Guide d'installation de Solaris 10 5/09 : installations réseau

Chapitre 10 Initialisation via connexion WAN - Présentation

Ce chapitre propose une vue d'ensemble de la méthode d'installation et initialisation via connexion WAN. Ce chapitre comprend les rubriques suivantes :

Qu'est-ce que l'Initialisation via connexion WAN ?

La méthode d'installation et initialisation via connexion WAN vous permet d'initialiser et d'installer un logiciel via un réseau étendu à l'aide du protocole HTTP. Lorsque vous utilisez la méthode d'initialisation via une connexion WAN, il vous est possible d'installer le système d'exploitation Solaris sur des systèmes SPARC via un réseau public de très grande taille, même si l'infrastructure de ce réseau n'est pas fiable. Vous pouvez combiner l'initialisation via une connexion WAN avec des fonctions de sécurité afin de préserver la confidentialité des données et l'intégrité de l'image d'installation.

La méthode d'installation et d'initialisation via connexion WAN vous permet de transmettre une archive Solaris Flash cryptée via un réseau public à un client SPARC distant. Les programmes d'initialisation via connexion WAN installent alors le système client par l'intermédiaire d'une installation JumpStart personnalisée. Pour protéger l'ensemble de l'installation, vous pouvez utiliser des clés privées afin d'authentifier et de crypter les données. Vous pouvez également transmettre vos données et fichiers d'installation via une connexion HTTP sécurisée en configurant vos systèmes pour qu'ils utilisent des certificats numériques.

Pour effectuer une installation et Initialisation via connexion WAN, installez un système SPARC en téléchargeant les informations présentées ci-après à partir d'un serveur Web via une connexion HTTP ou HTTP sécurisée.

Vous installez ensuite l'archive sur le système client à l'aide de la méthode d'installation JumpStart personnalisée.

Vous pouvez protéger le transfert des informations précédemment répertoriées grâce à des clés et des certificats numériques.

Pour obtenir une description complète du déroulement des événements lors d'une installation et initialisation via une connexion WAN, reportez-vous à la section Fonctionnement de l'Initialisation via connexion WAN - Présentation .

Quand utiliser l'Initialisation via connexion WAN ?

La méthode d'installation et initialisation via connexion WAN vous permet d'installer des systèmes SPARC éloignés géographiquement. Vous pouvez souhaiter utiliser l'initialisation via connexion WAN pour installer des serveurs ou clients distants accessibles uniquement via un réseau public.

Si vous souhaitez installer des systèmes situés sur votre réseau local, la méthode d'installation et initialisation via connexion WAN peut requérir une configuration et une administration plus importantes que d'ordinaire. Pour plus d'informations sur la procédure d'installation des systèmes sur un réseau local, reportez-vous au Chapitre4Installation réseau - Présentation.

Fonctionnement de l'Initialisation via connexion WAN - Présentation

L'initialisation via connexion WAN utilise un ensemble de serveurs, de fichiers de configuration, de programmes CGI (Common Gateway Interface) et de fichiers d'installation pour installer un client SPARC distant. Cette section décrit le déroulement général des événements lors d'une installation et Initialisation via connexion WAN.

Déroulement des événements lors d'une installation et Initialisation via connexion WAN

La Figure 10–1 indique le déroulement normal des événements lors d'une installation et initialisation via une connexion WAN. Elle présente l'extraction des données de configuration et des fichiers d'installation par un client SPARC à partir d'un serveur Web et d'un serveur d'installation via connexion WAN.

Figure 10–1 Déroulement des événements lors d'une installation et initialisation via connexion WAN

Le contexte décrit le graphique.

  1. Vous pouvez initialiser le client de l'une des manières suivantes :

    • initialiser à partir du réseau en définissant des variables d'interface réseau dans l'OBP (PROM Open Boot) ;

    • initialiser à partir du réseau avec l'option DHCP ;

    • initialiser à partir d'un CD local.

  2. Le client OBP obtient des informations de configuration à partir d'une des sources suivantes :

    • les valeurs de l'argument d'initialisation entrées dans la ligne de commande par l'utilisateur ;

    • le serveur DHCP, si le réseau utilise DHCP.

  3. Le client OBP requiert le programme d'initialisation de second niveau de l'initialisation via connexion WAN (wanboot).

    Le client OBP télécharge le programme wanboot à partir des sources suivantes :

    • un serveur Web particulier, appelé serveur d'initialisation via connexion WAN, à l'aide du protocole HTTP ;

    • un CD-ROM local (non indiqué sur la figure).

  4. Le programme wanboot demande les informations de configuration client au serveur d'initialisation via connexion WAN.

  5. Le programme wanboot télécharge les fichiers de configuration transmis par le programme wanboot-cgi à partir du serveur d'initialisation via connexion WAN. Ces fichiers sont transmis au client sous la forme d'un système de fichiers d'initialisation via connexion WAN.

  6. Le programme wanboot demande le téléchargement de la miniracine de l'initialisation via connexion WAN au serveur d'initialisation via connexion WAN.

  7. Il la télécharge à partir du serveur d'initialisation via connexion WAN à l'aide du protocole HTTP ou HTTP sécurisé.

  8. Il charge et exécute le noyau UNIX à partir de la miniracine de l'initialisation via connexion WAN.

  9. Le noyau UNIX place et monte le système de fichiers d'initialisation via connexion WAN destiné à être utilisé par le programme d'installation de Solaris.

  10. Le programme d'installation demande le téléchargement d'une archive Solaris Flash et de fichiers JumpStart personnalisés à un serveur d'installation.

    Il télécharge l'archive et les fichiers JumpStart personnalisés via connexion HTTP ou HTTPS.

  11. Il effectue une installation JumpStart personnalisée pour installer l'archive Solaris Flash sur le client.

Protection des données lors d'une installation et Initialisation via connexion WAN

La méthode d'installation et initialisation via connexion WAN vous permet d'utiliser des clés de hachage, des clés de chiffrement et des certificats numériques pour protéger vos données système lors de l'installation. Cette section décrit brièvement les différentes méthodes de protection des données prises en charge par la méthode d'installation et initialisation via connexion WAN.

Vérification de l'intégrité des données à l'aide d'une clé de hachage

Pour protéger les données que vous transmettez au client depuis le serveur d'initialisation via une connexion WAN, vous pouvez générer une clé HMAC (Hashed Message Authentication Code). Vous installez cette clé de hachage à la fois sur le serveur d'initialisation via connexion WAN et sur le client. Le serveur d'initialisation via connexion WAN utilise cette clé pour signer les données à transmettre au client. Le client l'utilise alors pour vérifier l'intégrité des données transmises par le serveur d'initialisation via connexion WAN. Après l'installation d'une clé de hachage sur un client, celui-ci l'utilise pour les prochaines installations et initialisations via connexion WAN.

Pour plus d'informations sur l"utilisation d'une clé de hachage, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.

Chiffrement de données à l'aide de clés de chiffrement

méthode d'installation et initialisation via connexion WAN permet de chiffrer les données que vous transmettez au client à partir du serveur d'initialisation via une connexion WAN. Vous pouvez utiliser les services de l'initialisation via connexion WAN pour créer une clé 3DES (Triple Data Encryption Standard) ou AES (Advanced Encryption Standard). Vous pouvez ensuite fournir cette clé au serveur d'Initialisation via connexion WAN et au client. L'initialisation via connexion WAN utilise cette clé de chiffrement pour chiffrer les données envoyées au client à partir du serveur d'Initialisation via connexion WAN. Le client peut alors utiliser cette clé pour déchiffrer les fichiers de configuration et les fichiers de sécurité chiffrés transmis lors de l'installation.

Après l'installation d'une clé de chiffrement sur un client, celui-ci l'utilise pour une prochaine installation et Initialisation via connexion WAN.

Votre site ne permet peut-être pas l'utilisation de clés de chiffrement. Pour le savoir, adressez-vous à l'administrateur de la sécurité de votre site. Si votre site permet le chiffrement, demandez à l'administrateur de la sécurité quel type de clé de chiffrement vous devez utiliser : 3DES ou AES.

Pour plus d'informations sur l'utilisation des clés de chiffrement, reportez-vous à la section (Facultatif) Création d'une clé de hachage et de chiffrement.

Protection de données à l'aide d'HTTPS

L'initialisation via connexion WAN prend en charge l'utilisation d'HTTP via SSL (HTTPS) pour le transfert de données entre le serveur d'Initialisation via connexion WAN et le client. Quand vous utilisez HTTPS, vous pouvez demander au serveur, ou à la fois au serveur et au client, de s'authentifier lors de l'installation. HTTPS chiffre également les données transférées du serveur au client lors de l'installation.

Le protocole HTTPS utilise des certificats numériques pour authentifier les systèmes qui échangent des données via le réseau. Un certificat numérique est un fichier identifiant un système, serveur ou client, comme un système sûr pour la communication en ligne. Vous pouvez demander un certificat numérique à une autorité de certification extérieure ou créer votre propre certificat et votre propre autorité de certification.

Pour permettre au client d'autoriser le serveur et d'en accepter les données, vous devez installer un certificat numérique sur le serveur. Vous donnez ensuite l'instruction au client d'autoriser ce certificat. Vous pouvez également demander au client de s'authentifier lui-même auprès des serveurs en lui fournissant un certificat numérique. Vous donnez alors l'instruction au serveur d'accepter le signataire du certificat lorsque le client le présente lors de l'installation.

Pour utiliser des certificats numériques lors de l'installation, vous devez configurer votre serveur Web afin qu'il utilise HTTPS. Consultez la documentation de votre serveur Web pour obtenir des informations concernant l'utilisation d'HTTPS.

Pour de plus amples informations sur les conditions d'utilisation des certificats numériques lors de l'installation et initialisation via une connexion WAN, reportez-vous à la section Exigences des certificats numériques. Pour plus d'informations sur l'utilisation des certificats numériques dans votre installation et Initialisation via connexion WAN, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.

Configurations de sécurité prises en charge par l'Initialisation via connexion WAN - Présentation

L'initialisation via connexion WAN prend en charge différents niveaux de sécurité. Vous pouvez utiliser une combinaison des fonctions de sécurité prises en charge selon les besoins de votre réseau. Une configuration fortement sécurisée est plus lourde à administrer, mais les données de votre système sont mieux protégées. S'il s'agit d'un système sensible ou connecté à un réseau public de grande taille, choisissez la configuration indiquée dans la section Configuration d'une installation et Initialisation via connexion WAN sécurisée. En revanche, s'il s'agit d'un système moins sensible, ou s'il s'agit d'un système connecté à un réseau semi-privé, optez plutôt pour la configuration de la section Configuration d'une installation et Initialisation via connexion WAN non sécurisée.

Cette section décrit brièvement les différentes configurations possibles pour définir le niveau de sécurité de votre installation et Initialisation via connexion WAN. Elle décrit également les mécanismes de sécurité requis par ces configurations.

Configuration d'une installation et Initialisation via connexion WAN sécurisée

Cette configuration protège l'intégrité des données échangées entre le serveur et le client, et permet de préserver la confidentialité du contenu de l'échange. Elle utilise une connexion HTTPS, ainsi que l'algorithme 3DES ou AES pour chiffrer les fichiers de configuration client. Elle requiert également l'authentification du serveur auprès du client lors de l'installation. Une installation et initialisation via connexion WAN sécurisée requiert les fonctions de sécurité suivantes :

Si vous souhaitez requérir l'authentification du client lors de l'installation, vous devez également utiliser les fonctions de sécurité suivantes :

Pour obtenir la liste des tâches requises pour cette configuration, reportez-vous au Tableau 12–1.

Configuration d'une installation et Initialisation via connexion WAN non sécurisée

Cette configuration de sécurité requiert un effort moindre au niveau de l'administration, mais fournit le transfert de données entre le serveur et le client le moins sécurisé. Vous n'avez pas besoin de créer de clé de hachage, de clé de chiffrement ni de certificat numérique. De même, vous n'avez pas besoin de configurer votre serveur Web pour qu'il utilise HTTPS. Cependant, cette configuration transfère les données et les fichiers d'installation via une connexion HTTP, ce qui rend votre installation vulnérable aux interceptions sur le réseau.

Si vous voulez que le client vérifie l'intégrité des données transmises, vous pouvez utiliser une clé de hachage HMAC SHA1 avec cette configuration. Cependant, l'archive Solaris Flash n'est pas protégée par la clé de hachage. Au cours de l'installation, l'archive est transférée de façon non sécurisée entre le serveur et le client.

Pour obtenir la liste des tâches requises pour cette configuration, reportez-vous au Tableau 12–2.