Chapitre 11 Préparation de l'installation et Initialisation via connexion WAN – Planification

Ce chapitre décrit la préparation de votre réseau pour une installation et Initialisation via connexion WAN. Ce chapitre comprend les rubriques suivantes :

• Configuration minimale requise et directives relatives à l'Initialisation via connexion WAN

• Limitations de sécurité de l'Initialisation via connexion WAN

• Collecte d'informations pour les installations et initialisations via une connexion WAN

Configuration minimale requise et directives relatives à l'Initialisation via connexion WAN

Cette section décrit la configuration système requise pour procéder à l'installation de Initialisation via connexion WAN.

Tableau 11–1 Configuration système requise pour une installation et initialisation via connexion WAN

Système et description	Configuration requise
Serveur d'initialisation via une connexion WAN : serveur Web fournissant le programme wanboot, les fichiers de configuration et de sécurité et la miniracine de l'initialisation via une connexion WAN.	Système d'exploitation : SE Solaris 9 12/03 ou version compatible Il doit être configuré comme un serveur Web. Le logiciel du serveur Web doit prendre en charge l'HTTP 1.1. Si vous voulez utiliser des certificats numériques, le logiciel du serveur Web doit prendre en charge l'HTTPS.
Serveur d'installation : serveur fournissant l'archive Solaris Flash et les fichiers JumpStart personnalisés nécessaires à l'installation du client.	Espace disque disponible : espace pour chaque archive Solaris Flash Lecteur de supports : lecteur de CD ou DVD. Système d'exploitation : SE Solaris 9 12/03 ou version compatible Si le serveur d'installation est un système différent du serveur par initialisation via connexion WAN, le serveur d'installation doit en plus répondre aux exigences suivantes :   Il doit être configuré comme un serveur Web. Le logiciel du serveur Web doit prendre en charge l'HTTP 1.1. Si vous voulez utiliser des certificats numériques, le logiciel du serveur Web doit prendre en charge l'HTTPS.
Système client : système distant que vous souhaitez installer sur un réseau étendu (WAN).	Mémoire : 512 Mo de RAM minimum Unité centrale : processeur UltraSPARC II minimum Disque dur : au moins 2 Go d'espace de disque dur OBP : PROM équipée pour une initialisation via une connexion WAN Si le client ne possède pas la PROM adéquate, il doit disposer d'un lecteur de CD. Pour déterminer si votre client dispose d'une PROM équipée pour une initialisation via une connexion WAN, reportez-vous à la section Procédure de vérification de la prise en charge de l'initialisation via une connexion WAN par l'OBP client.
(Facultatif) Serveur DHCP : vous pouvez utiliser un serveur DHCP pour les informations de configuration client.	Si vous utilisez un serveur DHCP SunOS, il est nécessaire d'effectuer une des tâches suivantes :  mettre le serveur à niveau vers un serveur EDHC ; renommer les options fournisseur de Sun en veillant à ne pas dépasser la limite fixée à huit caractères. Pour de plus amples informations sur les options fournisseur de Sun associées aux installations via une connexion WAN, reportez-vous à la section (Facultatif) Accès à des informations de configuration à l'aide d'un serveur DHCP. Si le serveur DHCP est sur un autre sous-réseau que le client, il est nécessaire de configurer un agent de relais BOOTP. Pour obtenir plus d'informations sur la configuration d'un agent de relais BOOTP, reportez-vous au Chapitre 14, Configuration du service DHCP (tâches) du Guide d’administration système : services IP.
(Facultatif) Serveur de journalisation : par défaut tous les messages du journal d'initialisation et d'installation s'affichent sur la console du client pendant l'installation via une connexion WAN. Si vous souhaitez afficher ces messages sur un autre système, vous pouvez définir un système remplissant la fonction de serveur de journalisation.	Il doit être configuré comme un serveur Web.  Remarque – Si vous utilisez l'HTTPS au cours de l'installation, le serveur de journalisation doit être sur le même système que le serveur de l'initialisation via une connexion WAN.
(Facultatif) Serveur proxy : vous pouvez configurer la fonction d'initialisation via une connexion WAN de sorte qu'elle utilise un proxy HTTP au cours du chargement des données et fichiers d'installation.	Si l'installation utilise l'HTTPS, le serveur proxy doit être configuré pour gérer le protocole HTTPS.

Configuration requise et directives relatives au logiciel du serveur Web

Le logiciel du serveur Web que vous utilisez sur le serveur de l'initialisation via connexion WAN et le serveur d'installation doivent répondre aux exigences suivantes :

• Exigences relatives au système d'exploitation : l'initialisation via une connexion WAN fournit un programme CGI (wanboot-cgi) convertissant les données et fichiers au format spécifique attendu par la machine client. Pour réaliser une installation et initialisation via une connexion WAN à l'aide de ces scripts, le logiciel du serveur Web doit fonctionner sous le système d'exploitation Solaris 9 12/03, ou une version compatible.

• Limitation de la taille des fichiers : le logiciel du serveur Web peut limiter la taille des fichiers transmissibles via HTTP. Vérifiez la documentation de votre serveur Web pour vous assurer que le logiciel peut transmettre des fichiers de la taille d'une archive Solaris Flash.

  ---

  Remarque –

  La taille des fichiers n'est plus limitée avec la commande flarcreate. Vous pouvez créer une archive Solaris Flash dont la taille dépasse 4 Go.

  Pour plus d'informations, reportez-vous à la section Création d’une archive de fichiers volumineux du Guide d’installation de Solaris 5 10/09 : Archives Solaris Flash - Création et installation.

  ---

• Prise en charge du SSL : si vous souhaitez utiliser l'HTTPS pour votre installation et initialisation via une connexion WAN, le logiciel du serveur Web doit prendre en charge la version 3 du SSL.

Options du serveur de configuration

Vous pouvez personnaliser la configuration des serveurs nécessaires à l'installation et initialisation via connexion WAN en fonction des besoins de votre réseau. Vous pouvez héberger tous les serveurs sur un seul système ou les placer sur des systèmes différents.

• Serveur unique : si vous souhaitez centraliser les données et fichiers d'initialisation via connexion WAN sur un seul système, vous pouvez héberger tous les serveurs sur la même machine. Vous pouvez administrer tous vos serveurs sur un seul système et seul un système doit être configuré comme serveur Web. Toutefois, un seul serveur pourrait ne pas être en mesure d'assurer le trafic d'un grand nombre d'installations et initialisations via connexion WAN réalisées simultanément.

• Plusieurs serveurs : si vous souhaitez répartir les données et fichiers d'installation sur l'ensemble du réseau, vous pouvez héberger ces serveurs sur plusieurs machines. Vous pouvez configurer un serveur d'initialisation via connexion WAN central et configurer plusieurs serveurs d'installation pour héberger les archives Solaris Flash sur le réseau. Si le serveur d'installation et le serveur de journalisation sont hébergés sur des machines indépendantes, ils doivent être configurés comme serveurs Web.

Stockage des fichiers d'installation et de configuration dans le répertoire document racine

Au cours d'une installation et initialisation via connexion WAN, le programme wanboot-cgi transmet les fichiers suivants :

• programme wanboot ;

• miniracine de l'initialisation via connexion WAN ;

• fichiers JumpStart personnalisés ;

• archive Solaris Flash.

Pour activer le programme wanboot-cgi pour la transmission de ces fichiers, ces derniers doivent être stockés dans un répertoire accessible au logiciel du serveur Web. Vous pouvez rendre ces fichiers accessibles en les plaçant dans le répertoire racine document de votre serveur Web.

Le répertoire document racine ou de documents principal permet de stocker sur votre serveur Web les fichiers auxquels vous souhaitez que les clients aient accès. Vous pouvez nommer et configurer ce répertoire dans le logiciel de votre serveur Web. Consultez la documentation de votre serveur Web pour de plus amples informations sur la définition du répertoire document racine sur votre serveur Web.

Plusieurs sous-répertoires peuvent être créés dans ce répertoire afin de stocker les différents fichiers d'installation et de configuration. Vous pouvez par exemple créer des sous-répertoires spécifiques pour chaque groupe de clients à installer. Si vous souhaitez installer plusieurs versions différentes du système d'exploitation Solaris sur votre réseau, il vous est possible de créer un sous-répertoire pour chaque version.

La Figure 11–1 présente une structure simple de répertoire document racine à titre d'exemple. Dans cet exemple, le serveur d'initialisation via connexion WAN et le serveur d'installation sont sur la même machine. Le serveur utilise le logiciel de serveur Web Apache.

Figure 11–1 Exemple de structure d'un répertoire document racine

Cet exemple de répertoire document utilise la structure suivante :

• Le répertoire /opt/apache/htdocs est le répertoire document racine.

• Le répertoire de la miniracine de l'initialisation via une connexion WAN (miniroot) contient la miniracine de l'initialisation via une connexion WAN.

• Le répertoire wanboot contient le programme wanboot.

• Le répertoire Solaris Flash (flash) contient les fichiers JumpStart personnalisée nécessaires à l'installation du client et du sous-répertoire archives. Le répertoire archives contient l'archive version Solaris actuelle Flash.

---

Remarque –

Si le serveur d'initialisation via connexion WAN et le serveur d'installation sont sur des systèmes différents, le répertoire flash peut être stocké sur le serveur d'installation. Assurez-vous alors que ces fichiers et répertoires sont accessibles au serveur d'initialisation via connexion WAN.

---

Pour de plus amples informations sur la procédure de création du répertoire document racine, reportez-vous à la documentation de votre serveur Web. Pour plus d'informations sur la création et le stockage de ces fichiers d'installation, reportez-vous à la section Création des fichiers d'installation JumpStart personnalisés.

Stockage de la configuration et des informations de sécurité dans la hiérarchie /etc/netboot

Le répertoire /etc/netboot contient les informations de configuration, la clé privée, le certificat numérique et l'autorité de certification requis pour une installation et initialisation via connexion WAN. Cette section décrit les fichiers et répertoires que vous pouvez créer dans le répertoire /etc/netboot pour personnaliser l'installation et initialisation via connexion WAN.

Personnalisation de l'installation et initialisation via une connexion WAN

Au cours de l'installation, le programme wanboot-cgi recherche les informations client dans le répertoire /etc/netboot du serveur d'initialisation via une connexion WAN. Le programme wanboot-cgi convertit ces informations dans le système de fichiers d'initialisation via connexion WAN, puis transmet ce dernier au client. Vous pouvez créer des sous-répertoires dans le répertoire /etc/netboot afin de personnaliser votre installation via une connexion WAN. Utilisez les structures de répertoire suivantes pour définir le mode de partage des informations de configuration entre les clients que vous souhaitez installer.

• Configuration globale : si vous souhaitez que les informations de configuration soient partagées par tous les clients de votre réseau, stockez les fichiers de configuration à partager dans le répertoire /etc/netboot.

• Configuration réseau : si vous souhaitez que les informations de configuration ne soient partagées que par les ordinateurs d'un sous-réseau donné, stockez les fichiers de configuration à partager dans un sous-réperoire du répertoire /etc/netboot. Faites en sorte que les répertoires suivent cette convention d'attribution de nom :

  /etc/netboot/net-ip

  Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau du client. Si vous souhaitez par exemple que tous les systèmes du sous-réseau dont l'adresse IP est 192.168.255.0 partagent les mêmes fichiers de configuration, créez un répertoire /etc/netboot/192.168.255.0 pour y stocker les fichiers de configuration.

• Configuration client spécifique : si vous souhaitez qu'un client spécifique utilise le système de fichiers d'initialisation, stockez les fichiers du système d'initialisation dans un sous-répertoire du répertoire /etc/netboot . Faites en sorte que les répertoires suivent cette convention d'attribution de nom :

  /etc/netboot/net-ip/client-ID

  Dans cet exemple, ip_réseau est l'adresse IP du sous-réseau. ID_client est l'ID du client que lui a assigné le serveur DHCP ou un ID client défini par l'utilisateur. Si vous souhaitez par exemple qu'un système dont l'ID client est 010003BA152A42 sur le sous-réseau 192.168.255.0, utilise des fichiers de configuration spécifiques, créez un répertoire /etc/netboot/192.168.255.0/010003BA152A42 . pour y stocker les fichiers appropriés.

Spécification des informations de sécurité et de configuration dans le répertoire /etc/netboot

Vous spécifiez les informations de sécurité et de configuration en créant les fichiers indiqués ci-dessous et en les stockant dans le répertoire /etc/netboot.

• wanboot.conf : ce fichier spécifie les données de configuration du client dans le cadre d'une installation et d'une initialisation via une connexion WAN.

• Fichier de configuration du système ( system.conf) : ce fichier de configuration du système spécifie l'emplacement du fichier sysidcfg du client et des fichiers JumpStart personnalisée.

• keystore : ce fichier contient une clé de hachage HMAC SHA1, une clé de chiffrement 3DES ou AES et une clé privée SSL.

• truststore : ce fichier contient les certificats numériques délivrés par les autorités de certificat du client. Ces certificats de confiance donnent des instructions au client pour qu'il se fie au serveur au cours de l'installation.

• certstore : ce fichier contient le certificat numérique du client.

  ---

  Remarque –

  Le fichier certstore doit être placé dans le répertoire de l'ID client. Reportez-vous à la section Personnalisation de l'installation et initialisation via une connexion WAN pour obtenir des informations sur les sous-répertoires du répertoire /etc/netboot.

  ---

Pour des directives plus précises relatives à la création et au stockage de ces fichiers, reportez-vous aux procédures indiquées ci-dessous.

• Création du fichier de configuration système

• Création du fichier wanboot.conf

• (Facultatif) Création d'une clé de hachage et de chiffrement

• (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client

Partage des informations de sécurité et de configuration dans le répertoire/etc/netboot

Lors de l'installation de clients sur votre réseau, vous pouvez choisir de partager les fichiers de configuration entre différents clients ou à travers des sous-réseaux complets. Vous pouvez partager ces fichiers en répartissant les informations de configuration dans les répertoires /etc/netboot/ip_réseau/ID_client, /etc/netboot/ip_réseau et /etc/netboot. Le programme wanboot-cgi recherche dans ces répertoires les informations de configuration convenant le mieux au client et les utilise au moment de l'installation.

Le programme wanboot-cgi recherche les informations client dans l'ordre indiqué ci-dessous.

1. /etc/netboot/ip_réseau/ID_client : le programme wanboot-cgi vérifie d'abord les informations de configuration spécifiques de la machine du client. Si le répertoire /etc/netboot/ip_réseau/ID_client contient toutes les informations de configuration du client, le programme wanboot-cgi ne vérifie pas les informations de configuration ailleurs.

2. /etc/netboot/ip_réseau : si toutes les informations requises ne figurent pas dans le répertoire /etc/netboot/ip_réseau/ID_client, le programme wanboot-cgi vérifie les informations de configuration du sous-réseau dans le répertoire /etc/netboot/ip_réseau.

3. /etc/netboot : si les informations restantes ne figurent pas dans le répertoire /etc/netboot/ip_réseau, le programme wanboot-cgi vérifie ensuite les informations de configuration globales dans le répertoire /etc/netboot.

La Figure 11–2 explique la procédure de définition du répertoire /etc/netboot afin de personnaliser les installations et initialisations via une connexion WAN.

Figure 11–2 Exemple de répertoire /etc/netboot

La configuration du répertoire /etc/netboot de la Figure 11–2 permet de réaliser les installations et initialisations via les connexions WAN suivantes.

• Lorsque vous installez le client 010003BA152A42, le programme wanboot-cgi utilise les fichiers suivants du répertoire /etc/netboot/192.168.255.0/010003BA152A42 :

  • system.conf ;

  • keystore ;

  • truststore ;

  • certstore.

  Le programme wanboot-cgi utilise ensuite le fichier wanboot.conf du répertoire /etc/netboot/192.168.255.0.

• Lorsque vous installez un client situé sur le sous-réseau 192.168.255.0 subnet, le programme wanboot-cgi utilise les fichiers wanboot.conf , keystore et truststore du répertoire /etc/netboot/192.168.255.0. Le programme wanboot-cgi utilise ensuite le fichier system.conf du répertoire /etc/netboot.

• Lorsque vous installez la machine d'un client ne figurant pas sur le sous-réseau 92.168.255.0, le programme wanboot-cgi utilise les fichiers suivants du répertoire /etc/netboot :

  • wanboot.conf ;

  • system.conf ;

  • keystore ;

  • truststore ;

Stockage du programme wanboot-cgi

Le programme wanboot-cgi transmet les données et les fichiers du serveur d'initialisation via une connexion WAN au client. Vous devez vous assurer que ce programme se trouve dans un répertoire du serveur d'initialisation via connexion WAN accessible au client. Pour le rendre accessible, vous pouvez le stocker dans le répertoire cgi-bin de ce serveur. Vous pouvez avoir à configurer le logiciel du serveur Web pour qu'il utilise le programme wanboot-cgi comme un programme CGI. Reportez-vous à la documentation du serveur Web pour de plus amples informations sur les caractéristiques du programme CGI.

Exigences des certificats numériques

Si vous souhaitez sécuriser vos installations et initialisations via connexion WAN, vous pouvez utiliser des certificats numériques permettant d'authentifier le serveur et le client. L'initialisation via une connexion WAN peut utiliser un certificat numérique pour établir l'identité du serveur ou du client au cours d'une transaction en ligne. Les certificats numériques sont délivrés par une autorité de certification (CA). Ces certificats contiennent un numéro de série, des dates d'expiration, une copie de la clé publique du détenteur du certificat et la signature numérique de l'autorité de certification.

Si vous souhaitez demander l'authentification du serveur ou du client et du serveur au cours de l'installation, vous devez installer un certificat numérique sur le serveur. Si vous utilisez des certificats numériques, conformez-vous aux directives suivantes :

• Un certificat numérique doit être au format de fichier PKCS#12 (Public-Key Cryptography Standards #12).

• Si vous créez vos propres certificats, créez-les au format PKCS#12.

• Si vous recevez vos certificats d'autorités de certification tierces, demandez à ce qu'ils soient au format PKCS#12.

Pour plus d'informations sur l'utilisation des certificats PKCS#12 pendant l'installation et l'initialisation via une connexion WAN, reportez-vous à la section (Facultatif) Utilisation de certificats numériques pour l'authentification serveur et client.

Limitations de sécurité de l'Initialisation via connexion WAN

L'initialisation via une connexion WAN offre différentes fonctions de sécurité, mais ne gère pas les problèmes potentiels d'insécurité indiqués ci-dessous.

• Attaques par déni de service (DoS) : une attaque par déni de service peut revêtir des formes diverses ; son but est d'empêcher les utilisateurs d'accéder à un service spécifique. Elle peut saturer un réseau avec une grande quantité de données ou consommer des ressources de manière excessive. D'autres attaques par déni de service manipulent les données transmises entre les systèmes en transit. La méthode d'installation et initialisation via connexion WAN ne protège pas les serveurs ou les clients contre ces attaques.

• Binaires altérés sur les serveurs : la méthode d'installation et initialisation via une connexion WAN ne vérifie pas l'intégrité de sa miniracine d'initialisation ni de l'archive Solaris Flash avant d'effectuer l'installation. Avant d'effectuer votre installation, vérifiez l'intégrité des binaires Solaris auprès de la base de données Solaris Fingerprint à l'adresse http://sunsolve.sun.com.

• Confidentialité de la clé de hachage et de la clé de chiffrement : si vous utilisez des clés de chiffrement ou une clé de hachage avec l'installation et initialisation via une connexion WAN, vous devez entrer la valeur de la clé sur la ligne de commande au cours de l'installation. Prenez toutes les précautions nécessaires pour que les valeurs de ces clés demeurent confidentielles.

• Choix d'un service d'attribution de noms sur le réseau : si vous utilisez un service d'attribution de noms sur votre réseau, vérifiez l'intégrité de vos serveurs de noms avant de procéder à l'installation et Initialisation via connexion WAN.

Collecte d'informations pour les installations et initialisations via une connexion WAN

Avant de configurer votre réseau en vue d'une installation et initialisation via connexion WAN, vous devez rassembler une série d'informations. Vous pouvez noter ces informations au moment de la préparation de l'installation via connexion WAN.

Utilisez les fiches de travail suivantes pour enregistrer les informations d'installation pour votre réseau :

• Tableau 11–2

• Tableau 11–3

Tableau 11–2 Fiche de travail pour rassembler les informations serveur

Informations requises	Remarques
Informations sur le serveur d'installation  Chemin d'accès à la miniracine de l'initialisation via connexion WAN sur le serveur d'installation Chemin d'accès aux fichiers JumpStart personnalisés sur le serveur d'installation
Informations sur le serveur d'initialisation via une connexion WAN  Chemin d'accès au programme wanboot sur le serveur d'initialisation via connexion WAN URL du programme wanboot-cgi sur le serveur d'initialisation via connexion WAN Chemin d'accès au sous-répertoire du client dans la hiérarchie /etc/netboot du serveur d'initialisation via connexion WAN (Facultatif) Nom du fichier certificat PKCS#12 (Facultatif) Noms d'hôte de toutes les machines nécessaires à l'installation via une connexion WAN, autres que le serveur d'initialisation via une connexion WAN (Facultatif) Adresse IP et numéro de port TCP du serveur proxy du réseau
Informations serveur facultatives  URL du script bootlog-cgi sur le serveur de journalisation Adresse IP et numéro de port TCP du serveur proxy du réseau

Tableau 11–3 Fiche de travail pour rassembler les informations client

Informations	Remarques
Adresse IP du sous-réseau du client
Adresse IP du routeur du client
Adresse IP du client
Masque de sous-réseau du client
Nom d'hôte du client
Adresse MAC du client