Kapitel 12 Förbereda installation med WAN-start (Planering)

I det här kapitlet beskrivs hur du förbereder nätverket för en WAN-start-installation. I det här kapitlet beskrivs följande ämnen:

• Krav och riktlinjer för WAN-start

• Säkerhetsbegränsningar för WAN-start

• Samla information för WAN-startinstallationer

Krav och riktlinjer för WAN-start

I det här avsnittet beskrivs systemkraven för en WAN-start-installation.

Tabell 12–1 Systemkrav för WAN-startinstallationer

System och beskrivning	Krav
WAN-startserver – WAN-startservern är en webbserver som tillhandahåller wanboot-programmet, konfigurations- och säkerhetsfiler och WAN-startminiroten.	Operativsystem – Solaris 9 12/03 OS eller kompatibel 0version Måste vara konfigurerad som webbserver Webbserverprogramvaran måste innehålla stöd för HTTP 1.1 Om du vill använda digitala certifikat måste webbserverprogramvaran innehålla stöd för HTTPS
Installationsserver – Installationsservern tillhandahåller Solaris Flash-arkivet och de anpassade JumpStart-filer som krävs för att installera klienten.	Tillgängligt diskutrymme – Utrymme för varje Solaris Flash-arkiv Medieenhet – Cd-rom- eller dvd-rom-enhet Operativsystem – Solaris 9 12/03 OS eller kompatibel 0version Om installationsservern är en annan dator än WAN-startservern måste installationsservern även uppfylla följande krav.   Måste vara konfigurerad som en webbserver Webbserverprogramvaran måste innehålla stöd för HTTP 1.1 Om du vill använda digitala certifikat måste webbserverprogramvaran innehålla stöd för HTTPS
Klientdator – Det fjärrsystem som du vill installera över ett WAN-nätverk.	Minne – Minst 512 MB RAM Processor – UltraSPARC II eller snabbare Hårddisk – Minst 2 GB ledigt diskutrymme OBP – WAN-startaktiverad PROM Om klienten inte har rätt PROM måste den ha en cd-rom-enhet. För att avgöra om klienten har en WAN-startaktiverad PROM, se Så här kontrollerar du om klientens OBP stöder WAN-start.
(Valfritt) DHCP-server – Du kan använda en DHCP-server som tillhandahåller klientkonfigurationsinformation.	Om du använder en SunOS DHCP-server måste du utföra en av följande åtgärder.  Uppgradera servern till en EDHCP-server. Ge leverantörsalternativen för Sun nya namn anpassade till begränsningen på åtta tecken. Mer information om WAN-installationsspecifika Sun-leverantörsalternativ finns i (Valfritt) Ange konfigurationsdata med en DHCP-server. Om DHCP-servern är på ett annat delnät än klienten måste du konfigurera en BOOTP-reläagent. Mer information om hur du konfigurerar en BOOTP-reläagent finns i Kapitel 16, Configuring the DHCP Service (Tasks) i System Administration Guide: IP Services.
(Valfritt) Inloggningsserver – Som standard visas alla start- och installationsloggningsmeddelanden på klientkonsolen under en WAN-installation. Om du vill att de här meddelandena ska visas på en annan dator kan du ange ett system som fungerar som inloggningsserver.	Måste vara konfigurerad som en webbserver  Obs! – Om du använder HTTPS under installationen måste inloggningsservern vara samma dator som WAN-startservern.
(Valfritt) Proxyserver – Du kan konfigurera WAN-startfunktionen att använda en HTTP-proxy under hämtningen av installationsdata och installationsfiler.	Om du använder HTTPS under installation måste proxyservern konfigureras att tunnla HTTPS.

Krav och riktlinjer för webbserverprogramvaran

Webbserverprogramvaran som du använder på WAN-startservern och installationsservern måste uppfylla följande krav.

• Operativsystemskrav – Med WAN-start följer ett CGI-program (wanboot-cgi) som konverterar data och filer till ett specifikt format som förväntas av klientdatorn. Om du vill utföra en WAN-startinstallation med de här skripten måste webbserverprogramvaran köras på Solaris 9 12/03 OS eller kompatibel version.

• Filstorleksbegränsningar – Webbserverprogramvaran kan begränsa storleken på filerna som kan skickas över HTTP. Kontrollera i dokumentationen för webbservern om du vill försäkra dig om att programvaran kan överföra filer som har samma storlek som Solaris Flash-arkivet.

• SSL-stöd – Om du vill använda HTTPS i WAN-startinstallationen måste webbserverprogramvaran innehålla stöd för SSL version 3.

Serverkonfigurationsalternativ

Du kan anpassa konfigurationen för de servrar som måste uppfylla de krav WAN-start ställer på nätverket. Du kan låta en dator vara värd för alla servrarna eller placera dem på flera datorer.

• En server – Om du vill centralisera WAN-startdata och filer på en dator kan du låta samma dator vara värd för alla servrarna. Du kan administrera olika servrar på ett system och du behöver bara konfigurera ett system som webbserver. Emellertid kanske det inte räcker med en server för att klara den trafikvolym som krävs för ett stort antal samtidiga WAN-startinstallationer.

• Flera servrar – Om du vill distribuera installationsdata och installationsfiler över nätverket kan du låta flera datorer vara värdar för de olika servrarna. Du kan konfigurera en central WAN-startserver och flera installationsservrar att vara värdar för Solaris Flash-arkiv över nätverket. Om installationsservern och inloggningsservern finns på olika datorer måste du konfigurera servrarna som webbservrar.

Lagra installations- och konfigurationsfiler i dokumentrotkatalogen

Programmet wanboot-cgi överför följande filer under en WAN-startinstallation.

• Programmet wanboot

• WAN-startminiroten

• Anpassade JumpStart-filer

• Solaris Flash-arkiv

Om du vill aktivera överföringen av de här filerna med programmet wanboot-cgi måste du lagra de här filerna i en katalog som webbserverprogramvaran har åtkomst till. Ett sätt att göra de här filerna åtkomliga är att placera dem i dokumentroten på webbservern.

Dokumentroten, eller den primära rotkatalogen, är katalogen på webbservern där du lagrar filerna som ska vara tillgängliga för klienterna. Du kan namnge och konfigurera den här katalogen i webbserverprogramvaran. Information om hur du konfigurerar dokumentrotkatalogen på webbservern finns i dokumentationen.

Om du vill kan du skapa olika underkataloger i dokumentrotkatalogen där du lagrar olika installations- och konfigurationsfiler. Du kanske vill skapa specifika underkataloger för varje grupp av klienter som ska installeras. Om du tänker installera flera olika versioner av Solaris OS på nätverket kan du skapa underkataloger för varje version.

I Figur 12–1 visas en enkel exempelstruktur för en dokumentrotkatalog. I det här exemplet finns WAN-startservern och installationsservern på samma dator. På servern körs webbservern Apache.

Figur 12–1 Exempelstruktur för dokumentrotkatalogen

I det här exemplet på dokumentkatalog används följande struktur.

• Katalogen /opt/apache/htdocs är dokumentrotkatalog.

• WAN-startminirotkatalogen (miniroot) innehåller WAN-startminiroten.

• Katalogen wanboot innehåller programmet wanboot.

• Solaris Flash-katalogen (flash) innehåller de anpassade JumpStart-filer som krävs för att installera klienten och underkatalogen archives. Katalogen archives innehåller Solaris 10 6/06 Flash-arkivet.

---

Obs! –

Om WAN-startservern och installationsservern finns på olika datorer kan du lagra flash-katalogen på installationsservern. Se till att WAN-startservern kan komma åt de här filerna och katalogerna.

---

Information om hur du skapar dokumentrotkatalogen finns i dokumentationen för webbservern. Detaljerade instruktioner för hur du skapar och lagrar de här installationsfilerna finns i Skapa de anpassade JumpStart-installationsfilerna.

Lagra konfigurations- och säkerhetsinformation i /etc/netboot-hierarkin

Katalogen /etc/netboot innehåller den konfigurationsinformation, de privata nycklar, digitala certifikat och den certifikatmyndighet (CA) som krävs för en WAN-startinstallation. I det här avsnittet beskrivs de filer och kataloger som du kan skapa i katalogen /etc/netboot för att anpassa WAN-startinstallationen.

Anpassa WAN-startinstallationens omfång

Under installationen söker programmet wanboot-cgi efter klientinformation i katalogen /etc/netboot på WAN-startservern. Programmet wanboot-cgi konverterar den här informationen till WAN-startfilsystemet och överför sedan filsystemet till klienten. Du kan skapa underkataloger i katalogen /etc/netboot om du vill anpassa WAN-startinstallationens omfång. Använd följande katalogstruktur för att definiera hur konfigurationsinformation delas mellan de klienter som du vill installera.

• Global konfiguration – Om du vill att alla klienter på nätverket ska dela konfigurationsinformation lagrar du filerna som du vill dela i katalogen /etc/netboot.

• Nätverksspecifik konfiguration – Om du vill att endast datorer på ett specifikt delnät ska dela konfigurationsinformation, lagrar du de konfigurationsfiler som du vill dela i en underkatalog till /etc/netboot. Se till att underkatalogen följer den här namnkonventionen.

  /etc/netboot/nät-ip

  I det här exemplet är nät-IP IP-adressen för klientens delnät. Om du till exempel vill att alla system på delnätet med IP-adressen 192.168.255.0 ska dela konfigurationsfiler skapar du en katalog som heter /etc/netboot/192.168.255.0. Lagra sedan konfigurationsfilerna i den här katalogen.

• Klientspecifik konfiguration – Om du bara vill att en specifik klient ska använda startfilsystemet lagrar du filerna för startfilsystemet i en underkatalog till /etc/netboot. Se till att underkatalogen följer den här namnkonventionen.

  /etc/netboot/nät-ip/klient-ID

  I det här exemplet är nät-IP IP-adressen för delnätet. klient-ID är antingen det klient-ID som tilldelats av DHCP-servern eller ett användardefinierat klient-ID. Om du till exempel vill att ett system med klient-ID 010003BA152A42 på delnätet 192.168.255.0 ska använda vissa specifika konfigurationsfiler, skapar du en katalog som heter /etc/netboot/192.168.255.0/010003BA152A42. Lagra sedan de filerna i den här katalogen.

Ange konfigurations- och säkerhetsinformation i katalogen /etc/netboot

Du anger säkerhets- och konfigurationsinformation genom att skapa följande filer och lagra dem i katalogen /etc/netboot.

• wanboot.conf – Den här filen anger klientkonfigurationsinformation för en WAN-startinstallation.

• Systemkonfigurationsfil( system.conf) – Den här systemkonfigurationsfilen anger placeringen av klientens sysidcfg-fil och anpassade JumpStart-filer.

• keystore – Den här filen innehåller klientens HMAC SHA1-hashningsnyckel, 3DES- eller AES-krypteringsnyckel och privat SSL-nyckel.

• truststore – Den här filen innehåller digitala certifikat från de certifikatmyndigheter (CA) som är betrodda av klienten. De här betrodda certifikaten instruerar klienten att servern är tillförlitlig under installationen.

• certstore – Den här filen innehåller klientens digitala certifikat.

  ---

  Obs! –

  Filen certstore måste finnas i klientens ID-katalog. Mer information om underkatalogerna i katalogen /etc/netboot finns i Anpassa WAN-startinstallationens omfång .

  ---

Detaljerade instruktioner för hur du skapar och lagrar de här filerna finns i följande procedurer.

• Så här skapar du konfigurationsfilen

• Så här skapar du filen wanboot.conf

• (Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel

• (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering

Dela konfigurations- och säkerhetsinformation i katalogen /etc/netboot

Om du vill installera klienter på nätverket kan du dela säkerhets- och konfigurationsfiler mellan olika klienter och över hela delnät. Du kan dela de här filerna genom att distribuera konfigurationsinformationen i hela katalogerna /etc/netboot/nät-ip/klient-ID, /etc/netboot/nät-ip och /etc/netboot. Programmet wanboot-cgi söker efter den konfigurationsinformation som passar klienten bäst i de här katalogerna och använder informationen under installationen.

Programmet wanboot-cgi söker efter klientinformation i följande ordning:

1. /etc/netboot/nät-ip/klient-ID – Programmet wanboot-cgi söker först efter konfigurationsinformation som är specifik för klientdatorn. Om katalogen /etc/netboot/nät-ip/klient-ID innehåller all klientkonfigurationsinformation, söker inte programmet wanboot-cgi efter konfigurationsinformation någon annanstans i katalogen /etc/netboot.

2. /etc/netboot/nät-ip – Om all information som krävs inte finns i katalogen /etc/netboot/nät-ip/klient-ID söker programmet wanboot-cgi efter konfigurationsinformation för delnätet i katalogen /etc/netboot/nät-ip.

3. /etc/netboot – Om den återstående informationen inte finns i katalogen /etc/netboot/nät-ip söker programmet wanboot-cgi efter global konfigurationsinformation i katalogen /etc/netboot.

I Figur 12–2 visas hur du kan anpassa WAN-startinstallationer genom att konfigurera katalogen /etc/netboot.

Figur 12–2 Exempel på katalogen /etc/netboot

Med layouten av katalogen /etc/netboot i Figur 12–2 kan du utföra följande WAN-startinstallationer.

• När du installerar klienten 010003BA152A42 använder programmet wanboot-cgi följande filer i katalogen /etc/netboot/192.168.255.0/010003BA152A42.

  • system.conf

  • keystore

  • truststore

  • certstore

  Programmet wanboot-cgi använder sedan filen wanboot.conf i katalogen /etc/netboot/192.168.255.0.

• När du installerar en klient på delnätet 192.168.255.0 använder programmet wanboot-cgi filerna wanboot.conf, keystore och truststore i katalogen /etc/netboot/192.168.255.0. Programmet wanboot-cgi använder sedan filen system.conf i katalogen /etc/netboot.

• När du installerar en klientdator som inte finns på delnätet 192.168.255.0 använder programmet wanboot-cgi följande filer i katalogen /etc/netboot.

  • wanboot.conf

  • system.conf

  • keystore

  • truststore

Lagra programmet wanboot-cgi

Programmet wanboot-cgi överför data och filer från WAN-startservern till klienten. Du måste kontrollera att det här programmet finns i en katalog på WAN-startservern som är åtkomlig för klienten. Ett sätt att göra programmet åtkomligt för klienten är att lagra det i katalogen cgi-bin på WAN-startservern. Du kan vara tvungen att konfigurera webbserverprogramvaran att använda programmet wanboot-cgi som ett CGI-program. Information om kraven för CGI-program finns i dokumentationen för webbservern.

Krav för digitala certifikat

Om du vill öka säkerheten för WAN-startinstallationen kan du använda digitala certifikat och aktivera server- och klientautentisering. Genom att använda digitala certifikat kan WAN-start kontrollera serverns eller klientens identitet under en onlinetransaktion. Digitala certifikat utfärdas av en certifikatmyndighet (CA). Certifikaten innehåller ett serienummer, förfallodatum, en kopia av certifikatsinnehavarens offentliga nyckel och certifikatmyndighetens (CA) digitala signatur.

Om du vill att serverautentisering eller både klient- och serverautentisering ska krävas under installationen måste du installera digitala certifikat på servern. Följ de här riktlinjerna när du använder digitala certifikat.

• Om du vill använda digitala certifikat måste de vara formaterade som en del av en PKCS#12-fil (Public-Key Cryptography Standards #12).

• Om du skapar egna certifikat måste de skapas som PKCS#12-filer.

• Om du tar emot certifikat från en fristående certifikatmyndighet (CA) ska du begära att få dem i PKCS#12-format.

Detaljerade instruktioner om hur du använder PKCS#12-certifikat i WAN-startinstallationer finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.

Säkerhetsbegränsningar för WAN-start

Trots att WAN-start har många olika säkerhetsfunktioner bemöter WAN-start inte de här potentiella säkerhetsriskerna.

• DoS-attacker (Denial of Service) – En DoS-attack kan fungera på många olika sätt men målet är att hindra användare från att komma åt en viss tjänst. En DoS-attack kan översvämma ett nätverk med stora mängder data eller aggressivt använda begränsade resurser. Andra DoS-attacker kan ändra data som överförs mellan system. Installationsmetoden WAN-start skyddar inte servrar och klienter från DoS-attacker.

• Skadade binärfiler på servrar – Installationsmetoden WAN-start kontrollerar inte integriteten för WAN-startminiroten eller Solaris Flash-arkivet innan installationen genomförs. Innan du utför installationen bör du kontrollera integriteten för Solaris-binärfilerna mot Solaris Fingerprint Database på http://sunsolve.sun.com.

• Sekretess för krypterings- och hashningsnycklar – Om du använder krypterings- eller hashningsnycklar med WAN-start måste du skriva nyckelvärdet på kommandoraden under installationen. Vidta nödvändiga försiktighetsåtgärder för att se till att dessa nyckelvärden förblir privata.

• Säkerhetsrisker för nätverkets namntjänst – Om du använder en namntjänst på nätverket bör du kontrollera integriteten för namnservern innan du genomför WAN-start-installationen.

Samla information för WAN-startinstallationer

Du måste samla in en mängd olika data om du vill konfigurera nätverket för en WAN-startinstallation. Det kan vara bra att skriva ned den här informationen medan du förbereder installationen över ett WAN-nätverk.

Anteckna installationsinformationen för WAN-start på följande anteckningsblad.

• Tabell 12–2

• Tabell 12–3

Tabell 12–2 Anteckningsblad för insamlande av serverinformation

Nödvändig information	Kommentar
Installationsserverinformation  Sökväg till WAN-startminiroten på installationsservern Sökväg till de anpassade JumpStart-filerna på installationsservern
WAN-startserverinformation  Sökväg till programmet wanboot på WAN-startservern URL för programmet wanboot-cgi på WAN-startservern Sökväg till klientens underkatalog i /etc/netboot-hierarkin på WAN-startservern (Valfritt) Filnamnet för PKCS#12-certifikatfilen (Valfritt) Värdnamn för de datorer utöver WAN-startservern som krävs för WAN-startinstallationen (Valfritt) IP-adress och TCP-portnummer för nätverkets proxyserver
Valfri serverinformation  URL för bootlog-cgi-skriptet på inloggningsservern IP-adress och TCP-portnummer för nätverkets proxyserver

Tabell 12–3 Anteckningsblad för insamlande av klientinformation

Information	Kommentar
IP-adress för klientens delnät
IP-adress för klientens router
Klientens IP-adress
Klientens delnätsmask
Klientens värdnamn
Klientens MAC-adress