L'installazione con boot da WAN si avvale di una serie di server, file di configurazione, programmi CGI (Common Gateway Interface) e file di installazione per installare un client SPARC remoto. Questa sezione descrive la sequenza generale di eventi di un'installazione boot WAN.
La Figura 9–1 mostra la sequenza di base degli eventi in un'installazione boot WAN. In questa figura, un client SPARC richiama i dati di configurazione e i file di installazione da un server Web e da un server di installazione su una WAN.
Per eseguire il boot del client, procedere in uno dei modi seguenti:
Eseguire il boot dalla rete impostando le variabili dell'interfaccia di rete nell'OBP (Open Boot PROM).
Eseguire il boot dalla rete con l'opzione DHCP.
Eseguire il boot da un CD-ROM locale.
Il client OBP ricava le informazioni di configurazione da una delle seguenti fonti:
Dai valori degli argomenti di boot digitati dall'utente dalla riga di comando
Dal server DHCP, se la rete utilizza questo protocollo
L'OBP del client richiede il programma di boot di secondo livello per il boot WAN (wanboot).
L'OBP del client scarica il programma wanboot dalle seguenti fonti:
Da un server Web speciale, denominato server di boot WAN, usando il protocollo HTTP (Hyper Text Transfer Protocol)
Da un CD-ROM locale (non riportato in figura)
Il programma wanboot richiede le informazioni di configurazione del client dal server di boot WAN.
Il programma wanboot scarica i file di configurazione trasmessi dal programma wanboot-cgi dal server di boot WAN. I file di configurazione sono trasmessi al client come file system di boot WAN.
Il comando wanboot richiede il download della miniroot di boot WAN dal server di boot WAN.
Il programma wanboot scarica la miniroot di boot WAN dal server di boot WAN utilizzando HTTP o HTTPS.
Il programma wanboot carica ed esegue il kernel UNIX dalla miniroot di boot WAN.
Il kernel UNIX individua e attiva il file system di boot WAN utilizzato dal programma di installazione di Solaris.
Il programma di installazione richiede il download di un archivio Solaris Flash e i file dell'installazione JumpStart personalizzata da un server di installazione.
Il programma di installazione scarica l'archivio e i file dell'installazione JumpStart personalizzata con un collegamento HTTP o HTTPS.
Il programma di installazione esegue un'installazione JumpStart personalizzata per installare l'archivio Solaris Flash sul client.
Il metodo di installazione boot WAN permette di usare chiavi di hashing, chiavi di cifratura e certificati digitali per proteggere i dati del sistema durante l'installazione. Questa sezione descrive i diversi metodi di protezione dei dati supportati dal metodo di installazione boot WAN.
Per proteggere i dati trasmessi dal server di boot WAN al client, è possibile generare una chiave HMAC (Hashed Message Authentication Code). Questa chiave di hashing viene installata sia sul server di boot WAN che sul client. Il server di boot WAN la utilizza per “firmare” i dati da trasmettere al client, che, a sua volta, la usa per verificare l'integrità dei dati trasmessi dal server di boot WAN. Una volta installata la chiave di hashing su un client, quest'ultimo la utilizza per le future installazioni con il metodo boot WAN.
Per istruzioni sull'uso di una chiave di hashing, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.
Il metodo di installazione boot WAN consente la cifratura dei dati trasmessi dal server di boot WAN al client. Le utility di boot WAN permettono di creare una chiave di cifratura 3DES (Triple Data Encryption Standard) o AES (Advanced Encryption Standard). La chiave potrà in seguito essere fornita al server boot WAN e al client. Il metodo boot WAN si avvale della chiave di cifratura per crittografare i dati inviati dal server boot WAN al client. Il client può quindi utilizzare tale chiave per la cifratura o la decifrazione dei file di configurazione e dei file di sicurezza trasmessi durante l'installazione.
Una volta installata la chiave di cifratura sul client, quest'ultimo la utilizza per le future installazioni boot WAN.
Il sito potrebbe non consentire l'uso delle chiavi di cifratura. Per determinare se il sito ammette la cifratura, consultare l'amministratore della sicurezza del sito. Se il sito consente la cifratura, richiedere all'amministratore il tipo di chiave di cifratura da utilizzare, 3DES o AES.
Per istruzioni sull'uso delle chiavi di cifratura, vedere (Opzionale) Creare una chiave di hashing e una chiave di cifratura.
Il boot WAN supporta l'uso di HTTP su Secure Sockets Layer (HTTPS) per il trasferimento dei dati tra il server boot WAN e il client. Usando HTTPS, è possibile richiedere al server, o al server e al client, di autenticarsi durante l'installazione. HTTPS esegue inoltre la cifratura dei dati trasferiti dal server al client durante l'installazione.
HTTPS usa i certificati digitali per autenticare i sistemi che eseguono scambi di dati in rete. Un certificato digitale è un file che identifica un sistema, sia esso server o client, come sistema "fidato" durante la comunicazione online. È possibile richiedere i certificati digitali presso un'autorità esterna di certificazione oppure crearne di propri internamente.
Per far sì che il client ritenga fidato il server e accetti i dati da tale provenienza, occorre installare un certificato digitale sul server. In seguito si comunicherà al client di ritenere fidato tale certificato. Si può anche richiedere al client di autenticarsi presso i server fornendo un certificato digitale al client, quindi si istruirà il server di accettare il firmatario del certificato quando il client presenterà il certificato durante l'installazione.
Per usare i certificati digitali durante l'installazione, è necessario configurare il server Web per l'uso di HTTPS. Per informazioni sull'uso di HTTPS, consultare la documentazione del server Web.
Per informazioni sui requisiti per l'uso dei certificati digitali durante l'installazione boot WAN, vedere Requisiti dei certificati digitali. Per istruzioni su come usare i certificati digitali nella propria installazione boot WAN, vedere (Opzionale) Usare i certificati digitali per l'autenticazione di client e server.