パート III 広域ネットワーク経由のインストール

このパートでは、WAN ブートインストールを使用して広域ネットワーク (WAN) 経由でシステムのインストールを行う方法について説明します。

第 9 章 WAN ブート (概要)

この章では、WAN ブートインストールの概要について説明します。この章の内容は次のとおりです。

• 「WAN ブートとは」

• 「どのような場合に WAN ブートを使用するか」

• 「WAN ブートのしくみ (概要)」

• 「WAN ブートでサポートされているセキュリティー構成 (概要)」

WAN ブートとは

WAN ブートインストールでは、HTTP を使って広域ネットワーク (WAN) 経由でソフトウェアのブートとインストールを行うことができます。WAN ブートを使用すると、大規模な公開ネットワークを介して Solaris OS を SPARC システムにインストールできますが、このようなネットワークは基盤の信頼性が低い場合があります。WAN ブートをセキュリティー機能とともに使用することによって、データの機密性とインストールイメージの完全性を保護できます。

WAN ブートインストールでは、暗号化した Solaris フラッシュアーカイブを公開ネットワークを介してリモートの SPARC クライアントに転送できます。次に、WAN ブートプログラムは、カスタム JumpStart インストールを実行して、クライアントシステムをインストールします。インストールの完全性を保護するために、非公開鍵を使ってデータの認証および暗号化を行うことができます。また、デジタル証明書を使用するようにシステムを構成すると、HTTPS 接続を介してインストールデータやファイルを転送できます。

WAN ブートインストールを実行するには、HTTP または HTTPS 接続を介して Web サーバーから次の情報をダウンロードして、SPARC ベースのシステムをインストールします。

• wanboot プログラム – wanboot プログラムは、WAN ブートミニルート、クライアント構成ファイル、およびインストールファイルを読み込む、二次レベルのブートプログラムです。wanboot プログラムは、二次レベルのブートプログラムである ufsboot や inetboot と同様の処理を実行します。

• WAN ブートファイルシステム – WAN ブートは、クライアントシステムをインストールするために、いくつものファイルを使ってクライアントの構成やデータの取得を行います。これらのファイルは、Web サーバーの /etc/netboot ディレクトリに置かれています。wanboot-cgi プログラムは、これらのファイルを 1 つのファイルシステムとしてクライアントに転送します。このファイルシステムは WAN ブートファイルシステムと呼ばれます。

• WAN ブートミニルート – WAN ブートミニルートは、WAN ブートインストールを実行するために Solaris ミニルートに変更を加えたものです。Solaris ミニルートと同様に、WAN ブートミニルートには、カーネルのほか、Solaris 環境のインストールに最低限必要なソフトウェアが格納されています。WAN ブートミニルートには、Solaris ミニルートにあるソフトウェアのサブセットが格納されます。

• カスタム JumpStart 構成ファイル – WAN ブートは、システムをインストールするために、sysidcfg、rules.ok、およびプロファイルファイルをクライアントに転送します。次に、WAN ブートはこれらのファイルを使って、クライアントシステムに対してカスタム JumpStart インストールを実行します。

• Solaris フラッシュアーカイブ – Solaris フラッシュアーカイブは、マスターシステムからコピーされたファイルの集合体です。このアーカイブは、クライアントシステムをインストールするために使用できます。WAN ブートは、カスタム JumpStart インストールを使って、Solaris フラッシュアーカイブをクライアントシステムにインストールします。アーカイブをクライアントシステムにインストールすると、クライアントシステムはマスターシステムとまったく同じ構成になります。

  ---

  注 –

  flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていても Solaris フラッシュ アーカイブを作成できます。

  詳細については、『Solaris 10 11/06 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。

  ---

次に、カスタム JumpStart インストールを使って、アーカイブをクライアントにインストールします。

上記の情報を転送するとき、鍵とデジタル証明書を使って保護することもできます。

WAN ブートインストールで発生するイベントの順序の詳細については、「WAN ブートのしくみ (概要)」を参照してください。

どのような場合に WAN ブートを使用するか

WAN ブートインストールを使用すると、地理的に離れた場所にある SPARC ベースのシステムに対してインストールを実行できます。WAN ブートを使用すると、公開ネットワーク経由でのみアクセス可能なリモートのサーバーやクライアントに対しても、インストールを実行できます。

ローカルエリアネットワーク (LAN) 内にあるシステムに対してインストールを行いたい場合、WAN ブートインストールを使用すると、必要以上の構成や管理が必要になることがあります。LAN 経由でシステムをインストールする方法については、第 4 章「ネットワークからのインストール (概要)」を参照してください。

WAN ブートのしくみ (概要)

WAN ブートは、サーバー、構成ファイル、CGI (Common Gateway Interface) プログラム、およびインストールファイルを組み合わせて使用することによって、SPARC ベースのリモートクライアントに対してインストールを行います。ここでは、WAN ブートインストールで発生するイベントの通常の順序について説明します。

WAN ブートインストールでのイベントの順序

図 9–1 は、WAN ブートインストールで発生するイベントの基本的な順序を示しています。この図で、SPARC ベースのクライアントは、構成データとインストールファイルを、Web サーバーとインストールサーバーから WAN 経由で取得します。

図 9–1 WAN ブートインストールでのイベントの順序

1. 次のいずれかの方法で、クライアントをブートします。

   • OpenBoot PROM (OBP) のネットワークインタフェース変数を設定することによって、ネットワークからブートします。

   • DHCP オプションを使ってネットワークからブートします。

   • ローカル CD-ROM からブートします。

2. クライアントの OBP は、次のどちらかから構成情報を取得します。

   • ユーザーがコマンド行に入力したブート引数の値から

   • ネットワークで DHCP が使用されている場合は、DHCP サーバーから

3. クライアントの OBP は、WAN ブートの二次レベルのブートプログラム (wanboot) を要求します。

   クライアントの OBP は、wanboot プログラムを次のどちらかからダウンロードします。

   • WAN ブートサーバーと呼ばれる特別な Web サーバーから、ハイパーテキストトランスファープロトコル (HTTP) を使って

   • ローカル CD-ROM から (上記の図には示されていない)

4. wanboot プログラムは、WAN ブートサーバーに対し、クライアント構成情報を要求します。

5. wanboot プログラムは、wanboot-cgi プログラムによって WAN ブートサーバーから転送される構成ファイルをダウンロードします。構成ファイルは、WAN ブートファイルシステムとしてクライアントに転送されます。

6. wanboot プログラムは、WAN ブートサーバーに対し、WAN ブートミニルートのダウンロードを要求します。

7. wanboot プログラムは、HTTP または HTTPS を使って、WAN ブートサーバーから WAN ブートミニルートをダウンロードします。

8. wanboot プログラムは、WAN ブートミニルートから UNIX カーネルを読み込み、実行します。

9. UNIX カーネルは、Solaris インストールプログラムで使用できるように、WAN ブートファイルシステムを見つけてマウントします。

10. インストールプログラムは、インストールサーバーに対し、Solaris フラッシュアーカイブとカスタム JumpStart ファイルのダウンロードを要求します。

    インストールプログラムは、HTTP または HTTPS 接続を介して、アーカイブとカスタム JumpStart ファイルをダウンロードします。

11. インストールプログラムは、カスタム JumpStart インストールを実行して、Solaris フラッシュアーカイブをクライアントにインストールします。

WAN ブートインストール時のデータの保護

WAN ブートインストールでは、ハッシュキー、暗号化鍵、およびデジタル証明書を使って、インストール中にシステムデータを保護できます。ここでは、WAN ブートインストールでサポートされている各種のデータ保護方法について簡単に説明します。

ハッシュキーによるデータ完全性のチェック

WAN ブートサーバーからクライアントに転送するデータを保護するために、HMAC (Hashed Message Authentication Code) キーを生成できます。このハッシュキーを、WAN ブートサーバーとクライアントの両方にインストールします。WAN ブートサーバーはこのキーを使って、クライアントに転送するデータに署名します。クライアントはこのキーを使って、WAN ブートサーバーから転送されるデータの完全性を確認します。クライアントにハッシュキーをインストールすると、クライアントは以降の WAN ブートインストールにこのキーを使用します。

ハッシュキーの使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

暗号化鍵によるデータの暗号化

WAN ブートインストールでは、WAN ブートサーバーからクライアントに転送するデータを暗号化できます。WAN ブートのユーティリティーを使って、3DES (Triple Data Encryption Standard) または AES (Advanced Encryption Standard) の暗号化鍵を作成できます。この鍵を、WAN ブートサーバーとクライアントの両方に渡します。WAN ブートサーバーはこの暗号化鍵を使って、クライアントに転送するデータを暗号化します。クライアントはこの鍵を使って、インストール時に暗号化されて転送された構成ファイルとセキュリティーファイルを、復号化できます。

クライアントに暗号化鍵をインストールすると、クライアントは以降の WAN ブートインストールにこの鍵を使用します。

サイトで暗号化鍵の使用が許可されていない場合もあります。サイトで暗号化を使用できるかどうかについては、サイトのセキュリティー管理者に問い合わせてください。サイトで暗号化を使用できる場合は、3DES 暗号化鍵または AES 暗号化鍵のどちらを使用すべきかを、セキュリティー管理者に尋ねてください。

暗号化鍵の使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

HTTPS によるデータの保護

WAN ブートでは、WAN ブートサーバーとクライアントの間のデータ転送に HTTPS (Secure Sockets Layer を介した HTTP) を使用できます。HTTPS を使用すると、サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に身分証明を行うよう要求できます。また、HTTPS では、インストール時にサーバーからクライアントに転送されるデータが暗号化されます。

HTTPS では、ネットワーク上でデータを交換するシステムに対して、デジタル証明書による認証が行われます。デジタル証明書は、オンライン通信を行うときにシステム (サーバーまたはクライアント) が信頼できるシステムであることを示すためのファイルです。外部の認証局に依頼してデジタル証明書を取得するか、独自の証明書と認証局を作成します。

クライアントがサーバーを信頼してサーバーからのデータを受け入れるようにするには、サーバーにデジタル証明書をインストールする必要があります。次に、この証明書を信頼するようにクライアントに指示します。サーバーに対して身分証明を行うよう、クライアントに要求することもできます。そのためには、クライアントにデジタル証明書を用意します。次に、インストール時にクライアントが証明書を提出したらその証明書の署名者を受け入れるように、サーバーに指示します。

インストール時にデジタル証明書を使用するには、HTTPS を使用するように Web サーバーを構成する必要があります。HTTPS の使用方法については、Web サーバーのマニュアルを参照してください。

WAN ブートインストールでデジタル証明書を使用するための要件については、「デジタル証明書の要件」を参照してください。WAN ブートインストールでデジタル証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。

WAN ブートでサポートされているセキュリティー構成 (概要)

WAN ブートでは、さまざまなレベルのセキュリティーがサポートされています。WAN ブートでサポートされているセキュリティー機能を組み合わせて使用することで、ネットワークのニーズに対応できます。より安全な構成にするほど、多くの管理が必要になりますが、システムデータをより広範に保護できます。高いセキュリティーを必要とするシステム、または公開ネットワーク経由でインストールを行うシステムには、「セキュリティー保護された WAN ブートインストール構成」で説明する構成を選択できます。それほどセキュリティーを必要としないシステム、または半私設のネットワーク上にあるシステムには、「セキュリティー保護されていない WAN ブートインストール構成」で説明する構成を検討してください。

ここでは、WAN ブートインストールのセキュリティーレベルを設定するための各種構成について簡単に説明します。また、これらの構成に必要なセキュリティーメカニズムについても説明します。

セキュリティー保護された WAN ブートインストール構成

この構成は、サーバーとクライアントの間で交換されるデータの完全性を保護し、内容の機密性を保つために役立ちます。この構成は、HTTPS 接続を使用するとともに、クライアント構成ファイルを暗号化するために 3DES または AES アルゴリズムを使用します。また、この構成では、サーバーはインストール時にクライアントに対して身分証明を行うよう要求されます。セキュリティー保護された WAN ブートインストールを行うには、次のセキュリティー機能が必要です。

• WAN ブートサーバーとインストールサーバーで、HTTPS が有効になっていること

• WAN ブートサーバーとクライアントに、HMAC SHA1 ハッシュキーが、インストールされていること

• WAN ブートサーバーとクライアントに、3DES または AES 暗号化鍵がインストールされていること

• WAN ブートサーバーに関する認証局のデジタル証明書

インストール時にクライアントの認証も行う場合は、次のセキュリティー機能を使用する必要があります。

• WAN ブートサーバーの非公開鍵

• クライアントのデジタル証明書

この構成を使ってインストールを行うために必要な作業の一覧については、表 11–1 を参照してください。

セキュリティー保護されていない WAN ブートインストール構成

この構成では、管理に必要な労力は最小限に抑えられますが、Web サーバーからクライアントへのデータ転送のセキュリティーは最も低くなります。ハッシュキー、暗号化鍵、およびデジタル証明書を作成する必要はありません。HTTPS を使用するように Web サーバーを構成する必要もありません。ただし、この構成によるインストールでは、インストールデータとファイルは HTTP 接続を介して転送されるので、ネットワーク上での妨害に対して無防備になります。

転送されたデータの完全性をクライアントでチェックできるようにするには、この構成とともに HMAC SHA1 ハッシュキーを使用します。ただし、Solaris フラッシュアーカイブはハッシュキーで保護されません。インストール時にサーバーとクライアントの間で転送されるアーカイブは、セキュリティー保護されません。

この構成を使ってインストールを行うために必要な作業の一覧については、表 11–2 を参照してください。

第 10 章 WAN ブートによるインストールの準備 (計画)

この章では、WAN ブートインストールを行うためにネットワークを準備する方法について説明します。この章の内容は次のとおりです。

• 「WAN ブート の要件とガイドライン」

• 「WAN ブートのセキュリティー限界」

• 「WAN ブートインストールに必要な情報の収集」

WAN ブート の要件とガイドライン

ここでは、WAN ブートインストールを実行するためのシステム要件について説明します。

Web サーバーソフトウェアの要件とガイドライン

WAN ブートサーバーとインストールサーバーで使用する Web サーバーソフトウェアは、次の要件を満たす必要があります。

• オペレーティングシステム – WAN ブートでは、wanboot-cgi という CGI (Common Gateway Interface) プログラムが、クライアントマシンが受け付ける特定のフォーマットにデータやファイルを変換します。これらのスクリプトを使用して WAN ブートインストールを実行するには、Solaris 9 12/03 OS またはその互換バージョンで Web サーバーソフトウェアを実行する必要があります。

• ファイルサイズの制限 – Web サーバーソフトウェアによっては、HTTP を介して転送できるファイルサイズが制限される場合もあります。Web サーバーのマニュアルを参照して、Solaris フラッシュアーカイブの大きさのファイルを転送できることを確認してください。

  ---

  注 –

  flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていても Solaris フラッシュ アーカイブを作成できます。

  詳細については、『Solaris 10 11/06 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。

  ---

• SSL サポート – WAN ブートインストールで HTTPS を使用するには、Web サーバーソフトウェアで SSL バージョン 3 がサポートされている必要があります。

サーバー構成オプション

WAN ブートに必要なサーバーの構成をカスタマイズすることで、ネットワークのニーズに対応できます。すべてのサーバーを単一のシステムに置くことも、複数のシステムに置くこともできます。

• 単一のサーバー – WAN ブートのデータとファイルを 1 台のシステムに集中化させたい場合は、すべてのサーバーを同じマシンで稼働させることができます。各種のサーバーを 1 台のシステムで管理できるほか、1 台のシステムを Web サーバーとして構成するだけで済みます。ただし、単一のサーバーでは、多数の WAN ブートインストールが同時に発生した場合に、必要なトラフィック量をサポートできないことがあります。

• 複数のサーバー – インストールデータとファイルをネットワーク上に分散させたい場合は、これらのサーバーを複数のマシンで稼働させることができます。たとえば、中心となる WAN ブートサーバーを 1 台設定し、複数のインストールサーバーを構成して Solaris フラッシュアーカイブをネットワーク上に分散できます。インストールサーバーとログサーバーを別々のマシンで稼働させる場合は、どちらのサーバーも Web サーバーとして構成する必要があります。

ドキュメントルートディレクトリへのインストールファイルと構成ファイルの保存

WAN ブートインストール時に、wanboot-cgi プログラムによって次のファイルが転送されます。

• wanboot プログラム

• WAN ブートミニルート

• カスタム JumpStart ファイル

• Solaris フラッシュアーカイブ

wanboot-cgi プログラムでこれらのファイルを転送できるようにするには、Web サーバーソフトウェアがアクセスできるディレクトリに、これらのファイルを保存する必要があります。たとえば、Web サーバーのドキュメントルートにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。

ドキュメントルートは、Web サーバー上の主要なドキュメントディレクトリであり、クライアントに公開するファイルはここに保存します。Web サーバーソフトウェアを使って、このディレクトリの名前や構成を変更できます。Web サーバー上のドキュメントルートディレクトリを設定する方法については、Web サーバーのマニュアルを参照してください。

ドキュメントルートディレクトリにいくつかのサブディレクトリを作成して、それぞれ異なるインストールファイルと構成ファイルを保存することもできます。たとえば、インストール対象であるクライアントのグループごとに、固有のサブディレクトリを作成します。また、ネットワーク上に何種類かのリリースの Solaris OS をインストールする場合は、リリースごとにサブディレクトリを作成します。

図 10–1 は、ドキュメントルートディレクトリの基本的な構造の例を示しています。この例で、WAN ブートサーバーとインストールサーバーは同じマシンに置かれています。このサーバーでは、Apache Web サーバーソフトウェアが実行されています。

図 10–1 ドキュメントルートディレクトリの構造の例

この例のドキュメントディレクトリは、次のような構造を使用しています。

• /opt/apache/htdocs ディレクトリは、ドキュメントルートディレクトリです。

• WAN ブートミニルート (miniroot) ディレクトリには、WAN ブートミニルートが置かれています。

• wanboot ディレクトリには、wanboot プログラムが置かれています。

• Solaris フラッシュ (flash) ディレクトリには、クライアントのインストールに必要なカスタム JumpStart ファイルと、サブディレクトリ archives が置かれています。archives ディレクトリには、Solaris 10 11/06 のフラッシュアーカイブが置かれています。

WAN ブートサーバーとインストールサーバーがそれぞれ別のシステムで稼働している場合は、flash ディレクトリをインストールサーバーに置くこともできます。WAN ブートサーバーがこれらのファイルやディレクトリにアクセスできることを確認してください。

ドキュメントルートディレクトリの作成方法については、Web サーバーのマニュアルを参照してください。インストールファイルの作成および保存の方法については、「カスタム JumpStart インストールファイルの作成」を参照してください。

/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存

/etc/netboot ディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。ここでは、WAN ブートインストールをカスタマイズするために /etc/netboot ディレクトリ内に作成できるファイルとディレクトリについて説明します。

WAN ブートインストールの適用範囲のカスタマイズ

インストール時に wanboot-cgi プログラムは、WAN ブートサーバーの /etc/netboot ディレクトリ内でクライアント情報を検索します。wanboot-cgi プログラムは、この情報を WAN ブートファイルシステムに変換してから、WAN ブートファイルシステムをクライアントに転送します。/etc/netboot ディレクトリ内にサブディレクトリを作成することで、WAN ブートインストールの適用範囲をカスタマイズできます。次のディレクトリ構造を使って、インストール対象のクライアント間で構成情報をどのように共有するかを定義します。

• 大域的な構成 - ネットワーク上のすべてのクライアントで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリに保存します。

• ネットワーク固有の構成 - 特定のサブネット上のマシンだけで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。

  /etc/netboot/net-ip

  この例で、net-ip はクライアントのサブネットの IP アドレスです。たとえば、192.168.255.0 という IP アドレスを持つサブネット上のすべてのシステムで構成ファイルを共有するには、/etc/netboot/192.168.255.0 というディレクトリを作成します。その後、このディレクトリに構成ファイルを保存します。

• クライアント固有の構成 – 特定のクライアントだけでブートファイルシステムを使用するには、ブートファイルシステムのファイルを /etc/netboot のサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。

  /etc/netboot/net-ip/client-ID

  この例で、net-ip はサブネットの IP アドレスです。client-ID は、DHCP サーバーによって割り当てられるクライアント ID か、ユーザー指定のクライアント ID です。たとえば、サブネット 192.168.255.0 にあって 010003BA152A42 というクライアント ID を持つシステムで、特定の構成ファイルを使用するには、/etc/netboot/192.168.255.0/010003BA152A42 というディレクトリを作成します。その後、該当するファイルをこのディレクトリに保存します。

/etc/netboot ディレクトリにおけるセキュリティー情報と構成情報の指定

次のファイルを作成して /etc/netboot ディレクトリに保存することで、セキュリティー情報と構成情報を指定します。

• wanboot.conf – このファイルは、WAN ブートインストール用のクライアント構成情報を指定します。

• システム構成ファイル ( system.conf) – このシステム構成ファイルは、クライアントの sysidcfg ファイルおよびカスタム JumpStart ファイルの場所を指定します。

• keystore – このファイルには、クライアントの HMAC SHA1 ハッシュキー、3DES または AES 暗号化鍵、および SSL 非公開鍵が保存されます。

• truststore – このファイルには、クライアントが信頼すべき、認証局のデジタル証明書が保存されます。これら信頼できる証明書に従って、クライアントはインストール時にサーバーを信頼します。

• certstore – このファイルには、クライアントのデジタル証明書が保存されます。

  ---

  注 –

  certstore ファイルは、クライアント ID のディレクトリに置く必要があります。/etc/netboot ディレクトリのサブディレクトリに関する詳細は、「WAN ブートインストールの適用範囲のカスタマイズ」を参照してください。

  ---

これらのファイルの作成方法と保存方法については、次の手順を参照してください。

• 「システム構成ファイルを作成する方法」

• 「wanboot.conf ファイルを作成する方法」

• 「(省略可能) ハッシュキーと暗号化鍵を作成する方法」

• 「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」

/etc/netboot ディレクトリにおけるセキュリティー情報と構成情報の共有

ネットワーク上のクライアントに対してインストールを行うとき、いくつかのクライアントで、あるいはすべてのサブネットで、セキュリティーファイルと構成ファイルを共有することもできます。これらのファイルを共有するには、/etc/netboot/net-ip/client-ID、/etc/netboot/net-ip、および /etc/netboot の各ディレクトリに構成情報を置きます。インストール時に、wanboot-cgi プログラムはこれらのディレクトリから構成情報を検索し、クライアントに最もよく適合する構成情報を使用します。

wanboot-cgi プログラムは、次の順序でクライアント情報を検索します。

1. /etc/netboot/net-ip/client-ID – wanboot-cgi プログラムはまず、クライアントマシンに固有の構成情報を検索します。/etc/netboot/net-ip/client-ID ディレクトリにすべてのクライアント構成情報が揃っている場合、wanboot-cgi プログラムが /etc/netboot ディレクトリのほかの場所の構成情報を検索することはありません。

2. /etc/netboot/net-ip – 必要な情報が /etc/netboot/net-ip/client-ID ディレクトリに揃っていない場合、wanboot-cgi プログラムは /etc/netboot/net-ip ディレクトリでサブネット構成情報を検索します。

3. /etc/netboot - 必要な情報が /etc/netboot/net-ip ディレクトリにも見つからない場合、wanboot-cgi プログラムは /etc/netboot ディレクトリで大域的な構成情報を検索します。

図 10–2 は、/etc/netboot ディレクトリを設定して WAN ブートインストールをカスタマイズする方法を示しています。

図 10–2 /etc/netboot ディレクトリの例

図 10–2 の /etc/netboot ディレクトリレイアウトでは、次のような WAN ブートインストールを実行できます。

• クライアント 010003BA152A42 に対してインストールを行うときは、/etc/netboot/192.168.255.0/010003BA152A42 ディレクトリにある次のファイルが wanboot-cgi プログラムによって使用されます。

  • system.conf

  • keystore

  • truststore

  • certstore

  次に、/etc/netboot/192.168.255.0 ディレクトリにある wanboot.conf ファイルが、wanboot-cgi プログラムによって使用されます。

• 192.168.255.0 サブネット上のクライアントに対してインストールを行うときは、/etc/netboot/192.168.255.0 ディレクトリにある wanboot.conf、keystore、および truststore の各ファイルが、wanboot-cgi プログラムによって使用されます。次に、/etc/netboot ディレクトリにある system.conf ファイルが、wanboot-cgi プログラムによって使用されます。

• 192.168.255.0 サブネット上にないクライアントマシンに対してインストールを行うときは、/etc/netboot ディレクトリにある次のファイルが、wanboot-cgi プログラムによって使用されます。

  • wanboot.conf

  • system.conf

  • keystore

  • truststore

wanboot-cgi プログラムの保存

wanboot-cgi プログラムは、WAN ブートサーバーからクライアントにデータとファイルを転送します。このプログラムは、WAN ブートサーバー上でクライアントがアクセスできるディレクトリに置く必要があります。たとえば、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムを置くと、クライアントがこのプログラムにアクセスできるようになります。wanboot-cgi プログラムを CGI プログラムとして使用するように Web サーバーソフトウェアを構成する必要がある場合もあります。CGI プログラムの要件については、Web サーバーのマニュアルを参照してください。

デジタル証明書の要件

WAN ブートインストールのセキュリティーを高めるには、デジタル証明書を使ってサーバーとクライアントの認証を有効にします。WAN ブートでは、オンライントランザクションの間に、デジタル証明書を使ってサーバーまたはクライアントの識別情報が確立されます。デジタル証明書は認証局 (CA) によって発行されます。これらの証明書には、シリアル番号、有効期限、証明書所有者の公開鍵のコピー、および認証局のデジタル署名が含まれています。

サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に認証を行うには、サーバーにデジタル証明書をインストールする必要があります。デジタル証明書を使用するときは、次のガイドラインに従ってください。

• デジタル証明書を使用する場合、デジタル証明書は PKCS#12 (Public-Key Cryptography Standards #12) ファイルの一部としてフォーマットされている必要があります。

• 独自の証明書を作成する場合は、PKCS#12 ファイルとして作成する必要があります。

• 第三者機関である認証局から証明書を取得する場合は、PKCS#12 フォーマットの証明書を依頼します。

WAN ブートインストールで PKCS#12 証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。

WAN ブートのセキュリティー限界

WAN ブートには各種のセキュリティー機能が用意されていますが、次のような潜在的問題には対応していません。

• サービス妨害攻撃 – サービス妨害 (DoS) 攻撃にはさまざまな形式がありますが、その目的はユーザーが特定のサービスにアクセスできないようにすることです。たとえば、大量のデータでネットワークに負担をかけたり、限られたリソースを強引に消費したりする DoS 攻撃があります。また、システム間で転送中のデータに対して操作を加える DoS 攻撃もあります。WAN ブートでは、DoS 攻撃に対するサーバーやクライアントの保護は行われません。

• サーバー上のバイナリの破壊 – WAN ブートインストールでは、インストールの実行前に WAN ブートミニルートや Solaris フラッシュアーカイブの完全性がチェックされることはありません。インストールを実行する前に、http://sunsolve.sun.com の Solaris Fingerprint Database (指紋データベース) と比較して、Solaris バイナリの完全性を確認してください。

• 暗号化鍵とハッシュキーの機密性 – WAN ブートで暗号化鍵やハッシュキーを使用する場合は、インストール時にキーの値をコマンド行に入力する必要があります。ネットワークに必要な注意事項を守り、キーの値を機密に保つようにしてください。

• ネットワークのネームサービスの危殆化 – ネットワークでネームサービスを使用する場合は、WAN ブートインストールを実行する前に、ネームサーバーの完全性を確認してください。

WAN ブートインストールに必要な情報の収集

WAN ブートインストールを行うためにネットワークを構成するには、さまざまな情報を収集する必要があります。WAN 経由でのインストールを準備するときに、この情報を書きとめておくとよいでしょう。

ネットワークについて WAN ブートインストール情報を記録するには、次のワークシートを使用してください。

• 表 10–2

• 表 10–3

第 11 章 WAN ブート によるインストール (作業)

この章では、WAN ブートインストールを行うためにネットワークを準備する方法について説明します。必要な作業は次のとおりです。

• 「広域ネットワーク経由のインストール (作業マップ)」

• 「WAN ブートサーバーの構成」

• 「カスタム JumpStart インストールファイルの作成」

• 「構成ファイルの作成」

• 「(省略可能) DHCP による構成情報の提供」

• 「(省略可能) WAN ブートログサーバーを構成する方法」

広域ネットワーク経由のインストール (作業マップ)

次の表は、WAN ブートインストールの準備に必要な作業の一覧です。

• セキュリティー保護された WAN ブートインストールの準備に必要な作業の一覧については、表 11–1 を参照してください。

  HTTPS によるセキュリティー保護された WAN ブートインストールについては、「セキュリティー保護された WAN ブートインストール構成」を参照してください。

• セキュリティー保護されていない WAN ブートインストールの準備に必要な作業の一覧については、表 11–2 を参照してください。

  セキュリティー保護されていない WAN ブートインストールについては、「セキュリティー保護されていない WAN ブートインストール構成」を参照してください。

DHCP サーバーやログサーバーを使用するには、表の末尾にある追加作業を実行する必要があります。

WAN ブートサーバーの構成

WAN ブートサーバーは、WAN ブートインストール時にブートデータと構成データを提供する Web サーバーです。WAN ブートサーバーのシステム要件の一覧については、表 10–1 を参照してください。

ここでは、WAN ブートインストールを行うために WAN ブートサーバーを構成する方法について説明します。必要な作業は次のとおりです。

• 「ドキュメントルートディレクトリの作成」

• 「WAN ブートミニルートの作成」

• 「WAN ブートサーバーへの wanboot プログラムのインストール」

• 「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」

• 「WAN ブートサーバーへの WAN ブート CGI プログラムのコピー」

• 「(省略可能) HTTPS によるデータの保護」

ドキュメントルートディレクトリの作成

構成ファイルとインストールファイルを提供するには、WAN ブートサーバーの Web サーバーソフトウェアがこれらのファイルにアクセスできるようにする必要があります。たとえば、WAN ブートサーバーのドキュメントルートディレクトリにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。

構成ファイルとインストールファイルの提供にドキュメントルートディレクトリを使用するには、このディレクトリを作成する必要があります。ドキュメントルートディレクトリの作成方法については、Web サーバーのマニュアルを参照してください。ドキュメントルートディレクトリの設計方法については、「ドキュメントルートディレクトリへのインストールファイルと構成ファイルの保存」を参照してください。

このディレクトリの設定例については、「ドキュメントルートディレクトリの作成」を参照してください。

ドキュメントルートディレクトリを作成したあと、WAN ブートミニルートを作成します。手順については、「WAN ブートミニルートの作成」を参照してください。

WAN ブートミニルートの作成

WAN ブートでは、WAN ブートインストール用に変更された特別な Solaris ミニルートが使用されます。WAN ブートミニルートには、Solaris ミニルートにあるソフトウェアのサブセットが格納されます。WAN ブートインストールを実行するには、Solaris DVD または Solaris SOFTWARE - 1 CD から、このミニルートを WAN ブートサーバーにコピーする必要があります。-w オプションを指定して setup_install_server コマンドを実行し、Solaris ソフトウェアのメディアからシステムのハードディスクに WAN ブートミニルートをコピーします。

SPARC: WAN ブートミニルートを作成する方法

次の手順では、SPARC メディアを使って SPARC WAN ブートミニルートを作成します。x86 ベースのサーバーから SPARC WAN ブートミニルートを提供するには、まず SPARC マシンにミニルートを作成する必要があります。次に、作成したミニルートを、x86 ベースのサーバーのドキュメントルートディレクトリにコピーします。

始める前に

この手順では、WAN ブートサーバーでボリュームマネージャーを実行していると仮定します。ボリュームマネージャーを使用していない場合は、『Solaris のシステム管理 (デバイスとファイルシステム)』を参照してください。

1. WAN ブートサーバーでスーパーユーザーになるか、同等の役割になります。

   システムの必要条件は次のとおりです。

   • CD-ROM ドライブまたは DVD-ROM ドライブを備えていること

   • サイトのネットワークおよびネームサービスに組み込まれていること

     ネームサービスを使用する場合は、システムがすでに NIS、NIS+、DNS、LDAP のいずれかのネームサービスに登録されていなければなりません。ネームサービスを使用しない場合は、サイトのポリシーに従ってシステムの情報を供給する必要があります。

2. Solaris SOFTWARE - 1 CD または Solaris DVD をインストールサーバーのドライブに挿入します。

3. WAN ブートミニルートと Solaris インストールイメージを置くためのディレクトリを作成します。

   # mkdir -p wan-dir-path install-dir-path

   -p

   目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。

   wan-dir-path

   WAN ブートミニルートの作成先となる、インストールサーバー上のディレクトリを指定します。このディレクトリには、ミニルートを格納できる容量が必要です。ミニルートの標準サイズは 250M バイトです。

   install-dir-path

   Solaris ソフトウェアイメージのコピー先となる、インストールサーバー上のディレクトリを指定します。この手順の後半で、このディレクトリは削除できます。

4. マウントされたディスクの Tools ディレクトリに移動します。

   # cd /cdrom/cdrom0/s0/Solaris_10/Tools

   上の例では、cdrom0 は、Solaris OS のメディアが入っているドライブへのパスです。

5. WAN ブートミニルートと Solaris ソフトウェアイメージを、WAN ブートサーバーのハードディスクにコピーします。

   # ./setup_install_server -w wan-dir-path install-dir-path

   wan-dir-path

   WAN ブートミニルートをコピーするディレクトリを指定します。

   install-dir-path

   Solaris ソフトウェアイメージをコピーするディレクトリを指定します。

   ---

   注 –

   setup_install_server コマンドは、Solaris SOFTWARE のディスクイメージをコピーする十分なディスク容量があるかどうかを調べます。利用できるディスク容量を調べるには、df -kl コマンドを使用します。

   ---

   setup_install_server -w コマンドは、WAN ブートミニルートと、Solaris ソフトウェアのネットワークインストールイメージを作成します。

6. (省略可能) ネットワークインストールイメージを削除します。

   Solaris フラッシュアーカイブを使って WAN インストールを実行する場合、Solaris ソフトウェアイメージは不要です。ほかのネットワークインストールに使用する予定がない場合は、ネットワークインストールイメージを削除して、ディスクの空き領域を増やすことができます。ネットワークインストールイメージを削除するには、次のコマンドを入力します。

   # rm -rf install-dir-path

7. 次のどちらかの方法で、WAN ブートサーバーが WAN ブートミニルートにアクセスできるようにします。

   • WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートへのシンボリックリンクを作成します。

     # cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot .

     document-root-directory/miniroot

     WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、WAN ブートミニルートにリンクするものを指定します。

     /wan-dir-path/miniroot

     WAN ブートミニルートへのパスを指定します。

   • WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。

     # mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name

     wan-dir-path/miniroot

     WAN ブートミニルートへのパスを指定します。

     /document-root-directory/miniroot/

     WAN ブートサーバーのドキュメントルートディレクトリにある WAN ブートミニディレクトリへのパスを指定します。

     miniroot-name

     WAN ブートミニルートの名前を指定します。miniroot.s10_sparc のように、わかりやすい名前をファイルに付けます。

例 11–1 WAN ブートミニルートの作成

setup_install_server(1M) に -w オプションを指定して実行することで、WAN ブートミニルートと Solaris ソフトウェアイメージを、wanserver-1 の /export/install/Solaris_10 ディレクトリにコピーします。

wanserver-1 に接続されているメディアドライブに Solaris SOFTWARE のメディアを挿入します。次のコマンドを入力します。

wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

WAN ブートサーバーのドキュメントルートディレクトリ (/opt/apache/htdocs/) に、WAN ブートミニルートを移動します。この例では、WAN ブートミニルートの名前を miniroot.s10_sparc に設定しています。

wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

WAN ブートインストールの続行

WAN ブートミニルートを作成したあと、クライアントの OpenBoot PROM (OBP) が WAN ブートに対応しているかどうかを確認します。手順については、「クライアントの WAN ブート対応の確認」を参照してください。

参照

setup_install_server コマンドの詳細は、install_scripts(1M) のマニュアルページを参照してください。

クライアントの WAN ブート対応の確認

WAN ブートインストールを自動的に実行するには、クライアントシステムの OpenBoot PROM (OBP) が WAN ブートに対応している必要があります。クライアントの OBP が WAN ブートに対応していない場合は、ローカル CD を使って必要なプログラムを提供することで、WAN ブートインストールを実行できます。

クライアントが WAN ブートに対応しているかどうかを確認するには、クライアントの OBP 構成変数を調べます。クライアントが WAN ブートに対応しているかどうかを調べるには、次の手順に従ってください。

クライアント OBP での WAN ブート対応を確認する方法

この手順は、クライアントの OBP が WAN ブートに対応しているかどうかを調べる方法を示しています。

1. スーパーユーザーになるか、同等の役割になります。

   役割には、認証と特権コマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. WAN ブート対応を表す OBP 構成変数を調べます。

   # eeprom | grep network-boot-arguments

   • 変数 network-boot-arguments が表示されるか、上記のコマンドが network-boot-arguments: data not available という出力を返した場合、OBP は WAN ブートインストールに対応しています。WAN ブートインストールを実行する前に OBP を更新する必要はありません。

   • 上記のコマンドから何の出力も得られない場合、OBP は WAN ブートインストールに対応していません。次のどちらかの作業を実行する必要があります。

     • クライアントの OBP を更新します。クライアントの OBP が WAN ブートインストールに対応可能な場合は、OBP を更新する方法についてシステムのマニュアルを参照してください。

       ---

       注 –

       一部のクライアント OBP は WAN ブートに対応していません。そのようなクライアントの場合は、次のオプションを使用してください。

       ---

     • クライアントのインストールを行うための準備作業が完了したら、Solaris SOFTWARE CD1 または DVD から WAN ブートインストールを実行します。このオプションは、現在の OBP が WAN ブートに対応していないすべての場合で使用できます。

       CD1 からクライアントをブートする方法については、「ローカルの CD メディアを使って WAN ブートインストールを実行する方法」を参照してください。WAN ブートインストールの準備を続行するには、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。

例 11–2 クライアント上で OBP が WAN ブートに対応しているかどうかを確認する

次のコマンドは、クライアントの OBP が WAN ブートに対応しているかどうかを確認する方法を示しています。

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

この例では、出力に network-boot-arguments: data not available が表示されているので、クライアント OBP は WAN ブートに対応しています。

WAN ブートインストールの続行

クライアントの OBP が WAN ブートに対応していることを確認できたら、wanboot プログラムを WAN ブートサーバーにコピーする必要があります。手順については、「WAN ブートサーバーへの wanboot プログラムのインストール」を参照してください。

クライアントの OBP が WAN ブートに対応していない場合は、wanboot プログラムを WAN ブートサーバーにコピーする必要はありません。ローカル CD を使ってクライアントに wanboot プログラムを提供する必要があります。インストールを続行するには、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。

参照

setup_install_server コマンドの詳細については、第 4 章「ネットワークからのインストール (概要)」を参照してください。

WAN ブートサーバーへの wanboot プログラムのインストール

WAN ブートでは、特別な二次レベルのブートプログラム wanboot が、クライアントのインストールに使用されます。wanboot プログラムは、WAN ブートインストールの実行に必要な、WAN ブートミニルート、クライアント構成ファイル、およびインストールファイルを読み込みます。

WAN ブートインストールを実行するには、インストール時に wanboot プログラムをクライアントに提供する必要があります。次の方法で、このプログラムをクライアントに提供できます。

• クライアントの PROM が WAN ブートに対応している場合は、WAN ブートサーバーからクライアントにプログラムを転送できます。WAN ブートサーバーに wanboot プログラムをインストールする必要があります。

  クライアントの PROM が WAN ブートに対応しているかどうかを調べる方法については、「クライアント OBP での WAN ブート対応を確認する方法」を参照してください。

• クライアントの PROM が WAN ブートに対応していない場合は、ローカル CD を使ってクライアントにプログラムを提供する必要があります。クライアントの PROM が WAN ブートに対応していない場合は、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」に進み、インストールの準備を続行します。

SPARC: WAN ブートサーバーに wanboot プログラムをインストールする方法

この手順は、Solaris メディアから WAN ブートサーバーに wanboot プログラムをコピーする方法を示しています。

この手順では、WAN ブートサーバーでボリュームマネージャーを実行していると仮定します。ボリュームマネージャーを使用していない場合は、『Solaris のシステム管理 (デバイスとファイルシステム)』を参照してください。

始める前に

クライアントシステムが WAN ブートに対応していることを確認します。詳細は、「クライアント OBP での WAN ブート対応を確認する方法」を参照してください。

1. インストールサーバーでスーパーユーザーになるか、同等の役割になります。

2. Solaris SOFTWARE - 1 CD または Solaris DVD をインストールサーバーのドライブに挿入します。

3. Solaris SOFTWARE - 1 CD または Solaris DVD の sun4u プラットフォームディレクトリに移動します。

   # cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/

4. インストールサーバーに wanboot プログラムをコピーします。

   # cp wanboot /document-root-directory/wanboot/wanboot-name

   document-root-directory

   WAN ブートサーバーのドキュメントルートディレクトリを指定します。

   wanboot-name

   wanboot プログラムの名前を指定します。wanboot.s10_sparc のように、わかりやすい名前をファイルに付けます。

5. 次のどちらかの方法で、WAN ブートサーバーが wanboot プログラムにアクセスできるようにします。

   • WAN ブートサーバーのドキュメントルートディレクトリに、wanboot プログラムへのシンボリックリンクを作成します。

     # cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot .

     document-root-directory/wanboot

     WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、wanboot プログラムにリンクするものを指定します。

     /wan-dir-path/wanboot

     wanboot プログラムへのパスを指定します。

   • WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。

     # mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name

     wan-dir-path/wanboot

     wanboot プログラムへのパスを指定します。

     /document-root-directory/wanboot/

     WAN ブートサーバのドキュメントルートディレクトリにある wanboot プログラムディレクトリへのパスを指定します。

     wanboot-name

     wanboot プログラムの名前を指定します。wanboot.s10_sparc のように、わかりやすい名前をファイルに付けます。

例 11–3 WAN ブートサーバーへの wanboot プログラムのインストール

wanboot プログラムを WAN ブートサーバーにインストールするには、Solaris SOFTWARE のメディアから WAN ブートサーバーのドキュメントルートディレクトリに、このプログラムをコピーします。

wanserver-1 に接続されているメディアドライブに Solaris DVD または Solaris SOFTWARE - 1 CD を挿入し、次のコマンドを入力します。

wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

この例では、wanboot プログラムの名前を wanboot.s10_sparc に設定しています。

WAN ブートインストールの続行

WAN ブートサーバーに wanboot プログラムをインストールしたあと、WAN ブートサーバーに /etc/netboot ディレクトリを作成する必要があります。手順については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。

参照

wanboot プログラムの概要については、「WAN ブートとは」を参照してください。

WAN ブートサーバーに /etc/netboot ディレクトリを作成する

インストール時に WAN ブートは、Web サーバーの /etc/netboot ディレクトリの内容を参照して、インストールの実行方法に関する指示を取得します。このディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。インストール時、この情報は wanboot-cgi プログラムによって WAN ブートファイルシステムに変換されます。その後、wanboot-cgi プログラムは WAN ブートファイルシステムをクライアントに転送します。

/etc/netboot ディレクトリ内にサブディレクトリを作成することで、WAN ブートインストールの適用範囲をカスタマイズできます。次のディレクトリ構造を使って、インストール対象のクライアント間で構成情報をどのように共有するかを定義します。

• 大域的な構成 - ネットワーク上のすべてのクライアントで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリに保存します。

• ネットワーク固有の構成 - 特定のサブネット上のマシンだけで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。

  /etc/netboot/net-ip

  この例で、net-ip はクライアントのサブネットの IP アドレスです。

• クライアント固有の構成 – 特定のクライアントだけでブートファイルシステムを使用するには、ブートファイルシステムのファイルを /etc/netboot のサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。

  /etc/netboot/net-ip/client-ID

  この例で、net-ip はサブネットの IP アドレスです。client-ID は、DHCP サーバーによって割り当てられるクライアント ID か、ユーザー指定のクライアント ID です。

これらの構成の詳しい設計方法については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。

次の手順は、/etc/netboot ディレクトリを作成する方法を示しています。

WAN ブートサーバーに /etc/netboot ディレクトリを作成する方法

/etc/netboot ディレクトリを作成するには、次の手順に従ってください。

1. WAN ブートサーバーでスーパーユーザーになるか、同等の役割になります。

2. /etc/netboot ディレクトリを作成します。

   # mkdir /etc/netboot

3. /etc/netboot ディレクトリのアクセス権を 700 に変更します。

   # chmod 700 /etc/netboot

4. /etc/netboot ディレクトリの所有者を、Web サーバーの所有者に変更します。

   # chown web-server-user:web-server-group /etc/netboot/

   web-server-user

   Web サーバープロセスの所有者であるユーザーを指定します。

   web-server-group

   Web サーバープロセスの所有者であるグループを指定します。

5. スーパーユーザーを終了します。

   # exit

6. Web サーバー所有者の役割になります。

7. /etc/netboot ディレクトリに、クライアントのサブディレクトリを作成します。

   # mkdir -p /etc/netboot/net-ip/client-ID

   -p

   目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。

   (省略可能) net-ip

   クライアントのサブネットのネットワーク IP アドレスを指定します。

   (省略可能) client-ID

   クライアント ID を指定します。クライアント ID は、ユーザーが定義した値か、DHCP クライアント ID です。client-ID ディレクトリは、net-ip ディレクトリのサブディレクトリである必要があります。

8. /etc/netboot ディレクトリ内の各サブディレクトリについて、アクセス権を 700 に変更します。

   # chmod 700 /etc/netboot/dir-name

   dir-name

   /etc/netboot ディレクトリ内のサブディレクトリの名前を指定します。

例 11–4 WAN ブートサーバーに /etc/netboot ディレクトリを作成する

次の例は、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 に対応する /etc/netboot ディレクトリの作成方法を示しています。この例では、nobody というユーザーと admin というグループが、Web サーバープロセスを所有しています。

この例のコマンドは、次の処理を行います。

• /etc/netboot ディレクトリを作成します。

• /etc/netboot ディレクトリのアクセス権を 700 に変更します。

• /etc/netboot ディレクトリの所有権を Web サーバープロセスの所有者に渡します。

• Web サーバーユーザーと同じ役割になります。

• /etc/netboot ディレクトリに、サブネット名と同じ名前のサブディレクトリ 192.168.198.0 を作成します。

• このサブネットディレクトリに、クライアント ID と同じ名前のサブディレクトリを作成します。

• /etc/netboot のサブディレクトリのアクセス権を 700 に変更します。

# cd /
# mkdir /etc/netboot/
# chmod 700 /etc/netboot
# chown nobody:admin /etc/netboot
# exit
server# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

WAN ブートインストールの続行

/etc/netboot ディレクトリを作成したあと、WAN ブート CGI プログラムを WAN ブートサーバーにコピーする必要があります。手順については、「WAN ブートサーバーへの WAN ブート CGI プログラムのコピー」を参照してください。

参照

/etc/netboot ディレクトリの詳しい設計方法については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。

WAN ブートサーバーへの WAN ブート CGI プログラムのコピー

wanboot-cgi プログラムは、WAN ブートサーバーからクライアントに次のファイルを転送するデータストリームを作成します。

• wanboot プログラム

• WAN ブートファイルシステム

• WAN ブートミニルート

Solaris 10 11/06 ソフトウェアをインストールすると、wanboot-cgi プログラムもシステムにインストールされます。WAN ブートサーバーがこのプログラムを使用できるようにするには、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムをコピーします。

WAN ブートサーバーに wanboot-cgi プログラムをコピーする方法

1. WAN ブートサーバーでスーパーユーザーになるか、同等の役割になります。

2. WAN ブートサーバーに wanboot-cgi プログラムをコピーします。

   # cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi

   /WAN-server-root

   WAN ブートサーバー上の Web サーバーソフトウェアのルートディレクトリを指定します。

3. WAN ブートサーバーで、CGI プログラムのアクセス権を 755 に変更します。

   # chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi

WAN ブートインストールの続行

WAN ブート CGI プログラムを WAN ブートサーバーにコピーしたあと、必要に応じてログサーバーを設定できます。手順については、「(省略可能) WAN ブートログサーバーを構成する方法」を参照してください。

独立したログサーバーを設定しない場合は、WAN ブートインストールのセキュリティー機能の設定方法について、「(省略可能) HTTPS によるデータの保護」を参照してください。

参照

wanboot-cgi プログラムの概要については、「WAN ブートとは」を参照してください。

(省略可能) WAN ブートログサーバーを構成する方法

デフォルトでは、WAN ブートログメッセージはすべて、クライアントシステムに表示されます。このデフォルトの動作により、インストールの問題をすばやくデバッグできます。

クライアント以外のシステムでブートログメッセージとインストールログメッセージを記録するには、ログサーバーを設定する必要があります。インストール時に HTTPS を介してログサーバーを使用するには、WAN ブートサーバーをログサーバーとして構成する必要があります。

ログサーバーを構成するには、次の手順を実行します。

1. ログサーバーの CGI スクリプトディレクトリに bootlog-cgi スクリプトをコピーします。

   # cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin

   log-server-root/cgi-bin

   ログサーバーの Web サーバーディレクトリにある cgi-bin ディレクトリを指定します。

2. bootlog-cgi スクリプトのアクセス権を 755 に変更します。

   # chmod 755 log-server-root/cgi-bin/bootlog-cgi

3. wanboot.conf ファイル内の boot_logger パラメータの値を設定します。

   wanboot.conf ファイルに、ログサーバー上の bootlog-cgi スクリプトの URL を指定します。

   wanboot.conf ファイルのパラメータの設定方法については、「wanboot.conf ファイルを作成する方法」を参照してください。

   インストール時、ログサーバーの /tmp ディレクトリに、ブートログメッセージとインストールログメッセージが記録されます。ログファイルの名前は bootlog.hostname となります。hostname は、クライアントのホスト名です。

例 11–5 HTTPS を介して WAN ブートインストールを行う場合のログサーバーの構成

次の例では、WAN ブートサーバーをログサーバーとして構成します。

# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

WAN ブートインストールの続行

ログサーバーを設定したあと、必要に応じて、WAN ブートインストールでデジタル証明書とセキュリティーキーを使用するように設定できます。WAN ブートインストールのセキュリティー機能の設定方法については、「(省略可能) HTTPS によるデータの保護」を参照してください。

(省略可能) HTTPS によるデータの保護

WAN ブートサーバーからクライアントへの転送データを保護するには、HTTPS (Secure Sockets Layer を介した HTTP) を使用します。「セキュリティー保護された WAN ブートインストール構成」に説明されている、より高いセキュリティーで保護されたインストール構成を使用するには、Web サーバーで HTTPS を使用できるようにする必要があります。

セキュリティー保護された WAN ブートを実行しない場合は、この節の手順は省略してください。セキュリティー保護されていないインストールの準備を続行するには、「カスタム JumpStart インストールファイルの作成」を参照してください。

WAN ブートサーバーの Web サーバーソフトウェアで HTTPS を使用できるようにするには、次の作業を実行します。

• Web サーバーソフトウェアの SSL (Secure Sockets Layer) サポートを有効にします。

  SSL サポートとクライアント認証を有効にする手順は、Web サーバーによって異なります。Web サーバーでこれらのセキュリティー機能を有効にする方法については、このマニュアルでは説明していません。これらの機能については、次のマニュアルを参照してください。

  • Sun ONE Web Server および iPlanet Web Server で SSL を有効にする方法については、http://docs.sun.com にある Sun ONE および iPlanet のマニュアルコレクションを参照してください。

  • Apache Web サーバーで SSL を有効にする方法については、 http://httpd.apache.org/docs-project/ にある Apache Documentation Project を参照してください。

  • 上記以外の Web サーバーソフトウェアを使用している場合は、そのソフトウェアのマニュアルを参照してください。

• WAN ブートサーバーにデジタル証明書をインストールします。

  WAN ブートでデジタル証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。

• 信頼できる証明書をクライアントに提供します。

  信頼できる証明書の作成方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。

• ハッシュキーと暗号化鍵を作成します。

  キーの作成方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

• (省略可能) クライアント認証をサポートするように Web サーバーソフトウェアを構成します。

  クライアント認証をサポートするように Web サーバーを構成する方法については、Web サーバーのマニュアルを参照してください。

ここでは、WAN ブートインストールでデジタル証明書とセキュリティーキーを使用する方法について説明します。

(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法

WAN ブートインストールでは、PKCS#12 ファイルを使って、サーバー認証またはサーバー認証とクライアント認証の両方を伴うインストールを HTTPS で実行できます。PKCS#12 ファイルを使用するための要件とガイドラインについては、「デジタル証明書の要件」を参照してください。

WAN ブートインストールで PKCS#12 ファイルを使用するには、次の作業を実行します。

• PKCS#12 ファイルを、SSL 非公開鍵のファイルと信頼できる証明書のファイルに分割します。

• /etc/netboot ディレクトリにあるクライアントの truststore ファイルに、信頼できる証明書を挿入します。信頼できる証明書に従って、クライアントはサーバーを信頼します。

• (省略可能) /etc/netboot ディレクトリにあるクライアントの keystore ファイルに、SSL 非公開鍵ファイルの内容を挿入します。

wanbootutil コマンドには、上記の作業を実行するためのオプションが用意されています。

セキュリティー保護された WAN ブートを実行しない場合は、この手順は省略してください。セキュリティー保護されていないインストールの準備を続行するには、「カスタム JumpStart インストールファイルの作成」を参照してください。

信頼できる証明書とクライアントの非公開鍵を作成するには、次の手順に従ってください。

始める前に

PKCS#12 ファイルを分割する前に、WAN ブートサーバーの /etc/netboot ディレクトリに適切なサブディレクトリを作成してください。

• /etc/netboot ディレクトリの概要については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。

• /etc/netboot ディレクトリの作成方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。

1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

2. 信頼できる証明書を PKCS#12 ファイルから抽出します。/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、この証明書を挿入します。

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   wanbootutil コマンドのオプションです。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。

   -i p12cert

   分割する PKCS#12 ファイルの名前を指定します。

   -t /etc/netboot/net-ip /client-ID/truststore

   クライアントの truststore ファイルに証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

3. (省略可能) クライアント認証を要求するかどうかを決定します。

   • 要求しない場合は、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」に進みます。

   • 要求する場合は、引き続き次の手順を実行します。

     1. クライアントの certstore にクライアントの証明書を挿入します。

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        wanbootutil コマンドのオプションです。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。

        -i p12cert

        分割する PKCS#12 ファイルの名前を指定します。

        -c /etc/netboot/net-ip/ client-ID/certstore

        クライアントの certstore にクライアントの証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

        -k keyfile

        PKCS#12 ファイルの分割によって作成する、クライアントの SSL 非公開鍵ファイルの名前を指定します。

     2. クライアントの keystore に非公開鍵を挿入します。

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        クライアントの keystore に SSL 非公開鍵を挿入します

        -k keyfile

        前の手順で作成したクライアントの非公開鍵ファイルの名前を指定します

        -s /etc/netboot/net-ip/client-ID/keystore

        クライアントの keystore へのパスを指定します

        -o type=rsa

        キータイプとして RSA を指定します

例 11–6 サーバー認証用の信頼できる証明書を作成する

次の例では、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 に対して、PKCS#12 ファイルを使ってインストールを行います。このコマンド例は、client.p12 という名前の PKCS#12 ファイルから証明書を抽出します。このコマンドは次に、この信頼できる証明書の内容を、クライアントの truststore ファイルに挿入します。

これらのコマンドを実行する前に、まず Web サーバーユーザーと同じユーザー役割になる必要があります。この例の場合、Web サーバーユーザー役割は nobody です。

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

WAN ブートインストールの続行

デジタル証明書を作成したあと、ハッシュキーと暗号化鍵を作成します。手順については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

参照

信頼できる証明書の作成方法については、wanbootutil(1M) のマニュアルページを参照してください。

(省略可能) ハッシュキーと暗号化鍵を作成する方法

HTTPS を使ってデータを転送するには、HMAC SHA1 ハッシュキーと暗号化鍵を作成する必要があります。半私設のネットワーク上でインストールを行うときなど、インストールデータの暗号化が不要な場合もあります。HMAC SHA1 ハッシュキーを使用すると、wanboot プログラムの完全性を確認できます。

wanbootutil keygen コマンドを使用すると、これらのキーを生成し、/etc/netboot の適切なディレクトリに保存できます。

セキュリティー保護された WAN ブートを実行しない場合は、この手順は省略してください。セキュリティー保護されていないインストールの準備を続行するには、「カスタム JumpStart インストールファイルの作成」を参照してください。

ハッシュキーと暗号化鍵を作成するには、次の手順に従ってください。

1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

2. HMAC SHA1 マスターキーを作成します。

   # wanbootutil keygen -m

   keygen -m

   WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。

3. このマスターキーから、クライアントの HMAC SHA1 ハッシュキーを作成します。

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1

   -c

   クライアントのハッシュキーをマスターキーから作成します。

   -o

   wanbootutil keygen コマンドに追加オプションが含まれていることを示します。

   (省略可能) net=net-ip

   クライアントのサブネットの IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。

   (省略可能) cid=client-ID

   クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。

   type=sha1

   クライアントの HMAC SHA1 ハッシュキーを作成するよう、wanbootutil keygen ユーティリティーに指示します。

4. クライアントの暗号化鍵を作成する必要があるかどうかを決定します。

   HTTPS を介して WAN ブートインストールを実行するには、暗号化鍵を作成する必要があります。クライアントが WAN ブートサーバーと HTTPS 接続を確立する前に、WAN ブートサーバーは、暗号化されたデータと情報をクライアントに転送します。クライアントは暗号化鍵を使ってこの情報を復号化し、インストール時にこの情報を使用することができます。

   • サーバー認証を伴う、より高いセキュリティーで保護された WAN インストールを HTTPS で実行する場合は、次の手順に進みます。

   • wanboot プログラムの完全性チェックだけを行う場合は、暗号化鍵を作成する必要はありません。手順 6 に進みます。

5. クライアントの暗号化鍵を作成します。

   # wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type

   -c

   クライアントの暗号化鍵を作成します。

   -o

   wanbootutil keygen コマンドに追加オプションが含まれていることを示します。

   (省略可能) net=net-ip

   クライアントのネットワーク IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。

   (省略可能) cid=client-ID

   クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。

   type=key-type

   クライアントの暗号化鍵を作成するよう、wanbootutil keygen ユーティリティーに指示します。key-type には、3des または aes という値を指定できます。

6. クライアントシステムにキーをインストールします。

   クライアントにキーをインストールする方法については、「クライアントに対するキーのインストール」を参照してください。

例 11–7 HTTPS を介して WAN ブートインストールを実行するために必要なキーを作成する

次の例では、WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。またこの例では、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 用に、HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を作成します。

これらのコマンドを実行する前に、まず Web サーバーユーザーと同じユーザー役割になる必要があります。この例の場合、Web サーバーユーザー役割は nobody です。

server# su nobody
Password:
nobody# wanbootutil keygen -m
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

WAN ブートインストールの続行

ハッシュキーと暗号化鍵を作成したあと、インストールファイルを作成する必要があります。手順については、「カスタム JumpStart インストールファイルの作成」を参照してください。

参照

ハッシュキーと暗号化鍵の概要については、「WAN ブートインストール時のデータの保護」を参照してください。

ハッシュキーと暗号化鍵の作成方法については、wanbootutil(1M) のマニュアルページを参照してください。

カスタム JumpStart インストールファイルの作成

WAN ブートは、カスタム JumpStart インストールを実行して、Solaris フラッシュアーカイブをクライアントにインストールします。カスタム JumpStart は、あらかじめ作成したプロファイルを使って、複数のシステムのインストールを自動的にかつ同時に行うことができる、コマンド行インタフェースです。プロファイルには、どのようにソフトウェアをインストールするかを定義します。さらに、インストール前とインストール後に実行する作業を、シェルスクリプトを使用して指定することができます。システムのインストールまたはアップグレードにどのプロファイルとスクリプトを使用するかを選択できます。カスタム JumpStart では、選択したプロファイルとスクリプトに基づいて、システムのインストールまたはアップグレードが行われます。また、sysidcfg ファイルを使用して構成情報を指定することにより、カスタム JumpStart インストールを完全に自動化することも可能です。

WAN ブートインストール用のカスタム JumpStart ファイルを準備するには、次の作業を実行します。

• 「Solaris フラッシュアーカイブを作成する方法」

• 「sysidcfg ファイルを作成する方法」

• 「rules ファイルを作成する方法」

• 「プロファイルを作成する方法」

• 「(省略可能) 開始スクリプトと終了スクリプトの作成」

カスタム JumpStart インストールの詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の第 2 章「カスタム JumpStart (概要)」を参照してください。

Solaris フラッシュアーカイブを作成する方法

Solaris フラッシュインストール機能を利用すると、マスターシステムと呼ばれるシステム上の Solaris OS を、単一の参照用インストールイメージとして使用できます。また、マスターシステムのイメージを複製して、Solaris フラッシュアーカイブを作成できます。ネットワーク内のほかのシステムにこの Solaris フラッシュアーカイブをインストールすることで、クローンシステムを作成できます。

ここでは、Solaris フラッシュアーカイブの作成方法について説明します。

始める前に

• Solaris フラッシュアーカイブを作成する前に、マスターシステムのインストールを行う必要があります。

  • マスターシステムのインストール方法については、『Solaris 10 11/06 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「マスターシステムへのインストール」を参照してください。

  • Solaris フラッシュアーカイブの詳細については、『Solaris 10 11/06 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の第 1 章「Solaris フラッシュ (概要)」を参照してください。

• ファイルサイズに関連する問題:

  Web サーバーソフトウェアのマニュアルを参照して、Solaris フラッシュアーカイブの大きさのファイルを転送できることを確認してください。

  • Web サーバーソフトウェアのマニュアルを参照して、Solaris フラッシュアーカイブの大きさのファイルを転送できることを確認してください。

  • flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていても Solaris フラッシュ アーカイブを作成できます。

    詳細については、『Solaris 10 11/06 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。

1. マスターシステムをブートします。

   できるだけ静的な状態でマスターシステムを稼働させます。可能であれば、システムをシングルユーザーモードで実行してください。これが不可能な場合、アーカイブするアプリケーションおよび大量のオペレーティングシステムリソースを必要とするアプリケーションを停止します。

2. flarcreate コマンドを使用して、アーカイブを作成します。

   # flarcreate -n name [optional-parameters] document-root/flash/filename

   name

   アーカイブに指定する名前です。指定する name は、content_name キーワードの値になります。

   optional-parameters

   flarcreate コマンドには、Solaris フラッシュアーカイブをカスタマイズするためのオプションをいくつか指定できます。これらのオプションの詳細な説明については、『Solaris 10 11/06 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の第 5 章「Solaris フラッシュ (リファレンス)」を参照してください。

   document-root/flash

   インストールサーバーのドキュメントルートディレクトリにある Solaris フラッシュサブディレクトリへのパスです。

   filename

   アーカイブファイルの名前です。

   ディスク容量を節約するために、flarcreate コマンドに -c オプションを指定してアーカイブを圧縮することもできます。ただし、アーカイブを圧縮すると、WAN ブートインストールのパフォーマンスに影響する場合があります。圧縮されたアーカイブの作成方法については、flarcreate(1M) のマニュアルページを参照してください。

   • アーカイブの作成が正常に完了すると、flarcreate コマンドは終了コード 0 を返します。

   • アーカイブの作成が失敗すると、flarcreate コマンドは 0 以外の終了コードを返します。

例 11–8 WAN ブートインストール用 Solaris フラッシュアーカイブの作成

この例では、wanserver というホスト名を持つ WAN ブートサーバーシステムのクローンを作成して、Solaris フラッシュアーカイブを作成します。このアーカイブは sol_10_sparc という名前で、マスターシステムから正確にコピーされます。アーカイブはマスターシステムの完全な複製です。アーカイブは sol_10_sparc.flar に格納されます。WAN ブートサーバーのドキュメントルートディレクトリの flash/archives サブディレクトリにこのアーカイブを保存します。

wanserver# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

WAN ブートインストールの続行

Solaris フラッシュアーカイブを作成したあと、sysidcfg ファイルでクライアント情報を事前設定します。手順については、「sysidcfg ファイルを作成する方法」を参照してください。

参照

Solaris フラッシュアーカイブの作成方法の詳細については、『Solaris 10 11/06 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の第 3 章「Solaris フラッシュアーカイブの作成 (作業)」を参照してください。

flarcreate コマンドの詳細は、flarcreate(1M) のマニュアルページを参照してください。

sysidcfg ファイルを作成する方法

sysidcfg ファイルに一連のキーワードを指定すると、システムを事前設定できます。

sysidcfg ファイルを作成するには、次の手順に従ってください。

始める前に

Solaris フラッシュアーカイブを作成します。詳細は、「Solaris フラッシュアーカイブを作成する方法」を参照してください。

1. インストールサーバーで、テキストエディタを使って sysidcfg というファイルを作成します。

2. 必要な sysidcfg のキーワードを入力します。

   sysidcfg のキーワードの詳細については、「sysidcfg ファイルキーワード」を参照してください。

3. WAN ブートサーバーがアクセスできる場所に、この sysidcfg ファイルを保存します。

   このファイルを次のどちらかの場所に保存します。

   • WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。

   • WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。

例 11–9 WAN ブートインストール用の sysidcfg ファイル

SPARC ベースのシステムで使用される sysidcfg ファイルの例を次に示します。このシステムのホスト名、IP アドレス、およびネットマスクは、ネームサービスを編集することにより、すでに事前設定されています。

network_interface=primary {hostname=wanclient
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
                  domain_name=mind.over.example.com
                  }
security_policy=none

WAN ブートインストールの続行

sysidcfg ファイルを作成したあと、クライアントのカスタム JumpStart プロファイルを作成します。手順については、「プロファイルを作成する方法」を参照してください。

参照

sysidcfg のキーワードと値の詳細については、「sysidcfg ファイルによる事前設定」を参照してください。

プロファイルを作成する方法

プロファイルは、システムへの Solaris ソフトウェアのインストール方法をカスタム JumpStart プログラムに指示するテキストファイルです。プロファイルには、インストール要素 (インストールするソフトウェアグループなど) を指定します。

プロファイルの作成方法の詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルの作成」を参照してください。

プロファイルを作成するには、次の手順に従ってください。

始める前に

クライアント用の sysidcfg ファイルを作成します。詳細は、「sysidcfg ファイルを作成する方法」を参照してください。

1. インストールサーバーで、テキストファイルを作成します。ファイルにわかりやすい名前を付けます。

   プロファイルには、システムに Solaris ソフトウェアをインストールする際の使用目的を表すような名前を付けてください。たとえば、basic_install、eng_profile、user_profile などのプロファイル名を付けます。

2. プロファイルにプロファイルキーワードと値を追加します。

   プロファイルキーワードと値の一覧については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルキーワードと値」を参照してください。

   プロファイルキーワードとプロファイル値には、大文字と小文字の区別があります。

3. WAN ブートサーバーがアクセスできる場所に、このプロファイルを保存します。

   このプロファイルを次のどちらかの場所に保存します。

   • WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。

   • WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。

4. プロファイルの所有者が root で、そのアクセス権が 644 に設定されていることを確認します。

5. (省略可能) プロファイルをテストします。

   プロファイルのテストに関する情報については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルのテスト」を参照してください。

例 11–10 HTTPS サーバーから Solaris フラッシュアーカイブを取得する

次の例のプロファイルは、カスタム JumpStart プログラムに対し、HTTPS サーバーから Solaris フラッシュアーカイブを取得するように指示します。

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/sol_10_sparc.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

この例で使用されているキーワードと値の一部について、次のリストで説明します。

install_type

このプロファイルにより、Solaris フラッシュアーカイブがクローンシステムにインストールされます。すべてのファイルは、初期インストールにより上書きされます。

archive_location

圧縮された Solaris フラッシュアーカイブが HTTPS サーバーから取得されます。

partitioning

値が explicit であるため、ファイルシステムスライスは filesys キーワードによって指定します。ルート (/) のサイズは Solaris フラッシュアーカイブのサイズに基づいて割り当てています。swap は、必要なサイズを割り当てた上で、c0t1d0s1 上にインストールされるように設定しています。/export/home のサイズは残りのディスク容量に基づいて決定されます。/export/home は c0t1d0s7 上にインストールされます。

WAN ブートインストールの続行

プロファイルを作成したあと、rules ファイルの作成と妥当性検査を行う必要があります。手順については、「rules ファイルを作成する方法」を参照してください。

参照

プロファイルの作成方法の詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルの作成」を参照してください。

プロファイルキーワードと値の詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルキーワードと値」を参照してください。

rules ファイルを作成する方法

rules ファイルは、Solaris OS のインストール先となる各システムグループのルールを記述したテキストファイルです。各ルールは 1 つ以上のシステム属性にもとづいてシステムグループを識別し、各グループをプロファイルにリンクします。プロファイルは、グループ内の各システムに Solaris ソフトウェアがどのようにインストールされるかを定義するテキストファイルです。たとえば、次のルールは JumpStart プログラムが basic_prof プロファイル内の情報を使用し、sun4u プラットフォームグループを持つすべてのシステムに対してインストールを実行することを示します。

karch sun4u - basic_prof -

rules ファイルを使用して、カスタム JumpStart インストールに必要な rules.ok ファイルを作成します。

rules ファイルの作成方法の詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「rules ファイルの作成」を参照してください。

rules ファイルを作成するには、次の手順に従ってください。

始める前に

クライアント用のプロファイルを作成します。詳細は、「プロファイルを作成する方法」を参照してください。

1. インストールサーバーで、rules という名前のテキストファイルを作成します。

2. インストール対象であるシステムのグループごとに、適用するルールを rules ファイルに追加します。

   rules ファイルの作成方法の詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「rules ファイルの作成」を参照してください。

3. インストールサーバーに rules ファイルを保存します。

4. rules ファイルの妥当性検査を行います。

   $ ./check -p path -r file-name

   -p path

   使用しているシステムの check スクリプトではなく Solaris 10 11/06 ソフトウェアイメージの check スクリプトを使用して rules の妥当性検査を行います。path は、ローカルディスク、マウントされた Solaris DVD、または Solaris SOFTWARE - 1 CD 上のイメージです。

   システムが以前のバージョンの Solaris OS を実行している場合、このオプションを使用して、最新バージョンの check スクリプトを実行します。

   -r file_name

   名前が rules 以外の rules ファイル名を指定します。このオプションを使用すると、rules ファイルに組み込む前にルールの妥当性を検査できます。

   check スクリプトを実行すると、rules ファイルの有効性と各プロファイルの有効性の検査結果が表示されます。エラーが検出されないと、The custom JumpStart configuration is ok と表示されます。check スクリプトによって rules.ok ファイルが作成されます。

5. WAN ブートサーバーがアクセスできる場所に、この rules.ok ファイルを保存します。

   このファイルを次のどちらかの場所に保存します。

   • WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。

   • WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。

6. root が rules.ok ファイルを所有していて、そのアクセス権が 644 に設定されていることを確認します。

例 11–11 rules ファイルの作成と妥当性検査

カスタム JumpStart プログラムでは、wanclient-1 システム用の正しいインストールプロファイルを選択するために、rules ファイルが使用されます。rules という名前のテキストファイルを作成します。次に、このファイルにキーワードと値を追加します。

クライアントシステムの IP アドレスは 192.168.198.210 で、ネットマスクは 255.255.255.0 です。network ルールキーワードを使って、カスタム JumpStart プログラムでクライアントのインストールに使用するプロファイルを指定します。

network 192.168.198.0 - wanclient_prof - 

この rules ファイルは、wanclient_prof を使ってクライアントに Solaris 10 11/06 ソフトウェアをインストールするよう、カスタム JumpStart プログラムに指示します。

このルールファイルに wanclient_rule という名前を付けます。

プロファイルと rules ファイルを作成したあと、check スクリプトを実行して、ファイルの妥当性を検査します。

wanserver# ./check -r wanclient_rule

check スクリプトによってエラーが検出されない場合は、rules.ok ファイルが作成されます。

rules.ok ファイルを /opt/apache/htdocs/flash/ ディレクトリに保存します。

WAN ブートインストールの続行

rules.ok ファイルを作成したあと、必要に応じて開始スクリプトと終了スクリプトを設定できます。手順については、「(省略可能) 開始スクリプトと終了スクリプトの作成」を参照してください。

開始スクリプトと終了スクリプトを設定しない場合は、「構成ファイルの作成」を参照して WAN ブートインストールを続行します。

参照

rules ファイルの作成方法の詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「rules ファイルの作成」を参照してください。

rules ファイルのキーワードと値の詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「ルールキーワードと値の説明」を参照してください。

(省略可能) 開始スクリプトと終了スクリプトの作成

「開始スクリプト」と「終了スクリプト」は、ユーザーが定義する Bourne シェルスクリプトで、rules ファイル内で指定します。開始スクリプトは、Solaris ソフトウェアがシステムにインストールされる前に作業を実行します。終了スクリプトは、Solaris ソフトウェアがシステムにインストールされたあと、システムがリブートする前に作業を実行します。これらのスクリプトは、カスタム JumpStart インストールで Solaris をインストールするときのみ使用できます。

開始スクリプトを使用すると、派生プロファイルを作成できます。終了スクリプトを使用すると、ファイル、パッケージ、パッチ、ほかのソフトウェアの追加など、各種のポストインストール作業を実行できます。

開始スクリプトと終了スクリプトは、インストールサーバー上で sysidcfg、rules.ok、およびプロファイルの各ファイルと同じディレクトリに保存する必要があります。

• 開始スクリプトの作成方法の詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「開始スクリプトの作成」を参照してください。

• 終了スクリプトの作成方法の詳細については、『Solaris 10 11/06 インストールガイド (カスタム JumpStart/ 上級編)』の「終了スクリプトの作成」を参照してください。

WAN ブートインストールの準備を続行するには、「構成ファイルの作成」を参照してください。

構成ファイルの作成

WAN ブートでは、WAN ブートインストールに必要なデータとファイルの場所が、次のファイルによって指定されます。

• システム構成ファイル (system.conf)

• wanboot.conf ファイル

ここでは、これら 2 つのファイルの作成方法と保存方法について説明します。

システム構成ファイルを作成する方法

システム構成ファイルでは、次のファイルの場所を WAN ブートインストールプログラムに指示できます。

• sysidcfg ファイル

• rules.ok ファイル

• カスタム JumpStart プロファイル

WAN ブートは、システム構成ファイルのポインタに従って、クライアントに対してインストールと構成を行います。

システム構成ファイルは、プレーンテキストファイルで、次の書式に従う必要があります。

設定=値

システム構成ファイルを使って sysidcfg、rules.ok、およびプロファイルの各ファイルの場所を WAN インストールプログラムに指示するには、次の手順を実行します。

始める前に

システム構成ファイルを作成する前に、WAN ブートインストール用のインストールファイルを作成する必要があります。詳細は、「カスタム JumpStart インストールファイルの作成」を参照してください。

1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

2. テキストファイルを作成します。sys-conf.s10–sparc のように、わかりやすい名前をファイルに付けます。

3. このシステム構成ファイルに、次のエントリを追加します。

   SsysidCF=sysidcfg-file-URL

   sysidcfg ファイルが置かれているインストールサーバー上の flash ディレクトリを指定します。この URL は、「sysidcfg ファイルを作成する方法」で作成した sysidcfg ファイルへのパスと一致するようにしてください。

   HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。

   SjumpsCF=jumpstart-files-URL

   rules.ok ファイル、プロファイルファイル、および開始スクリプトと終了スクリプトが置かれているインストールサーバー上の Solaris フラッシュディレクトリを指定します。この URL は、「プロファイルを作成する方法」および 「rules ファイルを作成する方法」で作成したカスタム JumpStart ファイルへのパスと一致するようにしてください。

   HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。

4. WAN ブートサーバーがアクセスできるディレクトリに、このファイルを保存します。

   管理上の目的から、WAN ブートサーバーの /etc/netboot ディレクトリにある適切なクライアントのディレクトリに、このファイルを保存することもできます。

5. システム構成ファイルのアクセス権を 600 に変更します。

   # chmod 600 /path/system-conf-file

   path

   システム構成ファイルが置かれているディレクトリへのパスを指定します。

   system-conf-file

   システム構成ファイルの名前を指定します。

例 11–12 HTTPS を介して WAN ブートインストールを行う場合のシステム構成ファイル

次の例の WAN ブートプログラムは、ポート 1234 上の Web サーバー https://www.example.com で、sysidcfg ファイルとカスタム JumpStart ファイルを検索します。インストール時、Web サーバーは HTTPS を使ってデータとファイルを暗号化します。

sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ /opt/apache/htdocs の flash サブディレクトリに置かれています。

SsysidCF=https://www.example.com:1234/flash
SjumpsCF=https://www.example.com:1234/flash

例 11–13 セキュリティー保護されていない WAN ブートインストールを行う場合のシステム構成ファイル

次の例で、WAN ブートプログラムは、Web サーバー http://www.example.com で sysidcfg ファイルとカスタム JumpStart ファイルを検索します。Web サーバーは HTTP を使用するため、インストール時にデータやファイルは保護されません。

sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ /opt/apache/htdocs の flash サブディレクトリに置かれています。

SsysidCF=http://www.example.com/flash
SjumpsCF=http://www.example.com/flash

WAN ブートインストールの続行

システム構成ファイルを作成したあと、wanboot.conf ファイルを作成します。手順については、「wanboot.conf ファイルを作成する方法」を参照してください。

wanboot.conf ファイルを作成する方法

wanboot.conf ファイルは、プレーンテキストの構成ファイルで、WAN インストールを実行するために WAN ブートプログラムで使用されます。wanboot-cgi プログラム、ブートファイルシステム、および WAN ブートミニルートはすべて、wanboot.conf ファイルに保存されている情報を使ってクライアントマシンのインストールを行います。

WAN ブートサーバー上の /etc/netboot ディレクトリにある該当のクライアントのサブディレクトリに、この wanboot.conf ファイルを保存してください。/etc/netboot ディレクトリを使って WAN ブートインストールの適用範囲を定義する方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。

WAN ブートサーバーで Solaris 10 11/06 OS が稼働している場合は、/etc/netboot/wanboot.conf.sample に wanboot.conf ファイルの例があります。この例は、WAN ブートインストール用のテンプレートとして使用できます。

wanboot.conf ファイルには、次の情報を指定する必要があります。

これらの情報を指定するには、パラメータとその値を次の書式で列挙します。

パラメータ=値

wanboot.conf ファイルのパラメータと構文については、「wanboot.conf ファイルのパラメータと構文」を参照してください。

wanboot.conf ファイルを作成するには、次の手順に従ってください。

1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

2. wanboot.conf テキストファイルを作成します。

   wanboot.conf という名前の新しいテキストファイルを作成するか、/etc/netboot/wanboot.conf.sample にあるファイル例を使用します。ファイル例を使用する場合は、パラメータを追加したあとで、ファイルの名前を wanboot.conf に変更してください。

3. インストール用のパラメータと値を wanboot.conf に入力します。

   wanboot.conf のパラメータと値については、「wanboot.conf ファイルのパラメータと構文」を参照してください。

4. /etc/netboot ディレクトリの適切なサブディレクトリに wanboot.conf ファイルを保存します。

   /etc/netboot ディレクトリの作成方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。

5. wanboot.conf ファイルの妥当性検査を行います。

   # bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf

   path-to-wanboot.conf

   WAN ブートサーバーにあるクライアントの wanboot.conf ファイルへのパスを指定します

   • wanboot.conf ファイルが構造的に有効であれば、bootconfchk コマンドは終了コード 0 を返します。

   • wanboot.conf ファイルが無効であれば、bootconfchk コマンドは 0 以外の終了コードを返します。

6. wanboot.conf ファイルのアクセス権を 600 に変更します。

   # chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf

例 11–14 HTTPS を介して WAN ブートインストールを行う場合の wanboot.conf ファイル

次の wanboot.conf ファイル例には、HTTPS を使った WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで 3DES 暗号化鍵を使用することも指示されています。

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

この wanboot.conf ファイルで指定されている構成は次のとおりです。

boot_file=/wanboot/wanboot.s10_sparc

二次レベルのブートプログラムの名前は wanboot.s10_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。

root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi

WAN ブートサーバー上の wanboot-cgi プログラムの場所は https://www.example.com:1234/cgi-bin/wanboot-cgi です。URL の https という部分は、この WAN ブートインストールで HTTPS を使用することを示しています。

root_file=/miniroot/miniroot.s10_sparc

WAN ブートミニルートの名前は miniroot.s10_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot ディレクトリに置かれています。

signature_type=sha1

wanboot.s10_sparc プログラムと WAN ブートファイルシステムは、HMAC SHA1 ハッシュキーで署名されます。

encryption_type=3des

wanboot.s10_sparc プログラムとブートファイルシステムは、3DES 暗号化鍵で暗号化されます。

server_authentication=yes

インストール時にサーバー認証が行われます。

client_authentication=no

インストール時にクライアント認証は行われません。

resolve_hosts=

WAN インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。

boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi

(省略可能) ブートログメッセージおよびインストールログメッセージが、WAN ブートサーバー上で HTTPS を使用して記録されます。

WAN ブートインストールのログサーバーの設定方法については、「(省略可能) WAN ブートログサーバーを構成する方法」を参照してください。

system_conf=sys-conf.s10–sparc

sysidcfg ファイルと JumpStart ファイルの場所が記述されたシステム構成ファイルは、/etc/netboot ディレクトリのサブディレクトリに置かれています。システム構成ファイルの名前は sys-conf.s10–sparc です。

例 11–15 セキュリティー保護されていない WAN ブートインストールを行う場合の wanboot.conf ファイル

次の wanboot.conf ファイル例には、HTTP を使ったセキュリティーの低い WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで暗号化鍵やハッシュキーを使用しないことも指示されています。

boot_file=/wanboot/wanboot.s10_sparc
root_server=http://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=
encryption_type=
server_authentication=no
client_authentication=no
resolve_hosts=
boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
system_conf=sys-conf.s10–sparc

この wanboot.conf ファイルで指定されている構成は次のとおりです。

boot_file=/wanboot/wanboot.s10_sparc

二次レベルのブートプログラムの名前は wanboot.s10_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。

root_server=http://www.example.com/cgi-bin/wanboot-cgi

WAN ブートサーバー上の wanboot-cgi プログラムの場所は http://www.example.com/cgi-bin/wanboot-cgi です。このインストールでは HTTPS を使用しません。

root_file=/miniroot/miniroot.s10_sparc

WAN ブートミニルートの名前は miniroot.s10_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot サブディレクトリに置かれています。

signature_type=

wanboot.s10_sparc プログラムと WAN ブートファイルシステムは、ハッシュキーで署名されません。

encryption_type=

wanboot.s10_sparc プログラムとブートファイルシステムは、暗号化されません。

server_authentication=no

インストール時に、キーや証明書によるサーバー認証は行われません。

client_authentication=no

インストール時に、キーや証明書によるクライアント認証は行われません。

resolve_hosts=

インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。

boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

(省略可能) WAN ブートサーバー上でブートログメッセージおよびインストールログメッセージが記録されます。

WAN ブートインストールのログサーバーの設定方法については、「(省略可能) WAN ブートログサーバーを構成する方法」を参照してください。

system_conf=sys-conf.s10–sparc

sysidcfg ファイルと JumpStart ファイルの場所が記述されたシステム構成ファイルは、sys-conf.s10–sparc という名前です。このファイルは、/etc/netboot ディレクトリにある適切なクライアントのサブディレクトリに置かれています。

WAN ブートインストールの続行

wanboot.conf ファイルを作成したあと、必要に応じて、WAN ブートをサポートするように DHCP サーバーを構成できます。手順については、「(省略可能) DHCP による構成情報の提供」を参照してください。

WAN ブートインストールで DHCP サーバーを使用しない場合は、「クライアント OBP の net デバイス別名を確認する方法」を参照して WAN ブートインストールを続行します。

参照

wanboot.conf のパラメータと値については、「wanboot.conf ファイルのパラメータと構文」および wanboot.conf(4) のマニュアルページを参照してください。

(省略可能) DHCP による構成情報の提供

ネットワークで DHCP サーバーを使用する場合は、次の情報を提供するように DHCP サーバーを構成できます。

• プロキシサーバーの IP アドレス

• wanboot-cgi プログラムの場所

WAN ブートインストールでは、次の DHCP ベンダーオプションを使用できます。

SHTTPproxy

ネットワークのプロキシサーバーの IP アドレスを指定します。

SbootURI

WAN ブートサーバー上の wanboot-cgi プログラムの URL を指定します。

Solaris DHCP サーバーにこれらのベンダーオプションを設定する方法については、「DHCP サービスによるシステム構成情報の事前設定 (作業)」を参照してください。

Solaris DHCP サーバーの設定方法については、『Solaris のシステム管理 (IP サービス)』の第 14 章「DHCP サービスの構成 (手順)」を参照してください。

WAN ブートインストールを続行するには、第 12 章「SPARC: WAN ブートによるインストール (作業)」を参照してください。

第 12 章 SPARC: WAN ブートによるインストール (作業)

この章では、SPARC ベースのクライアントに対して WAN ブートインストールを実行する方法について説明します。WAN ブートインストールの準備方法については、第 11 章「WAN ブート によるインストール (作業)」を参照してください。

この章の内容は次のとおりです。

• 「WAN ブートインストールを行うためのクライアントの準備」

• 「クライアントのインストール」

作業マップ: WAN ブートによるクライアントのインストール

次の表では、クライアントのインストールを WAN 経由で実行するために必要な作業の一覧を示しています。

WAN ブートインストールを行うためのクライアントの準備

クライアントシステムのインストールを行う前に、次の作業を実行してクライアントを準備してください。

• 「クライアント OBP の net デバイス別名を確認する方法」

• 「クライアントに対するキーのインストール」

クライアント OBP の net デバイス別名を確認する方法

boot net コマンドを使って WAN からクライアントをブートするには、net デバイス別名にクライアントの主ネットワークデバイスが設定されている必要があります。ほとんどのシステムで、この別名はすでに正しく設定されています。ただし、使用するネットワークデバイスがデバイス別名に設定されていない場合は、別名を変更する必要があります。

デバイス別名の設定方法の詳細は、『OpenBoot 3.x コマンド・リファレンスマニュアル』の「デバイスツリー」を参照してください。

クライアント上で net デバイス別名を確認するには、次の手順に従ってください。

1. クライアント上で、スーパーユーザー、またはそれと同等の役割になります。

2. システムを実行レベル 0 にします。

   # init 0

   ok プロンプトが表示されます。

3. ok プロンプトで、OBP に設定されているデバイス別名を調べます。

   ok devalias

   devalias コマンドは、次の例のような情報を出力します。

   screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

   • インストール時に使用するネットワークデバイスが net 別名に設定されている場合は、別名を設定し直す必要はありません。「クライアントに対するキーのインストール」に進み、インストールを続行します。

   • 使用するネットワークデバイスが net 別名に設定されていない場合は、別名を設定し直す必要があります。次の手順へ進みます。

4. net デバイス別名を設定します。

   次のどちらかのコマンドを使って、net デバイス別名を設定します。

   • このインストールに限り net デバイス別名を変更する場合は、devalias コマンドを使用します。

     ok devalias net device-path

     net device-path

     デバイス device-path を net 別名に割り当てます

   • net デバイス別名を固定的に変更する場合は、nvalias コマンドを使用します。

     ok nvalias net device-path

     net device-path

     デバイス device-path を net 別名に割り当てます

例 12–1 net デバイス別名の確認と設定変更

次のコマンドは、net デバイス別名を確認して設定し直す方法を示しています。

デバイス別名を調べます。

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

/pci@1f,0/pci@1,1/network@5,1 というネットワークデバイスを使用する場合は、次のコマンドを入力します。

ok devalias net /pci@1f,0/pci@1,1/network@5,1

WAN ブートインストールの続行

net デバイス別名を確認したあと、適切な節を参照してインストールを続行します。

• インストールでハッシュキーと暗号化鍵を使用する場合は、「クライアントに対するキーのインストール」を参照してください。

• キーを使用せずに、セキュリティー保護されていないインストールを実行する場合は、「クライアントのインストール」を参照してください。

クライアントに対するキーのインストール

より高いセキュリティーで保護された WAN ブートインストールを行う場合や、セキュリティー保護されていないインストールでデータの完全性をチェックする場合は、クライアントにキーをインストールする必要があります。ハッシュキーや暗号化鍵を使用すると、クライアントに転送されるデータを保護できます。これらのキーは、次の方法でインストールできます。

• OBP 変数を設定する – クライアントをブートする前に、OBP のネットワークブート引数にキーの値を設定します。これらのキーは、クライアントに対する以降の WAN ブートインストールで使用されます。

• ブート処理中にキーの値を入力する – wanboot プログラムの boot> プロンプトで、キーの値を設定します。この方法でインストールしたキーは、現在の WAN ブートインストールだけに使用されます。

動作中のクライアントの OBP にキーをインストールすることもできます。動作中のクライアントにキーをインストールするには、そのシステムが Solaris 9 12/03 OS またはその互換バージョンで稼働していることが必要です。

クライアントにキーをインストールするときには、必ずセキュリティー保護された接続を使用して、キーの値を転送してください。キーの値の機密性を確保するために、サイトのセキュリティーポリシーに従ってください。

• OBP のネットワークブート引数にキーの値を割り当てる方法については、「クライアントの OBP にキーをインストールする方法」を参照してください。

• ブート処理中にキーをインストールする方法については、「対話式 WAN ブートインストールを実行する方法」を参照してください。

• 動作中のクライアントの OBP にキーをインストールする方法については、「動作中のクライアントにハッシュキーと暗号化鍵をインストールする方法」を参照してください。

クライアントの OBP にキーをインストールする方法

クライアントをブートする前に、OBP のネットワークブート引数にキーの値を設定できます。これらのキーは、クライアントに対する以降の WAN ブートインストールで使用されます。

クライアントの OBP にキーをインストールするには、次の手順に従ってください。

OBP のネットワークブート引数にキーの値を割り当てるには、次の手順に従ってください。

1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

2. クライアントの各キーの値を表示します。

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   クライアントのサブネットの IP アドレスを指定します。

   client-ID

   インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

   key-type

   クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。

   キーの値が 16 進数で表示されます。

3. クライアントにインストールする各キータイプについて、上記の手順を繰り返します。

4. クライアントシステムの実行レベルを 0 にします。

   # init 0

   ok プロンプトが表示されます。

5. クライアントの ok プロンプトで、ハッシュキーの値を設定します。

   ok set-security-key wanboot-hmac-sha1 key-value

   set-security-key

   クライアントにキーをインストールします

   wanboot-hmac-sha1

   HMAC SHA1 ハッシュキーをインストールするよう OBP に指示します

   key-value

   手順 2 で表示された 16 進数の文字列を指定します。

   HMAC SHA1 ハッシュキーがクライアントの OBP にインストールされます。

6. クライアントの ok プロンプトで、暗号化鍵をインストールします。

   ok set-security-key wanboot-3des key-value

   set-security-key

   クライアントにキーをインストールします

   wanboot-3des

   3DES 暗号化鍵をインストールするよう OBP に指示します。AES 暗号化鍵を使用する場合は、この値を wanboot-aes にしてください。

   key-value

   暗号化鍵を表す 16 進数の文字列を指定します。

   3DES 暗号化鍵がクライアントの OBP にインストールされます。

   キーをインストールしたら、クライアントに対するインストールの準備は完了です。クライアントシステムのインストール方法については、「クライアントのインストール」を参照してください。

7. (省略可能) クライアントの OBP にキーが設定されていることを確認します。

   ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des

8. (省略可能) キーを削除するには、次のコマンドを入力します。

   ok set-security-key key-type

   key-type

   削除するキーのタイプを指定します。指定できる値は、wanboot-hmac-sha1、wanboot-3des、または wanboot-aes です。

例 12–2 クライアントの OBP に対するキーのインストール

次の例は、クライアントの OBP にハッシュキーと暗号化鍵をインストールする方法を示しています。

WAN ブートサーバー上でキーの値を表示します。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記の例では、次の情報が使用されています。

net=192.168.198.0

クライアントのサブネットの IP アドレスを指定します。

cid=010003BA152A42

クライアント ID を指定します。

b482aaab82cb8d5631e16d51478c90079cc1d463

クライアントの HMAC SHA1 ハッシュキーの値です。

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

クライアントの 3DES 暗号化鍵の値です。

インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、wanboot-3des を wanboot-aes に変更します。

クライアントシステムにキーをインストールします。

ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記のコマンドは、次の処理を実行します。

• b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントにインストールします

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントにインストールします

  インストールで AES 暗号化鍵を使用する場合は、wanboot-3des を wanboot-aes に変更します。

WAN ブートインストールの続行

クライアントにキーをインストールしたら、クライアントに対する WAN インストールの準備は完了です。手順については、「クライアントのインストール」を参照してください。

参照

キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。

動作中のクライアントにハッシュキーと暗号化鍵をインストールする方法

wanboot プログラムの boot> プロンプトで、動作中のシステムにキーの値を設定できます。この方法でインストールしたキーは、現在の WAN ブートインストールだけに使用されます。

動作中のクライアントの OBP にハッシュキーと暗号化鍵をインストールするには、次の手順に従ってください。

始める前に

この手順では、次のように仮定します。

• クライアントシステムの電源は入っている。

• Secure Shell (ssh) などのセキュリティー保護された接続を介してクライアントにアクセスできる。

1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

2. クライアントの各キーの値を表示します。

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   クライアントのサブネットの IP アドレスを指定します。

   client-ID

   インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

   key-type

   クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。

   キーの値が 16 進数で表示されます。

3. クライアントにインストールする各キータイプについて、上記の手順を繰り返します。

4. クライアントマシン上で、スーパーユーザー、またはそれと同等の役割になります。

5. 動作中のクライアントマシンに、必要なキーをインストールします。

   # /usr/lib/inet/wanboot/ickey -o type=key-type > key-value

   key-type

   クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。

   key-value

   手順 2 で表示された 16 進数の文字列を指定します。

6. クライアントにインストールする各キータイプについて、上記の手順を繰り返します。

   キーをインストールしたら、クライアントに対するインストールの準備は完了です。クライアントシステムのインストール方法については、「クライアントのインストール」を参照してください。

例 12–3 動作中のクライアントシステムの OBP に対するキーのインストール

次の例は、動作中のクライアントの OBP にキーをインストールする方法を示しています。

WAN ブートサーバー上でキーの値を表示します。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記の例では、次の情報が使用されています。

net=192.168.198.0

クライアントのサブネットの IP アドレスを指定します。

cid=010003BA152A42

クライアント ID を指定します。

b482aaab82cb8d5631e16d51478c90079cc1d463

クライアントの HMAC SHA1 ハッシュキーの値です。

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

クライアントの 3DES 暗号化鍵の値です。

インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3des を type=aes に変更します。

動作中のクライアントの OBP にキーをインストールします。

# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記のコマンドは、次の処理を実行します。

• b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントにインストールします

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントにインストールします

WAN ブートインストールの続行

クライアントにキーをインストールしたら、クライアントに対する WAN インストールの準備は完了です。手順については、「クライアントのインストール」を参照してください。

参照

キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。

動作中のシステムにキーをインストールする方法については、ickey(1M) のマニュアルページを参照してください。

クライアントのインストール

WAN ブートインストールを行うためのネットワークの準備が完了したら、システムのインストール方法を次の中から選択できます。

自動 WAN ブートインストールを実行する方法

インストールを実行する前にクライアントにキーをインストールしたりクライアント構成情報を設定したりする場合は、このインストール方法を使用します。この場合、WAN からクライアントをブートし、自動的にインストールを実行できます。

この手順では、すでにクライアントの OBP にキーをインストールしてあるか、またはセキュリティー保護されないインストールを実行していると仮定します。インストール前にクライアントにキーをインストールする方法については、「クライアントに対するキーのインストール」を参照してください。

1. クライアントシステムが動作中の場合は、システムの実行レベルを 0 にします。

   # init 0

   ok プロンプトが表示されます。

2. クライアントシステムの ok プロンプトで、OBP のネットワークブート引数を設定します。

   ok setenv network-boot-arguments host-ip=client-IP, router-ip=router-ip,subnet-mask=mask-value, hostname=client-name,http-proxy=proxy-ip:port, file=wanbootCGI-URL

   ---

   注 –

   このコマンド例には、読みやすいように改行が挿入されています。実際には、改行を挿入せずにコマンド全体を入力してください。

   ---

   setenv network-boot-arguments

   次のブート引数を設定するよう OBP に指示します

   host-ip=client-IP

   クライアントの IP アドレスを指定します

   router-ip=router-ip

   ネットワークルーターの IP アドレスを指定します

   subnet-mask=mask-value

   サブネットマスクの値を指定します

   hostname=client-name

   クライアントのホスト名を指定します

   (省略可能) http-proxy=proxy-ip:port

   ネットワークのプロキシサーバーの IP アドレスとポートを指定します

   file=wanbootCGI-URL

   Web サーバー上の wanboot-cgi プログラムの URL を指定します

3. クライアントをブートします。

   ok boot net - install

   net - install

   ネットワークブート引数を使って WAN からブートするよう、クライアントに指示します

   クライアントのインストールが WAN 経由で実行されます。WAN ブートプログラムに必要なインストール情報が見つからない場合、不足している情報の入力を求めるプロンプトが wanboot プログラムから表示されます。プロンプトに追加情報を入力します。

例 12–4 自動 WAN ブートインストール

次の例では、マシンのブート前に、クライアントシステム myclient のネットワークブート引数を設定します。この例では、クライアントにハッシュキーと暗号化鍵がすでにインストールされていると仮定します。WAN からブートする前にキーをインストールする方法については、「クライアントに対するキーのインストール」を参照してください。

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192
hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

次の変数が設定されます。

• クライアントの IP アドレスは 192.168.198.136 に設定されます。

• クライアントのルーター IP アドレスは 192.168.198.129 に設定されます。

• クライアントのサブネットマスクは 255.255.255.192 に設定されます。

• クライアントのホスト名は seahag に設定されます。

• wanboot-cgi プログラムは http://192.168.198.135/cgi-bin/wanboot-cgi に置かれています。

参照

ネットワークブート引数を設定する方法については、set(1) のマニュアルページを参照してください。

システムをブートする方法については、boot(1M) のマニュアルページを参照してください。

対話式 WAN ブートインストールを実行する方法

インストール時にコマンド行からクライアントにキーをインストールしたりクライアント構成情報を設定したりする場合は、このインストール方法を使用します。

この手順では、WAN インストールで HTTPS を使用していると仮定します。セキュリティー保護されないインストールを実行する場合で、キーを使用しないときは、クライアントのキーの表示やインストールを行わないでください。

1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

2. クライアントの各キーの値を表示します。

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   インストール対象であるクライアントのサブネットの IP アドレスを指定します。

   client-ID

   インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

   key-type

   クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。

   キーの値が 16 進数で表示されます。

3. クライアントにインストールする各キータイプについて、上記の手順を繰り返します。

4. クライアントシステムが動作中の場合は、システムの実行レベルを 0 にします。

5. クライアントシステムの ok プロンプトで、OBP のネットワークブート引数を設定します。

   ok setenv network-boot-arguments host-ip=client-IP,router-ip=router-ip, subnet-mask=mask-value,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

   ---

   注 –

   このコマンド例には、読みやすいように改行が挿入されています。実際には、改行を挿入せずにコマンド全体を入力してください。

   ---

   setenv network-boot-arguments

   次のブート引数を設定するよう OBP に指示します

   host-ip=client-IP

   クライアントの IP アドレスを指定します

   router-ip=router-ip

   ネットワークルーターの IP アドレスを指定します

   subnet-mask=mask-value

   サブネットマスクの値を指定します

   hostname=client-name

   クライアントのホスト名を指定します

   (省略可能) http-proxy=proxy-ip:port

   ネットワークのプロキシサーバーの IP アドレスとポートを指定します

   bootserver=wanbootCGI-URL

   Web サーバー上の wanboot-cgi プログラムの URL を指定します

   ---

   注 –

   bootserver 変数の URL 値に HTTPS URL を指定することはできません。URL は http:// で開始する必要があります。

   ---

6. クライアントの ok プロンプトで、システムをブートします。

   ok boot net -o prompt - install

   net -o prompt - install

   ネットワークからブートとインストールを行うよう、クライアントに指示します。wanboot プログラムは、クライアント構成情報の入力を求める boot> プロンプトを表示します。

   boot> プロンプトが表示されます。

7. 暗号化鍵をインストールします。

   boot> 3des=key-value

   3des=key-value

   手順 2 で表示された 3DES 暗号化鍵の 16 進数の文字列を指定します。

   AES 暗号化鍵を使用する場合は、次のコマンドを使用してください。

   boot> aes=key-value

8. ハッシュキーをインストールします。

   boot> sha1=key-value

   sha1=key-value

   手順 2 で表示されたハッシュキーの値を指定します。

9. 次のコマンドを入力して、ブート処理を続行します。

   boot> go

   クライアントのインストールが WAN 経由で実行されます。

10. プロンプトが表示されたら、クライアント構成情報をコマンド行に入力します。

    WAN ブートプログラムに必要なインストール情報が見つからない場合、不足している情報の入力を求めるプロンプトが wanboot プログラムから表示されます。プロンプトに追加情報を入力します。

例 12–5 対話式 WAN ブートインストール

次の例では、インストール時に wanboot プログラムから、クライアントシステムのキーの値を入力するようプロンプトが表示されます。

WAN ブートサーバー上でキーの値を表示します。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記の例では、次の情報が使用されています。

net=192.168.198.0

クライアントのサブネットの IP アドレスを指定します。

cid=010003BA152A42

クライアント ID を指定します。

b482aaab82cb8d5631e16d51478c90079cc1d463

クライアントの HMAC SHA1 ハッシュキーの値です。

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

クライアントの 3DES 暗号化鍵の値です。

インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3des を type=aes に変更します。

クライアントの OBP のネットワークブート引数を設定します。

ok setenv network-boot-arguments host-ip=192.168.198.136,
router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient,
bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

次の変数が設定されます。

• クライアントの IP アドレスは 192.168.198.136 に設定されます。

• クライアントのルーター IP アドレスは 192.168.198.129 に設定されます。

• クライアントのサブネットマスクは 255.255.255.192 に設定されます。

• クライアントのホスト名は myclient に設定されます。

• wanboot-cgi プログラムは http://192.168.198.135/cgi-bin/wanboot-cgi に置かれています。

クライアントのブートとインストールを実行します。

ok boot net -o prompt - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net -o prompt                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> go

上記のコマンドは、次の処理を実行します。

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントにインストールします

• b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントにインストールします

• インストールを開始します

参照

キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。

ネットワークブート引数を設定する方法については、set(1) のマニュアルページを参照してください。

システムをブートする方法については、boot(1M) のマニュアルページを参照してください。

DHCP サーバーを使って WAN ブートインストールを実行する方法

WAN ブートオプションをサポートするように DHCP サーバーを構成した場合、DHCP サーバーを使ってインストール時にクライアント構成情報を提供できます。WAN ブートインストールをサポートするように DHCP サーバーを構成する方法については、「(省略可能) DHCP による構成情報の提供」を参照してください。

この手順では、次のように仮定します。

• クライアントシステムが動作中である。

• すでにクライアントにキーをインストールしてあるか、またはセキュリティー保護されないインストールを実行している。

  インストール前にクライアントにキーをインストールする方法については、「クライアントに対するキーのインストール」を参照してください。

• SbootURI および SHTTPproxy WAN ブートオプションをサポートするように DHCP サーバーを構成してある。

  これらのオプションは、WAN ブートに必要な構成情報を DHCP サーバーで提供できるようにします。

  DHCP サーバーにインストールオプションを設定する方法については、「DHCP サービスによるシステム構成情報の事前設定 (作業)」を参照してください。

1. クライアントシステムが動作中の場合は、システムの実行レベルを 0 にします。

   # init 0

   ok プロンプトが表示されます。

2. クライアントシステムの ok プロンプトで、OBP のネットワークブート引数を設定します。

   ok setenv network-boot-arguments dhcp,hostname=client-name

   setenv network-boot-arguments

   次のブート引数を設定するよう OBP に指示します

   dhcp

   DHCP サーバーを使ってクライアントを構成するよう、OBP に指示します

   hostname=client-name

   クライアントに割り当てるホスト名を指定します

3. ネットワークからクライアントをブートします。

   ok boot net - install

   net - install

   ネットワークブート引数を使って WAN からブートするよう、クライアントに指示します

   クライアントのインストールが WAN 経由で実行されます。WAN ブートプログラムに必要なインストール情報が見つからない場合、不足している情報の入力を求めるプロンプトが wanboot プログラムから表示されます。プロンプトに追加情報を入力します。

例 12–6 DHCP サーバーを使った WAN ブートインストール

次の例では、ネットワーク上の DHCP サーバーからクライアント構成情報が提供されます。この例では、クライアントのホスト名として myclient を要求しています。

ok setenv network-boot-arguments dhcp, hostname=myclient

ok boot net - install
Resetting ...



Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install

参照

ネットワークブート引数を設定する方法については、set(1) のマニュアルページを参照してください。

システムをブートする方法については、boot(1M) のマニュアルページを参照してください。

DHCP サーバーを構成する方法については、「(省略可能) DHCP による構成情報の提供」を参照してください。

ローカルの CD メディアを使って WAN ブートインストールを実行する方法

クライアントの OBP が WAN ブートに対応していない場合は、Solaris SOFTWARE - 1 CD をクライアントの CD-ROM ドライブに挿入して、インストールを実行できます。ローカル CD を使用する場合、クライアントは、WAN ブートサーバーからではなくローカルメディアから wanboot プログラムを取得します。

この手順では、WAN インストールで HTTPS を使用していると仮定します。セキュリティー保護されないインストールを実行する場合は、クライアントのキーの表示やインストールを行わないでください。

ローカル CD から WAN ブートインストールを実行するには、次の手順に従ってください。

1. WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。

2. クライアントの各キーの値を表示します。

   # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type

   net-ip

   インストール対象であるクライアントのネットワーク IP アドレスを指定します。

   client-ID

   インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。

   key-type

   クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。

   キーの値が 16 進数で表示されます。

3. クライアントにインストールする各キータイプについて、上記の手順を繰り返します。

4. クライアントシステムの CD-ROM ドライブに Solaris SOFTWARE - 1 CD を挿入します。

5. クライアントシステムの電源を入れます。

6. CD からクライアントをブートします。

   ok boot cdrom -o prompt -F wanboot - install

   cdrom

   ローカル CD-ROM からブートするよう、OBP に指示します。

   -o prompt

   クライアント構成情報の入力をユーザーに求めるよう、wanboot プログラムに指示します

   -F wanboot

   CD-ROM から wanboot プログラムを読み込むよう、OBP に指示します

   - install

   WAN ブートインストールを実行するよう、クライアントに指示します

   クライアントの OBP は、Solaris SOFTWARE - 1 CD から wanboot プログラムを読み込みます。wanboot プログラムによってシステムがブートされ、boot> プロンプトが表示されます。

7. 暗号化鍵の値を入力します。

   boot> 3des=key-value

   3des=key-value

   手順 2 で表示された 3DES 暗号化鍵の 16 進数の文字列を指定します。

   AES 暗号化鍵を使用する場合は、次のコマンドを使用してください。

   boot> aes=key-value

8. ハッシュキーの値を入力します。

   boot> sha1=key-value

   sha1=key-value

   手順 2 で表示されたハッシュキーの 16 進数の文字列を指定します。

9. ネットワークインタフェース変数を設定します。

   boot> variable=value[,variable=value*]

   boot> プロンプトで、次の変数と値のペアを入力します。

   host-ip=client-IP

   クライアントの IP アドレスを指定します。

   router-ip=router-ip

   ネットワークルーターの IP アドレスを指定します。

   subnet-mask=mask-value

   サブネットマスクの値を指定します。

   hostname=client-name

   クライアントのホスト名を指定します。

   (省略可能) http-proxy=proxy-ip:port

   ネットワークのプロキシサーバーの IP アドレスとポート番号を指定します。

   bootserver=wanbootCGI-URL

   Web サーバー上の wanboot-cgi プログラムの URL を指定します。

   ---

   注 –

   bootserver 変数の URL 値に HTTPS URL を指定することはできません。URL は http:// で開始する必要があります。

   ---

   これらの変数は、次の方法で入力できます。

   • boot> プロンプトで、変数と値のペアを 1 組入力し、Return キーを押します。

     boot> host-ip=client-IP boot> subnet-mask=mask-value

   • boot> プロンプトで、変数と値のすべてのペアを 1 行に入力し、Return キーを押します。変数と値の各ペアを区切るには、コンマを使用します。

     boot> host-ip=client-IP,subnet-mask=mask-value, router-ip=router-ip,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL

10. 次のコマンドを入力して、ブート処理を続行します。

    boot> go

    クライアントのインストールが WAN 経由で実行されます。WAN ブートプログラムに必要なインストール情報が見つからない場合、不足している情報の入力を求めるプロンプトが wanboot プログラムから表示されます。プロンプトに追加情報を入力します。

例 12–7 ローカルの CD メディアを使ったインストール

次の例では、インストール時にローカル CD 上の wanboot プログラムから、クライアントのネットワークインタフェース変数を設定するようプロンプトが表示されます。

WAN ブートサーバー上でキーの値を表示します。

# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記の例では、次の情報が使用されています。

net=192.168.198.0

クライアントのサブネットの IP アドレスを指定します。

cid=010003BA152A42

クライアント ID を指定します。

b482aaab82cb8d5631e16d51478c90079cc1d463

クライアントの HMAC SHA1 ハッシュキーの値です。

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

クライアントの 3DES 暗号化鍵の値です。

インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3des を type=aes に変更します。

クライアントのブートとインストールを実行します。

ok boot cdrom -o prompt -F wanboot - install
Resetting ...


Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot cdrom -F wanboot - install                            
Boot device: /pci@1f,0/network@c,1  File and args: -o prompt

boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463

boot> host-ip=192.168.198.124

boot> subnet-mask=255.255.255.128

boot> router-ip=192.168.198.1

boot> hostname=myclient
boot> client-id=010003BA152A42

boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi

boot> go

上記のコマンドは、次の処理を実行します。

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントに入力します

• b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントに入力します

• クライアントの IP アドレスを 192.168.198.124 に設定します

• クライアントのサブネットマスクを 255.255.255.128 に設定します

• クライアントのルーターの IP アドレスを 192.168.198.1 に設定します

• クライアントのホスト名を myclient に設定します

• クライアント ID を 010003BA152A42 に設定します

• wanboot-cgi プログラムの場所を http://192.168.198.135/cgi-bin/wanboot-cgi/ に設定します

参照

キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。

ネットワークブート引数を設定する方法については、set(1) のマニュアルページを参照してください。

システムをブートする方法については、boot(1M) のマニュアルページを参照してください。

第 13 章 SPARC: WAN ブートによるインストール (例)

この章では、広域ネットワーク (WAN) 経由でクライアントシステムの設定とインストールを行う例を示します。この例では、HTTPS 接続を介してセキュリティー保護された WAN ブートインストールを実行する方法について説明します。

• 「サイトの設定例」

• 「ドキュメントルートディレクトリの作成」

• 「WAN ブートミニルートの作成」

• 「クライアント OBP での WAN ブート対応の確認」

• 「WAN ブートサーバーへの wanboot プログラムのインストール」

• 「/etc/netboot ディレクトリの作成」

• 「WAN ブートサーバーへの wanboot-cgi プログラムのコピー」

• 「(省略可能) WAN ブートサーバーをログサーバーとして構成」

• 「HTTPS を使用するための WAN ブートサーバーの構成」

• 「クライアントに対する信頼できる証明書の提供」

• 「(省略可能) クライアント認証用の非公開鍵と証明書の使用」

• 「サーバーとクライアントのキーの作成」

• 「Solaris フラッシュアーカイブの作成」

• 「sysidcfg ファイルの作成」

• 「クライアントのプロファイルの作成」

• 「rules ファイルの作成と妥当性検査」

• 「システム構成ファイルの作成」

• 「wanboot.conf ファイルの作成」

• 「OBP の net デバイス別名の確認」

• 「クライアントに対するキーのインストール」

• 「クライアントのインストール」

サイトの設定例

図 13–1 は、この例で使用するサイトの設定を示しています。

図 13–1 WAN ブートインストール用のサイト例

このサイト例には次のような特徴があります。

• サーバー wanserver-1 は、WAN ブートサーバーおよびインストールサーバーとして構成されます。

• wanserver-1 の IP アドレスは 192.168.198.2 です。

• wanserver-1 のドメイン名は www.example.com です。

• wanserver-1 では、Solaris 10 11/06 OS が稼働しています。

• wanserver-1 では、Apache Web サーバーが稼働しています。wanserver-1 の Apache ソフトウェアは、HTTPS をサポートするように構成されています。

• インストール対象であるクライアントの名前は wanclient-1 です。

• wanclient-1 は UltraSPARCII システムです。

• wanclient-1 のクライアント ID は 010003BA152A42 です。

• wanclient-1 の IP アドレスは 192.168.198.210 です。

• クライアントのサブネットの IP アドレスは 192.168.198.0 です。

• クライアントシステム wanclient-1 は、インターネットにアクセスできますが、wanserver-1 が置かれているネットワークには直接接続されていません。

• wanclient-1 に対して、新たに Solaris 10 11/06 ソフトウェアをインストールします。

ドキュメントルートディレクトリの作成

インストールファイルとデータを保存するために、wanserver-1 のドキュメントルートディレクトリ (/opt/apache/htdocs) に次のディレクトリを作成します。

• Solaris フラッシュのディレクトリ

  wanserver-1# mkdir -p /opt/apache/htdocs/flash/

• WAN ブートミニルートのディレクトリ

  wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/

• wanboot プログラムのディレクトリ

  wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/

WAN ブートミニルートの作成

setup_install_server(1M) に -w オプションを指定して実行することで、WAN ブートミニルートと Solaris ソフトウェアイメージを、wanserver-1 の /export/install/Solaris_10 ディレクトリにコピーします。

wanserver-1 に接続されているメディアドライブに Solaris SOFTWARE のメディアを挿入します。次のコマンドを入力します。

wanserver-1# mkdir -p /export/install/cdrom0
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools
wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \
/export/install/cdrom0

WAN ブートサーバーのドキュメントルートディレクトリ (/opt/apache/htdocs/) に、WAN ブートミニルートを移動します。

wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \
/opt/apache/htdocs/miniroot/miniroot.s10_sparc

クライアント OBP での WAN ブート対応の確認

クライアントシステムに次のコマンドを入力して、クライアントの OBP が WAN ブートに対応しているかどうかを調べます。

# eeprom | grep network-boot-arguments
network-boot-arguments: data not available

上の例では、出力に network-boot-arguments: data not available が表示されているので、クライアントOBP は WAN ブートに対応しています。

WAN ブートサーバーへの wanboot プログラムのインストール

wanboot プログラムを WAN ブートサーバーにインストールするには、Solaris SOFTWARE のメディアから WAN ブートサーバーのドキュメントルートディレクトリに、このプログラムをコピーします。

wanserver-1 に接続されているメディアドライブに Solaris DVD または Solaris SOFTWARE - 1 CD を挿入し、次のコマンドを入力します。

wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/
wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc

/etc/netboot ディレクトリの作成

WAN ブートサーバーの /etc/netboot ディレクトリに、wanclient-1 のサブディレクトリを作成します。WAN ブートインストールプログラムは、インストール時に、このディレクトリから構成情報とセキュリティー情報を取得します。

wanclient-1 は、サブネット 192.168.198.0 上にあり、010003BA152A42 というクライアント ID を持っています。/etc/netboot に wanclient-1 用の適切なサブディレクトリを作成するには、次の作業を実行します。

• /etc/netboot ディレクトリを作成します。

• /etc/netboot ディレクトリのアクセス権を 700 に変更します。

• /etc/netboot ディレクトリの所有権を Web サーバープロセスの所有者に渡します。

• Web サーバーユーザーと同じ役割になります。

• /etc/netboot ディレクトリに、サブネット名と同じ名前のサブディレクトリ 192.168.198.0 を作成します。

• このサブネットディレクトリに、クライアント ID と同じ名前のサブディレクトリを作成します。

• /etc/netboot のサブディレクトリのアクセス権を 700 に変更します。

wanserver-1# cd /
wanserver-1# mkdir /etc/netboot/
wanserver-1# chmod 700 /etc/netboot
wanserver-1# chown nobody:admin /etc/netboot
wanserver-1# exit
wanserver-1# su nobody
Password:
nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42
nobody# chmod 700 /etc/netboot/192.168.198.0
nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42

WAN ブートサーバーへの wanboot-cgi プログラムのコピー

Solaris 10 11/06 OS が稼働しているシステムでは、wanboot-cgi プログラムは /usr/lib/inet/wanboot/ ディレクトリに置かれています。WAN ブートサーバーからインストールデータを転送できるようにするには、Web サーバーソフトウェアのディレクトリにある cgi-bin ディレクトリに wanboot-cgi プログラムをコピーします。

wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \
/opt/apache/cgi-bin/wanboot-cgi
wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi

(省略可能) WAN ブートサーバーをログサーバーとして構成

デフォルトでは、WAN ブートログメッセージはすべて、クライアントシステムに表示されます。このデフォルトの動作により、インストールの問題をすばやくデバッグできます。

WAN ブートサーバー上でブートメッセージおよびインストールメッセージを表示するには、wanserver-1 の cgi-bin ディレクトリに bootlog-cgi スクリプトをコピーします。

wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/
wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi

HTTPS を使用するための WAN ブートサーバーの構成

WAN ブートインストールで HTTPS を使用するには、Web サーバーソフトウェアの SSL サポートを有効にする必要があります。また、WAN ブートサーバーにデジタル証明書をインストールすることも必要です。この例では、wanserver-1 上の Apache Web サーバーが SSL を使用するように構成されていると仮定しています。この例ではまた、wanserver-1 の識別情報を確立するデジタル証明書および認証局が、すでに wanserver-1 にインストールされていると仮定しています。

SSL を使用するように Web サーバーソフトウェアを構成する方法については、Web サーバーのマニュアルを参照してください。

クライアントに対する信頼できる証明書の提供

クライアントに対して身分証明を行うようサーバーに要求することで、HTTPS を介してサーバーからクライアントに転送されるデータを保護できます。サーバー認証を有効にするには、信頼できる証明書をクライアントに提供します。信頼できる証明書に従って、クライアントはインストール時にサーバーの識別情報を確認します。

信頼できる証明書をクライアントに提供するには、Web サーバーユーザーと同じユーザー役割になる必要があります。その後、証明書を分割して、信頼できる証明書を抽出します。次に、/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、信頼できる証明書を挿入します。

この例では、Web サーバーユーザー役割 nobody になります。続いて、cert.p12 という名前の、サーバーの PKCS#12 証明書を分割して、/etc/netboot ディレクトリにある wanclient-1 用のディレクトリに、信頼できる証明書を挿入します。

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -t \
/etc/netboot/192.168.198.0/010003BA152A42/truststore

(省略可能) クライアント認証用の非公開鍵と証明書の使用

インストール時にデータをさらに保護するために、wanserver-1 に対して身分証明を行うよう wanclient-1 に要求することもできます。WAN ブートインストールでクライアント認証を有効にするには、/etc/netboot ディレクトリのクライアントのサブディレクトリに、クライアントの証明書と非公開鍵を挿入します。

クライアントに非公開鍵と証明書を提供するには、次の手順に従います。

• Web サーバーユーザーと同じ役割になります

• PKCS#12 ファイルを、非公開鍵とクライアント証明書に分割します

• クライアントの certstore ファイルに証明書を挿入します

• クライアントの keystore ファイルに非公開鍵を挿入します

この例では、Web サーバーユーザー役割 nobody になります。続いて、cert.p12 という名前の、サーバーの PKCS#12 証明書を分割します。/etc/netboot ディレクトリにある wanclient-1 用のサブディレクトリに、証明書を挿入します。wanclient.key という名前を付けた非公開鍵を、クライアントの keystore ファイルに挿入します。

wanserver-1# su nobody
Password:
wanserver-1# wanbootutil p12split -i cert.p12 -c \
/etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key
wanserver-1# wanbootutil keymgmt -i -k wanclient.key \
-s  /etc/netboot/192.168.198.0/010003BA152A42/keystore \
-o type=rsa

サーバーとクライアントのキーの作成

サーバーとクライアントの間で転送されるデータを保護するには、ハッシュキーと暗号化鍵を作成します。サーバーはハッシュキーを使って、wanboot プログラムの完全性を保護します。サーバーは暗号化鍵を使って、構成データとインストールデータを暗号化します。クライアントはハッシュキーを使って、ダウンロードした wanboot プログラムの完全性を確認します。クライアントは暗号化鍵を使って、インストール時にデータを復号化します。

まず、Web サーバーユーザーと同じ役割になります。この例の場合、Web サーバーユーザー役割は nobody です。

wanserver-1# su nobody
Password:

次に、wanbootutil keygen コマンドを使用して、wanserver-1 の HMAC SHA1 マスターキーを作成します。

wanserver-1# wanbootutil keygen -m

次に、wanclient-1 のハッシュキーと暗号化鍵を作成します。

wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des

上記のコマンドは、wanclient-1 の HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を作成します。192.168.198.0 は wanclient-1 のサブネット、010003BA152A42 は wanclient-1 のクライアント ID です。

Solaris フラッシュアーカイブの作成

この例では、wanserver-1 マスターシステムのクローンを作成することで、Solaris フラッシュアーカイブを作成します。このアーカイブは sol_10_sparc という名前で、マスターシステムから正確にコピーされます。アーカイブはマスターシステムの完全な複製です。アーカイブは sol_10_sparc.flar に格納されます。WAN ブートサーバーのドキュメントルートディレクトリの flash/archives サブディレクトリにこのアーカイブを保存します。

wanserver-1# flarcreate -n sol_10_sparc \
/opt/apache/htdocs/flash/archives/sol_10_sparc.flar

sysidcfg ファイルの作成

wanclient-1 システムを事前設定するには、キーワードと値を sysidcfg ファイルに指定します。wanserver-1 のドキュメントルートディレクトリの適切なサブディレクトリにこのファイルを保存します。

例 13–1 client-1 システム用の sysidcfg ファイル

wanclient-1 用の sysidcfg ファイルの例を次に示します。このシステムのホスト名、IP アドレス、およびネットマスクは、ネームサービスを編集することにより、すでに事前設定されています。このファイルは、/opt/apache/htdocs/flash/ ディレクトリに置かれます。

network_interface=primary {hostname=wanclient-1
                           default_route=192.168.198.1
                           ip_address=192.168.198.210
                           netmask=255.255.255.0
                           protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.254.254)
                  domain_name=leti.example.com
                  }
security_policy=none

クライアントのプロファイルの作成

wanclient-1 システム用に、wanclient_1_prof という名前のプロファイルを作成します。wanclient_1_prof ファイルには次のようなエントリがあり、wanclient-1 システムに Solaris 10 11/06 ソフトウェアをインストールするように定義しています。

# profile keywords         profile values
# ----------------         -------------------
install_type               flash_install
archive_location           https://192.168.198.2/flash/archives/cdrom0.flar
partitioning               explicit
filesys                    c0t1d0s0 4000 /
filesys                    c0t1d0s1 512 swap
filesys                    c0t1d0s7 free /export/home

この例で使用されているキーワードと値の一部について、次のリストで説明します。

install_type

このプロファイルにより、Solaris フラッシュアーカイブがクローンシステムにインストールされます。すべてのファイルは、初期インストールにより上書きされます。

archive_location

圧縮された Solaris フラッシュアーカイブが wanserver-1 から取得されます。

partitioning

値が explicit であるため、ファイルシステムスライスは filesys キーワードによって指定します。ルート (/) のサイズは Solaris フラッシュアーカイブのサイズに基づいて割り当てています。swap は、必要なサイズを割り当てた上で、c0t1d0s1 上にインストールされるように設定しています。/export/home のサイズは残りのディスク容量に基づいて決定されます。/export/home は c0t1d0s7 上にインストールされます。

rules ファイルの作成と妥当性検査

カスタム JumpStart プログラムでは、wanclient-1 システム用の正しいインストールプロファイルを選択するために、rules ファイルが使用されます。rules という名前のテキストファイルを作成します。次に、このファイルにキーワードと値を追加します。

wanclient-1 システムの IP アドレスは 192.168.198.210 で、ネットマスクは 255.255.255.0 です。network ルールキーワードを使って、カスタム JumpStart プログラムで wanclient-1 のインストールに使用するプロファイルを指定します。

network 192.168.198.0 - wanclient_1_prof - 

この rules ファイルは、wanclient_1_prof を使って wanclient-1 に Solaris 10 11/06 ソフトウェアをインストールするよう、カスタム JumpStart プログラムに指示します。

このルールファイルに wanclient_rule という名前を付けます。

プロファイルと rules ファイルを作成したあと、check スクリプトを実行して、ファイルの妥当性を検査します。

wanserver-1# ./check -r wanclient_rule

check スクリプトによってエラーが検出されない場合は、rules.ok ファイルが作成されます。

rules.ok ファイルを /opt/apache/htdocs/flash/ ディレクトリに保存します。

システム構成ファイルの作成

システム構成ファイルを作成して、インストールサーバー上の sysidcfg ファイルとカスタム JumpStart ファイルの場所を記述します。WAN ブートサーバーがアクセスできるディレクトリに、このファイルを保存します。

次の例では、wanboot-cgi プログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内で sysidcfg ファイルとカスタム JumpStart ファイルを検索します。WAN ブートサーバーのドメイン名は https://www.example.com です。WAN ブートサーバーは HTTPS を使用するように構成されているため、インストール時にデータとファイルが保護されます。

この例では、システム構成ファイルは sys-conf.s10–sparc という名前で、WAN ブートサーバーの /etc/netboot ディレクトリ内に保存されます。sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリの flash サブディレクトリに置かれています。

SsysidCF=https://www.example.com/flash/
SjumpsCF=https://www.example.com/flash/

wanboot.conf ファイルの作成

WAN ブートは、wanboot.conf ファイルに記述されている構成情報を使ってクライアントマシンのインストールを行います。テキストエディタを使って wanboot.conf ファイルを作成します。WAN ブートサーバー上の /etc/netboot ディレクトリにある該当のクライアントのサブディレクトリに、このファイルを保存します。

次の wanclient-1 用の wanboot.conf ファイルには、HTTPS を使って WAN インストールを行うための構成情報が記述されています。このファイルは WAN ブートに対して、HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を使ってデータを保護することも指示しています。

boot_file=/wanboot/wanboot.s10_sparc
root_server=https://www.example.com/cgi-bin/wanboot-cgi
root_file=/miniroot/miniroot.s10_sparc
signature_type=sha1
encryption_type=3des
server_authentication=yes
client_authentication=no
resolve_hosts=
boot_logger=
system_conf=sys-conf.s10–sparc

この wanboot.conf ファイルで指定されている構成は次のとおりです。

boot_file=/wanboot/wanboot.s10_sparc

wanboot プログラムの名前は wanboot.s10_sparc です。このプログラムは、wanserver-1 のドキュメントルートディレクトリ内の wanboot ディレクトリに置かれています。

root_server=https://www.example.com/cgi-bin/wanboot-cgi

wanserver-1 上の wanboot-cgi プログラムの場所は https://www.example.com/cgi-bin/wanboot-cgi です。URL の https という部分は、この WAN ブートインストールで HTTPS を使用することを示しています。

root_file=/miniroot/miniroot.s10_sparc

WAN ブートミニルートの名前は miniroot.s10_sparc です。ミニルートは、wanserver-1 のドキュメントルートディレクトリ内の miniroot ディレクトリに置かれています。

signature_type=sha1

wanboot プログラムと WAN ブートファイルシステムは、HMAC SHA1 ハッシュキーで署名されます。

encryption_type=3des

wanboot プログラムと WAN ブートファイルシステムは、3DES 暗号化鍵で暗号化されます。

server_authentication=yes

インストール時にサーバー認証が行われます。

client_authentication=no

インストール時にクライアント認証は行われません。

---

注 –

「(省略可能) クライアント認証用の非公開鍵と証明書の使用」の作業を実行した場合、このパラメータの設定は client_authentication=yes としてください

---

resolve_hosts=

WAN インストールの実行に必要な追加のホスト名はありません。wanboot-cgi プログラムに必要なホスト名はすべて、wanboot.conf ファイルとクライアント証明書に指定されています。

boot_logger=

ブートログメッセージとインストールログメッセージがシステムコンソール上に表示されます。「(省略可能) WAN ブートサーバーをログサーバーとして構成」でログサーバーを構成済みの場合で、WAN ブートサーバー上にも WAN ブートメッセージを表示するときは、このパラメータを boot_logger=https://www.example.com/cgi-bin/bootlog-cgi と設定します。

system_conf=sys-conf.s10–sparc

sysidcfg ファイルとカスタム JumpStart ファイルの場所を指定するシステム構成ファイルは、sys-conf.s10–sparc という名前で、wanserver-1 の /etc/netboot ディレクトリに置かれています。

この例では、wanserver-1 の /etc/netboot/192.168.198.0/010003BA152A42 ディレクトリに wanboot.conf ファイルを保存します。

OBP の net デバイス別名の確認

boot net コマンドを使って WAN からクライアントをブートするには、net デバイス別名にクライアントの主ネットワークデバイスが設定されている必要があります。クライアントの ok プロンプトに devalias コマンドを入力して、net 別名に主ネットワークデバイス /pci@1f,0/pci@1,1/network@c,1 が設定されていることを確認します。

ok devalias
screen                   /pci@1f,0/pci@1,1/SUNW,m64B@2
net                      /pci@1f,0/pci@1,1/network@c,1
net2                     /pci@1f,0/pci@1,1/network@5,1
disk                     /pci@1f,0/pci@1/scsi@8/disk@0,0
cdrom                    /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f
keyboard                 /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8
mouse                    /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8

上記の出力例では、主ネットワークデバイス /pci@1f,0/pci@1,1/network@c,1 が net 別名に割り当てられています。別名を設定し直す必要はありません。

クライアントに対するキーのインストール

「サーバーとクライアントのキーの作成」で、インストール時にデータを保護するためのハッシュキーと暗号化鍵を作成しました。インストール時に wanserver-1 から転送されるデータをクライアントが復号化できるようにするには、これらのキーを wanclient-1 にインストールします。

wanserver-1 上でキーの値を表示します。

wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記の例では、次の情報が使用されています。

net=192.168.198.0

クライアントのサブネットの IP アドレスを指定します。

cid=010003BA152A42

クライアント ID を指定します。

b482aaab82cb8d5631e16d51478c90079cc1d463

クライアントの HMAC SHA1 ハッシュキーの値です。

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

クライアントの 3DES 暗号化鍵の値です。

インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3des を type=aes に変更します。

wanclient-1 の ok プロンプトで、キーをインストールします。

ok set-security-key wanboot-hmac-sha1  b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des  9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上記のコマンドは、次の処理を実行します。

• b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーを wanclient-1 にインストールします

• 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵を wanclient-1 にインストールします

クライアントのインストール

自動インストールを実行するには、wanclient-1 の ok プロンプトでネットワークブート引数を設定してから、クライアントをブートします。

ok setenv network-boot-arguments host-ip=192.168.198.210,
router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1,
file=http://192.168.198.2/cgi-bin/wanboot-cgi
ok boot net - install
Resetting ...




Sun Blade 100 (UltraSPARC-IIe), No Keyboard
Copyright 1998-2003 Sun Microsystems, Inc.  All rights reserved.
OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475.
Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3.



Rebooting with command: boot net - install
Boot device: /pci@1f,0/network@c,1  File and args: - install



<time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) 
<time unavailable> wanboot info: wanbootfs: Download complete
Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%)
Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete
SunOS Release 5.10 Version WANboot10:04/11/03 64-bit
Copyright 1983-2003 Sun Microsystems, Inc.  All rights reserved.
Use is subject to license terms.
Configuring devices.

次の変数が設定されます。

• クライアントの IP アドレスは 192.168.198.210 に設定されます。

• クライアントのルーター IP アドレスは 192.168.198.1 に設定されます。

• クライアントのサブネットマスクは 255.255.255.0 に設定されます。

• クライアントのホスト名は wanclient-1 に設定されます。

• wanboot-cgi プログラムは http://192.168.198.2/cgi-bin/wanboot-cgi に置かれています。

クライアントのインストールが WAN 経由で実行されます。wanboot プログラムに必要なインストール情報が見つからない場合は、不足している情報の入力を求めるプロンプトが表示されることがあります。

第 14 章 WAN ブート (リファレンス)

この章では、WAN インストールの実行に使用するコマンドとファイルについて簡単に説明します。

• 「WAN ブートインストールのコマンド」

• 「OBP コマンド」

• 「システム構成ファイルの設定と構文」

• 「wanboot.conf ファイルのパラメータと構文」

WAN ブートインストールのコマンド

次の表では、WAN インストールの実行に使用するコマンドについて説明します。

• 表 14–1

• 表 14–2

OBP コマンド

次の表は、WAN ブートインストールを実行するためにクライアントの ok プロンプトに入力する OBP コマンドの一覧です。

システム構成ファイルの設定と構文

システム構成ファイルでは、次のファイルの場所を WAN ブートインストールプログラムに指示できます。

• sysidcfg

• rules.ok

• カスタム JumpStart プロファイル

システム構成ファイルは、プレーンテキストファイルで、次の書式に従う必要があります。

設定=値

system.conf ファイルには、次の設定を含める必要があります。

SsysidCF=sysidcfg-file-URL

この設定は、sysidcfg ファイルが置かれているインストールサーバー上のディレクトリを指示します。HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。

SjumpsCF=jumpstart-files-URL

この設定は、rules.ok ファイルとプロファイルファイルが置かれているカスタム JumpStart ディレクトリを指示します。HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。

WAN ブートサーバーがアクセスできるディレクトリであればどこにでも、system.conf を保存できます。

wanboot.conf ファイルのパラメータと構文

wanboot.conf ファイルは、プレーンテキストの構成ファイルで、WAN インストールを実行するために WAN ブートインストールプログラムで使用されます。次のプログラムとファイルは、wanboot.conf ファイルに記述されている情報を使ってクライアントマシンのインストールを行います。

• wanboot-cgi プログラム

• WAN ブートファイルシステム

• WAN ブートミニルート

WAN ブートサーバー上の /etc/netboot ディレクトリにある該当のクライアントのサブディレクトリに、この wanboot.conf ファイルを保存してください。/etc/netboot ディレクトリを使って WAN ブートインストールの適用範囲を定義する方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。

wanboot.conf ファイルに情報を指定するには、パラメータとその値を次の書式で列挙します。

パラメータ=値

パラメータエントリは、それぞれ 1 行に収める必要があります。先頭に # という文字を付加することで、ファイルにコメントを追加できます。

wanboot.conf ファイルの詳細については、wanboot.conf(4) のマニュアルページを参照してください。

wanboot.conf ファイルには、次のパラメータを設定する必要があります。

boot_file=wanboot-path

このパラメータは、wanboot プログラムへのパスを指定します。値は、WAN ブートサーバーのドキュメントルートディレクトリからの相対パスです。

boot_file=/wanboot/wanboot.s10_sparc

root_server=wanbootCGI-URL /wanboot-cgi

このパラメータは、WAN ブートサーバー上の wanboot-cgi プログラムの URL を指定します。

• クライアント認証やサーバー認証を伴わない WAN ブートインストールを実行する場合は、HTTP URL を使用します。

  root_server=http://www.example.com/cgi-bin/wanboot-cgi

• サーバー認証を伴う、あるいはサーバー認証とクライアント認証の両方を伴う WAN ブートインストールを実行する場合は、HTTPS URL を使用します。

  root_server=https://www.example.com/cgi-bin/wanboot-cgi

root_file=miniroot-path

このパラメータは、WAN ブートサーバー上の WAN ブートミニルートへのパスを指定します。値は、WAN ブートサーバーのドキュメントルートディレクトリからの相対パスです。

root_file=/miniroot/miniroot.s10_sparc

signature_type=sha1 | empty

このパラメータは、転送されるデータとファイルの完全性をチェックするために使用するハッシュキーのタイプを指定します。

• WAN ブートインストールでハッシュキーを使って wanboot プログラムを保護する場合は、値として sha1 を設定します。

  signature_type=sha1

• ハッシュキーを使用しない、セキュリティー保護されない WAN インストールの場合、値は空のままにします。

  signature_type=

encryption_type=3des | aes | empty

このパラメータは、wanboot プログラムと WAN ブートファイルシステムの暗号化に使用する暗号化タイプを指定します。

• HTTPS を使用する WAN ブートインストールの場合は、使用する鍵の形式に応じて 3des または aes を設定します。また、signature_type キーワードの値として sha1 を設定する必要があります。

  encryption_type=3des

  または

  encryption_type=aes

• 暗号化鍵を使用しない、セキュリティー保護されない WAN インストールの場合、値は空のままにします。

  encryption_type=

server_authentication=yes | no

このパラメータは、WAN ブートインストール時にサーバー認証を行うかどうかを指定します。

• サーバー認証を伴う、あるいはサーバー認証とクライアント認証の両方を伴う WAN ブートインストールの場合は、yes を設定します。また、signature_type には sha1、encryption_type には 3des または aes、および root_server には HTTPS の URL を設定する必要があります。

  server_authentication=yes

• サーバー認証やクライアント認証を使用しない、セキュリティー保護されない WAN ブートインストールの場合は、no を設定します。値を空のままにしてもかまいません。

  server_authentication=no

client_authentication=yes | no

このパラメータは、WAN ブートインストール時にクライアント認証を行うかどうかを指定します。

• サーバー認証とクライアント認証を伴う WAN ブートインストールの場合は、yes を設定します。また、signature_type には sha1、encryption_type には 3des または aes、および root_server には HTTPS の URL を設定する必要があります。

  client_authentication=yes

• クライアント認証を使用しない WAN ブートインストールの場合は、no を設定します。値を空のままにしてもかまいません。

  client_authentication=no

resolve_hosts=hostname | empty

このパラメータは、インストール時に wanboot-cgi プログラムに対して解決する必要のある、追加のホストを指定します。

wanboot.conf ファイルやクライアントの証明書で事前に指定されていないシステムのホスト名を値として設定します。

• 必要なすべてのホストが wanboot.conf ファイルまたはクライアントの証明書で事前に指定されている場合、値は空のままにします。

  resolve_hosts=

• wanboot.conf ファイルまたはクライアントの証明書で事前に指定されていないホストがある場合は、それらのホスト名を設定します。

  resolve_hosts=seahag,matters

boot_logger=bootlog-cgi-path | empty

このパラメータは、ログサーバー上の bootlog-cgi スクリプトの URL を指定します。

• 専用のログサーバー上でブートログメッセージやインストールログメッセージを記録する場合は、ログサーバー上の bootlog-cgi スクリプトの URL を値として設定します。

  boot_logger=http://www.example.com/cgi-bin/bootlog-cgi

• ブートメッセージやインストールメッセージをクライアントのコンソールに表示する場合、値は空のままにします。

  boot_logger=

system_conf=system.conf | custom-system-conf

このパラメータは、sysidcfg ファイルとカスタム JumpStart ファイルの場所が記述されている、システム構成ファイルへのパスを指定します。

Web サーバー上の sysidcfg ファイルとカスタム JumpStart ファイルへのパスを値として設定します。

system_conf=sys.conf