten ska kontrollera integriteten för de data som överförs kan du använda en HMAC SHA1-hashningsnyckel med den här konfigurationen. Solaris Flash-arkivet skyddas dock inte av hashningsnyckeln. Arkivet skickas med en osäker överföring mellan servern och klienten under installationen.

En lista med de uppgifter som krävs för att installera med den här konfigurationen finns i Tabell 13–2.