這個部分說明如何使用 WAN Boot 安裝方法,透過廣域網路 (WAN) 來安裝系統。
本章介紹了 WAN Boot 安裝方法。本章說明以下主題:
WAN Boot 安裝方法可讓您使用 HTTP,透過廣域網路 (WAN) 啟動和安裝軟體。利用 WAN Boot ,可以透過大型公用網路 (其網路基礎架構可能無法信任),在基於 SPARC 之系統上安裝 Solaris 作業系統。您可以將 WAN Boot 與安全功能結合使用來保護資料的私密性與安裝影像的完整性。
WAN Boot 安裝方法讓您可以透過公用網路,將加密的 Solaris Flash 歸檔傳輸到遠端基於 SPARC 之用戶端。然後,WAN Boot 程式將透過執行自訂 JumpStart 安裝來安裝用戶端系統。為了保護安裝的完整性,您可以使用私密金鑰來驗證和加密資料。您也可以將系統配置為使用數位憑證,從而透過安全的 HTTP 連接來傳輸安裝資料和檔案。
若要執行 WAN Boot 安裝,請透過 HTTP 或安全 HTTP 連接,從 Web 伺服器下載下列資訊,然後安裝基於 SPARC 的系統。
wanboot 程式 – wanboot 程式為載入 WAN Boot miniroot、用戶端配置檔案以及安裝檔案的第二層啟動程式。wanboot 程式執行的作業與 ufsboot 或 inetboot 第二層啟動程式執行的作業相似。
WAN Boot 檔案系統 – WAN Boot 會使用數個不同的檔案來配置用戶端與擷取資料,以安裝用戶端系統。這些檔案位於 Web 伺服器的 /etc/netboot 目錄中。wanboot-cgi 程式將這些檔案做為檔案系統傳輸至用戶端,該檔案系統稱為 WAN Boot 檔案系統。
WAN Boot miniroot – WAN Boot miniroot 是 Solaris miniroot 的修改版,可用來執行 WAN Boot 安裝。與 Solaris miniroot 相同,WAN Boot miniroot 含有安裝 Solaris 環境所需的核心程式與足夠的軟體。WAN Boot miniroot 含有 Solaris miniroot 中軟體的子集。
自訂 JumpStart 配置檔案 – 若要安裝系統,WAN Boot 需要將 sysidcfg、rules.ok 以及設定檔傳輸至用戶端。然後,WAN Boot 會使用這些檔案在用戶端系統上執行自訂 JumpStart 安裝。
Solaris Flash 歸檔 – Solaris Flash 歸檔是從主系統中複製而來的檔案集合。您可以隨後使用此歸檔安裝用戶端系統。WAN Boot 使用自訂 JumpStart 安裝方法在用戶端系統上安裝 Solaris Flash 歸檔。在某個用戶端系統上安裝完歸檔之後,該系統會包含與主系統完全相同的配置。
flarcreate 指令在單個檔案上已無大小限制。您可以建立包含大小超過 4 GB 之單個檔案的 Solaris Flash 歸檔。
如需更多資訊,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的「建立包含大型檔案的歸檔」。
然後,您可以使用自訂 JumpStart 安裝方法在用戶端上安裝歸檔。
您可以使用金鑰與數位憑證保護先前所列資訊的傳輸。
如需 WAN Boot 安裝中事件順序的詳細說明,請參閱WAN Boot 運作方式 (簡介) 。
WAN Boot 安裝方法可讓您安裝位於遠端地理區域內的基於 SPARC 的系統。您可能要使用 WAN Boot 來安裝僅可以透過公用網路存取的遠端伺服器或用戶端。
如果要安裝位於區域網路 (LAN) 中的系統,WAN Boot 安裝方法所需的配置與管理可能多於必要的配置與管理。如需有關如何透過 LAN 安裝系統的資訊,請參閱第 4 章, 從網路安裝 (簡介)。
WAN Boot 結合使用伺服器、配置檔案、共用閘道介面 (CGI) 程式以及安裝檔案來安裝基於 SPARC 的遠端用戶端。本節說明 WAN Boot 安裝中的一般事件序列。
圖 9–1 顯示了 WAN Boot 安裝中的基本事件序列。在此圖中,基於 SPARC 的用戶端透過 WAN 從 Web 伺服器和安裝伺服器擷取配置資料與安裝檔案。
您可以使用下列方法之一啟動用戶端:
透過在 Open Boot PROM (OBP) 中設定網路介面變數從網路啟動。
使用 DHCP 選項從網路啟動。
從本機 CD-ROM 啟動。
用戶端 OBP 從下列來源之一取得配置資訊:
使用者在指令行鍵入的啟動引數值
DHCP 伺服器 (如果網路使用 DHCP)
用戶端 OBP 要求使用 WAN Boot 第二層啟動程式 (wanboot)。
使用超文件傳輸協定 (HTTP),從名為 WAN Boot 伺服器的特殊 Web 伺服器中下載
從本機 CD-ROM (圖中未顯示) 下載
wanboot 程式要求使用 WAN Boot 伺服器中的用戶端配置資訊。
wanboot 程式從 WAN Boot 伺服器下載由 wanboot-cgi 程式傳輸的配置檔案。配置檔案做為 WAN Boot 檔案系統傳輸至用戶端。
wanboot 程式要求從 WAN Boot 伺服器下載 WAN Boot miniroot。
wanboot 程式使用 HTTP 或安全 HTTP 從 WAN Boot 伺服器下載 WAN Boot miniroot。
wanboot 程式從 WAN Boot miniroot 載入 UNIX 核心程式並執行。
UNIX 核心程式尋找並裝載供 Solaris 安裝程式使用的 WAN Boot 檔案系統。
安裝程式要求從安裝伺服器下載 Solaris Flash 歸檔與自訂 JumpStart 檔案。
安裝程式透過 HTTP 或 HTTPS 連接,下載歸檔與自訂 JumpStart 檔案。
安裝程式執行自訂 JumpStart 安裝,以於用戶端上安裝 Solaris Flash 歸檔。
WAN Boot 安裝方法可讓您在安裝期間使用雜湊金鑰、加密金鑰以及數位憑證保護系統資料。本節簡要說明 WAN Boot 安裝方法支援的各種資料保護方法。
若要保護從 WAN Boot 伺服器傳輸至用戶端的資料,您可以產生訊息認證雜揍碼 (HMAC) 金鑰。同時在 WAN Boot 伺服器與用戶端中安裝此雜湊金鑰。WAN Boot 伺服器使用此金鑰簽發要傳輸至用戶端的資料。然後用戶端會使用此金鑰來確認 WAN Boot 伺服器所傳輸資料的完整性。在用戶端上安裝完雜湊金鑰之後,該用戶端便會使用此金鑰執行以後的 WAN Boot 安裝。
如需有關如何使用雜湊金鑰的指示,請參閱(可選擇) 建立雜湊金鑰與加密金鑰。
WAN Boot 安裝方法 可讓您加密從 WAN Boot 伺服器傳輸至用戶端的資料。您可以使用 WAN Boot 公用程式建立符合三重資料加密標準 (3DES) 或進階加密標準 (AES) 的加密金鑰。然後,可將此金鑰同時提供給 WAN Boot 伺服器與用戶端。WAN Boot 使用此加密金鑰對從 WAN Boot 伺服器傳輸至用戶端的資料進行加密。用戶端可以稍後使用此金鑰解密在安裝期間傳輸的加密配置檔案與安全檔案。
一旦在用戶端上安裝了加密金鑰之後,該用戶端便會使用此金鑰進行以後的 WAN Boot 安裝。
您的網站可能不允許使用加密金鑰。若要確定您的網站是否允許使用加密,請諮詢網站安全性管理員。如果您的網站允許使用加密,請向安全性管理員諮詢您應該使用哪種類型的加密金鑰 (3DES 還是 AES)。
如需有關如何使用加密金鑰的指示,請參閱(可選擇) 建立雜湊金鑰與加密金鑰。
WAN Boot 支援藉由安全通訊端層使用 HTTP (HTTPS),以便在 WAN Boot 伺服器與用戶端之間傳輸資料。透過使用 HTTPS,您可以要求伺服器或同時要求伺服器與用戶端在安裝期間進行自我驗證。HTTPS 也會在安裝期間加密從伺服器傳輸至用戶端的資料。
HTTPS 會使用數位憑證來認證透過網路交換資料的系統。數位憑證是一個在線上通訊期間,將伺服器或用戶端等系統識別為可信任系統的檔案。您可以從外部憑證管理中心要求一個數位憑證,或建立自己的憑證與憑證管理中心。
若要讓用戶端信任伺服器並接受來自伺服器的資料,就必須在伺服器上安裝數位憑證。然後,請指示用戶端信任此憑證。您也可以通過向用戶端提供數位憑證來讓它向伺服器進行自我驗證。然後,當用戶端在安裝期間提供憑證時,您便可指示伺服器接受憑證的簽名者。
若要在安裝期間使用數位憑證,則必須將 Web 伺服器配置為使用 HTTPS。請參閱您的 Web 伺服器說明文件,以取得有關如何使用 HTTPS 的資訊。
如需於 WAN Boot 安裝期間使用數位憑證需求的相關資訊,請參閱數位憑證需求。如需有關如何在 WAN Boot 安裝中使用數位憑證的指示,請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。
WAN Boot 支援各種安全層級。您可以結合使用在 WAN Boot 中受支援的安全功能,以滿足網路的需要。更安全的配置雖然需要更多的管理,但是也會顯著增加系統資料的安全性。對於高重要性的系統,或是想要安裝於公開網路上的系統,您可以選擇安全 WAN Boot 安裝配置中的配置。對於重要性較低的系統,或是位於半公開網路上的系統,則可以考慮使用不安全 WAN Boot 安裝配置中所述的配置。
本節簡要說明可以用來設定 WAN Boot 安裝之安全層級的各種配置。同時還會對這些配置所需的安全機制進行說明。
此配置可保護伺服器與用戶端之間所交換資料的完整性,並可協助保持交換內容的機密性。此配置使用 HTTPS 連接,並使用 3DES 或 AES 演算法對用戶端配置檔案進行加密。此配置還要求伺服器在安裝期間向用戶端進行自我驗證。安全 WAN Boot 安裝需要以下安全功能:
在 WAN Boot 伺服器與安裝伺服器上啟用 HTTPS
WAN Boot 伺服器與用戶端上具有 HMAC SHA1 雜湊金鑰
具有用於 WAN Boot 伺服器與用戶端的 3DES 或 AES 加密金鑰
憑證管理中心具有用於 WAN Boot 伺服器的數位憑證
如果還想要求在安裝期間進行用戶端驗證,則還必須使用以下安全功能:
具有用於 WAN Boot 伺服器的私密金鑰
用戶端的數位憑證
如需有關需要使用此配置進行安裝的作業清單,請參閱表 11–1。
此安全配置所需的管理工作最少,但是當資料從 Web 伺服器傳輸至用戶端時,相應的安全性也最低。您不需要建立雜湊金鑰、加密金鑰或數位憑證,也不需要將您的 Web 伺服器配置為可使用 HTTPS。但是,此配置會透過 HTTP 連接傳輸安裝資料與檔案,這樣極易使安裝在網路上被攔截。
如果要讓用戶端檢查所傳輸資料的完整性,您可以在此配置中使用 HMAC SHA1 雜湊金鑰。但是,雜湊金鑰不保護 Solaris Flash 歸檔。在安裝期間,歸檔會在伺服器與用戶端之間進行不安全的傳輸。
如需有關需要使用此配置進行安裝的作業清單,請參閱表 11–2。
本章說明如何準備用於 WAN Boot 安裝的網路。本章說明以下主題:
系統與說明 |
需求 |
---|---|
WAN Boot 伺服器 – WAN Boot 伺服器是一種 Web 伺服器,可提供 wanboot 程式、配置檔案與安全檔案以及 WAN Boot miniroot。 |
|
如果安裝伺服器為 WAN Boot 伺服器以外的系統,則它必須滿足以下附加要求:
|
|
|
|
如果您使用的是 SunOS DHCP 伺服器,則必須執行下列一項作業。
如果 DHCP 伺服器並非位於用戶端,而是在其他子網路上,則必須配置一個 BOOTP 中繼代理程式。如需有關如何配置 BOOTP 中繼代理程式的更多資訊,請參閱「System Administration Guide: IP Services」中的第 14 章「Configuring the DHCP Service (Tasks)」。 |
|
(可選擇) 記錄伺服器 – 依預設,在 WAN 安裝期間,所有的啟動與安裝記錄訊息會顯示於用戶端主控台上。如果要在其他系統上檢視這些訊息,您可以指定一個系統做為記錄伺服器。 |
必須配置為 Web 伺服器。 備註 – 如果您在安裝期間使用 HTTPS,則記錄伺服器與 WAN Boot 伺服器必須為同一個系統。 |
(可選擇) 代理伺服器 – 您可以將 WAN Boot 功能配置為可以在下載安裝資料與檔案期間使用 HTTP 代理伺服器。 |
如果安裝使用 HTTPS,則必須將代理伺服器配置為通道 HTTPS。 |
在 WAN Boot 伺服器與安裝伺服器上使用的 Web 伺服器軟體必須滿足以下需求:
作業系統需求 – WAN Boot 提供共用閘道介面 (CGI) 程式 (wanboot-cgi),用於將資料與檔案轉換為用戶端機器所期望的特定格式。若要利用這些程序檔執行 WAN Boot 安裝,Web 伺服器軟體必須執行 Solaris 9 12/03 作業系統或相容的版本。
檔案大小限定 – Web 伺服器軟體可能會限定透過 HTTP 傳輸的檔案大小。請查閱您的 Web 伺服器說明文件,以確定該軟體可以傳輸大小與 Solaris Flash 歸檔相同的檔案。
flarcreate 指令對個別檔案已無大小限制。您可以建立 Solaris Flash 歸檔以存放 4 GB 以上的個別檔案。
如需更多資訊,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的「建立包含大型檔案的歸檔」。
SSL 支援 – 如果您要在 WAN Boot 安裝中使用 HTTPS,則 Web 伺服器軟體必須支援 SSL 版本 3。
您可以自訂 WAN Boot 所需的伺服器配置以滿足網路需要。您可以將所有的伺服器置於一個系統上,也可將它們置於多個系統上。
單一伺服器 – 如果要使 WAN Boot 資料與檔案集中放置在一個系統上,則可以將所有的伺服器置於同一部機器上。您只需要將一個系統配置為 Web 伺服器,便可以在一個系統上管理所有不同的伺服器。然而,單一伺服器可能無法支援同時進行大量 WAN Boot 安裝所需的通訊量。
多重伺服器 – 如果要在整個網路上分配安裝資料與檔案,可以將這些伺服器置於多部機器上。也可以設定一部 WAN Boot 中央伺服器,並將多部安裝伺服器配置為可在整個網路上放置 Solaris Flash 歸檔。如果將安裝伺服器與記錄伺服器放置在獨立的機器上,則必須將那些伺服器配置為 Web 伺服器。
wanboot-cgi 程式會在 WAN Boot 安裝期間傳輸下列檔案。
wanboot 程式
WAN Boot miniroot
自訂 JumpStart 檔案
Solaris Flash 歸檔
若要使 wanboot-cgi 程式能夠傳輸這些檔案,則必須將它們儲存在 Web 伺服器軟體可以存取的目錄中。將這些檔案放置在 Web 伺服器上的文件根目錄中,便可以存取它們。
文件根目錄或主要文件目錄,是 Web 伺服器上儲存用戶端可用檔案的目錄。您可以在 Web 伺服器軟體中命名與配置該目錄。請參閱您的 Web 伺服器說明文件,以取得有關在 Web 伺服器上設定文件根目錄的更多資訊。
您也許想要建立文件根目錄的各種子目錄以儲存各種安裝檔案與配置檔案。例如,您可能想要為要安裝的每個用戶端群組建立特定的子目錄。計劃要在網路上安裝幾個不同發行版本的 作業系統時,可能會需要為每個發行版本建立子目錄。
圖 10–1 會顯示文件根目錄的基本範例結構。在此範例中,WAN Boot 伺服器與安裝伺服器位於同一部機器上。該伺服器正在執行 Apache Web 伺服器軟體。
該文件目錄範例使用下列結構。
/opt/apache/htdocs 目錄為文件的根目錄。
Solaris Flash (flash) 目錄中包含安裝用戶端所需的自訂 JumpStart 檔案,以及子目錄 archives。archives 目錄包含了 Solaris 10 11/06 Flash 歸檔。
如果 WAN Boot 伺服器與安裝伺服器為不同的系統,則也許想要將 flash 目錄儲存在安裝伺服器上。確保 WAN Boot 伺服器可以存取這些檔案與目錄。
如需有關如何建立文件根目錄的資訊,請參閱您的 Web 伺服器說明文件。如需有關如何建立和儲存這些安裝檔案的詳細指示,請參閱建立自訂 JumpStart 安裝檔案。
/etc/netboot 目錄中包含 WAN Boot 安裝所需的配置資訊、私密金鑰、數位憑證以及憑證管理中心。本節說明可以建立於 /etc/netboot 目錄中以自訂 WAN Boot 安裝的檔案與目錄。
在安裝期間,wanboot-cgi 程式會在 WAN Boot 伺服器上的 /etc/netboot 目錄中搜尋用戶端資訊。wanboot-cgi 程式會將此資訊轉換至 WAN Boot 檔案系統,然後將 WAN Boot 檔案系統傳輸至用戶端。您可以在 /etc/netboot 目錄中建立子目錄以自訂 WAN 安裝的範圍。使用下列目錄結構可以定義如何在要安裝的用戶端之間共用配置資訊。
網路特定的配置 – 如果僅允許特定子網路中的機器共用配置資訊,請將要共用的配置檔案儲存於 /etc/netboot 的某個子目錄中。使子目錄遵循此命名慣例。
/etc/netboot/net-ip |
在此範例中,net-ip 為用戶端子網路的 IP 位址。例如,若要讓子網路上所有 IP 位址為 192.168.255.0 的系統共用配置檔案,則需要建立一個 /etc/netboot/192.168.255.0 目錄。然後,將配置檔案儲存在此目錄中。
用戶端特定的配置 – 如果僅允許一個特定用戶端使用啟動檔案系統,請將啟動檔案系統檔案儲存於子目錄 /etc/netboot 中。使子目錄遵循此命名慣例。
/etc/netboot/net-ip/client-ID |
在此範例中,net-ip 為子網路的 IP 位址。client-ID 可以是 DHCP 伺服器所指定的用戶端,也可以是使用者指定的用戶端 ID。例如,如果要讓子網路 192.168.255.0 上用戶端 ID 為 010003BA152A42 的系統使用特定的配置檔案,請建立一個 /etc/netboot/192.168.255.0/010003BA152A42 目錄。然後,將適當的檔案儲存於該目錄中。
您可以透過建立下列檔案並將它們儲存在 /etc/netboot 目錄中,來指定安全與配置資訊。
系統配置檔案 (system.conf) – 此系統配置檔會指定用戶端 sysidcfg 檔案及自訂 JumpStart 檔案的位置。
keystore – 此檔案包含用戶端的 HMAC SHA1 雜湊金鑰、3DES 或 AES 加密金鑰以及 SSL 私密金鑰。
truststore – 此檔案包含用戶端可信任的憑證簽發機構所簽發的數位憑證。這些可信任憑證會指示用戶端在安裝期間信任伺服器。
certstore 檔案必須位於用戶端 ID 目錄中。如需有關 /etc/netboot 目錄中子目錄的更多資訊,請參閱自訂 WAN Boot 安裝範圍。
如需有關如何建立與儲存這些檔案的詳細說明,請參閱下列程序:
在網路上安裝用戶端之後,您也許要在數個不同的用戶端之間、或整個子網路上共用安全與配置檔案。您可以透過將配置資訊分配於 /etc/netboot/net-ip/client-ID、/etc/netboot/net-ip 以及 /etc/netboot 目錄來共用這些檔案。wanboot-cgi 程式會在這些目錄中搜尋最適合用戶端的配置資訊,並在安裝時使用這些資訊。
此 wanboot-cgi 程式使用下列順序來搜尋用戶端資訊。
/etc/netboot/net-ip/client-ID – wanboot-cgi 程式會首先檢查特定於用戶端機器的配置資訊。如果 /etc/netboot/net-ip/client-ID 目錄包含所有用戶端配置資訊,則 wanboot-cgi 程式不會在 /etc/netboot 目錄中的其他位置檢查配置資訊。
/etc/netboot/net-ip – 如果並非所有的必備資訊都位於 /etc/netboot/net-ip/client-ID 目錄中,則 wanboot-cgi 程式會在 /etc/netboot/net-ip 目錄中檢查子網路配置資訊。
/etc/netboot – 如果其餘的資訊沒有位於 /etc/netboot/net-ip 目錄中,則 wanboot-cgi 程式會在 /etc/netboot 目錄中檢查全域配置資訊。
圖 10–2 展示如何設置 /etc/netboot 目錄來自訂 WAN Boot 安裝。
圖 10–2 所顯示的 /etc/netboot 目錄配置,可讓您執行下列 WAN Boot 安裝。
當您安裝用戶端 010003BA152A42 時,wanboot-cgi 程式會使用 /etc/netboot/192.168.255.0/010003BA152A42 目錄中的下列檔案。
system.conf
keystore
truststore
certstore
然後,wanboot-cgi 程式會使用 /etc/netboot/192.168.255.0 目錄中的 wanboot.conf 檔案。
如果您安裝了一個位於 192.168.255.0 子網路上的用戶端,則 wanboot-cgi 程式會使用 /etc/netboot/192.168.255.0 目錄中的 wanboot.conf、keystore 以及 truststore 檔案。然後,wanboot-cgi 程式會使用 /etc/netboot 目錄中的 system.conf 檔案。
如果您安裝了一部並非位於 192.168.255.0 子網路上的用戶端機器,則 wanboot-cgi 程式會使用 /etc/netboot 目錄中的下列檔案。
wanboot.conf
system.conf
keystore
truststore
wanboot-cgi 程式會將資料與檔案從 WAN Boot 伺服器傳輸至用戶端。必須確保該程式位於 WAN Boot 伺服器上可供用戶端存取的目錄中。將該程式儲存在 WAN Boot 伺服器上的 cgi-bin 目錄中,用戶端便可以對它進行存取。您可能需要將 Web 伺服器軟體配置為可以將 wanboot-cgi 程式做為 CGI 程式使用。請參閱您的 Web 伺服器說明文件,以取得有關 CGI 程式需求的資訊。
如果要增加 WAN Boot 安裝的安全性,您可以使用數位憑證來啟用伺服器與用戶端驗證。WAN Boot 可以在線上交易期間使用數位憑證建立伺服器或用戶端的身份識別。數位憑證是由憑證管理中心 (CA) 簽發。這些憑證包含序號、有效日期、憑證持有者的公開金鑰副本以及憑證管理中心的數位簽名。
如果需要在安裝期間進行伺服器驗證,或同時進行伺服器與用戶端驗證,則必須在伺服器上安裝數位憑證。使用數位憑證時,請遵循下列準則:
如果要使用數位憑證,則該數位憑證必須被格式化為公開金鑰加密標準 #12 (PKCS#12) 檔案的一部分。
如果建立自己的憑證,則必須將該憑證建立為 PKCS#12 檔案。
如果從協力廠商憑證管理中心取得憑證,則要求憑證為 PKCS#12 格式。
如需有關如何在 WAN Boot 安裝期間使用 PKCS#12 憑證的詳細指示,請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。
由於 WAN Boot 提供數種不同的安全功能,因此 WAN Boot 不會出現下列潛在的不安全問題:
拒絕服務 (DoS) 的干預 – 拒絕服務的干預可以採取多種形式,讓使用者無法存取特定的服務。DoS 干預可能導致網路充斥大量的資料或過度使用有限的資源。其他 DoS 干預可操控系統之間正在傳輸的資料。WAN Boot 安裝方法不會使伺服器或用戶端免於 DoS 干預。
伺服器上毀壞的二進位碼 – WAN Boot 安裝方法不會在執行安裝之前檢查 WAN Boot miniroot 或 Solaris Flash 歸檔的完整性。在執行安裝之前,請根據 http://sunsolve.sun.com 中的 Solaris 指紋資料庫檢查 Solaris 二進位碼的完整性。
加密金鑰與雜湊金鑰的私密性 – 如果在 WAN Boot 中使用加密金鑰或雜湊金鑰,則必須在安裝期間於指令行上輸入金鑰值。請針對網路採取必要的預防措施,以確保這些金鑰值的私密性。
弱化網路命名服務 – 如果要在網路上使用命名服務,請在執行 WAN Boot 安裝之前檢查名稱伺服器的完整性。
您需要收集各種資訊來配置 WAN Boot 安裝的網路。在準備透過 WAN 安裝時,可能想要寫下此資訊。
使用以下工作表記錄網路的 WAN Boot 安裝資訊:
表 10–2 收集伺服器資訊的工作表表 10–3 用於收集用戶端資訊的工作表
資訊 |
註解 |
---|---|
用戶端子網路的 IP 位址 |
|
用戶端路由器的 IP 位址 |
|
用戶端的 IP 位址 |
|
用戶端的子網路遮罩 |
|
用戶端主機名稱 |
|
用戶端的 MAC 位址 |
|
本章介紹了為進行 WAN Boot 安裝而準備網路所需的下列作業。
以下表格列出了準備進行 WAN Boot 安裝所需執行的作業。
如需準備安全 WAN Boot 安裝所需執行作業的清單,請參閱表 11–1。
如需透過 HTTPS 進行安全 WAN Boot 安裝的描述,請參閱安全 WAN Boot 安裝配置。
如需準備不安全 WAN Boot 安裝所需執行作業的清單,請參閱表 11–2。
如需不安全 WAN Boot 安裝的描述,請參閱不安全 WAN Boot 安裝配置。
若要使用 DHCP 伺服器或記錄伺服器,請完成列示於每個表格底端的選擇性作業。
表 11–1 作業說明:準備執行安全的 WAN Boot 安裝表 11–2 作業說明:準備執行不安全的 WAN Boot 安裝
WAN Boot 伺服器是一種 Web 伺服器,在 WAN Boot 安裝期間提供啟動與配置資料。如需 WAN Boot 伺服器的系統需求清單,請參閱表 10–1。
本節介紹的下列作業,用於為 WAN Boot 安裝配置 WAN Boot 伺服器。
若要提供配置檔案和安裝檔案,則必須使 WAN Boot 伺服器上的 Web 伺服器軟體可以存取這些檔案。使這些檔案可存取的一種方法是將其儲存在 WAN Boot 伺服器的根目錄中。
若要將配置檔案和安裝檔案置於根目錄中,則必須建立此目錄。請參閱 Web 伺服器說明文件,以獲取有關如何建立文件根目錄的資訊。如需有關如何設計文件根目錄的詳細資訊,請參閱在文件根目錄下儲存安裝與配置檔案。
如需有關如何設置此目錄的範例,請參閱建立文件根目錄。
建立文件根目錄之後,請建立 WAN Boot miniroot。如需說明,請參閱建立 WAN Boot miniroot。
WAN Boot 使用已修改的特殊 Solaris miniroot 來執行 WAN Boot 安裝。WAN Boot miniroot 含有 Solaris miniroot 中軟體的子集。若要執行 WAN Boot 安裝,則必須將 Solaris DVD 或 Solaris Software - 1 CD 中的 miniroot 複製到 WAN Boot 伺服器中。使用 setup_install_server 指令的 -w 選項,將 Solaris 軟體媒體的 WAN Boot miniroot 複製到您的系統硬碟上。
此程序使用 SPARC 媒體建立 SPARC WAN Boot miniroot。如果要在基於 x86 的伺服器上提供 SPARC WAN Boot miniroot,則必須在 SPARC 機器上建立此 miniroot。建立 miniroot 後,將其複製到基於 x86 的伺服器的根目錄中。
此程序假定 WAN Boot 伺服器上正在執行 Volume Manager。如果您未使用磁碟區管理員,請參閱「System Administration Guide: Devices and File Systems」。
成為 WAN Boot 伺服器上的超級使用者或具有同等權限的角色。
系統必須滿足以下需求:
包含 CD-ROM 光碟機或 DVD-ROM 光碟機
成為網站的網路服務和命名服務的一部分
如果您使用命名服務,則系統必須已經使用相同的命名服務,例如,NIS、NIS+、DNS 或 LDAP。如果您並未使用命名服務,則必須遵循網站的策略來分配關於此系統的資訊。
將 Solaris Software - 1 CD 或 Solaris DVD 插入安裝伺服器的磁碟機中。
為 WAN Boot miniroot 和 Solaris 安裝影像建立目錄。
# mkdir -p wan-dir-path install-dir-path |
指示 mkdir 指令為要建立的目錄建立所有必要的父目錄。
在安裝伺服器上,指定建立 WAN Boot miniroot 的目錄。此目錄需要容納大小通常為 250 MB 的 miniroot。
在安裝伺服器上,指定要將 Solaris 軟體影像複製至哪個目錄。稍後可在此程序中移除該目錄。
變更至已掛載光碟上的 Tools 目錄。
# cd /cdrom/cdrom0/s0/Solaris_10/Tools |
在上述範例中,cdrom0 是包含 Solaris 作業系統媒體的磁碟機路徑。
將 WAN Boot miniroot 和 Solaris 軟體影像複製到 WAN Boot 伺服器的硬碟上。
# ./setup_install_server -w wan-dir-path install-dir-path |
指定要將 WAN Boot miniroot 複製至哪個目錄。
指定要將 Solaris 軟體影像複製至哪個目錄。
setup_install_server 指令指出您是否有足夠的磁碟空間來儲存 Solaris Software 的光碟影像。若要決定可用的磁碟空間,請使用 df -kl 指令。
setup_install_server -w 指令可建立 WAN Boot miniroot 和 Solaris 軟體的網路安裝影像。
(可選擇) 移除網路安裝影像。
執行具有 Solaris Flash 歸檔的 WAN 安裝無需 Solaris 軟體影像。如果您沒有計劃使用網路安裝影像進行其他網路安裝,則可釋放影像所佔用的磁碟空間。鍵入以下指令以移除網路安裝影像。
# rm -rf install-dir-path |
使用以下方式之一使 WAN Boot miniroot 能為 WAN Boot 所用。
在 WAN Boot 伺服器的文件根目錄中建立一個至 WAN Boot miniroot 的符號連結。
# cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot . |
指定在 WAN Boot 伺服器的文件根目錄中,要連結至 WAN Boot miniroot 的目錄。
指定 WAN Boot miniroot 的路徑。
將 WAN Boot miniroot 移到 WAN Boot 伺服器的文件根目錄中。
# mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name |
指定 WAN Boot miniroot 的路徑。
指定 WAN Boot 伺服器文件根目錄中 WAN Boot miniroot 目錄的路徑。
指定 WAN Boot miniroot 的名稱。描述性地命名此檔案,例如 miniroot.s10_sparc。
使用帶有 -w 選項的 setup_install_server(1M),將 WAN Boot miniroot 和 Solaris 軟體影像複製至 wanserver-1 的 /export/install/Solaris_10 目錄中。
將 Solaris Software 媒體插入已連接至 wanserver-1 的媒體磁碟機中。鍵入下列指令。
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
將 WAN Boot miniroot 移至 WAN Boot 伺服器中的文件根目錄 (/opt/apache/htdocs/) 下。在此範例中,WAN Boot miniroot 的名稱設為 miniroot.s10_sparc。
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
建立 WAN Boot miniroot 之後,請確認用戶端 OpenBoot PROM (OBP) 可支援 WAN Boot。如需有關說明,請參閱確認用戶端上的 WAN Boot 支援。
如需有關 setup_install_server 指令的附加資訊,請參閱「install_scripts(1M)」。
若要執行自動 WAN Boot 安裝,用戶端系統的 OpenBoot PROM (OBP) 就必須支援 WAN Boot。如果用戶端的 OBP 不支援 WAN Boot,則您可以提供本機 CD 上的必要程式來執行 WAN Boot 安裝。
您可以檢查用戶端的 OBP 配置變數,判斷用戶端是否支援 WAN Boot。執行以下程序,檢查用戶端是否支援 WAN Boot。
這個程序描述了如何確定用戶端 OBP 是否支援 WAN Boot。
成為超級使用者,或者假定一個對等身份。
身份包含授權指令與特權指令。如需有關角色的更多資訊,請參閱「System Administration Guide: Security Services」中的「Configuring RBAC (Task Map)」。
檢查 OBP 配置變數是否支援 WAN Boot。
# eeprom | grep network-boot-arguments |
如果顯示變數 network-boot-arguments,或前一個指令傳回輸出 network-boot-arguments: data not available,則 OBP 支援 WAN Boot 安裝。在執行 WAN Boot 安裝之前,無需更新 OBP。
如果前一個指令未傳回任何輸出,則 OBP 不支援 WAN Boot 安裝。您必須執行下列作業之一。
更新用戶端 OBP。對於具有能夠支援 WANF Boot 安裝之 OBP 的用戶端,請參閱系統文件以取得有關更新 OBP 的資訊。
並非所有用戶端 OBP 都支援 WAN Boot。對於這些用戶端,請使用下一個選項。
當您完成準備作業,並準備安裝用戶端時,請從 Solaris Software CD1 或 DVD 執行 WAN Boot 安裝。目前的 OBP 不提供 WAN Boot 支援時,此選項可適用於各種狀況。
如需有關如何從 CD1 啟動用戶端的說明,請參閱利用本機 CD 媒體執行 WAN Boot 安裝。若要繼續準備 WAN Boot 安裝,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
以下指令顯示了如何檢查用戶端 OBP 是否支援 WAN Boot。
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
在此範例中,network-boot-arguments: data not available 表示用戶端 OBP 支援 WAN Boot。
驗證用戶端 OBP 可支援 WAN Boot 之後,您必須將 wanboot 程式複製到 WAN Boot 伺服器中。如需說明,請參閱在 WAN Boot 伺服器上安裝 wanboot 程式。
如果用戶端 OBP 不支援 WAN Boot,就不需要將 wanboot 程式複製到 WAN Boot 伺服器中。您必須將本機 CD 上的 wanboot 程式提供給用戶端。若要繼續進行安裝,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
如需有關 setup_install_server 指令的其他資訊,請參閱第 4 章, 從網路安裝 (簡介)。
WAN Boot 使用一個特殊的第二層啟動程式 (wanboot) 來安裝用戶端。wanboot 程式會載入執行 WAN Boot 安裝所必要的 WAN Boot miniroot、用戶端配置檔和安裝檔案。
若要執行 WAN Boot 安裝,則必須在安裝時向用戶端提供 wanboot 程式。您可以用下列方式向用戶端提供此程式。
如果用戶端的 PROM 支援 WAN Boot,則可將此程式從 WAN Boot 伺服器傳送至用戶端。您必須在 WAN Boot 伺服器上安裝 wanboot 程式。
若要檢查您用戶端的 PROM 是否支援 WAN Boot,請參閱檢查用戶端 OBP 是否支援 WAN Boot。
如果用戶端的 PROM 不支援 WAN Boot,則必須將此程式置於本機 CD 中提供給用戶端。如果您客戶的 PROM 不支援 WAN Boot,請前往在 WAN Boot 伺服器上建立 /etc/netboot 階層結構繼續進行安裝的準備工作。
此程序說明如何將 wanboot 程式從 Solaris 媒體複製到 WAN Boot 伺服器。
此程序假定 WAN Boot 伺服器上正在執行 Volume Manager。如果您未使用磁碟區管理員,請參閱「System Administration Guide: Devices and File Systems」。
確認用戶端系統支援 WAN Boot。如需更多資訊,請參閱檢查用戶端 OBP 是否支援 WAN Boot。
成為安裝伺服器上的超級使用者或具有同等權限的角色。
將 Solaris Software - 1 CD 或 Solaris DVD 插入安裝伺服器的磁碟機中。
變更至 Solaris Software - 1 CD 上或 Solaris DVD 上的 sun4u 平台目錄。
# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ |
將 wanboot 程式複製到安裝伺服器上。
# cp wanboot /document-root-directory/wanboot/wanboot-name |
指定 WAN Boot 伺服器的文件根目錄。
指定 wanboot 程式的名稱。描述性地命名此檔案,例如,wanboot.s10_sparc。
使用以下方式之一使 wanboot 程式能為 WAN Boot 伺服器所用。
在 WAN Boot 伺服器的文件根目錄中建立一個至 wanroot 程式的符號連結。
# cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot . |
指定在 WAN Boot 伺服器的文件根目錄中,要連結至 wanboot 程式的目錄。
指定 wanboot 程式的路徑。
將 WAN Boot miniroot 移到 WAN Boot 伺服器的文件根目錄中。
# mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name |
指定 wanboot 程式的路徑。
在 WAN Boot 伺服器的文件根目錄中指定 wanboot 程式目錄的路徑。
指定 wanboot 程式的名稱。描述性地命名此檔案,例如 wanboot.s10_sparc。
若要在 WAN Boot 伺服器上安裝 wanboot 程式,請將此程式由 Solaris Software 媒體複製至 WAN Boot 伺服器的文件根目錄中。
將 Solaris DVD 或 Solaris Software - 1 CD 插入已連接至 wanserver-1 的媒體磁碟機中,並鍵入下列指令。
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
在此範例中,wanboot 程式的名稱設為 wanboot.s10_sparc。
在 WAN Boot 伺服器上安裝 wanboot 程式之後,您必須在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。如需說明,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
如需 wanboot 程式的簡介資訊,請參閱何為 WAN Boot?。
在安裝過程中,WAN Boot 將參考 Web 伺服器的 /etc/netboot 階層的內容,以取得有關如何執行安裝的說明。該目錄包含 WAN Boot 安裝所必要的配置資訊、私密金鑰、數位憑證和憑證管理中心。在安裝過程中,wanboot-cgi 程式會將此資訊轉換至 WAN Boot 檔案系統中。然後,wanboot-cgi 程式會將 WAN Boot 檔案系統傳送給用戶端。
您可以在 /etc/netboot 目錄中建立子目錄以自訂 WAN 安裝的範圍。使用下列目錄結構可以定義如何在要安裝的用戶端之間共用配置資訊。
網路特定的配置 – 如果僅允許特定子網路中的機器共用配置資訊,請將要共用的配置檔案儲存於 /etc/netboot 的某個子目錄中。使子目錄遵循此命名慣例。
/etc/netboot/net-ip |
在此範例中,net-ip 為用戶端子網路的 IP 位址。
用戶端特定的配置 – 如果僅允許一個特定用戶端使用啟動檔案系統,請將啟動檔案系統檔案儲存於子目錄 /etc/netboot 中。使子目錄遵循此命名慣例。
/etc/netboot/net-ip/client-ID |
在此範例中,net-ip 為子網路的 IP 位址。client-ID 可以是 DHCP 伺服器所指定的用戶端,也可以是使用者指定的用戶端 ID。
如需有關這些配置的詳細規劃資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
下列程序旨在說明如何建立 /etc/netboot 階層。
遵循這些步驟,即可建立 /etc/netboot 階層結構。
成為 WAN Boot 伺服器上的超級使用者,或者擔任一個等效角色。
建立 /etc/netboot 目錄。
# mkdir /etc/netboot |
# chmod 700 /etc/netboot |
將 /etc/netboot 目錄的所有者變更為 Web 伺服器所有者。
# chown web-server-user:web-server-group /etc/netboot/ |
指定 Web 伺服器程序的使用者所有者
指定 Web 伺服器程序的群組所有者
退出超級使用者身份。
# exit |
取得 Web 伺服器所有者的使用者身份。
建立 /etc/netboot 目錄的用戶端子目錄。
# mkdir -p /etc/netboot/net-ip/client-ID |
指示 mkdir 指令為要建立的目錄建立所有必要的父目錄。
指定用戶端子網路的網路 IP 位址。
指定用戶端 ID。用戶端 ID 可以是使用者定義的值或 DHCP 用戶端 ID。client-ID 必須為 net-ip 目錄的子目錄。
對於 /etc/netboot 階層中的每個目錄,將其權限變更為 700。
# chmod 700 /etc/netboot/dir-name |
下列範例顯示如何在子網路 192.168.198.0 上建立用戶端 010003BA152A42 的 /etc/netboot 階層。在此範例中,使用者 nobody 和群組 admin 擁有 Web 伺服器程序。
此範例中的指令執行以下作業。
建立 /etc/netboot 目錄。
將 /etc/netboot 目錄的許可權變更為 700。
將 /etc/netboot 目錄的所有權變更為 Web 伺服器程序的所有者。
假定使用者身份與 Web 伺服器使用者身份相同。
在 /etc/netboot 下建立名稱與子網路 (192.168.198.0) 一致的子目錄。
在子網路目錄下建立名稱與用戶端 ID 一致的子目錄。
將 /etc/netboot 子目錄的許可權變更為 700。
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
建立 /etc/netboot 階層結構之後,您就必須將 WAN Boot CGI 程式複製到 WAN Boot 伺服器中。如需說明,請參閱將 WAN Boot CGI 程式複製到 WAN Boot 伺服器中。
如需有關如何設計 /etc/netboot 階層的詳細規劃資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
wanboot-cgi 程式會產生資料串流,該串流會將以下檔案從 WAN Boot 伺服器傳送至用戶端。
wanboot 程式
WAN Boot 檔案系統
WAN Boot miniroot
當您安裝 Solaris 10 11/06 軟體時,就會在系統上安裝 wanboot-cgi 程式。若要使 WAN Boot 伺服器能夠使用此程式,請將此程式複製到 WAN Boot 伺服器的 cgi-bin 目錄中。
成為 WAN Boot 伺服器上的超級使用者,或者擔任一個等效角色。
將 wanboot-cgi 程式複製到 WAN Boot 伺服器上。
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi |
在 WAN Boot 伺服器上,指定 Web 伺服器軟體的根目錄。
在 WAN Boot 伺服器上,將 CGI 程式的許可權變更為 755。
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi |
將 WAN Boot CGI 程式複製到 WAN Boot 伺服器之後,就可以選擇設置記錄伺服器。如需有關說明,請參閱(可選擇) 配置 WAN Boot 記錄伺服器。
如果您不希望設置分離的記錄伺服器,請參閱(可選擇) 使用 HTTPS 保護資料,以取得有關如何設置 WAN Boot 安裝之安全功能的說明。
如需 wanboot-cgi 程式的簡介資訊,請參閱何為 WAN Boot?。
預設所有 WAN Boot 的記錄訊息,都會顯示在用戶端系統上。此種預設的行為可讓您快速地除錯任何的安裝問題。
如果您要在一個非用戶端的系統上記錄啟動和安裝記錄訊息,則必須安裝一部記錄伺服器。如果要在安裝時使用帶有 HTTPS 的記錄伺服器,則必須將 WAN Boot 伺服器配置為記錄伺服器。
若要配置記錄伺服器,請依照下列步驟執行。
將 bootlog-cgi 程序檔複製到記錄伺服器的 CGI 程序檔目錄中。
# cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin |
在記錄伺服器的 Web 伺服器目錄中指定 cgi-bin 目錄
將 bootlog-cgi 程序檔的許可權變更為 755。
# chmod 755 log-server-root/cgi-bin/bootlog-cgi |
在 wanboot.conf 檔案中設定 boot_logger 參數的值。
在 wanboot.conf 檔案中,指定記錄伺服器上 bootlog-cgi 程序檔的 URL。
如需在 wanboot.conf 檔案中設定參數的資訊,請參閱建立 wanboot.conf 檔案。
在安裝期間,啟動和安裝的記錄訊息會記錄在記錄伺服器的 /tmp 目錄中。記錄檔命名為 bootlog.hostname,其中 hostname 為用戶端的主機名稱。
以下範例將 WAN Boot 伺服器配置為一部記錄伺服器。
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
設置記錄伺服器之後,您就可以選擇設置 WAN Boot 安裝,以使用數位憑證與安全金鑰。如需有關如何設置 WAN Boot 安裝之安全功能的說明,請參閱(可選擇) 使用 HTTPS 保護資料。
若要在從 WAN Boot 伺服器向用戶端傳輸資料期間保護您的資料,可以透過安全通訊端層 (HTTPS) 使用 HTTP。若要使用安全 WAN Boot 安裝配置中所述的更安全的安裝配置,您的 Web 伺服器必須使用 HTTPS。
如果您不想執行安全 WAN Boot,請略過本區段中的程序。若要繼續準備低安全性的安裝,請參閱建立自訂 JumpStart 安裝檔案。
若要使 WAN Boot 伺服器上的 Web 伺服器軟體能使用 HTTPS,您必須執行以下作業。
在 Web 伺服器軟體中啟動安全通訊端層 (SSL) 支援。
啟動 SSL 支援和用戶端驗證的程序依 Web 伺服器的不同而有所不同。此文件對如何在您的 Web 伺服器上啟動這些安全功能不做介紹。如需有關這些功能的資訊,請參閱以下說明文件。
如需有關在 SunONE 和 iPlanet Web 伺服器上啟動 SSL 的資訊,請參閱 http://docs.sun.com 上 SunONE 和 iPlanet 的說明文件集合。
如需有關在 Apache Web 伺服器上啟動 SSL 的資訊,請參閱 http://httpd.apache.org/docs-project/ 上的 Apache 說明文件專案。
如果您正在使用的 Web 伺服器軟體未在上述清單中列出,請參閱您的 Web 伺服器軟體說明文件。
在 WAN Boot 伺服器上安裝數位憑證。
如需有關數位憑證搭配 WAN Boot 使用的資訊,請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。
向用戶端提供受信任的憑證。
如需有關如何建立可信任的證書的資訊,請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。
建立雜湊金鑰和加密金鑰。
如需有關如何建立金鑰的說明,請參閱(可選擇) 建立雜湊金鑰與加密金鑰。
(可選擇) 將 Web 伺服器軟體配置為支援用戶端驗證。
如需有關如何將 Web 伺服器配置為支援用戶端驗證的資訊,請參閱 Web 伺服器說明文件。
本節說明如何在 WAN Boot 安裝中使用數位憑證與金鑰。
WAN Boot 安裝方法可以使用 PKCS#12 檔案,透過具有伺服器驗證或者同時具有伺服器驗證與用戶端驗證的 HTTPS 來執行安裝。如需有關使用 PKCS#12 檔案的需求和準則,請參閱數位憑證需求。
若要在 WAN Boot 安裝中使用 PKCS#12 檔案,請執行以下作業。
將 PKCS#12 檔案分割為單獨的 SSL 私密金鑰和受信任的憑證檔案
將可信任的憑證插入 /etc/netboot 階層中用戶端的 truststore 檔案中。受信任的憑證會指示用戶端信任伺服器。
(可選擇) 在 /etc/netboot 階層中用戶端的 keystore 檔案裡插入 SSL 私密金鑰檔案的內容。
wanbootutil 指令提供了用以執行上述清單中作業的選項。
如果您不想執行安全 WAN Boot,請略過此程序。若要繼續準備低安全性的安裝,請參閱建立自訂 JumpStart 安裝檔案。
遵循這些步驟,即可建立受信任的憑證與用戶端私密金鑰。
在分割 PKCS#12 檔案之前,在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。
如需描述 /etc/netboot 階層的簡介資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
如需有關如何建立 /etc/netboot 階層的指示,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
從 PKCS#12 檔案中擷取受信任的憑證。在 /etc/netboot 階層中用戶端的 truststore 檔案內插入憑證。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。
指定要分割的 PKCS#12 檔案之名稱。
在用戶端的 truststore 檔案中插入憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
(可選擇) 決定是否要求進行用戶端驗證。
如果否的話,請前往(可選擇) 建立雜湊金鑰與加密金鑰。
如果是的話,請繼續執行以下步驟。
在用戶端的 certstore 中插入用戶端憑證。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。
指定要分割的 PKCS#12 檔案之名稱。
在用戶端的 certstore 中插入用戶端的憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密金鑰檔案之名稱。
在用戶端的 keystore 中插入私密金鑰。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
在以下範例中,您會使用 PKCS#12 檔案在子網路 192.168.198.0 上安裝用戶端 010003BA152A42。此指令範例可從一個名為 lient.p12 的 PKCS#12 檔案擷取憑證。然後該指令會將可信任憑證的內容置於用戶端的 truststore 檔案中。
在執行這些指令之前,您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中,Web 伺服器使用者角色是 nobody。
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
建立數位憑證之後,您就可以建立雜湊金鑰與加密金鑰。如需有關說明,請參閱(可選擇) 建立雜湊金鑰與加密金鑰。
如需有關如何建立可信任憑證的更多資訊,請參閱「wanbootutil(1M)」。
如果要使用 HTTPS 來傳送資料,則必須建立一個 HMAC SHA1 雜湊金鑰和一個加密金鑰。如果您計劃透過一個半私有網路進行安裝,您可能不想對安裝資料進行加密。您可以使用 HMAC SHA1 雜湊金鑰來檢查 wanboot 程式的完整性。
透過使用 wanbootutil keygen 指令,可以產生這些金鑰並將其儲存在相應的 /etc/netboot 目錄中。
如果您不想執行安全 WAN Boot,請略過此程序。若要繼續準備低安全性的安裝,請參閱建立自訂 JumpStart 安裝檔案。
如果要建立雜湊金鑰與加密金鑰,請遵循這些步驟。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
建立主 HMAC SHA1 金鑰。
# wanbootutil keygen -m |
為 WAN Boot 伺服器建立主 HMAC SHA1 金鑰
由主金鑰建立用戶端的 HMAC SHA1 雜湊金鑰。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1 |
由主金鑰建立用戶端的雜湊金鑰。
指出 wanbootutil keygen 指令中包含了其他的選項。
指定用戶端的子網路的 IP 位址。如果您不使用 net 選項,則金鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。
指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。
指示 wanbootutil keygen 公用程式為用戶端建立一個 HMAC SHA1 雜湊金鑰。
決定是否需要為用戶端建立加密金鑰。
您需要建立加密金鑰,以透過 HTTPS 執行 WAN Boot 安裝。在用戶端建立與 WAN Boot 伺服器的 HTTPS 連接前,WAN Boot 伺服器會將已加密的資料和資訊傳送給用戶端。加密金鑰可使用戶端解密此資訊,並在安裝中使用此資訊。
如果您正在執行的是一個透過 HTTPS、且進行伺服器驗證的更加安全的 WAN 安裝,請繼續。
如果您只想檢查 wanboot 程式的完整性,則無需建立加密金鑰。前往步驟 6。
建立用戶端的加密金鑰。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type |
建立用戶端的加密金鑰。
指出 wanbootutil keygen 指令中包含了其他的選項。
指定用戶端的網路 IP 位址。如果您不使用 net 選項,則金鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。
指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。
指示 wanbootutil keygen 公用程式為用戶端建立一個加密金鑰。可賦予 key-type 一個 3des 值或 aes 值。
在用戶端系統上安裝金鑰。
如需有關如何在用戶端上安裝金鑰的指示,請參閱在用戶端上安裝金鑰。
以下範例為 WAN Boot 伺服器建立了一個主 HMAC SHA1 金鑰。這個範例也會為子網路上 192.168.198.0 的用戶端 010003BA152A42,建立 HMAC SHA1 雜湊金鑰與 3DES 加密金鑰。
在執行這些指令之前,您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中,Web 伺服器使用者角色是 nobody。
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
建立雜湊與加密金鑰之後,就必須建立安裝檔案。如需有關說明,請參閱建立自訂 JumpStart 安裝檔案。
如需雜湊金鑰和加密金鑰的簡介資訊,請參閱在 WAN Boot 安裝期間保護資料。
如需有關如何建立雜湊金鑰和加密金鑰的更多資訊,請參閱「wanbootutil(1M)」。
WAN Boot 會執行一個自訂 JumpStart 安裝,以在用戶端上安裝 Solaris Flash 歸檔。自訂 JumpStart 安裝方法是一個指令行介面,此介面可使您根據建立的設定檔自動安裝數個系統。這些設定檔可定義特定的軟體安裝需求。您也可以加入 shell 程序檔,以包含安裝前和安裝後的作業。您可以選擇要使用何種設定檔和程序檔來進行安裝或升級。自訂 JumpStart 安裝方法會根據您選取的設定檔和程序檔,來安裝或升級系統。而且,您也可以使用 sysidcfg 檔案來指定配置資訊,這樣自訂 JumpStart 安裝可完全避免手動干預。
若要為 WAN Boot 安裝準備自訂 JumpStart 檔案,請完成以下作業。
如需有關自訂 JumpStart 安裝方法的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的第 2 章「自訂 JumpStart (簡介)」。
Solaris Flash 安裝功能可讓您使用系統上的 Solaris 作業系統單一參照安裝,也稱為主系統。然後即可建立 Solaris Flash 歸檔,此檔案為主系統的複製影像。您可以在網路的其他系統上安裝 Solaris Flash 歸檔,建立複製系統。
本節說明如何建立 Solaris Flash 歸檔。
在建立 Solaris Flash 歸檔前,必須首先安裝主系統。
如需有關安裝主系統的資訊,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的「安裝主系統」。
有關 Solaris Flash 歸檔的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的第 1 章「Solaris Flash (簡介)」。
檔案大小問題:
請查閱您的 Web 伺服器說明文件,以確定該軟體可以傳輸大小與 Solaris Flash 歸檔相同的檔案。
請查閱您的 Web 伺服器說明文件,以確定該軟體可以傳輸大小與 Solaris Flash 歸檔相同的檔案。
flarcreate 指令在單個檔案上已無大小限制。您可以建立 Solaris Flash 歸檔以存放 4 GB 以上的個別檔案。
如需更多資訊,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的「建立包含大型檔案的歸檔」。
啟動主系統。
請盡可能在非使用中狀態下執行主系統。如果可能,請以單一使用者模式來執行該系統;否則,請關閉您要歸檔的所有應用程式以及需要耗用大量作業系統資源的所有應用程式。
若要建立歸檔,請使用 flarcreate 指令。
# flarcreate -n name [optional-parameters] document-root/flash/filename |
您為該歸檔指定的名稱。您指定的 name 是關鍵字 content_name 的值。
您可以在 flarcreate 指令中使用多個選項以自訂 Solaris Flash 歸檔。如需這些選項的詳細說明,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的第 5 章「Solaris Flash (參照)」。
到安裝伺服器之文件根目錄的 Solaris Flash 子目錄的路徑。
歸檔檔案的名稱。
為節省磁碟空間,您可能要在 flarcreate 指令中使用 -c 選項以壓縮歸檔。但是,一個經過壓縮的歸檔可能影響 WAN Boot 安裝的效能。如需有關建立壓縮歸檔的更多資訊,請參閱「flarcreate(1M)」。
如果歸檔建立成功,flarcreate 指令將傳回退出碼 0。
如果歸檔建立失敗,flarcreate 指令將傳回一個非零的退出碼。
在這個範例中,您會複製主機名稱為 wanserver 的 WAN Boot 系統,來建立 Solaris Flash 歸檔。歸檔名為 sol_10_sparc,且是從主系統整個複製過來。它是主系統的精確副本,歸檔儲存於 sol_10_sparc.flar 中。您可以將該歸檔儲存在 WAN Boot 伺服器上文件根目錄的 flash/archives 子目錄中。
wanserver# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
建立 Solaris Flash 歸檔之後,請在 sysidcfg 檔案中預先配置用戶端資訊。如需說明,請參閱建立 sysidcfg 檔案。
如需有關如何建立 Solaris Flash 歸檔的詳細說明,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的第 3 章「建立 Solaris Flash 歸檔 (作業)」。
如需有關 flarcreate 指令的更多資訊,請參閱「flarcreate(1M)」。
您可以在 sysidcfg 檔案中指定一組關鍵字以預先配置系統。
如果要建立 sysidcfg 檔案,請遵循這些步驟。
建立 Solaris Flash 歸檔。如需詳細說明,請參閱建立 Solaris Flash 歸檔。
在安裝伺服器的文字編輯程式中建立一個名為 sysidcfg 的檔案。
輸入所需的 sysidcfg 關鍵字。
如需 sysidcfg 關鍵字的詳細資訊,請參閱sysidcfg 檔案關鍵字。
將 sysidcfg 檔案儲存在 WAN Boot 伺服器能夠存取到的位置。
將該檔案儲存在以下位置之一。
以下是一個用於基於 SPARC 之系統的 sysidcfg 檔案之範例。透過編輯命名服務,已預先配置了此系統的主機名稱、IP 位址和網路遮罩。
network_interface=primary {hostname=wanclient default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.example.com } security_policy=none
建立 sysidcfg 檔案之後,請為用戶端建立自訂 JumpStart 設定檔。如需有關說明,請參閱建立設定檔。
如需有關 sysidcfg 關鍵字和值的更多詳細資訊,請參閱使用 sysidcfg 檔案進行預先配置。
設定檔就是指示自訂 JumpStart 程式如何在系統上安裝 Solaris 軟體的文字檔。設定檔定義了安裝元素,例如,要安裝的軟體群組。
如需有關如何建立設定檔的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立設定檔」。
如果要建立設定檔,請遵循這些步驟。
為用戶端建立 sysidcfg 檔案。如需詳細說明,請參閱建立 sysidcfg 檔案。
在安裝伺服器上建立文字檔案。描述性地命名檔案。
請確定設定檔名稱能夠反映您在系統上使用設定檔來安裝 Solaris 軟體的方法。例如,您可將設定檔命名為 basic_install、eng_profile 或 user_profile。
將設定檔關鍵字和值增加到設定檔中。
如需設定檔關鍵字和值的清單,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「設定檔關鍵字和值」。
設定檔關鍵字和其值是區分大小寫的。
將設定檔儲存在 WAN Boot 伺服器能夠存取到的位置。
將設定檔儲存在以下位置之一。
如果 WAN Boot 伺服器和安裝伺服器位於同一機器上,則將該檔案儲存到 WAN Boot 伺服器之文件根目錄的 flash 子目錄中。
如果 WAN Boot 伺服器和安裝伺服器分處不同的機器,請將 sysidcfg 檔案儲存在安裝伺服器之文件根目錄的 flash 子目錄中。
確保根中含有設定檔,且權限已設為 644。
(可選擇) 測試設定檔。
「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「測試設定檔」包含有關測試設定檔的資訊。
在下列範例中,設定檔指出自訂 JumpStart 程式會從安全的 HTTP 伺服器擷取 Solaris Flash 歸檔。
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
下列清單說明此範例的一些關鍵字和值。
該設定檔在複製系統上安裝 Solaris Flash 歸檔。與初始安裝中一樣,將會覆寫所有檔案。
可從安全的 HTTP 伺服器中擷取壓縮的 Solaris Flash 歸檔。
檔案系統片段是由 filesys 關鍵字所決定,其值為 explicit。根 (/) 的大小依 Solaris Flash 歸檔的大小而定。swap 的大小會依需要設定,它安裝在 c0t1d0s1 上。/export/home 則視剩餘的磁碟空間而定。/export/home 安裝在 c0t1d0s7 上。
建立設定檔之後,您必須建立和驗證 rules 檔案。如需有關說明,請參閱建立 rules 檔案。
如需有關如何建立設定檔的更多資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立設定檔」。
如需有關設定檔關鍵字和值的更多詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「設定檔關鍵字和值」。
rules 檔案就是包含系統中每個群組規則的文字檔,而此處的系統是指要安裝 Solaris 作業系統的系統。每個規則均能夠根據一個或多個系統屬性來區分群組,每個規則也會將每個群組連結至一個設定檔。設定檔是一個文字檔案,定義 Solaris 軟體要如何安裝在群組中的每個系統上。例如,以下規則指定 JumpStart 程式使用 basic_prof 設定檔中的資訊來安裝 sun4u 平台群組的任何系統。
karch sun4u - basic_prof - |
rules 檔案用於建立自訂 JumpStart 安裝所需要的 rules.ok 檔案。
如需有關建立 rules 檔案的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立 rules 檔案」。
如果要建立 rules 檔案,請遵循這些步驟。
為用戶端建立設定檔。如需詳細說明,請參閱建立設定檔。
在安裝伺服器上,建立一個名為 rules 的文字檔。
在 rules 檔案中為每組要安裝的系統增加一個規則。
如需如何建立 rules 檔案的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立 rules 檔案」。
在安裝伺服器上儲存 rules 檔案。
$ ./check -p path -r file-name |
請使用 Solaris 10 11/06 軟體影像的 check 程序檔驗證 rules,而不要使用目前所用系統的 check 程序檔。path 是本機磁碟、已裝載的 Solaris DVD 或 Solaris Software - 1 CD 上的影像。
如果系統執行的是前版 Solaris 作業系統,請使用此選項來執行最新版的 check。
指定一個規則檔案,而不是指定名為 rules 的檔案。透過使用此選項,您可在將規則整合至 rules 檔案之前測試規則的有效性。
當執行 check 程序檔時,程序檔會報告 rules 檔案和每個設定檔的有效性檢查。如果沒有發生任何錯誤,程序檔會報告:自訂 JumpStart 配置完成。check 程序檔會建立 rules.ok 檔案。
將 rules.ok 檔案儲存在 WAN Boot 伺服器能夠存取到的位置。
將該檔案儲存在以下位置之一。
如果 WAN Boot 伺服器和安裝伺服器位於同一機器上,則將該檔案儲存到 WAN Boot 伺服器之文件根目錄的 flash 子目錄中。
如果 WAN Boot 伺服器和安裝伺服器分處不同的機器,請將 sysidcfg 檔案儲存在安裝伺服器之文件根目錄的 flash 子目錄中。
確認 root 中含有 rules.ok 檔案,且權限已設為 644。
自訂 JumpStart 程式使用 rules 檔案,為 wanclient-1 系統選取正確的安裝設定檔。建立名為 rules 的文字檔案。然後,將關鍵字和值增加到此檔案中。
用戶端系統的 IP 位址是 192.168.198.210,網路遮罩是 255.255.255.0。請使用 network 規則關鍵字,來指定自訂 JumpStart 程式應該用於安裝用戶端的設定檔。
network 192.168.198.0 - wanclient_prof - |
這個 rules 檔案會指示自訂 JumpStart 程式,使用 wanclient_prof 在用戶端上安裝 Solaris 10 11/06 軟體。
命名此規則檔案為 wanclient_rule。
建立設定檔和 rules 檔案之後,請執行 check 程序檔,以確認這些檔案有效。
wanserver# ./check -r wanclient_rule |
如果 check 程序檔未發現任何錯誤,該程序檔會建立 rules.ok 檔案。
將 rules.ok 檔案儲存在 /opt/apache/htdocs/flash/ 目錄中。
建立 rules.ok 檔案之後,您就可以選擇設置開始程序檔和結束程序檔以供安裝。如需說明,請參閱(可選擇) 建立開始程序檔和結束程序檔。
如果您不想要設置開始和結束程序檔,請參閱建立配置檔以繼續進行 WAN Boot 安裝。
如需有關如何建立 rules 檔案的更多資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立 rules 檔案」。
如需有關 rules 檔案關鍵字和值的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「規則關鍵字和值」。
開始程序檔和結束程序檔是您在 rules 檔案中指定的使用者定義的 Bourne shell 程序檔。開始程序檔會在 Solaris 軟體安裝到系統上之前執行作業。結束程序檔在 Solaris 軟體安裝到系統上之後,系統重新啟動之前執行作業。僅當您使用自訂 JumpStart 來安裝 Solaris 時,才可使用這些程序檔。
您可以使用開始程序檔建立衍生的設定檔。結束程序檔可使您執行各種安裝後作業,例如增加檔案、套裝軟體、修補程式或其他軟體。
您必須將開始程序檔和結束程序檔與 sysidcfg、rules.ok 和設定檔儲存在安裝伺服器的同一目錄中。
如需有關建立開始程序檔的更多資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立開始程序檔」。
如需有關建立結束程序檔的更多資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立結束程序檔」。
若要繼續準備 WAN Boot 安裝,請參閱建立配置檔。
WAN Boot 使用以下檔案來指定 WAN Boot 安裝所需的資料和檔案的位置。
系統配置檔 (system.conf)
wanboot.conf 檔案
本節介紹如何建立和儲存這兩個檔案。
在系統程序檔中,您可以將 WAN Boot 安裝程式指向以下檔案。
sysidcfg 檔案
rules.ok 檔案
自訂 JumpStart 設定檔
WAN Boot 依照系統配置檔中的指標來安裝和配置用戶端。
系統配置檔是純文字檔案,且其格式必須為以下型樣。
setting=value |
若要使用系統配置檔將 WAN 安裝程式指向 sysidcfg、rules.ok 和設定檔,請依照下列步驟執行。
建立系統配置檔之前,您必須建立 WAN Boot 安裝的安裝檔案。如需詳細說明,請參閱建立自訂 JumpStart 安裝檔案。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
此設定指向包含 sysidcfg 檔案之安裝伺服器的 flash 目錄。確認此 URL 與您在建立 sysidcfg 檔案中建立之 sysidcfg 檔案的路徑相符。
此設定指向包含 rules.ok 檔案、設定檔以及開始程序檔和結束程序檔的安裝伺服器上的 Solaris Flash 目錄。確認此 URL 與您在建立設定檔和建立 rules 檔案中建立之自訂 JumpStart 檔案的路徑相符。
對於使用 HTTPS 的 WAN 安裝,請將值設定為有效的 HTTPS URL。
將檔案儲存到 WAN Boot 伺服器能夠存取的目錄中。
為便於管理,您可能要將檔案儲存到 WAN Boot 伺服器的 /etc/netboot 目錄中相應的用戶端目錄中。
將系統配置檔中的許可權變更為 600。
# chmod 600 /path/system-conf-file |
在下列範例中,WAN Boot 程式在埠 1234 上檢查 Web 伺服器 https://www.example.com 的 sysidcfg 和自訂 JumpStart 檔案。在安裝期間,Web 伺服器使用安全 HTTP 以加密資料和檔案。
sysidcfg 和自訂 JumpStart 檔案位於文件根目錄 /opt/apache/htdocs 的 flash 子目錄中。
SsysidCF=https://www.example.com:1234/flash SjumpsCF=https://www.example.com:1234/flash
在下列範例中,WAN Boot 程式會檢查 Web 伺服器 http://www.example.com 上的 sysidcfg 和自訂 JumpStart 檔案。Web 伺服器使用 HTTP,因此在安裝過程中不對資料和檔案進行保護。
sysidcfg 和自訂 JumpStart 檔案位於文件根目錄 /opt/apache/htdocs 的 flash 子目錄中。
SsysidCF=http://www.example.com/flash SjumpsCF=http://www.example.com/flash
建立系統配置檔之後,請建立 wanboot.conf 檔案。如需有關說明,請參閱建立 wanboot.conf 檔案。
wanboot.conf 檔案是 WAN Boot 程式用於執行 WAN 安裝的一般文字配置檔。wanboot-cgi 程式、啟動檔案系統和 WAN Boot miniroot 均使用 wanboot.conf 檔案中包含的資訊來安裝用戶端機器。
將 wanboot.conf 檔案儲存在 WAN Boot 伺服器上 /etc/netboot 階層結構內相應的用戶端子目錄中。如需有關如何定義具有 /etc/netboot 階層的 WAN Boot 安裝範圍的資訊,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
如果 WAN Boot 伺服器正在執行 Solaris 10 11/06 作業系統,則 /etc/netboot/wanboot.conf.sample 中會有一個範例 wanboot.conf 檔案。您可以將此範例做為 WAN Boot 安裝的範本。
您必須在 wanboot.conf 檔案中納入下列資訊。
您可以透過列出下列格式的具有關聯值的參數,以指定此資訊。
parameter=value |
如需有關 wanboot.conf 檔案參數和語法的詳細資訊,請參閱wanboot.conf 檔案參數和語法。
如果要建立 wanboot.conf 檔案,請遵循這些步驟。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
建立 wanboot.conf 文字檔案。
您可以建立名為 wanboot.conf 的新文字檔,或使用位於 /etc/netboot/wanboot.conf.sample 中的範例檔案。如果您使用範例檔案,請在增加參數後將檔案 wanboot.conf 重新命名。
鍵入安裝所需的 wanboot.conf 參數。
如需有關 wanboot.conf 參數和值的詳細描述,請參閱wanboot.conf 檔案參數和語法。
將 wanboot.conf 檔案儲存至 /etc/netboot 階層結構的相應子目錄中。
如需有關如何建立 /etc/netboot 階層的資訊,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
# bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf |
指定 WAN Boot 伺服器上用戶端的 wanboot.conf 檔案的路徑
如果 wanboot.conf 檔案在結構上有效,則 bootconfchk 指令將返回一個退出碼 0。
如果 wanboot.conf 檔案是無效的,則 bootconfchk 指令將返回一個非零退出碼。
# chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf |
以下 wanboot.conf 檔案範例包含了用於 WAN 安裝 (使用安全的 HTTP) 的配置資訊。wanboot.conf 檔案還指出,在此安裝中使用了 3DES 加密金鑰。
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
wanboot.conf 檔案指定以下配置。
第二層啟動程式的名稱是 wanboot.s10_sparc。此程式位於 WAN Boot 伺服器文件根目錄的 /wanboot 目錄中。
WAN Boot 伺服器上的 wanboot-cgi 程式的位置為 https://www.example.com:1234/cgi-bin/wanboot-cgi。URL 的 https 部分表示此 WAN Boot 安裝使用安全的 HTTP。
WAN Boot miniroot 的名稱是 miniroot.s10_sparc。此 miniroot 位於 WAN Boot 伺服器文件根目錄的 /miniroot 目錄中。
wanboot.s10_sparc 程式與 WAN Boot 檔案系統都是以 HMAC SHA1 雜湊金鑰簽名。
wanboot.s10_sparc 程式與 Boot 檔案系統都是以 3DES 金鑰加密。
安裝期間驗證該伺服器。
安裝期間不驗證該用戶端。
執行 WAN 安裝無需其他主機名稱。所有必要的檔案和資訊均位於 WAN Boot 伺服器的文件根目錄中。
(可選擇) 透過使用安全 HTTP 將啟動和安裝記錄訊息記錄在 WAN Boot 伺服器上。
如需有關如何設置 WAN Boot 安裝的記錄伺服器的說明,請參閱(可選擇) 配置 WAN Boot 記錄伺服器。
包含了 sysidcfg 和 JumpStart 檔案位置的系統配置檔,位於 /etc/netboot 階層的子目錄中。系統配置檔的名稱是 sys-conf.s10–sparc。
以下 wanboot.conf 檔案範例包含了用於安全性較差的 WAN 安裝 (使用 HTTP) 的配置資訊。該 wanboot.conf 檔案還指出,此安裝不使用加密金鑰或雜湊金鑰。
boot_file=/wanboot/wanboot.s10_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
wanboot.conf 檔案指定以下配置。
第二層啟動程式的名稱是 wanboot.s10_sparc。此程式位於 WAN Boot 伺服器文件根目錄的 /wanboot 目錄中。
WAN Boot 伺服器上的 wanboot-cgi 程式的位置為 http://www.example.com/cgi-bin/wanboot-cgi。此安裝不使用安全的 HTTP。
WAN Boot miniroot 的名稱是 miniroot.s10_sparc。此 miniroot 位於 WAN Boot 伺服器文件根目錄的 /miniroot 子目錄中。
wanboot.s10_sparc 程式與 WAN Boot 檔案系統都不是以雜湊金鑰簽名。
wanboot.s10_sparc 程式與 Boot 檔案系統均未加密。
在安裝過程中未使用金鑰或憑證對伺服器進行驗證。
在安裝過程中未使用金鑰或憑證對用戶端進行驗證。
執行此安裝無需其他主機名稱。所有必要的檔案和資訊均位於 WAN Boot 伺服器的文件根目錄中。
(可選擇) 啟動和安裝記錄訊息記錄在 WAN Boot 伺服器上。
如需有關如何設置 WAN Boot 安裝的記錄伺服器的說明,請參閱(可選擇) 配置 WAN Boot 記錄伺服器。
包含了 sysidcfg 和 JumpStart 檔案之系統配置檔的名稱是 sys-conf.s10–sparc。此檔案位於 /etc/netboot 階層結構的相應用戶端子目錄中。
建立 wanboot.conf 檔案之後,您可以選擇配置 DHCP 伺服器以支援 WAN Boot。如需說明,請參閱(可選擇) 使用 DHCP 伺服器提供配置資訊。
如果您不想要在 WAN Boot 安裝中使用 DHCP 伺服器,請參閱檢查用戶端 OBP 中的 net 裝置別名,以繼續進行 WAN Boot 安裝。
如需有關 wanboot.conf 參數和值的詳細描述,請參閱wanboot.conf 檔案參數和語法和「wanboot.conf(4)」。
如果您在網路中使用 DHCP 伺服器,則可以配置該 DHCP 伺服器來提供以下資訊。
代理伺服器的 IP 位址
wanboot-cgi 程式的位置
您可以將下列 DHCP 供應商選項用於 WAN Boot 安裝。
如需有關在 Solaris DHCP 伺服器上設定這些供應商選項的資訊,請參閱使用 DHCP 服務預先配置系統配置資訊 (作業)。
如需有關設定 Solaris DHCP 伺服器的詳細資訊,請參閱「System Administration Guide: IP Services」中的第 14 章「Configuring the DHCP Service (Tasks)」。
若要繼續進行 WAN Boot 安裝,請參閱第 12 章, SPARC: 使用 WAN Boot 進行安裝 (作業)。
本章描述了如何在基於 SPARC 的用戶端上執行 WAN Boot 安裝。如需有關如何準備 WAN Boot 安裝的資訊,請參閱第 11 章, 使用 WAN Boot 進行安裝 (作業) 。
本章說明以下作業。
作業 |
說明 |
相關說明 |
---|---|---|
準備用於 WAN Boot 安裝的網路。 |
設定執行 WAN Boot 安裝所需的伺服器與檔案。 | |
確認在用戶端 OBP 中正確設定了 net 裝置別名。 |
使用 devalias 指令確認已將 net 裝置別名設定為主網路介面。 | |
提供用戶端的金鑰。 |
透過在安裝期間設定 OBP 變數或輸入金鑰值來提供用戶端金鑰。 這是安全安裝配置的必要作業。對於檢查資料完整性的不安全安裝,請完成此項作業以提供用戶端的 HMAC SHA1 雜湊金鑰。 | |
透過廣域網路安裝用戶端。 |
選擇適當的方法來安裝用戶端。 |
在安裝用戶端系統之前,請執行以下作業來準備用戶端。
若要使用 boot net 從 WAN 啟動用戶端,必須將 net 裝置別名設定為該用戶端的主要網路裝置。在大多數系統上,已經正確設定了此別名。但是,如果未將別名設定為要使用的網路裝置,則必須變更別名。
如需有關設定裝置別名的更多資訊,請參閱「OpenBoot 3.x Command Reference Manual」中的「The Device Tree」。
執行下列步驟以檢查用戶端上的 net 裝置別名。
在用戶端上成為超級使用者或具有同等權限的角色。
使系統執行 0 階層。
# init 0 |
螢幕上會顯示 ok 提示。
在 ok 提示下,檢查 OBP 中設定的裝置別名。
ok devalias |
devalias 指令輸出的資訊類似於以下範例。
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
如果已經將 net 別名設定為要在安裝期間使用的網路裝置,則無需重設該別名。請前往在用戶端上安裝金鑰繼續進行安裝。
如果未將 net 別名設定為要使用的網路裝置,則必須重設別名再繼續。
設定 net 裝置別名。
選擇下列指令之一來設定 net 裝置別名。
以下指令顯示了如何檢查與重設 net 裝置別名。
檢查裝置別名。
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
如果要使用 /pci@1f,0/pci@1,1/network@5,1 網路裝置,請輸入以下指令。
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
檢查 net 裝置別名之後,請參閱適當的章節以繼續進行安裝。
若要進行需要檢查資料完整性的較安全 WAN Boot 安裝或不安全安裝,則必須在用戶端上安裝金鑰。透過使用雜湊金鑰與加密金鑰,可以保護傳輸至用戶端的資料。可以使用下列方法安裝這些金鑰。
設定 OBP 變數 – 可以在啟動用戶端之前指定 OBP 網路啟動引數變數的密鑰值。這些值即可用於以後的用戶端 WAN Boot 安裝。
在啟動過程中輸入金鑰值 – 可以在 wanboot 程式的 boot> 提示符號下設定金鑰值。如果使用此方法安裝金鑰,則這些金鑰只用於目前的 WAN Boot 安裝。
也可以在執行中用戶端的 OBP 內安裝金鑰。如果要在執行中的用戶端上安裝金鑰,系統就必須執行 Solaris 9 12/03 作業系統或相容版本。
您在用戶端上安裝金鑰時,請確保金鑰值不會透過不安全連接進行傳輸。請遵循網站的安全性策略以確保金鑰值的私密性。
如需有關如何指定 OBP 網路啟動引數變數的指示,請參閱在用戶端 OBP 內安裝金鑰。
如需有關如何在啟動過程中安裝金鑰的指示,請參閱執行互動式 WAN Boot 安裝。
如需有關如何在執行中用戶端的 OBP 中安裝金鑰的指示,請參閱在執行中的用戶端上安裝雜湊金鑰與加密金鑰。
啟動用戶端之前,可以將金鑰值指定給 OBP 網路啟動引數變數。這些值即可用於以後的用戶端 WAN Boot 安裝。
如果要在用戶端 OBP 安裝金鑰,請遵循以下步驟。
如果要指定 OBP 網路啟動引數變數的金鑰值,請遵循以下步驟。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
顯示每個用戶端金鑰的金鑰值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
用戶端的子網路 IP 位址。
要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
要在用戶端上安裝的金鑰類型。有效的金鑰類型包括 3des、aes 或 sha1。
螢幕上會顯示十六進制的金鑰值。
對於每種要安裝的用戶端金鑰類型,重複執行上面的步驟。
使用戶端系統執行 0 階層。
# init 0 |
螢幕上會顯示 ok 提示。
在用戶端 ok 提示下,設定雜湊金鑰的值。
ok set-security-key wanboot-hmac-sha1 key-value |
在用戶端上安裝金鑰。
指示 OBP 安裝 HMAC SHA1 雜湊金鑰。
指定步驟 2 中顯示的十六進制字串。
HMAC SHA1 雜湊金鑰安裝在用戶端 OBP 中。
在用戶端 ok 提示下,安裝加密金鑰。
ok set-security-key wanboot-3des key-value |
在用戶端上安裝金鑰。
指示 OBP 安裝 3DES 加密金鑰。如果要使用 AES 加密金鑰,請將該值設定為 wanboot-aes。
指定表示加密金鑰的十六進制字串。
3DES 加密金鑰安裝在用戶端 OBP 中。
安裝完金鑰之後,便可以準備安裝用戶端。如需有關如何安裝用戶端系統的指示,請參閱安裝用戶端。
(可選擇) 確認在用戶端 OBP 中設定了金鑰。
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des |
(可選擇) 如果需要刪除金鑰,請輸入以下指令。
ok set-security-key key-type |
以下範例顯示了如何在用戶端 OBP 內安裝雜湊金鑰與加密金鑰。
顯示 WAN Boot 伺服器上的金鑰值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上範例使用了以下資訊。
指定用戶端子網路的 IP 位址
指定用戶端 ID
指定用戶端的 HMAC SHA1 雜湊金鑰值
指定用戶端的 3DES 加密金鑰值
如果要在安裝中使用 AES 加密金鑰,請將 wanboot-3des 變更為 wanboot-aes 以顯示加密金鑰值。
在用戶端系統上安裝金鑰。
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上指令執行下列作業。
在用戶端上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊金鑰
在用戶端上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密金鑰
如果要在安裝中使用 AES 加密金鑰,請將 wanboot-3des 變更為 wanboot-aes。
在用戶端上安裝金鑰之後,您就可以透過 WAN 安裝用戶端。如需有關說明,請參閱安裝用戶端。
如需有關如何顯示金鑰值的更多資訊,請參閱「wanbootutil(1M) 線上手冊」。
在執行中的系統上,您可以在 wanboot 程式的 boot> 提示符號上設定金鑰值。如果使用此方法安裝金鑰,則這些金鑰只用於目前的 WAN Boot 安裝。
如果要在執行中用戶端的 OBP 內安裝雜湊金鑰與加密金鑰,請遵循以下步驟執行。
此程序做出下列假定。
用戶端系統處於開機狀態。
可以藉由安全連接存取用戶端,例如安全 shell (ssh)。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
顯示用戶端金鑰的金鑰值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
用戶端的子網路 IP 位址。
要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
要在用戶端上安裝的金鑰類型。有效的金鑰類型包括 3des、aes 或 sha1。
螢幕上會顯示十六進制的金鑰值。
對於每種要安裝的用戶端金鑰類型,重複執行上面的步驟。
成為用戶端機器上的超級使用者或具有同等權限的角色。
在執行中的用戶端機器上安裝必要的金鑰。
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value |
指定要在用戶端上安裝的金鑰類型。有效的金鑰類型包括 3des、aes 或 sha1。
指定步驟 2 中顯示的十六進制字串。
對於每種要安裝的用戶端金鑰類型,重複執行上面的步驟。
安裝金鑰之後,便完成了安裝用戶端的準備工作。如需有關如何安裝用戶端系統的指示,請參閱安裝用戶端。
以下範例顯示了如何在執行中用戶端的 OBP 內安裝金鑰。
顯示 WAN Boot 伺服器上的金鑰值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上範例使用了以下資訊。
指定用戶端子網路的 IP 位址
指定用戶端 ID
指定用戶端的 HMAC SHA1 雜湊金鑰值
指定用戶端的 3DES 加密金鑰值
如果要在安裝中使用 AES 加密金鑰,請將 type=3des 變更為 type=aes 以顯示加密金鑰值。
在執行中用戶端的 OBP 內安裝金鑰。
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上指令執行下列作業。
在用戶端上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊金鑰
在用戶端上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密金鑰
在用戶端上安裝金鑰之後,您就可以透過 WAN 安裝用戶端。如需有關說明,請參閱安裝用戶端。
如需有關如何顯示金鑰值的更多資訊,請參閱「wanbootutil(1M) 線上手冊」。
如需有關如何在執行中系統上安裝金鑰的附加資訊,請參閱「ickey(1M)」。
當您完成 WAN Boot 安裝的網路準備工作後,可以選擇下列方法之一來安裝系統。
表 12–2 安裝用戶端的方法
方法 |
說明 |
操作說明 |
---|---|---|
非互動式安裝 |
如果要在啟動用戶端之前在用戶端上安裝金鑰並設定用戶端配置資訊,請使用此安裝方法。 |
|
互動式安裝 |
如果要在啟動過程中設定用戶端配置資訊,請使用此安裝方法。 | |
使用 DHCP 伺服器進行安裝 |
如果配置了在安裝期間提供用戶端配置資訊的網路 DHCP 伺服器,請使用此安裝方法。 |
|
使用本機 CD 媒體進行安裝 |
如果您的用戶端 OBP 不支援 WAN Boot,請從 Solaris Software CD 的本機複本啟動用戶端。 |
|
如果要在安裝用戶端之前安裝金鑰並設定用戶端配置資訊,請使用此安裝方法。然後,可以從 WAN 啟動用戶端,並執行無人值守的安裝。
此程序假定您已經在用戶端 OBP 內安裝了金鑰,或者正在執行不安全安裝。如需有關在安裝前於用戶端上安裝金鑰的資訊,請參閱在用戶端上安裝金鑰。
如果用戶端系統目前正在執行中,請使該系統執行 0 階層。
# init 0 |
螢幕上會顯示 ok 提示。
於用戶端系統的 ok 提示下,在 OBP 中設定網路啟動引數變數。
ok setenv network-boot-arguments host-ip=client-IP, router-ip=router-ip,subnet-mask=mask-value, hostname=client-name,http-proxy=proxy-ip:port, file=wanbootCGI-URL |
本指令範例中的行分隔僅依格式需要而設。請勿在完成指令輸入之前按下換行鍵。
啟動用戶端。
ok boot net - install |
指示用戶端使用網路啟動引數變數從 WAN 啟動
透過 WAN 進行用戶端安裝。如果 WAN Boot 程式找不到所有必需的安裝資訊,wanboot 程式會提示您提供遺漏的資訊。在提示下輸入附加資訊。
在以下範例中,在啟動機器之前便設定了用戶端系統 myclient 的網路啟動引數變數。此範例假定已經在用戶端上安裝了雜湊金鑰與加密金鑰。如需有關從 WAN 啟動之前安裝金鑰的資訊,請參閱在用戶端上安裝金鑰。
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192 hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
設定了下列變數。
將用戶端 IP 位址設定為 192.168.198.136。
將用戶端的路由器 IP 位址設定為 192.168.198.129。
將用戶端的子網路遮罩設定為 255.255.255.192。
將用戶端的主機名稱設定為 seahag。
wanboot-cgi 程式位於 http://192.168.198.135/cgi-bin/wanboot-cgi。
如需有關如何設定網路啟動引數的更多資訊,請參閱「set(1)」。
如需有關如何啟動系統的更多資訊,請參閱「boot(1M) 線上手冊」。
如果要在安裝期間安裝金鑰並在指令行上設定用戶端配置資訊,請使用此安裝方法。
此程序假定在 WAN 安裝中使用 HTTPS。如果您正在執行不使用金鑰的不安全安裝,請不要顯示或安裝用戶端金鑰。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
顯示每個用戶端金鑰的金鑰值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
要安裝的用戶端子網路的 IP 位址。
要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
要在用戶端上安裝的金鑰類型。有效的金鑰類型包括 3des、aes 或 sha1。
螢幕上會顯示十六進制的金鑰值。
對於每種要安裝的用戶端金鑰類型,重複執行上面的步驟。
如果用戶端系統目前正在執行中,請使該用戶端執行 0 階層。
在用戶端系統上的 ok 提示符號下,設定 OBP 中的網路啟動引數變數。
ok setenv network-boot-arguments host-ip=client-IP,router-ip=router-ip, subnet-mask=mask-value,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL |
本指令範例中的行分隔僅依格式需要而設。請勿在完成指令輸入之前按下換行鍵。
指示 OBP 設定下列啟動引數
指定用戶端的 IP 位址
指定網路路由器的 IP 位址
指定子網路遮罩值
指定用戶端的主機名稱
指定網路伺服器上 wanboot-cgi 程式的 URL
bootserver 變數的 URL 值不得為一個 HTTPS URL。URL 必須以 http:// 開始。
在用戶端 ok 提示下,啟動系統。
ok boot net -o prompt - install |
指示用戶端從網路啟動與安裝。wanboot 程式會提示使用者在 boot> 提示符號下輸入用戶端配置資訊。
螢幕上會顯示 boot> 提示符號。
boot> 3des=key-value |
指定步驟 2 中顯示的 3DES 金鑰十六進制字串。
如果要使用 AES 加密金鑰,請使用以下指令格式。
boot> aes=key-value |
安裝雜湊金鑰。
boot> sha1=key-value |
指定步驟 2 中顯示的雜湊金鑰值。
輸入以下指令以繼續執行啟動程序。
boot> go |
該用戶端透過 WAN 進行安裝。
如果出現提示,請在指令行上輸入用戶端配置資訊。
如果 WAN Boot 程式未找到所有必要的安裝資訊,則 wanboot 程式會提示您提供缺少的資訊。在提示下輸入附加資訊。
在以下範例中,wanboot 程式會在安裝期間提示您設定用戶端系統的金鑰值。
顯示 WAN Boot 伺服器上的金鑰值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上範例使用了以下資訊。
指定用戶端子網路的 IP 位址
指定用戶端 ID
指定用戶端的 HMAC SHA1 雜湊金鑰值
指定用戶端的 3DES 加密金鑰值
如果要在安裝中使用 AES 加密金鑰,請將 type=3des 變更為 type=aes 以顯示加密金鑰值。
在用戶端的 OBP 內設定網路啟動引數變數。
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient, bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi |
設定了下列變數。
將用戶端 IP 位址設定為 192.168.198.136。
將用戶端的路由器 IP 位址設定為 192.168.198.129。
將用戶端的子網路遮罩設定為 255.255.255.192。
用戶端的主機名稱設定為 myclient。
wanboot-cgi 程式位於 http://192.168.198.135/cgi-bin/wanboot-cgi。
啟動與安裝用戶端。
ok boot net -o prompt - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net -o prompt Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> go |
以上指令執行下列作業。
在用戶端上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密金鑰
在用戶端上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊金鑰
開始安裝
如需有關如何顯示金鑰值的更多資訊,請參閱「wanbootutil(1M)」。
如需有關如何設定網路啟動引數的更多資訊,請參閱「set(1)」。
如需有關如何啟動系統的更多資訊,請參閱「boot(1M) 線上手冊」。
如果您將 DHCP 伺服器配置為支援 WAN Boot 選項,則在安裝期間可以使用 DHCP 伺服器,以提供用戶端配置資訊。如需有關配置 DHCP 伺服器以支援 WAN Boot 安裝的更多資訊,請參閱(可選擇) 使用 DHCP 伺服器提供配置資訊。
此程序做出下列假定。
用戶端系統正在執行中。
已經在用戶端上安裝了金鑰,或者正在執行不安全安裝。
如需有關在安裝前於用戶端上安裝金鑰的資訊,請參閱在用戶端上安裝金鑰。
已經將 DHCP 伺服器配置為支援 SbootURI 與 SHTTPproxy WAN Boot 選項。
這些選項可讓 DHCP 伺服器提供 WAN Boot 所需的配置資訊。
如需有關如何在 DHCP 伺服器上設定安裝選項的資訊,請參閱使用 DHCP 服務預先配置系統配置資訊 (作業)。
如果用戶端系統目前正在執行中,請使該系統執行 0 階層。
# init 0 |
螢幕上會顯示 ok 提示。
於用戶端系統的 ok 提示下,在 OBP 中設定網路啟動引數變數。
ok setenv network-boot-arguments dhcp,hostname=client-name |
指示 OBP 設定下列啟動引數
指示 OBP 使用 DHCP 伺服器配置用戶端
指定想要指定給用戶端的主機名稱
從網路啟動用戶端。
ok boot net - install |
指示用戶端使用網路啟動引數變數從 WAN 啟動
透過 WAN 進行用戶端安裝。如果 WAN Boot 程式找不到所有必需的安裝資訊,wanboot 程式會提示您提供遺漏的資訊。在提示下輸入附加資訊。
在以下範例中,網路上的 DHCP 伺服器提供用戶端配置資訊。此範例要求用戶端的主機名稱 myclient。
ok setenv network-boot-arguments dhcp, hostname=myclient ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
如需有關如何設定網路啟動引數的更多資訊,請參閱「set(1)」。
如需有關如何啟動系統的更多資訊,請參閱「boot(1M) 線上手冊」。
如需有關如何配置 DHCP 伺服器的更多資訊,請參閱(可選擇) 使用 DHCP 伺服器提供配置資訊。
如果您的用戶端 OBP 不支援 WAN Boot,則可以使用用戶端 CD-ROM 光碟機中的 Solaris Software - 1 CD 進行安裝。使用本機 CD 時,用戶端會首先從本機媒體擷取 wanboot 程式,而非首先從 WAN Boot 伺服器擷取。
此程序假定在 WAN 安裝中使用 HTTPS。如果執行的是不安全安裝,請不要顯示或安裝用戶端金鑰。
請依照以下步驟,從本機 CD 執行 WAN Boot 安裝。
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
顯示每個用戶端金鑰的金鑰值。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
要安裝的用戶端之網路 IP 位址。
要安裝的用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
要在用戶端上安裝的金鑰類型。有效的金鑰類型包括 3des、aes 或 sha1。
螢幕上會顯示十六進制的金鑰值。
對於每種要安裝的用戶端金鑰類型,重複執行上面的步驟。
在用戶端系統上,將 Solaris Software - 1 CD 插入 CD-ROM 光碟機中。
開啟用戶端系統。
從 CD 啟動用戶端。
ok boot cdrom -o prompt -F wanboot - install |
指示 OBP 從本機 CD-ROM 啟動
指示 wanboot 程式提示使用者輸入用戶端配置資訊
指示 OBP 從 CD-ROM 載入 wanboot 程式
指示用戶端執行 WAN Boot 安裝
用戶端的 OBP 會從 Solaris Software - 1 CD 載入 wanboot 程式。wanboot 程式將啟動系統,螢幕上會顯示 boot> 提示符號。
輸入加密金鑰值。
boot> 3des=key-value |
指定步驟 2 中顯示的 3DES 金鑰十六進制字串。
如果要使用 AES 加密金鑰,請使用以下指令格式。
boot> aes=key-value |
輸入雜湊金鑰值。
boot> sha1=key-value |
指定表示步驟 2 中顯示之雜湊金鑰值的十六進制字串。
設定網路介面變數。
boot> variable=value[,variable=value*] |
在 boot> 提示符號下鍵入以下變數與值對。
指定用戶端的 IP 位址。
指定網路路由器的 IP 位址。
指定子網路遮罩值。
指定用戶端的主機名稱。
指定網路代理伺服器的 IP 位址與通訊埠編號。
指定 Web 伺服器上 wanboot-cgi 程式的 URL。
bootserver 變數的 URL 值不得為一個 HTTPS URL。URL 必須以 http:// 開始。
您可以使用以下方法輸入這些變數。
在 boot> 提示符號下鍵入一個變數與值對,然後按 Return 鍵。
boot> host-ip=client-IP boot> subnet-mask=mask-value |
在 boot> 提示行中鍵入所有變數與值對,然後按 Return 鍵。輸入逗號以分隔每個變數與值對。
boot> host-ip=client-IP,subnet-mask=mask-value, router-ip=router-ip,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL |
輸入以下指令以繼續執行啟動程序。
boot> go |
透過 WAN 進行用戶端安裝。如果 WAN Boot 程式找不到所有必需的安裝資訊,wanboot 程式會提示您提供遺漏的資訊。在提示下輸入附加資訊。
在以下範例中,本機 CD 上的 wanboot 程式會在安裝期間提示您設定用戶端的網路介面變數。
顯示 WAN Boot 伺服器上的金鑰值。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上範例使用了以下資訊。
指定用戶端子網路的 IP 位址
指定用戶端 ID
指定用戶端的 HMAC SHA1 雜湊金鑰值
指定用戶端的 3DES 加密金鑰值
如果要在安裝中使用 AES 加密金鑰,請將 type=3des 變更為 type=aes 以顯示加密金鑰值。
啟動與安裝用戶端。
ok boot cdrom -o prompt -F wanboot - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot cdrom -F wanboot - install Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> host-ip=192.168.198.124 boot> subnet-mask=255.255.255.128 boot> router-ip=192.168.198.1 boot> hostname=myclient boot> client-id=010003BA152A42 boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi boot> go |
以上指令執行下列作業。
在用戶端上輸入值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密金鑰
在用戶端上輸入值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊金鑰
將用戶端的 IP 位址設定為 192.168.198.124
將用戶端的子網路遮罩設定為 255.255.255.128
將用戶端的路由器 IP 位址設定為 192.168.198.1
將用戶端的主機名稱設定為 myclient
將用戶端 ID 設定為 010003BA152A42
將 wanboot-cgi 程式的位置設定為 http://192.168.198.135/cgi-bin/wanboot-cgi/
如需有關如何顯示金鑰值的更多資訊,請參閱「wanbootutil(1M)」。
如需有關如何設定網路啟動引數的更多資訊,請參閱「set(1)」。
如需有關如何啟動系統的更多資訊,請參閱「boot(1M) 線上手冊」。
本章提供了一個透過廣域網 (WAN) 設定和安裝用戶端系統的範例。本章中的範例將介紹如何透過 HTTPS 連接執行安全的 WAN Boot 安裝。
圖 13–1 顯示本範例的網站設定。
此範例網站具有下列特徵。
伺服器 wanserver-1 將配置為 WAN Boot 伺服器和安裝伺服器。
wanserver-1 的 IP 位址為 192.168.198.2。
wanserver-1 的網域名稱為 www.example.com。
wanserver-1 正在執行 Solaris 10 11/06 作業系統。
wanserver-1 執行的是 Apache Web 伺服器。wanserver-1 上的 Apache 軟體已配置為支援 HTTPS。
要安裝的用戶端名為 wanclient-1。
wanclient-1 是 UltraSPARCII 系統。
wanclient-1 的用戶端 ID 為 010003BA152A42。
wanclient-1 的 IP 位址為 192.168.198.210。
用戶端子網路的 IP 位址為 192.168.198.0。
用戶端系統 wanclient-1 具有網際網路存取權限,但不直接連接至包含 wanserver-1 的網路。
wanclient-1 是新的系統,將會安裝 Solaris 10 11/06 軟體。
若要儲存安裝檔案和資料,請在 wanserver-1 上的文件根目錄 (/opt/apache/htdocs) 中設定下列目錄。
Solaris Flash 目錄
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
WAN Boot miniroot 目錄
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
wanboot 程式目錄
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
使用帶有 -w 選項的 setup_install_server(1M),將 WAN Boot miniroot 和 Solaris 軟體影像複製至 wanserver-1 的 /export/install/Solaris_10 目錄中。
將 Solaris Software 媒體插入已連接至 wanserver-1 的媒體磁碟機中。鍵入下列指令。
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
將 WAN Boot miniroot 移至 WAN Boot 伺服器中的文件根目錄 (/opt/apache/htdocs/) 下。
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
透過在用戶端系統上鍵入下列指令,來確定用戶端 OBP 是否支援 WAN Boot。
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
在先前的範例中,network-boot-arguments: data not available 輸出表示用戶端 OBP 支援 WAN Boot。
若要在 WAN Boot 伺服器上安裝 wanboot 程式,請將此程式由 Solaris Software 媒體複製至 WAN Boot 伺服器的文件根目錄中。
將 Solaris DVD 或 Solaris Software - 1 CD 插入已連接至 wanserver-1 的媒體磁碟機中,並鍵入下列指令。
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
在 WAN Boot 伺服器上的 /etc/netboot 目錄下,建立 wanclient-1 子目錄。安裝期間,WAN Boot 安裝程式會從此目錄中擷取配置資訊和安全性資訊。
wanclient-1 位於子網路 192.168.198.0 上,其用戶端 ID 為 010003BA152A42。若要在 /etc/netboot 下,為 wanclient-1 建立適當的子目錄,請執行下列工作。
建立 /etc/netboot 目錄。
將 /etc/netboot 目錄的許可權變更為 700。
將 /etc/netboot 目錄的所有權變更為 Web 伺服器程序的所有者。
假定使用者身份與 Web 伺服器使用者身份相同。
在 /etc/netboot 下建立名稱與子網路 (192.168.198.0) 一致的子目錄。
在子網路目錄下建立名稱與用戶端 ID 一致的子目錄。
將 /etc/netboot 子目錄的許可權變更為 700。
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
在執行 Solaris 10 11/06 作業系統的系統上,wanboot-cgi 程式位於 /usr/lib/inet/wanboot/ 目錄中。若要啟用 WAN Boot 伺服器傳送安裝資料,請將 wanboot-cgi 程式複製至 Web 伺服器軟體目錄內的 cgi-bin 目錄中。
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
預設所有 WAN Boot 的記錄訊息,都會顯示在用戶端系統上。此種預設的行為可讓您快速地除錯任何的安裝問題。
若要在 WAN Boot 伺服器上檢視啟動訊息和安裝訊息,請將 bootlog-cgi 程序檔複製至 wanserver-1 上的 cgi-bin 目錄。
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
若要在 WAN Boot 安裝中使用 HTTPS,您必須啟用 Web 伺服器軟體中的 SSL 支援,還必須在 WAN Boot 伺服器上安裝數位憑證。此範例假定 wanserver-1 上的 Apache Web 伺服器已配置為使用 SSL。此範例還假定已經在 wanserver-1 上安裝了數位憑證及憑證授權單位,它們會建立 wanserver-1 的身份。
如需有關如何將您的 Web 伺服器軟體配置為使用 SSL 的範例,請參閱 Web 伺服器說明文件。
透過要求該伺服器向用戶端證實自己的身份,可以保護藉由 HTTPS 從伺服器傳送至用戶端的資料。若要啟用伺服器認證,請您向用戶端提供一個可信任的憑證。可信任的憑證可使用戶端在安裝期間確認伺服器的身份。
若要向用戶端提供一個可信任的憑證,請假定使用者身份與 Web 伺服器使用者身份相同。然後,分割憑證以擷取可信任的憑證。然後,將可信任的憑證插入用戶端之 /etc/netboot 階層內的 truststore 檔案中。
在此範例中,您擔當 Web 伺服器使用者身份 nobody。然後,分割名為 cert.p12 的伺服器 PKCS#12 憑證,並將可信任的憑證插入 wanclient-1 的 /etc/netboot 目錄中。
wanserver-1# su nobody 密碼: wanserver-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
為了在安裝期間進一步保護資料,您可能會要求 wanclient-1 向 wanserver-1 驗證自己的身份。若要在 WAN Boot 安裝中啟用用戶端驗證,請將用戶端憑證和私密金鑰插入 /etc/netboot 階層的用戶端子目錄中。
若要向用戶端提供私密金鑰與憑證,請執行下列作業。
假定使用者身份與 Web 伺服器使用者身份相同。
將 PKCS#12 檔案分割成私密金鑰和用戶端憑證
將憑證插入用戶端的 certstore 檔案中
將私密金鑰插入用戶端的 keystore 檔案中
在此範例中,您擔當 Web 伺服器使用者身份 nobody。然後,分割名為 cert.p12 的伺服器 PKCS#12 憑證。將憑證插入 wanclient-1 的 /etc/netboot 階層中。然後,將命名為 wanclient.key 的私密金鑰插入用戶端的 keystore 檔案中。
wanserver-1# su nobody 密碼: wanserver-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key wanserver-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
為了保護在伺服器和用戶端之間傳送的資料,請您建立雜湊金鑰和加密金鑰。伺服器使用雜湊金鑰來保護 wanboot 程式的完整性。伺服器使用加密金鑰來對配置資料和安裝資料進行加密。用戶端使用雜湊金鑰來檢查所下載之 wanboot 程式的完整性。用戶端使用加密金鑰以在安裝期間對資料進行解密。
首先,假定使用者身份與 Web 伺服器使用者身份相同。在此範例中,Web 伺服器使用者身份為 nobody。
wanserver-1# su nobody 密碼: |
接著,使用 wanbootutil keygen 指令建立 wanserver-1 的 HMAC SHA1 主金鑰。
wanserver-1# wanbootutil keygen -m |
然後,建立 wanclient-1 的雜湊金鑰和加密金鑰。
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
以上指令建立 wanclient-1 的 HMAC SHA1 雜湊機金鑰和 3DES 加密金鑰。192.168.198.0 指定 wanclient-1 的子網路,010003BA152A42 指定 wanclient-1 的用戶端 ID。
在此範例中,您將透過複製 wanserver-1 主系統來建立 Solaris Flash 歸檔。此歸檔名為 sol_10_sparc,且完全由主系統複製而來。它是主系統的精確副本,歸檔儲存於 sol_10_sparc.flar 中。您可以將該歸檔儲存在 WAN Boot 伺服器上文件根目錄的 flash/archives 子目錄中。
wanserver-1# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
若要預先配置 wanclient-1 系統,請在 sysidcfg 檔案中指定關鍵字和值。將該檔案儲存在 wanserver-1 上文件根目錄的適當子目錄中。
下面是 wanclient-1 之 sysidcfg 檔案的範例。透過編輯命名服務,已預先配置了這些系統的主機名稱、IP 位址和網路遮罩。此檔案位於 /opt/apache/htdocs/flash/ 目錄中。
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
對於 wanclient-1 系統,請建立名為 wanclient_1_prof 的設定檔。wanclient_1_prof 檔案包含以下項目,這些項目定義了要在 wanclient-1 系統上安裝的 Solaris 10 11/06 軟體。
# 設定檔關鍵字 設定檔值 # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/cdrom0.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
下列清單說明此範例的一些關鍵字和值。
該設定檔在複製系統上安裝 Solaris Flash 歸檔。與初始安裝中一樣,將會覆寫所有檔案。
從 wanserver-1 中擷取壓縮的 Solaris Flash 歸檔。
檔案系統片段是由 filesys 關鍵字所決定,其值為 explicit。根 (/) 的大小依 Solaris Flash 歸檔的大小而定。swap 的大小會依需要設定,它安裝在 c0t1d0s1 上。/export/home 則視剩餘的磁碟空間而定。/export/home 安裝在 c0t1d0s7 上。
自訂 JumpStart 程式使用 rules 檔案,為 wanclient-1 系統選取正確的安裝設定檔。建立名為 rules 的文字檔案。然後,將關鍵字和值增加到此檔案中。
wanclient-1 系統的 IP 位址是 192.168.198.210,同時網路遮罩是 255.255.255.0。請利用 network 規則關鍵字,指定自訂 JumpStart 程式應用以安裝 wanclient-1 的設定檔。
network 192.168.198.0 - wanclient_1_prof - |
此 rules 檔案指示自訂 JumpStart 程式使用 wanclient_1_prof,在 wanclient-1 上安裝 Solaris 10 11/06 軟體。
命名此規則檔案為 wanclient_rule。
建立設定檔和 rules 檔案之後,請執行 check 程序檔,以確認這些檔案有效。
wanserver-1# ./check -r wanclient_rule |
如果 check 程序檔未發現任何錯誤,該程序檔會建立 rules.ok 檔案。
將 rules.ok 檔案儲存在 /opt/apache/htdocs/flash/ 目錄中。
建立系統配置檔,該檔案會列出 sysidcfg 檔案和自訂 JumpStart 檔案在安裝伺服器上的位置。將此檔案儲存在 WAN Boot 伺服器可以存取的目錄中。
在以下範例中,wanboot-cgi 程式會查找 WAN Boot 伺服器上文件根目錄中的 sysidcfg 檔案和自訂 JumpStart 檔案。WAN Boot 伺服器的網域名稱為 https://www.example.com。由於 WAN Boot 伺服器已配置為使用安全的 HTTP,因此在安裝期間,資料和檔案會受保護。
在本範例中,系統配置檔命名為 sys-conf.s10–sparc,並且儲存在 WAN Boot 伺服器上的 /etc/netboot 階層中。sysidcfg 和自訂 JumpStart 檔案位於文件根目錄的 flash 子目錄中。
SsysidCF=https://www.example.com/flash/ SjumpsCF=https://www.example.com/flash/
WAN Boot 使用包含在 wanboot.conf 檔案中的配置資訊來安裝用戶端機器。在文字編輯程式中建立 wanboot.conf 檔案。將此檔案儲存在 WAN Boot 伺服器上 /etc/netboot 階層結構中相應的用戶端子目錄內。
以下用於 wanclient-1 的 wanboot.conf 檔案,包含使用安全的 HTTP 之 WAN 安裝的配置資訊。此檔案還指示 WAN Boot 使用 HMAC SHA1 雜湊金鑰和 3DES 加密金鑰來保護資料。
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
wanboot.conf 檔案指定以下配置。
wanboot 程式的名稱是 wanboot.s10_sparc。該程式位於 wanserver-1 上文件根目錄內的 wanboot 目錄中。
wanserver-1 中的 wanboot-cgi 程式位於 https://www.example.com/cgi-bin/wanboot-cgi。URL 的 https 部分表示此 WAN Boot 安裝使用安全的 HTTP。
WAN Boot miniroot 的名稱是 miniroot.s10_sparc。位於 wanserver-1 上文件根目錄中的 miniroot 目錄內。
使用 HMAC SHA1 雜湊金鑰來簽署 wanboot 程式和 WAN Boot 檔案系統。
使用 3DES 金鑰來加密 wanboot 程式和 WAN Boot 檔案系統。
安裝期間驗證該伺服器。
安裝期間不驗證該用戶端。
如果您要執行(可選擇) 對用戶端驗證使用私密金鑰和憑證中的作業,請將此參數設定為 client_authentication=yes。
執行 WAN 安裝無需其他主機名稱。wanboot-cgi 程式要求的所有主機名稱都在 wanboot.conf 檔案和用戶端憑證中指定。
啟動和安裝記錄訊息顯示在系統主控台上。如果您已配置了(可選擇) 配置 WAN Boot 伺服器為記錄伺服器中的記錄伺服器,然後也想要在 WAN Boot 伺服器上顯示 WAN Boot 訊息,請將此參數設定為 boot_logger=https://www.example.com/cgi-bin/bootlog-cgi。
系統配置檔 (指定 sysidcfg 的位置) 與 JumpStart 檔案位於 wanserver-1 上 /etc/netboot 階層內的 sys-conf.s10–sparc 檔案中。
在此範例中,您將 wanboot.conf 檔案儲存在 wanserver-1 上的 /etc/netboot/192.168.198.0/010003BA152A42 目錄中。
若要使用 boot net 從 WAN 啟動用戶端,必須將 net 裝置別名設定為該用戶端的主要網路裝置。在用戶端 ok 提示符號處,鍵入 devalias 指令,確認已將 net 別名設定為主要網路裝置 /pci@1f,0/pci@1,1/network@c,1。
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
在上述輸出範例中,為主要網路裝置 /pci@1f,0/pci@1,1/network@c,1 指定的別名為 net。無需重設此別名。
在建立伺服器金鑰和用戶端金鑰中,您會建立雜湊金鑰和加密金鑰以在安裝期間保護資料。若要啟用用戶端以解密在安裝期間從 wanserver-1 傳送的資料,請將這些金鑰安裝在 wanclient-1 上。
在 wanserver-1 上,會顯示金鑰值。
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上範例使用了以下資訊。
指定用戶端子網路的 IP 位址
指定用戶端 ID
指定用戶端的 HMAC SHA1 雜湊金鑰值
指定用戶端的 3DES 加密金鑰值
如果要在安裝中使用 AES 加密金鑰,請將 type=3des 變更為 type=aes 以顯示加密金鑰值。
在 wanclient-1 上的 ok 提示符號處,安裝這些金鑰。
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
以上指令執行下列作業。
在 wanclient-1 上安裝值為 b482aaab82cb8d5631e16d51478c90079cc1d463 的 HMAC SHA1 雜湊金鑰
在 wanclient-1 上安裝值為 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 的 3DES 加密金鑰
您可以在 ok 提示符號處設定 wanclient-1 的網路啟動引數,然後啟動用戶端,從而執行無需干預的安裝。
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
設定了下列變數。
用戶端 IP 位址設定為 192.168.198.210
用戶端的路由器 IP 位址設定為 192.168.198.1
用戶端的子網路遮罩設定為 255.255.255.0
用戶端的主機名稱設定為 wanclient-1
wanboot-cgi 程式位於 http://192.168.198.2/cgi-bin/wanboot-cgi
該用戶端透過 WAN 進行安裝。如果 wanboot 程式找不到所有必需的安裝資訊,系統可能會提示您在指令行中提供遺漏的資訊。
本章簡要介紹用來執行 WAN 安裝的指令和檔案。
下列表格將介紹用來執行 WAN Boot 安裝的指令。
表 14–1 準備 WAN Boot 安裝檔和配置檔表 14–2 準備 WAN Boot 安全檔案
下表列出您可以在用戶端 ok 提示符號中鍵入用於執行 WAN Boot 安裝的 OBP 指令。
表 14–3 用於 WAN Boot 安裝的 OBP 指令
系統配置檔可讓您將 WAN Boot 安裝程式導向下列檔案。
sysidcfg
rules.ok
自訂 JumpStart 設定檔
系統配置檔是純文字檔案,且其格式必須為以下型樣。
setting=value
此設定會指向安裝伺服器上包含 sysidcfg 檔案的目錄。對於使用 HTTPS 的 WAN 安裝,請將值設定為有效的 HTTPS URL。
此設定指向包含 rules.ok 檔案和設定檔的自訂 JumpStart 目錄。對於使用 HTTPS 的 WAN 安裝,請將值設定為有效的 HTTPS URL。
您可以將 system.conf 儲存在 WAN Boot 伺服器可存取的任一目錄中。
wanboot.conf 檔案是 WAN Boot 安裝程式用來執行 WAN 安裝的純文字配置檔。下列程式和檔案使用 wanboot.conf 檔案中所包含的資訊,來安裝用戶端機器。
wanboot-cgi 程式
WAN Boot 檔案系統
WAN Boot miniroot
將 wanboot.conf 檔案儲存在 WAN Boot 伺服器上 /etc/netboot 階層結構內相應的用戶端子目錄中。如需有關如何定義具有 /etc/netboot 階層的 WAN Boot 安裝範圍的資訊,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
您可以使用以下格式列出參數以及相關值,從而在 wanboot.conf 檔案中指定資訊。
parameter=value
參數項目不能跨行。您可以透過在註釋前加上 # 字元, 將註釋納入檔案中。
如需有關 wanboot.conf 檔案的詳細資訊,請參閱「wanboot.conf(4) 線上手冊」。
此參數指定 wanboot 程式的路徑。此值是 WAN Boot 伺服器上文件根目錄的相對路徑。
boot_file=/wanboot/wanboot.s10_sparc
此參數指定 WAN Boot 伺服器上 wanboot-cgi 程式的 URL。
此參數指定 WAN Boot 伺服器上 WAN Boot miniroot 的路徑。此值是 WAN Boot 伺服器上文件根目錄的相對路徑。
root_file=/miniroot/miniroot.s10_sparc
此參數指定雜湊金鑰的類型,以用來檢查所傳送之資料和檔案的完整性。
此參數指定加密類型,以用來加密 wanboot 程式和 WAN Boot 檔案系統。
此參數指定是否應在 WAN Boot 安裝期間憑證伺服器。
此參數指定是否應在 WAN Boot 安裝期間認證用戶端。
此參數指定安裝期間需要為 wanboot-cgi 程式解譯的其他主機。
將此值設定為系統的主機名稱 (先前未在 wanboot.conf 檔案或用戶端憑證中指定此名稱)。
此參數指定記錄伺服器上 bootlog-cgi 程序檔的 URL。
此參數指定包含 sysidcfg 檔案位置和自訂 JumpStart 檔案位置的系統配置檔之路徑。
將此值設定為 Web 伺服器上 sysidcfg 檔案和自訂 JumpStart 檔案的路徑。
system_conf=sys.conf