Kapitel 9 WAN-Boot (Übersicht)

Dieses Kapitel bietet eine Übersicht über das WAN-Boot-Installationsverfahren. Er umfasst die folgenden Themen:

• Was ist WAN-Boot?

• Wann ist WAN-Boot sinnvoll?

• Wie funktioniert WAN-Boot (Übersicht)

• Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht)

Was ist WAN-Boot?

Das WAN-Boot-Installationsverfahren ermöglicht es, Software unter Verwendung von HTTP über ein WAN (Wide Area Network) zu booten und zu installieren. Mit WAN-Boot können Sie Solaris über große, öffentliche Netzwerke, deren Infrastruktur möglicherweise nicht vertrauenswürdig ist, auf SPARC-Systemen installieren. Zur Geheimhaltung der Daten und zum Schutz der Integrität des Installationsabbildes können Sie bei der WAN-Boot-Installation Sicherheitsfunktionen aktivieren.

Mit der WAN-Boot-Installationsmethode können Sie ein verschlüsseltes Solaris Flash-Archiv über ein öffentliches Netzwerk an einen entfernten SPARC-Client übertragen. Die WAN-Boot-Programme installieren das Clientsystem dann, indem sie eine benutzerdefinierte JumpStart-Installation durchführen. Die Integrität der Installation lässt sich mit privaten Schlüsseln zur Authentifizierung und Verschlüsselung der Daten schützen. Sie können die Installationsdaten und -dateien auch über eine sichere HTTP-Verbindung senden. Hierfür müssen Sie auf Ihren Systemen die Verwendung von digitalen Zertifikaten konfigurieren.

Bei einer WAN-Boot-Installation laden Sie die folgenden Informationen über eine HTTP- oder sichere HTTP-Verbindung von einem Webserver herunter und installieren ein SPARC-System.

• wanboot-Programm – Das wanboot-Programm ist das sekundäre Boot-Programm, das die WAN-Boot-Miniroot, die Client-Konfigurationsdateien und die Installationsdateien lädt. Das wanboot-Programm führt ähnliche Vorgänge wie die Boot-Unterprogramme ufsboot oder inetboot durch.

• WAN-Boot-Dateisystem – WAN-Boot stützt sich bei der Konfiguration des Clients und zum Abrufen der auf dem Clientsystem zu installierenden Daten auf verschiedene Dateien. Diese Dateien befinden sich im Verzeichnis /etc/netboot des Webservers. Das Programm wanboot-cgi überträgt diese Dateien in Form eines Dateisystems, dem WAN-Boot-Dateisystem, an den Client.

• WAN-Boot-Miniroot – Die WAN-Boot-Miniroot ist eine auf die WAN-Boot-Installation ausgerichtete Variante der Solaris-Miniroot. Wie die Solaris-Miniroot enthält die WAN-Boot-Miniroot einen Kernel und gerade so viel Software, wie zur Installation von Solaris erforderlich ist. Die WAN-Boot-Miniroot enthält einen Teilsatz der Software in der Solaris-Miniroot.

• Benutzerdefinierte JumpStart-Konfigurationsdateien – Für die Installation des Systems überträgt WAN-Boot die Dateien sysidcfg, rules.ok sowie Profildateien an den Client. WAN-Boot führt dann auf Grundlage dieser Dateien eine benutzerdefinierte JumpStart-Installation auf dem Clientsystem durch.

• Solaris Flash-Archiv – Ein Solaris Flash-Archiv ist eine Sammlung von Dateien, die von einem Master-System kopiert wurden. Mit einem solchen Archiv können Sie Clientsysteme installieren. WAN-Boot installiert mithilfe des benutzerdefinierten JumpStart-Verfahrens ein Solaris Flash-Archiv auf dem Clientsystem. Nach der Installation eines Archivs auf einem Clientsystem verfügt dieses System über genau dieselbe Konfiguration wie das Master-System.

  ---

  Hinweis –

  Der Befehl flarcreate übt keinerlei Größenbeschränkungen mehr auf einzelne Dateien aus. Sie können ein Solaris Flash-Archiv erstellen, dass einzelne Dateien enthalten kann, die größer als 4 GB sind.

  Weitere Informationden finden Sie unter Erstellen eines Archivs, das große Dateien enthält in Solaris 10 8/07 Installationshandbuch: Solaris Flash-Archive (Erstellung und Installation).

  ---

Dann installieren Sie das Archiv mit dem benutzerdefinierten JumpStart-Verfahren auf dem Client.

Die oben aufgeführten Daten können Sie bei der Übertragung durch Schlüssel und digitale Zertifikate schützen.

In Wie funktioniert WAN-Boot (Übersicht) ist die Abfolge der bei einer WAN-Boot-Installation stattfindenden Ereignisse ausführlicher dargestellt.

Wann ist WAN-Boot sinnvoll?

Das WAN-Boot-Installationsverfahren ermöglicht es, an entfernten Standorten SPARC-Systeme zu installieren. Es bietet sich an, WAN-Boot für die Installation von entfernten Servern oder Clients einzusetzen, die nur über ein öffentliches Netzwerk zugänglich sind.

Für eine Installation von Systemen in Ihrem LAN (Local Area Network) erfordert das WAN-Boot-Installationsverfahren mehr Konfigurations- und Administrationsaufwand als nötig. Informationen, wie Sie Systeme über ein LAN installieren, finden Sie in Kapitel 4, Installieren über das Netzwerk (Übersicht).

Wie funktioniert WAN-Boot (Übersicht)

Bei der Installation eines entfernten SPARC-Clients mit WAN-Boot kommt eine Kombination von Servern, Konfigurationsdateien, CGI-Programmen (Common Gateway Interface) und Installationsdateien zum Einsatz. Dieser Abschnitt zeigt die allgemeine Abfolge der bei einer WAN-Boot-Installation stattfindenden Ereignisse.

Ereignisabfolge bei einer WAN-Boot-Installation

Abbildung 9–1 zeigt die grundlegende Reihenfolge der Ereignisse bei einer WAN-Boot-Installation. In dieser Abbildung ruft ein SPARC-Client über ein WAN Konfigurationsdaten und Installationsdateien von einem Webserver und einem Installationsserver ab.

Abbildung 9–1 Ereignisabfolge in einer WAN-Boot-Installation

1. Sie booten den Client auf eine der folgenden Arten:

   • Booten aus dem Netzwerk durch Setzen von Netzwerkschnittstellen-Variablen im Open Boot PROM (OBP).

   • Booten aus dem Netzwerk mit der DHCP-Option.

   • Booten von einer lokalen CD-ROM.

2. Das Client-OBP erhält Konfigurationsinformationen aus einer dieser Quellen:

   • Von Boot-Argumentwerten, die vom Benutzer in die Befehlszeile eingegeben werden.

   • Vom DHCP-Server, sofern im Netzwerk DHCP verwendet wird.

3. Das Client-OBP fordert das sekundäre Boot-Programm wanboot an.

   Das Client-OBP lädt das wanboot-Programm von einer der folgenden Quellen herunter:

   • Von einem speziellen Webserver, dem WAN-Boot-Server, unter Verwendung von HTTP.

   • Von einer lokalen CD-ROM (nicht abgebildet).

4. Das wanboot-Programm fordert die Client-Konfigurationsinformationen vom WAN-Boot-Server an.

5. Das wanboot-Programm lädt Konfigurationsdateien, die vom Programm wanboot-cgi übertragen werden, vom WAN-Boot-Server herunter. Die Konfigurationsdateien werden als WAN-Boot-Dateisystem an den Client übertragen.

6. Das wanboot-Programm fordert die WAN-Boot-Miniroot vom WAN-Boot-Server an.

7. Das wanboot-Programm lädt die WAN-Boot-Miniroot per HTTP oder sicheres HTTP vom WAN-Boot-Server herunter.

8. Das wanboot-Programm lädt den UNIX-Kernel aus der WAN-Boot-Miniroot und führt ihn aus.

9. Der UNIX-Kernel sucht das WAN-Boot-Dateisystem und hängt es zur Verwendung durch das Solaris-Installationsprogramm ein.

10. Das Installationsprogramm fordert ein Solaris Flash-Archiv und JumpStart-Dateien von einem Installationsserver an.

    Das Installationsprogramm lädt das Archiv und die JumpStart-Dateien über eine HTTP- oder HTTPS-Verbindung herunter.

11. Das Installationsprogramm installiert mit dem benutzerdefinierten JumpStart-Verfahren das Solaris Flash-Archiv auf dem Client.

Schutz der Daten während einer WAN-Boot-Installation

Das WAN-Boot-Installationsverfahren erlaubt den Einsatz von Hashing-Schlüsseln und digitalen Zertifikaten zum Schutz der Systemdaten während der Installation. In diesem Abschnitt werden die vom WAN-Boot-Installationsverfahren unterstützten Datenschutzmethoden kurz dargestellt.

Überprüfen der Datenintegrität mit einem Hashing-Schlüssel

Zum Schutz der Daten, die von einem WAN-Boot-Server an den Client übertragen werden, können Sie einen sog. HMAC-Schlüssel (Hashed Message Authentication Code) erstellen. Diesen Hashing-Schlüssel installieren Sie sowohl auf dem WAN-Boot-Server als auch auf dem Client. Der WAN-Boot-Server signiert mit diesem Schlüssel die an den Client zu übertragenden Daten. Der Client verwendet den Schlüssel dann zum Überprüfen der Integrität der vom WAN-Boot-Server übertragenen Daten. Nach der Installation eines Hashing-Schlüssels auf einem Client steht dieser Schlüssel dem Client für künftige WAN-Boot-Installationen zur Verfügung.

Anweisungen zur Verwendung eines Hashing-Schlüssels finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.

Verschlüsseln von Daten mit Chiffrierschlüsseln

Mit WAN-Boot-Installationsverfahren können Sie Daten verschlüsseln, die vom WAN-Boot-Server an den Client gesendet werden. Mit den WAN-Boot-Dienstprogrammen können Sie eine 3DES(Triple Data Encryption Standard)- oder AES(Advanced Encryption Standard)-Verschlüsselung, den Chiffrierschlüssel, generieren. Diesen Schlüssel stellen Sie dann sowohl dem WAN-Boot-Server als auch dem Client zur Verfügung. Mit diesem Chiffrierschlüssel verschlüsselt WAN-Boot die vom WAN-Boot-Server an den Client übertragenen Daten. Der Client verwendet diesen Schlüssel dann zum Entschlüsseln der Konfigurations- und Sicherheitsdateien, die während der Installation übertragen werden.

Nach der Installation eines Chiffrierschlüssels auf einem Client steht dieser Schlüssel dem Client für künftige WAN-Boot-Installationen zur Verfügung.

Der Einsatz einer Verschlüsselung ist jedoch nicht an allen Standorten zulässig. Um festzustellen, ob die Verschlüsselung an Ihrem Standort möglich ist, wenden Sie sich bitte an Ihren Sicherheitsadministrator. Ist die Verschlüsselung an Ihrem Standort zulässig, fragen Sie Ihren Sicherheitsadministrator, ob Sie mit einer 3DES- oder AES-Verschlüsselung arbeiten sollen.

Anweisungen zur Verwendung eines Chiffrierschlüssels finden Sie in (Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel.

Schutz von Daten durch HTTPS

WAN-Boot unterstützt den Einsatz von HTTPS (HTTP over Secure Sockets Layer) für die Übertragung von Daten zwischen WAN-Boot-Server und Client. Mit HTTPS können Sie bewirken, dass sich entweder nur der Server oder sowohl der Server als auch der Client während der Installation ausweisen müssen. HTTPS verschlüsselt außerdem die Daten, die bei der Installation vom Server an den Client übertragen werden.

Bei HTTPS kommen digitale Zertifikate zur Authentifizierung von Systemen zum Einsatz, die über das Netzwerk Daten austauschen. Ein digitales Zertifikat ist eine Datei, die ein Server- oder ein Clientsystem als vertrauenswürdigen Teilnehmer der Online-Kommunikation ausweist. Digitale Zertifikate können von externen Zertifizierungsstellen (CAs) angefordert oder durch Erzeugen einer eigenen Zertifizierungsstelle selbst generiert werden.

Damit der Client den Server als vertrauenswürdig akzeptiert und Daten von ihm annimmt, müssen Sie ein digitales Zertifikat auf dem Server installieren. Dann weisen Sie den Client an, dieses Zertifikat zu akzeptieren. Sie können auch festlegen, dass sich der Client gegenüber dem Server ausweist. Dafür stellen Sie dem Client ein digitales Zertifikat zur Verfügung. Anschließend weisen Sie den Server an, den Signierer des Zertifikats zu akzeptieren, wenn der Client das Zertifikat bei der Installation vorlegt.

Wenn Sie digitale Zertifikate bei der Installation einsetzen möchten, müssen Sie den Webserver für die Verwendung von HTTPS konfigurieren. Informationen über die Arbeit mit HTTPS entnehmen Sie bitte der Dokumentation Ihres Webservers.

Die Voraussetzungen für die Verwendung von digitalen Zertifikaten bei der WAN-Boot-Installation finden Sie in Voraussetzungen für digitale Zertifikate. Anweisungen zur Verwendung von digitalen Zertifikaten bei der WAN-Boot-Installation finden Sie in (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung.

Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht)

WAN-Boot unterstützt verschiedene Sicherheitsstufen. Sie können die von WAN-Boot unterstützten Sicherheitsleistungsmerkmale im Hinblick auf die Anforderungen in Ihrem Netzwerk kombinieren. Eine Konfiguration mit einer höheren Sicherheit erfordert zwar mehr Administrationsaufwand, bedeutet aber auch einen besseren Schutz für Ihre Systemdaten. Für wichtigere Systeme oder Systeme, die über ein öffentliches Netzwerk installiert werden sollen, eignet sich die Konfiguration unter Sichere WAN-Boot-Installationskonfiguration. Für etwas weniger wichtige Systeme oder Systeme in halb-privaten Netzwerken könnte die in Unsichere WAN-Boot-Installationskonfiguration beschriebene Konfiguration eine gute Lösung sein.

In diesem Abschnitt werden die Konfigurationen für unterschiedliche Sicherheitsstufen bei der WAN-Boot-Installation kurz dargestellt. Darüber hinaus werden die in den verschiedenen Konfigurationen angewendeten Sicherheitsmechanismen beschrieben.

Sichere WAN-Boot-Installationskonfiguration

Diese Konfiguration schützt die Integrität der zwischen Server und Client übertragenen Daten und trägt zur Geheimhaltung des Übertragungsinhalts bei. In dieser Konfiguration kommen eine HTTPS-Verbindung und entweder der 3DES- oder der AES-Algorithmus zur Verschlüsselung der Client-Konfigurationsdateien zum Einsatz. Sie sieht auch vor, dass sich der Server bei der Installation gegenüber dem Client ausweist. Für eine sichere WAN-Boot-Installation gelten bezüglich der Sicherheitsfunktionen folgende Voraussetzungen:

• HTTPS auf WAN-Boot-Server und Installationsserver aktiviert

• HMAC SHA1-Hashing-Schlüssel auf WAN-Boot-Server und Client

• 3DES- oder AES-Verschlüsselung für WAN-Boot-Server und Client

• Digitales Zertifikat einer Zertifizierungsstelle für WAN-Boot-Server

Wenn Sie zusätzlich festlegen möchten, dass sich auch der Client bei der Installation ausweisen muss, sind auch diese Sicherheitsfunktionen erforderlich:

• Privater Schlüssel für den WAN-Boot-Server

• Digitales Zertifikat für den Client

Eine Liste der Schritte, die zur Installation mit dieser Konfiguration erforderlich sind, finden Sie in Tabelle 11–1.

Unsichere WAN-Boot-Installationskonfiguration

Diese Sicherheitskonfiguration bedeutet zwar den geringsten Administrationsaufwand, aber auch die geringste Sicherheit bei der Datenübertragung zwischen Webserver und Client. Sie müssen weder einen Hashing-Schlüssel noch eine Verschlüsselung oder digitale Zertifikate generieren. Auch muss der Webserver nicht für die Verwendung von HTTPS konfiguriert sein. Die Installationsdaten und -dateien werden aber über eine HTTP-Verbindung gesendet, die Ihre Installation gegenüber Ausspähversuchen im Netzwerk verwundbar macht.

Wenn Sie möchten, dass der Client die Integrität der übertragenen Daten überprüft, können Sie diese Konfiguration durch den Einsatz eines HMAC SHA1-Hashing-Schlüssels ergänzen. Beachten Sie aber bitte, dass das Solaris Flash-Archiv durch einen Hashing-Schlüssel nicht geschützt wird. Das Archiv wird bei der Installation schutzlos zwischen dem Server und dem Client übertragen.

Eine Liste der Schritte, die zur Installation mit dieser Konfiguration erforderlich sind, finden Sie in Tabelle 11–2.