test

Solaris 10 5/09 Installationshandbuch: Netzwerkbasierte Installation

Wie funktioniert WAN-Boot (Übersicht)

Bei der Installation eines entfernten SPARC-Clients mit WAN-Boot kommt eine Kombination von Servern, Konfigurationsdateien, CGI-Programmen (Common Gateway Interface) und Installationsdateien zum Einsatz. Dieser Abschnitt zeigt die allgemeine Abfolge der bei einer WAN-Boot-Installation stattfindenden Ereignisse.

Ereignisabfolge bei einer WAN-Boot-Installation

Abbildung 10–1 zeigt die grundlegende Reihenfolge der Ereignisse bei einer WAN-Boot-Installation. In dieser Abbildung ruft ein SPARC-Client über ein WAN Konfigurationsdaten und Installationsdateien von einem Webserver und einem Installationsserver ab.

Abbildung 10–1 Ereignisabfolge in einer WAN-Boot-Installation

Der Inhalt der Grafik ist im Kontext beschrieben.

  1. Sie booten den Client auf eine der folgenden Arten:

    • Booten aus dem Netzwerk durch Setzen von Netzwerkschnittstellen-Variablen im Open Boot PROM (OBP).

    • Booten aus dem Netzwerk mit der DHCP-Option.

    • Booten von einer lokalen CD-ROM.

  2. Das Client-OBP erhält Konfigurationsinformationen aus einer dieser Quellen:

    • Von Boot-Argumentwerten, die vom Benutzer in die Befehlszeile eingegeben werden.

    • Vom DHCP-Server, sofern im Netzwerk DHCP verwendet wird.

  3. Das Client-OBP fordert das sekundäre Boot-Programm wanboot an.

    Das Client-OBP lädt das wanboot-Programm von einer der folgenden Quellen herunter:

    • Von einem speziellen Webserver, dem WAN-Boot-Server, unter Verwendung von HTTP.

    • Von einer lokalen CD-ROM (nicht abgebildet).

  4. Das wanboot-Programm fordert die Client-Konfigurationsinformationen vom WAN-Boot-Server an.

  5. Das wanboot-Programm lädt Konfigurationsdateien, die vom Programm wanboot-cgi übertragen werden, vom WAN-Boot-Server herunter. Die Konfigurationsdateien werden als WAN-Boot-Dateisystem an den Client übertragen.

  6. Das wanboot-Programm fordert die WAN-Boot-Miniroot vom WAN-Boot-Server an.

  7. Das wanboot-Programm lädt die WAN-Boot-Miniroot per HTTP oder sicheres HTTP vom WAN-Boot-Server herunter.

  8. Das wanboot-Programm lädt den UNIX-Kernel aus der WAN-Boot-Miniroot und führt ihn aus.

  9. Der UNIX-Kernel sucht das WAN-Boot-Dateisystem und hängt es zur Verwendung durch das Solaris-Installationsprogramm ein.

  10. Das Installationsprogramm fordert ein Solaris Flash-Archiv und JumpStart-Dateien von einem Installationsserver an.

    Das Installationsprogramm lädt das Archiv und die JumpStart-Dateien über eine HTTP- oder HTTPS-Verbindung herunter.

  11. Das Installationsprogramm installiert mit dem benutzerdefinierten JumpStart-Verfahren das Solaris Flash-Archiv auf dem Client.

Schutz der Daten während einer WAN-Boot-Installation

Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von Hashing-Schlüsseln und digitalen Zertifikaten zum Schutz der Systemdaten während der Installation. In diesem Abschnitt werden die vom WAN-Boot-Installationsverfahren unterstützten Datenschutzmethoden kurz dargestellt.

Überprüfen der Datenintegrität mit einem Hashing-Schlüssel

Zum Schutz der Daten, die von einem WAN-Boot-Server an den Client übertragen werden, können Sie einen sog. HMAC-Schlüssel (Hashed Message Authentication Code) erstellen. Diesen Hashing-Schlüssel installieren Sie sowohl auf dem WAN-Boot-Server als auch auf dem Client. Der WAN-Boot-Server signiert mit diesem Schlüssel die an den Client zu übertragenden Daten. Der Client verwendet den Schlüssel dann zum Überprüfen der Integrität der vom WAN-Boot-Server übertragenen Daten. Nach der Installation eines Hashing-Schlüssels auf einem Client steht dieser Schlüssel dem Client für künftige WAN-Boot-Installationen zur Verfügung.

Anweisungen zur Verwendung eines Hashing-Schlüssels finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.

Verschlüsseln von Daten mit Chiffrierschlüsseln

Mit WAN-Boot-Installationsverfahren können Sie Daten verschlüsseln, die vom WAN-Boot-Server an den Client gesendet werden. Mit den WAN-Boot-Dienstprogrammen können Sie eine 3DES(Triple Data Encryption Standard)- oder AES(Advanced Encryption Standard)-Verschlüsselung, den Chiffrierschlüssel, generieren. Diesen Schlüssel stellen Sie dann sowohl dem WAN-Boot-Server als auch dem Client zur Verfügung. Mit diesem Chiffrierschlüssel verschlüsselt WAN-Boot die vom WAN-Boot-Server an den Client übertragenen Daten. Der Client verwendet diesen Schlüssel dann zum Entschlüsseln der Konfigurations- und Sicherheitsdateien, die während der Installation übertragen werden.

Nach der Installation eines Chiffrierschlüssels auf einem Client steht dieser Schlüssel dem Client für künftige WAN-Boot-Installationen zur Verfügung.

Der Einsatz einer Verschlüsselung ist jedoch nicht an allen Standorten zulässig. Um festzustellen, ob die Verschlüsselung an Ihrem Standort möglich ist, wenden Sie sich bitte an Ihren Sicherheitsadministrator. Ist die Verschlüsselung an Ihrem Standort zulässig, fragen Sie Ihren Sicherheitsadministrator, ob Sie mit einer 3DES- oder AES-Verschlüsselung arbeiten sollen.

Anweisungen zur Verwendung eines Chiffrierschlüssels finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.

Schutz von Daten durch HTTPS

WAN-Boot unterstützt den Einsatz von HTTPS (HTTP over Secure Sockets Layer) für die Übertragung von Daten zwischen WAN-Boot-Server und Client. Mit HTTPS können Sie bewirken, dass sich entweder nur der Server oder sowohl der Server als auch der Client während der Installation ausweisen müssen. HTTPS verschlüsselt außerdem die Daten, die bei der Installation vom Server an den Client übertragen werden.

Bei HTTPS kommen digitale Zertifikate zur Authentifizierung von Systemen zum Einsatz, die über das Netzwerk Daten austauschen. Ein digitales Zertifikat ist eine Datei, die ein Server- oder ein Clientsystem als vertrauenswürdigen Teilnehmer der Online-Kommunikation ausweist. Digitale Zertifikate können von externen Zertifizierungsstellen (CAs) angefordert oder durch Erzeugen einer eigenen Zertifizierungsstelle selbst generiert werden.

Damit der Client den Server als vertrauenswürdig akzeptiert und Daten von ihm annimmt, müssen Sie ein digitales Zertifikat auf dem Server installieren. Dann weisen Sie den Client an, dieses Zertifikat zu akzeptieren. Sie können auch festlegen, dass sich der Client gegenüber dem Server ausweist. Dafür stellen Sie dem Client ein digitales Zertifikat zur Verfügung. Anschließend weisen Sie den Server an, den Signierer des Zertifikats zu akzeptieren, wenn der Client das Zertifikat bei der Installation vorlegt.

Wenn Sie digitale Zertifikate bei der Installation einsetzen möchten, müssen Sie den Webserver für die Verwendung von HTTPS konfigurieren. Informationen über die Arbeit mit HTTPS entnehmen Sie bitte der Dokumentation Ihres Webservers.

Die Voraussetzungen für die Verwendung von digitalen Zertifikaten bei der WAN-Boot-Installation finden Sie in Voraussetzungen für digitale Zertifikate. Anweisungen zur Verwendung von digitalen Zertifikaten bei der WAN-Boot-Installation finden Sie in (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung.