第 9 章 WAN ブート (概要)

この章では、WAN ブートインストールの概要について説明します。この章の内容は次のとおりです。

• 「WAN ブートとは」

• 「どのような場合に WAN ブートを使用するか」

• 「WAN ブートのしくみ (概要)」

• 「WAN ブートでサポートされているセキュリティー構成 (概要)」

WAN ブートとは

WAN ブートインストールでは、HTTP を使って広域ネットワーク (WAN) 経由でソフトウェアのブートとインストールを行うことができます。WAN ブートを使用すると、大規模な公開ネットワークを介して Solaris OS を SPARC システムにインストールできますが、このようなネットワークは基盤の信頼性が低い場合があります。WAN ブートをセキュリティー機能とともに使用することによって、データの機密性とインストールイメージの完全性を保護できます。

WAN ブートインストールでは、暗号化した Solaris フラッシュアーカイブを公開ネットワークを介してリモートの SPARC クライアントに転送できます。次に、WAN ブートプログラムは、カスタム JumpStart インストールを実行して、クライアントシステムをインストールします。インストールの完全性を保護するために、非公開鍵を使ってデータの認証および暗号化を行うことができます。また、デジタル証明書を使用するようにシステムを構成すると、HTTPS 接続を介してインストールデータやファイルを転送できます。

WAN ブートインストールを実行するには、HTTP または HTTPS 接続を介して Web サーバーから次の情報をダウンロードして、SPARC ベースのシステムをインストールします。

• wanboot プログラム – wanboot プログラムは、WAN ブートミニルート、クライアント構成ファイル、およびインストールファイルを読み込む、二次レベルのブートプログラムです。wanboot プログラムは、二次レベルのブートプログラムである ufsboot や inetboot と同様の処理を実行します。

• WAN ブートファイルシステム – WAN ブートは、クライアントシステムをインストールするために、いくつものファイルを使ってクライアントの構成やデータの取得を行います。これらのファイルは、Web サーバーの /etc/netboot ディレクトリに置かれています。wanboot-cgi プログラムは、これらのファイルを 1 つのファイルシステムとしてクライアントに転送します。このファイルシステムは WAN ブートファイルシステムと呼ばれます。

• WAN ブートミニルート – WAN ブートミニルートは、WAN ブートインストールを実行するために Solaris ミニルートに変更を加えたものです。Solaris ミニルートと同様に、WAN ブートミニルートには、カーネルのほか、Solaris 環境のインストールに最低限必要なソフトウェアが格納されています。WAN ブートミニルートには、Solaris ミニルートにあるソフトウェアのサブセットが格納されます。

• カスタム JumpStart 構成ファイル – WAN ブートは、システムをインストールするために、sysidcfg、rules.ok、およびプロファイルファイルをクライアントに転送します。次に、WAN ブートはこれらのファイルを使って、クライアントシステムに対してカスタム JumpStart インストールを実行します。

• Solaris フラッシュアーカイブ – Solaris フラッシュアーカイブは、マスターシステムからコピーされたファイルの集合体です。このアーカイブは、クライアントシステムをインストールするために使用できます。WAN ブートは、カスタム JumpStart インストールを使って、Solaris フラッシュアーカイブをクライアントシステムにインストールします。アーカイブをクライアントシステムにインストールすると、クライアントシステムはマスターシステムとまったく同じ構成になります。

  ---

  注 –

  flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていても Solaris フラッシュ アーカイブを作成できます。

  詳細については、『Solaris 10 8/07 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。

  ---

次に、カスタム JumpStart インストールを使って、アーカイブをクライアントにインストールします。

上記の情報を転送するとき、鍵とデジタル証明書を使って保護することもできます。

WAN ブートインストールで発生するイベントの順序の詳細については、「WAN ブートのしくみ (概要)」を参照してください。

どのような場合に WAN ブートを使用するか

WAN ブートインストールを使用すると、地理的に離れた場所にある SPARC ベースのシステムに対してインストールを実行できます。WAN ブートを使用すると、公開ネットワーク経由でのみアクセス可能なリモートのサーバーやクライアントに対しても、インストールを実行できます。

ローカルエリアネットワーク (LAN) 内にあるシステムに対してインストールを行いたい場合、WAN ブートインストールを使用すると、必要以上の構成や管理が必要になることがあります。LAN 経由でシステムをインストールする方法については、第 4 章「ネットワークからのインストール (概要)」を参照してください。

WAN ブートのしくみ (概要)

WAN ブートは、サーバー、構成ファイル、CGI (Common Gateway Interface) プログラム、およびインストールファイルを組み合わせて使用することによって、SPARC ベースのリモートクライアントに対してインストールを行います。ここでは、WAN ブートインストールで発生するイベントの通常の順序について説明します。

WAN ブートインストールでのイベントの順序

図 9–1 は、WAN ブートインストールで発生するイベントの基本的な順序を示しています。この図で、SPARC ベースのクライアントは、構成データとインストールファイルを、Web サーバーとインストールサーバーから WAN 経由で取得します。

図 9–1 WAN ブートインストールでのイベントの順序

1. 次のいずれかの方法で、クライアントをブートします。

   • OpenBoot PROM (OBP) のネットワークインタフェース変数を設定することによって、ネットワークからブートします。

   • DHCP オプションを使ってネットワークからブートします。

   • ローカル CD-ROM からブートします。

2. クライアントの OBP は、次のどちらかから構成情報を取得します。

   • ユーザーがコマンド行に入力したブート引数の値から

   • ネットワークで DHCP が使用されている場合は、DHCP サーバーから

3. クライアントの OBP は、WAN ブートの二次レベルのブートプログラム (wanboot) を要求します。

   クライアントの OBP は、wanboot プログラムを次のどちらかからダウンロードします。

   • WAN ブートサーバーと呼ばれる特別な Web サーバーから、ハイパーテキストトランスファープロトコル (HTTP) を使って

   • ローカル CD-ROM から (上記の図には示されていない)

4. wanboot プログラムは、WAN ブートサーバーに対し、クライアント構成情報を要求します。

5. wanboot プログラムは、wanboot-cgi プログラムによって WAN ブートサーバーから転送される構成ファイルをダウンロードします。構成ファイルは、WAN ブートファイルシステムとしてクライアントに転送されます。

6. wanboot プログラムは、WAN ブートサーバーに対し、WAN ブートミニルートのダウンロードを要求します。

7. wanboot プログラムは、HTTP または HTTPS を使って、WAN ブートサーバーから WAN ブートミニルートをダウンロードします。

8. wanboot プログラムは、WAN ブートミニルートから UNIX カーネルを読み込み、実行します。

9. UNIX カーネルは、Solaris インストールプログラムで使用できるように、WAN ブートファイルシステムを見つけてマウントします。

10. インストールプログラムは、インストールサーバーに対し、Solaris フラッシュアーカイブとカスタム JumpStart ファイルのダウンロードを要求します。

    インストールプログラムは、HTTP または HTTPS 接続を介して、アーカイブとカスタム JumpStart ファイルをダウンロードします。

11. インストールプログラムは、カスタム JumpStart インストールを実行して、Solaris フラッシュアーカイブをクライアントにインストールします。

WAN ブートインストール時のデータの保護

WAN ブートインストールでは、ハッシュキー、暗号化鍵、およびデジタル証明書を使って、インストール中にシステムデータを保護できます。ここでは、WAN ブートインストールでサポートされている各種のデータ保護方法について簡単に説明します。

ハッシュキーによるデータ完全性のチェック

WAN ブートサーバーからクライアントに転送するデータを保護するために、HMAC (Hashed Message Authentication Code) キーを生成できます。このハッシュキーを、WAN ブートサーバーとクライアントの両方にインストールします。WAN ブートサーバーはこのキーを使って、クライアントに転送するデータに署名します。クライアントはこのキーを使って、WAN ブートサーバーから転送されるデータの完全性を確認します。クライアントにハッシュキーをインストールすると、クライアントは以降の WAN ブートインストールにこのキーを使用します。

ハッシュキーの使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

暗号化鍵によるデータの暗号化

WAN ブートインストールでは、WAN ブートサーバーからクライアントに転送するデータを暗号化できます。WAN ブートのユーティリティーを使って、3DES (Triple Data Encryption Standard) または AES (Advanced Encryption Standard) の暗号化鍵を作成できます。この鍵を、WAN ブートサーバーとクライアントの両方に渡します。WAN ブートサーバーはこの暗号化鍵を使って、クライアントに転送するデータを暗号化します。クライアントはこの鍵を使って、インストール時に暗号化されて転送された構成ファイルとセキュリティーファイルを、復号化できます。

クライアントに暗号化鍵をインストールすると、クライアントは以降の WAN ブートインストールにこの鍵を使用します。

サイトで暗号化鍵の使用が許可されていない場合もあります。サイトで暗号化を使用できるかどうかについては、サイトのセキュリティー管理者に問い合わせてください。サイトで暗号化を使用できる場合は、3DES 暗号化鍵または AES 暗号化鍵のどちらを使用すべきかを、セキュリティー管理者に尋ねてください。

暗号化鍵の使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。

HTTPS によるデータの保護

WAN ブートでは、WAN ブートサーバーとクライアントの間のデータ転送に HTTPS (Secure Sockets Layer を介した HTTP) を使用できます。HTTPS を使用すると、サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に身分証明を行うよう要求できます。また、HTTPS では、インストール時にサーバーからクライアントに転送されるデータが暗号化されます。

HTTPS では、ネットワーク上でデータを交換するシステムに対して、デジタル証明書による認証が行われます。デジタル証明書は、オンライン通信を行うときにシステム (サーバーまたはクライアント) が信頼できるシステムであることを示すためのファイルです。外部の認証局に依頼してデジタル証明書を取得するか、独自の証明書と認証局を作成します。

クライアントがサーバーを信頼してサーバーからのデータを受け入れるようにするには、サーバーにデジタル証明書をインストールする必要があります。次に、この証明書を信頼するようにクライアントに指示します。サーバーに対して身分証明を行うよう、クライアントに要求することもできます。そのためには、クライアントにデジタル証明書を用意します。次に、インストール時にクライアントが証明書を提出したらその証明書の署名者を受け入れるように、サーバーに指示します。

インストール時にデジタル証明書を使用するには、HTTPS を使用するように Web サーバーを構成する必要があります。HTTPS の使用方法については、Web サーバーのマニュアルを参照してください。

WAN ブートインストールでデジタル証明書を使用するための要件については、「デジタル証明書の要件」を参照してください。WAN ブートインストールでデジタル証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。

WAN ブートでサポートされているセキュリティー構成 (概要)

WAN ブートでは、さまざまなレベルのセキュリティーがサポートされています。WAN ブートでサポートされているセキュリティー機能を組み合わせて使用することで、ネットワークのニーズに対応できます。より安全な構成にするほど、多くの管理が必要になりますが、システムデータをより広範に保護できます。高いセキュリティーを必要とするシステム、または公開ネットワーク経由でインストールを行うシステムには、「セキュリティー保護された WAN ブートインストール構成」で説明する構成を選択できます。それほどセキュリティーを必要としないシステム、または半私設のネットワーク上にあるシステムには、「セキュリティー保護されていない WAN ブートインストール構成」で説明する構成を検討してください。

ここでは、WAN ブートインストールのセキュリティーレベルを設定するための各種構成について簡単に説明します。また、これらの構成に必要なセキュリティーメカニズムについても説明します。

セキュリティー保護された WAN ブートインストール構成

この構成は、サーバーとクライアントの間で交換されるデータの完全性を保護し、内容の機密性を保つために役立ちます。この構成は、HTTPS 接続を使用するとともに、クライアント構成ファイルを暗号化するために 3DES または AES アルゴリズムを使用します。また、この構成では、サーバーはインストール時にクライアントに対して身分証明を行うよう要求されます。セキュリティー保護された WAN ブートインストールを行うには、次のセキュリティー機能が必要です。

• WAN ブートサーバーとインストールサーバーで、HTTPS が有効になっていること

• WAN ブートサーバーとクライアントに、HMAC SHA1 ハッシュキーが、インストールされていること

• WAN ブートサーバーとクライアントに、3DES または AES 暗号化鍵がインストールされていること

• WAN ブートサーバーに関する認証局のデジタル証明書

インストール時にクライアントの認証も行う場合は、次のセキュリティー機能を使用する必要があります。

• WAN ブートサーバーの非公開鍵

• クライアントのデジタル証明書

この構成を使ってインストールを行うために必要な作業の一覧については、表 11–1 を参照してください。

セキュリティー保護されていない WAN ブートインストール構成

この構成では、管理に必要な労力は最小限に抑えられますが、Web サーバーからクライアントへのデータ転送のセキュリティーは最も低くなります。ハッシュキー、暗号化鍵、およびデジタル証明書を作成する必要はありません。HTTPS を使用するように Web サーバーを構成する必要もありません。ただし、この構成によるインストールでは、インストールデータとファイルは HTTP 接続を介して転送されるので、ネットワーク上での妨害に対して無防備になります。

転送されたデータの完全性をクライアントでチェックできるようにするには、この構成とともに HMAC SHA1 ハッシュキーを使用します。ただし、Solaris フラッシュアーカイブはハッシュキーで保護されません。インストール時にサーバーとクライアントの間で転送されるアーカイブは、セキュリティー保護されません。

この構成を使ってインストールを行うために必要な作業の一覧については、表 11–2 を参照してください。