In diesem Kapitel werden die folgenden Schritte zur Vorbereitung Ihres Netzwerks für eine WAN-Boot-Installation erläutert:
Vorbereitung der Installation über ein WAN (Übersicht der Schritte)
Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation
(Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server
(Optional) So konfigurieren Sie den WAN-Boot-Protokollserver
In den folgenden Tabellen sehen Sie die Schritte, die Sie zur Vorbereitung einer WAN-Boot-Installation durchführen müssen.
Eine Liste der Aufgaben, die Sie für eine sichere WAN-Boot-Installation durchführen müssen, finden Sie in Tabelle 13–1.
Eine Beschreibung einer sicheren WAN-Boot-Installation über HTTPS finden Sie unter Sichere WAN-Boot-Installationskonfiguration.
Eine Liste der Aufgaben, die Sie für eine nicht sichere WAN-Boot-Installation durchführen müssen, finden Sie in Tabelle 13–2.
Eine Beschreibung einer unsicheren WAN-Boot-Installation finden Sie unter Unsichere WAN-Boot-Installationskonfiguration.
Wenn Sie einen DHCP-Server oder einen Protokollserver verwenden möchten, führen Sie außerdem die Zusatzschritte aus, die am Ende der jeweiligen Tabelle angegeben sind.
Tabelle 13–1 Übersicht der Schritte: Vorbereitung für eine sichere WAN-Boot-Installation
Schritt |
Beschreibung |
Anweisungen siehe |
---|---|---|
Entscheiden Sie, welche Sicherheitsfunktionen Sie bei der Installation einsetzen möchten. |
Lesen Sie die Informationen über Sicherheitsfunktionen und -konfigurationen, um eine geeignete Sicherheitsstufe für Ihre WAN-Boot-Installation wählen zu können. |
Schutz der Daten während einer WAN-Boot-Installation Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht) |
Stellen Sie Informationen für die WAN-Boot-Installation zusammen. |
Füllen Sie das Arbeitsblatt aus, damit Ihnen anschließend alle für die WAN-Boot-Installation benötigten Angaben vorliegen. |
Zusammenstellen der Informationen für WAN-Boot-Installationen |
Erzeugen Sie auf dem WAN-Boot-Server das Dokument-Root-Verzeichnis. |
Legen Sie das Dokument-Root-Verzeichnis und etwaige Unterverzeichnisse für die Konfigurations- und Installationsdateien an. | |
Erzeugen Sie die WAN-Boot-Miniroot. |
Erzeugen Sie mit dem Befehl setup_install_server die WAN-Boot-Miniroot. | |
Vergewissern Sie sich, dass das Client-System Unterstützung für WAN-Boot bietet. |
Überprüfen Sie, ob das Client-OBP die Boot-Argumente für WAN-Boot unterstützt. | |
Installieren Sie das wanboot-Programm auf dem WAN-Boot-Server. |
Kopieren Sie das wanboot-Programm in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server. | |
Installieren Sie das Programm wanboot-cgi auf dem WAN-Boot-Server. |
Kopieren Sie das Programm wanboot-cgi in das CGI-Verzeichnis auf dem WAN-Boot-Server. |
So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server |
(Optional) Richten Sie den Protokollserver ein. |
Konfigurieren Sie ein spezielles System für die Anzeige von Boot- und Installationsprotokoll- meldungen. |
(Optional) So konfigurieren Sie den WAN-Boot-Protokollserver |
Legen Sie die /etc/netboot-Hierarchie an. |
Speichern Sie die für eine WAN-Boot-Installation erforderlichen Konfigurations- und Sicherheitsdateien in der /etc/netboot-Hierarchie. |
Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server |
Für eine sicherere WAN-Boot-Installation stellen Sie die Webserver-Konfiguration auf sicheres HTTP ein. |
Ermitteln Sie die Webserver-Voraussetzungen für eine WAN-Installation per HTTPS. | |
Formatieren Sie digitale Zertifikate für eine sicherere WAN-Boot-Installation. |
Teilen Sie eine PKCS#12-Datei in einen privaten Schlüssel und ein Zertifikat für die WAN-Installation auf. |
(Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung |
Erzeugen Sie einen Hashing- und einen Chiffrierschlüssel für eine sicherere WAN-Boot-Installation. |
Generieren Sie HMAC SHA1-, 3DES- oder AES-Schlüssel mit dem Befehl wanbootutil keygen. |
(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel |
Erzeugen Sie das Solaris Flash-Archiv. |
Erstellen Sie mit dem Befehl flar create ein Archiv der Software, die auf dem Client installiert werden soll. | |
Erzeugen Sie die Installationsdateien für die benutzerdefinierte JumpStart-Installation. |
Erzeugen Sie die folgenden Dateien in einem Texteditor:
|
So erzeugen Sie die Datei sysidcfg |
Erzeugen Sie die Systemkonfigurationsdatei. |
Geben Sie in der Datei system.conf die Konfigurationsinformationen an. | |
Erzeugen Sie die WAN-Boot-Konfigurationsdatei. |
Geben Sie in der Datei wanboot.conf die Konfigurationsinformationen an. | |
(Optional) Aktivieren Sie in der Konfiguration des DHCP-Servers die Unterstützung für die WAN-Boot-Installation. |
Geben Sie auf dem DHCP-Server Sun-Herstelleroptionen und -Makros an. |
Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen) |
Tabelle 13–2 Übersicht der Schritte: Vorbereitung für eine unsichere WAN-Boot-Installation
Schritt |
Beschreibung |
Anweisungen siehe |
---|---|---|
Entscheiden Sie, welche Sicherheitsfunktionen Sie bei der Installation einsetzen möchten. |
Lesen Sie die Informationen über Sicherheitsfunktionen und -konfigurationen, um eine geeignete Sicherheitsstufe für Ihre WAN-Boot-Installation wählen zu können. |
Schutz der Daten während einer WAN-Boot-Installation Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht) |
Stellen Sie Informationen für die WAN-Boot-Installation zusammen. |
Füllen Sie das Arbeitsblatt aus, damit Ihnen anschließend alle für die WAN-Boot-Installation benötigten Angaben vorliegen. |
Zusammenstellen der Informationen für WAN-Boot-Installationen |
Erzeugen Sie auf dem WAN-Boot-Server das Dokument-Root-Verzeichnis. |
Legen Sie das Dokument-Root-Verzeichnis und etwaige Unterverzeichnisse für die Konfigurations- und Installationsdateien an. | |
Erzeugen Sie die WAN-Boot-Miniroot. |
Erzeugen Sie mit dem Befehl setup_install_server die WAN-Boot-Miniroot. | |
Vergewissern Sie sich, dass das Client-System Unterstützung für WAN-Boot bietet. |
Überprüfen Sie, ob das Client-OBP die Boot-Argumente für WAN-Boot unterstützt. | |
Installieren Sie das wanboot-Programm auf dem WAN-Boot-Server. |
Kopieren Sie das wanboot-Programm in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server. | |
Installieren Sie das Programm wanboot-cgi auf dem WAN-Boot-Server. |
Kopieren Sie das Programm wanboot-cgi in das CGI-Verzeichnis auf dem WAN-Boot-Server. |
So kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server |
(Optional) Richten Sie den Protokollserver ein. |
Konfigurieren Sie ein spezielles System für die Anzeige von Boot- und Installationsprotokoll- meldungen. |
(Optional) So konfigurieren Sie den WAN-Boot-Protokollserver |
Legen Sie die /etc/netboot-Hierarchie an. |
Speichern Sie die für eine WAN-Boot-Installation erforderlichen Konfigurations- und Sicherheitsdateien in der /etc/netboot-Hierarchie. |
Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server |
(Optional) Generieren Sie einen Hashing-Schlüssel. |
Erzeugen Sie mit dem Befehl wanbootutil keygen einen HMAC SHA1-Schlüssel. Für unsichere Installationen mit Überprüfung der Datenintegrität generieren Sie in diesem Schritt einen HMAC SHA1-Hashing-Schlüssel. |
(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel |
Erzeugen Sie das Solaris Flash-Archiv. |
Erstellen Sie mit dem Befehl flar create ein Archiv der Software, die auf dem Client installiert werden soll. | |
Erzeugen Sie die Installationsdateien für die benutzerdefinierte JumpStart-Installation. |
Erzeugen Sie die folgenden Dateien in einem Texteditor:
|
So erzeugen Sie die Datei sysidcfg |
Erzeugen Sie die Systemkonfigurationsdatei. |
Geben Sie in der Datei system.conf die Konfigurationsinformationen an. | |
Erzeugen Sie die WAN-Boot-Konfigurationsdatei. |
Geben Sie in der Datei wanboot.conf die Konfigurationsinformationen an. | |
(Optional) Aktivieren Sie in der Konfiguration des DHCP-Servers die Unterstützung für die WAN-Boot-Installation. |
Geben Sie auf dem DHCP-Server Sun-Herstelleroptionen und -Makros an. |
Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen) |
Beim WAN-Boot-Server handelt es sich um einen Webserver, der die Boot- und Konfigurationsdaten für die WAN-Boot-Installation bereitstellt. Eine Liste der Systemvoraussetzungen für den WAN-Bootserver finden Sie in Tabelle 12–1.
In diesem Abschnitt werden die folgenden Schritte beschrieben, die zur Konfiguration des WAN-Boot-Servers für eine WAN-Boot-Installation nötig sind:
Damit die Webserver-Software auf dem WAN-Boot-Server die Konfigurations- und Installationsdateien bereitstellen kann, müssen Sie ihr Zugang zu diesen Dateien einräumen. Eine Möglichkeit, die Dateien zugänglich zu machen, besteht darin, sie im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server zu speichern.
Wenn Sie die Konfigurations- und Installationsdateien in einem Dokument-Root-Verzeichnis zur Verfügung stellen möchten, müssen Sie dieses Verzeichnis zunächst anlegen. Wie Sie das Dokument-Root-Verzeichnis erzeugen, entnehmen Sie bitte der Dokumentation Ihres Webservers. Ausführliche Informationen zum Planen Ihres Dokument-Root-Verzeichnisses finden Sie unter Speichern von Installations- und Konfigurationsdateien im Dokument-Root-Verzeichnis.
Im Abschnitt Erstellen des Dokument-Root-Verzeichnisses ist beispielhaft dargestellt, wie Sie ein Dokument-Root-Verzeichnis einrichten.
Nachdem Sie das Dokument-Root-Verzeichnis eingerichtet haben, erstellen Sie die WAN-Boot-Miniroot. Eine Anleitung hierzu finden Sie im Abschnitt Erzeugen der WAN-Boot-Miniroot.
WAN-Boot verwendet eine speziell auf die WAN-Boot-Installation ausgerichtete Solaris-Miniroot. Die WAN-Boot-Miniroot enthält einen Teilsatz der Software in der Solaris-Miniroot. Wenn Sie eine WAN-Boot-Installation durchführen möchten, müssen Sie die Miniroot von der Solaris 10-DVD oder der Solaris 10 Software - 1-CD auf den WAN-Boot-Server kopieren. Kopieren Sie die WAN-Boot-Miniroot mit dem Befehl setup_install_server und der Option -w vom Solaris-Softwaredatenträger auf die Festplatte des Systems.
Bei diesem Verfahren wird eine SPARC-WAN-Boot-Miniroot mit einem SPARC-Datenträger erzeugt. Wenn Sie eine SPARC-WAN-Boot-Miniroot von einem x86–basierten Server aus zur Verfügung stellen möchten, müssen Sie die Miniroot auf einem SPARC-System erzeugen. Nachdem Sie die Miniroot erzeugt haben, kopieren Sie sie in das Dokument-Root-Verzeichnis auf dem x86–basierten Server.
Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Wenn dies nicht der Fall sein sollte und Sie Wechseldatenträger ohne Volume Manager verwalten, so finden Sie entsprechende Informationen hierzu im System Administration Guide: Devices and File Systems.
Melden Sie sich auf dem WAN-Boot-Server als Superuser an.
Das System muss die folgenden Voraussetzungen erfüllen:
Es muss ein CD-ROM- oder DVD-ROM-Laufwerk aufweisen.
Es muss Teil des Netzwerks und Namen-Service des Standorts sein.
Wenn Sie einen Namen-Service verwenden, muss sich das System außerdem bereits in einem Namen-Service wie NIS, NIS+, DNS oder LDAP befinden. Wenn Sie keinen Namen-Service verwenden, müssen Sie die Informationen über dieses System in Übereinstimmung mit den Richtlinien des jeweiligen Standorts verteilen.
Legen Sie die Solaris 10 Software - 1-CD oder die Solaris 10-DVD in das Laufwerk des Installationsservers ein.
Erzeugen Sie ein Verzeichnis für die WAN-Boot-Miniroot und das Solaris-Installationsabbild.
# mkdir -p WAN_verz_pfad inst_verz_pfad |
Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.
Gibt das Verzeichnis auf dem Installationsserver an, in dem die WAN-Boot-Miniroot erzeugt werden soll. Dieses Verzeichnis muss Miniroots aufnehmen können, die in der Regel 250 MB groß sind.
Gibt das Verzeichnis auf dem Installationsserver an, in welches das Solaris-Software-Abbild kopiert werden soll. Dieses Verzeichnis kann zu einem späteren Zeitpunkt in diesem Verfahren entfernt werden.
Wechseln Sie in das Verzeichnis Tools auf dem eingehängten Datenträger.
# cd /cdrom/cdrom0/s0/Solaris_10/Tools |
In diesem Beispiel ist cdrom0 der Pfad zu dem Laufwerk mit dem BS-Datenträger.
Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild auf die Festplatte des WAN-Boot-Servers.
# ./setup_install_server -w WAN_verz_pfad Inst_verz_pfad |
Gibt das Verzeichnis an, in das die WAN-Boot-Miniroot kopiert werden soll.
Gibt das Verzeichnis an, in welches das Solaris-Software-Abbild kopiert werden soll.
Der Befehl setup_install_server gibt an, ob ausreichend Festplattenspeicher für die Solaris 10-Software-Datenträgerabbilder vorhanden ist. Um den verfügbaren Festplattenspeicher zu ermitteln, verwenden Sie den Befehl df -kl.
Der Befehl setup_install_server -w erzeugt die WAN-Boot-Miniroot und ein Netzwerkinstallationsabbild der Solaris-Software.
(Optional) Entfernen Sie das Netzwerkinstallationsabbild.
Für eine WAN-Installation mit Solaris Flash-Archiv brauchen Sie das Solaris-Software-Abbild nicht. Wenn Sie nicht beabsichtigen, das Netzwerkinstallationsabbild für weitere Netzwerkinstallationen einzusetzen, haben Sie also die Möglichkeit, Speicherplatz auf der Festplatte freizuräumen. Geben Sie folgenden Befehl ein, um das Netzwerkinstallationsabbild zu löschen.
# rm -rf Inst_verz_pfad |
Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zur WAN-Boot-Miniroot ein.
Erzeugen Sie einen symbolischen Link auf die WAN-Boot-Miniroot im Dokument-Root-Verzeichnis des WAN-Boot-Servers.
# cd /Dok_Root-Verz/miniroot # ln -s /WAN_verz_pfad/miniroot . |
Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem Sie die Verknüpfung zur WAN-Boot-Miniroot erzeugen möchten.
Gibt den Pfad zur WAN-Boot-Miniroot an.
Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.
# mv /WAN_verz_pfad/miniroot /Dok_Root-Verz/miniroot/Miniroot-Name |
Gibt den Pfad zur WAN-Boot-Miniroot an.
Gibt den Pfad zum WAN-Boot-Miniroot-Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.
Steht für den Namen der WAN-Boot-Miniroot. Geben Sie der Datei einen aussagefähigen Namen, beispielsweise miniroot.s10_sparc.
Kopieren Sie die WAN-Boot-Miniroot und das Solaris-Software-Abbild mit dem Befehl setup_install_server(1M) und der Option -w in das Verzeichnis /export/install/Solaris_10 von wanserver-1.
Legen Sie den Solaris 10-Software-Datenträger in das an wanserver-1 angeschlossene Laufwerk ein. Geben Sie die folgenden Befehle ein.
wanserver-1# mkdir -p /export/install/sol_10_sparc wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/sol_10_sparc/miniroot \ /export/install/sol_10_sparc |
Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis (/opt/apache/htdocs/) des WAN-Boot-Servers. In diesem Beispiel lautet der Name der WAN-Boot-Miniroot miniroot.s10_sparc.
wanserver-1# mv /export/install/sol_10_sparc/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
Nachdem Sie die WAN-Boot-Miniroot erstellt haben, müssen Sie prüfen, ob das OpenBoot PROM (OBP) auf dem Client WAN-Bootvorgänge unterstützt. Wie das geht, erfahren Sie im Abschnitt Überprüfen des Clients auf WAN-Boot-Unterstützung.
Nähere Informationen zum Befehl setup_install_server finden Sie in install_scripts(1M).
Für eine WAN-Boot-Installation ohne Benutzereingriff muss das Client-OpenBoot PROM (OBP) Unterstützung für WAN-Boot bieten. Sollte dies nicht der Fall sein, können Sie die WAN-Boot-Installation durchführen, indem Sie die erforderlichen Programme lokal auf einer CD bereitstellen.
Ob der Client WAN-Bootvorgänge unterstützt, können Sie anhand seiner OBP-Konfigurationsvariablen ermitteln. Gehen Sie dazu wie im Folgenden beschrieben vor.
Mit dem folgenden Verfahren können Sie feststellen, ob das Client-OBP Unterstützung für WAN-Boot bietet.
Nehmen Sie Superuser-Status oder eine entsprechende administrative Rolle an.
Administrative Rollen umfassen Berechtigungen und reservierte Befehle. Weitere Informationen zu Rollen finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services.
Überprüfen Sie die OBP-Konfigurationsvariablen auf WAN-Boot-Unterstützung.
# eeprom | grep network-boot-arguments |
Wenn die Variable network-boot-arguments angezeigt wird oder der obige Befehl die Ausgabe network-boot-arguments: data not available liefert, bietet das OBP Unterstützung für WAN-Boot-Installationen. Sie müssen das OBP vor der WAN-Boot-Installation also nicht aktualisieren.
Liefert der vorige Befehl keine Ausgabe, bedeutet dies, dass das OBP WAN-Boot-Installationen nicht unterstützt. In diesem Fall müssen Sie eine der nachfolgenden Maßnahmen ergreifen.
Aktualisieren Sie das Client-OBP. Informationen über die Aktualisierung des OBP entnehmen Sie bitte der Dokumentation Ihres Systems.
Wenn Sie die erforderlichen Vorbereitungsschritte abgeschlossen haben und bereit zur Client-Installation sind, führen Sie die WAN-Boot-Installation von der Solaris 10-Software-CD in einem lokalen CD-ROM-Laufwerk aus.
Wie Sie den Client von einem lokalen CD-ROM-Laufwerk booten, erfahren Sie in So nehmen Sie eine WAN-Boot-Installation mit lokalen CDs vor. Informationen zu den restlichen Vorbereitungsschritten finden Sie im Abschnitt Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Mit dem folgenden Befehl stellen Sie fest, ob das Client-OBP Unterstützung für WAN-Boot bietet.
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
Die Ausgabe network-boot-arguments: data not available in diesem Beispiel weist darauf hin, dass das Client-OBP Unterstützung für WAN-Boot-Installationen bietet.
Wenn Sie überprüft haben, dass das Client-OBP WAN-Boot unterstützt, müssen Sie das Programm wanboot auf den WAN-Boot-Server kopieren. Eine Anleitung hierzu finden Sie im Abschnitt Installation des wanboot-Programms auf dem WAN-Boot-Server.
Sollte das Client-OBP hingegen keine Unterstützung für WAN-Boot bieten, ist dieser Schritt überflüssig. Stattdessen stellen Sie das wanboot-Programm auf dem Client auf einer lokalen CD bereit. Der nächste Schritt im Installationsprozess ist im Abschnitt Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server beschrieben.
Weitere Informationen zum Befehl setup_install_server finden Sie in Kapitel 9, Vorbereiten der Installation über das Netzwerk mithilfe von CDs (Vorgehen).
Für die Installation des Clients kommt in WAN-Boot ein spezielles Unterprogramm (wanboot) zum Einsatz. Das wanboot-Programm lädt die WAN-Boot-Miniroot, die Client-Konfigurationsdateien und die für eine WAN-Boot-Installation erforderlichen Installationsdateien.
Das wanboot-Programm muss dem Client während der WAN-Boot-Installation zur Verfügung gestellt werden. Hierzu haben Sie folgende Möglichkeiten:
Wenn der Client-PROM WAN-Boot unterstützt, können Sie das Programm vom WAN-Boot-Server auf den Client übertragen. In diesem Falle müssen Sie das wanboot-Programm auf dem WAN-Boot-Server installieren.
Wie Sie herausfinden, ob das Client-PROM WAN-Boot unterstützt, ist im Abschnitt So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung beschrieben.
Wenn der Client-PROM keine Unterstützung für WAN-Boot bietet, müssen Sie dem Client das Programm auf einer lokalen CD zur Verfügung stellen. In diesem Fall setzen Sie die Installationsvorbereitung wie unter Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server beschrieben fort.
Dieses Verfahren beschreibt, wie Sie das wanboot-Programm von den Solaris-Datenträgern auf den WAN-Boot-Server kopieren.
Bei diesem Verfahren wird davon ausgegangen, dass Volume Manager auf dem WAN-Boot-Server läuft. Wenn dies nicht der Fall sein sollte und Sie Wechseldatenträger ohne Volume Manager verwalten, so finden Sie entsprechende Informationen hierzu im System Administration Guide: Devices and File Systems.
Vergewissern Sie sich, dass das Client-System Unterstützung für WAN-Boot bietet. Die erforderlichen Schritte hierzu sind unter So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung beschrieben.
Melden Sie sich auf dem Installationsserver als Superuser an.
Legen Sie die Solaris 10 Software - 1-CD oder die Solaris 10-DVD in das Laufwerk des Installationsservers ein.
Wechseln Sie in das Plattformverzeichnis sun4u auf der Solaris 10 Software - 1-CD oder der Solaris 10-DVD.
# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ |
Kopieren Sie das wanboot-Programm auf den Installationsserver.
# cp wanboot /Dokument-Root-Verz/wanboot/Wanboot-Name |
Steht für das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.
Gibt den Namen des wanboot-Programms an. Geben Sie dieser Datei einen aussagekräftigen Namen, wie zum Beispiel wanboot.s9_sparc.
Räumen Sie dem WAN-Boot-Server auf eine der folgenden Weisen Zugang zum wanboot-Programm ein.
Erzeugen Sie einen symbolischen Link auf das wanboot-Programm im Dokument-Root-Verzeichnis des WAN-Boot-Servers.
# cd /Dokument-Root-Verz/wanboot # ln -s /WAN_verz_pfad/wanboot . |
Gibt das Verzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an, in dem Sie die Verknüpfung zum wanboot-Programm erzeugen möchten.
Gibt den Pfad zum wanboot-Programm an.
Verschieben Sie die WAN-Boot-Miniroot in das Dokument-Root-Verzeichnis auf dem WAN-Boot-Server.
# mv /WAN_verz_pfad/wanboot /Dokument-Root-Verz/wanboot/Wanboot-Name |
Gibt den Pfad zum wanboot-Programm an.
Gibt den Pfad zum wanboot-Programmverzeichnis im Dokument-Root-Verzeichnis des WAN-Boot-Servers an.
Gibt den Namen des wanboot-Programms an. Geben Sie der Datei einen aussagefähigen Namen, beispielsweise wanboot.s10_sparc.
Zum Installieren des wanboot-Programms auf dem WAN-Boot-Server kopieren Sie das Programm vom Solaris 10-Software-Datenträger in das Dokument-Root-Verzeichnis des WAN-Boot-Servers.
Legen Sie die Solaris 10-DVD oder die Solaris 10 Software - 1-CD in das an wanserver-1 angeschlossene Laufwerk ein, und geben Sie folgende Befehle ein:
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
In diesem Beispiel lautet der Name des wanboot-Programms wanboot.s10_sparc.
Nachdem Sie das wanboot-Programm auf dem WAN-Boot-Server installiert haben, müssen Sie die /etc/netboot-Hierarchie auf dem WAN-Boot-Server erstellen. Dieser Schritt ist im Abschnitt Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server beschrieben.
Einen Überblick über das wanboot-Programm erhalten Sie im Abschnitt Was ist WAN-Boot?.
Während der Installation sucht WAN-Boot in der /etc/netboot-Hierarchie auf dem Webserver nach Installationsanweisungen. Dieses Verzeichnis enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für die WAN-Boot-Installation benötigt werden. Aus diesen Informationen bildet das Programm wanboot-cgi bei der Installation das WAN-Boot-Dateisystem. Anschließend überträgt das Programm wanboot-cgi das WAN-Boot-Dateisystem an den Client.
Mithilfe von Unterverzeichnissen, die Sie in /etc/netboot anlegen können, lässt sich der Aktionsbereich der WAN-Installation anpassen. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.
Globale Konfiguration – Sollen alle Clients in Ihrem Netzwerk dieselben Konfigurationsinformationen verwenden, dann speichern Sie die freizugebenden Dateien im Verzeichnis /etc/netboot.
Netzwerk-spezifische Konfiguration – Wenn nur die Computer in einem bestimmten Subnetz konfigurationsinformationen gemeinsam nutzen sollen, speichern Sie die gemeinsam zu nutzenden Konfigurationsdateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/Netz-IP |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes der Clients.
Client-spezifische Konfiguration – Wenn das Boot-Dateisystem von nur einem bestimmten Client verwendet werden soll, speichern Sie die Dateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/Netz-IP/Client-ID |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes. Client-ID ist entweder die vom DHCP-Server zugewiesene oder eine benutzerdefinierte Client-ID.
Ausführliche Hinweise zur Planung dieser Konfigurationen finden Sie in Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie.
Das folgende Verfahren beschreibt, wie Sie die /etc/netboot-Hierarchie erstellen.
Gehen Sie wie folgt vor, um die /etc/netboot-Hierarchie zu erstellen.
Melden Sie sich auf dem WAN-Boot-Server als Superuser an.
Erzeugen Sie das Verzeichnis /etc/netboot.
# mkdir /etc/netboot |
Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.
# chmod 700 /etc/netboot |
Setzen Sie den Eigentümer des Verzeichnisses /etc/netboot auf den Webserver-Eigentümer.
# chown Webserver-Benutzer:Webserver-Gruppe /etc/netboot/ |
Steht für den Benutzer, der Eigentümer des Webserver-Prozesses ist.
Steht für die Gruppe, die Eigentümer des Webserver-Prozesses ist.
Beenden Sie den Superuser-Status.
# exit |
Nehmen Sie die Benutzerrolle des Webserver-Eigentümers an.
Erzeugen Sie in /etc/netboot ein Unterverzeichnis für den Client.
# mkdir -p /etc/netboot/Netz-IP/Client-ID |
Weist den Befehl mkdir an, alle erforderlichen übergeordneten Verzeichnisse für das gewünschte Verzeichnis zu erzeugen.
Die Netzwerk-IP-Adresse des Teilnetzes, in dem sich der Client befindet.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Das Client-ID-Verzeichnis muss ein Unterverzeichnis des Netz-IP-Verzeichnisses sein.
Setzen Sie die Berechtigungen für jedes Verzeichnis in der /etc/netboot-Hierarchie auf 700.
# chmod 700 /etc/netboot/Verz-Name |
Das folgende Beispiel zeigt, wie die /etc/netboot-Hierarchie für den Client 010003BA152A42 im Teilnetz 192.168.198.0 erzeugt wird. In diesem Beispiel sind der Benutzer nobody und die Gruppe admin Eigentümer des Webserver-Prozesses.
Die Befehle in diesem Beispiel führen folgende Aktionen durch:
Erzeugen Sie das Verzeichnis /etc/netboot.
Setzen Sie die Berechtigungen für das Verzeichnis /etc/netboot auf 700.
Setzen Sie den Besitzer des Webserver-Prozesses als Besitzer des Verzeichnisses /etc/netboot.
Annehmen der Benutzerrolle des Webserver-Benutzers.
Erzeugen Sie ein Unterverzeichnis in /etc/netboot mit dem Namen des Teilnetzes (192.168.198.0).
Erzeugen eines Unterverzeichnisses im Teilnetzverzeichnis und benennen nach der Client-ID.
Setzen Sie die Berechtigungen für die Unterverzeichnisse von /etc/netboot auf 700.
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Nachdem Sie die /etc/netboot-Hierarchie erstellt haben, müssen Sie das WAN-Boot-CGI-Programm auf den WAN-Boot-Server kopieren. Dieser Schritt ist unter Kopieren des WAN-Boot-CGI-Programms auf den WAN-Boot-Server beschrieben.
Ausführliche Hinweise zur Gestaltung der /etc/netboot-Hierarchie finden Sie in Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie.
Das Programm wanboot-cgi erzeugt die Datenströme, mit welchen die folgenden Dateien vom WAN-Boot-Server zum Client übertragen werden.
wanboot-Programm
WAN-Boot-Dateisystem
WAN-Boot-Miniroot
Das Programm wanboot-cgi wird zusammen mit Solaris 10 auf dem System installiert. Damit der WAN-Boot-Server auf dieses Programm zugreifen kann, kopieren Sie es in das Verzeichnis cgi-bin des WAN-Boot-Servers.
Melden Sie sich auf dem WAN-Boot-Server als Superuser an.
Kopieren Sie das Programm wanboot-cgi auf den WAN-Boot-Server.
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-Server-Root/cgi-bin/wanboot-cgi |
Steht für das Root-Verzeichnis der Webserver-Software auf dem WAN-Boot-Server.
Setzen Sie auf dem WAN-Boot-Server die Berechtigungen für das CGI-Programm auf 755.
# chmod 755 /WAN-Server-Root/cgi-bin/wanboot-cgi |
Nachdem Sie das WAN-Boot-CGI-Programm auf den WAN-Boot-Server kopiert haben, können Sie wahlweise einen Protokollserver einrichten. Die Vorgehensweise dazu ist unter (Optional) So konfigurieren Sie den WAN-Boot-Protokollserver beschrieben.
Wenn Sie keinen eigenen Protokollserver einrichten möchten, lesen Sie bitte in Abschnitt (Optional) Schützen der Daten mit HTTPS weiter. Dort erfahren Sie, wie Sie die Sicherheitsmerkmale einer WAN-Boot-Installation einrichten.
Einen Überblick über das wanboot-cgi-Programm erhalten Sie im Abschnitt Was ist WAN-Boot?.
Standardmäßig werden alle Protokollmeldungen beim WAN-Boot auf dem Client-System angezeigt, um eine schnelle Fehlerdiagnose bei Installationsproblemen zu ermöglichen.
Wenn die Boot- und Installationsprotokollmeldungen auf einem anderen System als dem Client aufgezeichnet werden sollen, müssen Sie einen Protokollserver (Logging-Server) einrichten. Soll der Protokollserver bei der Installation mit HTTPS arbeiten, muss der WAN-Boot-Server als Protokollserver konfiguriert werden.
Zum Konfigurieren des Protokollservers führen Sie die nachfolgenden Schritte durch.
Kopieren Sie das Skript bootlog-cgi in das CGI-Skriptverzeichnis des Protokollservers.
# cp /usr/lib/inet/wanboot/bootlog-cgi \ Protokollserver-Root/cgi-bin |
Steht für das Verzeichnis cgi-bin im Webserver-Verzeichnis des Protokollservers.
Setzen Sie die Berechtigungen für das Skript bootlog-cgi auf 755.
# chmod 755 Protokollserver-Root/cgi-bin/bootlog-cgi |
Setzen Sie den Wert für den Parameter boot_logger in der Datei wanboot.conf.
Geben Sie in der Datei wanboot.conf die URL des Skripts bootlog-cgi auf dem Protokollserver an.
Weitere Informationen zum Einstellen der Parameter in der Datei wanboot.conf finden Sie in So erzeugen Sie die Datei wanboot.conf .
Während der Installation werden im Verzeichnis /tmp des Protokollservers Boot- und Installationsprotokollmeldungen aufgezeichnet. Die Protokolldatei erhält den Namen bootlog.Host-Name, wobei Host-Name der Host-Name des Clients ist.
Im folgenden Beispiel wird der WAN-Boot-Server als Protokollserver konfiguriert.
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
Nachdem Sie den Protokollserver eingerichtet haben, können Sie die WAN-Boot-Installation wahlweise so einrichten, dass digitale Zertifikate und Sicherheitsschlüssel verwendet werden. Die Einrichtung der Sicherheitsmerkmale einer WAN-Boot-Installation ist in (Optional) Schützen der Daten mit HTTPS beschrieben.
Zum Schutz Ihrer Daten während der Übertragung vom WAN-Boot-Server auf den Client können Sie HTTPS (HTTP over Secure Sockets Layer) einsetzen. Wenn Sie die in Sichere WAN-Boot-Installationskonfiguration beschriebene sicherere Installationskonfiguration verwenden möchten, müssen Sie HTTPS auf Ihrem Webserver aktivieren.
Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie die Schritte in diesem Abschnitt überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.
Führen Sie die folgenden Schritte durch, um die Webserver-Software auf dem WAN-Boot-Server auf die Verwendung von HTTPS einzustellen:
Aktivieren Sie die SSL-Unterstützung in Ihrer Webserver-Software.
Die Vorgehensweise zum Aktivieren der SSL-Unterstützung und der Client-Authentifizierung ist vom jeweiligen Webserver abhängig. Dieses Dokument enthält keine Anweisungen zum Aktivieren dieser Sicherheitsfunktionen auf dem Webserver. Die entsprechenden Informationen entnehmen Sie bitte der folgenden Dokumentation:
Informationen zum Aktivieren von SSL auf den Webservern SunONE und iPlanet finden Sie in den Sun ONE- und iPlanet-Dokumentationsreihen unter http://docs.sun.com.
Informationen zum Aktivieren von SSL auf dem Webserver Apache finden Sie im Apache Dokumentationsprojekt unter http://httpd.apache.org/docs-project/.
Informationen zu hier nicht aufgeführter Webserver-Software entnehmen Sie bitte der Dokumentation zu Ihrer Webserver-Software.
Installieren Sie digitale Zertifikate auf dem WAN-Boot-Server.
In (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung erhalten Sie Informationen über die Verwendung von digitalen Zertifikaten mit WAN-Boot..
Stellen Sie dem Client ein vertrauenswürdiges Zertifikat zur Verfügung.
In (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung finden Sie Anweisungen zum Erstellen vertrauenswürdiger Zertifikate.
Erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.
Anweisungen zum Generieren von Schlüsseln finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.
(Optional) Aktivieren Sie die Unterstützung für die Client-Authentifizierung in der Konfiguration der Webserver-Software.
Anweisungen hierzu entnehmen Sie bitte der Dokumentation zu Ihrem Webserver.
Dieser Abschnitt beschreibt, wie Sie digitale Zertifikate und Schlüssel bei Ihrer WAN-Boot-Installation verwenden können.
Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von PKCS#12-Dateien für eine Installation über HTTPS mit Server- oder sowohl Server- als auch Client-Authentifizierung. Die Voraussetzungen und Richtlinien für die Verwendung von PKCS#12-Dateien lesen Sie bitte unter Voraussetzungen für digitale Zertifikate nach.
Führen Sie folgende Schritte durch, um eine PKCS#12-Datei in der WAN-Boot-Installation zu verwenden:
Teilen Sie die PKCS#12-Datei in einen privaten SSL-Schlüssel und ein vertrauenswürdiges Zertifikat auf.
Fügen Sie das vertrauenswürdige Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein. Dieses Zertifikat weist den Client an, den Server als vertrauenswürdig zu akzeptieren.
(Optional) Fügen Sie den Inhalt der Datei des privaten SSL-Schlüssels in die Datei keystore des Clients in der /etc/netboot-Hierarchie ein.
Der Befehl wanbootutil stellt Optionen zum Durchführen der Schritte in der vorigen Liste zur Verfügung.
Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie dieses Verfahren überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.
Gehen Sie wie folgt vor, um ein vertrauenswürdiges Zertifikat und einen privaten Schlüssel für den Client zu erstellen.
Erzeugen Sie, bevor Sie eine PKCS#12-Datei aufteilen, geeignete Unterverzeichnisse in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Einen Überblick über die /etc/netboot-Hierarchie finden Sie unter Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie.
Eine Anleitung zum Erstellen der /etc/netboot-Hierarchie finden Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Extrahieren Sie das vertrauenswürdige Zertifikat aus der PKCS#12-Datei. Fügen Sie das Zertifikat in die Datei truststore des Clients in der /etc/netboot-Hierarchie ein.
# wanbootutil p12split -i p12cert \ -t /etc/netboot/Netz-IP/Client-ID/truststore |
Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Zertifikat in die Datei truststore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
(Optional) Entscheiden Sie, ob Sie mit Client-Authentifizierung arbeiten möchten.
Wenn nein, fahren Sie mit dem Schritt (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel fort.
Wenn ja, fahren Sie mit den nachfolgenden Schritten fort.
Fügen Sie das Client-Zertifikat in die Datei certstore des Clients ein.
# wanbootutil p12split -i p12cert -c \ /etc/netboot/Netz-IP/Client-ID/certstore -k Schlüsseldatei |
Option für den Befehl wanbootutil, die bewirkt, dass eine PKCS#12-Datei in separate Dateien für den privaten Schlüssel und das Zertifikat aufgeteilt wird.
Steht für den Namen der aufzuteilenden PKCS#12-Datei.
Fügt das Client-Zertifikat in die Datei certstore des Clients ein. Netz-IP ist die IP-Adresse des Teilnetzes, in dem sich der Client befindet. Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein.
Steht für den Namen des privaten SSL-Schlüssels des Clients, der aus der aufgeteilten PKCS#12-Datei generiert werden soll.
Fügen Sie den privaten Schlüssel in die keystore-Datei des Clients ein.
# wanbootutil keymgmt -i -k Schlüsseldatei \ -s /etc/netboot/Netz-IP/Client-ID/keystore -o type=rsa |
Fügt einen privaten SSL-Schlüssel in die Datei keystore des Clients ein.
Steht für den Namen der im vorigen Schritt erzeugten Schlüsseldatei des Clients.
Gibt den Pfad zur Datei keystore des Clients an.
In folgendem Beispiel wird der Client 010003BA152A42 im Teilnetz 192.168.198.0 unter Verwendung einer PKCS#12-Datei installiert. Dabei wird aus einer PKCS#12-Datei namens client.p12 ein Zertifikat extrahiert. Anschließend speichert der Befehl den Inhalt des vertrauenswürdigen Zertifikats in der Datei truststore des Clients.
Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
Nachdem Sie ein digitales Zertifikat erstellt haben, erzeugen Sie einen Hashing- und einen Chiffrierschlüssel. Die Vorgehensweise dazu ist in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel beschrieben.
Nähere Informationen zum Erstellen von vertrauenswürdigen Zertifikaten finden Sie auf der Manpage wanbootutil(1M).
Wenn Sie Ihre Daten mit HTTPS übertragen möchten, müssen Sie einen HMAC SHA1-Hashing-Schlüssel und einen Chiffrierschlüssel (Verschlüsselung) erzeugen. Falls Sie beabsichtigen, die Installation über ein halbprivates Netzwerk vorzunehmen, können Sie sich auch gegen eine Verschlüsselung der Installationsdaten entscheiden. Mit einem HMAC SHA1-Hashing-Schlüssel kann die Integrität des wanboot-Programms überprüft werden.
Mit dem Befehl wanbootutil keygen können Sie diese Schlüssel generieren und im gewünschten /etc/netboot-Verzeichnis speichern.
Wenn Sie keine sichere WAN-Boot-Installation durchführen möchten, können Sie dieses Verfahren überspringen. Fahren Sie in diesem Fall mit dem Abschnitt Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation fort.
Gehen Sie folgendermaßen vor, um einen Hashing-Schlüssel und einen Chiffrierschlüssel zu erzeugen.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Erzeugen Sie den HMAC SHA1-Masterschlüssel.
# wanbootutil keygen -m |
Erzeugt den HMAC SHA1-Masterschlüssel für den WAN-Boot-Server.
Erzeugen Sie aus dem Masterschlüssel den HMAC SHA1-Hashing-Schlüssel für den Client.
# wanbootutil keygen -c -o [net=Netz-ip,{cid=Client-ID,}]type=sha1 |
Generiert den Hashing-Schlüssel für den Client aus dem Masterschlüssel.
Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.
Gibt die IP-Adresse des Teilnetzes an, in dem sich der Client befindet. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.
Weist das Dienstprogramm wanbootutil keygen an, einen HMAC SHA1-Hashing-Schlüssel für den Client zu erzeugen.
Entscheiden Sie, ob ein Chiffrierschlüssel für den Client generiert werden soll.
Einen Chiffrierschlüssel, also eine Verschlüsselung, brauchen Sie dann, wenn Sie eine WAN-Boot-Installation per HTTPS durchführen möchten. Bevor der Client eine HTTPS-Verbindung zum WAN-Boot-Server herstellt, überträgt der WAN-Boot-Server verschlüsselte Daten und Informationen an den Client. Mithilfe des Chiffrierschlüssels kann der Client diese Informationen entschlüsseln und bei der Installation auf sie zugreifen.
Wenn Sie eine sicherere WAN-Installation per HTTPS mit Server-Authentifizierung durchführen möchten, fahren Sie mit dem nächsten Schritt fort.
Wenn nur die Integrität des wanboot-Programms überprüft werden soll, benötigen Sie keine Verschlüsselung. Fahren Sie in diesem Fall mit Schritt 6 fort.
Chiffrierschlüssel für den Client erzeugen
# wanbootutil keygen -c -o [net=Netz-ip,{cid=Client-ID,}]type=Schlüsseltyp |
Erzeugt den Chiffrierschlüssel für den Client.
Bedeutet, dass dem Befehl wanbootutil keygen weitere Optionen übergeben werden.
Gibt die Netzwerk-IP-Adresse des Clients an. Wenn Sie die Option net nicht angeben, wird der Schlüssel in der Datei /etc/netboot/keystore gespeichert und steht allen WAN-Boot-Clients zur Verfügung.
Gibt die Client-ID an. Die Client-ID kann eine benutzerdefinierte oder die per DHCP zugewiesene Client-ID sein. Der Option cid muss ein gültiger net=-Wert vorangestellt werden. Wenn Sie die Option cid nicht zusammen mit net angeben, wird der Schlüssel in der Datei /etc/netboot/Netz-IP/keystore gespeichert. Dieser Schlüssel steht allen WAN-Boot-Clients im Teilnetz Netz-IP zur Verfügung.
Weist das Dienstprogramm wanbootutil keygen an, einen Chiffrierschlüssel für den Client zu erzeugen. Schlüsseltyp kann den Wert 3des oder aes annehmen.
Installieren Sie die Schlüssel auf dem Client-System.
Wie Sie die Schlüssel auf dem Client installieren, erfahren Sie in Installation von Schlüsseln auf dem Client.
In folgendem Beispiel wird ein HMAC SHA1-Masterschlüssel für den WAN-Boot-Server generiert. Außerdem wird in diesem Beispiel ein HMAC SHA1-Hashing-Schlüssel und eine 3DES-Verschlüsselung für den Client 010003BA152A42 im Teilnetz 192.168.198.0 generiert.
Bevor Sie diese Befehle ausführen, müssen Sie die Benutzerrolle des Webserver-Benutzers annehmen. In diesem Beispiel die Benutzerrolle nobody.
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
Nachdem Sie einen Hashing- und einen Chiffrierschlüssel erzeugt haben, müssen Sie die Installationsdateien erzeugen. Die Anleitung hierzu finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.
Einen Überblick über Hashing- und Chiffrierschlüssel finden Sie in Schutz der Daten während einer WAN-Boot-Installation .
Nähere Informationen zum Erzeugen von Hashing- und Chiffrierschlüsseln finden Sie auf der Manpage wanbootutil(1M).
WAN-Boot installiert mithilfe des benutzerdefinierten JumpStart-Verfahrens ein Solaris Flash-Archiv auf dem Client. Die benutzerdefinierte JumpStart-Installation bietet eine Befehlszeilenschnittstelle, mit der Sie automatisch auf mehreren Systemen eine Installation ausführen können, und zwar basierend auf von Ihnen erstellten Profilen. Diese Profile definieren die spezifischen Software-Installationsanforderungen. Außerdem können Sie für die vor und nach der Installation erforderlichen Schritte Shell-Skripte verwenden. Dabei geben Sie selbst an, welche Profile und Skripte für die Installation bzw. das Upgrade verwendet werden sollen. Die Installation bzw. das Upgrade mit der benutzerdefinierten JumpStart-Installation wird dann auf der Grundlage der von Ihnen ausgewählten Profile und Skripte ausgeführt. Außerdem können Sie eine sysidcfg-Datei verwenden und die Konfigurationsinformationen vorkonfigurieren, so dass die benutzerdefinierte JumpStart-Installation völlig ohne Benutzereingriff abläuft.
Führen Sie die folgenden Schritte durch, um JumpStart-Dateien für eine WAN-Boot-Installation vorzubereiten.
Ausführliche Informationen zum benutzerdefinierten JumpStart-Installationsverfahren finden Sie inKapitel 5, Benutzerdefinierte JumpStart-Installation (Übersicht), in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Die Installationsfunktion Solaris Flash bietet die Möglichkeit, eine Modellinstallation von Solaris auf einem einzigen System, dem Master-System, anzulegen. Sie können dann ein Solaris Flash-Archiv erzeugen, das ein genaues Abbild des Master-Systems ist. Das Solaris Flash-Archiv können Sie auf anderen Systemen im Netzwerk installieren, wodurch Klon-Systeme erzeugt werden.
In diesem Abschnitt erfahren Sie, wie Sie ein Solaris Flash-Archiv erzeugen.
Bevor Sie ein Solaris Flash-Archiv erzeugen, müssen Sie das Master-System einrichten.
Das Einrichten eines Master-Systems ist im Abschnitt Installation des Master-Systems in Solaris 10 Installationshandbuch: Solaris Flash-Archive (Erstellung und Installation) beschrieben.
Ausführliche Informationen zu Solaris Flash-Archiven entnehmen Sie bitte Kapitel 1, Solaris Flash (Übersicht), in Solaris 10 Installationshandbuch: Solaris Flash-Archive (Erstellung und Installation).
Lesen Sie bitte in der Dokumentation Ihres Webservers nach, ob die Software Dateien in der Größe eines Solaris Flash-Archivs übertragen kann.
Starten Sie das Master-System.
Bringen Sie das Master-System in einen so weit wie möglich inaktiven Zustand. Versetzen Sie das System nach Möglichkeit in den Einzelbenutzermodus. Wenn das nicht möglich ist, fahren Sie alle Anwendungen, die archiviert werden sollen, sowie alle Anwendungen, die die Betriebssystemressourcen stark beanspruchen, herunter.
Legen Sie das Archiv mit dem Befehl flar create an.
# flar create -n Name [optionale_Parameter] Dokument-Root/flash/Dateiname |
Der Name, den Sie dem Archiv geben. Der Archivname, den Sie angeben, wird als Wert für das Schlüsselwort content_name übernommen.
Es stehen verschiedene Optionen für den Befehl flar create zur Verfügung, die Ihnen eine Anpassung des Solaris Flash-Archivs ermöglichen. In Kapitel 5, Solaris Flash (Referenz), in Solaris 10 Installationshandbuch: Solaris Flash-Archive (Erstellung und Installation) sind diese Optionen ausführlich beschrieben..
Der Pfad zum Solaris Flash-Unterverzeichnis im Dokument-Root-Verzeichnis des Installationsservers.
Der Name der Archivdatei.
Um Speicherplatz zu sparen, können Sie das Archiv komprimieren, indem Sie dem Befehl flar create die Option -c übergeben. Ein komprimiertes Archiv kann jedoch die Leistung der WAN-Boot-Installation beeinträchtigen. Weitere Informationen über die Herstellung komprimierter Archive entnehmen Sie bitte der Manpage flarcreate(1M).
Wenn das Archiv erfolgreich angelegt wird, gibt der Befehl flar create den Exit-Code 0 zurück.
Wenn das Anlegen des Archivs fehlschlägt, gibt der Befehl flar create einen Exit-Code ungleich 0 zurück.
In diesem Beispiel erstellen Sie ein Solaris Flash-Archiv, indem Sie das WAN-Boot-Serversystem mit dem Rechnernamen wanserver klonen. Das Archiv erhält den Namen sol_10_sparc und wird 1:1 vom Master-System kopiert. Es stellt ein exaktes Duplikat des Master-Systems dar. Das fertige Archiv wird in sol_10_sparc.flar gespeichert. Sie speichern das Archiv im Unterverzeichnis flash/archives des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
wanserver# flar create -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Nachdem Sie das Solaris Flash-Archiv erstellt haben, richten Sie die vorkonfigurierten Client-Informationen in der Datei sysidcfg ein. Die dazugehörige Anleitung finden Sie in So erzeugen Sie die Datei sysidcfg .
Eine ausführliche Beschreibung der Vorgehensweise beim Erstellen eines Solaris Flash-Archivs bietet Kapitel 3, Anlegen von Solaris Flash-Archiven (Vorgehen), in Solaris 10 Installationshandbuch: Solaris Flash-Archive (Erstellung und Installation).
Der Befehl flar create ist darüber hinaus auf der Manpage flarcreate(1M) beschrieben.
In der Datei sysidcfg können Sie zum Vorkonfigurieren eines Systems eine Reihe von Schlüsselwörtern angeben.
Gehen Sie folgendermaßen vor, um die Datei sysidcfg zu erzeugen.
Erzeugen Sie das Solaris Flash-Archiv. Eine ausführliche Anleitung finden Sie in So erzeugen Sie das Solaris Flash-Archiv.
Erzeugen Sie auf dem Installationsserver in einem Texteditor eine Datei namens sysidcfg.
Geben Sie die gewünschten sysidcfg-Schlüsselwörter ein.
Für ausführliche Informationen zu den sysidcfg-Schlüsselwörtern schlagen Sie bitte im Abschnitt Schlüsselwörter in der Datei sysidcfg nach.
Speichern Sie die Datei sysidcfg in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Speichern Sie die Datei in einem dieser Verzeichnisse:
Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.
Im Folgenden sehen Sie eine sysidcfg-Beispieldatei für ein SPARC-System. Host-Name, IP-Adresse und Netzmaske dieses Systems wurden durch Bearbeitung des Namen-Service vorkonfiguriert.
network_interface=primary {hostname=wanclient default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.example.com } security_policy=none
Nachdem Sie die sysidcfg-Datei erstellt haben, erstellen Sie ein benutzerdefiniertes JumpStart-Profil für den Client. Die dazugehörige Anleitung finden Sie in So erstellen Sie das Profil.
Ausführlichere Informationen über Schlüsselwörter und Werte für die Datei sysidcfg finden Sie in Vorkonfiguration mit der Datei sysidcfg.
Bei einem Profil handelt es sich um eine Textdatei, aus welcher das Programm für die benutzerdefinierte JumpStart-Installation entnimmt, wie die Solaris-Software auf einem System installiert werden soll. Ein Profil definiert Elemente der Installation, wie zum Beispiel die zu installierende Softwaregruppe.
Ausführliche Informationen zum Erstellen von Profilen finden Sie in Erstellen eines Profils in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Gehen Sie folgendermaßen vor, um das Profil zu erstellen.
Erstellen Sie die sysidcfg-Datei für den Client. Eine ausführliche Anleitung finden Sie in So erzeugen Sie die Datei sysidcfg .
Erzeugen Sie auf dem Installationsserver eine Textdatei. Geben Sie der Datei einen aussagekräftigen Namen.
Stellen Sie sicher, dass der Name des Profils wiedergibt, wie Sie das Profil zum Installieren der Solaris-Software auf einem System einsetzen wollen. So können Sie zum Beispiel die Profile basic_install, eng_profile oder user_profile anlegen.
Fügen Sie Schlüsselwörter und Werte zu dem Profil hinzu.
Eine Liste der zulässigen Schlüsselwörter und Werte für Profile entnehmen Sie bitte Profilschlüsselwörter und -werte in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Bei Profilschlüsselwörtern und deren Werten wird zwischen Groß- und Kleinschreibung unterschieden.
Speichern Sie das Profil in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Speichern Sie das Profil in einem dieser Verzeichnisse:
Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.
Stellen Sie sicher, dass root Eigentümer des Profils ist und dass die Berechtigungen auf 644 gesetzt sind.
(Optional) Testen Sie das Profil.
Das Testen von Profilen ist im Abschnitt Testen eines Profils in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien beschrieben.
Das Profil in folgendem Beispiel sieht vor, dass das Programm für die benutzerdefinierte JumpStart-Installation das Solaris Flash-Archiv von einem sicheren HTTP-Server abruft.
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
In der folgenden Liste sind einige Schlüsselwörter und Werte aus diesem Beispiel beschrieben.
Das Profil installiert ein Solaris Flash-Archiv auf dem Klon-System. Wie bei einer Erst- bzw. Neuinstallation werden alle Dateien überschrieben.
Das komprimierte Solaris Flash-Archiv wird von einem sicheren HTTP-Server abgerufen.
Mit dem Wert explicit legen Sie fest, dass die Dateisystem-Slices von den filesys-Schlüsselwörtern definiert werden. Die Größe von Root (/) ist von der Größe des Solaris Flash-Archivs abhängig. Der swap-Bereich wird auf c0t1d0s1 angelegt und seine Größe nach Bedarf automatisch festgelegt. /export/home ist vom verbleibenden Speicherplatz abhängig. /export/home wird auf c0t1d0s7 angelegt.
Nachdem Sie ein Profil erstellt haben, müssen Sie die Datei rules erstellen und überprüfen. Eine Anleitung dazu finden Sie in So erstellen Sie die Datei rules .
Weitere Informationen zum Erstellen von Profilen finden Sie in Erstellen eines Profils in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Ausführliche Informationen zu den zulässigen Schlüsselwörter und Werte für Profile entnehmen Sie bitte Profilschlüsselwörter und -werte in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Bei der Datei rules handelt es sich um eine Textdatei, die für jede Gruppe von Systemen, auf welchen Solaris installiert werden soll, eine Regel enthält. Jede Regel charakterisiert eine Gruppe von Systemen auf der Grundlage von einem oder mehreren Systemattributen. Jede Regel verknüpft außerdem jede Gruppe mit einem Profil. Ein Profil ist eine Textdatei, in der definiert ist, wie die Solaris-Software auf den Systemen in der Gruppe installiert werden soll. Die folgende Regel legt zum Beispiel fest, dass das JumpStart-Programm die Informationen im Profil basic_prof zur Installation aller Systeme der Plattformgruppe sun4u verwenden soll.
karch sun4u - basic_prof - |
Die Datei rules dient zum Generieren der Datei rules.ok, die für benutzerdefinierte JumpStart-Installationen erforderlich ist.
Ausführliche Informationen zum Erstellen der Datei rules finden Sie in Erstellen der Datei rules in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Gehen Sie folgendermaßen vor, um die Datei rules zu erzeugen.
Erstellen Sie das Profil für den Client. Eine ausführliche Anleitung finden Sie in So erstellen Sie das Profil.
Erzeugen Sie auf dem Installationsserver eine Textdatei namens rules.
Fügen Sie für jede Gruppe von Systemen, die eingerichtet werden sollen, eine Regel in die Datei rules ein.
Ausführliche Informationen zum Erstellen von rules-Dateien finden Sie in Erstellen der Datei rules in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Speichern Sie die Datei rules auf dem Installationsserver.
Überprüfen Sie die rules-Datei.
$ ./check -p Pfad -r Dateiname |
Validiert die Datei rules unter Verwendung des Skripts check aus dem Abbild der Solaris 10-Software anstelle des Skripts check auf dem System, mit dem Sie arbeiten. Pfad ist der Pfad zu einem Abbild auf einer lokalen Festplatte oder zu einer eingehängten Solaris 10-DVD oder Solaris 10 Software - 1-CD.
Verwenden Sie diese Option, um die neueste Version von check auszuführen, wenn auf dem System eine frühere Version von Solaris läuft.
Gibt eine andere rules-Datei als die mit dem Namen rules an. Mit dieser Option können Sie die Gültigkeit einer Regel testen, bevor Sie die Regel in die Datei rules aufnehmen.
Während das Skript check ausgeführt wird, werden Meldungen zur Validierung der Datei rules und der einzelnen Profile ausgegeben. Wenn keine Fehler auftreten, gibt das Skript Folgendes aus: The custom JumpStart configuration is ok. Das Skript check erzeugt die Datei rules.ok.
Speichern Sie die Datei rules.ok in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Speichern Sie die Datei in einem dieser Verzeichnisse:
Wenn sich der WAN-Boot-Server und der Installationsserver auf demselben System befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Wenn sich der WAN-Boot-Server und der Installationsserver auf unterschiedlichen Systemen befinden, speichern Sie die Datei im Unterverzeichnis flash des Dokument-Root-Verzeichnisses auf dem Installations-Server.
Stellen Sie sicher, dass root Eigentümer der Datei rules.ok ist und dass die Berechtigungen auf 644 gesetzt sind.
Aus der Datei rules wählen die Programme für die benutzerdefinierte JumpStart-Installation das richtige Profil für das System wanclient-1 aus. Erzeugen Sie eine Textdatei namens rules. Fügen Sie dann Schlüsselwörter und Werte in diese Datei ein.
Die IP-Adresse des Client-Systems lautet 192.168.198.210, die Netzmaske 255.255.255.0. Mit dem Schlüsselwort network geben Sie an, welches Profil die Programme für die benutzerdefinierte JumpStart-Installation zur Installation des Clients verwenden sollen.
network 192.168.198.0 - wanclient_prof - |
Die rules-Datei legt damit fest, dass die Programme für die benutzerdefinierte JumpStart-Installation das Profil wanclient_prof verwenden sollen, um die Solaris 10-Software auf dem Client zu installieren.
Nennen Sie diese Datei wanclient_rule.
Wenn Sie das Profil und die rules-Datei erzeugt haben, führen Sie das check-Skript aus, um die Gültigkeit der Dateien zu überprüfen.
wanserver# ./check -r wanclient_rule |
Wenn das Skript check keine Fehler findet, erstellt es die Datei rules.ok.
Speichern Sie die Datei rules.ok im Verzeichnis /opt/apache/htdocs/flash/.
Nachdem Sie die Datei rules.ok erstellt haben, können Sie wahlweise Begin- und Finish-Skripten für Ihre Installation einrichten. Eine Anleitung hierzu finden Sie in (Optional) Erzeugen von Begin- und Finish-Skripten .
Wenn Sie keine Begin- und Finish-Skripten einrichten möchten, setzen Sie die WAN-Boot-Installation mit dem Schritt Erstellen der Konfigurationsdateien fort.
Weitere Informationen zum Erstellen der Datei rules finden Sie in Erstellen der Datei rules in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Ausführliche Informationen zu den Schlüsselwörtern und Werten für die Datei rules enthält der Abschnitt Rule-Schlüsselwörter und -Werte in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Begin- und Finish-Skripten sind benutzerdefinierte Bourne-Shell-Skripten, die Sie in der Datei rules angeben. Ein Begin-Skript führt bestimmte Aufgaben aus, bevor die Solaris-Software auf einem System installiert wird. Ein Finish-Skript führt bestimmte Aufgaben nach der Installation der Solaris-Software auf einem System auf, jedoch bevor das System erneut gebootet wird. Sie können diese Skripten nur verwenden, wenn Sie die Solaris-Software mit dem benutzerdefinierten JumpStart-Installationsverfahren installieren.
Mit Begin-Skripten lassen sich abgeleitete Profile erstellen. Finish-Skripten dienen zur Durchführung verschiedenster Vorgänge nach der Installation. Hierzu gehört das Hinzufügen von Dateien, Packages, Patches oder zusätzlicher Software.
Begin- und Finish-Skripten müssen in demselben Verzeichnis auf dem Installationsserver gespeichert werden wie die Dateien sysidcfg, rules.ok und die Profildateien.
Weitere Informationen zum Erstellen von Begin-Skripten enthält der Abschnitt Erstellen von Begin-Skripten in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Finish-Skripten beschreibt der Abschnitt Erstellen von Finish-Skripten in Solaris 10 Installationshandbuch: Benutzerdefinierte JumpStart-Installation und komplexe Installationsszenarien.
Setzen Sie die Vorbereitung Ihrer WAN-Boot-Installation mit dem Schritt Erstellen der Konfigurationsdateien fort.
Zur Ermittlung der Adressen der für die WAN-Boot-Installation benötigten Daten und Dateien stützt sich WAN-Boot auf folgende Dateien:
Systemkonfigurationsdatei (system.conf)
wanboot.conf
In diesem Abschnitt erfahren Sie, wie diese beiden Dateien erzeugt und gespeichert werden.
Mit der Systemkonfigurationsdatei leiten Sie die WAN-Boot-Installationsprogramme zu den folgenden Dateien:
sysidcfg
rules.ok
Profil für die benutzerdefinierte JumpStart-Installation
Die Informationen für Installation und Konfiguration der Clients entnimmt WAN-Boot aus den Dateien, auf die in der Systemkonfigurationsdatei verwiesen wird.
Bei der Systemkonfigurationsdatei handelt es sich um eine Normaltextdatei, die nach diesem Muster formatiert sein muss:
Einstellung=Wert |
Führen Sie die nachfolgenden Schritte durch, um die WAN-Installationsprogramme mithilfe einer Systemkonfigurationsdatei zu den Dateien sysidcfg, rules.ok und den Profildateien zu leiten.
Bevor Sie die Systemkonfigurationsdatei erzeugen, müssen Sie zunächst die Installationsdateien für Ihre WAN-Boot-Installation erstellen. Eine ausführliche Anleitung hierzu finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Erzeugen Sie eine Textdatei. Geben Sie der Datei einen aussagekräftigen Namen, z. B. sys-conf.s10–sparc.
Fügen Sie die folgenden Einträge in die Systemkonfigurationsdatei ein:
Diese Einstellung verweist auf das Verzeichnis flash auf dem Installationsserver, in dem sich die Datei sysidcfg befindet. Vergewissern Sie sich, dass diese URL mit dem Pfad zur Datei sysidcfg übereinstimmt, die Sie in So erzeugen Sie die Datei sysidcfg erzeugt haben.
Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.
Diese Einstellung verweist auf das Solaris Flash-Verzeichnis auf dem Installationsserver, das die Datei rules.ok, die Profildatei und die Begin- und Finish-Skripten enthält. Diese URL muss mit dem Pfad zu den JumpStart-Dateien übereinstimmen, die Sie in So erstellen Sie das Profil und So erstellen Sie die Datei rules erzeugt haben.
Für WAN-Installationen per HTTPS ist der Wert auf eine gültige HTTPS-URL zu setzen.
Speichern Sie diese Datei in einem für den WAN-Boot-Server zugänglichen Verzeichnis.
Zur Erleichterung der Administration bietet es sich an, die Datei im entsprechenden Client-Verzeichnis in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server zu speichern.
Setzen Sie die Berechtigungen für die Systemkonfigurationsdatei auf 600.
# chmod 600 /path/Sys_konf_datei |
Im folgenden Beispiel suchen die WAN-Boot-Programme auf dem Webserver https://www.example.com an Port 1234 nach der Datei sysidcfg und Dateien für die benutzerdefinierte JumpStart-Installation. Der Webserver verwendet HTTP zur Verschlüsselung der Daten und Dateien während der Installation.
Die Datei sysidcfg und die JumpStart-Dateien befinden sich im Unterverzeichnis flash des Dokument-Root-Verzeichnisses htdocs.
SsysidCF=https://www.example.com:1234/flash SjumpsCF=https://www.example.com:1234/flash
Im folgenden Beispiel suchen die WAN-Boot-Programme auf dem Webserver http://www.Beispiel.com nach der Datei sysidcfg und den JumpStart-Dateien. Der Webserver verwendet eine HTTP-Verbindung, und die Daten und Dateien sind während der Installation ungeschützt.
Die Datei sysidcfg und die JumpStart-Dateien befinden sich im Unterverzeichnis flash des Dokument-Root-Verzeichnisses htdocs.
SsysidCF=http://www.Beispiel.com/flash SjumpsCF=http://www.Beispiel.com/flash
Nachdem Sie die Systemkonfigurationsdatei erstellt haben, erzeugen Sie die Datei wanboot.conf. Eine Anleitung dazu finden Sie in So erzeugen Sie die Datei wanboot.conf .
Die Datei wanboot.conf ist eine Konfigurationsdatei im Textformat, auf welche die WAN-Boot-Programme für die Durchführung einer WAN-Installation zugreifen. Sowohl das Programm wanboot-cgi als auch das Boot-Dateisystem und die WAN-Boot-Miniroot greifen für die Installation des Client-Systems auf die Informationen in der Datei wanboot.conf zu.
Speichern Sie die Datei wanboot.conf im entsprechenden Client-Unterverzeichnis der /etc/netboot-Hierarchie auf dem WAN-Boot-Server. Wie Sie den Aktionsbereich für Ihre WAN-Boot-Installation in der /etc/netboot-Hierarchie festlegen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Wenn auf dem WAN-Boot-Server Solaris 10 läuft, finden Sie in /etc/netboot/wanboot.conf.sample ein Beispiel für die Datei wanboot.conf. Diese Beispieldatei können Sie als Vorlage für Ihre WAN-Boot-Installation verwenden.
Die nachfolgenden Informationen müssen in der Datei wanboot.conf enthalten sein.
Diese Informationen stellen Sie bereit, indem Sie die Parameter und die dazugehörigen Werte in folgendem Format aufführen:
Parameter=Wert |
Ausführliche Informationen über Parameter und Syntax für die Datei wanboot.conf entnehmen Sie bitte dem Abschnitt Parameter der Datei wanboot.conf und Syntax.
Gehen Sie folgendermaßen vor, um die Datei wanboot.conf zu erzeugen.
Nehmen Sie auf dem WAN-Boot-Server den gleichen Benutzerstatus an wie der Webserver-Benutzer.
Erzeugen Sie die Textdatei wanboot.conf.
Dabei können Sie entweder eine neue Datei namens wanboot.conf erstellen oder die in /etc/netboot/wanboot.conf.sample enthaltene Beispieldatei verwenden. Wenn Sie auf die Beispieldatei zurückgreifen, benennen Sie die Datei in wanboot.conf um, nachdem Sie alle Parameter hinzugefügt haben.
Geben Sie die geeigneten wanboot.conf-Parameter und -Parameterwerte für Ihre Installation ein.
Ausführliche Informationen über Parameter und Werte für die Datei wanboot.conf entnehmen Sie bitte dem Abschnitt Parameter der Datei wanboot.conf und Syntax.
Speichern Sie die Datei wanboot.conf in dem passenden Unterverzeichnis in der /etc/netboot-Hierarchie.
Wie Sie die /etc/netboot-Hierarchie erzeugen, erfahren Sie in Erstellen der /etc/netboot-Hierarchie auf dem WAN-Boot-Server.
Überprüfen Sie die Datei wanboot.conf.
# bootconfchk /etc/netboot/Pfad_zu_wanboot.conf/wanboot.conf |
Steht für den Pfad zur Datei wanboot.conf des Clients auf dem WAN-Boot-Server.
Wenn die Struktur der Datei wanboot.conf gültig ist, gibt der Befehl bootconfchk den Beendigungscode 0 zurück.
Ist die Datei wanboot.conf hingegen ungültig, liefert der Befehl bootconfchk einen Beendigungscode ungleich Null.
Setzen Sie die Berechtigungen für die Datei wanboot.conf auf 600.
# chmod 600 /etc/netboot/Pfad_zu_wanboot.conf/wanboot.conf |
Die folgende wanboot.conf-Beispieldatei enthält Konfigurationsinformationen für eine WAN-Installation mit sicherem HTTP. Außerdem ist in der Datei wanboot.conf festgelegt, dass bei der Installation eine 3DES-Verschlüsselung zum Einsatz kommt.
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:
Das sekundäre Boot-Programm heißt wanboot.s10_sparc. Dieses Programm befindet sich im Verzeichnis /wanboot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Die Adresse des Programms wanboot-cgi auf dem WAN-Boot-Server lautet https://www.Beispiel.com:1234/cgi-bin/wanboot-cgi. Der https-Teil der URL gibt an, dass diese WAN-Boot-Installation mit sicherem HTTP vorgenommen wird.
Die WAN-Boot-Miniroot heißt miniroot.s10_sparc. Die Miniroot befindet sich im Verzeichnis /miniroot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Das Programm wanboot.s10_sparc und das WAN-Boot-Dateisystem werden mit einem HMAC SHA1-Hashing-Schlüssel signiert.
Das Programm wanboot.s10_sparc und das Boot-Dateisystem werden mit einem 3DES-Schlüssel chiffriert.
Der Server wird bei der Installation authentifiziert.
Der Client wird bei der Installation nicht authentifiziert.
Es werden keine zusätzlichen Host-Namen für die WAN-Boot-Installation benötigt. Alle erforderlichen Dateien und Informationen sind im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server vorhanden.
(Optional) Boot- und Installationsprotokollmeldungen werden per sicherem HTTP auf dem WAN-Boot-Server aufgezeichnet.
Anweisungen zur Einrichtung eines Protokollservers für die WAN-Boot-Installation finden Sie unter (Optional) So konfigurieren Sie den WAN-Boot-Protokollserver.
Die Systemkonfigurationsdatei, aus der die Adressen der Datei sysidcfg und der JumpStart-Dateien hervorgehen, ist in einem Unterverzeichnis der /etc/netboot-Hierarchie enthalten. Die Systemkonfigurationsdatei heißt sys-conf.s10–sparc.
Die folgende wanboot.conf-Beispieldatei enthält Konfigurationsinformationen für eine weniger sichere WAN-Boot-Installation mit HTTP. Diese wanboot.conf-Datei gibt auch vor, dass bei der Installation weder ein Hashing-Schlüssel noch eine Verschlüsselung zum Einsatz kommen.
boot_file=/wanboot/wanboot.s10_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
Aus dieser wanboot.conf-Datei ergibt sich die folgende Konfiguration:
Das sekundäre Boot-Programm heißt wanboot.s10_sparc. Dieses Programm befindet sich im Verzeichnis /wanboot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Die Adresse des Programms wanboot-cgi auf dem WAN-Boot-Server lautet http://www.Beispiel.com/cgi-bin/wanboot-cgi. Die Installation erfolgt nicht über sicheres HTTP.
Die WAN-Boot-Miniroot heißt miniroot.s10_sparc. Die Miniroot befindet sich im Unterverzeichnis /miniroot des Dokument-Root-Verzeichnisses auf dem WAN-Boot-Server.
Das Programm wanboot.s10_sparc und das WAN-Boot-Dateisystem werden nicht mit einem Hashing-Schlüssel signiert.
Das Programm wanboot.s10_sparc und das WAN-Boot-Dateisystem werden nicht chiffriert.
Der Server wird bei der Installation weder durch Schlüssel noch Zertifikate authentifiziert.
Der Client wird bei der Installation weder durch Schlüssel noch Zertifikate authentifiziert.
Es werden keine zusätzlichen Host-Namen für die Installation benötigt. Alle erforderlichen Dateien und Informationen sind im Dokument-Root-Verzeichnis auf dem WAN-Boot-Server vorhanden.
(Optional) Boot- und Installationsprotokollmeldungen werden auf dem WAN-Boot-Server aufgezeichnet.
Anweisungen zur Einrichtung eines Protokollservers für die WAN-Boot-Installation finden Sie unter (Optional) So konfigurieren Sie den WAN-Boot-Protokollserver.
Die Systemkonfigurationsdatei, in der die Speicherorte der sysidcfg- und JumpStart-Dateien enthalten sind, heißt sys-conf.s10–sparc. Diese Datei befindet sich im entsprechenden Client-Unterverzeichnis in der /etc/netboot-Hierarchie.
Nachdem Sie die Datei wanboot.conf erstellt haben, können Sie wahlweise einen DHCP-Server für die Zusammenarbeit mit WAN-Boot einrichten. Eine Anleitung hierzu finden Sie in (Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server.
Wenn Sie bei Ihrer WAN-Boot-Installation keinen DHCP-Server verwenden möchten, setzen Sie die WAN-Boot-Installation mit dem Schritt So überprüfen Sie den Gerätealias net im Client-OBP fort.
Eine ausführliche Beschreibung der möglichen Parameter und Werte in der Datei wanboot.conf entnehmen Sie bitte dem Abschnitt Parameter der Datei wanboot.conf und Syntax sowie der Manpage wanboot.conf(4).
Kommt in Ihrem Netzwerk ein DHCP-Server zum Einsatz, können Sie diesen so konfigurieren, dass er die folgenden Informationen zur Verfügung stellt:
IP-Adresse des Proxy-Servers
Adresse des Programms wanboot-cgi
Sie können die folgenden DHCP-Herstelleroptionen in der WAN-Boot-Installation verwenden:
Gibt die URL des Programms wanboot-cgi auf dem WAN-Boot-Server an.
Informationen zur Einstellung dieser Herstelleroptionen auf einem Solaris-DHCP-Server finden Sie in Vorkonfiguration der Systemkonfigurationsinformationen mit dem DHCP-Service (Vorgehen).
Eine Anleitung zum Einrichten eines Solaris DHCP-Servers finden Sie in Kapitel 13, Configuring the DHCP Service (Tasks), in System Administration Guide: IP Services.
Zum weiteren Verlauf der WAN-Boot-Installation siehe Kapitel 14, SPARC: Installation mit WAN-Boot (Vorgehen).