Kapitel 12 Vorbereitung der Installation mit WAN-Boot (Planung)

In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk für eine WAN-Boot-Installation vorbereiten. Er umfasst die folgenden Themen:

• WAN-Boot - Voraussetzungen und Richtlinien

• Sicherheitslücken bei der Arbeit mit WAN-Boot

• Zusammenstellen der Informationen für WAN-Boot-Installationen

WAN-Boot - Voraussetzungen und Richtlinien

Dieser Abschnitt enthält die Systemvoraussetzungen für eine WAN-Boot-Installation.

Tabelle 12–1 Systemvoraussetzungen für WAN-Boot-Installationen

System und Beschreibung	Anforderungen
WAN-Boot-Server – Der WAN-Boot-Server ist ein Webserver, der das wanboot-Programm, die Konfigurations- und Sicherheitsdateien und die WAN-Boot-Miniroot bereitstellt.	Betriebssystem – Solaris 9 12/03 BS, oder kompatible Version Muss als Webserver konfiguriert sein Webserver-Software muss HTTP 1.1 unterstützen Wenn Sie mit digitalen Zertifikaten arbeiten möchten, muss die Webserver-Software HTTPS unterstützen
Installationsserver – Der Installationsserver stellt das Solaris Flash-Archiv und die JumpStart-Dateien bereit, die für die Installation des Clients benötigt werden.	Verfügbarer Speicherplatz – Speicherplatz für jedes Solaris Flash-Archiv Laufwerk – CD-ROM- oder DVD-ROM-Laufwerk Betriebssystem – Solaris 9 12/03 BS, oder kompatible Version Sind Installationsserver und WAN-Boot-Server zwei unterschiedliche Systeme, muss der Installationsserver diese zusätzlichen Voraussetzungen erfüllen:   Muss als Webserver konfiguriert sein Webserver-Software muss HTTP 1.1 unterstützen Wenn Sie mit digitalen Zertifikaten arbeiten möchten, muss die Webserver-Software HTTPS unterstützen
Client-System – Das entfernte System, das über ein WAN installiert werden soll	Arbeitsspeicher - Mindestens 512 MB RAM CPU – Mindestens UltraSPARC II-Prozessor Festplatte – Mindestens 2 GB Speicherplatz auf der Festplatte OBP – WAN-Boot-fähiger PROM Verfügt der Client nicht über einen geeigneten PROM, so muss er mit einem CD-ROM-Laufwerk ausgestattet sein. Wie Sie herausfinden können, ob der Client über ein PROM mit WAN-Boot-Unterstützung verfügt, erfahren Sie in So überprüfen Sie das Client-OBP auf WAN-Boot-Unterstützung .
(Optional) DHCP-Server – Für die Bereitstellung der Client-Konfigurationsinformationen können Sie einen DHCP-Server einsetzen.	Wenn Sie mit einem SunOS-DHCP-Server arbeiten, müssen Sie folgende Schritte durchführen:  Stufen Sie den Server zum EDHCP-Server herauf. Benennen Sie die Sun-Herstelleroptionen um, so dass die für Optionen geforderte Länge von acht Zeichen erfüllt ist. Weitere Informationen über die für die WAN-Installation spezifischen Sun-Herstelleroptionen finden Sie in (Optional) Bereitstellung von Konfigurationsinformationen mit einem DHCP-Server. Befindet sich der DHCP-Server in einem anderen Teilnetz als der Client, müssen Sie einen BOOTP-Relay-Agenten konfigurieren. Näheres über die Konfiguration eines BOOTP-Relay-Agenten finden Sie unter Kapitel 13, Configuring the DHCP Service (Tasks), in System Administration Guide: IP Services.
(Optional) Protokollserver – Alle Boot- und Installationsprotokollmeldungen werden bei einer WAN-Installation standardmäßig auf der Client-Konsole angezeigt. Um diese Meldungen auf einem anderen System anzeigen zu lassen, geben Sie ein System an, das als Protokollserver dienen soll.	Muss als Webserver konfiguriert sein.  Hinweis – Wenn Sie bei der Installation mit HTTPS arbeiten, müssen Protokollserver und WAN-Boot-Server identisch sein.
(Optional) Proxy-Server – Sie können das Leistungsmerkmal WAN-Boot so konfigurieren, dass das Herunterladen der Installationsdaten und -dateien über einen HTTP-Proxy erfolgt.	Wenn die Installation per HTTPS vorgenommen wird, muss der Proxy-Server zum Tunneln von HTTPS konfiguriert sein.

Webserver-Software - Voraussetzungen und Richtlinien

Die Webserver-Software auf dem WAN-Boot- und dem Installationsserver muss die folgenden Voraussetzungen erfüllen:

• Betriebssystemvoraussetzungen – WAN-Boot bietet ein CGI(Common Gateway Interface)-Programm (wanboot-cgi), das Daten und Dateien in das vom Client-System erwartete Format konvertiert. Für eine WAN-Boot-Installation mithilfe dieser Skripten muss die Webserver-Software unter Solaris 9 12/03 oder einer kompatiblen Version ausgeführt werden.

• Maximale Dateigröße – Die Größe der über die HTTP-Verbindung übertragenen Dateien ist möglicherweise durch Ihre Webserver-Software begrenzt. Lesen Sie bitte in der Dokumentation Ihres Webservers nach, ob die Software Dateien in der Größe eines Solaris Flash-Archivs übertragen kann.

• SSL-Unterstützung – Wenn Sie bei der WAN-Boot-Installation mit HTTPS arbeiten möchten, muss die Webserver-Software SSL Version 3 unterstützen.

Serverkonfigurationsoptionen

Sie können die Konfiguration der von WAN-Boot benötigten Server an die Anforderungen in Ihrem Netzwerk anpassen. Die erforderlichen Server können entweder auf einem System oder auf verschiedenen Systemen eingerichtet werden.

• Einzelner Server – Wenn Sie die WAN-Boot-Daten und -Dateien zentral auf einem System verwalten möchten, können Sie alle Server auf demselben System einrichten. Sie können alle Server auf einem System verwalten und müssen nur ein System als Webserver konfigurieren. Unter Umständen unterstützt ein einzelner Server aber das hohe Datenaufkommen nicht, das bei zahlreichen gleichzeitig ablaufenden WAN-Boot-Installationen entstehen würde.

• Mehrere Server – Für den Fall, dass Sie die Installationsdaten und -dateien an verschiedenen Stellen im Netzwerk verwalten möchten, besteht die Möglichkeit, die entsprechenden Server auf unterschiedlichen Systemen einzurichten. Sie können einen zentralen WAN-Boot-Server einrichten und mehrere Installationsserver für die Verwaltung von Solaris Flash-Archiven an verschiedenen Stellen im Netzwerk konfigurieren. Wenn Sie Installations- und Protokollserver auf unabhängigen Systemen einrichten, müssen Sie diese Systeme als Webserver konfigurieren.

Speichern von Installations- und Konfigurationsdateien im Dokument-Root-Verzeichnis

Das Programm wanboot-cgi überträgt bei der WAN-Boot-Installation die folgenden Dateien:

• wanboot-Programm

• WAN-Boot-Miniroot

• Dateien für die benutzerdefinierte JumpStart-Installation

• Solaris Flash-Archiv

Damit das Programm wanboot-cgi diese Dateien übertragen kann, müssen Sie sie in einem für die Webserver-Software zugänglichen Verzeichnis speichern. Eine Möglichkeit, die Dateien zugänglich zu machen, besteht darin, sie im Dokument-Root-Verzeichnis auf dem Webserver abzulegen.

Das Dokument-Root- oder primäre Dokumentverzeichnis ist das Verzeichnis auf Ihrem Webserver, in dem Sie Dateien speichern, die für Clients zugänglich sein sollen. Dieses Verzeichnis können Sie mit der Webserver-Software benennen und konfigurieren. Genauere Informationen über die Einrichtung des Dokument-Root-Verzeichnisses auf dem Webserver entnehmen Sie bitte der Dokumentation Ihres Webservers.

Es bietet sich an, für die verschiedenen Installations- und Konfigurationsdateien eigene Unterverzeichnisse unter dem Dokument-Root-Verzeichnis anzulegen. So könnten Sie beispielsweise ein spezifisches Unterverzeichnis für jede zu installierende Client-Gruppe erzeugen. Wenn Sie beabsichtigen, im Netzwerk unterschiedliche Versionen von Solaris zu installieren, können Sie auch ein Unterverzeichnis pro Version erzeugen.

In Abbildung 12–1 ist eine grundlegende Beispielstruktur für ein Dokument-Root-Verzeichnis dargestellt. In diesem Beispiel befinden sich WAN-Boot-Server und Installationsserver auf demselben System. Auf dem Server wird die Webserver-Software Apache ausgeführt.

Abbildung 12–1 Beispielstruktur eines Dokument-Root-Verzeichnisses

Das Dokument-Verzeichnis in diesem Beispiel weist die folgende Struktur auf:

• Das Verzeichnis /opt/apache/htdocs ist das Dokument-Root-Verzeichnis.

• Das WAN-Boot-Miniroot-Verzeichnis (miniroot) enthält die WAN-Boot-Miniroot.

• Das wanboot-Verzeichnis enthält das wanboot-Programm.

• Das Solaris Flash-Verzeichnis (flash) enthält die für die Installation des Clients erforderlichen JumpStart-Dateien und das Unterverzeichnis archives. Das Verzeichnis archives enthält das Solaris 10 Flash-Archiv.

---

Hinweis –

Sind WAN-Boot-Server und Installationsserver unterschiedliche Systeme, sollten Sie das Verzeichnis flash auf dem Installationsserver erzeugen. Vergewissern Sie sich, dass diese Dateien und Verzeichnisse für den WAN-Boot-Server zugänglich sind.

---

Wie Sie das Dokument-Root-Verzeichnis erzeugen, entnehmen Sie bitte der Dokumentation Ihres Webservers. Ausführliche Anweisungen zum Erzeugen und Speichern dieser Installationsdateien finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.

Speichern von Konfigurations- und Sicherheitsinformationen in der /etc/netboot-Hierarchie

Das Verzeichnis /etc/netboot enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für eine WAN-Boot-Installation erforderlich sind. In diesem Abschnitt sind die Dateien und Verzeichnisse dargestellt, die Sie im Verzeichnis /etc/netboot erzeugen können, um Ihre WAN-Boot-Installation individuell anzupassen.

Anpassung des Aktionsbereichs der WAN-Boot-Installation

Während der Installation sucht das Programm wanboot-cgi im Verzeichnis /etc/netboot auf dem WAN-Boot-Server nach den Client-Informationen. Das Programm wanboot-cgi konvertiert diese Informationen in das WAN-Boot-Dateisystem und überträgt dieses dann an den Client. Mithilfe von Unterverzeichnissen, die Sie in /etc/netboot anlegen können, lässt sich der Aktionsbereich der WAN-Installation anpassen. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.

• Globale Konfiguration – Sollen alle Clients in Ihrem Netzwerk dieselben Konfigurationsinformationen verwenden, dann speichern Sie die freizugebenden Dateien im Verzeichnis /etc/netboot.

• Netzwerk-spezifische Konfiguration – Wenn nur die Computer in einem bestimmten Subnetz konfigurationsinformationen gemeinsam nutzen sollen, speichern Sie die gemeinsam zu nutzenden Konfigurationsdateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.

  /etc/netboot/Netz-IP

  In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes der Clients. Wenn Sie die Konfigurationsdateien beispielsweise an alle Systeme im Teilnetz mit der IP-Adresse 192.168.255.0 freigeben möchten, erzeugen Sie ein Verzeichnis namens /etc/netboot/192.168.255.0. Speichern Sie dann die Konfigurationsdateien in diesem Verzeichnis.

• Client-spezifische Konfiguration – Wenn das Boot-Dateisystem von nur einem bestimmten Client verwendet werden soll, speichern Sie die Dateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.

  /etc/netboot/Netz-IP/Client-ID

  In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes. Client-ID ist entweder die vom DHCP-Server zugewiesene oder eine benutzerdefinierte Client-ID. Wenn zum Beispiel ein System mit der Client-ID 010003BA152A42 im Teilnetz 192.168.255.0 systemspezifische Konfigurationsdateien verwenden soll, erzeugen Sie ein Verzeichnis namens /etc/netboot/192.168.255.0/010003BA152A42. Speichern Sie dann die entsprechenden Dateien in diesem Verzeichnis.

Angeben von Konfigurations- und Sicherheitsinformationen im Verzeichnis /etc/netboot

Zum Angeben der Konfigurations- und Sicherheitsinformationen erstellen Sie die folgenden Dateien und speichern sie im Verzeichnis /etc/netboot.

• wanboot.conf – Diese Datei bestimmt die Client-Konfigurationsinformationen für eine WAN-Boot-Installation.

• Systemkonfigurationsdatei (system.conf) – Diese Systemkonfigurationsdatei gibt den Speicherort der Client-Datei sysidcfg und der benutzerdefinierten JumpStart-Dateien an.

• keystore – Diese Datei enthält den HMAC SHA1-Hashing-Schlüssel, die 3DES- bzw. AES-Verschlüsselung und den privaten SSL-Schlüssel des Clients.

• truststore – Diese Datei enthält die digitalen Zertifikate der vom Client zu akzeptierenden Zertifikat-Signaturstellen. Diese vertrauenswürdigen Zertifikate weisen den Client an, den Server während der Installation als vertrauenswürdig zu akzeptieren.

• certstore – Diese Datei enthält das digitale Zertifikat des Clients.

  ---

  Hinweis –

  Die Datei certstore muss im Verzeichnis der Client-ID gespeichert sein. Weitere Informationen über Unterverzeichnisse von /etc/netboot finden Sie in Anpassung des Aktionsbereichs der WAN-Boot-Installation.

  ---

Ausführliche Anweisungen zum Erstellen und Speichern dieser Dateien stehen Ihnen in folgenden Abschnitten zur Verfügung:

• So erzeugen Sie die Systemkonfigurationsdatei

• So erzeugen Sie die Datei wanboot.conf

• (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel

• (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung

Freigeben von Konfigurations- und Sicherheitsinformationen im Verzeichnis /etc/netboot

Es besteht die Möglichkeit, dass Sie bei der Installation von Clients in Ihrem Netzwerk dieselben Sicherheits- und Konfigurationsdateien für mehrere Clients oder beispielsweise alle Clients eines Teilnetzes verwenden. Zur Freigabe dieser Dateien können Sie die Konfigurationsinformationen in den Verzeichnissen /etc/netboot/Netz-IP/Client-ID, /etc/netboot/Netz-IP und /etc/netboot bereitstellen. Das Programm wanboot-cgi durchsucht diese Verzeichnisse nach den Konfigurationsinformationen, die am besten auf den jeweiligen Client zutreffen, und verwendet diese Informationen für die Installation.

Das Programm wanboot-cgi sucht in dieser Reihenfolge nach Client-Informationen:

1. /etc/netboot/Netz-IP/Client-ID – Zuerst sucht das Programm wanboot-cgi nach Client-spezifischen Konfigurationsinformationen. Wenn das Verzeichnis /etc/netboot/Netz-IP/Client-ID alle Client-Konfigurationsinformationen enthält, sucht das Programm wanboot-cgi an keiner weiteren Stelle im Verzeichnis /etc/netboot nach Konfigurationsinformationen.

2. /etc/netboot/Netz-IP – Wenn nicht alle erforderlichen Informationen im Verzeichnis /etc/netboot/Netz-IP/Client-ID gefunden werden können, sucht das Programm wanboot-cgi anschließend im Verzeichnis /etc/netboot/Netz-IP nach Teilnetz-Konfigurationsinformationen.

3. /etc/netboot – Wenn die noch ausstehenden Angaben nicht im Verzeichnis /etc/netboot/Netz-IP zu finden sind, sucht das Programm wanboot-cgi dann im Verzeichnis /etc/netboot nach globalen Konfigurationsinformationen.

In Abbildung 12–2 ist dargestellt, wie Sie das Verzeichnis /etc/netboot zum Anpassen von WAN-Boot-Installationen einrichten können.

Abbildung 12–2 Beispiel für das Verzeichnis /etc/netboot

Mit der in Abbildung 12–2 dargestellten Struktur für das Verzeichnis /etc/netboot können Sie die folgenden WAN-Boot-Installationen durchführen.

• Wenn Sie Client 010003BA152A42 installieren, verwendet das Programm wanboot-cgi diese Dateien im Verzeichnis /etc/netboot/192.168.255.0/010003BA152A42:

  • system.conf

  • keystore

  • truststore

  • certstore

  Anschließend verwendet das Programm wanboot-cgi die Datei wanboot.conf im Verzeichnis /etc/netboot/192.168.255.0.

• Wenn Sie einen Client im Teilnetz 192.168.255.0 installieren, verwendet das Programm wanboot-cgi die Dateien wanboot.conf, keystore und truststore im Verzeichnis /etc/netboot/192.168.255.0. Anschließend verwendet das Programm wanboot-cgi die Datei system.conf im Verzeichnis /etc/netboot.

• Wenn Sie einen Client installieren, der sich außerhalb des Teilnetzes 192.168.255.0 befindet, verwendet das Programm wanboot-cgi die folgenden Dateien im Verzeichnis /etc/netboot.

  • wanboot.conf

  • system.conf

  • keystore

  • truststore

Speichern des Programms wanboot-cgi

Das Programm wanboot-cgi überträgt die Daten und Dateien vom WAN-Boot-Server an den Client. Vergewissern Sie sich, dass sich das Programm in einem für den Client zugänglichen Verzeichnis auf dem WAN-Boot-Server befindet. Eine Möglichkeit, das Programm für den Client zugänglich zu machen, besteht darin, es im Verzeichnis cgi-bin des WAN-Boot-Servers zu speichern. Unter Umständen müssen Sie in der Konfiguration Ihrer Webserver-Software festlegen, dass das Programm wanboot-cgi als CGI-Programm verwendet wird. Informationen über die Voraussetzungen für CGI-Programme entnehmen Sie bitte der Dokumentation Ihres Webservers.

Voraussetzungen für digitale Zertifikate

Möchten Sie die WAN-Boot-Installation sicherer gestalten, können Sie mithilfe von digitalen Zertifikaten eine Server- und eine Client-Authentifizierung in den Vorgang einbinden. Auf der Grundlage von digitalen Zertifikaten kann WAN-Boot bei Online-Transaktionen die Identität des Servers oder des Clients feststellen. Digitale Zertifikate werden von einer Zertifizierungsstelle (CA) ausgestellt. Diese Zertifikate enthalten eine Seriennummer, Ablaufdaten, eine Kopie des öffentlichen Schlüssels des Zertifikatinhabers sowie die digitale Signatur der Zertifizierungsstelle.

Wenn Sie möchten, dass sich der Server oder sowohl der Server als auch der Client bei der Installation ausweisen, müssen Sie auf dem Server digitale Zertifikate installieren. Befolgen Sie beim Einsatz von digitalen Zertifikaten bitte diese Richtlinien:

• Bereits vorhandene digitale Zertifikate müssen als Teil einer PKCS#12-Datei (Public-Key Cryptography Standards #12) formatiert sein.

• Wenn Sie eigene Zertifikate erzeugen möchten, müssen Sie sie als PKCS#12-Dateien erstellen.

• Wenn Sie Ihre Zertifikate von externen Zertifizierungsstellen erhalten, fordern Sie sie im PKCS#12-Format an.

Ausführliche Anweisungen zur Verwendung von PKCS#12-Zertifikaten bei der WAN-Boot-Installation finden Sie in (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung.

Sicherheitslücken bei der Arbeit mit WAN-Boot

Es stehen zwar verschiedene Sicherheitsfunktionen für WAN-Boot zur Verfügung, die folgenden potenziellen Sicherheitsrisiken bleiben jedoch trotzdem bestehen:

• Denial of Service (DoS) – Ein DoS-Angriff kann in den verschiedensten Formen erfolgen und hat immer das Ziel, Benutzer am Zugriff auf einen bestimmten Dienst zu hindern. Ein solcher DoS-Angriff kann entweder bewirken, dass ein Netzwerk mit großen Datenmengen überflutet wird oder dass limitierte Ressourcen aggressiv genutzt werden. Andere DoS-Angriffe manipulieren die zwischen den Systemen übertragenen Daten. Das WAN-Boot-Installationsverfahren bietet Servern oder Clients keinen Schutz vor DoS-Angriffen.

• Beschädigte Binärdateien auf Servern – Das WAN-Boot-Installationsverfahren führt vor Beginn der Installation keine Integritätsprüfung der WAN-Boot-Miniroot oder des Solaris Flash-Archivs durch. Vergleichen Sie deshalb vor der Installation die Solaris-Binärdateien mit der Solaris-Fingerabdruckdatenbank unter http://sunsolve.sun.com .

• Datenschutz für Chiffrier- und Hashing-Schlüssel – Wenn Sie WAN-Boot mit Verschlüsselung (Chiffrierschlüsseln) oder einem Hashing-Schlüssel einsetzen, müssen Sie den Schlüsselwert bei der Installation in die Befehlszeile eingeben. Ergreifen Sie die für Ihr Netzwerk erforderlichen Sicherheitsmaßnahmen zur Geheimhaltung dieser Schlüsselwerte.

• Beschädigung des Netzwerk-Namen-Service – Wenn in Ihrem Netzwerk ein Namen-Service verwendet wird, überprüfen Sie vor der WAN-Boot-Installation die Integrität der Namenserver.

Zusammenstellen der Informationen für WAN-Boot-Installationen

Um Ihr Netzwerk für eine WAN-Boot-Installation zu konfigurieren, müssen Sie die verschiedensten Informationen zusammenstellen. Im Rahmen der Vorbereitung einer Installation über das WAN sollten Sie sich diese Angaben notieren.

Zum Aufzeichnen der WAN-Boot-Installationsinformationen für Ihr Netzwerk stehen Ihnen die folgenden Arbeitsblätter zur Verfügung:

• Tabelle 12–2

• Tabelle 12–3

Tabelle 12–2 Arbeitsblatt für die Zusammenstellung von Server-Informationen

Benötigte Information	Anmerkungen
Angaben zum Installationsserver  Pfad zur WAN-Boot-Miniroot auf dem Installationsserver Pfad zu den JumpStart-Dateien auf dem Installationsserver
Angaben zum WAN-Boot-Server  Pfad zum wanboot-Programm auf dem WAN-Boot-Server URL des Programms wanboot-cgi auf dem WAN-Boot-Server Pfad zum Client-Unterverzeichnis in der /etc/netboot-Hierarchie auf dem WAN-Boot-Server (Optional) Dateiname der PKCS#12-Zertifikatdatei (Optional) Host-Namen aller für die WAN-Installation benötigten Systeme außer dem WAN-Boot-Server (Optional) IP-Adresse und TCP-Port-Nummer des Proxy-Servers im Netzwerk
Angaben zu nicht obligatorischen Servern  URL des Skripts bootlog-cgi auf dem Protokollserver IP-Adresse und TCP-Port-Nummer des Proxy-Servers im Netzwerk

Tabelle 12–3 Arbeitsblatt für die Zusammenstellung von Client-Informationen

Information	Anmerkungen
IP-Adresse des Client-Teilnetzes
IP-Adresse des Client-Routers
IP-Adresse des Clients
Client-Teilnetzmaske
Host-Name des Clients
MAC-Adresse des Clients