test

Solaris 10 10/08 Installationshandbuch: Netzwerkbasierte Installation

Teil III Installation über ein WAN

Dieser Teil beschreibt, wie Sie ein System mithilfe der WAN-Boot-Installation über ein WAN (Wide Area Network) installieren.

Kapitel 10 WAN-Boot (Übersicht)

Dieses Kapitel bietet eine Übersicht über das WAN-Boot-Installationsverfahren. Er umfasst die folgenden Themen:

Was ist WAN-Boot?

Das WAN-Boot-Installationsverfahren ermöglicht es, Software unter Verwendung von HTTP über ein WAN (Wide Area Network) zu booten und zu installieren. Mit WAN-Boot können Sie Solaris über große, öffentliche Netzwerke, deren Infrastruktur möglicherweise nicht vertrauenswürdig ist, auf SPARC-Systemen installieren. Die Sicherheitsfunktionen von WAN-Boot schützen die Vertraulichkeit der Daten und stellen die Integrität des Installationsabbilds sicher.

Mit der WAN-Boot-Installationsmethode können Sie ein verschlüsseltes Solaris Flash-Archiv über ein öffentliches Netzwerk an einen entfernten SPARC-Client übertragen. Die WAN-Boot-Programme installieren das Clientsystem dann, indem sie eine benutzerdefinierte JumpStart-Installation durchführen. Die Integrität der Installation lässt sich mit privaten Schlüsseln zur Authentifizierung und Verschlüsselung der Daten schützen. Sie können die Installationsdaten und -dateien auch über eine sichere HTTP-Verbindung senden. Hierfür müssen Sie auf Ihren Systemen die Verwendung von digitalen Zertifikaten konfigurieren.

Bei einer WAN-Boot-Installation laden Sie die folgenden Informationen über eine HTTP- oder sichere HTTP-Verbindung von einem Webserver herunter und installieren ein SPARC-System.

Dann installieren Sie das Archiv mit dem benutzerdefinierten JumpStart-Verfahren auf dem Client.

Die oben aufgeführten Daten können Sie bei der Übertragung durch Schlüssel und digitale Zertifikate schützen.

In Wie funktioniert WAN-Boot (Übersicht) ist die Abfolge der bei einer WAN-Boot-Installation stattfindenden Ereignisse ausführlicher dargestellt.

Wann ist WAN-Boot sinnvoll?

Das WAN-Boot-Installationsverfahren ermöglicht es, an entfernten Standorten SPARC-Systeme zu installieren. Es bietet sich an, WAN-Boot für die Installation von entfernten Servern oder Clients einzusetzen, die nur über ein öffentliches Netzwerk zugänglich sind.

Für eine Installation von Systemen in Ihrem LAN (Local Area Network) erfordert das WAN-Boot-Installationsverfahren mehr Konfigurations- und Administrationsaufwand als nötig. Informationen, wie Sie Systeme über ein LAN installieren, finden Sie in Kapitel 4Installieren über das Netzwerk (Übersicht).

Wie funktioniert WAN-Boot (Übersicht)

Bei der Installation eines entfernten SPARC-Clients mit WAN-Boot kommt eine Kombination von Servern, Konfigurationsdateien, CGI-Programmen (Common Gateway Interface) und Installationsdateien zum Einsatz. Dieser Abschnitt zeigt die allgemeine Abfolge der bei einer WAN-Boot-Installation stattfindenden Ereignisse.

Ereignisabfolge bei einer WAN-Boot-Installation

Abbildung 10–1 zeigt die grundlegende Reihenfolge der Ereignisse bei einer WAN-Boot-Installation. In dieser Abbildung ruft ein SPARC-Client über ein WAN Konfigurationsdaten und Installationsdateien von einem Webserver und einem Installationsserver ab.

Abbildung 10–1 Ereignisabfolge in einer WAN-Boot-Installation

Der Inhalt der Grafik ist im Kontext beschrieben.

  1. Sie booten den Client auf eine der folgenden Arten:

    • Booten aus dem Netzwerk durch Setzen von Netzwerkschnittstellen-Variablen im Open Boot PROM (OBP).

    • Booten aus dem Netzwerk mit der DHCP-Option.

    • Booten von einer lokalen CD-ROM.

  2. Das Client-OBP erhält Konfigurationsinformationen aus einer dieser Quellen:

    • Von Boot-Argumentwerten, die vom Benutzer in die Befehlszeile eingegeben werden.

    • Vom DHCP-Server, sofern im Netzwerk DHCP verwendet wird.

  3. Das Client-OBP fordert das sekundäre Boot-Programm wanboot an.

    Das Client-OBP lädt das wanboot-Programm von einer der folgenden Quellen herunter:

    • Von einem speziellen Webserver, dem WAN-Boot-Server, unter Verwendung von HTTP.

    • Von einer lokalen CD-ROM (nicht abgebildet).

  4. Das wanboot-Programm fordert die Client-Konfigurationsinformationen vom WAN-Boot-Server an.

  5. Das wanboot-Programm lädt Konfigurationsdateien, die vom Programm wanboot-cgi übertragen werden, vom WAN-Boot-Server herunter. Die Konfigurationsdateien werden als WAN-Boot-Dateisystem an den Client übertragen.

  6. Das wanboot-Programm fordert die WAN-Boot-Miniroot vom WAN-Boot-Server an.

  7. Das wanboot-Programm lädt die WAN-Boot-Miniroot per HTTP oder sicheres HTTP vom WAN-Boot-Server herunter.

  8. Das wanboot-Programm lädt den UNIX-Kernel aus der WAN-Boot-Miniroot und führt ihn aus.

  9. Der UNIX-Kernel sucht das WAN-Boot-Dateisystem und hängt es zur Verwendung durch das Solaris-Installationsprogramm ein.

  10. Das Installationsprogramm fordert ein Solaris Flash-Archiv und JumpStart-Dateien von einem Installationsserver an.

    Das Installationsprogramm lädt das Archiv und die JumpStart-Dateien über eine HTTP- oder HTTPS-Verbindung herunter.

  11. Das Installationsprogramm installiert mit dem benutzerdefinierten JumpStart-Verfahren das Solaris Flash-Archiv auf dem Client.

Schutz der Daten während einer WAN-Boot-Installation

Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von Hashing-Schlüsseln und digitalen Zertifikaten zum Schutz der Systemdaten während der Installation. In diesem Abschnitt werden die vom WAN-Boot-Installationsverfahren unterstützten Datenschutzmethoden kurz dargestellt.

Überprüfen der Datenintegrität mit einem Hashing-Schlüssel

Zum Schutz der Daten, die von einem WAN-Boot-Server an den Client übertragen werden, können Sie einen sog. HMAC-Schlüssel (Hashed Message Authentication Code) erstellen. Diesen Hashing-Schlüssel installieren Sie sowohl auf dem WAN-Boot-Server als auch auf dem Client. Der WAN-Boot-Server signiert mit diesem Schlüssel die an den Client zu übertragenden Daten. Der Client verwendet den Schlüssel dann zum Überprüfen der Integrität der vom WAN-Boot-Server übertragenen Daten. Nach der Installation eines Hashing-Schlüssels auf einem Client steht dieser Schlüssel dem Client für künftige WAN-Boot-Installationen zur Verfügung.

Anweisungen zur Verwendung eines Hashing-Schlüssels finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.

Verschlüsseln von Daten mit Chiffrierschlüsseln

Mit WAN-Boot-Installationsverfahren können Sie Daten verschlüsseln, die vom WAN-Boot-Server an den Client gesendet werden. Mit den WAN-Boot-Dienstprogrammen können Sie eine 3DES(Triple Data Encryption Standard)- oder AES(Advanced Encryption Standard)-Verschlüsselung, den Chiffrierschlüssel, generieren. Diesen Schlüssel stellen Sie dann sowohl dem WAN-Boot-Server als auch dem Client zur Verfügung. Mit diesem Chiffrierschlüssel verschlüsselt WAN-Boot die vom WAN-Boot-Server an den Client übertragenen Daten. Der Client verwendet diesen Schlüssel dann zum Entschlüsseln der Konfigurations- und Sicherheitsdateien, die während der Installation übertragen werden.

Nach der Installation eines Chiffrierschlüssels auf einem Client steht dieser Schlüssel dem Client für künftige WAN-Boot-Installationen zur Verfügung.

Der Einsatz einer Verschlüsselung ist jedoch nicht an allen Standorten zulässig. Um festzustellen, ob die Verschlüsselung an Ihrem Standort möglich ist, wenden Sie sich bitte an Ihren Sicherheitsadministrator. Ist die Verschlüsselung an Ihrem Standort zulässig, fragen Sie Ihren Sicherheitsadministrator, ob Sie mit einer 3DES- oder AES-Verschlüsselung arbeiten sollen.

Anweisungen zur Verwendung eines Chiffrierschlüssels finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.

Schutz von Daten durch HTTPS

WAN-Boot unterstützt den Einsatz von HTTPS (HTTP over Secure Sockets Layer) für die Übertragung von Daten zwischen WAN-Boot-Server und Client. Mit HTTPS können Sie bewirken, dass sich entweder nur der Server oder sowohl der Server als auch der Client während der Installation ausweisen müssen. HTTPS verschlüsselt außerdem die Daten, die bei der Installation vom Server an den Client übertragen werden.

Bei HTTPS kommen digitale Zertifikate zur Authentifizierung von Systemen zum Einsatz, die über das Netzwerk Daten austauschen. Ein digitales Zertifikat ist eine Datei, die ein Server- oder ein Clientsystem als vertrauenswürdigen Teilnehmer der Online-Kommunikation ausweist. Digitale Zertifikate können von externen Zertifizierungsstellen (CAs) angefordert oder durch Erzeugen einer eigenen Zertifizierungsstelle selbst generiert werden.

Damit der Client den Server als vertrauenswürdig akzeptiert und Daten von ihm annimmt, müssen Sie ein digitales Zertifikat auf dem Server installieren. Dann weisen Sie den Client an, dieses Zertifikat zu akzeptieren. Sie können auch festlegen, dass sich der Client gegenüber dem Server ausweist. Dafür stellen Sie dem Client ein digitales Zertifikat zur Verfügung. Anschließend weisen Sie den Server an, den Signierer des Zertifikats zu akzeptieren, wenn der Client das Zertifikat bei der Installation vorlegt.

Wenn Sie digitale Zertifikate bei der Installation einsetzen möchten, müssen Sie den Webserver für die Verwendung von HTTPS konfigurieren. Informationen über die Arbeit mit HTTPS entnehmen Sie bitte der Dokumentation Ihres Webservers.

Die Voraussetzungen für die Verwendung von digitalen Zertifikaten bei der WAN-Boot-Installation finden Sie in Voraussetzungen für digitale Zertifikate. Anweisungen zur Verwendung von digitalen Zertifikaten bei der WAN-Boot-Installation finden Sie in (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung.

Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht)

WAN-Boot unterstützt verschiedene Sicherheitsstufen. Sie können die von WAN-Boot unterstützten Sicherheitsleistungsmerkmale im Hinblick auf die Anforderungen in Ihrem Netzwerk kombinieren. Eine Konfiguration mit einer höheren Sicherheit erfordert zwar mehr Administrationsaufwand, bedeutet aber auch einen besseren Schutz für Ihre Systemdaten. Für wichtigere Systeme oder Systeme, die über ein öffentliches Netzwerk installiert werden sollen, eignet sich die Konfiguration unter Sichere WAN-Boot-Installationskonfiguration. Für etwas weniger wichtige Systeme oder Systeme in halb-privaten Netzwerken könnte die in Unsichere WAN-Boot-Installationskonfiguration beschriebene Konfiguration eine gute Lösung sein.

In diesem Abschnitt werden die Konfigurationen für unterschiedliche Sicherheitsstufen bei der WAN-Boot-Installation kurz dargestellt. Darüber hinaus werden die in den verschiedenen Konfigurationen angewendeten Sicherheitsmechanismen beschrieben.

Sichere WAN-Boot-Installationskonfiguration

Diese Konfiguration schützt die Integrität der zwischen Server und Client übertragenen Daten und trägt zur Geheimhaltung des Übertragungsinhalts bei. In dieser Konfiguration kommen eine HTTPS-Verbindung und entweder der 3DES- oder der AES-Algorithmus zur Verschlüsselung der Client-Konfigurationsdateien zum Einsatz. Sie sieht auch vor, dass sich der Server bei der Installation gegenüber dem Client ausweist. Für eine sichere WAN-Boot-Installation gelten bezüglich der Sicherheitsfunktionen folgende Voraussetzungen:

Wenn Sie zusätzlich festlegen möchten, dass sich auch der Client bei der Installation ausweisen muss, sind auch diese Sicherheitsfunktionen erforderlich:

Eine Liste der Schritte, die zur Installation mit dieser Konfiguration erforderlich sind, finden Sie in Tabelle 12–1.

Unsichere WAN-Boot-Installationskonfiguration

Diese Sicherheitskonfiguration bedeutet zwar den geringsten Administrationsaufwand, aber auch die geringste Sicherheit bei der Datenübertragung zwischen Webserver und Client. Sie müssen weder einen Hashing-Schlüssel noch eine Verschlüsselung oder digitale Zertifikate generieren. Auch muss der Webserver nicht für die Verwendung von HTTPS konfiguriert sein. Die Installationsdaten und -dateien werden aber über eine HTTP-Verbindung gesendet, die Ihre Installation gegenüber Ausspähversuchen im Netzwerk verwundbar macht.

Wenn Sie möchten, dass der Client die Integrität der übertragenen Daten überprüft, können Sie diese Konfiguration durch den Einsatz eines HMAC SHA1-Hashing-Schlüssels ergänzen. Beachten Sie aber bitte, dass das Solaris Flash-Archiv durch einen Hashing-Schlüssel nicht geschützt wird. Das Archiv wird bei der Installation schutzlos zwischen dem Server und dem Client übertragen.

Eine Liste der Schritte, die zur Installation mit dieser Konfiguration erforderlich sind, finden Sie in Tabelle 12–2.

Kapitel 11 Vorbereiten der Installation mit WAN-Boot (Planung)

In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk für eine WAN-Boot-Installation vorbereiten. Er umfasst die folgenden Themen:

WAN-Boot - Voraussetzungen und Richtlinien

In diesem Abschnitt werden die Systemvoraussetzungen für die Installation von WAN-Boot erläutert.

Tabelle 11–1 Systemvoraussetzungen für WAN-Boot-Installationen

System und Beschreibung 

Anforderungen 

WAN-Boot-Server – Der WAN-Boot-Server ist ein Webserver, der das wanboot-Programm, die Konfigurations- und Sicherheitsdateien und die WAN-Boot-Miniroot bereitstellt.

 

  • Betriebssystem – Solaris 9 12/03 BS, oder kompatible Version

  • Muss als Webserver konfiguriert sein

  • Webserver-Software muss HTTP 1.1 unterstützen

  • Wenn Sie mit digitalen Zertifikaten arbeiten möchten, muss die Webserver-Software HTTPS unterstützen

Installationsserver – Der Installationsserver stellt das Solaris Flash-Archiv und die JumpStart-Dateien bereit, die für die Installation des Clients benötigt werden.

  • Verfügbarer Speicherplatz – Speicherplatz für jedes Solaris Flash-Archiv

  • Laufwerk – CD-ROM- oder DVD-ROM-Laufwerk

  • Betriebssystem – Solaris 9 12/03 BS, oder kompatible Version

Sind Installationsserver und WAN-Boot-Server zwei unterschiedliche Systeme, muss der Installationsserver diese zusätzlichen Voraussetzungen erfüllen:  

  • Muss als Webserver konfiguriert sein

  • Webserver-Software muss HTTP 1.1 unterstützen

  • Wenn Sie mit digitalen Zertifikaten arbeiten möchten, muss die Webserver-Software HTTPS unterstützen

Clientsystem – Das entfernte System, das über ein WAN installiert werden soll

 

  • Arbeitsspeicher - Mindestens 512 MB RAM

  • CPU – Mindestens UltraSPARC II-Prozessor

  • Festplatte – Mindestens 2 GB Speicherplatz auf der Festplatte

  • OBP – WAN-Boot-fähiger PROM

    Verfügt der Client nicht über einen geeigneten PROM, so muss er mit einem CD-ROM-Laufwerk ausgestattet sein.

    Wie Sie herausfinden können, ob der Client über ein PROM mit WAN-Boot-Unterstützung verfügt, erfahren Sie in So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung.

(Optional) DHCP-Server – Für die Bereitstellung der Client-Konfigurationsinformationen können Sie einen DHCP-Server einsetzen.

Wenn Sie mit einem SunOS-DHCP-Server arbeiten, müssen Sie folgende Schritte durchführen: 

Befindet sich der DHCP-Server in einem anderen Teilnetz als der Client, müssen Sie einen BOOTP-Relay-Agenten konfigurieren. Näheres zur Konfiguration eines BOOTP-Relay-Agenten finden Sie in Kapitel 14, Konfiguration des DHCP-Services (Aufgaben) in Systemverwaltungshandbuch: IP Services.

(optional) Protokollserver– Per Voreinstellung werden alle während einer WAN-Installation auftretenden Protokollmeldungen für das Booten und die Installation auf der Client-Konsole angezeigt. Um diese Meldungen auf einem anderen System anzeigen zu lassen, geben Sie ein System an, das als Protokollserver dienen soll.

Muss als Webserver konfiguriert sein. 

Hinweis –

Wenn Sie bei der Installation mit HTTPS arbeiten, müssen Protokollserver und WAN-Boot-Server identisch sein.

(Optional) Proxy-Server – Sie können das Leistungsmerkmal WAN-Boot so konfigurieren, dass das Herunterladen der Installationsdaten und -dateien über einen HTTP-Proxy erfolgt.

Wenn die Installation per HTTPS vorgenommen wird, muss der Proxy-Server zum Tunneln von HTTPS konfiguriert sein. 

Webserver-Software - Voraussetzungen und Richtlinien

Die Webserver-Software auf dem WAN-Boot- und dem Installationsserver muss die folgenden Voraussetzungen erfüllen:

Serverkonfigurationsoptionen

Sie können die Konfiguration der von WAN-Boot benötigten Server an die Anforderungen in Ihrem Netzwerk anpassen. Die erforderlichen Server können entweder auf einem System oder auf verschiedenen Systemen eingerichtet werden.

Speichern von Installations- und Konfigurationsdateien im Dokument-Root-Verzeichnis

Das Programm wanboot-cgi überträgt bei der WAN-Boot-Installation die folgenden Dateien:

Damit das Programm wanboot-cgi diese Dateien übertragen kann, müssen Sie sie in einem für die Webserver-Software zugänglichen Verzeichnis speichern. Eine Möglichkeit, die Dateien zugänglich zu machen, besteht darin, sie im Dokument-Root-Verzeichnis auf dem Webserver abzulegen.

Das Dokument-Root-Verzeichnis (auch primäres Dokumentverzeichnis genannt) ist das Verzeichnis auf dem Webserver, in dem Dateien gespeichert werden sollen, die für Client abrufbar sind. Dieses Verzeichnis können Sie mit der Webserver-Software benennen und konfigurieren. Genauere Informationen über die Einrichtung des Dokument-Root-Verzeichnisses auf dem Webserver entnehmen Sie bitte der Dokumentation Ihres Webservers.

Es bietet sich an, für die verschiedenen Installations- und Konfigurationsdateien eigene Unterverzeichnisse unter dem Dokument-Root-Verzeichnis anzulegen. So könnten Sie beispielsweise ein spezifisches Unterverzeichnis für jede zu installierende Client-Gruppe erzeugen. Wenn Sie beabsichtigen, im Netzwerk unterschiedliche Versionen von Solaris zu installieren, können Sie auch ein Unterverzeichnis pro Version erzeugen.

Abbildung 11–1 zeigt eine allgemeine Beispielstruktur für ein Dokument-Root-Verzeichnis. In diesem Beispiel befinden sich WAN-Boot-Server und Installationsserver auf demselben System. Auf dem Server wird die Webserver-Software Apache ausgeführt.

Abbildung 11–1 Beispielstruktur eines Dokument-Root-Verzeichnisses

Der Inhalt der Grafik ist im Kontext beschrieben.

Das Dokument-Verzeichnis in diesem Beispiel weist die folgende Struktur auf:

Hinweis –

Sind WAN-Boot-Server und Installationsserver unterschiedliche Systeme, sollten Sie das Verzeichnis flash auf dem Installationsserver erzeugen. Vergewissern Sie sich, dass diese Dateien und Verzeichnisse für den WAN-Boot-Server zugänglich sind.

Wie Sie das Dokument-Root-Verzeichnis erzeugen, entnehmen Sie bitte der Dokumentation Ihres Webservers. Ausführliche Anweisungen zum Erzeugen und Speichern dieser Installationsdateien finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.

Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie

Das Verzeichnis /etc/netboot enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für eine WAN-Boot-Installation erforderlich sind. In diesem Abschnitt sind die Dateien und Verzeichnisse dargestellt, die Sie im Verzeichnis /etc/netboot erzeugen können, um Ihre WAN-Boot-Installation individuell anzupassen.

Anpassung des Aktionsbereichs der WAN-Boot-Installation

Während der Installation sucht das Programm wanboot-cgi im Verzeichnis /etc/netboot auf dem WAN-Boot-Server nach den Client-Informationen. Das Programm wanboot-cgi konvertiert diese Informationen in das WAN-Boot-Dateisystem und überträgt dieses dann an den Client. Mithilfe von Unterverzeichnissen, die Sie in /etc/netboot anlegen können, lässt sich der Aktionsbereich der WAN-Installation anpassen. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.

Angeben von Konfigurations- und Sicherheitsinformationen im Verzeichnis /etc/netboot

Zum Angeben der Konfigurations- und Sicherheitsinformationen erstellen Sie die folgenden Dateien und speichern sie im Verzeichnis /etc/netboot.

Ausführliche Anweisungen zum Erstellen und Speichern dieser Dateien stehen Ihnen in folgenden Abschnitten zur Verfügung:

Freigeben von Konfigurations- und Sicherheitsinformationen im Verzeichnis /etc/netboot

Es besteht die Möglichkeit, dass Sie bei der Installation von Clients in Ihrem Netzwerk dieselben Sicherheits- und Konfigurationsdateien für mehrere Clients oder beispielsweise alle Clients eines Teilnetzes verwenden. Zur Freigabe dieser Dateien können Sie die Konfigurationsinformationen in den Verzeichnissen /etc/netboot/Netz-IP/Client-ID, /etc/netboot/Netz-IP und /etc/netboot bereitstellen. Das Programm wanboot-cgi durchsucht diese Verzeichnisse nach den Konfigurationsinformationen, die am besten auf den jeweiligen Client zutreffen, und verwendet diese Informationen für die Installation.

Das Programm wanboot-cgi sucht in dieser Reihenfolge nach Client-Informationen:

  1. /etc/netboot/Netz-IP/Client-ID – Zuerst sucht das Programm wanboot-cgi nach Client-spezifischen Konfigurationsinformationen. Wenn das Verzeichnis /etc/netboot/Netz-IP/Client-ID alle Client-Konfigurationsinformationen enthält, sucht das Programm wanboot-cgi an keiner weiteren Stelle im Verzeichnis /etc/netboot nach Konfigurationsinformationen.

  2. /etc/netboot/Netz-IP – Wenn nicht alle erforderlichen Informationen im Verzeichnis /etc/netboot/Netz-IP/Client-ID gefunden werden können, sucht das Programm wanboot-cgi anschließend im Verzeichnis /etc/netboot/Netz-IP nach Teilnetz-Konfigurationsinformationen.

  3. /etc/netboot – Wenn die noch ausstehenden Angaben nicht im Verzeichnis /etc/netboot/Netz-IP zu finden sind, sucht das Programm wanboot-cgi dann im Verzeichnis /etc/netboot nach globalen Konfigurationsinformationen.

Abbildung 11–2 zeigt, wie Sie das Verzeichnis /etc/netboot einrichten können, um Ihre WAN-Boot-Installationen anzupassen.

Abbildung 11–2 Beispiel für das Verzeichnis /etc/netboot

Der Inhalt der Grafik ist im Kontext beschrieben.

Das /etc/netboot-Verzeichnislayout in Abbildung 11–2 ermöglicht Ihnen, die folgenden WAN-Boot-Installationen durchzuführen.

Speichern des Programms wanboot-cgi

Das Programm wanboot-cgi überträgt die Daten und Dateien vom WAN-Boot-Server an den Client. Vergewissern Sie sich, dass sich das Programm in einem für den Client zugänglichen Verzeichnis auf dem WAN-Boot-Server befindet. Eine Möglichkeit, das Programm für den Client zugänglich zu machen, besteht darin, es im Verzeichnis cgi-bin des WAN-Boot-Servers zu speichern. Unter Umständen müssen Sie in der Konfiguration Ihrer Webserver-Software festlegen, dass das Programm wanboot-cgi als CGI-Programm verwendet wird. Informationen über die Voraussetzungen für CGI-Programme entnehmen Sie bitte der Dokumentation Ihres Webservers.

Voraussetzungen für digitale Zertifikate

Möchten Sie die WAN-Boot-Installation sicherer gestalten, können Sie mithilfe von digitalen Zertifikaten eine Server- und eine Client-Authentifizierung in den Vorgang einbinden. Auf der Grundlage von digitalen Zertifikaten kann WAN-Boot bei Online-Transaktionen die Identität des Servers oder des Clients feststellen. Digitale Zertifikate werden von einer Zertifizierungsstelle (CA) ausgestellt. Diese Zertifikate enthalten eine Seriennummer, Ablaufdaten, eine Kopie des öffentlichen Schlüssels des Zertifikatinhabers sowie die digitale Signatur der Zertifizierungsstelle.

Wenn Sie möchten, dass sich der Server oder sowohl der Server als auch der Client bei der Installation ausweisen, müssen Sie auf dem Server digitale Zertifikate installieren. Befolgen Sie beim Einsatz von digitalen Zertifikaten bitte diese Richtlinien:

Ausführliche Anweisungen zur Verwendung von PKCS#12-Zertifikaten bei der WAN-Boot-Installation finden Sie in (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung.

Sicherheitslücken bei der Arbeit mit WAN-Boot

Es stehen zwar verschiedene Sicherheitsfunktionen für WAN-Boot zur Verfügung, die folgenden potenziellen Sicherheitsrisiken bleiben jedoch trotzdem bestehen:

Zusammenstellen der Informationen für WAN-Boot-Installationen

Um Ihr Netzwerk für eine WAN-Boot-Installation zu konfigurieren, müssen Sie die verschiedensten Informationen zusammenstellen. Im Rahmen der Vorbereitung einer Installation über das WAN sollten Sie sich diese Angaben notieren.

Zum Aufzeichnen der WAN-Boot-Installationsinformationen für Ihr Netzwerk stehen Ihnen die folgenden Arbeitsblätter zur Verfügung:

Tabelle 11–2 Arbeitsblatt für die Zusammenstellung von Server-Informationen

Benötigte Information 

Anmerkung 

Angaben zum Installationsserver 

  • Pfad zur WAN-Boot-Miniroot auf dem Installationsserver

  • Pfad zu den JumpStart-Dateien auf dem Installationsserver

 

Angaben zum WAN-Boot-Server 

  • Pfad zum wanboot-Programm auf dem WAN-Boot-Server

  • URL des Programms wanboot-cgi auf dem WAN-Boot-Server

  • Pfad zum Client-Unterverzeichnis in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server

  • (Optional) Dateiname der PKCS#12-Zertifikatdatei

  • (Optional) Host-Namen aller für die WAN-Installation benötigten Systeme außer dem WAN-Boot-Server

  • (Optional) IP-Adresse und TCP-Port-Nummer des Proxy-Servers im Netzwerk

 

Angaben zu nicht obligatorischen Servern 

  • URL des Skripts bootlog-cgi auf dem Protokollserver

  • IP-Adresse und TCP-Port-Nummer des Proxy-Servers im Netzwerk

 

Tabelle 11–3 Arbeitsblatt für die Zusammenstellung von Client-Informationen

Informationen 

Anmerkung 

IP-Adresse des Client-Teilnetzes 

 

IP-Adresse des Client-Routers 

 

IP-Adresse des Clients 

 

Client-Teilnetzmaske 

 

Host-Name des Clients 

 

MAC-Adresse des Clients 

 

Kapitel 12 Installieren mit WAN-Boot (Vorgehen)

In diesem Kapitel werden die folgenden Schritte zur Vorbereitung Ihres Netzwerks für eine WAN-Boot-Installation erläutert:

Installieren über ein regional erweitertes Netzwerk (WAN) (Übersicht der Schritte)

In den folgenden Tabellen sehen Sie die Schritte, die Sie zur Vorbereitung einer WAN-Boot-Installation durchführen müssen.

Wenn Sie einen DHCP-Server oder einen Protokollserver verwenden möchten, führen Sie außerdem die Zusatzschritte aus, die am Ende der jeweiligen Tabelle angegeben sind.

Tabelle 12–1 Übersicht der Schritte: Vorbereitung für eine sichere WAN-Boot-Installation

Aufgabe 

Beschreibung 

Siehe 

Entscheiden Sie, welche Sicherheitsfunktionen Sie bei der Installation einsetzen möchten. 

Lesen Sie die Informationen über Sicherheitsfunktionen und -konfigurationen, um eine geeignete Sicherheitsstufe für Ihre WAN-Boot-Installation wählen zu können. 

Schutz der Daten während einer WAN-Boot-Installation

Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht)

Stellen Sie Informationen für die WAN-Boot-Installation zusammen. 

Füllen Sie das Arbeitsblatt aus, damit Ihnen anschließend alle für die WAN-Boot-Installation benötigten Angaben vorliegen. 

Zusammenstellen der Informationen für WAN-Boot-Installationen

Erzeugen Sie auf dem WAN-Boot-Server das Dokument-Root-Verzeichnis. 

Legen Sie das Dokument-Root-Verzeichnis und etwaige Unterverzeichnisse für die Konfigurations- und Installationsdateien an. 

Erstellen des Dokument-Root-Verzeichnisses

Erzeugen Sie die WAN-Boot-Miniroot. 

Erzeugen Sie mit dem Befehl setup_install_server die WAN-Boot-Miniroot.

SPARC: Erzeugen der WAN-Boot-Miniroot

Vergewissern Sie sich, dass das Clientsystem Unterstützung für WAN-Boot bietet. 

Überprüfen Sie, ob das Client-OBP die Boot-Argumente für WAN-Boot unterstützt. 

So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung

Installieren Sie das wanboot-Programm auf dem WAN-Boot-Server.

Kopieren Sie das wanboot-Programm in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.

Installation des wanboot-Programms auf dem WAN-Boot-Server

Installieren Sie das Programm wanboot-cgi auf dem WAN-Boot-Server.

Kopieren Sie das Programm wanboot-cgi in das CGI-Verzeichnis auf dem WAN-Boot-Server.

So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server

(Optional) Richten Sie den Protokollserver ein. 

Konfigurieren Sie ein spezielles System für die Anzeige von Boot- und Installationsprotokoll- meldungen. 

(Optional) So konfigurieren Sie den WAN-Boot-Protokollserver

Legen Sie die /etc/netboot-Hierarchie an.

Speichern Sie die für eine WAN-Boot-Installation erforderlichen Konfigurations- und Sicherheitsdateien in der /etc/netboot-Hierarchie.

Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server

Für eine sicherere WAN-Boot-Installation stellen Sie die Webserver-Konfiguration auf sicheres HTTP ein. 

Ermitteln Sie die Webserver-Voraussetzungen für eine WAN-Installation per HTTPS. 

(Optional) Schützen der Daten mit HTTPS

Formatieren Sie digitale Zertifikate für eine sicherere WAN-Boot-Installation. 

Teilen Sie eine PKCS#12-Datei in einen privaten Schlüssel und ein Zertifikat für die WAN-Installation auf. 

(Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung

Erzeugen Sie einen Hashing- und einen Chiffrierschlüssel für eine sicherere WAN-Boot-Installation. 

Generieren Sie HMAC SHA1-, 3DES- oder AES-Schlüssel mit dem Befehl wanbootutil keygen.

(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel

Erzeugen Sie das Solaris Flash-Archiv. 

Erstellen Sie mit dem Befehl flar create ein Archiv der Software, die auf dem Client installiert werden soll.

So erzeugen Sie das Solaris Flash-Archiv

Erzeugen Sie die Installationsdateien für die benutzerdefinierte JumpStart-Installation. 

Erzeugen Sie die folgenden Dateien in einem Texteditor: 

  • sysidcfg

  • Profil

  • rules.ok

  • begin scripts

  • finish scripts

So erzeugen Sie die Datei sysidcfg

So erstellen Sie das Profil

So erstellen Sie die Datei rules

(Optional) Erzeugen von Begin- und Finish-Skripten

Erzeugen Sie die Systemkonfigurationsdatei. 

Geben Sie in der Datei system.conf die Konfigurationsinformationen an.

So erzeugen Sie die Systemkonfigurationsdatei

Erzeugen Sie die WAN-Boot-Konfigurationsdatei. 

Geben Sie in der Datei wanboot.conf die Konfigurationsinformationen an.

So erzeugen Sie die Datei wanboot.conf

(Optional) Aktivieren Sie in der Konfiguration des DHCP-Servers die Unterstützung für die WAN-Boot-Installation. 

Geben Sie auf dem DHCP-Server Sun-Herstelleroptionen und -Makros an. 

Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen)

Tabelle 12–2 Übersicht der Schritte: Vorbereitung für eine unsichere WAN-Boot-Installation

Aufgabe 

Beschreibung 

Siehe 

Entscheiden Sie, welche Sicherheitsfunktionen Sie bei der Installation einsetzen möchten. 

Lesen Sie die Informationen über Sicherheitsfunktionen und -konfigurationen, um eine geeignete Sicherheitsstufe für Ihre WAN-Boot-Installation wählen zu können. 

Schutz der Daten während einer WAN-Boot-Installation

Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht)

Stellen Sie Informationen für die WAN-Boot-Installation zusammen. 

Füllen Sie das Arbeitsblatt aus, damit Ihnen anschließend alle für die WAN-Boot-Installation benötigten Angaben vorliegen. 

Zusammenstellen der Informationen für WAN-Boot-Installationen

Erzeugen Sie auf dem WAN-Boot-Server das Dokument-Root-Verzeichnis. 

Legen Sie das Dokument-Root-Verzeichnis und etwaige Unterverzeichnisse für die Konfigurations- und Installationsdateien an. 

Erstellen des Dokument-Root-Verzeichnisses

Erzeugen Sie die WAN-Boot-Miniroot. 

Erzeugen Sie mit dem Befehl setup_install_server die WAN-Boot-Miniroot.

SPARC: Erzeugen der WAN-Boot-Miniroot

Vergewissern Sie sich, dass das Clientsystem Unterstützung für WAN-Boot bietet. 

Überprüfen Sie, ob das Client-OBP die Boot-Argumente für WAN-Boot unterstützt. 

So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung

Installieren Sie das wanboot-Programm auf dem WAN-Boot-Server.

Kopieren Sie das wanboot-Programm in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.

Installation des wanboot-Programms auf dem WAN-Boot-Server

Installieren Sie das Programm wanboot-cgi auf dem WAN-Boot-Server.

Kopieren Sie das Programm wanboot-cgi in das CGI-Verzeichnis auf dem WAN-Boot-Server.

So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server

(Optional) Richten Sie den Protokollserver ein. 

Konfigurieren Sie ein spezielles System für die Anzeige von Boot- und Installationsprotokoll- meldungen. 

(Optional) So konfigurieren Sie den WAN-Boot-Protokollserver

Legen Sie die /etc/netboot-Hierarchie an.

Speichern Sie die für eine WAN-Boot-Installation erforderlichen Konfigurations- und Sicherheitsdateien in der /etc/netboot-Hierarchie.

Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server

(Optional) Generieren Sie einen Hashing-Schlüssel. 

Erzeugen Sie mit dem Befehl wanbootutil keygen einen HMAC SHA1-Schlüssel.

Für unsichere Installationen mit Überprüfung der Datenintegrität generieren Sie in diesem Schritt einen HMAC SHA1-Hashing-Schlüssel. 

(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel

Erzeugen Sie das Solaris Flash-Archiv. 

Erstellen Sie mit dem Befehl flar create ein Archiv der Software, die auf dem Client installiert werden soll.

So erzeugen Sie das Solaris Flash-Archiv

Erzeugen Sie die Installationsdateien für die benutzerdefinierte JumpStart-Installation. 

Erzeugen Sie die folgenden Dateien in einem Texteditor: 

  • sysidcfg

  • profile

  • rules.ok

  • Begin-Skripten

  • Finish-Skripten

So erzeugen Sie die Datei sysidcfg

So erstellen Sie das Profil

So erstellen Sie die Datei rules

(Optional) Erzeugen von Begin- und Finish-Skripten

Erzeugen Sie die Systemkonfigurationsdatei. 

Geben Sie in der Datei system.conf die Konfigurationsinformationen an.

So erzeugen Sie die Systemkonfigurationsdatei

Erzeugen Sie die WAN-Boot-Konfigurationsdatei. 

Geben Sie in der Datei wanboot.conf die Konfigurationsinformationen an.

So erzeugen Sie die Datei wanboot.conf

(Optional) Aktivieren Sie in der Konfiguration des DHCP-Servers die Unterstützung für die WAN-Boot-Installation. 

Geben Sie auf dem DHCP-Server Sun-Herstelleroptionen und -Makros an. 

Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen)

Konfiguration des WAN-Boot-Servers

Beim WAN-Boot-Server handelt es sich um einen Webserver, der die Boot- und Konfigurationsdaten für die WAN-Boot-Installation bereitstellt. Eine Übersicht der Systemanforderungen für den WAN-Boot-Server finden Sie in Tabelle 11–1.

In diesem Abschnitt werden die folgenden Schritte beschrieben, die zur Konfiguration des WAN-Boot-Servers für eine WAN-Boot-Installation nötig sind:

Erstellen des Dokument-Root-Verzeichnisses

Damit die Webserver-Software auf dem WAN-Boot-Server die Konfigurations- und Installationsdateien bereitstellen kann, müssen Sie ihr Zugang zu diesen Dateien einräumen. Eine Möglichkeit, die Dateien zugänglich zu machen, besteht darin, sie im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server zu speichern.

Wenn Sie die Konfigurations- und Installationsdateien in einem Dokument-Root-Verzeichnis zur Verfügung stellen möchten, müssen Sie dieses Verzeichnis zunächst anlegen. Wie Sie das Dokument-Root-Verzeichnis erzeugen, entnehmen Sie bitte der Dokumentation Ihres Webservers. Ausführliche Informationen zum Planen Ihres Dokument-Root-Verzeichnisses finden Sie unter Speichern von Installations- und Konfigurationsdateien im Dokument-Root-Verzeichnis.

Im Abschnitt Erstellen des Dokument-Root-Verzeichnisses ist beispielhaft dargestellt, wie Sie ein Dokument-Root-Verzeichnis einrichten.

Nachdem Sie das Dokument-Root-Verzeichnis eingerichtet haben, erstellen Sie die WAN-Boot-Miniroot. Eine Anleitung hierzu finden Sie im Abschnitt Erzeugen der WAN-Boot-Miniroot.

Erzeugen der WAN-Boot-Miniroot

WAN-Boot verwendet eine speziell auf die WAN-Boot-Installation ausgerichtete Solaris-Miniroot. Die WAN-Boot-Miniroot enthält einen Teilsatz der Software in der Solaris-Miniroot. Wenn Sie eine WAN-Boot-Installation durchführen möchten, müssen Sie die Miniroot von der Solaris-DVD oder der Solaris Software - 1 CD auf den WAN-Boot-Server kopieren. Kopieren Sie die WAN-Boot-Miniroot mit dem Befehl setup_install_server und der Option -w vom Solaris-Softwaredatenträger auf die Festplatte des Systems.

ProcedureSPARC: Erzeugen der WAN-Boot-Miniroot

Bei diesem Verfahren wird eine SPARC-WAN-Boot-Miniroot mit einem SPARC-Datenträger erzeugt. Wenn Sie eine SPARC-WAN-Boot-Miniroot von einem x86–basierten Server aus zur Verfügung stellen möchten, müssen Sie die Miniroot auf einem SPARC-System erzeugen. Nachdem Sie die Miniroot erzeugt haben, kopieren Sie sie in das Dokument-Root-Verzeichnis auf dem x86–basierten Server.

Bevor Sie beginnen

Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Wenn Sie nicht den Volume Manager verwenden, lesen Sie System Administration Guide: Devices and File Systems .

  1. Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim WAN-Boot-Server an.

    Das System muss die folgenden Voraussetzungen erfüllen:

    • Es muss ein CD-ROM- oder DVD-ROM-Laufwerk aufweisen.

    • Es muss Teil des Netzwerks und Naming Service des Standorts sein.

      Wenn Sie einen Naming Service verwenden, muss sich das System außerdem bereits in einem Naming Service wie NIS, NIS+, DNS oder LDAP befinden. Wenn Sie keinen Naming Service verwenden, müssen Sie die Informationen über dieses System in Übereinstimmung mit den Richtlinien des jeweiligen Standorts verteilen.

  2. Legen Sie die Solaris Software - 1 CD oder die Solaris-DVD in das Laufwerk des Installationsservers ein.

  3. Erzeugen Sie ein Verzeichnis für die WAN-Boot-Miniroot und das Solaris-Installationsabbild.


    # mkdir -p WAN_verz_pfad Inst_verz_pfad
    -p

    Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.

    WAN_verz_pfad

    Gibt das Verzeichnis auf dem Installationsserver an, in dem die WAN-Boot-Miniroot erzeugt werden soll. Dieses Verzeichnis muss Miniroots aufnehmen können, die in der Regel 250 MB groß sind.

    Inst_verz_pfad

    Gibt das Verzeichnis auf dem Installationsserver an, in welches das Solaris-Software-Abbild kopiert werden soll. Dieses Verzeichnis kann zu einem späteren Zeitpunkt in diesem Verfahren entfernt werden.

  4. Wechseln Sie in das Verzeichnis Tools auf dem eingehängten Datenträger.


    # cd /cdrom/cdrom0/Solaris_10/Tools

    In diesem Beispiel ist cdrom0 der Pfad zu dem Laufwerk mit dem BS-Datenträger.

  5. Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild auf die Festplatte des WAN-Boot-Servers.


    # ./setup_install_server -w WAN_verz_pfad Inst_verz_pfad
    WAN_verz_pfad

    Gibt das Verzeichnis an, in das die WAN-Boot-Miniroot kopiert werden soll.

    Inst_verz_pfad

    Gibt das Verzeichnis an, in welches das Solaris-Software-Abbild kopiert werden soll.

    Hinweis –

    Der Befehl setup_install_server gibt an, ob ausreichend Festplattenspeicher für die Solaris Software-Datenträgerabbilder vorhanden ist. Um den verfügbaren Festplattenspeicher zu ermitteln, verwenden Sie den Befehl df -kl.

    Der Befehl setup_install_server -w erzeugt die WAN-Boot-Miniroot und ein Netzwerkinstallationsabbild der Solaris-Software.

  6. (Optional) Entfernen Sie das Netzwerkinstallationsabbild.

    Für eine WAN-Installation mit Solaris Flash-Archiv brauchen Sie das Solaris-Software-Abbild nicht. Wenn Sie nicht beabsichtigen, das Netzwerkinstallationsabbild für weitere Netzwerkinstallationen einzusetzen, haben Sie also die Möglichkeit, Speicherplatz auf der Festplatte freizuräumen. Geben Sie folgenden Befehl ein, um das Netzwerkinstallationsabbild zu löschen.


    # rm -rf Inst_verz_pfad

  7. Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zur WAN-Boot-Miniroot ein.

    • Erzeugen Sie einen symbolischen Link auf die WAN-Boot-Miniroot im Dokument-Root-Verzeichnis des WAN-Boot-Servers.


      # cd /Dok_Root-Verz/miniroot
# ln -s /WAN_verz_pfad/miniroot .
      Dok_Root-Verz/miniroot

      Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem Sie die Verknüpfung zur WAN-Boot-Miniroot erzeugen möchten.

      /WAN_verz_pfad/miniroot

      Gibt den Pfad zur WAN-Boot-Miniroot an.

    • Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.


      # mv /WAN_verz_pfad/miniroot /Dok_Root-Verz/miniroot/Miniroot-Name
      WAN_verz_pfad/miniroot

      Gibt den Pfad zur WAN-Boot-Miniroot an.

      /Dok_Root-Verz/miniroot/

      Gibt den Pfad zum WAN-Boot-Miniroot-Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.

      Miniroot-Name

      Steht für den Namen der WAN-Boot-Miniroot. Geben Sie der Datei einen aussagefähigen Namen, beispielsweise miniroot.s10_sparc.

Beispiel 12–1 Erzeugen der WAN-Boot-Miniroot

Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild mit dem Befehl setup_install_server(1M) und der Option -w in das Verzeichnis /export/install/Solaris_10 von wanserver-1.

Legen Sie den Solaris Software-Datenträger in das an wanserver-1 angeschlossene Laufwerk ein. Geben Sie die folgenden Befehle ein.


wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis (/opt/apache/htdocs/) des WAN-Boot-Servers. In diesem Beispiel lautet der Name der WAN-Boot-Miniroot miniroot.s10_sparc.


wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc
Fortsetzen der WAN-Boot-Installation

Nachdem Sie die WAN-Boot-Miniroot erstellt haben, müssen Sie prüfen, ob das OpenBoot PROM (OBP) auf dem Client WAN-Bootvorgänge unterstützt. Wie das geht, erfahren Sie im Abschnitt Überprüfen des Clients auf WAN-Boot-Unterstützung.

Siehe auch

Nähere Informationen zum Befehl setup_install_server finden Sie in install_scripts(1M).

Überprüfen des Clients auf WAN-Boot-Unterstützung

Für eine WAN-Boot-Installation ohne Benutzereingriff muss das Client-OpenBoot PROM (OBP) Unterstützung für WAN-Boot bieten. Sollte dies nicht der Fall sein, können Sie die WAN-Boot-Installation durchführen, indem Sie die erforderlichen Programme lokal auf einer CD bereitstellen.

Ob der Client WAN-Bootvorgänge unterstützt, können Sie anhand seiner OBP-Konfigurationsvariablen ermitteln. Gehen Sie dazu wie im Folgenden beschrieben vor.

ProcedureSo überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung

Mit dem folgenden Verfahren können Sie feststellen, ob das Client-OBP Unterstützung für WAN-Boot bietet.

  1. Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.

    Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.

  2. Überprüfen Sie die OBP-Konfigurationsvariablen auf WAN-Boot-Unterstützung.


    # eeprom | grep network-boot-arguments

    • Wenn die Variable network-boot-arguments angezeigt wird oder der obige Befehl die Ausgabe network-boot-arguments: data not available liefert, bietet das OBP Unterstützung für WAN-Boot-Installationen. Sie müssen das OBP vor der WAN-Boot-Installation also nicht aktualisieren.

    • Liefert der vorige Befehl keine Ausgabe, bedeutet dies, dass das OBP WAN-Boot-Installationen nicht unterstützt. In diesem Fall müssen Sie eine der nachfolgenden Maßnahmen ergreifen.

      • Aktualisieren Sie das Client-OBP. Bei Clients, die über ein WAN-Boot-Installationen unterstützendes OBP verfügen, können Sie Informationen zum Aktualisieren des OBP in der Systemdokumentation nachlesen.

        Hinweis –

        Nicht alle Client-OBPs unterstützen WAN-Boot. Für diese Clients verwenden Sie die nächste Option.

      • Wenn Sie die erforderlichen Vorbereitungsschritte abgeschlossen haben und bereit zur Client-Installation sind, führen Sie die WAN-Boot-Installation von der Solaris Software-CD1 oder DVD aus. Diese Option funktioniert in Fällen, bei denen das aktuelle OBP das WAN-Booten nicht unterstützt.

        Wie Sie den Client von CD1 booten, erfahren Sie in So nehmen Sie eine WAN-Boot-Installation mit lokalen CDs vor. Informationen zu den restlichen Vorbereitungsschritten finden Sie im Abschnitt Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

Beispiel 12–2 Überprüfen des Client-OBP auf Unterstützung für WAN-Boot

Mit dem folgenden Befehl stellen Sie fest, ob das Client-OBP Unterstützung für WAN-Boot bietet.


# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

Die Ausgabe network-boot-arguments: data not available in diesem Beispiel weist darauf hin, dass das Client-OBP Unterstützung für WAN-Boot-Installationen bietet.

Fortsetzen der WAN-Boot-Installation

Wenn Sie überprüft haben, dass das Client-OBP WAN-Boot unterstützt, müssen Sie das Programm wanboot auf den WAN-Boot-Server kopieren. Eine Anleitung hierzu finden Sie im Abschnitt Installation des wanboot-Programms auf dem WAN-Boot-Server.

Sollte das Client-OBP hingegen keine Unterstützung für wanboot bieten, ist dieser Schritt überflüssig. Stattdessen stellen Sie das wanboot-Programm auf dem Client auf einer lokalen CD bereit. Der nächste Schritt im Installationsprozess ist im Abschnitt Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server beschrieben.

Siehe auch

Weitere Informationen zum Befehl setup_install_server finden Sie in Kapitel 4Installieren über das Netzwerk (Übersicht).

Installation des wanboot-Programms auf dem WAN-Boot-Server

Für die Installation des Clients kommt in WAN-Boot ein spezielles Unterprogramm (wanboot) zum Einsatz. Das wanboot-Programm lädt die WAN-Boot-Miniroot, die Client-Konfigurationsdateien und die für eine WAN-Boot-Installation erforderlichen Installationsdateien.

Das wanboot-Programm muss dem Client während der WAN-Boot-Installation zur Verfügung gestellt werden. Hierzu haben Sie folgende Möglichkeiten:

ProcedureSPARC: Installation des wanboot-Programms auf dem WAN-Boot-Server

Dieses Verfahren beschreibt, wie Sie das wanboot-Programm von den Solaris-Datenträgern auf den WAN-Boot-Server kopieren.

Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Wenn Sie nicht den Volume Manager verwenden, lesen Sie System Administration Guide: Devices and File Systems .

Bevor Sie beginnen

Vergewissern Sie sich, dass das Clientsystem Unterstützung für WAN-Boot bietet. Die erforderlichen Schritte hierzu sind unter So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung beschrieben.

  1. Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim Installationsserver an.

  2. Legen Sie die Solaris Software - 1 CD oder die Solaris-DVD in das Laufwerk des Installationsservers ein.

  3. Wechseln Sie in das Plattformverzeichnis sun4u auf der Solaris Software - 1 CD oder der Solaris-DVD.


    # cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/

  4. Kopieren Sie das wanboot-Programm auf den Installationsserver.


    # cp wanboot /Dokument-Root-Verz/wanboot/Wanboot-Name
    Dokument-Root-Verz

    Steht für das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.

    Wanboot-Name

    Gibt den Namen des wanboot-Programms an. Geben Sie der Datei einen aussagefähigen Namen, beispielsweise wanboot.s10_sparc.

  5. Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zum wanboot-Programm ein.

    • Erzeugen Sie einen symbolischen Link auf das wanboot-Programm im Dokument-Root-Verzeichnis des WAN-Boot-Servers.


      # cd /Dokument-Root-Verz/wanboot
# ln -s /WAN_verz_pfad/wanboot .
      Dokument-Root-Verz/wanboot

      Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem Sie die Verknüpfung zum wanboot-Programm erzeugen möchten.

      /WAN_verz_pfad/wanboot

      Gibt den Pfad zum wanboot-Programm an.

    • Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.


      # mv /WAN_verz_pfad/wanboot /Dokument-Root-Verz/wanboot/Wanboot-Name
      WAN_verz_pfad/wanboot

      Gibt den Pfad zum wanboot-Programm an.

      Dokument-Root-Verz/wanboot/

      Gibt den Pfad zum wanboot-Programmverzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.

      Wanboot-Name

      Gibt den Namen des wanboot-Programms an. Geben Sie der Datei einen aussagefähigen Namen, beispielsweise wanboot.s10_sparc.

Beispiel 12–3 Installation des wanboot-Programms auf dem WAN-Boot-Server

Zum Installieren des wanboot-Programms auf dem WAN-Boot-Server kopieren Sie das Programm vom Solaris Software-Datenträger in das Dokument-Root-Verzeichnis des WAN-Boot-Servers.

Legen Sie die Solaris-DVD oder die Solaris Software - 1 CD in das an wanserver-1 angeschlossene Laufwerk ein, und geben Sie folgende Befehle ein:


wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

In diesem Beispiel lautet der Name des wanboot-Programms wanboot.s10_sparc.

Fortsetzen der WAN-Boot-Installation

Nachdem Sie das wanboot-Programm auf dem WAN-Boot-Server installiert haben, müssen Sie die /etc/netboot-Hierarchie auf dem WAN-Boot-Server erstellen. Dieser Schritt ist im Abschnitt Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server beschrieben.

Siehe auch

Einen Überblick über das wanboot-Programm erhalten Sie im Abschnitt Was ist WAN-Boot?.

Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server

Während der Installation sucht WAN-Boot in der /etc/netboot-Hierarchie auf dem Webserver nach Installationsanweisungen. Dieses Verzeichnis enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für die WAN-Boot-Installation benötigt werden. Aus diesen Informationen bildet das Programm wanboot-cgi bei der Installation das WAN-Boot-Dateisystem. Anschließend überträgt das Programm wanboot-cgi das WAN-Boot-Dateisystem an den Client.

Mithilfe von Unterverzeichnissen, die Sie in /etc/netboot anlegen können, lässt sich der Aktionsbereich der WAN-Installation anpassen. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.

Ausführliche Hinweise zur Planung dieser Konfigurationen finden Sie in Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie.

Das folgende Verfahren beschreibt, wie Sie die /etc/netboot-Hierarchie erstellen.

ProcedureSo erstellen Sie die /etc/netboot-Hierarchie auf dem WAN-Boot-Server

Gehen Sie wie folgt vor, um die /etc/netboot-Hierarchie zu erstellen.

  1. Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim WAN-Boot-Server an.

  2. Erzeugen Sie das Verzeichnis /etc/netboot.


    # mkdir /etc/netboot

  3. Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.


    # chmod 700 /etc/netboot

  4. Setzen Sie den Eigentümer des Verzeichnisses /etc/netboot auf den Webserver-Eigentümer.


    # chown Webserver-Benutzer:Webserver-Gruppe /etc/netboot/
    Webserver-Benutzer

    Steht für den Benutzer, der Eigentümer des Webserver-Prozesses ist.

    Webserver-Gruppe

    Steht für die Gruppe, die Eigentümer des Webserver-Prozesses ist.

  5. Beenden Sie den Superuser-Status.


    # exit

  6. Nehmen Sie die Benutzerrolle des Webserver-Eigentümers an.

  7. Erzeugen Sie in /etc/netboot ein Unterverzeichnis für den Client.


    # mkdir -p /etc/netboot/Netz-IP/Client-ID
    -p

    Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.

    (Optional) Netz-IP

    Die Netzwerk-IP-Adresse des Teilnetzes, in dem sich der Client befindet.

    (Optional) Client-ID

    Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Das Client-ID-Verzeichnis muss ein Unterverzeichnis des Netz-IP-Verzeichnisses sein.

  8. Setzen Sie die Berechtigungen für jedes Verzeichnis in der /etc/netboot-Hierarchie auf 700.


    # chmod 700 /etc/netboot/Verz-Name
    Verz-Name

    Steht für den Namen eines Verzeichnisses in der /etc/netboot-Hierarchie.

Beispiel 12–4 Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server

Das folgende Beispiel zeigt, wie die /etc/netboot-Hierarchie für den Client 010003BA152A42 im Teilnetz 192.168.198.0 erzeugt wird. In diesem Beispiel sind der Benutzer nobody und die Gruppe admin Eigentümer des Webserver-Prozesses.

Die Befehle in diesem Beispiel führen folgende Aktionen durch:


# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42
Fortsetzen der WAN-Boot-Installation

Nachdem Sie die /etc/netboot-Hierarchie erstellt haben, müssen Sie das WAN-Boot-CGI-Programm auf den WAN-Boot-Server kopieren. Dieser Schritt ist unter Kopieren des WAN-Boot-CGI-Programms auf den WAN-Boot-Server beschrieben.

Siehe auch

For detailed planning information about how to design the /etc/netboot hierarchy, see Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie.

Kopieren des WAN-Boot-CGI-Programms auf den WAN-Boot-Server

Das Programm wanboot-cgi erzeugt die Datenströme, mit welchen die folgenden Dateien vom WAN-Boot-Server zum Client übertragen werden.

Das Programm wanboot-cgi wird zusammen mit aktuelle Solaris-Release auf dem System installiert. Damit der WAN-Boot-Server auf dieses Programm zugreifen kann, kopieren Sie es in das Verzeichnis cgi-bin des WAN-Boot-Servers.

ProcedureSo kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server

  1. Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim WAN-Boot-Server an.

  2. Kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server.


    # cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-Server-Root/cgi-bin/wanboot-cgi
    /WAN-Server-Root

    Steht für das Root-Verzeichnis der Webserver-Software auf dem WAN-Boot-Server.

  3. Setzen Sie auf dem WAN-Boot-Server die Berechtigungen für das CGI-Programm auf 755.


    # chmod 755 /WAN-Server-Root/cgi-bin/wanboot-cgi
Fortsetzen der WAN-Boot-Installation

Nachdem Sie das WAN-Boot-CGI-Programm auf den WAN-Boot-Server kopiert haben, können Sie wahlweise einen Protokollserver einrichten. Die Vorgehensweise dazu ist unter (Optional) So konfigurieren Sie den WAN-Boot-Protokollserver beschrieben.

Wenn Sie keinen eigenen Protokollserver einrichten möchten, lesen Sie bitte in Abschnitt (Optional) Schützen der Daten mit HTTPS weiter. Dort erfahren Sie, wie Sie die Sicherheitsmerkmale einer WAN-Boot-Installation einrichten.

Siehe auch

Einen Überblick über das wanboot-cgi-Programm erhalten Sie im Abschnitt Was ist WAN-Boot?.

Procedure(Optional) So konfigurieren Sie den WAN-Boot-Protokollserver

Standardmäßig werden alle Protokollmeldungen beim WAN-Boot auf dem Clientsystem angezeigt, um eine schnelle Fehlerdiagnose bei Installationsproblemen zu ermöglichen.

Wenn die Boot- und Installationsprotokollmeldungen auf einem anderen System als dem Client aufgezeichnet werden sollen, müssen Sie einen Protokollserver (Logging-Server) einrichten. Soll der Protokollserver bei der Installation mit HTTPS arbeiten, muss der WAN-Boot-Server als Protokollserver konfiguriert werden.

Zum Konfigurieren des Protokollservers führen Sie die nachfolgenden Schritte durch.

  1. Kopieren Sie das Skript bootlog-cgi in das CGI-Skriptverzeichnis des Protokollservers.


    # cp /usr/lib/inet/wanboot/bootlog-cgi \   Protokollserver-Root/cgi-bin
    Protokollserver-Root/cgi-bin

    Steht für das Verzeichnis cgi-bin im Webserver-Verzeichnis des Protokollservers.

  2. Setzen Sie die Berechtigungen für das Skript bootlog-cgi auf 755.


    # chmod 755 Protokollserver-Root/cgi-bin/bootlog-cgi

  3. Setzen Sie den Wert für den Parameter boot_logger in der Datei wanboot.conf.

    Geben Sie in der Datei wanboot.conf die URL des Skripts bootlog-cgi auf dem Protokollserver an.

    Weitere Informationen zum Einstellen der Parameter in der Datei wanboot.conf finden Sie in So erzeugen Sie die Datei wanboot.conf.

    Während der Installation werden im Verzeichnis /tmp des Protokollservers Boot- und Installationsprotokollmeldungen aufgezeichnet. Die Protokolldatei erhält den Namen bootlog.Host-Name, wobei Host-Name der Host-Name des Clients ist.

Beispiel 12–5 Konfiguration eines Protokollservers für die WAN-Boot-Installation per HTTPS

Im folgenden Beispiel wird der WAN-Boot-Server als Protokollserver konfiguriert.


# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi
Fortsetzen der WAN-Boot-Installation

Nachdem Sie den Protokollserver eingerichtet haben, können Sie die WAN-Boot-Installation wahlweise so einrichten, dass digitale Zertifikate und Sicherheitsschlüssel verwendet werden. Die Einrichtung der Sicherheitsmerkmale einer WAN-Boot-Installation ist in (Optional) Schützen der Daten mit HTTPS beschrieben.

(Optional) Schützen der Daten mit HTTPS

Zum Schutz Ihrer Daten während der Übertragung vom WAN-Boot-Server auf den Client können Sie HTTPS (HTTP over Secure Sockets Layer) einsetzen. Wenn Sie die in Sichere WAN-Boot-Installationskonfiguration beschriebene sicherere Installationskonfiguration verwenden möchten, müssen Sie HTTPS auf Ihrem Webserver aktivieren.

Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie die Schritte in diesem Abschnitt überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.

Führen Sie die folgenden Schritte durch, um die Webserver-Software auf dem WAN-Boot-Server auf die Verwendung von HTTPS einzustellen:

Dieser Abschnitt beschreibt, wie Sie digitale Zertifikate und Schlüssel bei Ihrer WAN-Boot-Installation verwenden können.

Procedure(Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung

Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von PKCS#12-Dateien für eine Installation über HTTPS mit Server- oder sowohl Server- als auch Client-Authentifizierung. Die Voraussetzungen und Richtlinien für die Verwendung von PKCS#12-Dateien lesen Sie bitte unter Voraussetzungen für digitale Zertifikate nach.

Führen Sie folgende Schritte durch, um eine PKCS#12-Datei in der WAN-Boot-Installation zu verwenden:

Der Befehl wanbootutil stellt Optionen zum Durchführen der Schritte in der vorigen Liste zur Verfügung.

Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie dieses Verfahren überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.

Gehen Sie wie folgt vor, um ein vertrauenswürdiges Zertifikat und einen privaten Schlüssel für den Client zu erstellen.

Bevor Sie beginnen

Erzeugen Sie, bevor Sie eine PKCS#12-Datei aufteilen, geeignete Unterverzeichnisse in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Extrahieren Sie das vertrauenswürdige Zertifikat aus der PKCS#12-Datei. Fügen Sie das Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein.


    # wanbootutil p12split -i p12cert \
-t /etc/netboot/Netz-IP/Client-ID/truststore
    p12split

    Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.

    -i p12cert

    Steht für den Namen der aufzuteilenden PKCS#12-Datei.

    -t /etc/netboot/ Netz-IP/Client-ID/truststore

    Fügt das Zertifikat in die Datei truststore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

  3. (Optional) Entscheiden Sie, ob Sie mit Client-Authentifizierung arbeiten möchten.

    • Wenn nein, fahren Sie mit dem Schritt (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel fort.

    • Wenn ja, fahren Sie mit den nachfolgenden Schritten fort.

      1. Fügen Sie das Client-Zertifikat in die Datei certstore des Clients ein.


        # wanbootutil p12split -i p12cert -c \
/etc/netboot/Netz-IP/Client-ID/certstore -k Schlüsseldatei
        p12split

        Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.

        -i p12cert

        Steht für den Namen der aufzuteilenden PKCS#12-Datei.

        -c /etc/netboot/Netz-IP/Client-ID/certstore

        Fügt das Client-Zertifikat in die Datei certstore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

        -k Schlüsseldatei

        Steht für den Namen des privaten SSL-Schlüssels des Clients, der aus der aufgeteilten PKCS#12-Datei generiert werden soll.

      2. Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.


        # wanbootutil keymgmt -i -k Schlüsseldatei \
-s /etc/netboot/Netz-IP/Client-ID/keystore -o type=rsa
        keymgmt -i

        Fügt einen privaten SSL-Schlüssel in die Datei keystore des Clients ein.

        -k Schlüsseldatei

        Steht für den Namen der im vorigen Schritt erzeugten Schlüsseldatei des Clients.

        -s /etc/netboot/Netz-IP/Client-ID/keystore

        Gibt den Pfad zur Datei keystore des Clients an.

        -o type=rsa

        Legt den Schlüsseltyp als RSA fest

Beispiel 12–6 Generieren vertrauenswürdiger Zertifikate für die Server-Authentifizierung

In folgendem Beispiel wird der Client 010003BA152A42 im Teilnetz 192.168.198.0 unter Verwendung einer PKCS#12-Datei installiert. Dabei wird aus einer PKCS#12-Datei namens client.p12 ein Zertifikat extrahiert. Anschließend speichert der Befehl den Inhalt des vertrauenswürdigen Zertifikats in der Datei truststore des Clients.

Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.


server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore
Fortsetzen der WAN-Boot-Installation

Nachdem Sie ein digitales Zertifikat erstellt haben, erzeugen Sie einen Hashing- und einen Chiffrierschlüssel. Die Vorgehensweise dazu ist in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel beschrieben.

Siehe auch

Nähere Informationen zum Erstellen von vertrauenswürdigen Zertifikaten finden Sie auf der Manpage wanbootutil(1M).

Procedure(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel

Wenn Sie Ihre Daten mit HTTPS übertragen möchten, müssen Sie einen HMAC SHA1-Hashing-Schlüssel und einen Chiffrierschlüssel (Verschlüsselung) erzeugen. Falls Sie beabsichtigen, die Installation über ein halbprivates Netzwerk vorzunehmen, können Sie sich auch gegen eine Verschlüsselung der Installationsdaten entscheiden. Mit einem HMAC SHA1-Hashing-Schlüssel kann die Integrität des wanboot-Programms überprüft werden.

Mit dem Befehl wanbootutil keygen können Sie diese Schlüssel generieren und im gewünschten /etc/netboot-Verzeichnis speichern.

Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie dieses Verfahren überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.

Gehen Sie folgendermaßen vor, um einen Hashing-Schlüssel und einen Chiffrierschlüssel zu erzeugen.

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Erzeugen Sie den HMAC SHA1-Masterschlüssel.


    # wanbootutil keygen -m
    keygen -m

    Erzeugt den HMAC SHA1-Masterschlüssel für den WAN-Boot-Server.

  3. Erzeugen Sie aus dem Masterschlüssel den HMAC SHA1-Hashing-Schlüssel für den Client.


    # wanbootutil keygen -c -o [net=Netz-IP,{cid=client-ID,}]type=sha1
    -c

    Generiert den Hashing-Schlüssel für den Client aus dem Masterschlüssel.

    -o

    Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.

    (Optional) net=Netz-IP

    Gibt die IP-Adresse des Teilnetzes an, in dem sich der Client befindet. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.

    (Optional) cid=Client-ID

    Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.

    type=sha1

    Weist das Dienstprogramm wanbootutil keygen an, einen HMAC SHA1-Hashing-Schlüssel für den Client zu erzeugen.

  4. Entscheiden Sie, ob ein Chiffrierschlüssel für den Client generiert werden soll.

    Einen Chiffrierschlüssel, also eine Verschlüsselung, brauchen Sie dann, wenn Sie eine WAN-Boot-Installation per HTTPS durchführen möchten. Bevor der Client eine HTTPS-Verbindung zum WAN-Boot-Server herstellt, überträgt der WAN-Boot-Server verschlüsselte Daten und Informationen an den Client. Mithilfe des Chiffrierschlüssels kann der Client diese Informationen entschlüsseln und bei der Installation auf sie zugreifen.

    • Wenn Sie eine sicherere WAN-Installation per HTTPS mit Server-Authentifizierung durchführen möchten, fahren Sie mit dem nächsten Schritt fort.

    • Wenn nur die Integrität des wanboot-Programms überprüft werden soll, benötigen Sie keine Verschlüsselung. Fahren Sie in diesem Fall mit Schritt 6 fort.

  5. Chiffrierschlüssel für den Client erzeugen


    # wanbootutil keygen -c -o [net=Netz-IP,{cid=Client-ID,}]type=Schlüsseltyp
    -c

    Erzeugt den Chiffrierschlüssel für den Client.

    -o

    Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.

    (Optional) net=Netz-IP

    Gibt die Netzwerk-IP-Adresse des Clients an. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.

    (Optional) cid=Client-ID

    Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.

    type=Schlüsseltyp

    Weist das Dienstprogramm wanbootutil keygen an, einen Chiffrierschlüssel für den Client zu erzeugen. Schlüsseltyp kann den Wert 3des oder aes annehmen.

  6. Installieren Sie die Schlüssel auf dem Clientsystem.

    Anweisungen zur Installation der Schlüssel auf dem Client finden Sie unter Installation von Schlüsseln auf dem Client.

Beispiel 12–7 Erzeugen der erforderlichen Schlüssel für die WAN-Boot-Installation per HTTPS

In folgendem Beispiel wird ein HMAC SHA1-Masterschlüssel für den WAN-Boot-Server generiert. Außerdem wird in diesem Beispiel ein HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für den Client 010003BA152A42 im Teilnetz 192.168.198.0 generiert.

Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.


server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
Fortsetzen der WAN-Boot-Installation

Nachdem Sie einen Hashing- und einen Chiffrierschlüssel erzeugt haben, müssen Sie die Installationsdateien erzeugen. Die Anleitung hierzu finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.

Siehe auch

Einen Überblick über Hashing- und Chiffrierschlüssel finden Sie in Schutz der Daten während einer WAN-Boot-Installation.

Nähere Informationen zum Erzeugen von Hashing- und Chiffrierschlüsseln finden Sie auf der Manpage wanbootutil(1M).

Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation

WAN-Boot installiert mithilfe des benutzerdefinierten JumpStart-Verfahrens ein Solaris Flash-Archiv auf dem Client. Die benutzerdefinierte JumpStart-Installation bietet eine Befehlszeilenschnittstelle, mit der Sie automatisch auf mehreren Systemen eine Installation ausführen können, und zwar basierend auf von Ihnen erstellten Profilen. Diese Profile definieren die spezifischen Software-Installationsanforderungen. Außerdem können Sie für die vor und nach der Installation erforderlichen Schritte Shell-Skripte verwenden. Dabei geben Sie selbst an, welche Profile und Skripte für die Installation bzw. das Upgrade verwendet werden sollen. Die Installation bzw. das Upgrade mit der benutzerdefinierten JumpStart-Installation wird dann auf der Grundlage der von Ihnen ausgewählten Profile und Skripte ausgeführt. Außerdem können Sie eine sysidcfg-Datei verwenden und die Konfigurationsinformationen vorkonfigurieren, so dass die benutzerdefinierte JumpStart-Installation völlig ohne Benutzereingriff abläuft.

Führen Sie die folgenden Schritte durch, um JumpStart-Dateien für eine WAN-Boot-Installation vorzubereiten.

Ausführliche Informationen zur benutzerdefinierten JumpStart-Installation finden Sie in Kapitel 2, Benutzerdefinierte JumpStart-Installation (Übersicht) in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.

ProcedureSo erzeugen Sie das Solaris Flash-Archiv

Die Installationsfunktion Solaris Flash bietet die Möglichkeit, eine Modellinstallation von Solaris auf einem einzigen System, dem Master-System, anzulegen. Sie können dann ein Solaris Flash-Archiv erzeugen, das ein genaues Abbild des Master-Systems ist. Das Solaris Flash-Archiv können Sie auf anderen Systemen im Netzwerk installieren, wodurch Klonsysteme erzeugt werden.

In diesem Abschnitt erfahren Sie, wie Sie ein Solaris Flash-Archiv erzeugen.

Bevor Sie beginnen

  1. Starten Sie das Master-System.

    Bringen Sie das Master-System in einen so weit wie möglich inaktiven Zustand. Versetzen Sie das System nach Möglichkeit in den Einzelbenutzermodus. Wenn das nicht möglich ist, fahren Sie alle Anwendungen, die archiviert werden sollen, sowie alle Anwendungen, die die Betriebssystemressourcen stark beanspruchen, herunter.

  2. Legen Sie das Archiv mit dem Befehl flarcreate an.


    # flarcreate -n Name [optionale_Parameter]  Dokument-Root/flash/Dateiname
    Name

    Der Name, den Sie dem Archiv geben. Der Name, den Sie angeben, ist der Wert des Schlüsselworts content_name.

    optionale_Parameter

    Es stehen verschiedene Optionen für den Befehl flarcreate zur Verfügung, die Ihnen eine Anpassung des Solaris Flash-Archivs ermöglichen. Ausführliche Beschreibungen dieser Optionen finden Sie in Kapitel 5, Solaris Flash (Referenz) in Solaris 10 10/08 Installationshandbuch: Solaris Flash-Archive (Erstellung und Installation).

    Dokument-Root/flash

    Der Pfad zum Solaris Flash-Unterverzeichnis im Dokument-Root-Verzeichnis des Installationsservers.

    Dateiname

    Der Name der Archivdatei.

    Um Speicherplatz zu sparen, können Sie das Archiv komprimieren, indem Sie dem Befehl flar create die Option -c übergeben. Ein komprimiertes Archiv kann jedoch die Leistung der WAN-Boot-Installation beeinträchtigen. Weitere Informationen über die Herstellung komprimierter Archive entnehmen Sie bitte der Manpage flarcreate(1M).

    • Wenn das Archiv erfolgreich angelegt wird, gibt der Befehl flarcreate den Exit-Code 0 zurück.

    • Wenn das Anlegen des Archivs fehlschlägt, gibt der Befehl flarcreate einen Exit-Code ungleich 0 zurück.

Beispiel 12–8 Erstellen eines Solaris Flash-Archivs für eine WAN-Boot-Installation

In diesem Beispiel erstellen Sie ein Solaris Flash-Archiv, indem Sie das WAN-Boot-Serversystem mit dem Rechnernamen wanserver klonen. Das Archiv erhält den Namen sol_10_sparc und wird 1:1 vom Master-System kopiert. Es stellt ein exaktes Duplikat des Master-Systems dar. Das fertige Archiv wird in sol_10_sparc.flar gespeichert. Sie speichern das Archiv im Unterverzeichnis flash/archives des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.


wanserver# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar
Fortsetzen der WAN-Boot-Installation

Nachdem Sie das Solaris Flash-Archiv erstellt haben, richten Sie die vorkonfigurierten Client-Informationen in der Datei sysidcfg ein. Die dazugehörige Anleitung finden Sie in So erzeugen Sie die Datei sysidcfg.

Siehe auch

Ausführliche Anweisungen zum Erstellen eines Solaris Flash-Archivs finden Sie in Kapitel 3, Erstellen von Solaris Flash-Archiven (Vorgehen) in Solaris 10 10/08 Installationshandbuch: Solaris Flash-Archive (Erstellung und Installation).

Der Befehl flarcreate ist darüber hinaus auf der Manpage flarcreate(1M) beschrieben.

ProcedureSo erzeugen Sie die Datei sysidcfg

In der Datei sysidcfg können Sie zum Vorkonfigurieren eines Systems eine Reihe von Schlüsselwörtern angeben.

Gehen Sie folgendermaßen vor, um die Datei sysidcfg zu erzeugen.

Bevor Sie beginnen

Erzeugen Sie das Solaris Flash-Archiv. Eine ausführliche Anleitung finden Sie in So erzeugen Sie das Solaris Flash-Archiv.

  1. Erzeugen Sie auf dem Installationsserver in einem Texteditor eine Datei namens sysidcfg.

  2. Geben Sie die gewünschten sysidcfg-Schlüsselwörter ein.

    Für ausführliche Informationen zu den sysidcfg-Schlüsselwörtern schlagen Sie bitte im Abschnitt Schlüsselwörter in der Datei sysidcfg nach.

  3. Speichern Sie die Datei sysidcfg in einem für den WAN-Boot-Server zugänglichen Verzeichnis.

    Speichern Sie die Datei in einem dieser Verzeichnisse:

    • Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.

    • Wenn sich WAN-Boot-Server und Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installationsserver.

Beispiel 12–9 sysidcfg-Datei für die WAN-Boot-Installation

Im Folgenden sehen Sie eine sysidcfg-Beispieldatei für ein SPARC-System. Host-Name, IP-Adresse und Netzmaske dieses Systems wurden durch Bearbeitung des Naming Service vorkonfiguriert.

network_interface=primary {hostname=wanclient
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none
Fortsetzen der WAN-Boot-Installation

Nachdem Sie die sysidcfg-Datei erstellt haben, erstellen Sie ein benutzerdefiniertes JumpStart-Profil für den Client. Die dazugehörige Anleitung finden Sie in So erstellen Sie das Profil.

Siehe auch

Ausführlichere Informationen über Schlüsselwörter und Werte für die Datei sysidcfg finden Sie in Vorkonfiguration mit der Datei sysidcfg.

ProcedureSo erstellen Sie das Profil

Bei einem Profil handelt es sich um eine Textdatei, aus welcher das Programm für die benutzerdefinierte JumpStart-Installation entnimmt, wie die Solaris-Software auf einem System installiert werden soll. Ein Profil definiert Elemente der Installation, wie zum Beispiel die zu installierende Softwaregruppe.

Ausführliche Informationen zum Erstellen von Profilen finden Sie unter Erstellen eines Profils in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.

Gehen Sie folgendermaßen vor, um das Profil zu erstellen.

Bevor Sie beginnen

Erstellen Sie die sysidcfg-Datei für den Client. Eine ausführliche Anleitung finden Sie in So erzeugen Sie die Datei sysidcfg.

  1. Erzeugen Sie auf dem Installationsserver eine Textdatei. Geben Sie der Datei einen aussagekräftigen Namen.

    Stellen Sie sicher, dass der Name des Profils wiedergibt, wie Sie das Profil zum Installieren der Solaris-Software auf einem System einsetzen wollen. So können Sie zum Beispiel die Profile basic_install, eng_profile oder user_profile anlegen.

  2. Fügen Sie Schlüsselwörter und Werte zu dem Profil hinzu.

    Eine Liste der Profil-Schlüsselwörter finden Sie in Profilschlüsselwörter und -werte in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.

    Bei Profilschlüsselwörtern und deren Werten wird zwischen Groß- und Kleinschreibung unterschieden.

  3. Speichern Sie das Profil in einem für den WAN-Boot-Server zugänglichen Verzeichnis.

    Speichern Sie das Profil in einem dieser Verzeichnisse:

    • Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.

    • Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.

  4. Stellen Sie sicher, dass root Eigentümer des Profils ist und dass die Berechtigungen auf 644 gesetzt sind.

  5. (Optional) Testen Sie das Profil.

    Informationen zu den Textprofilen finden Sie in Testen eines Profils in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.

Beispiel 12–10 Abrufen eines Solaris Flash-Archivs von einem sicheren HTTP-Server

Das Profil in folgendem Beispiel sieht vor, dass das Programm für die benutzerdefinierte JumpStart-Installation das Solaris Flash-Archiv von einem sicheren HTTP-Server abruft.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

In der folgenden Liste sind einige Schlüsselwörter und Werte aus diesem Beispiel beschrieben.

install_type

Das Profil installiert ein Solaris Flash-Archiv auf dem Klonsystem. Wie bei einer Erst- bzw. Neuinstallation werden alle Dateien überschrieben.

archive_location

Das komprimierte Solaris Flash-Archiv wird von einem sicheren HTTP-Server abgerufen.

partitioning

Mit dem Wert explicit legen Sie fest, dass die Dateisystem-Slices von den filesys-Schlüsselwörtern definiert werden. Die Größe von Root (/) ist von der Größe des Solaris Flash-Archivs abhängig. Der swap-Bereich wird auf c0t1d0s1 angelegt und seine Größe nach Bedarf automatisch festgelegt. /export/home ist vom verbleibenden Speicherplatz abhängig. /export/home wird auf c0t1d0s7 angelegt.

Fortsetzen der WAN-Boot-Installation

Nachdem Sie ein Profil erstellt haben, müssen Sie die Datei rules erstellen und überprüfen. Eine Anleitung dazu finden Sie in So erstellen Sie die Datei rules.

Siehe auch

Weitere Informationen zum Erstellen eines Profils finden Sie unter Erstellen eines Profils in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.

Ausführliche Informationen zu Profil-Schlüsselwörtern und -werten finden Sie unter Profilschlüsselwörter und -werte in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.

ProcedureSo erstellen Sie die Datei rules

Bei der Datei rules handelt es sich um eine Textdatei, die für jede Gruppe von Systemen, auf welchen Solaris installiert werden soll, eine Regel enthält. Jede Regel charakterisiert eine Gruppe von Systemen auf der Grundlage von einem oder mehreren Systemattributen. Jede Regel verknüpft außerdem jede Gruppe mit einem Profil. Ein Profil ist eine Textdatei, in der definiert ist, wie die Solaris-Software auf den Systemen in der Gruppe installiert werden soll. Die folgende Regel legt zum Beispiel fest, dass das JumpStart-Programm die Informationen im Profil basic_prof zur Installation aller Systeme der Plattformgruppe sun4u verwenden soll.


karch sun4u - basic_prof -

Die Datei rules dient zum Generieren der Datei rules.ok, die für benutzerdefinierte JumpStart-Installationen erforderlich ist.

Ausführliche Informationen zum Erstellen einer rules-Datei finden Sie unter Erstellen der Datei rules in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.

Gehen Sie folgendermaßen vor, um die Datei rules zu erzeugen.

Bevor Sie beginnen

Erstellen Sie das Profil für den Client. Eine ausführliche Anleitung finden Sie in So erstellen Sie das Profil.

  1. Erzeugen Sie auf dem Installationsserver eine Textdatei namens rules.

  2. Fügen Sie für jede Gruppe von Systemen, die eingerichtet werden sollen, eine Regel in die Datei rules ein.

    Ausführliche Informationen zum Erstellen einer rules-Datei finden Sie unter Erstellen der Datei rules in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.

  3. Speichern Sie die Datei rules auf dem Installationsserver.

  4. Validieren Sie die rules-Datei.


    $ ./check -p Pfad -r Dateiname
    -p Pfad

    Validiert die Datei rules unter Verwendung des Skripts check aus dem Abbild der Solaris-Software anstelle des Skripts check auf dem System, mit dem Sie arbeiten. Pfad ist der Pfad zu einem Abbild auf einer lokalen Festplatte oder zu einer eingehängten Solaris-DVD oder Solaris Software - 1 CD.

    Verwenden Sie diese Option, um die neueste Version von check auszuführen, wenn auf dem System eine frühere Version von Solaris läuft.

    -r Dateiname

    Gibt eine andere rules-Datei als die mit dem Namen rules an. Mit dieser Option können Sie die Gültigkeit einer Regel testen, bevor Sie die Regel in die Datei rules aufnehmen.

    Während das Skript check ausgeführt wird, werden Meldungen zur Validierung der Datei rules und der einzelnen Profile ausgegeben. Wenn keine Fehler auftreten, gibt das Skript Folgendes aus: The custom JumpStart configuration is ok. Das Skript check erzeugt die Datei rules.ok.

  5. Speichern Sie die Datei rules.ok in einem für den WAN-Boot-Server zugänglichen Verzeichnis.

    Speichern Sie die Datei in einem dieser Verzeichnisse:

    • Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.

    • Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.

  6. Stellen Sie sicher, dass root Eigentümer der Datei rules.ok ist und dass die Berechtigungen auf 644 gesetzt sind.

Beispiel 12–11 Erstellen und Überprüfen der rules-Datei

Aus der Datei rules wählen die Programme für die benutzerdefinierte JumpStart-Installation das richtige Profil für das System wanclient-1 aus. Erzeugen Sie eine Textdatei namens rules. Fügen Sie dann Schlüsselwörter und Werte in diese Datei ein.

Die IP-Adresse des Clientsystems lautet 192.168.198.210, die Netzmaske 255.255.255.0. Mit dem Schlüsselwort network geben Sie an, welches Profil die Programme für die benutzerdefinierte JumpStart-Installation zur Installation des Clients verwenden sollen.


network 192.168.198.0 - wanclient_prof -

Die rules-Datei legt damit fest, dass die Programme für die benutzerdefinierte JumpStart-Installation das Profil wanclient_prof verwenden sollen, um die aktuelle Solaris-Release-Software auf dem Client zu installieren.

Nennen Sie diese Datei wanclient_rule.

Wenn Sie das Profil und die rules-Datei erzeugt haben, führen Sie das check-Skript aus, um die Gültigkeit der Dateien zu überprüfen.


wanserver# ./check -r wanclient_rule

Wenn das Skript check keine Fehler findet, erstellt es die Datei rules.ok.

Speichern Sie die Datei rules.ok im Verzeichnis /opt/apache/htdocs/flash/.

Fortsetzen der WAN-Boot-Installation

Nachdem Sie die Datei rules.ok erstellt haben, können Sie wahlweise Begin- und Finish-Skripten für Ihre Installation einrichten. Eine Anleitung hierzu finden Sie in (Optional) Erzeugen von Begin- und Finish-Skripten.

Wenn Sie keine Begin- und Finish-Skripten einrichten möchten, setzen Sie die WAN-Boot-Installation mit dem Schritt Erstellen der Konfigurationsdateien fort.

Siehe auch

Weitere Informationen zum Erstellen einer rules-Datei finden Sie unter Erstellen der Datei rules in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.

Ausführliche Informationen zu den Schlüsselwörtern und Werten der rules-Datei finden Sie unter Rule-Schlüsselwörter und -Werte in Solaris 10 10/08 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien..

(Optional) Erzeugen von Begin- und Finish-Skripten

Begin- und Finish-Skripten sind benutzerdefinierte Bourne-Shell-Skripten, die Sie in der Datei rules angeben. Ein Begin-Skript führt bestimmte Aufgaben aus, bevor die Solaris-Software auf einem System installiert wird. Ein Finish-Skript führt bestimmte Aufgaben nach der Installation der Solaris-Software auf einem System auf, jedoch bevor das System erneut gebootet wird. Sie können diese Skripten nur verwenden, wenn Sie die Solaris-Software mit dem benutzerdefinierten JumpStart-Installationsverfahren installieren.

Mit Begin-Skripten lassen sich abgeleitete Profile erstellen. Finish-Skripten dienen zur Durchführung verschiedenster Vorgänge nach der Installation. Hierzu gehört das Hinzufügen von Dateien, Packages, Patches oder zusätzlicher Software.

Begin- und Finish-Skripten müssen in demselben Verzeichnis auf dem Installationsserver gespeichert werden wie die Dateien sysidcfg, rules.ok und die Profildateien.

Setzen Sie die Vorbereitung Ihrer WAN-Boot-Installation mit dem Schritt Erstellen der Konfigurationsdateien fort.

Erstellen der Konfigurationsdateien

Zur Ermittlung der Adressen der für die WAN-Boot-Installation benötigten Daten und Dateien stützt sich WAN-Boot auf folgende Dateien:

In diesem Abschnitt erfahren Sie, wie diese beiden Dateien erzeugt und gespeichert werden.

ProcedureSo erzeugen Sie die Systemkonfigurationsdatei

Mit der Systemkonfigurationsdatei leiten Sie die WAN-Boot-Installationsprogramme zu den folgenden Dateien:

Die Informationen für Installation und Konfiguration der Clients entnimmt WAN-Boot aus den Dateien, auf die in der Systemkonfigurationsdatei verwiesen wird.

Bei der Systemkonfigurationsdatei handelt es sich um eine Normaltextdatei, die nach diesem Muster formatiert sein muss:


Einstellung=Wert

Führen Sie die nachfolgenden Schritte durch, um die WAN-Installationsprogramme mithilfe einer Systemkonfigurationsdatei zu den Dateien sysidcfg, rules.ok und den Profildateien zu leiten.

Bevor Sie beginnen

Bevor Sie die Systemkonfigurationsdatei erzeugen, müssen Sie zunächst die Installationsdateien für Ihre WAN-Boot-Installation erstellen. Eine ausführliche Anleitung hierzu finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Erzeugen Sie eine Textdatei. Geben Sie der Datei einen aussagekräftigen Namen, z. B. sys-conf.s10–sparc.

  3. Fügen Sie die folgenden Einträge zur Systemkonfigurationsdatei hinzu.

    SsysidCF=sysidcfg-Datei-URL

    Diese Einstellung verweist auf das Verzeichnis flash auf dem Installationsserver, in dem sich die Datei sysidcfg befindet. Vergewissern Sie sich, dass diese URL mit dem Pfad zur Datei sysidcfg übereinstimmt, die Sie in So erzeugen Sie die Datei sysidcfg erzeugt haben.

    Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.

    SjumpsCF=jumpstart-Dateien-URL

    Diese Einstellung zeigt auf das Solaris Flash-Verzeichnis auf dem Installationsserver, das die Datei rules.ok, die Profildatei sowie Begin- und Finish-Skripten enthält. Diese URL muss mit dem Pfad zu den JumpStart-Dateien übereinstimmen, die Sie in So erstellen Sie das Profil und So erstellen Sie die Datei rules erzeugt haben.

    Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.

  4. Speichern Sie diese Datei in einem für den WAN-Boot-Server zugänglichen Verzeichnis.

    Zur Erleichterung der Administration bietet es sich an, die Datei im entsprechenden Client-Verzeichnis in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server zu speichern.

  5. Setzen Sie die Berechtigungen für die Systemkonfigurationsdatei auf 600.


    # chmod 600 /Pfad/Sys_konf_datei
    Pfad

    Steht für den Pfad zum Verzeichnis, das die Systemkonfigurationsdatei enthält.

    Sys_konf_datei

    Gibt den Namen der Systemkonfigurationsdatei an.

Beispiel 12–12 Systemkonfigurationsdatei für die WAN-Boot-Installation per HTTPS

Im folgenden Beispiel suchen die WAN-Boot-Programme auf dem Webserver http://www.Beispiel.com (Port 1234) nach der Datei sysidcfg und den JumpStart-Dateien. Der Webserver nutzt zum Verschlüsseln der Daten und Dateien während der Installation das sichere HTTP-Protokoll.

Die Datei sysidcfg und die Dateien der benutzerdefinierten JumpStart-Installation befinden sich im Unterverzeichnis flash das Dokument-Root-Verzeichnisses /opt/apache/htdocs.

SsysidCF=https://www.example.com:1234/flash
SjumpsCF=https://www.example.com:1234/flash
Beispiel 12–13 Systemkonfigurationsdatei für eine unsichere WAN-Boot-Installation

Im folgenden Beispiel suchen die WAN-Boot-Programme auf dem Webserver http://www.Beispiel.com nach der Datei sysidcfg und den JumpStart-Dateien. Der Webserver verwendet eine HTTP-Verbindung, und die Daten und Dateien sind während der Installation ungeschützt.

Die Datei sysidcfg und die JumpStart-Dateien befinden sich im Unterverzeichnis flash des Dokument-Root-Verzeichnisses htdocs.

SsysidCF=http://www.example.com/flash
SjumpsCF=http://www.example.com/flash
Fortsetzen der WAN-Boot-Installation

Nachdem Sie die Systemkonfigurationsdatei erstellt haben, erzeugen Sie die Datei wanboot.conf. Eine Anleitung dazu finden Sie in So erzeugen Sie die Datei wanboot.conf.

ProcedureSo erzeugen Sie die Datei wanboot.conf

Die Datei wanboot.conf ist eine Konfigurationsdatei im Textformat, auf welche die WAN-Boot-Programme für die Durchführung einer WAN-Installation zugreifen. Sowohl das Programm wanboot-cgi als auch das Boot-Dateisystem und die WAN-Boot-Miniroot greifen für die Installation des Clientsystems auf die Informationen in der Datei wanboot.conf zu.

Speichern Sie die Datei wanboot.conf im entsprechenden Client-Unterverzeichnis der /etc/netboot-Hierarchie auf dem WAN-Boot-Server. Wie Sie den Aktionsbereich für Ihre WAN-Boot-Installation in der /etc/netboot-Hierarchie festlegen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

Wenn auf dem WAN-Boot-Server aktuelle Solaris-Release läuft, finden Sie in /etc/netboot/wanboot.conf.sample ein Beispiel für die Datei wanboot.conf. Diese Beispieldatei können Sie als Vorlage für Ihre WAN-Boot-Installation verwenden.

Die nachfolgenden Informationen müssen in der Datei wanboot.conf enthalten sein.

Informationstyp 

Beschreibung 

Angaben zum WAN-Boot-Server 

  • Pfad zum wanboot-Programm auf dem WAN-Boot-Server

  • URL des Programms wanboot-cgi auf dem WAN-Boot-Server

Angaben zum Installationsserver 

  • Pfad zur WAN-Boot-Miniroot auf dem Installationsserver

  • Pfad zur Systemkonfigurationsdatei auf dem WAN-Boot-Server, in der die Adressen der Datei sysidcfg und der JumpStart-Dateien angegeben sind

Sicherheitsinformationen 

  • Signaturtyp für das WAN-Boot-Dateisystem oder die WAN-Boot-Miniroot

  • Verschlüsselungstyp für das WAN-Boot-Dateisystem

  • Angabe, ob bei der WAN-Boot-Installation eine Server-Authentifizierung erfolgen muss oder nicht

  • Angabe, ob bei der WAN-Boot-Installation eine Client-Authentifizierung erfolgen muss oder nicht

Nicht obligatorische Angaben 

  • Zusätzliche Host-Namen, die bei der WAN-Boot-Installation für den Client aufgelöst werden müssen

  • URL des Skripts bootlog-cgi auf dem Protokollserver

Diese Informationen stellen Sie bereit, indem Sie die Parameter und die dazugehörigen Werte in folgendem Format aufführen:


Parameter=Wert

Ausführliche Informationen über Parameter und Syntax für die Datei wanboot.conf entnehmen Sie bitte dem Abschnitt Parameter der Datei wanboot.conf und Syntax.

Gehen Sie folgendermaßen vor, um die Datei wanboot.conf zu erzeugen.

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Erzeugen Sie die Textdatei wanboot.conf.

    Dabei können Sie entweder eine neue Datei namens wanboot.conf erstellen oder die in /etc/netboot/wanboot.conf.sample enthaltene Beispieldatei verwenden. Wenn Sie auf die Beispieldatei zurückgreifen, benennen Sie die Datei in wanboot.conf um, nachdem Sie alle Parameter hinzugefügt haben.

  3. Geben Sie die geeigneten wanboot.conf-Parameter und -Parameterwerte für Ihre Installation ein.

    Ausführliche Informationen über Parameter und Werte für die Datei wanboot.conf entnehmen Sie bitte dem Abschnitt Parameter der Datei wanboot.conf und Syntax.

  4. Speichern Sie die Datei wanboot.conf in dem passenden Unterverzeichnis in der /etc/netboot-Hierarchie.

    Wie Sie die /etc/netboot-Hierarchie erzeugen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

  5. Validieren Sie die wanboot.conf-Datei.


    # bootconfchk /etc/netboot/Pfad_zu_wanboot.conf/wanboot.conf
    Pfad_zu_wanboot.conf

    Steht für den Pfad zur Datei wanboot.conf des Clients auf dem WAN-Boot-Server.

    • Wenn die Struktur der Datei wanboot.conf gültig ist, gibt der Befehl bootconfchk den Beendigungscode 0 zurück.

    • Ist die Datei wanboot.conf hingegen ungültig, liefert der Befehl bootconfchk einen Beendigungscode ungleich Null.

  6. Setzen Sie die Berechtigungen für die wanboot.conf-Datei auf 600.


    # chmod 600 /etc/netboot/Pfad_zu_wanboot.conf/wanboot.conf
Beispiel 12–14 wanboot.conf-Datei für die WAN-Boot-Installation per HTTPS

Die folgende wanboot.conf-Beispieldatei enthält Konfigurationsinformationen für eine WAN-Installation mit sicherem HTTP. Außerdem ist in der Datei wanboot.conf festgelegt, dass bei der Installation eine 3DES-Verschlüsselung zum Einsatz kommt.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:

boot_file=/wanboot/wanboot.s10_sparc

Das sekundäre Boot-Programm heißt wanboot.s10_sparc. Dieses Programm befindet sich im Verzeichnis /wanboot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.

root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi

Die Adresse des Programms wanboot-cgi auf dem WAN-Boot-Server lautet https://www.Beispiel.com:1234/cgi-bin/wanboot-cgi. Der https-Teil der URL gibt an, dass diese WAN-Boot-Installation mit sicherem HTTP vorgenommen wird.

root_file=/miniroot/miniroot.s10_sparc

Die WAN-Boot-Miniroot heißt miniroot.s10_sparc. Die Miniroot befindet sich im Verzeichnis /miniroot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.

signature_type=sha1

Das Programm wanboot.s10_sparc und das WAN-Boot-Dateisystem werden mit einem HMAC SHA1-Hashing-Schlüssel signiert.

encryption_type=3des

Das Programm wanboot.s10_sparc und das Boot-Dateisystem werden mit einem 3DES-Schlüssel chiffriert.

server_authentication=yes

Der Server wird bei der Installation authentifiziert.

client_authentication=no

Der Client wird bei der Installation nicht authentifiziert.

resolve_hosts=

Es werden keine zusätzlichen Host-Namen für die WAN-Boot-Installation benötigt. Alle erforderlichen Dateien und Informationen sind im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server vorhanden.

boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi

(Optional) Boot- und Installationsprotokollmeldungen werden per sicherem HTTP auf dem WAN-Boot-Server aufgezeichnet.

Anweisungen zum Einrichten eines Protokollservers für Ihre WAN-Boot-Installation, finden Sie unter (Optional) So konfigurieren Sie den WAN-Boot-Protokollserver.

system_conf=sys-conf.s10–sparc

Die Systemkonfigurationsdatei enthält die Speicherorte der Datei sysidcfg und der JumpStart-Dateien, die sich in einem Unterverzeichnis der /etc/netboot-Hierarchie befinden. Die Systemkonfigurationsdatei heißt sys-conf.s10–sparc.

Beispiel 12–15 wanboot.conf-Datei für die unsichere WAN-Boot-Installation

Die folgende wanboot.conf-Beispieldatei enthält Konfigurationsinformationen für eine weniger sichere WAN-Boot-Installation mit HTTP. Diese wanboot.conf-Datei gibt auch vor, dass bei der Installation weder ein Hashing-Schlüssel noch eine Verschlüsselung zum Einsatz kommen.

boot_file=/wanboot/wanboot.s10_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:

boot_file=/wanboot/wanboot.s10_sparc

Das sekundäre Boot-Programm heißt wanboot.s10_sparc. Dieses Programm befindet sich im Verzeichnis /wanboot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.

root_server=http://www.example.com/cgi-bin/wanboot-cgi

Die Adresse des Programms wanboot-cgi auf dem WAN-Boot-Server lautet http://www.Beispiel.com/cgi-bin/wanboot-cgi. Die Installation erfolgt nicht über sicheres HTTP.

root_file=/miniroot/miniroot.s10_sparc

Die WAN-Boot-Miniroot heißt miniroot.s10_sparc. Die Miniroot befindet sich im Unterverzeichnis /miniroot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.

signature_type=

Das Programm wanboot.s10_sparc und das WAN-Boot-Dateisystem werden nicht mit einem Hashing-Schlüssel signiert.

encryption_type=

Das Programm wanboot.s10_sparc und das WAN-Boot-Dateisystem werden nicht chiffriert.

server_authentication=no

Der Server wird bei der Installation weder durch Schlüssel noch Zertifikate authentifiziert.

client_authentication=no

Der Client wird bei der Installation weder durch Schlüssel noch Zertifikate authentifiziert.

resolve_hosts=

Es werden keine zusätzlichen Host-Namen für die Installation benötigt. Alle erforderlichen Dateien und Informationen sind im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server vorhanden.

boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

(Optional) Boot- und Installationsprotokollmeldungen werden auf dem WAN-Boot-Server aufgezeichnet.

Anweisungen zum Einrichten eines Protokollservers für Ihre WAN-Boot-Installation, finden Sie unter (Optional) So konfigurieren Sie den WAN-Boot-Protokollserver.

system_conf=sys-conf.s10–sparc

Die Systemkonfigurationsdatei, in der die Speicherorte der sysidcfg- und JumpStart-Dateien enthalten sind, heißt sys-conf.s10–sparc. Diese Datei befindet sich im entsprechenden Client-Unterverzeichnis in der /etc/netboot-Hierarchie.

Fortsetzen der WAN-Boot-Installation

Nachdem Sie die Datei wanboot.conf erstellt haben, können Sie wahlweise einen DHCP-Server für die Zusammenarbeit mit WAN-Boot einrichten. Eine Anleitung hierzu finden Sie in (Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server.

Wenn Sie bei Ihrer WAN-Boot-Installation keinen DHCP-Server verwenden möchten, setzen Sie die WAN-Boot-Installation mit dem Schritt So überprüfen Sie den Gerätealias net im Client-OBP fort.

Siehe auch

Ausführliche Beschreibungen von Parametern der Datei wanboot.conf und deren Werten finden Sie unter Parameter der Datei wanboot.conf und Syntax und der Manpage wanboot.conf(4).

(Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server

Kommt in Ihrem Netzwerk ein DHCP-Server zum Einsatz, können Sie diesen so konfigurieren, dass er die folgenden Informationen zur Verfügung stellt:

Sie können die folgenden DHCP-Herstelleroptionen in der WAN-Boot-Installation verwenden:

SHTTPproxy

Steht für die IP-Adresse des Proxy-Servers im Netzwerk.

SbootURI

Gibt die URL des Programms wanboot-cgi auf dem WAN-Boot-Server an.

Informationen zur Einstellung dieser Herstelleroptionen auf einem Solaris-DHCP-Server finden Sie in Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen).

Ausführliche Informationen zum Einrichten eines Solaris DHCP-Servers finden Sie in Kapitel 14, Konfiguration des DHCP-Services (Aufgaben) in Systemverwaltungshandbuch: IP Services.

Zum weiteren Verlauf Ihrer WAN-Boot-Installation lesen Sie Kapitel 13SPARC: Installation mit WAN-Boot (Vorgehen).

Kapitel 13 SPARC: Installation mit WAN-Boot (Vorgehen)

In diesem Kapitel wird die Durchführung einer WAN-Boot-Installation auf einem SPARC-Client dargestellt. Informationen zum Vorbereiten einer WAN-Boot-Installation finden Sie in Kapitel 12Installieren mit WAN-Boot (Vorgehen).

Dieses Kapitel behandelt die folgenden Vorgänge:

Übersicht der Schritte: Installation eines Clients mit WAN-Boot

In der folgenden Tabelle sind die zur Einrichtung eines Clients über ein WAN erforderlichen Schritte aufgeführt.

Tabelle 13–1 Übersicht der Schritte: Durchführung einer WAN-Boot-Installation

Aufgabe 

Beschreibung 

Siehe 

Bereiten Sie das Netzwerk für eine WAN-Boot-Installation vor. 

Richten Sie die Server und Dateien ein, die für die WAN-Boot-Installation benötigt werden. 

Kapitel 12Installieren mit WAN-Boot (Vorgehen)

Vergewissern Sie sich, dass der Gerätealias net im Client-OBP richtig gesetzt ist.

Mit dem Befehl devalias überprüfen Sie, ob der Gerätealias net auf die primäre Netzwerkschnittstelle gesetzt ist.

So überprüfen Sie den Gerätealias net im Client-OBP

Stellen Sie dem Client Schlüssel zur Verfügung. 

Sie stellen dem Client Schlüssel für die Installation zur Verfügung, indem Sie OBP-Variablen setzen oder Schlüsselwerte eingeben. 

Dieser Schritt ist für die sichere Installationskonfiguration erforderlich. Für unsichere Installationen mit Überprüfung der Datenintegrität generieren Sie in diesem Schritt einen HMAC SHA1-Hashing-Schlüssel für den Client. 

Installation von Schlüsseln auf dem Client

Installieren Sie über ein WAN die Software auf dem Client. 

Wählen Sie das für den Client geeignete Installationsverfahren. 

So nehmen Sie eine ungeführte WAN-Boot-Installation vor

So nehmen Sie eine interaktive WAN-Boot-Installation vor

So nehmen Sie eine WAN-Boot-Installation mit einem DHCP-Server vor

So nehmen Sie eine WAN-Boot-Installation mit lokalen CDs vor

Vorbereitung des Clients für eine WAN-Boot-Installation

Führen Sie folgende Schritte durch, um den Client für die Installation vorzubereiten:

ProcedureSo überprüfen Sie den Gerätealias net im Client-OBP

Zum Booten des Clients aus dem WAN mit dem Befehl boot net muss der Gerätealias net auf das primäre Netzwerkgerät des Clients gesetzt werden. Dieser Aliasname ist auf den meisten Systemen bereits richtig eingestellt. Ist der Alias jedoch nicht auf das Netzwerkgerät gesetzt, das verwendet werden soll, müssen Sie ihn ändern.

Weitere Informationen zum Ändern der Alias-Einstellungen finden Sie unter ?The Device Tree” in OpenBoot 3.x Command Reference Manual.

Führen Sie die nachfolgenden Schritte durch, um den Gerätealias net auf dem Client zu überprüfen:

  1. Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim Client an.

  2. Bringen Sie das System auf Run-Level 0.


     # init 0

    Die Eingabeaufforderung ok wird angezeigt.

  3. An der Eingabeaufforderung ok prüfen Sie die im OBP gesetzten Gerätealiasnamen.


    ok devalias

    Der Befehl devalias liefert Informationen wie in diesem Beispiel:


    screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

    • Wenn der Alias net auf das für die Installation zu verwendende Netzwerkgerät gesetzt ist, brauchen Sie ihn nicht ändern. Setzen Sie die Installation mit dem Schritt Installation von Schlüsseln auf dem Client fort.

    • Ist net jedoch nicht auf das Netzwerkgerät gesetzt, das verwendet werden soll, müssen Sie den Alias ändern. Fahren Sie fort.

  4. Ändern Sie den Gerätealias net.

    Ändern Sie den Gerätealias net mit einem der folgenden Befehle:

    • Um net nur für die aktuelle Installation zu setzen, verwenden Sie den Befehl devalias.


      ok devalias net Gerätepfad
      net Gerätepfad

      Weist dem Alias net das Gerät Gerätepfad zu.

    • Um net dauerhaft zu setzen, greifen Sie auf den Befehl nvalias zurück.


      ok nvalias net Gerätepfad
      net Gerätepfad

      Weist das Gerät Gerätepfad dem net-Alias zu.

Beispiel 13–1 Überprüfen und Ändern des Gerätealias net

Mit den folgenden Befehlen wird der Gerätealias net überprüft und geändert.

Überprüfen Sie die Alias-Einstellungen.


ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

Wenn die Netzwerkschnittstelle /pci@1f,0/pci@1,1/network@5,1 verwendet werden soll, geben Sie folgenden Befehl ein:


ok devalias net /pci@1f,0/pci@1,1/network@5,1
Fortsetzen der WAN-Boot-Installation

Nachdem Sie das Gerätealias net überprüft haben, fahren Sie mit einem der folgenden Schritte fort:

Installation von Schlüsseln auf dem Client

Für eine sicherere WAN-Boot-Installation oder eine unsichere Installation mit Überprüfung der Datenintegrität müssen Schlüssel auf dem Client installiert werden. Die an den Client übertragenen Daten können mit einem Hashing-Schlüssel und einer Verschlüsselung (Chiffrierschlüssel) geschützt werden. Sie können diese Schlüssel mit den folgenden Methoden installieren:

Schlüssel können auch im OBP eines laufenden Clients installiert werden. Wenn Sie auf einem laufenden Client Schlüssel installieren möchten, muss auf dem System Solaris 9 12/03 oder eine kompatible Version ausgeführt werden.

Wenn Sie Schlüssel auf dem Client installieren, vergewissern Sie sich, dass die Schlüsselwerte nicht über eine unsichere Verbindung gesendet werden. Wenden Sie zur Geheimhaltung der Schlüsselwerte die an Ihrem Standort geltenden Sicherheitsrichtlinien an.

ProcedureSo installieren Sie Schlüssel im Client-OBP

Sie können den Variablen der OBP-Netzwerk-Boot-Argumente vor dem Booten des Clients Schlüsselwerte zuweisen. Diese Schlüssel stehen dem Client dann für zukünftige WAN-Boot-Installationen weiter zur Verfügung.

Führen Sie die nachfolgenden Schritte aus, um Schlüssel im Client-OBP zu installieren.

Gehen Sie wie folgt vor, wenn Sie Variablen für OBP-Netzwerk-Boot-Argumente Schlüsselwerte zuweisen möchten:

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Zeigen Sie für jeden Client den Schlüsselwert an.


    # wanbootutil keygen -d -c -o net=Netz-IP,cid=Client-ID,type=Schlüsseltyp
    Netz-IP

    IP-Adresse des Teilnetzes, in dem sich der Client befindet.

    Client-ID

    ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

    Schlüsseltyp

    Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.

    Es wird der Hexadezimalwert des Schlüssels angezeigt.

  3. Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.

  4. Bringen Sie das Clientsystem auf Run-Level 0.


    # init 0

    Die Eingabeaufforderung ok wird angezeigt.

  5. An der Eingabeaufforderung ok des Clients setzen Sie den Wert für den Hashing-Schlüssel.


    ok set-security-key wanboot-hmac-sha1 Schlüsselwert
    set-security-key

    Installiert den Schlüssel auf dem Client.

    wanboot-hmac-sha1

    Weist das OBP an, einen HMAC SHA1-Hashing-Schlüssel zu installieren.

    Schlüsselwert

    Steht für den in Schritt 2 angezeigten Hexadezimalwert.

    Der HMAC SHA1-Hashing-Schlüssel wird im Client-OBP installiert.

  6. Installieren Sie an der Eingabeaufforderung ok des Clients den Chiffrierschlüssel (die Verschlüsselung).


    ok set-security-key wanboot-3des Schlüsselwert
    set-security-key

    Installiert den Schlüssel auf dem Client.

    wanboot-3des

    Weist das OBP an, eine 3DES-Verschlüsselung zu installieren. Wenn Sie stattdessen eine AES-Verschlüsselung verwenden möchten, setzen Sie diesen Wert auf wanboot-aes.

    Schlüsselwert

    Gibt den Hexadezimalwert an, der den Chiffrierschlüssel darstellt.

    Die 3DES-Verschlüsselung wird im Client-OBP installiert.

    Mit der Installation der Schlüssel sind die Vorbereitungen für die Einrichtung des Clients abgeschlossen. Anweisungen zur Einrichtung des Clientsystems finden Sie in Installation des Clients.

  7. (Optional) Vergewissern Sie sich, dass die Schlüssel im Client-OBP gesetzt sind.


    ok list-security-keys
Security Keys:
         wanboot-hmac-sha1
         wanboot-3des

  8. (Optional) Falls Sie einen Schlüssel löschen müssen, verwenden Sie dazu den folgenden Befehl:


    ok set-security-key Schlüsseltyp
    Schlüsseltyp

    Gibt den Schlüsseltyp an, der gelöscht werden soll. Verwenden Sie einen der Werte wanboot-hmac-sha1, wanboot-3des oder wanboot-aes.

Beispiel 13–2 Installation von Schlüsseln im Client-OBP

Das folgende Beispiel zeigt, wie ein Hashing- und ein Chiffrierschlüssel im Client-OBP installiert werden.

Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Dieses Beispiel enthält folgende Informationen:

net=192.168.198.0

Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

cid=010003BA152A42

Die Client-ID.

b482aaab82cb8d5631e16d51478c90079cc1d463

Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Den Wert der 3DES-Verschlüsselung des Clients.

Kommt in Ihrer Installation eine AES-Verschlüsselung zum Einsatz, dann ändern Sie wanboot-3des in wanboot-aes ab, um den Schlüsselwert anzuzeigen.

Installieren Sie die Schlüssel auf dem Clientsystem.


ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Diese Befehle führen folgende Aktionen durch:

Fortsetzen der WAN-Boot-Installation

Nachdem Sie die Schlüssel auf dem Client installiert haben, können Sie diesen über das WAN installieren. Die Anleitung hierzu finden Sie unter Installation des Clients.

Siehe auch

Nähere Informationen zum Anzeigen von Schlüsselwerten finden Sie auf der Manpage wanbootutil(1M).

ProcedureSo installieren Sie einen Hashing- und einen Chiffrierschlüssel auf einem laufenden Client

Sie können Schlüsselwerte auf einem laufenden System an der Eingabeaufforderung boot> des wanboot-Programms eingeben. Auf diese Art installierte Schlüssel stehen nur für die aktuelle WAN-Boot-Installation zur Verfügung.

Wenn Sie sowohl einen Hashing- als auch einen Chiffrierschlüssel im OBP eines laufenden Clients installieren möchten, gehen Sie nach dem folgenden Verfahren vor.

Bevor Sie beginnen

Dabei wird Folgendes vorausgesetzt:

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Zeigen Sie den Schlüsselwert für die Client-Schlüssel an.


    # wanbootutil keygen -d -c -o net=Netz-IP,cid=Client-ID,type=Schlüsseltyp
    Netz-IP

    IP-Adresse des Teilnetzes, in dem sich der Client befindet.

    Client-ID

    ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

    Schlüsseltyp

    Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.

    Es wird der Hexadezimalwert des Schlüssels angezeigt.

  3. Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.

  4. Melden Sie sich als Superuser oder als Benutzer mit einer entsprechenden administrativen Rolle beim Client an.

  5. Installieren Sie die erforderlichen Schlüssel auf dem laufenden Clientsystem.


    # /usr/lib/inet/wanboot/ickey -o type=Schlüsseltyp
> Schlüsselwert
    Schlüsseltyp

    Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.

    Schlüsselwert

    Steht für den in Schritt 2 angezeigten Hexadezimalwert.

  6. Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.

    Nach dem Installieren der Schlüssel können Sie den Client installieren. Anweisungen zur Einrichtung des Clientsystems finden Sie in Installation des Clients.

Beispiel 13–3 Installation von Schlüsseln im OBP eines laufenden Clientsystems

Das folgende Beispiel zeigt, wie Schlüssel im OBP eines laufenden Clients installiert werden.

Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Dieses Beispiel enthält folgende Informationen:

net=192.168.198.0

Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

cid=010003BA152A42

Die Client-ID.

b482aaab82cb8d5631e16d51478c90079cc1d463

Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Den Wert der 3DES-Verschlüsselung des Clients.

Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.

Installieren Sie die Schlüssel im OBP des laufenden Clients.


# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Diese Befehle führen folgende Aktionen durch:

Fortsetzen der WAN-Boot-Installation

Nachdem Sie die Schlüssel auf dem Client installiert haben, können Sie diesen über das WAN installieren. Die Anleitung hierzu finden Sie unter Installation des Clients.

Siehe auch

Nähere Informationen zum Anzeigen von Schlüsselwerten finden Sie auf der Manpage wanbootutil(1M).

Weitere Informationen zur Installation von Schlüsseln auf einem laufenden System finden Sie in ickey(1M).

Installation des Clients

Wenn Sie die Vorbereitung des Netzwerks für die WAN-Boot-Installation abgeschlossen haben, können Sie eines der folgenden Verfahren wählen, um die Client-Installation vorzunehmen.

Tabelle 13–2 Verfahren für die Client-Installation

Methode 

Beschreibung 

Anweisungen 

Ungeführte Installation 

Dieses Installationsverfahren wenden Sie an, wenn vor dem Booten des Clients die Schlüssel auf ihm installiert und die Client-Konfigurationsinformationen festgelegt werden sollen. 

Interaktive Installation 

Dieses Installationsverfahren wenden Sie an, wenn die Client-Konfigurationsinformationen beim Booten gesetzt werden sollen. 

So nehmen Sie eine interaktive WAN-Boot-Installation vor

Installation mit einem DHCP-Server 

Wenden Sie dieses Installationsverfahren an, wenn Sie den DHCP-Server des Netzwerks so konfiguriert haben, dass er bei der Installation die Client-Konfigurationsinformationen zur Verfügung stellt. 

Installation mit lokaler CD 

Wenn Ihr Client-OBP keine Unterstützung für WAN-Boot bietet, booten Sie den Client von einer lokalen Kopie der Solaris Software-CD. 

ProcedureSo nehmen Sie eine ungeführte WAN-Boot-Installation vor

Dieses Installationsverfahren wenden Sie an, wenn Sie vorab sowohl die Schlüssel installieren als auch die Client-Konfigurationsinformationen festlegen möchten. Anschließend können Sie den Client über das WAN booten und eine ungeführte Installation vornehmen.

Bei diesem Verfahren wird davon ausgegangen, dass Sie entweder Schlüssel im Client-OBP installiert haben oder eine unsichere Installation durchführen. Wie Sie vor der Installation Schlüssel auf dem Client installieren, erfahren Sie in Installation von Schlüsseln auf dem Client.

  1. Wenn das Clientsystem läuft, schalten Sie es auf Run-Level 0.


    # init 0

    Die Eingabeaufforderung ok wird angezeigt.

  2. Setzen Sie an der Eingabeaufforderung ok auf dem Client die Variablen für die Netzwerk-Boot-Argumente im OBP.


    ok setenv network-boot-arguments  host-ip=Client-IP,
router-ip=Router-IP,subnet-mask=Maskenwert,
Hostname=Client-Name,http-proxy=Proxy-IP:port,
file=wanbootCGI-URL
    Hinweis –

    Die Zeilenumbrüche in diesem Befehlsbeispiel dienen nur der Übersichtlichkeit. Geben Sie vor dem Ende des Befehls keinen Zeilenumbruch bzw. Wagenrücklauf ein.

    setenv network-boot-arguments

    Weist das OBP an, die folgenden Boot-Argumente zu setzen

    host-ip=Client-IP

    IP-Adresse des Clients

    router-ip=Router-IP

    IP-Adresse des Netzwerk-Routers

    subnet-mask=Maskenwert

    Maskenwert des Teilnetzes

    hostname=Client-Name

    Host-Name des Clients

    (Optional) http-proxy=Proxy-IP:Port

    Gibt die IP-Adresse und den Port des Proxy-Servers für das Netzwerk an.

    file=wanbootCGI-URL

    Gibt die URL des Programms wanboot-cgi auf dem Webserver an.

  3. Booten Sie den Client.


    ok boot net - install
    net - install

    Weist den Client an, beim Booten über das WAN auf die Variablen der Netzwerk-Boot-Argumente zurückzugreifen.

    Der Client wird über das WAN installiert. Wenn die WAN-Boot-Programme nicht alle erforderlichen Installationsinformationen finden, fordert wanboot Sie zur Eingabe der fehlenden Informationen auf. Geben Sie an der Eingabeaufforderung die benötigten Informationen ein.

Beispiel 13–4 Ungeführte WAN-Boot-Installation

Im folgenden Beispiel werden die Variablen der Netzwerk-Boot-Argumente für das Clientsystem myclient vor dem Booten des Systems gesetzt. In diesem Beispiel wird davon ausgegangen, dass auf dem Client bereits ein Hashing- und ein Chiffrierschlüssel installiert sind. Informationen zur Installation von Schlüsseln vor dem Booten über das WAN finden Sie in Installation von Schlüsseln auf dem Client.


ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192
hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

Es werden die folgenden Variablen gesetzt:

Siehe auch

Weitere Informationen zum Einrichten der Netzwerk-Bootargumente finden Sie in set(1).

Weitere Informationen zum Booten eines Systems finden Sie in boot(1M).

ProcedureSo nehmen Sie eine interaktive WAN-Boot-Installation vor

Wenden Sie dieses Installationsverfahren an, wenn Sie während der Installation über die Befehlszeile sowohl die Schlüssel installieren als auch die Client-Konfigurationsinformationen setzen möchten.

Bei diesem Verfahren wird davon ausgegangen, dass Sie die WAN-Installation per HTTPS vornehmen. Wenn Sie eine unsichere Installation ohne Schlüssel durchführen, zeigen Sie keine Client-Schlüssel an noch installieren Sie solche.

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Zeigen Sie für jeden Client den Schlüsselwert an.


    # wanbootutil keygen -d -c -o net=Netz-IP,cid=Client-ID,type=Schlüüsseltyp
    Netz-IP

    Die IP-Adresse des Teilnetzes für den Client, auf dem die Installation erfolgen soll.

    Client-ID

    ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

    Schlüsseltyp

    Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.

    Es wird der Hexadezimalwert des Schlüssels angezeigt.

  3. Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.

  4. Wenn das Clientsystem läuft, schalten Sie es auf Run-Level 0.

  5. Setzen Sie an der Eingabeaufforderung ok auf dem Clientsystem die Variablen der Netzwerk-Boot-Argumente im OBP.


    ok setenv network-boot-arguments  host-ip=Client-IP,router-ip=Router-IP,
subnet-mask=Maskenwert,hostname=Client-Name,
http-proxy=Proxy-IP:Port,bootserver=wanbootCGI-URL
    Hinweis –

    Die Zeilenumbrüche in diesem Befehlsbeispiel dienen nur der Übersichtlichkeit. Geben Sie vor dem Ende des Befehls keinen Zeilenumbruch bzw. Wagenrücklauf ein.

    setenv network-boot-arguments

    Weist das OBP an, die folgenden Boot-Argumente zu setzen:

    host-ip=Client-IP

    IP-Adresse des Clients

    router-ip=Router-IP

    IP-Adresse des Netzwerk-Routers

    subnet-mask=Maskenwert

    Maskenwert des Teilnetzes

    hostname=Client-Name

    Host-Name des Clients

    (Optional) http-proxy=Proxy-IP:Port

    Gibt die IP-Adresse und Port-Nummer des Proxy-Servers für das Netzwerk an.

    bootserver=wanbootCGI-URL

    Gibt die URL des Programms wanboot-cgi auf dem Webserver an.

    Hinweis –

    Der URL-Wert für die Variable bootserver darf keine HTTPS-URL sein. Die URL muss mit http:// beginnen.

  6. Booten Sie an der Eingabeaufforderung ok des Clients das System.


    ok boot net -o prompt - install
    net -o prompt - install

    Weist den Client an, über das Netzwerk zu booten und zu installieren. Das Programm wanboot fordert den Benutzer zur Eingabe von Client-Konfigurationsinformationen an der Eingabeaufforderung boot> auf.

    Die Eingabeaufforderung boot> wird angezeigt.

  7. Installieren Sie den Chiffrierschlüssel.


    boot> 3des=Schlüsselwert
    3des=Schlüsselwert

    Gibt den Hexadezimalwert des in Schritt 2 angezeigten 3DES-Schlüssels an.

    Wenn Sie mit AES-Verschlüsselung arbeiten, verwenden Sie folgendes Format:


    boot> aes=Schlüsselwert

  8. Installieren Sie den Hashing-Schlüssel.


    boot> sha1=Schlüsselwert
    sha1=Schlüsselwert

    Gibt den in Schritt 2 angezeigten Hashing-Schlüsselwert an.

  9. Geben Sie folgenden Befehl ein, um den Boot-Prozess fortzusetzen:


    boot> go

    Der Client wird über das WAN installiert.

  10. Wenn Sie dazu aufgefordert werden, geben Sie über die Befehlszeile die benötigten Client-Konfigurationsinformationen an.

    Wenn die WAN-Boot-Programme nicht alle erforderlichen Installationsinformationen finden, fordert wanboot Sie zur Eingabe der fehlenden Informationen auf. Geben Sie an der Eingabeaufforderung die benötigten Informationen ein.

Beispiel 13–5 Interaktive WAN-Boot-Installation

Im folgenden Beispiel fordert das wanboot-Programm den Benutzer während der Installation zum Setzen der Schlüsselwerte für das Clientsystem auf.

Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Dieses Beispiel enthält folgende Informationen:

net=192.168.198.0

Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

cid=010003BA152A42

Die Client-ID.

b482aaab82cb8d5631e16d51478c90079cc1d463

Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Den Wert der 3DES-Verschlüsselung des Clients.

Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.

Setzen Sie die Variablen der Netzwerk-Boot-Argumente im OBP des Clients.


ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient,
bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

Es werden die folgenden Variablen gesetzt:

Booten Sie den Client und führen Sie die Installation auf ihm durch.


ok boot net -o prompt - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net -o prompt
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> go

Diese Befehle führen folgende Aktionen durch:

Siehe auch

Weitere Informationen zum Anzeigen von Schlüsselwerten finden Sie in wanbootutil(1M).

Weitere Informationen zum Einrichten der Netzwerk-Bootargumente finden Sie in set(1).

Weitere Informationen zum Booten eines Systems finden Sie in boot(1M).

ProcedureSo nehmen Sie eine WAN-Boot-Installation mit einem DHCP-Server vor

Wenn Sie über einen DHCP-Server verfügen, der für die Unterstützung von WAN-Boot-Optionen konfiguriert wurde, können Sie diesen zur Bereitstellung von Client-Konfigurationsinformationen während der Installation einsetzen. Wie Sie einen DHCP-Server für eine WAN-Boot-Installation konfigurieren, erfahren Sie in (Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server.

Dabei wird Folgendes vorausgesetzt:

  1. Wenn das Clientsystem läuft, schalten Sie es auf Run-Level 0.


    # init 0

    Die Eingabeaufforderung ok wird angezeigt.

  2. Setzen Sie an der Eingabeaufforderung ok auf dem Client die Variablen für die Netzwerk-Boot-Argumente im OBP.


    ok setenv network-boot-arguments dhcp,hostname=Client-Name
    setenv network-boot-arguments

    Weist das OBP an, die folgenden Boot-Argumente zu setzen:

    dhcp

    Weist das OBP an, zur Konfiguration des Clients auf den DHCP-Server zurückzugreifen.

    hostname=Client-Name

    Hiermit geben Sie den Host-Namen an, den Sie dem Client zuweisen möchten.

  3. Booten Sie den Client über das Netzwerk.


    ok boot net - install
    net - install

    Weist den Client an, beim Booten über das WAN auf die Variablen der Netzwerk-Boot-Argumente zurückzugreifen.

    Der Client wird über das WAN installiert. Wenn die WAN-Boot-Programme nicht alle erforderlichen Installationsinformationen finden, fordert wanboot Sie zur Eingabe der fehlenden Informationen auf. Geben Sie an der Eingabeaufforderung die benötigten Informationen ein.

Beispiel 13–6 WAN-Boot-Installation mit DHCP-Server

Im folgenden Beispiel stellt der DHCP-Server im Netzwerk die Client-Konfigurationsinformationen bereit. Der Host-Name des Clients lautet in diesem Beispiel myclient.


ok setenv network-boot-arguments dhcp, hostname=myclient

ok boot net - install
Resetting ...



Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install
Siehe auch

Weitere Informationen zum Einrichten der Netzwerk-Bootargumente finden Sie in set(1).

Weitere Informationen zum Booten eines Systems finden Sie in boot(1M).

Weitere Informationen zur Konfiguration eines DHCP-Servers finden Sie in (Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server.

ProcedureSo nehmen Sie eine WAN-Boot-Installation mit lokalen CDs vor

Wenn das Client-OBP keine Unterstützung für WAN-Boot bietet, können Sie die Installation mit der Solaris Software - 1 CD im CD-ROM-Laufwerk des Clients durchführen. Bei Verwendung einer lokalen CD ruft der Client das wanboot-Programm nicht vom WAN-Boot-Server, sondern vom lokalen Datenträger ab.

Bei diesem Verfahren wird davon ausgegangen, dass Sie die WAN-Installation per HTTPS vornehmen. Wenn Sie eine unsichere Installation durchführen, zeigen Sie die Client-Schlüssel weder an noch installieren Sie solche.

Für eine WAN-Boot-Installation von einer lokalen CD befolgen Sie die nachfolgende Anleitung.

  1. Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.

  2. Zeigen Sie für jeden Client den Schlüsselwert an.


    # wanbootutil keygen -d -c -o net=Netz-IP,cid=Client-ID,type=Schlüsseltyp
    Netz-IP

    Die Netzwerk-IP-Adresse des Clients, auf dem die Installation erfolgen soll.

    Client-ID

    Die ID des Clients, auf dem die Installation erfolgen soll. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

    Schlüsseltyp

    Die Art des Schlüssels, der auf dem Client installiert werden soll. Gültige Schlüsseltypen sind 3des, aes und sha1.

    Es wird der Hexadezimalwert des Schlüssels angezeigt.

  3. Wiederholen Sie den vorigen Schritt für jeden Typ der zu installierenden Client-Schlüssel.

  4. Legen Sie die Solaris Software - 1 CD in das CD-ROM-Laufwerk des Clients ein.

  5. Schalten Sie das Clientsystem ein.

  6. Booten Sie den Client von der CD.


    ok boot cdrom -o prompt -F wanboot - install
    cdrom

    Weist das OBP an, von der lokalen CD-ROM zu booten.

    -o prompt

    Weist das wanboot-Programm an, den Benutzer zur Eingabe von Client-Konfigurationsinformationen aufzufordern.

    -F wanboot

    Weist das OBP an, das wanboot-Programm von der CD-ROM zu laden.

    - install

    Weist den Client an, eine WAN-Boot-Installation durchzuführen.

    Das OBP des Clients lädt das wanboot-Programm von der Solaris Software - 1 CD. Das wanboot-Programm bootet das System, und die Eingabeaufforderung boot> wird angezeigt.

  7. Geben Sie den Verschlüsselungswert ein.


    boot> 3des=Schlüsselwert
    3des=Schlüsselwert

    Gibt den Hexadezimalwert des in Schritt 2 angezeigten 3DES-Schlüssels an.

    Wenn Sie mit AES-Verschlüsselung arbeiten, verwenden Sie folgendes Format:


    boot> aes=Schlüsselwert

  8. Geben Sie den Hashing-Schlüsselwert ein.


    boot> sha1=Schlüsselwert
    sha1=Schlüsselwert

    Gibt den Hexadezimalwert des inSchritt 2 angezeigten Hashing-Schlüssels an.

  9. Setzen Sie die Netzwerkschnittstellen-Variablen.


    boot> Variable=Wert[,Variable=Wert*]

    Geben Sie an der Eingabeaufforderung boot> die folgenden Variablen-Wert-Paare ein.

    host-ip=Client-IP

    IP-Adresse des Clients

    router-ip=Router-IP

    IP-Adresse des Netzwerk-Routers

    subnet-mask=Maskenwert

    Maskenwert des Teilnetzes

    hostname=Client-Name

    Host-Name des Clients

    (Optional) http-proxy=Proxy-IP:Port

    Gibt die IP-Adresse und Port-Nummer des Proxy-Servers für das Netzwerk an.

    bootserver=wanbootCGI-URL

    Gibt die URL des Programms wanboot-cgi auf dem Webserver an.

    Hinweis –

    Der URL-Wert für die Variable bootserver darf keine HTTPS-URL sein. Die URL muss mit http:// beginnen.

    Sie können diese Variablen mit den folgenden Methoden eingeben:

    • Geben Sie an der Eingabeaufforderung boot> ein Variablen-Wert-Paar ein und drücken Sie die Eingabetaste.


      boot> host-ip=Client-IP
boot> subnet-mask=Maskenwert

    • Geben Sie an der Eingabeaufforderung boot> alle Variablen-Wert-Paare in eine Zeile ein und drücken Sie die Eingabetaste. Trennen Sie die einzelnen Paare durch Kommata voneinander.


      boot> host-ip=Client-IP,subnet-mask=Maskenwert,
router-ip=Router-IP,hostname=Client-Name,
http-proxy=Proxy-IP:Port,bootserver=wanbootCGI-URL

  10. Geben Sie folgenden Befehl ein, um den Boot-Prozess fortzusetzen:


    boot> go

    Der Client wird über das WAN installiert. Wenn die WAN-Boot-Programme nicht alle erforderlichen Installationsinformationen finden, fordert wanboot Sie zur Eingabe der fehlenden Informationen auf. Geben Sie an der Eingabeaufforderung die benötigten Informationen ein.

Beispiel 13–7 Installation mit lokaler CD

Im folgenden Beispiel wird der Benutzer während der Installation vom wanboot-Programm auf einer lokalen CD dazu aufgefordert, die Netzwerkschnittstellen-Variablen für den Client zu setzen.

Zeigen Sie auf dem WAN-Boot-Server die Schlüsselwerte an.


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Dieses Beispiel enthält folgende Informationen:

net=192.168.198.0

Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

cid=010003BA152A42

Die Client-ID.

b482aaab82cb8d5631e16d51478c90079cc1d463

Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Den Wert der 3DES-Verschlüsselung des Clients.

Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.

Booten Sie den Client und führen Sie die Installation auf ihm durch.


ok boot cdrom -o prompt -F wanboot - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot cdrom -F wanboot - install
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> host-ip=192.168.198.124

boot> subnet-mask=255.255.255.128

boot> router-ip=192.168.198.1

boot> hostname=myclient
boot> client-id=010003BA152A42

boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

boot> go

Diese Befehle führen folgende Aktionen durch:

Siehe auch

Weitere Informationen zum Anzeigen von Schlüsselwerten finden Sie in wanbootutil(1M).

Weitere Informationen zum Einrichten der Netzwerk-Bootargumente finden Sie in set(1).

Weitere Informationen zum Booten eines Systems finden Sie in boot(1M).

Kapitel 14 SPARC: Installation mit WAN-Boot (Beispiele)

In diesem Kapitel sehen Sie ein Beispiel für eine Installation von Clientsystemen über ein WAN (Wide Area Network). Die Beispiele in diesem Kapitel zeigen, wie Sie eine sichere WAN-Boot-Installation über eine HTTPS-Verbindung vornehmen können.

Konfiguration des Beispielstandorts

Abbildung 14–1 zeigt die Standortkonfiguration für dieses Beispiel.

Abbildung 14–1 Beispielstandort für eine WAN-Boot-Installation

Der Inhalt der Grafik ist im Kontext beschrieben.

Dieser Beispielstandort weist die folgenden Merkmale auf:

Erstellen des Dokument-Root-Verzeichnisses

Legen Sie im Dokument-Root-Verzeichnis (/opt/apache/htdocs) auf wanserver-1 folgende Verzeichnisse zum Speichern der Installationsdateien und -daten an.

Erzeugen der WAN-Boot-Miniroot

Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild mit dem Befehl setup_install_server(1M) und der Option -w in das Verzeichnis /export/install/Solaris_10 von wanserver-1.

Legen Sie den Solaris Software-Datenträger in das an wanserver-1 angeschlossene Laufwerk ein. Geben Sie die folgenden Befehle ein.


wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis (/opt/apache/htdocs/) des WAN-Boot-Servers.


wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

Überprüfen des Client-OBP auf WAN-Boot-Unterstützung

Ermitteln Sie, ob im OBP des Clients WAN-Boot-Unterstützung gegeben ist. Geben Sie dazu auf dem Clientsystem folgenden Befehl ein:


# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

Die Ausgabe network-boot-arguments: data not available im vorigen Beispiel weist darauf hin, dass das Client-OBP WAN-Boot unterstützt.

Installation des wanboot-Programms auf dem WAN-Boot-Server

Zum Installieren des wanboot-Programms auf dem WAN-Boot-Server kopieren Sie das Programm vom Solaris Software-Datenträger in das Dokument-Root-Verzeichnis des WAN-Boot-Servers.

Legen Sie die Solaris-DVD oder die Solaris Software - 1 CD in das an wanserver-1 angeschlossene Laufwerk ein, und geben Sie folgende Befehle ein:


wanserver-1# cd /cdrom/cdrom0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

Erstellen Sie die /etc/netboot-Hierarchie.

Erzeugen Sie auf dem WAN-Boot-Server die wanclient-1-Unterverzeichnisse für das Verzeichnis /etc/netboot. Während der Installation rufen die WAN-Boot-Installationsprogramme Konfigurations- und Sicherheitsinformationen aus diesem Verzeichnis ab.

wanclient-1befindet sich im Teilnetz 192.168.198.0 und hat die Client-ID 010003BA152A42. Gehen Sie wie folgt vor, um ein entsprechendes Unterverzeichnis in /etc/netboot für wanclient-1 anzulegen.


wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

Kopieren des Programms wanboot-cgi auf den WAN-Boot-Server

Bei Systemen, die aktuelle Solaris-Release ausführen, befindet sich das wanboot-cgi-Programm im Verzeichnis /usr/lib/inet/wanboot/. Damit der WAN-Boot-Server die Installationsdaten übertragen kann, müssen Sie das Programm wanboot-cgi in das Verzeichnis cgi-bin unter dem Webserver-Software-Verzeichnis kopieren.


wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(Optional) Konfigurieren des WAN-Boot-Servers als Anmeldeserver

Standardmäßig werden alle Protokollmeldungen beim WAN-Boot auf dem Clientsystem angezeigt, um eine schnelle Fehlerdiagnose bei Installationsproblemen zu ermöglichen.

Wenn Sie Boot- und Installationsmeldungen auf dem WAN-Boot-Server sehen möchten, kopieren Sie das Skript bootlog-cgi in das Verzeichnis cgi-bin auf wanserver-1.


wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

Konfiguration des WAN-Boot-Servers für die Verwendung von HTTPS

Wenn Sie bei den WAN-Boot-Installationen mit HTTPS arbeiten möchten, müssen Sie in der Webserver-Software die SSL-Unterstützung aktivieren. Außerdem müssen Sie auf dem WAN-Boot-Server ein digitales Zertifikat installieren. In diesem Beispiel wird angenommen, dass der Apache-Webserver auf wanserver-1 für die Arbeit mit SSL konfiguriert ist. Des Weiteren wird davon ausgegangen, dass ein digitales Zertifikat und eine Zertifizierungsstelle (CA) zur Bestimmung der Identität von wanserver-1 bereits auf wanserver-1 installiert sind.

Beispiele für die Einstellung der SSL-Unterstützung in der Webserver-Software entnehmen Sie bitte der Dokumentation Ihres Webservers.

Liefern des vertrauenswürdigen Zertifikats an den Client

Indem Sie festlegen, dass sich der Server gegenüber dem Client ausweisen muss, erzielen Sie einen Schutz der Daten, die über HTTPS vom Server an den Client übertragen werden. Zur Server-Authentifizierung liefern Sie dem Client ein vertrauenswürdiges Zertifikat. Auf Grundlage des vertrauenswürdigen Zertifikats kann der Client bei der Installation die Identität des Servers überprüfen.

Um dem Client das vertrauenswürdige Zertifikat zur Verfügung zu stellen, nehmen Sie die Benutzerrolle des Webserver-Benutzers an. Dann teilen Sie das Zertifikat auf und erhalten so das vertrauenswürdige Zertifikat. Fügen Sie dann das vertrauenswürdige Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein.

In diesem Beispiel nehmen Sie die Benutzerrolle nobody an, da dies die Rolle des Webserver-Benutzers ist. Dann teilen Sie das PKCS#12-Serverzertifikat namens cert.p12 auf und fügen das vertrauenswürdige Zertifikat in das Verzeichnis /etc/netboot für wanclient-1 ein.


wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(Optional) Einsatz von privatem Schlüssel und Zertifikat zur Client-Authentifizierung

Zum weiteren Schutz Ihrer Daten während der Installation können Sie festlegen, dass sich wanclient-1 gegenüber wanserver-1 authentifizieren muss. Zur Aktivierung der Client-Authentifizierung in der WAN-Boot-Installation fügen Sie ein Client-Zertifikat und einen privaten Schlüssel (private key) in das Client-Unterverzeichnis der /etc/netboot-Hierarchie ein.

Gehen Sie wie folgt vor, um dem Client einen privaten Schlüssel und ein Zertifikat zur Verfügung zu stellen.

In diesem Beispiel nehmen Sie die Benutzerrolle nobody an, da dies die Rolle des Webserver-Benutzers ist. Dann teilen Sie das PKCS#12-Serverzertifikat namens cert.p12 auf. Sie fügen das Zertifikat in die /etc/netboot-Hierarchie für wanclient-1 ein. Anschließend fügen Sie den als wanclient.key benannten privaten Schlüssel in die keystore-Datei des Clients ein.


wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

Erzeugen der Schlüssel für Server und Client

Zum Schutz der Daten, die zwischen Server und Client übertragen werden, erzeugen Sie einen Hashing-Schlüssel und eine Verschlüsselung (d. h. einen Chiffrierschlüssel). Mit dem Hashing-Schlüssel schützt der Server die Integrität des Programms wanboot. Den Chiffrierschlüssel verwendet der Server zum Verschlüsseln der Konfigurations- und Installationsdaten. Mit dem Hashing-Schlüssel prüft der Client die Integrität des heruntergeladenen wanboot-Programms. Der Chiffrierschlüssel dient außerdem dem Client zum Entschlüsseln der Daten bei der Installation.

Nehmen Sie zunächst die Benutzerrolle des Webserver-Benutzers an. In diesem Beispiel die Benutzerrolle nobody.


wanserver-1# su nobody
Password:

Generieren Sie dann mit dem Befehl wanbootutil keygen einen HMAC SHA1-Hauptschlüssel für wanserver-1.


wanserver-1# wanbootutil keygen -m

Erzeugen Sie dann einen Hashing-Schlüssel und eine Verschlüsselung für wanclient-1.


wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

Der vorige Befehl generiert einen HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für wanclient-1. 192.168.198.0 ist das Teilnetz von wanclient-1, 010003BA152A42 die Client-ID von wanclient-1.

Erzeugen des Solaris Flash-Archivs

In diesem Beispiel erzeugen Sie ein Solaris Flash-Archiv, indem Sie das wanserver-1-Master-System klonen. Das Archiv erhält den Namen sol_10_sparc und wird 1:1 vom Master-System kopiert. Es stellt ein exaktes Duplikat des Master-Systems dar. Das fertige Archiv wird in sol_10_sparc.flar gespeichert. Sie speichern das Archiv im Unterverzeichnis flash/archives des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.


wanserver-1# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

Erzeugen der Datei sysidcfg

Für die Vorkonfiguration des Systems wanclient-1 geben Sie in der Datei sysidcfg Schlüsselwörter und Werte an. Speichern Sie diese Datei im passenden Unterverzeichnis des Dokument-Root-Verzeichnisses auf wanserver-1.

Beispiel 14–1 sysidcfg-Datei für das System client-1

Das folgende Beispiel zeigt eine mögliche sysidcfg-Datei für wanclient-1. Host-Name, IP-Adresse und Netzmaske dieser Systeme wurden durch Bearbeitung des Naming Service vorkonfiguriert. Diese Datei befindet sich im Verzeichnis /opt/apache/htdocs/flash/.

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

Erstellen des Client-Profils

Erstellen Sie für das System wanclient-1 ein Profil namens wanclient_1_prof. Die Datei wanclient_1_prof enthält die folgenden Einträge, die definieren, wie die 10 10/08-Software auf dem System wanclient-1 installiert werden soll.

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/cdrom0.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

In der folgenden Liste sind einige Schlüsselwörter und Werte aus diesem Beispiel beschrieben.

install_type

Das Profil installiert ein Solaris Flash-Archiv auf dem Klonsystem. Wie bei einer Erst- bzw. Neuinstallation werden alle Dateien überschrieben.

archive_location

Das komprimierte Solaris Flash-Archiv wird von wanserver-1 abgerufen.

partitioning

Mit dem Wert explicit legen Sie fest, dass die Dateisystem-Slices von den filesys-Schlüsselwörtern definiert werden. Die Größe von Root (/) ist von der Größe des Solaris Flash-Archivs abhängig. Der swap-Bereich wird auf c0t1d0s1 angelegt und seine Größe nach Bedarf automatisch festgelegt. /export/home ist vom verbleibenden Speicherplatz abhängig. /export/home wird auf c0t1d0s7 angelegt.

Erzeugen und Überprüfen der Datei rules

Aus der Datei rules wählen die Programme für die benutzerdefinierte JumpStart-Installation das richtige Profil für das System wanclient-1 aus. Erzeugen Sie eine Textdatei namens rules. Fügen Sie dann Schlüsselwörter und Werte in diese Datei ein.

Die IP-Adresse von wanclient-1 lautet 192.168.198.210, die Netzmaske 255.255.255.0. Mit dem Schlüsselwort network geben Sie an, welches Profil die Programme für die benutzerdefinierte JumpStart-Installation zur Installation von wanclient-1 verwenden sollen.


network 192.168.198.0 - wanclient_1_prof -

Die rules-Datei legt damit fest, dass die Programme für die benutzerdefinierte JumpStart-Installation das Profil wanclient_1_prof verwenden sollen, um die aktuelle Solaris-Release-Software auf wanclient-1 zu installieren.

Nennen Sie diese Datei wanclient_rule.

Wenn Sie das Profil und die rules-Datei erzeugt haben, führen Sie das check-Skript aus, um die Gültigkeit der Dateien zu überprüfen.


wanserver-1# ./check -r wanclient_rule

Wenn das Skript check keine Fehler findet, erstellt es die Datei rules.ok.

Speichern Sie die Datei rules.ok im Verzeichnis /opt/apache/htdocs/flash/.

Erzeugen der Systemkonfigurationsdatei

Erzeugen Sie eine Systemkonfigurationsdatei, in der die Adresse der Datei sysidcfg und der JumpStart-Dateien auf dem Installationsserver angegeben sind. Speichern Sie diese Datei in einem für den WAN-Boot-Server zugänglichen Verzeichnis.

In folgendem Beispiel sucht das Programm wanboot-cgi die Datei sysidcfg und die JumpStart-Dateien im Dokument-Root-Verzeichnis des WAN-Boot-Servers. Der Domain-Name des WAN-Boot-Servers lautet https://www.Beispiel.com. Der WAN-Boot-Server ist für die Verwendung von sicherem HTTP konfiguriert, so dass die Daten und Dateien bei der Installation geschützt sind.

In diesem Beispiel lautet der Name der Systemkonfigurationsdatei sys-conf.s10–sparc, und die Datei wurde in der /etc/netboot-Hierarchie des WAN-Boot-Servers gespeichert. Die Datei sysidcfg und die JumpStart-Dateien befinden sich im Unterverzeichnis flash des Dokument-Root-Verzeichnisses.

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

Erzeugen der Datei wanboot.conf

Bei der Installation des Clientsystems greift WAN-Boot auf die Konfigurationsinformationen in der Datei wanboot.conf zurück. Erzeugen Sie die Datei wanboot.conf in einem Texteditor. Speichern Sie die Datei im entsprechenden Client-Unterverzeichnis der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

Die folgende wanboot.conf-Datei für wanclient-1 enthält Konfigurationsinformationen für eine WAN-Installation, die sicheres HTTP verwendet. Die Datei bestimmt außerdem, dass die Daten bei der WAN-Boot-Installation mit einem HMAC SHA1-Hashing-Schlüssel und einer 3DES-Verschlüsselung zu schützen sind.

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:

boot_file=/wanboot/wanboot.s10_sparc

Das wanboot-Programm heißt wanboot.s10_sparc. Dieses Programm befindet sich im Verzeichnis wanboot des Dokument-Root-Verzeichnisses auf wanserver-1.

root_server=https://www.example.com/cgi-bin/wanboot-cgi

Die Adresse des Programms wanboot-cgi auf wanserver-1 lautet https://www.Beispiel.com/cgi-bin/wanboot-cgi. Der https-Teil der URL gibt an, dass diese WAN-Boot-Installation mit sicherem HTTP vorgenommen wird.

root_file=/miniroot/miniroot.s10_sparc

Die WAN-Boot-Miniroot heißt miniroot.s10_sparc. Die Miniroot befindet sich im Verzeichnis miniroot des Dokument-Root-Verzeichnisses auf wanserver-1.

signature_type=sha1

Das wanboot-Programm und das WAN-Boot-Dateisystem werden mit einem HMAC SHA1-Hashing-Schlüssel signiert.

encryption_type=3des

Das wanboot-Programm und das WAN-Boot-Dateisystem werden mit einem 3DES-Schlüssel chiffriert.

server_authentication=yes

Der Server wird bei der Installation authentifiziert.

client_authentication=no

Der Client wird bei der Installation nicht authentifiziert.

Hinweis –

Wenn Sie die unter (Optional) Einsatz von privatem Schlüssel und Zertifikat zur Client-Authentifizierung beschriebenen Schritte ausgeführt haben, setzen Sie diesen Parameter auf client_authentication=yes.

resolve_hosts=

Es werden keine zusätzlichen Host-Namen für die WAN-Boot-Installation benötigt. Alle Host-Namen, die das Programm wanboot-cgi benötigt, sind in der Datei wanboot.conf und im Client-Zertifikat angegeben.

boot_logger=

Boot- und Installations-Protokollmeldungen werden auf der Systemkonsole angezeigt. Wenn Sie den Protokollserver in (Optional) Konfigurieren des WAN-Boot-Servers als Anmeldeserver konfiguriert haben und die WAN-Boot-Meldungen auch auf dem WAN-Boot-Server angezeigt werden sollen, setzen Sie diesen Parameter auf boot_logger=https://www.Beispiel.com/cgi-bin/bootlog-cgi.

system_conf=sys-conf.s10–sparc

Die Systemkonfigurationsdatei, in der die Speicherorte der sysidcfg- und JumpStart-Dateien angegeben werden, befindet sich in der Datei sys-conf.s10–sparc in der /etc/netboot-Hierarchie auf wanserver-1.

In diesem Beispiel wurde die Datei wanboot.conf im Verzeichnis /etc/netboot/192.168.198.0/010003BA152A42 auf wanserver-1 gespeichert.

Überprüfen des Gerätealias net im OBP

Zum Booten des Clients aus dem WAN mit dem Befehl boot net muss der Gerätealias net auf das primäre Netzwerkgerät des Clients gesetzt werden. Geben Sie an der Eingabeaufforderung ok des Clients den Befehl devalias ein, und prüfen Sie, ob der Aliasname net auf das primäre Netzwerkgerät /pci@1f,0/pci@1,1/network@c,1 gesetzt ist.


ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

In dieser Beispielausgabe ist dem Alias net das primäre Netzwerkgerät /pci@1f,0/pci@1,1/network@c,1 zugewiesen. Sie müssen ihn also nicht ändern.

Installation von Schlüsseln auf dem Client

In Erzeugen der Schlüssel für Server und Client haben Sie einen Hashing-Schlüssel und eine Verschlüsselung (den Chiffrierschlüssel) zum Schutz der Daten während der Installation erzeugt. Diese Schlüssel müssen auf wanclient-1 installiert werden, damit der Client die von wanclient-1 übertragenen Daten entschlüsseln kann.

Zeigen Sie auf wanserver-1 die Schlüsselwerte an.


wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Dieses Beispiel enthält folgende Informationen:

net=192.168.198.0

Die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

cid=010003BA152A42

Die Client-ID.

b482aaab82cb8d5631e16d51478c90079cc1d463

Den Wert des HMAC SHA1-Hashing-Schlüssels des Clients.

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Den Wert der 3DES-Verschlüsselung des Clients.

Wenn Sie in Ihrer Installation einen AES-Schlüssel verwenden, müssen Sie type=3des in type=aes ändern, damit der Schlüsselwert angezeigt wird.

Installieren Sie die Schlüssel an der Befehlseingabe ok auf wanclient-1.


ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

Diese Befehle führen folgende Aktionen durch:

Installation des Clients

Sie können eine ungeführte Installation durchführen, indem Sie an der Eingabeaufforderung ok die Netzwerk-Boot-Variablen für wanclient-1 setzen und den Client dann booten.


ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%)
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.10 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

Es werden die folgenden Variablen gesetzt:

Der Client wird über das WAN installiert. Wenn das wanboot-Programm nicht alle erforderlichen Installationsinformationen findet, werden Sie möglicherweise dazu aufgefordert, die fehlenden Informationen an der Befehlszeile einzugeben.

Kapitel 15 WAN-Boot (Referenz)

Dieses Kapitel bietet eine kurze Darstellung der Befehle und Dateien, die bei einer WAN-Installation eingesetzt werden.

Befehle für die WAN-Boot-Installation

In den folgenden Tabellen sind die Befehle beschrieben, die Sie bei einer WAN-Boot-Installation verwenden.

Tabelle 15–1 Vorbereitung der WAN-Boot-Installations- und Konfigurationsdateien

Schritt und Beschreibung 

Befehl 

Solaris-Installationsabbild nach Inst_verz_pfad und die WAN-Boot-Miniroot nach WAN_verz_pfad auf der Festplatte des Installationsservers kopieren

setup_install_server –w WAN_verz_pfad Inst_verz_pfad

Ein Solaris Flash-Archiv mit dem Namen Name.flar erzeugen

  • Name ist der Name des Archivs.

  • optionale_Parameter sind optionale Parameter für die Anpassung des Archivs.

  • Dokument-Root ist der Pfad zum Dokument-Root-Verzeichnis auf dem Installationsserver.

  • Dateiname ist der Name des Archivs.

flarcreate – n Name [optionale-Parameter] Dokument-Root/flash/Dateiname

Gültigkeit der rules-Datei mit dem Namen Regeln für die benutzerdefinierte JumpStart-Installation überprüfen

./check -r Regeln

Gültigkeit der Datei wanboot.conf überprüfen

  • Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

  • Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

bootconfchk /etc/netboot/Netz-IP/Client-ID/wanboot.conf

Unterstützung für WAN-Boot im Client-OBP überprüfen

eeprom | grep network-boot-arguments

Tabelle 15–2 Vorbereitung der WAN-Boot-Sicherheitsdateien

Schritt und Beschreibung 

Befehl 

HMAC SHA1-Masterschlüssel für den WAN-Boot-Server erzeugen 

wanbootutil keygen -m

HMAC SHA1-Hashing-Schlüssel für den Client erzeugen 

  • Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

  • Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

wanbootutil keygen -c -o net=Netz-IP,cid= Client-ID,type=sha1

Chiffrierschlüssel für den Client erzeugen 

  • Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

  • Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

  • Schlüsseltyp ist entweder 3des oder aes.

wanbootutil keygen -c -o net=Netz-IP,cid= Client-ID,type=Schlüsseltyp

Eine PKCS#12-Zertifikatdatei aufteilen und das Zertifikat in die truststore-Datei des Clients einfügen

  • p12Zert ist der Name der PKCS#12-Zertifikatdatei.

  • Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

  • Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

wanbootutil p12split -i P12Zert -t /etc/netboot/Netz-IP/Client-ID/truststore

Eine PKCS#12-Zertifikatdatei aufteilen und das Client-Zertifikat in die certstore-Datei des Clients einfügen

  • p12Zert ist der Name der PKCS#12-Zertifikatdatei.

  • Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

  • Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

  • Schlüsseldatei ist der Name des privaten Schlüssels des Clients.

wanbootutil p12split -i p12Zert -c /etc/netboot/Netz-IP/Client-ID/certstore -k Schlüsseldatei

Den privaten Schlüssel des Clients aus einer aufgeteilten PKCS#12-Datei in die keystore-Datei des Clients einfügen

  • Schlüsseldatei ist der Name des privaten Schlüssels des Clients.

  • Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

  • Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

wanbootutil keymgmt -i -k Schlüsseldatei -s /etc/netboot/Netz-IP/Client-ID/keystore -o type=rsa

Den Wert eines HMAC SHA1-Hashing-Schlüssels anzeigen 

  • Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

  • Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

wanbootutil keygen -d -c -o net=Netz-IP,cid= Client-ID,type=sha1

Einen Verschlüsselungswert anzeigen 

  • Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet.

  • Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.

  • Schlüsseltyp ist entweder 3des oder aes.

wanbootutil keygen -d -c -o net=Netz-IP,cid= Client-ID,type=Schlüsseltyp

Einen Hashing-Schlüssel oder eine Verschlüsselung auf einem laufenden System einfügen. Schlüsseltyp kann einen der Werte sha1, 3des und aes aufweisen.

/usr/lib/inet/wanboot/ickey -o type=Schlüsseltyp

OBP-Befehle

In der folgenden Tabelle sind die OBP-Befehle aufgeführt, die Sie für eine WAN-Boot-Installation an der Eingabeaufforderung ok auf dem Client eingeben können.

Tabelle 15–3 OBP-Befehle für die WAN-Boot-Installation

Schritt und Beschreibung 

OBP-Befehl 

Eine ungeführte WAN-Boot-Installation beginnen 

boot net – install

Eine interaktive WAN-Boot-Installation beginnen 

boot net –o prompt - install

Eine WAN-Boot-Installation von einer lokalen CD beginnen 

boot cdrom –F wanboot - install

Installieren Sie vor dem Beginn der WAN-Boot-Installation einen Hashing-Schlüssel.Schlüsselwert ist der hexadezimale Wert des Hashing-Schlüssels.

set-security-key wanboot-hmac-sha1 Schlüsselwert

Vor Beginn einer WAN-Boot-Installation eine Verschlüsselung installieren

  • Schlüsseltyp ist entweder wanboot-3des oder wanboot-aes.

  • Schlüsselwert ist der Hexadezimalwert der Verschlüsselung.

set-security-key Schlüsseltyp Schlüsselwert

Überprüfen, ob Schlüsselwerte im OBP gesetzt sind

list-security-keys

Vor Beginn der WAN-Boot-Installation Client-Konfigurationsvariablen setzen

  • Client-IP ist die IP-Adresse des Clients.

  • Router-IP ist die IP-Adresse des Netzwerk-Routers.

  • Maskenwert ist der Wert der Teilnetzmaske.

  • Client-Name ist der Host-Name des Clients.

  • Proxy-IP ist die IP-Adresse des Proxy-Servers im Netzwerk.

  • wanbootCGI-Pfad ist der Pfad zu den wanbootCGI-Programmen auf dem Webserver.

setenv network-boot-arguments host-ip= Client-IP,router-ip=Router-IP,subnet-mask= Maskenwert,hostname=Clientname ,http-proxy=Proxy-IP,file= WanbootCGI-Pfad

Netzwerkgerät-Alias überprüfen

devalias

Den Netzwerkgerät-Alias festlegen, wobei Gerätepfad der Pfad zum primären Netzwerkgerät ist.

  • Um den Alias nur für die aktuelle Installation zu setzen, geben Sie devalias net Gerätepfad ein.

  • Um den Alias dauerhaft zu setzen, geben Sie nvvalias net Gerätepfad ein.

Einstellungen und Syntax der Systemkonfigurationsdatei

Mit der Systemkonfigurationsdatei leiten Sie die WAN-Boot-Installationsprogramme zu den folgenden Dateien:

Bei der Systemkonfigurationsdatei handelt es sich um eine Normaltextdatei, die nach diesem Muster formatiert sein muss:

Einstellung=Wert

Die Datei system.conf muss die folgenden Einstellungen enthalten:

SsysidCF=sysidcfg-Datei-URL

Diese Einstellung verweist auf das Verzeichnis auf dem Installationsserver, in dem sich die Datei sysidcfg befindet. Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.

SjumpsCF=jumpstart-Dateien-URL

Diese Einstellung verweist auf das JumpStart-Verzeichnis, das die Datei rules.ok und die Profildateien enthält. Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.

Die Datei system.conf kann in jedem für den WAN-Boot-Server zugänglichen Verzeichnis gespeichert werden.

Parameter der Datei wanboot.conf und Syntax

Die Datei wanboot.conf ist eine Konfigurationsdatei im Textformat, auf welche die WAN-Boot-Installationsprogramme für die Durchführung einer WAN-Installation zugreifen. Bei der Installation des Clientsystems greifen die folgenden Programme und Dateien auf die Informationen in der Datei wanboot.conf zurück:

Speichern Sie die Datei wanboot.conf im entsprechenden Client-Unterverzeichnis der /etc/netboot-Hierarchie auf dem WAN-Boot-Server. Wie Sie den Aktionsbereich für Ihre WAN-Boot-Installation in der /etc/netboot-Hierarchie festlegen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.

Zur Angabe von Informationen in der Datei wanboot.conf führen Sie Parameter und die dazugehörigen Werte in folgendem Format auf:

Parameter=Wert

Parametereinträge dürfen sich nicht über mehrere Zeilen erstrecken. Durch Voranstellen des Zeichens # können Sie Kommentare in die Datei einfügen.

Ausführliche Informationen über die Datei wanboot.conf finden Sie in der Manpage wanboot.conf(4).

In der Datei wanboot.conf müssen die folgenden Parameter gesetzt werden:

boot_file=Wanboot-Pfad

Mit diesem Parameter geben Sie den Pfad zum wanboot-Programm an. Der Wert besteht in einem Pfad, der relativ zum Dokument-Root-Verzeichnis auf dem WAN-Boot-Server ist.

boot_file=/wanboot/wanboot.s10_sparc
root_server=WanbootCGI-URL /wanboot-cgi

Mit diesem Parameter geben Sie die URL des Programms wanboot-cgi auf dem WAN-Boot-Server an.

  • Für eine WAN-Boot-Installation ohne Client- oder Server-Authentifizierung geben Sie eine HTTP-URL an.

    root_server=http://www.example.com/cgi-bin/wanboot-cgi

  • Verwenden Sie eine HTTPS-URL, wenn Sie eine WAN-Boot-Installation mit Server- oder mit Server- und Client-Authentifizierung durchführen.

    root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=Miniroot-Pfad

Mit diesem Parameter geben Sie den Pfad zur WAN-Boot-Miniroot auf dem WAN-Boot-Server an. Der Wert besteht in einem Pfad, der relativ zum Dokument-Root-Verzeichnis auf dem WAN-Boot-Server ist.

root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1 | leer

Mit diesem Parameter geben Sie den Typ des für die Integritätsprüfung der übertragenen Daten und Dateien einzusetzenden Hashing-Schlüssels an.

  • Für WAN-Boot-Installationen, bei welchen das wanboot-Programm durch einen Hashing-Schlüssel geschützt werden soll, setzen Sie diesen Wert auf sha1.

    signature_type=sha1

  • Für unsichere WAN-Installationen ohne Hashing-Schlüssel lassen Sie diesen Wert leer.

    signature_type=
encryption_type=3des | aes | leer

Mit diesem Parameter geben Sie den gewünschten Chiffrierschlüsseltyp für die Verschlüsselung des wanboot-Programms und des WAN-Boot-Dateisystems an.

  • Für WAN-Boot-Installationen per HTTPS setzen Sie diesen Wert auf 3des oder aes, je nachdem, welches Schlüsselformat Sie verwenden. Außerdem muss der Wert des Schlüsselworts signature_type auf sha1 gesetzt werden.

    encryption_type=3des

    oder

    encryption_type=aes

  • Wenn Sie eine unsichere WAN-Boot-Installation ohne Verschlüsselung durchführen möchten, lassen Sie diesen Wert leer.

    encryption_type=
server_authentication=yes | no

Mit diesem Parameter geben Sie an, ob bei der WAN-Boot-Installation eine Server-Authentifizierung stattfinden soll.

  • Für WAN-Boot-Installationen mit Server- oder mit Server- und Client-Authentifizierung setzen Sie diesen Wert auf yes. Außerdem müssen Sie den Wert von signature_type auf sha1, von encryption_type auf 3des oder aes und die URL von root_server auf einen HTTPS-Wert setzen.

    server_authentication=yes

  • Für unsichere WAN-Boot-Installationen ohne Server- oder Server- und Client-Authentifizierung setzen Sie diesen Wert auf no. Sie können den Wert auch leer lassen.

    server_authentication=no
client_authentication=yes | no

Mit diesem Parameter geben Sie an, ob bei der WAN-Boot-Installation eine Client-Authentifizierung stattfinden soll.

  • Für WAN-Boot-Installationen mit Server- und Client-Authentifizierung setzen Sie diesen Wert auf yes. Außerdem müssen Sie den Wert von signature_type auf sha1, von encryption_type auf 3des oder aes und die URL von root_server auf einen HTTPS-Wert setzen.

    client_authentication=yes

  • Für WAN-Boot-Installationen ohne Client-Authentifizierung setzen Sie diesen Wert auf no. Sie können den Wert auch leer lassen.

    client_authentication=no
resolve_hosts=Hostname | leer

Mit diesem Parameter geben Sie weitere Host-Namen an, die während der Installation für das Programm wanboot-cgi aufgelöst werden müssen.

Setzen Sie diesen Wert auf die Host-Namen der Systeme, die in der Datei wanboot.conf oder einem etwaigen Client-Zertifikat noch nicht angegeben wurden.

  • Wenn alle erforderlichen Hosts bereits in der Datei wanboot.conf oder dem Client-Zertifikat aufgeführt sind, lassen Sie diesen Wert leer.

    resolve_hosts=

  • Wenn bestimmte Systeme in der Datei wanboot.conf oder dem Client-Zertifikat nicht aufgeführt sind, setzen Sie diesen Wert auf die Host-Namen dieser Systeme.

    resolve_hosts=seahag,matters
boot_logger=bootlog-cgi-Pfad | leer

Mit diesem Parameter geben Sie die URL des Skripts bootlog-cgi auf dem Protokollserver an.

  • Um Boot- oder Installationsprotokollmeldungen auf einem speziellen Protokollserver aufzeichnen zu lassen, setzen Sie den Wert auf die URL des Skripts bootlog-cgi auf dem Protokollserver.

    boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

  • Wenn die Boot- und Installationsmeldungen auf der Client-Konsole angezeigt werden sollen, lassen Sie diesen Wert leer.

    boot_logger=
system_conf=system.conf | benutzerspezif-Systemkonf

Mit diesem Parameter geben Sie den Pfad zu der Systemkonfigurationsdatei an, in der die Adressen der Datei sysidcfg und der JumpStart-Dateien zu finden sind.

Setzen Sie den Wert dieses Pfads auf die Datei sysidcfg und die JumpStart-Dateien auf dem Webserver.

system_conf=sys.conf