Capitolo 10 Preparazione all'installazione con il metodo boot WAN (procedure)

Questo capitolo descrive come preparare la rete per l'installazione con il metodo boot WAN. Gli argomenti trattati sono i seguenti.

• Requisiti e linee guida di boot WAN

• Limitazioni alla sicurezza di boot WAN

• Raccolta delle informazioni per le installazioni boot WAN

Requisiti e linee guida di boot WAN

Questa sezione descrive i requisiti di sistema per eseguire un'installazione boot WAN.

Tabella 10–1 Requisiti di sistema per l'installazione boot WAN

Sistema e descrizione	Requisiti
Server di boot WAN – Il server di boot WAN è un server Web che fornisce il programma wanboot, i file di configurazione e sicurezza e la miniroot di boot da WAN.	Sistema operativo – Solaris 9 12/03 o versione compatibile Deve essere configurato come server Web Il software del server Web deve supportare HTTP 1.1 Per usare i certificati digitali, il server Web deve supportare HTTPS
Server di installazione – Il server di installazione fornisce l'archivio Solaris Flash e i file dell'installazione JumpStart personalizzata richiesti per installare il client.	Spazio su disco disponibile – spazio per ogni archivio Solaris Flash Unità supporti – unità CD-ROM o DVD-ROM Sistema operativo – Solaris 9 12/03 o versione compatibile Se il server di installazione è un sistema diverso dal server di boot WAN, deve soddisfare i seguenti requisiti addizionali.   Deve essere configurato come server Web Il software del server Web deve supportare HTTP 1.1 Per usare i certificati digitali, il server Web deve supportare HTTPS
Sistema client – Il sistema remoto da installare in una WAN	Memoria - 512 Mbyte di RAM CPU – processore UltraSPARC II (requisito minimo) Disco – Almeno 2 Gbyte OBP – PROM abilitata al boot da WAN Se il client non dispone della PROM adeguata, deve disporre di un'unità CD-ROM. Per determinare se la PROM del client è abilitata al boot da WAN, vedere Controllare il supporto del boot WAN da parte della OBP del client.
(Opzionale) server DHCP – Per fornire le informazioni di configurazione al client si può utilizzare un server DHCP.	Se si usa un server DHCP SunOS, occorre eseguire una delle seguenti attività:  Aggiornare il server a server EDHCP. Rinominare le opzioni del fornitore Sun in modo da soddisfare il limite di otto caratteri. Per maggiori informazioni sulle opzioni Sun specifiche per l'installazione WAN, vedere (Opzionale) Fornitura delle informazioni di configurazione con un server DHCP. Se il server DHCP si trova su una sottorete diversa rispetto al client, occorre configurare un agente di relay BOOTP. Per maggiori informazioni sull'argomento, vedere il Capitolo 16, Configuring the DHCP Service (Tasks) del System Administration Guide: IP Services.
(Opzionale) server di log – Per impostazione predefinita, tutti i messaggi di log di boot e installazione vengono visualizzati sulla console del client durante l'installazione WAN. Per visualizzare i messaggi su un altro sistema, specificare il sistema che dovrà fungere da server di log.	Deve essere configurato come server Web  Nota – Se durante l'installazione si usa HTTPS, il server di log deve essere lo stesso sistema del server di boot WAN.
(Opzionale) Server proxy – La funzione di boot da WAN può essere configurata in modo da utilizzare un proxy HTTP durante il download dei dati e dei file di installazione.	Se l'installazione usa HTTPS, il server proxy deve essere configurato per il tunnel HTTPS.

Requisiti e linee guida del server Web

Il server Web utilizzato sul server di boot WAN e sul server di installazione deve soddisfare i seguenti requisiti:

• Requisiti del sistema operativo – Il metodo boot WAN fornisce un programma CGI (Common Gateway Interface) (wanboot-cgi) che converte dati e file in un formato specifico previsto dal sistema client. Per eseguire un'installazione boot WAN con questi script, il server Web deve essere eseguito sul sistema operativo Solaris 9 12/03 o su una versione compatibile.

• Limiti delle dimensioni dei file – Il server Web può limitare le dimensioni dei file che è possibile trasmettere su HTTP. Controllare la documentazione del server Web per assicurarsi che il software sia in grado di trasmettere file delle dimensioni di un archivio Solaris Flash.

  ---

  Nota –

  Il comando flarcreate non ha più limitazioni relative alla dimensione massima dei singoli file. È possibile creare un archivio Solaris Flash che contenga file di dimensioni superiori a 4 Gbyte.

  Per maggiori informazioni, vedere Creazione di un archivio che contiene file di grandi dimensioni del Guida all’installazione di Solaris 10 11/06: archivi Solaris Flash (creazione e installazione).

  ---

• Supporto SSL – Per usare HTTPS nell'installazione boot WAN, il server Web deve supportare SSL versione 3.

Opzioni di configurazione del server

La configurazione dei server richiesti dal boot WAN è impostabile in base alle singole esigenze della rete. Tutti i server possono essere ospitati su un unico sistema oppure distribuiti su più sistemi.

• Server singolo – Se si desidera centralizzare i dati e i file di boot WAN su un unico sistema, occorre ospitare tutti i server sulla stessa macchina. In questo caso, è possibile amministrare tutti i server da un unico sistema e si deve configurare un solo sistema come server Web. Tuttavia, un singolo server potrebbe non essere in grado di supportare il volume di traffico richiesto per un alto numero di installazioni boot WAN simultanee.

• Server multipli – Se si intende distribuire i dati e i file di installazione in rete, è possibile ospitare i server su più macchine. In questo caso, si può impostare un server di boot WAN centrale e configurare più server di installazione per ospitare gli archivi Solaris Flash in rete. Qualora si allochino il server di installazione e il server di log su macchine indipendenti, occorre configurarli come server Web.

Memorizzazione dei file di installazione e configurazione nella directory radice dei documenti

Il programma wanboot-cgi trasmette i seguenti file durante l'installazione boot WAN.

• Programma wanboot

• Miniroot di boot WAN

• File dell'installazione JumpStart personalizzata

• Archivio Solaris Flash

Per abilitare il programma wanboot-cgi alla trasmissione di questi file, è necessario memorizzarli in una directory accessibile al server Web. Un sistema per rendere accessibili questi file è di collocarli nella directory radice dei documenti del server Web.

La directory radice dei documenti, o directory principale dei documenti, è la posizione del server Web in cui memorizzare i file da rendere disponibili ai client. Il server Web permette di assegnare un nome alla directory e di configurarla. Per maggiori informazioni sull'impostazione della directory radice dei documenti sul server Web, consultare la relativa documentazione.

All'interno di questa directory si possono creare diverse sottodirectory in cui memorizzare i vari file di installazione e configurazione. Ad esempio, è possibile creare sottodirectory specifiche per ogni gruppo di client da installare. Se si prevede di installare in rete diverse versioni di Solaris, occorre creare delle sottodirectory per ciascuna versione.

La Figura 10–1 illustra un esempio di struttura di base di questo tipo di directory. Nell'esempio, il server di boot WAN e il server di installazione si trovano sulla stessa macchina. Il server esegue il server Web Apache.

Figura 10–1 Esempio di struttura per la directory radice dei documenti

Questo esempio di directory dei documenti usa la seguente struttura:

• La directory /opt/apache/htdocs è la directory radice dei documenti.

• La directory miniroot contiene la miniroot di boot WAN.

• La directory wanboot contiene il programma wanboot.

• La directory di Solaris Flash (flash) contiene i file di installazione JumpStart personalizzata richiesti per l'installazione del client e la sottodirectory archives. La directory archives contiene l'archivio Solaris 10 11/06 Flash.

---

Nota –

Se il server di boot WAN e il server di installazione sono sistemi diversi, memorizzare la directory flash sul server di installazione. Accertarsi che file e directory siano accessibili al server di boot WAN.

---

Per informazioni sulla creazione della directory radice dei documenti, vedere la documentazione del server Web. Per istruzioni in dettaglio su come creare e memorizzare i file di installazione, vedere Creazione dei file dell'installazione JumpStart personalizzata.

Memorizzazione delle informazioni di configurazione e sicurezza nella struttura gerarchica /etc/netboot

La directory /etc/netboot contiene le informazioni di configurazione, la chiave privata, il certificato digitale e l'autorità di certificazione richiesti per l'installazione boot WAN. Questa sezione descrive i file e le directory da creare nella directory /etc/netboot per personalizzare l'installazione boot WAN.

Personalizzazione dell'installazione boot WAN

Durante l'installazione, il programma wanboot-cgi ricerca le informazioni del client nella directory /etc/netboot sul server di boot WAN. Il programma wanboot-cgi converte quindi tali informazioni nel file system di boot WAN e lo trasmette al client. Per personalizzare l'installazione WAN è possibile creare delle sottodirectory nella directory /etc/netboot. Usare la struttura di directory seguente per definire le modalità di condivisione delle informazioni di configurazione tra i client da installare:

• Configurazione globale – Se si desidera che tutti i client della rete condividano le informazioni di configurazione, memorizzare i file da condividere nella directory /etc/netboot.

• Configurazione specifica della rete – Se si desidera che solo le macchine di una sottorete specifica condividano le informazioni di configurazione, memorizzare i file di configurazione da condividere in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:

  /etc/netboot/ip-sottorete

  In questo esempio, ip-sottorete è l'indirizzo IP della sottorete del client. Ad esempio, se si desidera installare tutti i sottosistemi sulla sottorete con indirizzo IP 192.168.255.0 per condividere i file di configurazione, creare una directory /etc/netboot/192.168.255.0, quindi memorizzarvi i file di configurazione.

• Configurazioni specifiche per un client – Per far sì che solo un client specifico utilizzi il file system di boot, memorizzare quest'ultimo in una sottodirectory di /etc/netboot. La sottodirectory deve seguire la seguente convenzione di denominazione:

  /etc/netboot/ip-sottorete/ID-client

  In questo esempio, ip-sottorete è l'indirizzo IP della sottorete. ID-client è l'ID del client assegnatogli dal server DHCP o l'ID di un client specifico. Ad esempio, se si desidera che il sistema con ID client 010003BA152A42 della sottorete 192.168.255.0 utilizzi file di configurazione specifici, creare una directory /etc/netboot/192.168.255.0/010003BA152A42, quindi memorizzarvi i file appropriati.

Specifica delle informazioni di configurazione e sicurezza nella directory /etc/netboot

Per specificare le informazioni di configurazione e sicurezza, creare i seguenti file e memorizzarli nella directory /etc/netboot.

• wanboot.conf – Questo file specifica le informazioni di configurazione del client per l'installazione boot WAN.

• File di configurazione del sistema (system.conf) – Questo file specifica l'ubicazione del file sysidcfg dei client e i file dell'installazione JumpStart personalizzata.

• keystore – Questo file contiene la chiave di hashing HMAC SHA, la chiave di cifratura 3DES o AES e la chiave privata SSL.

• truststore – Questo file contiene i certificati digitali delle autorità firmatarie dei certificati che il client dovrà ritenere fidati. Questi certificati istruiscono il client di ritenere fidato il server durante l'installazione.

• certstore – Questo file contiene il certificato digitale del client.

  ---

  Nota –

  Il file certstore deve essere ubicato nella directory dell'ID del client. Vedere Personalizzazione dell'installazione boot WAN per maggiori informazioni sulle sottodirectory di /etc/netboot.

  ---

Per istruzioni in dettaglio su come creare e memorizzare i file di installazione, vedere le procedure seguenti.

• Creare il file di configurazione del sistema

• Creare il file wanboot.conf

• (Opzionale) Creare una chiave di hashing e una chiave di cifratura

• (Opzionale) Usare i certificati digitali per l'autenticazione di client e server

Condivisione delle informazioni di configurazione e sicurezza nella directory /etc/netboot

Per installare i client in rete, occorre condividere i file di configurazione e sicurezza tra diversi clienti o su intere sottoreti. Per condividere i file, si procede distribuendo le informazioni di configurazione nelle directory /etc/netboot/ip-sottorete/ID-client, /etc/netboot/ip-sottorete ed /etc/netboot. Il programma wanboot-cgi esegue una ricerca in tali directory per individuare le informazioni di configurazione più adatte al client e utilizzarle durante l'installazione.

Il programma wanboot-cgi esegue la ricerca delle informazioni del client nell'ordine seguente.

1. /etc/netboot/ip-sottorete/ID-client – Il programma wanboot-cgi controlla prima le informazioni di configurazione specifiche del sistema client. Se la directory /etc/netboot/ip-sottorete/ID-client contiene tutte le informazioni del client, il programma wanboot-cgi non ricerca altre informazioni di configurazione nella directory /etc/netboot.

2. /etc/netboot/ip-sottorete – Se non tutte le informazioni richieste si trovano nella directory /etc/netboot/ip-sottorete/ID-client, il programma wanboot-cgi passerà a controllare le informazioni di configurazione della sottorete nella directory /etc/netboot/ip-sottorete.

3. /etc/netboot – Se le informazioni rimanenti non si trovano nella directory /etc/netboot/ip-sottorete, il programma wanboot-cgi controllerà le informazioni di configurazione globali nella directory /etc/netboot.

La Figura 10–2 mostra come impostare la directory /etc/netboot per personalizzare le proprie installazioni con boot da WAN.

Figura 10–2 Directory /etc/netboot di esempio

L'organizzazione della directory /etc/netboot nella Figura 10–2 permette di eseguire le seguenti installazioni con boot da WAN.

• Quando si installa il client 010003BA152A42, il programma wanboot-cgi usa i seguenti file della directory /etc/netboot/192.168.255.0/010003BA152A42.

  • system.conf

  • archivio chiavi

  • truststore

  • certstore

  Il programma wanboot-cgi usa quindi il file wanboot.conf della directory /etc/netboot/192.168.255.0.

• Quando si installa un client situato nella sottorete 192.168.255.0, il programma wanboot-cgi usa i file wanboot.conf, keystore e truststore nella directory in /etc/netboot/192.168.255.0. Il programma wanboot-cgi usa quindi il file system.conf nella directory /etc/netboot.

• Quando si installa un sistema client non situato nella sottorete 192.168.255.0, il programma wanboot-cgi usa invece i file seguenti della directory /etc/netboot:

  • wanboot.conf

  • system.conf

  • archivio chiavi

  • truststore

Memorizzazione del programma wanboot-cgi

Il programma wanboot-cgi trasmette i file e i dati dal server di boot WAN al client. Occorre accertarsi che il programma si trovi in una directory del server di boot WAN accessibile al client. Un metodo per renderlo accessibile è di memorizzare il programma nella directory cgi-bin del server di boot WAN. Per utilizzare il programma wanboot-cgi come programma CGI può essere necessario configurare il server Web. Per informazioni sui requisiti dei programmi CGI, vedere la documentazione del server Web.

Requisiti dei certificati digitali

Per aumentare la sicurezza dell'installazione boot WAN, è possibile avvalersi dei certificati digitali per abilitare l'autenticazione del server e del client. Il boot da WAN utilizza un certificato digitale per determinare l'identità del server o del client nel corso di una transazione online. I certificati digitali sono emessi da un'autorità di certificazione (CA) e contengono un numero di serie, date di scadenza, una copia della chiave pubblica del possessore del certificato e la firma digitale dell'autorità di certificazione.

Per richiedere l'autenticazione del server o di client e server durante l'installazione, è necessario installare i certificati digitali sul server. Per l'uso dei certificati digitali, attenersi alle linee guida seguenti.

• Per poter essere utilizzati, i certificati digitali devono essere formattati come file PKCS#12 (Public-Key Cryptography Standards #12).

• Anche i certificati digitali creati internamente devono essere in formato PKCS#12.

• Se si ricevono i certificati da autorità di terze parti, richiedere che siano in formato PKCS#12.

Per istruzioni dettagliate su come usare i certificati PKCS#12 nell'installazione boot WAN, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.

Limitazioni alla sicurezza di boot WAN

Sebbene questo metodo disponga di varie funzioni di sicurezza, boot WAN risulta inefficace nei seguenti casi.

• Attacchi DoS (Denial of service) – Questo tipo di attacchi può assumere molte forme, con l'obiettivo di impedire agli utenti di accedere a un servizio specifico. Un attacco DoS può colpire una rete inviando grandi quantità di dati oppure consumare in modo intensivo una risorsa limitata. Altri attacchi DoS manipolano i dati trasmessi tra i sistemi in transito. Il metodo di installazione boot WAN non protegge i server o i client dagli attacchi DoS.

• Dati binari danneggiati sui server – Il metodo di installazione boot WAN non controlla l'integrità della miniroot di boot WAN né l'archivio Solaris Flash prima di eseguire l'installazione. Controllare pertanto l'integrità dei binari di Solaris a fronte del Solaris Fingerprint Database disponibile all'indirizzo http://sunsolve.sun.com.

• Riservatezza della chiave di cifratura e della chiave di hashing – Se si usano chiavi di cifratura o chiavi di hashing con boot WAN, occorre digitare il valore della chiave dalla riga di comando durante l'installazione. Per questo motivo è necessario seguire tutte le precauzioni di rete necessarie a garantire che i valori della chiave non vengano divulgati.

• Compromissione del servizio di denominazione di rete – Se si fa uso di un servizio di denominazione, verificare l'integrità dei name server prima di eseguire l'installazione boot WAN.

Raccolta delle informazioni per le installazioni boot WAN

Per configurare la rete per l'installazione boot WAN, occorre raccogliere un'ampia gamma di informazioni. Si consiglia pertanto di prenderne nota mentre si prepara l'installazione WAN.

Utilizzare i seguenti fogli di lavoro per registrare le informazioni di installazione boot WAN per la rete.

• Tabella 10–2

• Tabella 10–3

Tabella 10–2 Foglio di lavoro per la raccolta delle informazioni

Informazioni necessarie	Note
Informazioni del server di installazione  Percorso della miniroot di boot WAN sul server di installazione Percorso dei file di installazione JumpStart personalizzata sul server di installazione
Informazioni del server di boot WAN  Percorso del programma wanboot sul server di boot WAN URL del programma wanboot-cgi sul server di boot WAN Percorso della sottodirectory del client nella struttura gerarchica /etc/netboot sul server di boot WAN (Opzionale) Nome del file di certificato PKCS#12 (Opzionale) Nomi host dei sistemi diversi dal server di boot WAN richiesto per l'installazione WAN (Opzionale) Indirizzo IP e numero di porta TCP del server proxy della rete
Informazioni opzionali del server  URL dello script bootlog-cgi sul server di log Indirizzo IP e numero di porta TCP del server proxy della rete

Tabella 10–3 Foglio di lavoro per la raccolta delle informazioni del client

Informazione	Note
Indirizzo IP della sottorete del client
Indirizzo IP del router del client
Indirizzo IP del client
Maschera di sottorete del client
Nome host del client
Indirizzo MAC del client