第 11 章 使用 WAN Boot 進行安裝 (作業)
本章介紹了為進行 WAN Boot 安裝而準備網路所需的下列作業。
透過廣域網路進行安裝 (作業說明)
以下表格列出了準備進行 WAN Boot 安裝所需執行的作業。
-
如需準備安全 WAN Boot 安裝所需執行作業的清單,請參閱表 11–1。
如需透過 HTTPS 進行安全 WAN Boot 安裝的描述,請參閱安全 WAN Boot 安裝配置。
-
如需準備不安全 WAN Boot 安裝所需執行作業的清單,請參閱表 11–2。
如需不安全 WAN Boot 安裝的描述,請參閱不安全 WAN Boot 安裝配置。
若要使用 DHCP 伺服器或記錄伺服器,請完成列示於每個表格底端的選擇性作業。
表 11–1 作業說明:準備執行安全的 WAN Boot 安裝表 11–2 作業說明:準備執行不安全的 WAN Boot 安裝
配置 WAN Boot 伺服器
WAN Boot 伺服器是一種 Web 伺服器,在 WAN Boot 安裝期間提供啟動與配置資料。如需 WAN Boot 伺服器的系統需求清單,請參閱表 10–1。
本節介紹的下列作業,用於為 WAN Boot 安裝配置 WAN Boot 伺服器。
建立文件根目錄
若要提供配置檔案和安裝檔案,則必須使 WAN Boot 伺服器上的 Web 伺服器軟體可以存取這些檔案。使這些檔案可存取的一種方法是將其儲存在 WAN Boot 伺服器的根目錄中。
若要將配置檔案和安裝檔案置於根目錄中,則必須建立此目錄。請參閱 Web 伺服器說明文件,以獲取有關如何建立文件根目錄的資訊。如需有關如何設計文件根目錄的詳細資訊,請參閱在文件根目錄下儲存安裝與配置檔案。
如需有關如何設置此目錄的範例,請參閱建立文件根目錄。
建立文件根目錄之後,請建立 WAN Boot miniroot。如需說明,請參閱建立 WAN Boot miniroot。
建立 WAN Boot miniroot
WAN Boot 使用已修改的特殊 Solaris miniroot 來執行 WAN Boot 安裝。WAN Boot miniroot 含有 Solaris miniroot 中軟體的子集。若要執行 WAN Boot 安裝,則必須將 Solaris DVD 或 Solaris Software - 1 CD 中的 miniroot 複製到 WAN Boot 伺服器中。使用 setup_install_server 指令的 -w 選項,將 Solaris 軟體媒體的 WAN Boot miniroot 複製到您的系統硬碟上。
SPARC: 建立 WAN Boot Miniroot
此程序使用 SPARC 媒體建立 SPARC WAN Boot miniroot。如果要在基於 x86 的伺服器上提供 SPARC WAN Boot miniroot,則必須在 SPARC 機器上建立此 miniroot。建立 miniroot 後,將其複製到基於 x86 的伺服器的根目錄中。
開始之前
此程序假定 WAN Boot 伺服器上正在執行 Volume Manager。如果您未使用磁碟區管理員,請參閱「System Administration Guide: Devices and File Systems」。
-
成為 WAN Boot 伺服器上的超級使用者或具有同等權限的角色。
系統必須滿足以下需求:
-
包含 CD-ROM 光碟機或 DVD-ROM 光碟機
-
成為網站的網路服務和命名服務的一部分
如果您使用命名服務,則系統必須已經使用相同的命名服務,例如,NIS、NIS+、DNS 或 LDAP。如果您並未使用命名服務,則必須遵循網站的策略來分配關於此系統的資訊。
-
-
將 Solaris Software - 1 CD 或 Solaris DVD 插入安裝伺服器的磁碟機中。
-
為 WAN Boot miniroot 和 Solaris 安裝影像建立目錄。
# mkdir -p wan-dir-path install-dir-path
- -p
-
指示 mkdir 指令為要建立的目錄建立所有必要的父目錄。
- wan-dir-path
-
在安裝伺服器上,指定建立 WAN Boot miniroot 的目錄。此目錄需要容納大小通常為 250 MB 的 miniroot。
- install-dir-path
-
在安裝伺服器上,指定要將 Solaris 軟體影像複製至哪個目錄。稍後可在此程序中移除該目錄。
-
變更至已掛載光碟上的 Tools 目錄。
# cd /cdrom/cdrom0/s0/Solaris_10/Tools
在上述範例中,cdrom0 是包含 Solaris 作業系統媒體的磁碟機路徑。
-
將 WAN Boot miniroot 和 Solaris 軟體影像複製到 WAN Boot 伺服器的硬碟上。
# ./setup_install_server -w wan-dir-path install-dir-path
- wan-dir-path
-
指定要將 WAN Boot miniroot 複製至哪個目錄。
- install-dir-path
-
指定要將 Solaris 軟體影像複製至哪個目錄。
備註 –setup_install_server 指令指出您是否有足夠的磁碟空間來儲存 Solaris Software 的光碟影像。若要決定可用的磁碟空間,請使用 df -kl 指令。
setup_install_server -w 指令可建立 WAN Boot miniroot 和 Solaris 軟體的網路安裝影像。
-
(可選擇) 移除網路安裝影像。
執行具有 Solaris Flash 歸檔的 WAN 安裝無需 Solaris 軟體影像。如果您沒有計劃使用網路安裝影像進行其他網路安裝,則可釋放影像所佔用的磁碟空間。鍵入以下指令以移除網路安裝影像。
# rm -rf install-dir-path
-
使用以下方式之一使 WAN Boot miniroot 能為 WAN Boot 所用。
-
在 WAN Boot 伺服器的文件根目錄中建立一個至 WAN Boot miniroot 的符號連結。
# cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot .
- document-root-directory/miniroot
-
指定在 WAN Boot 伺服器的文件根目錄中,要連結至 WAN Boot miniroot 的目錄。
- /wan-dir-path/miniroot
-
指定 WAN Boot miniroot 的路徑。
-
將 WAN Boot miniroot 移到 WAN Boot 伺服器的文件根目錄中。
# mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name
- wan-dir-path/miniroot
-
指定 WAN Boot miniroot 的路徑。
- /document-root-directory/miniroot/
-
指定 WAN Boot 伺服器文件根目錄中 WAN Boot miniroot 目錄的路徑。
- miniroot-name
-
指定 WAN Boot miniroot 的名稱。描述性地命名此檔案,例如 miniroot.s10_sparc。
-
範例 11–1 建立 WAN Boot miniroot
使用帶有 -w 選項的 setup_install_server(1M),將 WAN Boot miniroot 和 Solaris 軟體影像複製至 wanserver-1 的 /export/install/Solaris_10 目錄中。
將 Solaris Software 媒體插入已連接至 wanserver-1 的媒體磁碟機中。鍵入下列指令。
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
將 WAN Boot miniroot 移至 WAN Boot 伺服器中的文件根目錄 (/opt/apache/htdocs/) 下。在此範例中,WAN Boot miniroot 的名稱設為 miniroot.s10_sparc。
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
繼續進行 WAN Boot 安裝
建立 WAN Boot miniroot 之後,請確認用戶端 OpenBoot PROM (OBP) 可支援 WAN Boot。如需有關說明,請參閱確認用戶端上的 WAN Boot 支援。
另請參閱
如需有關 setup_install_server 指令的附加資訊,請參閱「install_scripts(1M)」。
確認用戶端上的 WAN Boot 支援
若要執行自動 WAN Boot 安裝,用戶端系統的 OpenBoot PROM (OBP) 就必須支援 WAN Boot。如果用戶端的 OBP 不支援 WAN Boot,則您可以提供本機 CD 上的必要程式來執行 WAN Boot 安裝。
您可以檢查用戶端的 OBP 配置變數,判斷用戶端是否支援 WAN Boot。執行以下程序,檢查用戶端是否支援 WAN Boot。
檢查用戶端 OBP 是否支援 WAN Boot
這個程序描述了如何確定用戶端 OBP 是否支援 WAN Boot。
-
成為超級使用者,或者假定一個對等身份。
身份包含授權指令與特權指令。如需有關角色的更多資訊,請參閱「System Administration Guide: Security Services」中的「Configuring RBAC (Task Map)」。
-
檢查 OBP 配置變數是否支援 WAN Boot。
# eeprom | grep network-boot-arguments
-
如果顯示變數 network-boot-arguments,或前一個指令傳回輸出 network-boot-arguments: data not available,則 OBP 支援 WAN Boot 安裝。在執行 WAN Boot 安裝之前,無需更新 OBP。
-
如果前一個指令未傳回任何輸出,則 OBP 不支援 WAN Boot 安裝。您必須執行下列作業之一。
-
更新用戶端 OBP。對於具有能夠支援 WANF Boot 安裝之 OBP 的用戶端,請參閱系統文件以取得有關更新 OBP 的資訊。
備註 –並非所有用戶端 OBP 都支援 WAN Boot。對於這些用戶端,請使用下一個選項。
-
當您完成準備作業,並準備安裝用戶端時,請從 Solaris Software CD1 或 DVD 執行 WAN Boot 安裝。目前的 OBP 不提供 WAN Boot 支援時,此選項可適用於各種狀況。
如需有關如何從 CD1 啟動用戶端的說明,請參閱利用本機 CD 媒體執行 WAN Boot 安裝。若要繼續準備 WAN Boot 安裝,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
-
-
範例 11–2 確認 OBP 在用戶端上支援 WAN Boot
以下指令顯示了如何檢查用戶端 OBP 是否支援 WAN Boot。
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
在此範例中,network-boot-arguments: data not available 表示用戶端 OBP 支援 WAN Boot。
繼續進行 WAN Boot 安裝
驗證用戶端 OBP 可支援 WAN Boot 之後,您必須將 wanboot 程式複製到 WAN Boot 伺服器中。如需說明,請參閱在 WAN Boot 伺服器上安裝 wanboot 程式。
如果用戶端 OBP 不支援 WAN Boot,就不需要將 wanboot 程式複製到 WAN Boot 伺服器中。您必須將本機 CD 上的 wanboot 程式提供給用戶端。若要繼續進行安裝,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
另請參閱
如需有關 setup_install_server 指令的其他資訊,請參閱第 4 章, 從網路安裝 (簡介)。
在 WAN Boot 伺服器上安裝 wanboot 程式
WAN Boot 使用一個特殊的第二層啟動程式 (wanboot) 來安裝用戶端。wanboot 程式會載入執行 WAN Boot 安裝所必要的 WAN Boot miniroot、用戶端配置檔和安裝檔案。
若要執行 WAN Boot 安裝,則必須在安裝時向用戶端提供 wanboot 程式。您可以用下列方式向用戶端提供此程式。
-
如果用戶端的 PROM 支援 WAN Boot,則可將此程式從 WAN Boot 伺服器傳送至用戶端。您必須在 WAN Boot 伺服器上安裝 wanboot 程式。
若要檢查您用戶端的 PROM 是否支援 WAN Boot,請參閱檢查用戶端 OBP 是否支援 WAN Boot。
-
如果用戶端的 PROM 不支援 WAN Boot,則必須將此程式置於本機 CD 中提供給用戶端。如果您客戶的 PROM 不支援 WAN Boot,請前往在 WAN Boot 伺服器上建立 /etc/netboot 階層結構繼續進行安裝的準備工作。
SPARC: 在 WAN Boot 伺服器上安裝 wanboot 程式
此程序說明如何將 wanboot 程式從 Solaris 媒體複製到 WAN Boot 伺服器。
此程序假定 WAN Boot 伺服器上正在執行 Volume Manager。如果您未使用磁碟區管理員,請參閱「System Administration Guide: Devices and File Systems」。
開始之前
確認用戶端系統支援 WAN Boot。如需更多資訊,請參閱檢查用戶端 OBP 是否支援 WAN Boot。
-
成為安裝伺服器上的超級使用者或具有同等權限的角色。
-
將 Solaris Software - 1 CD 或 Solaris DVD 插入安裝伺服器的磁碟機中。
-
變更至 Solaris Software - 1 CD 上或 Solaris DVD 上的 sun4u 平台目錄。
# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/
-
將 wanboot 程式複製到安裝伺服器上。
# cp wanboot /document-root-directory/wanboot/wanboot-name
- document-root-directory
-
指定 WAN Boot 伺服器的文件根目錄。
- wanboot-name
-
指定 wanboot 程式的名稱。描述性地命名此檔案,例如,wanboot.s10_sparc。
-
使用以下方式之一使 wanboot 程式能為 WAN Boot 伺服器所用。
-
在 WAN Boot 伺服器的文件根目錄中建立一個至 wanroot 程式的符號連結。
# cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot .
- document-root-directory/wanboot
-
指定在 WAN Boot 伺服器的文件根目錄中,要連結至 wanboot 程式的目錄。
- /wan-dir-path/wanboot
-
指定 wanboot 程式的路徑。
-
將 WAN Boot miniroot 移到 WAN Boot 伺服器的文件根目錄中。
# mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name
- wan-dir-path/wanboot
-
指定 wanboot 程式的路徑。
- /document-root-directory/wanboot/
-
在 WAN Boot 伺服器的文件根目錄中指定 wanboot 程式目錄的路徑。
- wanboot-name
-
指定 wanboot 程式的名稱。描述性地命名此檔案,例如 wanboot.s10_sparc。
-
範例 11–3 在 WAN Boot 伺服器上安裝 wanboot 程式
若要在 WAN Boot 伺服器上安裝 wanboot 程式,請將此程式由 Solaris Software 媒體複製至 WAN Boot 伺服器的文件根目錄中。
將 Solaris DVD 或 Solaris Software - 1 CD 插入已連接至 wanserver-1 的媒體磁碟機中,並鍵入下列指令。
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
在此範例中,wanboot 程式的名稱設為 wanboot.s10_sparc。
繼續進行 WAN Boot 安裝
在 WAN Boot 伺服器上安裝 wanboot 程式之後,您必須在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。如需說明,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
另請參閱
如需 wanboot 程式的簡介資訊,請參閱何為 WAN Boot?。
在 WAN Boot 伺服器上建立 /etc/netboot 階層結構
在安裝過程中,WAN Boot 將參考 Web 伺服器的 /etc/netboot 階層的內容,以取得有關如何執行安裝的說明。該目錄包含 WAN Boot 安裝所必要的配置資訊、私密金鑰、數位憑證和憑證管理中心。在安裝過程中,wanboot-cgi 程式會將此資訊轉換至 WAN Boot 檔案系統中。然後,wanboot-cgi 程式會將 WAN Boot 檔案系統傳送給用戶端。
您可以在 /etc/netboot 目錄中建立子目錄以自訂 WAN 安裝的範圍。使用下列目錄結構可以定義如何在要安裝的用戶端之間共用配置資訊。
-
網路特定的配置 – 如果僅允許特定子網路中的機器共用配置資訊,請將要共用的配置檔案儲存於 /etc/netboot 的某個子目錄中。使子目錄遵循此命名慣例。
/etc/netboot/net-ip
在此範例中,net-ip 為用戶端子網路的 IP 位址。
-
用戶端特定的配置 – 如果僅允許一個特定用戶端使用啟動檔案系統,請將啟動檔案系統檔案儲存於子目錄 /etc/netboot 中。使子目錄遵循此命名慣例。
/etc/netboot/net-ip/client-ID
在此範例中,net-ip 為子網路的 IP 位址。client-ID 可以是 DHCP 伺服器所指定的用戶端,也可以是使用者指定的用戶端 ID。
如需有關這些配置的詳細規劃資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
下列程序旨在說明如何建立 /etc/netboot 階層。
在 WAN Boot 伺服器上建立 /etc/netboot 階層結構
遵循這些步驟,即可建立 /etc/netboot 階層結構。
-
成為 WAN Boot 伺服器上的超級使用者,或者擔任一個等效角色。
-
建立 /etc/netboot 目錄。
# mkdir /etc/netboot
-
# chmod 700 /etc/netboot
-
將 /etc/netboot 目錄的所有者變更為 Web 伺服器所有者。
# chown web-server-user:web-server-group /etc/netboot/
- web-server-user
-
指定 Web 伺服器程序的使用者所有者
- web-server-group
-
指定 Web 伺服器程序的群組所有者
-
退出超級使用者身份。
# exit
-
取得 Web 伺服器所有者的使用者身份。
-
建立 /etc/netboot 目錄的用戶端子目錄。
# mkdir -p /etc/netboot/net-ip/client-ID
- -p
-
指示 mkdir 指令為要建立的目錄建立所有必要的父目錄。
- (可選擇) net-ip
-
指定用戶端子網路的網路 IP 位址。
- (可選擇) client-ID
-
指定用戶端 ID。用戶端 ID 可以是使用者定義的值或 DHCP 用戶端 ID。client-ID 必須為 net-ip 目錄的子目錄。
-
對於 /etc/netboot 階層中的每個目錄,將其權限變更為 700。
# chmod 700 /etc/netboot/dir-name
範例 11–4 在 WAN Boot 伺服器上建立 /etc/netboot 階層結構
下列範例顯示如何在子網路 192.168.198.0 上建立用戶端 010003BA152A42 的 /etc/netboot 階層。在此範例中,使用者 nobody 和群組 admin 擁有 Web 伺服器程序。
此範例中的指令執行以下作業。
-
建立 /etc/netboot 目錄。
-
將 /etc/netboot 目錄的許可權變更為 700。
-
將 /etc/netboot 目錄的所有權變更為 Web 伺服器程序的所有者。
-
假定使用者身份與 Web 伺服器使用者身份相同。
-
在 /etc/netboot 下建立名稱與子網路 (192.168.198.0) 一致的子目錄。
-
在子網路目錄下建立名稱與用戶端 ID 一致的子目錄。
-
將 /etc/netboot 子目錄的許可權變更為 700。
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
繼續進行 WAN Boot 安裝
建立 /etc/netboot 階層結構之後,您就必須將 WAN Boot CGI 程式複製到 WAN Boot 伺服器中。如需說明,請參閱將 WAN Boot CGI 程式複製到 WAN Boot 伺服器中。
另請參閱
如需有關如何設計 /etc/netboot 階層的詳細規劃資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
將 WAN Boot CGI 程式複製到 WAN Boot 伺服器中
wanboot-cgi 程式會產生資料串流,該串流會將以下檔案從 WAN Boot 伺服器傳送至用戶端。
-
wanboot 程式
-
WAN Boot 檔案系統
-
WAN Boot miniroot
當您安裝 Solaris 10 11/06 軟體時,就會在系統上安裝 wanboot-cgi 程式。若要使 WAN Boot 伺服器能夠使用此程式,請將此程式複製到 WAN Boot 伺服器的 cgi-bin 目錄中。
將 wanboot-cgi 程式複製至 WAN Boot 伺服器
-
成為 WAN Boot 伺服器上的超級使用者,或者擔任一個等效角色。
-
將 wanboot-cgi 程式複製到 WAN Boot 伺服器上。
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi
- /WAN-server-root
-
在 WAN Boot 伺服器上,指定 Web 伺服器軟體的根目錄。
-
在 WAN Boot 伺服器上,將 CGI 程式的許可權變更為 755。
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi
繼續進行 WAN Boot 安裝
將 WAN Boot CGI 程式複製到 WAN Boot 伺服器之後,就可以選擇設置記錄伺服器。如需有關說明,請參閱(可選擇) 配置 WAN Boot 記錄伺服器。
如果您不希望設置分離的記錄伺服器,請參閱(可選擇) 使用 HTTPS 保護資料,以取得有關如何設置 WAN Boot 安裝之安全功能的說明。
另請參閱
如需 wanboot-cgi 程式的簡介資訊,請參閱何為 WAN Boot?。
(可選擇) 配置 WAN Boot 記錄伺服器
預設所有 WAN Boot 的記錄訊息,都會顯示在用戶端系統上。此種預設的行為可讓您快速地除錯任何的安裝問題。
如果您要在一個非用戶端的系統上記錄啟動和安裝記錄訊息,則必須安裝一部記錄伺服器。如果要在安裝時使用帶有 HTTPS 的記錄伺服器,則必須將 WAN Boot 伺服器配置為記錄伺服器。
若要配置記錄伺服器,請依照下列步驟執行。
-
將 bootlog-cgi 程序檔複製到記錄伺服器的 CGI 程序檔目錄中。
# cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin
- log-server-root/cgi-bin
-
在記錄伺服器的 Web 伺服器目錄中指定 cgi-bin 目錄
-
將 bootlog-cgi 程序檔的許可權變更為 755。
# chmod 755 log-server-root/cgi-bin/bootlog-cgi
-
在 wanboot.conf 檔案中設定 boot_logger 參數的值。
在 wanboot.conf 檔案中,指定記錄伺服器上 bootlog-cgi 程序檔的 URL。
如需在 wanboot.conf 檔案中設定參數的資訊,請參閱建立 wanboot.conf 檔案。
在安裝期間,啟動和安裝的記錄訊息會記錄在記錄伺服器的 /tmp 目錄中。記錄檔命名為 bootlog.hostname,其中 hostname 為用戶端的主機名稱。
範例 11–5 為透過 HTTPS 進行的 WAN Boot 安裝配置記錄伺服器
以下範例將 WAN Boot 伺服器配置為一部記錄伺服器。
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
繼續進行 WAN Boot 安裝
設置記錄伺服器之後,您就可以選擇設置 WAN Boot 安裝,以使用數位憑證與安全金鑰。如需有關如何設置 WAN Boot 安裝之安全功能的說明,請參閱(可選擇) 使用 HTTPS 保護資料。
(可選擇) 使用 HTTPS 保護資料
若要在從 WAN Boot 伺服器向用戶端傳輸資料期間保護您的資料,可以透過安全通訊端層 (HTTPS) 使用 HTTP。若要使用安全 WAN Boot 安裝配置中所述的更安全的安裝配置,您的 Web 伺服器必須使用 HTTPS。
如果您不想執行安全 WAN Boot,請略過本區段中的程序。若要繼續準備低安全性的安裝,請參閱建立自訂 JumpStart 安裝檔案。
若要使 WAN Boot 伺服器上的 Web 伺服器軟體能使用 HTTPS,您必須執行以下作業。
-
在 Web 伺服器軟體中啟動安全通訊端層 (SSL) 支援。
啟動 SSL 支援和用戶端驗證的程序依 Web 伺服器的不同而有所不同。此文件對如何在您的 Web 伺服器上啟動這些安全功能不做介紹。如需有關這些功能的資訊,請參閱以下說明文件。
-
如需有關在 SunONE 和 iPlanet Web 伺服器上啟動 SSL 的資訊,請參閱 http://docs.sun.com 上 SunONE 和 iPlanet 的說明文件集合。
-
如需有關在 Apache Web 伺服器上啟動 SSL 的資訊,請參閱 http://httpd.apache.org/docs-project/ 上的 Apache 說明文件專案。
-
如果您正在使用的 Web 伺服器軟體未在上述清單中列出,請參閱您的 Web 伺服器軟體說明文件。
-
-
在 WAN Boot 伺服器上安裝數位憑證。
如需有關數位憑證搭配 WAN Boot 使用的資訊,請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。
-
向用戶端提供受信任的憑證。
如需有關如何建立可信任的證書的資訊,請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。
-
建立雜湊金鑰和加密金鑰。
如需有關如何建立金鑰的說明,請參閱(可選擇) 建立雜湊金鑰與加密金鑰。
-
(可選擇) 將 Web 伺服器軟體配置為支援用戶端驗證。
如需有關如何將 Web 伺服器配置為支援用戶端驗證的資訊,請參閱 Web 伺服器說明文件。
本節說明如何在 WAN Boot 安裝中使用數位憑證與金鑰。
(可選擇) 在伺服器和用戶端驗證時使用數位憑證
WAN Boot 安裝方法可以使用 PKCS#12 檔案,透過具有伺服器驗證或者同時具有伺服器驗證與用戶端驗證的 HTTPS 來執行安裝。如需有關使用 PKCS#12 檔案的需求和準則,請參閱數位憑證需求。
若要在 WAN Boot 安裝中使用 PKCS#12 檔案,請執行以下作業。
-
將 PKCS#12 檔案分割為單獨的 SSL 私密金鑰和受信任的憑證檔案
-
將可信任的憑證插入 /etc/netboot 階層中用戶端的 truststore 檔案中。受信任的憑證會指示用戶端信任伺服器。
-
(可選擇) 在 /etc/netboot 階層中用戶端的 keystore 檔案裡插入 SSL 私密金鑰檔案的內容。
wanbootutil 指令提供了用以執行上述清單中作業的選項。
如果您不想執行安全 WAN Boot,請略過此程序。若要繼續準備低安全性的安裝,請參閱建立自訂 JumpStart 安裝檔案。
遵循這些步驟,即可建立受信任的憑證與用戶端私密金鑰。
開始之前
在分割 PKCS#12 檔案之前,在 WAN Boot 伺服器上建立 /etc/netboot 階層結構的相應子目錄。
-
如需描述 /etc/netboot 階層的簡介資訊,請參閱在 /etc/netboot 階層中儲存配置與安全資訊。
-
如需有關如何建立 /etc/netboot 階層的指示,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
-
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
-
從 PKCS#12 檔案中擷取受信任的憑證。在 /etc/netboot 階層中用戶端的 truststore 檔案內插入憑證。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore
- p12split
-
可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。
- -i p12cert
-
指定要分割的 PKCS#12 檔案之名稱。
- -t /etc/netboot/net-ip /client-ID/truststore
-
在用戶端的 truststore 檔案中插入憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
-
(可選擇) 決定是否要求進行用戶端驗證。
-
如果否的話,請前往(可選擇) 建立雜湊金鑰與加密金鑰。
-
如果是的話,請繼續執行以下步驟。
-
在用戶端的 certstore 中插入用戶端憑證。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile
- p12split
-
可將 PKCS#12 檔案分割為單獨的私密金鑰檔案和憑證檔案的 wanbootutil 指令的選項。
- -i p12cert
-
指定要分割的 PKCS#12 檔案之名稱。
- -c /etc/netboot/net-ip/client-ID/certstore
-
在用戶端的 certstore 中插入用戶端的憑證。net-ip 是用戶端子網路的 IP 位址。client-ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。
- -k keyfile
-
指定透過分割 PKCS#12 檔案所建立的用戶端 SSL 私密金鑰檔案之名稱。
-
在用戶端的 keystore 中插入私密金鑰。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa
-
-
範例 11–6 為伺服器驗證建立受信任的憑證
在以下範例中,您會使用 PKCS#12 檔案在子網路 192.168.198.0 上安裝用戶端 010003BA152A42。此指令範例可從一個名為 lient.p12 的 PKCS#12 檔案擷取憑證。然後該指令會將可信任憑證的內容置於用戶端的 truststore 檔案中。
在執行這些指令之前,您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中,Web 伺服器使用者角色是 nobody。
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
繼續進行 WAN Boot 安裝
建立數位憑證之後,您就可以建立雜湊金鑰與加密金鑰。如需有關說明,請參閱(可選擇) 建立雜湊金鑰與加密金鑰。
另請參閱
如需有關如何建立可信任憑證的更多資訊,請參閱「wanbootutil(1M)」。
(可選擇) 建立雜湊金鑰與加密金鑰
如果要使用 HTTPS 來傳送資料,則必須建立一個 HMAC SHA1 雜湊金鑰和一個加密金鑰。如果您計劃透過一個半私有網路進行安裝,您可能不想對安裝資料進行加密。您可以使用 HMAC SHA1 雜湊金鑰來檢查 wanboot 程式的完整性。
透過使用 wanbootutil keygen 指令,可以產生這些金鑰並將其儲存在相應的 /etc/netboot 目錄中。
如果您不想執行安全 WAN Boot,請略過此程序。若要繼續準備低安全性的安裝,請參閱建立自訂 JumpStart 安裝檔案。
如果要建立雜湊金鑰與加密金鑰,請遵循這些步驟。
-
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
-
建立主 HMAC SHA1 金鑰。
# wanbootutil keygen -m
- keygen -m
-
為 WAN Boot 伺服器建立主 HMAC SHA1 金鑰
-
由主金鑰建立用戶端的 HMAC SHA1 雜湊金鑰。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1- -c
-
由主金鑰建立用戶端的雜湊金鑰。
- -o
-
指出 wanbootutil keygen 指令中包含了其他的選項。
- (可選擇) net=net-ip
-
指定用戶端的子網路的 IP 位址。如果您不使用 net 選項,則金鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。
- (可選擇) cid=client-ID
-
指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID,也可以是 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。
- type=sha1
-
指示 wanbootutil keygen 公用程式為用戶端建立一個 HMAC SHA1 雜湊金鑰。
-
決定是否需要為用戶端建立加密金鑰。
您需要建立加密金鑰,以透過 HTTPS 執行 WAN Boot 安裝。在用戶端建立與 WAN Boot 伺服器的 HTTPS 連接前,WAN Boot 伺服器會將已加密的資料和資訊傳送給用戶端。加密金鑰可使用戶端解密此資訊,並在安裝中使用此資訊。
-
如果您正在執行的是一個透過 HTTPS、且進行伺服器驗證的更加安全的 WAN 安裝,請繼續。
-
如果您只想檢查 wanboot 程式的完整性,則無需建立加密金鑰。前往步驟 6。
-
-
建立用戶端的加密金鑰。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type- -c
-
建立用戶端的加密金鑰。
- -o
-
指出 wanbootutil keygen 指令中包含了其他的選項。
- (可選擇) net=net-ip
-
指定用戶端的網路 IP 位址。如果您不使用 net 選項,則金鑰會儲存在 /etc/netboot/keystore 檔案中,所有的 WAN Boot 用戶端均可使用它。
- (可選擇) cid=client-ID
-
指定用戶端 ID。用戶端 ID 可以是使用者定義的 ID 或 DHCP 用戶端 ID。cid 選項前必須有一個有效的 net= 值。如果您未用 net 選項指定 cid 選項,則金鑰會儲存在 /etc/netboot/net-ip/keystore 檔案中。net-ip 子網路上的所有 WAN Boot 用戶端均可使用該金鑰。
- type=key-type
-
指示 wanbootutil keygen 公用程式為用戶端建立一個加密金鑰。可賦予 key-type 一個 3des 值或 aes 值。
-
在用戶端系統上安裝金鑰。
如需有關如何在用戶端上安裝金鑰的指示,請參閱在用戶端上安裝金鑰。
範例 11–7 為透過 HTTPS 進行的 WAN Boot 安裝建立必要的金鑰
以下範例為 WAN Boot 伺服器建立了一個主 HMAC SHA1 金鑰。這個範例也會為子網路上 192.168.198.0 的用戶端 010003BA152A42,建立 HMAC SHA1 雜湊金鑰與 3DES 加密金鑰。
在執行這些指令之前,您必須先假定使用者身份與 Web 伺服器使用者身份相同。在此範例中,Web 伺服器使用者角色是 nobody。
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
繼續進行 WAN Boot 安裝
建立雜湊與加密金鑰之後,就必須建立安裝檔案。如需有關說明,請參閱建立自訂 JumpStart 安裝檔案。
另請參閱
如需雜湊金鑰和加密金鑰的簡介資訊,請參閱在 WAN Boot 安裝期間保護資料。
如需有關如何建立雜湊金鑰和加密金鑰的更多資訊,請參閱「wanbootutil(1M)」。
建立自訂 JumpStart 安裝檔案
WAN Boot 會執行一個自訂 JumpStart 安裝,以在用戶端上安裝 Solaris Flash 歸檔。自訂 JumpStart 安裝方法是一個指令行介面,此介面可使您根據建立的設定檔自動安裝數個系統。這些設定檔可定義特定的軟體安裝需求。您也可以加入 shell 程序檔,以包含安裝前和安裝後的作業。您可以選擇要使用何種設定檔和程序檔來進行安裝或升級。自訂 JumpStart 安裝方法會根據您選取的設定檔和程序檔,來安裝或升級系統。而且,您也可以使用 sysidcfg 檔案來指定配置資訊,這樣自訂 JumpStart 安裝可完全避免手動干預。
若要為 WAN Boot 安裝準備自訂 JumpStart 檔案,請完成以下作業。
如需有關自訂 JumpStart 安裝方法的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的第 2 章「自訂 JumpStart (簡介)」。
建立 Solaris Flash 歸檔
Solaris Flash 安裝功能可讓您使用系統上的 Solaris 作業系統單一參照安裝,也稱為主系統。然後即可建立 Solaris Flash 歸檔,此檔案為主系統的複製影像。您可以在網路的其他系統上安裝 Solaris Flash 歸檔,建立複製系統。
本節說明如何建立 Solaris Flash 歸檔。
開始之前
-
在建立 Solaris Flash 歸檔前,必須首先安裝主系統。
-
如需有關安裝主系統的資訊,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的「安裝主系統」。
-
有關 Solaris Flash 歸檔的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的第 1 章「Solaris Flash (簡介)」。
-
-
檔案大小問題:
請查閱您的 Web 伺服器說明文件,以確定該軟體可以傳輸大小與 Solaris Flash 歸檔相同的檔案。
-
請查閱您的 Web 伺服器說明文件,以確定該軟體可以傳輸大小與 Solaris Flash 歸檔相同的檔案。
-
flarcreate 指令在單個檔案上已無大小限制。您可以建立 Solaris Flash 歸檔以存放 4 GB 以上的個別檔案。
如需更多資訊,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的「建立包含大型檔案的歸檔」。
-
-
啟動主系統。
請盡可能在非使用中狀態下執行主系統。如果可能,請以單一使用者模式來執行該系統;否則,請關閉您要歸檔的所有應用程式以及需要耗用大量作業系統資源的所有應用程式。
-
若要建立歸檔,請使用 flarcreate 指令。
# flarcreate -n name [optional-parameters] document-root/flash/filename
- name
-
您為該歸檔指定的名稱。您指定的 name 是關鍵字 content_name 的值。
- optional-parameters
-
您可以在 flarcreate 指令中使用多個選項以自訂 Solaris Flash 歸檔。如需這些選項的詳細說明,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的第 5 章「Solaris Flash (參照)」。
- document-root/flash
-
到安裝伺服器之文件根目錄的 Solaris Flash 子目錄的路徑。
- filename
-
歸檔檔案的名稱。
為節省磁碟空間,您可能要在 flarcreate 指令中使用 -c 選項以壓縮歸檔。但是,一個經過壓縮的歸檔可能影響 WAN Boot 安裝的效能。如需有關建立壓縮歸檔的更多資訊,請參閱「flarcreate(1M)」。
-
如果歸檔建立成功,flarcreate 指令將傳回退出碼 0。
-
如果歸檔建立失敗,flarcreate 指令將傳回一個非零的退出碼。
範例 11–8 建立 WAN Boot 安裝的 Solaris Flash 歸檔
在這個範例中,您會複製主機名稱為 wanserver 的 WAN Boot 系統,來建立 Solaris Flash 歸檔。歸檔名為 sol_10_sparc,且是從主系統整個複製過來。它是主系統的精確副本,歸檔儲存於 sol_10_sparc.flar 中。您可以將該歸檔儲存在 WAN Boot 伺服器上文件根目錄的 flash/archives 子目錄中。
wanserver# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
繼續進行 WAN Boot 安裝
建立 Solaris Flash 歸檔之後,請在 sysidcfg 檔案中預先配置用戶端資訊。如需說明,請參閱建立 sysidcfg 檔案。
另請參閱
如需有關如何建立 Solaris Flash 歸檔的詳細說明,請參閱「Solaris 10 11/06 安裝指南:Solaris Flash 歸檔 (建立與安裝)」中的第 3 章「建立 Solaris Flash 歸檔 (作業)」。
如需有關 flarcreate 指令的更多資訊,請參閱「flarcreate(1M)」。
建立 sysidcfg 檔案
您可以在 sysidcfg 檔案中指定一組關鍵字以預先配置系統。
如果要建立 sysidcfg 檔案,請遵循這些步驟。
開始之前
建立 Solaris Flash 歸檔。如需詳細說明,請參閱建立 Solaris Flash 歸檔。
-
在安裝伺服器的文字編輯程式中建立一個名為 sysidcfg 的檔案。
-
輸入所需的 sysidcfg 關鍵字。
如需 sysidcfg 關鍵字的詳細資訊,請參閱sysidcfg 檔案關鍵字。
-
將 sysidcfg 檔案儲存在 WAN Boot 伺服器能夠存取到的位置。
將該檔案儲存在以下位置之一。
範例 11–9 用於 WAN Boot 安裝的 sysidcfg 檔案
以下是一個用於基於 SPARC 之系統的 sysidcfg 檔案之範例。透過編輯命名服務,已預先配置了此系統的主機名稱、IP 位址和網路遮罩。
network_interface=primary {hostname=wanclient
default_route=192.168.198.1
ip_address=192.168.198.210
netmask=255.255.255.0
protocol_ipv6=no}
timezone=US/Central
system_locale=C
terminal=xterm
timeserver=localhost
name_service=NIS {name_server=matter(192.168.255.255)
domain_name=mind.over.example.com
}
security_policy=none
繼續進行 WAN Boot 安裝
建立 sysidcfg 檔案之後,請為用戶端建立自訂 JumpStart 設定檔。如需有關說明,請參閱建立設定檔。
另請參閱
如需有關 sysidcfg 關鍵字和值的更多詳細資訊,請參閱使用 sysidcfg 檔案進行預先配置。
建立設定檔
設定檔就是指示自訂 JumpStart 程式如何在系統上安裝 Solaris 軟體的文字檔。設定檔定義了安裝元素,例如,要安裝的軟體群組。
如需有關如何建立設定檔的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立設定檔」。
如果要建立設定檔,請遵循這些步驟。
開始之前
為用戶端建立 sysidcfg 檔案。如需詳細說明,請參閱建立 sysidcfg 檔案。
-
在安裝伺服器上建立文字檔案。描述性地命名檔案。
請確定設定檔名稱能夠反映您在系統上使用設定檔來安裝 Solaris 軟體的方法。例如,您可將設定檔命名為 basic_install、eng_profile 或 user_profile。
-
將設定檔關鍵字和值增加到設定檔中。
如需設定檔關鍵字和值的清單,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「設定檔關鍵字和值」。
設定檔關鍵字和其值是區分大小寫的。
-
將設定檔儲存在 WAN Boot 伺服器能夠存取到的位置。
將設定檔儲存在以下位置之一。
-
如果 WAN Boot 伺服器和安裝伺服器位於同一機器上,則將該檔案儲存到 WAN Boot 伺服器之文件根目錄的 flash 子目錄中。
-
如果 WAN Boot 伺服器和安裝伺服器分處不同的機器,請將 sysidcfg 檔案儲存在安裝伺服器之文件根目錄的 flash 子目錄中。
-
-
確保根中含有設定檔,且權限已設為 644。
-
(可選擇) 測試設定檔。
「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「測試設定檔」包含有關測試設定檔的資訊。
範例 11–10 從安全的 HTTP 伺服器擷取 Solaris Flash 歸檔
在下列範例中,設定檔指出自訂 JumpStart 程式會從安全的 HTTP 伺服器擷取 Solaris Flash 歸檔。
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
下列清單說明此範例的一些關鍵字和值。
- install_type
-
該設定檔在複製系統上安裝 Solaris Flash 歸檔。與初始安裝中一樣,將會覆寫所有檔案。
- archive_location
-
可從安全的 HTTP 伺服器中擷取壓縮的 Solaris Flash 歸檔。
- partitioning
-
檔案系統片段是由 filesys 關鍵字所決定,其值為 explicit。根 (/) 的大小依 Solaris Flash 歸檔的大小而定。swap 的大小會依需要設定,它安裝在 c0t1d0s1 上。/export/home 則視剩餘的磁碟空間而定。/export/home 安裝在 c0t1d0s7 上。
繼續進行 WAN Boot 安裝
建立設定檔之後,您必須建立和驗證 rules 檔案。如需有關說明,請參閱建立 rules 檔案。
另請參閱
如需有關如何建立設定檔的更多資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立設定檔」。
如需有關設定檔關鍵字和值的更多詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「設定檔關鍵字和值」。
建立 rules 檔案
rules 檔案就是包含系統中每個群組規則的文字檔,而此處的系統是指要安裝 Solaris 作業系統的系統。每個規則均能夠根據一個或多個系統屬性來區分群組,每個規則也會將每個群組連結至一個設定檔。設定檔是一個文字檔案,定義 Solaris 軟體要如何安裝在群組中的每個系統上。例如,以下規則指定 JumpStart 程式使用 basic_prof 設定檔中的資訊來安裝 sun4u 平台群組的任何系統。
karch sun4u - basic_prof - |
rules 檔案用於建立自訂 JumpStart 安裝所需要的 rules.ok 檔案。
如需有關建立 rules 檔案的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立 rules 檔案」。
如果要建立 rules 檔案,請遵循這些步驟。
開始之前
為用戶端建立設定檔。如需詳細說明,請參閱建立設定檔。
-
在安裝伺服器上,建立一個名為 rules 的文字檔。
-
在 rules 檔案中為每組要安裝的系統增加一個規則。
如需如何建立 rules 檔案的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立 rules 檔案」。
-
在安裝伺服器上儲存 rules 檔案。
-
$ ./check -p path -r file-name
- -p path
-
請使用 Solaris 10 11/06 軟體影像的 check 程序檔驗證 rules,而不要使用目前所用系統的 check 程序檔。path 是本機磁碟、已裝載的 Solaris DVD 或 Solaris Software - 1 CD 上的影像。
如果系統執行的是前版 Solaris 作業系統,請使用此選項來執行最新版的 check。
- -r file_name
-
指定一個規則檔案,而不是指定名為 rules 的檔案。透過使用此選項,您可在將規則整合至 rules 檔案之前測試規則的有效性。
當執行 check 程序檔時,程序檔會報告 rules 檔案和每個設定檔的有效性檢查。如果沒有發生任何錯誤,程序檔會報告:自訂 JumpStart 配置完成。check 程序檔會建立 rules.ok 檔案。
-
將 rules.ok 檔案儲存在 WAN Boot 伺服器能夠存取到的位置。
將該檔案儲存在以下位置之一。
-
如果 WAN Boot 伺服器和安裝伺服器位於同一機器上,則將該檔案儲存到 WAN Boot 伺服器之文件根目錄的 flash 子目錄中。
-
如果 WAN Boot 伺服器和安裝伺服器分處不同的機器,請將 sysidcfg 檔案儲存在安裝伺服器之文件根目錄的 flash 子目錄中。
-
-
確認 root 中含有 rules.ok 檔案,且權限已設為 644。
範例 11–11 建立並驗證 rules 檔案
自訂 JumpStart 程式使用 rules 檔案,為 wanclient-1 系統選取正確的安裝設定檔。建立名為 rules 的文字檔案。然後,將關鍵字和值增加到此檔案中。
用戶端系統的 IP 位址是 192.168.198.210,網路遮罩是 255.255.255.0。請使用 network 規則關鍵字,來指定自訂 JumpStart 程式應該用於安裝用戶端的設定檔。
network 192.168.198.0 - wanclient_prof - |
這個 rules 檔案會指示自訂 JumpStart 程式,使用 wanclient_prof 在用戶端上安裝 Solaris 10 11/06 軟體。
命名此規則檔案為 wanclient_rule。
建立設定檔和 rules 檔案之後,請執行 check 程序檔,以確認這些檔案有效。
wanserver# ./check -r wanclient_rule |
如果 check 程序檔未發現任何錯誤,該程序檔會建立 rules.ok 檔案。
將 rules.ok 檔案儲存在 /opt/apache/htdocs/flash/ 目錄中。
繼續進行 WAN Boot 安裝
建立 rules.ok 檔案之後,您就可以選擇設置開始程序檔和結束程序檔以供安裝。如需說明,請參閱(可選擇) 建立開始程序檔和結束程序檔。
如果您不想要設置開始和結束程序檔,請參閱建立配置檔以繼續進行 WAN Boot 安裝。
另請參閱
如需有關如何建立 rules 檔案的更多資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立 rules 檔案」。
如需有關 rules 檔案關鍵字和值的詳細資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「規則關鍵字和值」。
(可選擇) 建立開始程序檔和結束程序檔
開始程序檔和結束程序檔是您在 rules 檔案中指定的使用者定義的 Bourne shell 程序檔。開始程序檔會在 Solaris 軟體安裝到系統上之前執行作業。結束程序檔在 Solaris 軟體安裝到系統上之後,系統重新啟動之前執行作業。僅當您使用自訂 JumpStart 來安裝 Solaris 時,才可使用這些程序檔。
您可以使用開始程序檔建立衍生的設定檔。結束程序檔可使您執行各種安裝後作業,例如增加檔案、套裝軟體、修補程式或其他軟體。
您必須將開始程序檔和結束程序檔與 sysidcfg、rules.ok 和設定檔儲存在安裝伺服器的同一目錄中。
-
如需有關建立開始程序檔的更多資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立開始程序檔」。
-
如需有關建立結束程序檔的更多資訊,請參閱「Solaris 10 11/06 安裝指南:自訂 JumpStart 及進階安裝」中的「建立結束程序檔」。
若要繼續準備 WAN Boot 安裝,請參閱建立配置檔。
建立配置檔
WAN Boot 使用以下檔案來指定 WAN Boot 安裝所需的資料和檔案的位置。
-
系統配置檔 (system.conf)
-
wanboot.conf 檔案
本節介紹如何建立和儲存這兩個檔案。
建立系統配置檔
在系統程序檔中,您可以將 WAN Boot 安裝程式指向以下檔案。
-
sysidcfg 檔案
-
rules.ok 檔案
-
自訂 JumpStart 設定檔
WAN Boot 依照系統配置檔中的指標來安裝和配置用戶端。
系統配置檔是純文字檔案,且其格式必須為以下型樣。
setting=value |
若要使用系統配置檔將 WAN 安裝程式指向 sysidcfg、rules.ok 和設定檔,請依照下列步驟執行。
開始之前
建立系統配置檔之前,您必須建立 WAN Boot 安裝的安裝檔案。如需詳細說明,請參閱建立自訂 JumpStart 安裝檔案。
-
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
-
- SsysidCF=sysidcfg-file-URL
-
此設定指向包含 sysidcfg 檔案之安裝伺服器的 flash 目錄。確認此 URL 與您在建立 sysidcfg 檔案中建立之 sysidcfg 檔案的路徑相符。
- SjumpsCF=jumpstart-files-URL
-
此設定指向包含 rules.ok 檔案、設定檔以及開始程序檔和結束程序檔的安裝伺服器上的 Solaris Flash 目錄。確認此 URL 與您在建立設定檔和建立 rules 檔案中建立之自訂 JumpStart 檔案的路徑相符。
對於使用 HTTPS 的 WAN 安裝,請將值設定為有效的 HTTPS URL。
-
將檔案儲存到 WAN Boot 伺服器能夠存取的目錄中。
為便於管理,您可能要將檔案儲存到 WAN Boot 伺服器的 /etc/netboot 目錄中相應的用戶端目錄中。
-
將系統配置檔中的許可權變更為 600。
# chmod 600 /path/system-conf-file
範例 11–12 用於透過 HTTPS 進行的 WAN Boot 安裝的系統配置檔
在下列範例中,WAN Boot 程式在埠 1234 上檢查 Web 伺服器 https://www.example.com 的 sysidcfg 和自訂 JumpStart 檔案。在安裝期間,Web 伺服器使用安全 HTTP 以加密資料和檔案。
sysidcfg 和自訂 JumpStart 檔案位於文件根目錄 /opt/apache/htdocs 的 flash 子目錄中。
SsysidCF=https://www.example.com:1234/flash SjumpsCF=https://www.example.com:1234/flash
範例 11–13 用於不安全的 WAN Boot 安裝的系統配置檔
在下列範例中,WAN Boot 程式會檢查 Web 伺服器 http://www.example.com 上的 sysidcfg 和自訂 JumpStart 檔案。Web 伺服器使用 HTTP,因此在安裝過程中不對資料和檔案進行保護。
sysidcfg 和自訂 JumpStart 檔案位於文件根目錄 /opt/apache/htdocs 的 flash 子目錄中。
SsysidCF=http://www.example.com/flash SjumpsCF=http://www.example.com/flash
繼續進行 WAN Boot 安裝
建立系統配置檔之後,請建立 wanboot.conf 檔案。如需有關說明,請參閱建立 wanboot.conf 檔案。
建立 wanboot.conf 檔案
wanboot.conf 檔案是 WAN Boot 程式用於執行 WAN 安裝的一般文字配置檔。wanboot-cgi 程式、啟動檔案系統和 WAN Boot miniroot 均使用 wanboot.conf 檔案中包含的資訊來安裝用戶端機器。
將 wanboot.conf 檔案儲存在 WAN Boot 伺服器上 /etc/netboot 階層結構內相應的用戶端子目錄中。如需有關如何定義具有 /etc/netboot 階層的 WAN Boot 安裝範圍的資訊,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
如果 WAN Boot 伺服器正在執行 Solaris 10 11/06 作業系統,則 /etc/netboot/wanboot.conf.sample 中會有一個範例 wanboot.conf 檔案。您可以將此範例做為 WAN Boot 安裝的範本。
您必須在 wanboot.conf 檔案中納入下列資訊。
您可以透過列出下列格式的具有關聯值的參數,以指定此資訊。
parameter=value |
如需有關 wanboot.conf 檔案參數和語法的詳細資訊,請參閱wanboot.conf 檔案參數和語法。
如果要建立 wanboot.conf 檔案,請遵循這些步驟。
-
假定在 WAN Boot 伺服器上使用者身份與 Web 伺服器使用者身份相同。
-
建立 wanboot.conf 文字檔案。
您可以建立名為 wanboot.conf 的新文字檔,或使用位於 /etc/netboot/wanboot.conf.sample 中的範例檔案。如果您使用範例檔案,請在增加參數後將檔案 wanboot.conf 重新命名。
-
鍵入安裝所需的 wanboot.conf 參數。
如需有關 wanboot.conf 參數和值的詳細描述,請參閱wanboot.conf 檔案參數和語法。
-
將 wanboot.conf 檔案儲存至 /etc/netboot 階層結構的相應子目錄中。
如需有關如何建立 /etc/netboot 階層的資訊,請參閱在 WAN Boot 伺服器上建立 /etc/netboot 階層結構。
-
# bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf
- path-to-wanboot.conf
-
指定 WAN Boot 伺服器上用戶端的 wanboot.conf 檔案的路徑
-
如果 wanboot.conf 檔案在結構上有效,則 bootconfchk 指令將返回一個退出碼 0。
-
如果 wanboot.conf 檔案是無效的,則 bootconfchk 指令將返回一個非零退出碼。
-
# chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf
範例 11–14 用於透過 HTTPS 進行的 WAN Boot 安裝的 wanboot.conf 檔案
以下 wanboot.conf 檔案範例包含了用於 WAN 安裝 (使用安全的 HTTP) 的配置資訊。wanboot.conf 檔案還指出,在此安裝中使用了 3DES 加密金鑰。
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
wanboot.conf 檔案指定以下配置。
- boot_file=/wanboot/wanboot.s10_sparc
-
第二層啟動程式的名稱是 wanboot.s10_sparc。此程式位於 WAN Boot 伺服器文件根目錄的 /wanboot 目錄中。
- root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi
-
WAN Boot 伺服器上的 wanboot-cgi 程式的位置為 https://www.example.com:1234/cgi-bin/wanboot-cgi。URL 的 https 部分表示此 WAN Boot 安裝使用安全的 HTTP。
- root_file=/miniroot/miniroot.s10_sparc
-
WAN Boot miniroot 的名稱是 miniroot.s10_sparc。此 miniroot 位於 WAN Boot 伺服器文件根目錄的 /miniroot 目錄中。
- signature_type=sha1
-
wanboot.s10_sparc 程式與 WAN Boot 檔案系統都是以 HMAC SHA1 雜湊金鑰簽名。
- encryption_type=3des
-
wanboot.s10_sparc 程式與 Boot 檔案系統都是以 3DES 金鑰加密。
- server_authentication=yes
-
安裝期間驗證該伺服器。
- client_authentication=no
-
安裝期間不驗證該用戶端。
- resolve_hosts=
-
執行 WAN 安裝無需其他主機名稱。所有必要的檔案和資訊均位於 WAN Boot 伺服器的文件根目錄中。
- boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi
-
(可選擇) 透過使用安全 HTTP 將啟動和安裝記錄訊息記錄在 WAN Boot 伺服器上。
如需有關如何設置 WAN Boot 安裝的記錄伺服器的說明,請參閱(可選擇) 配置 WAN Boot 記錄伺服器。
- system_conf=sys-conf.s10–sparc
-
包含了 sysidcfg 和 JumpStart 檔案位置的系統配置檔,位於 /etc/netboot 階層的子目錄中。系統配置檔的名稱是 sys-conf.s10–sparc。
範例 11–15 用於不安全 WAN Boot 安裝的 wanboot.conf 檔案
以下 wanboot.conf 檔案範例包含了用於安全性較差的 WAN 安裝 (使用 HTTP) 的配置資訊。該 wanboot.conf 檔案還指出,此安裝不使用加密金鑰或雜湊金鑰。
boot_file=/wanboot/wanboot.s10_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
wanboot.conf 檔案指定以下配置。
- boot_file=/wanboot/wanboot.s10_sparc
-
第二層啟動程式的名稱是 wanboot.s10_sparc。此程式位於 WAN Boot 伺服器文件根目錄的 /wanboot 目錄中。
- root_server=http://www.example.com/cgi-bin/wanboot-cgi
-
WAN Boot 伺服器上的 wanboot-cgi 程式的位置為 http://www.example.com/cgi-bin/wanboot-cgi。此安裝不使用安全的 HTTP。
- root_file=/miniroot/miniroot.s10_sparc
-
WAN Boot miniroot 的名稱是 miniroot.s10_sparc。此 miniroot 位於 WAN Boot 伺服器文件根目錄的 /miniroot 子目錄中。
- signature_type=
-
wanboot.s10_sparc 程式與 WAN Boot 檔案系統都不是以雜湊金鑰簽名。
- encryption_type=
-
wanboot.s10_sparc 程式與 Boot 檔案系統均未加密。
- server_authentication=no
-
在安裝過程中未使用金鑰或憑證對伺服器進行驗證。
- client_authentication=no
-
在安裝過程中未使用金鑰或憑證對用戶端進行驗證。
- resolve_hosts=
-
執行此安裝無需其他主機名稱。所有必要的檔案和資訊均位於 WAN Boot 伺服器的文件根目錄中。
- boot_logger=http://www.example.com/cgi-bin/bootlog-cgi
-
(可選擇) 啟動和安裝記錄訊息記錄在 WAN Boot 伺服器上。
如需有關如何設置 WAN Boot 安裝的記錄伺服器的說明,請參閱(可選擇) 配置 WAN Boot 記錄伺服器。
- system_conf=sys-conf.s10–sparc
-
包含了 sysidcfg 和 JumpStart 檔案之系統配置檔的名稱是 sys-conf.s10–sparc。此檔案位於 /etc/netboot 階層結構的相應用戶端子目錄中。
繼續進行 WAN Boot 安裝
建立 wanboot.conf 檔案之後,您可以選擇配置 DHCP 伺服器以支援 WAN Boot。如需說明,請參閱(可選擇) 使用 DHCP 伺服器提供配置資訊。
如果您不想要在 WAN Boot 安裝中使用 DHCP 伺服器,請參閱檢查用戶端 OBP 中的 net 裝置別名,以繼續進行 WAN Boot 安裝。
另請參閱
如需有關 wanboot.conf 參數和值的詳細描述,請參閱wanboot.conf 檔案參數和語法和「wanboot.conf(4)」。
(可選擇) 使用 DHCP 伺服器提供配置資訊
如果您在網路中使用 DHCP 伺服器,則可以配置該 DHCP 伺服器來提供以下資訊。
-
代理伺服器的 IP 位址
-
wanboot-cgi 程式的位置
您可以將下列 DHCP 供應商選項用於 WAN Boot 安裝。
如需有關在 Solaris DHCP 伺服器上設定這些供應商選項的資訊,請參閱使用 DHCP 服務預先配置系統配置資訊 (作業)。
如需有關設定 Solaris DHCP 伺服器的詳細資訊,請參閱「System Administration Guide: IP Services」中的第 14 章「Configuring the DHCP Service (Tasks)」。
若要繼續進行 WAN Boot 安裝,請參閱第 12 章, SPARC: 使用 WAN Boot 進行安裝 (作業)。
- © 2010, Oracle Corporation and/or its affiliates