In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk für eine WAN-Boot-Installation vorbereiten. Er umfasst die folgenden Themen:
In diesem Abschnitt werden die Systemvoraussetzungen für die Installation von WAN-Boot erläutert.
Tabelle 10–1 Systemvoraussetzungen für WAN-Boot-Installationen
System und Beschreibung |
Anforderungen |
---|---|
WAN-Boot-Server – Der WAN-Boot-Server ist ein Webserver, der das wanboot-Programm, die Konfigurations- und Sicherheitsdateien und die WAN-Boot-Miniroot bereitstellt. |
|
Installationsserver – Der Installationsserver stellt das Solaris Flash-Archiv und die JumpStart-Dateien bereit, die für die Installation des Clients benötigt werden. |
Sind Installationsserver und WAN-Boot-Server zwei unterschiedliche Systeme, muss der Installationsserver diese zusätzlichen Voraussetzungen erfüllen:
|
Clientsystem – Das entfernte System, das über ein WAN installiert werden soll |
|
(Optional) DHCP-Server – Für die Bereitstellung der Client-Konfigurationsinformationen können Sie einen DHCP-Server einsetzen. |
Wenn Sie mit einem SunOS-DHCP-Server arbeiten, müssen Sie folgende Schritte durchführen:
Befindet sich der DHCP-Server in einem anderen Teilnetz als der Client, müssen Sie einen BOOTP-Relay-Agenten konfigurieren. Näheres zur Konfiguration eines BOOTP-Relay-Agenten finden Sie in Kapitel 14, Configuring the DHCP Service (Tasks) in System Administration Guide: IP Services. |
(optional) Protokollserver– Per Voreinstellung werden alle während einer WAN-Installation auftretenden Protokollmeldungen für das Booten und die Installation auf der Client-Konsole angezeigt. Um diese Meldungen auf einem anderen System anzeigen zu lassen, geben Sie ein System an, das als Protokollserver dienen soll. |
Muss als Webserver konfiguriert sein. Hinweis – Wenn Sie bei der Installation mit HTTPS arbeiten, müssen Protokollserver und WAN-Boot-Server identisch sein. |
(Optional) Proxy-Server – Sie können das Leistungsmerkmal WAN-Boot so konfigurieren, dass das Herunterladen der Installationsdaten und -dateien über einen HTTP-Proxy erfolgt. |
Wenn die Installation per HTTPS vorgenommen wird, muss der Proxy-Server zum Tunneln von HTTPS konfiguriert sein. |
Die Webserver-Software auf dem WAN-Boot- und dem Installationsserver muss die folgenden Voraussetzungen erfüllen:
Betriebssystemvoraussetzungen – WAN-Boot bietet ein CGI(Common Gateway Interface)-Programm (wanboot-cgi), das Daten und Dateien in das vom Clientsystem erwartete Format konvertiert. Für eine WAN-Boot-Installation mithilfe dieser Skripten muss die Webserver-Software unter Solaris 9 12/03 oder einer kompatiblen Version ausgeführt werden.
Maximale Dateigröße – Die Größe der über die HTTP-Verbindung übertragenen Dateien ist möglicherweise durch Ihre Webserver-Software begrenzt. Lesen Sie bitte in der Dokumentation Ihres Webservers nach, ob die Software Dateien in der Größe eines Solaris Flash-Archivs übertragen kann.
Der Befehl flarcreate übt keinerlei Größenbeschränkungen mehr auf einzelne Dateien aus. Sie können ein Solaris Flash-Archiv erstellen, dass einzelne Dateien enthalten kann, die größer als 4 GB sind.
For more information, see Erstellen eines Archivs, das große Dateien enthält in Solaris 10 8/07 Installationshandbuch: Solaris Flash-Archive (Erstellung und Installation).
SSL-Unterstützung – Wenn Sie bei der WAN-Boot-Installation mit HTTPS arbeiten möchten, muss die Webserver-Software SSL Version 3 unterstützen.
Sie können die Konfiguration der von WAN-Boot benötigten Server an die Anforderungen in Ihrem Netzwerk anpassen. Die erforderlichen Server können entweder auf einem System oder auf verschiedenen Systemen eingerichtet werden.
Einzelner Server – Wenn Sie die WAN-Boot-Daten und -Dateien zentral auf einem System verwalten möchten, können Sie alle Server auf demselben System einrichten. Sie können alle Server auf einem System verwalten und müssen nur ein System als Webserver konfigurieren. Unter Umständen unterstützt ein einzelner Server aber das hohe Datenaufkommen nicht, das bei zahlreichen gleichzeitig ablaufenden WAN-Boot-Installationen entstehen würde.
Mehrere Server – Für den Fall, dass Sie die Installationsdaten und -dateien an verschiedenen Stellen im Netzwerk verwalten möchten, besteht die Möglichkeit, die entsprechenden Server auf unterschiedlichen Systemen einzurichten. Sie können einen zentralen WAN-Boot-Server einrichten und mehrere Installationsserver für die Verwaltung von Solaris Flash-Archiven an verschiedenen Stellen im Netzwerk konfigurieren. Wenn Sie Installations- und Protokollserver auf unabhängigen Systemen einrichten, müssen Sie diese Systeme als Webserver konfigurieren.
Das Programm wanboot-cgi überträgt bei der WAN-Boot-Installation die folgenden Dateien:
wanboot-Programm
WAN-Boot-Miniroot
Dateien für die benutzerdefinierte JumpStart-Installation
Solaris Flash-Archiv
Damit das Programm wanboot-cgi diese Dateien übertragen kann, müssen Sie sie in einem für die Webserver-Software zugänglichen Verzeichnis speichern. Eine Möglichkeit, die Dateien zugänglich zu machen, besteht darin, sie im Dokument-Root-Verzeichnis auf dem Webserver abzulegen.
Das Dokument-Root-Verzeichnis (auch primäres Dokumentverzeichnis genannt) ist das Verzeichnis auf dem Webserver, in dem Dateien gespeichert werden sollen, die für Client abrufbar sind. Dieses Verzeichnis können Sie mit der Webserver-Software benennen und konfigurieren. Genauere Informationen über die Einrichtung des Dokument-Root-Verzeichnisses auf dem Webserver entnehmen Sie bitte der Dokumentation Ihres Webservers.
Es bietet sich an, für die verschiedenen Installations- und Konfigurationsdateien eigene Unterverzeichnisse unter dem Dokument-Root-Verzeichnis anzulegen. So könnten Sie beispielsweise ein spezifisches Unterverzeichnis für jede zu installierende Client-Gruppe erzeugen. Wenn Sie beabsichtigen, im Netzwerk unterschiedliche Versionen von Solaris zu installieren, können Sie auch ein Unterverzeichnis pro Version erzeugen.
In Abbildung 10–1 ist eine grundlegende Beispielstruktur für ein Dokument-Root-Verzeichnis dargestellt. In diesem Beispiel befinden sich WAN-Boot-Server und Installationsserver auf demselben System. Auf dem Server wird die Webserver-Software Apache ausgeführt.
Das Dokument-Verzeichnis in diesem Beispiel weist die folgende Struktur auf:
Das Verzeichnis /opt/apache/htdocs ist das Dokument-Root-Verzeichnis.
Das WAN-Boot-Miniroot-Verzeichnis (miniroot) enthält die WAN-Boot-Miniroot.
Das Solaris Flash-Verzeichnis (flash) enthält die für die Installation des Clients erforderlichen JumpStart-Dateien und das Unterverzeichnis archives. Das Verzeichnis archives enthält das aktuelle Solaris-Release Flash-Archiv.
Sind WAN-Boot-Server und Installationsserver unterschiedliche Systeme, sollten Sie das Verzeichnis flash auf dem Installationsserver erzeugen. Vergewissern Sie sich, dass diese Dateien und Verzeichnisse für den WAN-Boot-Server zugänglich sind.
Wie Sie das Dokument-Root-Verzeichnis erzeugen, entnehmen Sie bitte der Dokumentation Ihres Webservers. Ausführliche Anweisungen zum Erzeugen und Speichern dieser Installationsdateien finden Sie in Erzeugen der Dateien für die benutzerdefinierte JumpStart-Installation.
Das Verzeichnis /etc/netboot enthält die Konfigurationsinformationen, den privaten Schlüssel, das digitale Zertifikat und die Zertifizierungsstelle, die für eine WAN-Boot-Installation erforderlich sind. In diesem Abschnitt sind die Dateien und Verzeichnisse dargestellt, die Sie im Verzeichnis /etc/netboot erzeugen können, um Ihre WAN-Boot-Installation individuell anzupassen.
Während der Installation sucht das Programm wanboot-cgi im Verzeichnis /etc/netboot auf dem WAN-Boot-Server nach den Client-Informationen. Das Programm wanboot-cgi konvertiert diese Informationen in das WAN-Boot-Dateisystem und überträgt dieses dann an den Client. Der Aktionsbereich der WAN-Installation lässt sich mithilfe von Unterverzeichnissen anpassen, die Sie in /etc/netboot anlegen können. Mit den folgenden Verzeichnisstrukturen definieren Sie, wie die Konfigurationsinformationen von den zu installierenden Clients gemeinsam verwendet werden sollen.
Globale Konfiguration – Sollen alle Clients in Ihrem Netzwerk dieselben Konfigurationsinformationen verwenden, dann speichern Sie die freizugebenden Dateien im Verzeichnis /etc/netboot.
Netzwerk-spezifische Konfiguration – Wenn nur die Computer in einem bestimmten Subnetz konfigurationsinformationen gemeinsam nutzen sollen, speichern Sie die gemeinsam zu nutzenden Konfigurationsdateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/Netz-IP |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes der Clients. Wenn Sie die Konfigurationsdateien beispielsweise an alle Systeme im Teilnetz mit der IP-Adresse 192.168.255.0 freigeben möchten, erzeugen Sie ein Verzeichnis namens /etc/netboot/192.168.255.0. Speichern Sie dann die Konfigurationsdateien in diesem Verzeichnis.
Client-spezifische Konfiguration – Wenn das Boot-Dateisystem von nur einem bestimmten Client verwendet werden soll, speichern Sie die Dateien in einem Unterverzeichnis von /etc/netboot. Bei der Benennung des Unterverzeichnisses ist die Namenskonvention zu beachten.
/etc/netboot/Netz-IP/Client-ID |
In diesem Beispiel ist Netz-IP die IP-Adresse des Teilnetzes. Client-ID ist entweder die vom DHCP-Server zugewiesene oder eine benutzerdefinierte Client-ID. Wenn zum Beispiel ein System mit der Client-ID 010003BA152A42 im Teilnetz 192.168.255.0 systemspezifische Konfigurationsdateien verwenden soll, erzeugen Sie ein Verzeichnis namens /etc/netboot/192.168.255.0/010003BA152A42. Speichern Sie dann die entsprechenden Dateien in diesem Verzeichnis.
Zum Angeben der Konfigurations- und Sicherheitsinformationen erstellen Sie die folgenden Dateien und speichern sie im Verzeichnis /etc/netboot.
wanboot.conf – Diese Datei enthält die Client-Konfiguration für eine WAN-Boot-Installation.
Systemkonfigurationsdatei ( system.conf) – Diese Systemkonfigurationsdatei enthält den Ort der Client-Datei sysidcfg und der benutzerdefinierten JumpStart-Dateien.
keystore – Diese Datei enthält den HMAC SHA1-Hashing-Schlüssel, die 3DES- bzw. AES-Verschlüsselung und den privaten SSL-Schlüssel des Clients.
truststore – Diese Datei enthält die digitalen Zertifikate der vom Client zu akzeptierenden Zertifikat-Signaturstellen. Diese vertrauenswürdigen Zertifikate weisen den Client an, den Server während der Installation als vertrauenswürdig zu akzeptieren.
certstore – Diese Datei enthält das digitale Zertifikat des Clients.
Die Datei certstore muss im Verzeichnis der Client-ID gespeichert sein. Weitere Informationen über Unterverzeichnisse von /etc/netboot finden Sie in Anpassung des Aktionsbereichs der WAN-Boot-Installation.
Ausführliche Anweisungen zum Erstellen und Speichern dieser Dateien stehen Ihnen in folgenden Abschnitten zur Verfügung:
(Optional) So erzeugen Sie einen Hashing- und einen Chiffrierschlüssel
(Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung
Es besteht die Möglichkeit, dass Sie bei der Installation von Clients in Ihrem Netzwerk dieselben Sicherheits- und Konfigurationsdateien für mehrere Clients oder beispielsweise alle Clients eines Teilnetzes verwenden. Zur Freigabe dieser Dateien können Sie die Konfigurationsinformationen in den Verzeichnissen /etc/netboot/Netz-IP/Client-ID, /etc/netboot/Netz-IP und /etc/netboot bereitstellen. Das Programm wanboot-cgi durchsucht diese Verzeichnisse nach den Konfigurationsinformationen, die am besten auf den jeweiligen Client zutreffen, und verwendet diese Informationen für die Installation.
Das Programm wanboot-cgi sucht in dieser Reihenfolge nach Client-Informationen:
/etc/netboot/Netz-IP/Client-ID – Zuerst sucht das Programm wanboot-cgi nach Client-spezifischen Konfigurationsinformationen. Wenn das Verzeichnis /etc/netboot/Netz-IP/Client-ID alle Client-Konfigurationsinformationen enthält, sucht das Programm wanboot-cgi an keiner weiteren Stelle im Verzeichnis /etc/netboot nach Konfigurationsinformationen.
/etc/netboot/Netz-IP – Wenn nicht alle erforderlichen Informationen im Verzeichnis /etc/netboot/Netz-IP/Client-ID gefunden werden können, sucht das Programm wanboot-cgi anschließend im Verzeichnis /etc/netboot/Netz-IP nach Teilnetz-Konfigurationsinformationen.
/etc/netboot – Wenn die noch ausstehenden Angaben nicht im Verzeichnis /etc/netboot/Netz-IP zu finden sind, sucht das Programm wanboot-cgi dann im Verzeichnis /etc/netboot nach globalen Konfigurationsinformationen.
Abbildung 10–2 zeigt, wie Sie das Verzeichnis /etc/netboot einrichten können, um Ihre WAN-Boot-Installationen besser anzupassen.
Das /etc/netboot-Verzeichnislayout in Abbildung 10–2 ermöglicht Ihnen, die folgenden WAN-Boot-Installationen durchzuführen.
Wenn Sie Client 010003BA152A42 installieren, verwendet das Programm wanboot-cgi diese Dateien im Verzeichnis /etc/netboot/192.168.255.0/010003BA152A42:
system.conf
keystore
truststore
certstore
Anschließend verwendet das Programm wanboot-cgi die Datei wanboot.conf im Verzeichnis /etc/netboot/192.168.255.0.
Wenn Sie einen Client im Teilnetz 192.168.255.0 installieren, verwendet das Programm wanboot-cgi die Dateien wanboot.conf, keystore und truststore im Verzeichnis /etc/netboot/192.168.255.0. Anschließend verwendet das Programm wanboot-cgi die Datei system.conf im Verzeichnis /etc/netboot.
Wenn Sie einen Client installieren, der sich außerhalb des Teilnetzes 192.168.255.0 befindet, verwendet das Programm wanboot-cgi die folgenden Dateien im Verzeichnis /etc/netboot.
wanboot.conf
system.conf
keystore
truststore
Das Programm wanboot-cgi überträgt die Daten und Dateien vom WAN-Boot-Server an den Client. Vergewissern Sie sich, dass sich das Programm in einem für den Client zugänglichen Verzeichnis auf dem WAN-Boot-Server befindet. Eine Möglichkeit, das Programm für den Client zugänglich zu machen, besteht darin, es im Verzeichnis cgi-bin des WAN-Boot-Servers zu speichern. Unter Umständen müssen Sie in der Konfiguration Ihrer Webserver-Software festlegen, dass das Programm wanboot-cgi als CGI-Programm verwendet wird. Informationen über die Voraussetzungen für CGI-Programme entnehmen Sie bitte der Dokumentation Ihres Webservers.
Möchten Sie die WAN-Boot-Installation sicherer gestalten, können Sie mithilfe von digitalen Zertifikaten eine Server- und eine Client-Authentifizierung in den Vorgang einbinden. Auf der Grundlage von digitalen Zertifikaten kann WAN-Boot bei Online-Transaktionen die Identität des Servers oder des Clients feststellen. Digitale Zertifikate werden von einer Zertifizierungsstelle (CA) ausgestellt. Diese Zertifikate enthalten eine Seriennummer, Ablaufdaten, eine Kopie des öffentlichen Schlüssels des Zertifikatinhabers sowie die digitale Signatur der Zertifizierungsstelle.
Wenn Sie möchten, dass sich der Server oder sowohl der Server als auch der Client bei der Installation ausweisen, müssen Sie auf dem Server digitale Zertifikate installieren. Befolgen Sie beim Einsatz von digitalen Zertifikaten bitte diese Richtlinien:
Bereits vorhandene digitale Zertifikate müssen als Teil einer PKCS#12-Datei (Public-Key Cryptography Standards #12) formatiert sein.
Wenn Sie eigene Zertifikate erzeugen möchten, müssen Sie sie als PKCS#12-Dateien erstellen.
Wenn Sie Ihre Zertifikate von externen Zertifizierungsstellen erhalten, fordern Sie sie im PKCS#12-Format an.
Ausführliche Anweisungen zur Verwendung von PKCS#12-Zertifikaten bei der WAN-Boot-Installation finden Sie in (Optional) So verwenden Sie digitale Zertifikate für die Server- und Client-Authentifizierung.
Es stehen zwar verschiedene Sicherheitsfunktionen für WAN-Boot zur Verfügung, die folgenden potenziellen Sicherheitsrisiken bleiben jedoch trotzdem bestehen:
Denial of Service (DoS) – Ein DoS-Angriff kann in den verschiedensten Formen erfolgen und hat immer das Ziel, Benutzer am Zugriff auf einen bestimmten Dienst zu hindern. Ein solcher DoS-Angriff kann entweder bewirken, dass ein Netzwerk mit großen Datenmengen überflutet wird oder dass limitierte Ressourcen aggressiv genutzt werden. Andere DoS-Angriffe manipulieren die zwischen den Systemen übertragenen Daten. Das WAN-Boot-Installationsverfahren bietet Servern oder Clients keinen Schutz vor DoS-Angriffen.
Beschädigte Binärdateien auf Servern – Das WAN-Boot-Installationsverfahren führt vor Beginn der Installation keine Integritätsprüfung der WAN-Boot-Miniroot oder des Solaris Flash-Archivs durch. Vergleichen Sie deshalb vor der Installation die Solaris-Binärdateien mit der Solaris-Fingerabdruckdatenbank unter http://sunsolve.sun.com.
Datenschutz für Chiffrier- und Hashing-Schlüssel – Wenn Sie WAN-Boot mit Verschlüsselung (Chiffrierschlüsseln) oder einem Hashing-Schlüssel einsetzen, müssen Sie den Schlüsselwert bei der Installation in die Befehlszeile eingeben. Ergreifen Sie die für Ihr Netzwerk erforderlichen Sicherheitsmaßnahmen zur Geheimhaltung dieser Schlüsselwerte.
Beschädigung des Netzwerk-Naming Service – Wenn in Ihrem Netzwerk ein Naming Service verwendet wird, überprüfen Sie die Integrität der Namenserver vor der Installation von WAN-Boot.
Um Ihr Netzwerk für eine WAN-Boot-Installation zu konfigurieren, müssen Sie die verschiedensten Informationen zusammenstellen. Im Rahmen der Vorbereitung einer Installation über das WAN sollten Sie sich diese Angaben notieren.
Zum Aufzeichnen der WAN-Boot-Installationsinformationen für Ihr Netzwerk stehen Ihnen die folgenden Arbeitsblätter zur Verfügung:
Tabelle 10–2 Arbeitsblatt für die Zusammenstellung von Server-InformationenTabelle 10–3 Arbeitsblatt für die Zusammenstellung von Client-Informationen
Information |
Anmerkungen |
---|---|
IP-Adresse des Client-Teilnetzes |
|
IP-Adresse des Client-Routers |
|
IP-Adresse des Clients |
|
Client-Teilnetzmaske |
|
Host-Name des Clients |
|
MAC-Adresse des Clients |
|