Så här fungerar WAN-start (Översikt)

WAN-start använder en kombination av servrar, konfigurationsfiler, CGI-program och installationsfiler för installationer på SPARC-baserade fjärrklienter. I det här avsnittet beskrivs det allmänna händelseförloppet under en WAN-start-installation.

Händelseförlopp under en WAN-start-installation

Figur 11–1 visar standardsekvensen med händelser i en WAN-start-installation. Den här bilden beskriver en SPARC-baserad klient som hämtar konfigurationsdata och installationsfiler från en webbserver och en installationsserver över ett WAN-nätverk.

Figur 11–1 Händelseförlopp under en WAN-startinstallation

1. Starta klienten på ett av följande sätt.

   • Starta från nätverket genom att ange variablerna för nätverksgränssnittet i OBP (öppen start-PROM).

   • Starta från nätverket med DHCP-alternativet.

   • Starta från lokal cd-skiva.

2. Klientens OBP tar emot konfigurationsinformation från en av följande källor.

   • Från startargumentvärden som anges på kommandoraden av användaren

   • Från DHCP-servern om nätverket använder DHCP

3. Klientens OBP skickar en begäran till andranivåstartprogrammet WAN-start (wanboot).

   Klientens OBP hämtar programmet wanboot från följande källor.

   • Från en speciell webbserver, kallad WAN-startserver, via HTTP (Hyper Text Transfer Protocol)

   • Från en lokal cd-skiva (visas inte på bilden)

4. Programmet wanboot begär att klientkonfigurationsinformation ska skickas från WAN-startservern.

5. Programmet wanboot hämtar konfigurationsfiler som skickas av wanboot-cgi-programmet från WAN-startservern. Konfigurationsfilerna skickas till klienten som WAN-startfilsystemet.

6. Programmet wanboot begär att WAN-startminiroten ska hämtas från WAN-startservern.

7. Programmet wanboot hämtar WAN-startminiroten från WAN-startservern via HTTP eller säker HTTP.

8. Programmet wanboot laddar och kör UNIX-kärnan från WAN-startminiroten.

9. UNIX-kärnan lokaliserar och monterar WAN-startfilsystemet som ska användas av installationsprogrammet för Solaris.

10. Installationsprogrammet begär att ett Solaris Flash-arkiv och anpassade JumpStart-filer ska hämtas från en installationsserver.

    Installationsprogrammet hämtar arkivet och de anpassade JumpStart-filerna över en HTTP- eller HTTPS-anslutning.

11. Installationsprogrammet installerar Solaris Flash-arkivet på klienten med en anpassad JumpStart-installation.

Skydda data under en WAN-start-installation

Med installationsmetoden WAN-start kan du skydda systemdata under installationen genom att använda hashnings- och krypteringsnycklar och digitala certifikat. I det här avsnittet beskrivs kortfattat de olika metoder för dataskydd som stöds av installationsmetoden WAN-start.

Kontrollera dataintegritet med en hashningsnyckel

Om du vill skydda data som skickas från WAN-startservern till klienten kan du generera en HMAC-nyckel (Hashed Message Authentication Code). Du kan installera den här hashningsnyckeln på både WAN-startservern och klienten. WAN-startservern använder den här nyckeln för att signera data som ska överföras till klienten. Klienten använder sedan nyckeln för att verifiera integriteten för de data som överförs av WAN-startservern. När du har installerat en hashningsnyckel på en klient använder klienten den här nyckeln för framtida WAN-startinstallationer.

Instruktioner för hur du använder en hashningsnyckel finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

Kryptera data med krypteringsnycklar

Med hjälp av Installationsmetoden WAN-start kan du kryptera data som du överför från WAN-startservern till klienten. Du kan använda WAN-startverktygen om du vill skapa en 3DES- eller AES-krypteringsnyckel. Den här nyckeln kan du sedan göra tillgänglig för både WAN-start-servern och klienten. WAN-start använder krypteringsnyckeln för att kryptera data som skickas från WAN-start-servern till klienten. På klienten används sedan den här nyckeln för att dekryptera de krypterade konfigurations- och säkerhetsfiler som överförts under installationen.

När du har installerat en krypteringsnyckel på en klient använder klienten den här nyckeln för framtida WAN-startinstallationer.

Det är inte säkert att webbplatsen tillåter användningen av krypteringsnycklar. Fråga webbplatsens säkerhetsadministratör om du vill veta om kryptering tillåts. Om kryptering tillåts frågar du säkerhetsadministratören vilken typ av krypteringsnyckel som ska användas, 3DES eller AES.

Instruktioner för hur du använder krypteringsnycklar finns i (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel.

Skydda data med HTTPS

WAN-start stöder HTTP över SSL (HTTPS) vid överföring av data mellan WAN-startservern och klienten. Genom att använda HTTPS kan du kräva att servern eller både servern och klienten autentiseras under installationen. Dessutom krypterar HTTPS data som överförs från servern till klienten under installationen.

HTTPS använder digitala certifikat för att autentisera system som kan utbyta data via nätverket. Ett digitalt certifikat är en fil som anger talar om att det aktuella systemet, antingen en server eller en klient, är pålitligt under kommunikation online. Du kan begära ett digitalt certifikat från en extern certifikatmyndighet (CA) eller du kan skapa egna certifikat som du autentiserar.

Du måste installera ett digitalt certifikat på servern om du vill att klienten ska acceptera data från servern. Sedan instruerar du klienten att det är ett betrott certifikat. Du kan också kräva att klienten autentiseras för servrar genom att förse den med ett digitalt certifikat. Sedan kan du instruera servern att acceptera certifikatets signatur när certifikatet presenteras under installationen.

Om du vill använda digitala certifikat under installationen måste du konfigurera webbservern att använda HTTPS. Information om hur du använder HTTPS finns i dokumentationen för webbservern.

Information om kraven för att använda digitala certifikat under WAN-startinstallationen finns i Krav för digitala certifikat. Instruktioner för hur du använder digitala certifikat i WAN-startinstallationen finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.