I det här avsnittet beskrivs systemkraven för att du ska kunna utföra en WAN-start-installation.
Tabell 12–1 Systemkrav för WAN-startinstallationer
System och beskrivning |
Krav |
---|---|
WAN-startserver – WAN-startservern är en webbserver som tillhandahåller wanboot-programmet, konfigurations- och säkerhetsfiler och WAN-startminiroten. |
|
Installationsserver – Installationsservern tillhandahåller Solaris Flash-arkivet och de anpassade JumpStart-filer som krävs för att installera klienten. |
Om installationsservern är en annan dator än WAN-startservern måste installationsservern även uppfylla följande krav.
|
Klientdator – Det fjärrsystem som du vill installera över ett WAN-nätverk. |
|
(Valfritt) DHCP-server – Du kan använda en DHCP-server som tillhandahåller klientkonfigurationsinformation. |
Om du använder en SunOS DHCP-server måste du utföra en av följande åtgärder.
Om DHCP-servern är på ett annat delnät än klienten måste du konfigurera en BOOTP-reläagent. Mer information om hur du konfigurerar en BOOTP-reläagent finns i Kapitel 14, Configuring the DHCP Service (Tasks) i System Administration Guide: IP Services. |
(Valfritt) inloggningsserver – Som standard visas alla start- och installationsloggmeddelanden på klientkonsolen under en WAN-installation. Om du vill att de här meddelandena ska visas på en annan dator kan du ange ett system som fungerar som inloggningsserver. |
Måste vara konfigurerad som en webbserver Obs! – Om du använder HTTPS under installationen måste inloggningsservern vara samma dator som WAN-startservern. |
(Valfritt) Proxyserver – Du kan konfigurera WAN-startfunktionen att använda en HTTP-proxy under hämtningen av installationsdata och installationsfiler. |
Om du använder HTTPS under installation måste proxyservern konfigureras att tunnla HTTPS. |
Webbserverprogramvaran som du använder på WAN-startservern och installationsservern måste uppfylla följande krav.
Operativsystemskrav – Med WAN-start följer ett CGI-program (wanboot-cgi) som konverterar data och filer till ett specifikt format som förväntas av klientdatorn. Om du vill utföra en WAN-startinstallation med de här skripten måste webbserverprogramvaran köras på Solaris 9 12/03 OS eller kompatibel version.
Filstorleksbegränsningar – Webbserverprogramvaran kan begränsa storleken på filerna som kan skickas över HTTP. Kontrollera i dokumentationen för webbservern om du vill försäkra dig om att programvaran kan överföra filer som har samma storlek som Solaris Flash-arkivet.
SSL-stöd – Om du vill använda HTTPS i WAN-startinstallationen måste webbserverprogramvaran innehålla stöd för SSL version 3.
Du kan anpassa konfigurationen för de servrar som måste uppfylla de krav WAN-start ställer på nätverket. Du kan låta en dator vara värd för alla servrarna eller placera dem på flera datorer.
En server – Om du vill centralisera WAN-startdata och filer på en dator kan du låta samma dator vara värd för alla servrarna. Du kan administrera olika servrar på ett system och du behöver bara konfigurera ett system som webbserver. Emellertid kanske det inte räcker med en server för att klara den trafikvolym som krävs för ett stort antal samtidiga WAN-startinstallationer.
Flera servrar – Om du vill distribuera installationsdata och installationsfiler över nätverket kan du låta flera datorer vara värdar för de olika servrarna. Du kan konfigurera en central WAN-startserver och flera installationsservrar att vara värdar för Solaris Flash-arkiv över nätverket. Om installationsservern och inloggningsservern finns på olika datorer måste du konfigurera servrarna som webbservrar.
Programmet wanboot-cgi överför följande filer under en WAN-startinstallation.
Programmet wanboot
WAN-startminiroten
Anpassade JumpStart-filer
Solaris Flash-arkiv
Om du vill aktivera överföringen av de här filerna med programmet wanboot-cgi måste du lagra de här filerna i en katalog som webbserverprogramvaran har åtkomst till. Ett sätt att göra de här filerna åtkomliga är att placera dem i dokumentroten på webbservern.
Dokumentroten, eller den primära dokumentkatalogen, är den katalog på webbservern där du lagrar filer som du vill göra tillgängliga för klienter. Du kan namnge och konfigurera den här katalogen i webbserverprogramvaran. Information om hur du konfigurerar dokumentrotkatalogen på webbservern finns i dokumentationen.
Om du vill kan du skapa olika underkataloger i dokumentrotkatalogen där du lagrar olika installations- och konfigurationsfiler. Du kanske vill skapa specifika underkataloger för varje grupp av klienter som ska installeras. Om du tänker installera flera olika versioner av Solaris OS på nätverket kan du skapa underkataloger för varje version.
Figur 12–1 visar en grundläggande exempelstruktur för en dokumentrotkatalog. I det här exemplet finns WAN-startservern och installationsservern på samma dator. På servern körs webbservern Apache.
I det här exemplet på dokumentkatalog används följande struktur.
Katalogen /opt/apache/htdocs är dokumentrotkatalog.
WAN-startminirotkatalogen (miniroot) innehåller WAN-startminiroten.
Solaris Flash-katalogen (flash) innehåller de anpassade JumpStart-filer som krävs för att installera klienten och underkatalogen archives. Katalogen archives innehåller Solaris 10 Flash-arkivet.
Om WAN-startservern och installationsservern finns på olika datorer kan du lagra flash-katalogen på installationsservern. Se till att WAN-startservern kan komma åt de här filerna och katalogerna.
Information om hur du skapar dokumentrotkatalogen finns i dokumentationen för webbservern. Detaljerade instruktioner för hur du skapar och lagrar de här installationsfilerna finns i Skapa de anpassade JumpStart-installationsfilerna.
Katalogen /etc/netboot innehåller den konfigurationsinformation, de privata nycklar, digitala certifikat och den certifikatmyndighet (CA) som krävs för en WAN-startinstallation. I det här avsnittet beskrivs de filer och kataloger som du kan skapa i katalogen /etc/netboot för att anpassa WAN-startinstallationen.
Under installationen söker programmet wanboot-cgi efter klientinformation i katalogen /etc/netboot på WAN-startservern. Programmet wanboot-cgi konverterar den här informationen till WAN-startfilsystemet och överför sedan filsystemet till klienten. Du kan skapa underkataloger i katalogen /etc/netboot om du vill anpassa WAN-startinstallationens omfång. Använd följande katalogstruktur för att definiera hur konfigurationsinformation delas mellan de klienter som du vill installera.
Global konfiguration – Om du vill att alla klienter på nätverket ska dela konfigurationsinformation lagrar du filerna som du vill dela i katalogen /etc/netboot.
Nätverksspecifik konfiguration – Om du vill att endast datorer på ett specifikt delnät ska dela konfigurationsinformation, lagrar du de konfigurationsfiler som du vill dela i en underkatalog till /etc/netboot. Se till att underkatalogen följer den här namnkonventionen.
/etc/netboot/nät-ip |
I det här exemplet är nät-IP IP-adressen för klientens delnät. Om du till exempel vill att alla system på delnätet med IP-adressen 192.168.255.0 ska dela konfigurationsfiler skapar du en katalog som heter /etc/netboot/192.168.255.0. Lagra sedan konfigurationsfilerna i den här katalogen.
Klientspecifik konfiguration – Om du vill att bara en viss klient ska använda startfilsystemet så lagrar du filsystemfilerna i en underkatalog till /etc/netboot. Se till att underkatalogen följer den här namnkonventionen.
/etc/netboot/nät-ip/klient-ID |
I det här exemplet är nät-IP IP-adressen för delnätet. klient-ID är antingen det klient-ID som tilldelats av DHCP-servern eller ett användardefinierat klient-ID. Om du till exempel vill att ett system med klient-ID 010003BA152A42 på delnätet 192.168.255.0 ska använda vissa specifika konfigurationsfiler, skapar du en katalog som heter /etc/netboot/192.168.255.0/010003BA152A42. Lagra sedan de filerna i den här katalogen.
Du anger säkerhets- och konfigurationsinformation genom att skapa följande filer och lagra dem i katalogen /etc/netboot.
wanboot.conf – Den här filen anger klientkonfigurationsinformationen för en WAN-startinstallation.
Systemkonfigurationsfil (system.conf) – Den här systemkonfigurationsfilen anger platsen för klientens sysidcfg-fil och anpassade JumpStart-filer.
keystore – Den här filen innehåller klientens HMAC SHA1-hashningsnyckel, 3DES- eller AES-krypteringsnyckel och privat SSL-nyckel.
truststore – Den här filen innehåller digitala certifikat från de certifikatmyndigheter (CA) som är betrodda av klienten. De här betrodda certifikaten instruerar klienten att servern är tillförlitlig under installationen.
certstore – Den här filen innehåller klientens digitala certifikat.
Filen certstore måste finnas i klientens ID-katalog. Mer information om underkatalogerna i katalogen /etc/netboot finns i Anpassa WAN-startinstallationens omfång.
Detaljerade instruktioner för hur du skapar och lagrar de här filerna finns i följande procedurer.
(Valfritt) Så här skapar du en hashningsnyckel och en krypteringsnyckel
(Valfritt) Så här använder du digitala certifikat för server- och klientautentisering
Om du vill installera klienter på nätverket kan du dela säkerhets- och konfigurationsfiler mellan olika klienter och över hela delnät. Du kan dela de här filerna genom att distribuera konfigurationsinformationen i hela katalogerna /etc/netboot/nät-ip/klient-ID, /etc/netboot/nät-ip och /etc/netboot. Programmet wanboot-cgi söker efter den konfigurationsinformation som passar klienten bäst i de här katalogerna och använder informationen under installationen.
Programmet wanboot-cgi söker efter klientinformation i följande ordning:
/etc/netboot/nät-ip/klient-ID – Programmet wanboot-cgi söker först efter konfigurationsinformation som är specifik för klientdatorn. Om katalogen /etc/netboot/nät-ip/klient-ID innehåller all klientkonfigurationsinformation, söker inte programmet wanboot-cgi efter konfigurationsinformation någon annanstans i katalogen /etc/netboot.
/etc/netboot/nät-ip – Om all information som krävs inte finns i katalogen /etc/netboot/nät-ip/klient-ID söker programmet wanboot-cgi efter konfigurationsinformation för delnätet i katalogen /etc/netboot/nät-ip.
/etc/netboot – Om den återstående informationen inte finns i katalogen /etc/netboot/nät-ip söker programmet wanboot-cgi efter global konfigurationsinformation i katalogen /etc/netboot.
Figur 12–2 visar hur du kan anpassa WAN-startinstallationer genom att konfigurera katalogen /etc/netboot.
Med layouten av katalogen /etc/netboot i Figur 12–2 kan du utföra följande WAN-startinstallationer.
När du installerar klienten 010003BA152A42 använder programmet wanboot-cgi följande filer i katalogen /etc/netboot/192.168.255.0/010003BA152A42.
system.conf
keystore
truststore
certstore
Programmet wanboot-cgi använder sedan filen wanboot.conf i katalogen /etc/netboot/192.168.255.0.
När du installerar en klient på delnätet 192.168.255.0 använder programmet wanboot-cgi filerna wanboot.conf, keystore och truststore i katalogen /etc/netboot/192.168.255.0. Programmet wanboot-cgi använder sedan filen system.conf i katalogen /etc/netboot.
När du installerar en klientdator som inte finns på delnätet 192.168.255.0 använder programmet wanboot-cgi följande filer i katalogen /etc/netboot.
wanboot.conf
system.conf
keystore
truststore
Programmet wanboot-cgi överför data och filer från WAN-startservern till klienten. Du måste kontrollera att det här programmet finns i en katalog på WAN-startservern som är åtkomlig för klienten. Ett sätt att göra programmet åtkomligt för klienten är att lagra det i katalogen cgi-bin på WAN-startservern. Du kan vara tvungen att konfigurera webbserverprogramvaran att använda programmet wanboot-cgi som ett CGI-program. Information om kraven för CGI-program finns i dokumentationen för webbservern.
Om du vill öka säkerheten för WAN-startinstallationen kan du använda digitala certifikat och aktivera server- och klientautentisering. Genom att använda digitala certifikat kan WAN-start kontrollera serverns eller klientens identitet under en onlinetransaktion. Digitala certifikat utfärdas av en certifikatmyndighet (CA). Certifikaten innehåller ett serienummer, förfallodatum, en kopia av certifikatsinnehavarens offentliga nyckel och certifikatmyndighetens (CA) digitala signatur.
Om du vill att serverautentisering eller både klient- och serverautentisering ska krävas under installationen måste du installera digitala certifikat på servern. Följ de här riktlinjerna när du använder digitala certifikat.
Om du vill använda digitala certifikat måste de vara formaterade som en del av en PKCS#12-fil (Public-Key Cryptography Standards #12).
Om du skapar egna certifikat måste de skapas som PKCS#12-filer.
Om du tar emot certifikat från en fristående certifikatmyndighet (CA) ska du begära att få dem i PKCS#12-format.
Detaljerade instruktioner om hur du använder PKCS#12-certifikat i WAN-startinstallationer finns i (Valfritt) Så här använder du digitala certifikat för server- och klientautentisering.