이 장에서는 WAN 부트 설치 방법에 대해 개괄적으로 설명합니다. 이 장은 다음 내용으로 구성되어 있습니다.
WAN 부트 설치 방법을 사용하면 HTTP를 사용하여 WAN(wide area network)을 통해 소프트웨어를 부트하고 설치할 수 있습니다. WAN 부트을 사용하여 네트워크 인프라의 신뢰도가 의심되는 대형 공용 네트워크를 통하여 SPARC 기반 시스템에 Solaris OS를 설치할 수 있습니다. WAN 부트를 보안 기능과 함께 사용하여 데이터 기밀 및 설치 이미지 무결성을 보호할 수 있습니다.
WAN 부트 설치 방법을 사용하면 공용 네트워크를 통해 암호화된 Solaris Flash 아카이브를 원격 SPARC 기반 클라이언트로 전송할 수 있습니다. 그런 다음 WAN 부트 프로그램은 사용자 정의 JumpStart를 설치하여 해당 클라이언트 시스템을 설치합니다. 설치 무결성을 보호하기 위해 개인 키를 사용하여 데이터를 인증하고 암호화할 수 있습니다. 시스템에서 디지털 인증서를 사용하도록 구성하여 보안 HTTP 연결을 통해 설치 데이터와 파일을 전송할 수도 있습니다.
WAN 부트를 설치하려면 HTTP나 보안 HTTP 연결을 통해 웹 서버에서 다음 정보를 다운로드하여 SPARC 기반 시스템을 설치합니다.
wanboot 프로그램 – wanboot 프로그램은 WAN 부트 미니루트, 클라이언트 구성 파일 및 설치 파일을 로드하는 두 번째 수준의 부트 프로그램입니다. wanboot 프로그램은 ufsboot 또는 inetboot 두 번째 수준의 부트 프로그램에서 수행하는 작업과 유사한 작업을 수행합니다.
WAN 부트 파일 시스템 – WAN 부트는 여러 다른 파일을 사용하여 클라이언트를 구성하고 데이터를 검색하여 클라이언트 시스템을 설치합니다. 이러한 파일은 웹 서버의 /etc/netboot 디렉토리에 있습니다. wanboot-cgi 프로그램은 WAN 부트 파일 시스템이라는 파일 시스템으로 이러한 파일을 클라이언트에 전송합니다.
WAN 부트 미니루트 – WAN 부트 미니루트는 WAN 부트를 설치하기 위해 수정된 Solaris 미니루트 버전입니다. WAN 부트 미니루트에는 Solaris 미니루트와 같이 Solaris 환경을 설치하기에 적합한 정도의 소프트웨어와 커널이 들어 있습니다. WAN 부트 미니루트에는 Solaris 미니루트에 있는 소프트웨어의 일부가 들어 있습니다.
사용자 정의 JumpStart 구성 파일 – 시스템을 설치하기 위해 WAN 부트는 sysidcfg, rules.ok 및 프로필 파일을 클라이언트에게 전송합니다. 그런 다음 WAN 부트는 이 파일을 사용하여 해당 클라이언트 시스템에 사용자 정의 JumpStart를 설치합니다.
Solaris Flash 아카이브 – Solaris Flash 아카이브는 마스터 시스템에서 복사해 온 파일의 모음입니다. 그런 다음 이 아카이브를 사용하여 클라이언트 시스템을 설치할 수 있습니다. WAN 부트는 사용자 정의 JumpStart 설치 방법을 사용하여 해당 클라이언트 시스템에 Solaris Flash 아카이브를 설치합니다. 클라이언트 시스템에 아카이브를 설치하면 해당 시스템이 마스터 시스템의 정확한 구성을 갖게 됩니다.
그런 다음 JumpStart 설치 방법을 사용하여 해당 클라이언트에 아카이브를 설치합니다.
키와 디지털 인증서를 사용하여 앞서 나열한 정보의 전송을 보호할 수 있습니다.
WAN 부트 설치의 이벤트 순서에 대한 자세한 설명은 WAN 부트 작업 방법(개요) 를 참조하십시오.
WAN 부트 설치 방법을 사용하면 지리적으로 원거리에 위치한 SPARC 기반 시스템을 설치할 수 있습니다. WAN 부트를 사용하여 공용 네트워크를 통해서만 액세스할 수 있는 원격 서버나 클라이언트를 설치하려 할 수도 있습니다.
근거리 통신망(LAN)에 있는 시스템을 설치하려는 경우 WAN 부트 설치 방법은 보다 세심한 구성과 관리를 필요로 합니다. LAN을 통해 시스템을 설치하는 방법에 대한 자세한 내용은 7 장, 네트워크에서 설치 준비(개요)를 참조하십시오.
WAN 부트는 원격 SPARC 기반 클라이언트를 설치하기 위해 서버, 구성 파일, CGI(Common Gateway Interface) 프로그램 및 설치 파일을 조합하여 사용합니다. 이 절에서는 WAN 부트 설치 시의 일반적인 이벤트 순서에 대해 설명합니다.
그림 11–1은 WAN 부트 설치의 기본 이벤트 시퀀스를 보여줍니다. 이 그림에서 SPARC 기반 클라이언트는 WAN을 통해 웹 서버 및 설치 서버에서 구성 데이터와 설치 파일을 검색합니다.
다음 중 한 가지 방법을 사용하여 해당 클라이언트를 부트합니다.
OBP(Open Boot PROM)에서 네트워크 인터페이스 변수를 설정하여 네트워크에서 부트합니다.
DHCP 옵션을 사용하여 네트워크에서 부트합니다.
로컬 CD-ROM에서 부트합니다.
클라이언트 OBP는 다음 중 하나의 소스로부터 구성 정보를 얻습니다.
사용자가 명령줄에 입력한 부트 인자 값에서
네트워크에서 DHCP를 사용하는 경우 해당 DHCP 서버에서
클라이언트 OBP는 WAN 부트 두 번째 수준의 부트 프로그램(wanboot)을 요청합니다.
클라이언트 OBP는 다음 소스로부터 wanboot 프로그램을 다운로드합니다.
WAN 부트 서버라는 특수 웹 서버에서 HTTP(Hyper Text Transfer Protocol)를 사용하여
로컬 CD-ROM에서(그림에는 표시되지 않음)
wanboot 프로그램은 WAN 부트 서버에 클라이언트 구성 정보를 요청합니다.
wanboot 프로그램은 WAN 부트 서버의 wanboot-cgi 프로그램에서 전송된 구성 파일을 다운로드합니다. 구성 파일은 WAN 부트 파일 시스템으로 해당 클라이언트에게 전송됩니다.
wanboot 프로그램은 WAN 부트 서버에 WAN 부트 미니루트의 다운로드를 요청합니다.
wanboot 프로그램은 HTTP나 보안 HTTP를 사용하여 WAN 부트 서버에서 WAN 부트 미니루트를 다운로드합니다.
wanboot 프로그램은 WAN 부트 미니루트에서 UNIX 커널을 로드하여 실행합니다.
UNIX 커널은 Solaris 설치 프로그램에서 사용할 WAN 부트 파일 시스템을 찾아 마운트합니다.
설치 프로그램은 설치 서버에 Solaris Flash 아카이브와 사용자 정의 JumpStart 파일을 다운로드할 것을 요청합니다.
설치 프로그램은 HTTP 또는 HTTPS 연결을 통해 아카이브 및 사용자 정의 JumpStart 파일을 다운로드합니다.
설치 프로그램은 사용자 정의 JumpStart 설치를 수행하여 해당 클라이언트에 Solaris Flash 아카이브를 설치합니다.
WAN 부트 설치 방법에서는 설치하는 동안 해싱 키, 암호 키 및 디지털 인증서를 사용하여 시스템 데이터를 보호할 수 있습니다. 이 절에서는 WAN 부트 설치 방법에서 지원하는 다양한 데이터 보호 방법에 대해 간단히 설명합니다.
WAN 부트 서버에서 클라이언트로 전송하는 데이터를 보호하기 위해 HMAC(해시된 메시지 인증 코드) 키를 생성할 수 있습니다. 해싱 키를 WAN 부트 서버와 클라이언트 모두에 설치합니다. WAN 부트 서버는 이 키를 사용하여 해당 클라이언트로 전송할 데이터에 서명합니다. 그런 다음 클라이언트는 이 키를 사용하여 WAN 부트 서버에서 전송된 데이터의 무결성을 확인합니다. 클라이언트에 해싱 키를 설치하면 해당 클라이언트는 나중에 이 키를 사용하여 WAN 부트를 설치합니다.
해싱 키를 사용하는 방법에 대한 자세한 설명은 (선택 사항) 해싱 키 및 암호 키 만들기를 참조하십시오.
WAN 부트 설치 방법을 사용하면 WAN 부트 서버에서 클라이언트로 전송하는 데이터를 암호화할 수 있습니다. WAN 부트 유틸리티를 사용하여 3DES(Triple Data Encryption Standard) 또는 AES(Advanced Encryption Standard) 암호 키를 만들 수 있습니다. 그런 다음 WAN 부트 서버와 해당 클라이언트 모두에 이 키를 제공할 수 있습니다. WAN 부트는 이 암호 키를 사용하여 WAN 부트 서버에서 클라이언트로 전송된 데이터를 암호화합니다. 그러면 해당 클라이언트는 이 키를 사용하여 설치하는 동안 암호화되어 전송된 구성 파일과 보안 파일을 해독할 수 있습니다.
일단 암호 키를 클라이언트에 설치하면 해당 클라이언트는 나중에 이 키를 사용하여 WAN 부트를 설치합니다.
사용자 사이트에서 암호 키 사용을 허용하지 않을 수 있습니다. 사이트에서 암호화 허용 여부를 확인하려면 해당 사이트의 보안 관리자에게 문의하십시오. 사이트에서 암호화를 허용하는 경우에는 사용해야 할 암호 키 유형(3DES 또는 AES)을 보안 관리자에게 문의합니다.
암호 키를 사용하는 방법에 대한 자세한 내용은 (선택 사항) 해싱 키 및 암호 키 만들기를 참조하십시오.
WAN 부트는 WAN 부트 서버와 클라이언트 간 데이터 전송을 위한 Secure Sockets Layer(HTTPS)를 통한 HTTP 사용을 지원합니다. 설치하는 동안 HTTPS를 사용하여 서버 또는 서버와 클라이언트 모두에 자가 인증을 요구할 수 있습니다. 또한 HTTPS는 설치동안 서버에서 클라이언트로 전송된 데이터를 암호화합니다.
HTTPS는 디지털 인증서를 사용하여 네트워크를 통해 데이터를 교환하는 시스템을 인증합니다. 디지털 인증서는 온라인 통신 도중 서버나 클라이언트 같은 시스템을 신뢰할 수 있는 시스템으로 확인하는 파일입니다. 외부 인증 기관으로부터 디지털 인증서를 요청하거나 사용자 고유 인증서 및 인증 기관을 만들 수 있습니다.
클라이언트가 서버를 신뢰하여 서버로부터 데이터를 받아들이게 하려면 해당 서버에 디지털 인증서를 설치해야 합니다. 그런 다음 해당 클라이언트에게 이 인증서를 신뢰할 것을 지시합니다. 또한 해당 클라이언트에게 디지털 인증서를 제공하여 클라이언트의 자가 인증을 요구할 수 있습니다. 그런 다음 해당 서버에 지시하여 설치하는 동안 클라이언트가 인증서를 제시하면 인증서 서명자를 수락하도록 할 수 있습니다.
설치하는 동안 디지털 인증서를 사용하려면 웹 서버가 HTTPS를 사용하도록 구성해야 합니다. HTTPS 사용 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.
WAN 부트 설치하는 동안 디지털 인증서를 사용하기 위한 요구 사항은 디지털 인증서 요구 사항을 참조하십시오. WAN 부트 설치에서 디지털 인증서를 사용하는 방법은 (선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용을 참조하십시오.
WAN 부트는 다양한 보안 수준을 지원합니다. WAN 부트에서 지원하는 보안 기능 조합을 사용하여 네트워크의 요구를 충족시킬 수 있습니다. 보다 안전한 구성을 위해서는 보다 많은 관리가 필요하지만 더 많은 시스템 데이터를 보호하는 것도 포함됩니다. 중요도가 높은 중요 시스템 또는 공용 네트워크를 통하여 설치하려는 시스템에 대하여 보안 WAN 부트 설치 구성의 구성을 선택할 수 있습니다. 중요도가 낮은 시스템이나 일부 개인 네트워크에 있는 시스템의 경우 비보안 WAN 부트 설치 구성에 설명된 구성을 고려하십시오.
이 절에서는 사용자 WAN 부트 설치를 위해 보안 수준을 설정할 때 사용할 수 있는 다양한 구성에 대해 간단히 설명합니다. 또한 이 절에서는 이러한 구성에 필요한 보안 메커니즘에 대해 설명합니다.
이 구성을 사용하면 서버와 클라이언트 간에 교환된 데이터의 무결성을 보호하고 교환된 내용을 기밀로 유지할 수 있습니다. 이 구성은 HTTPS 연결을 사용하며 3DES나 AES 알고리즘 중 하나를 사용하여 클라이언트 구성 파일을 암호화합니다. 또한 이 구성은 설치하는 동안 해당 서버에 해당 클라이언트에 대해 자가 인증할 것을 요구합니다. 보안 WAN 부트를 설치하는 동안에는 다음 보안 기능이 필요합니다.
WAN 부트 서버 및 설치 서버에서 사용 가능한 HTTPS
WAN 부트 서버 및 클라이언트의 HMAC SHA1 해싱 키
WAN 부트 서버 및 클라이언트의 3DES 또는 AES 암호 키
WAN 부트 서버에 대한 인증 기관의 디지털 인증서
또한 설치하는 동안 클라이언트 인증을 요구하려면 다음 보안 기능도 사용해야 합니다.
WAN 부트 서버에 대한 개인 키
클라이언트에 대한 디지털 인증서
이 구성을 사용한 설치에서 필요한 작업 목록은 표 13–1을 참조하십시오.
이 보안 구성을 사용하면 관리 요구 사항은 최소한으로 적어지지만 웹 서버에서 클라이언트로 데이터 전송시 가장 불안전합니다. 해싱 키, 암호 키 또는 디지털 인증서를 만들지 않아도 됩니다. 웹 서버가 HTTPS를 사용하도록 구성할 필요가 없습니다. 하지만 이 구성에서는 HTTP 연결을 통해 설치 데이터와 파일을 전송하므로 설치하는 동안 네트워크를 통한 인터셉트에 취약하게 됩니다.
해당 클라이언트가 전송된 데이터의 무결성을 검사하도록 하려면 이 구성에 HMAC SHA1 해싱 키를 함께 사용할 수 있습니다. 하지만 해싱 키로 Solaris Flash 아카이브를 보호할 수는 없습니다. 설치하는 동안 서버와 클라이언트 간에 아카이브가 비보안 상태로 전송됩니다.
이 구성을 사용한 설치에서 필요한 작업 목록은 표 13–2를 참조하십시오.