第 10 章 準備使用 WAN Boot 進行安裝 (規劃)

本章說明如何準備用於 WAN Boot 安裝的網路。本章說明以下主題：

• WAN Boot 需求與準則

• WAN Boot 安全限制

• 收集 WAN Boot 安裝資訊

WAN Boot 需求與準則

本節說明執行 WAN Boot 安裝的系統需求。

表 10–1 WAN Boot 安裝的系統需求

系統與說明	需求
WAN Boot 伺服器 – WAN Boot 伺服器是一種 Web 伺服器，可提供 wanboot 程式、配置檔案與安全檔案以及 WAN Boot miniroot。	作業系統 – Solaris 9 12/03 作業系統，或相容版本 必須配置為 Web 伺服器 Web 伺服器軟體必須支援 HTTP 1.1 如果要使用數位憑證，則 Web 伺服器必須支援 HTTPS
安裝伺服器 – 安裝伺服器提供安裝用戶端所需的 Solaris Flash 歸檔與自訂 JumpStart 檔案。	可用磁碟空間 – 每個 Solaris Flash 歸檔所用的空間 媒體磁碟機 – CD-ROM 或 DVD-ROM 光碟機 作業系統 – Solaris 9 12/03 作業系統，或相容版本 如果安裝伺服器為 WAN Boot 伺服器以外的系統，則它必須滿足以下附加要求：  必須配置為 Web 伺服器 Web 伺服器軟體必須支援 HTTP 1.1 如果要使用數位憑證，則 Web 伺服器必須支援 HTTPS
用戶端系統 – 要透過 WAN 安裝的遠端系統	記憶體 - 至少為 512 MB RAM CPU – 至少為 UltraSPARC II 處理器 硬碟 – 硬碟空間至少為 2 GB OBP – WAN Boot 啟用式 PROM 如果用戶端沒有適當的 PROM，則它必須裝有 CD-ROM 光碟機。 若要判斷您的用戶端是否具有 WAN Boot 啟用式 PROM，請參閱檢查用戶端 OBP 是否支援 WAN Boot。
(可選擇) DHCP 伺服器 – 您可以使用 DHCP 伺服器來提供用戶端配置資訊。	如果您使用的是 SunOS DHCP 伺服器，則必須執行下列一項作業。  將伺服器升級為 EDHCP 伺服器。 重新命名 Sun 供應商選項，以使其符合選項最多具有八個字元的限定。如需有關 WAN 安裝的特定 Sun 供應商選項的更多資訊，請參閱(可選擇) 使用 DHCP 伺服器提供配置資訊。 如果 DHCP 伺服器並非位於用戶端，而是在其他子網路上，則必須配置一個 BOOTP 中繼代理程式。如需有關如何配置 BOOTP 中繼代理程式的更多資訊，請參閱「System Administration Guide: IP Services」中的第 14 章「Configuring the DHCP Service (Tasks)」。
(可選擇) 記錄伺服器 – 依預設，在 WAN 安裝期間，所有的啟動與安裝記錄訊息會顯示於用戶端主控台上。如果要在其他系統上檢視這些訊息，您可以指定一個系統做為記錄伺服器。	必須配置為 Web 伺服器。  備註 – 如果您在安裝期間使用 HTTPS，則記錄伺服器與 WAN Boot 伺服器必須為同一個系統。
(可選擇) 代理伺服器 – 您可以將 WAN Boot 功能配置為可以在下載安裝資料與檔案期間使用 HTTP 代理伺服器。	如果安裝使用 HTTPS，則必須將代理伺服器配置為通道 HTTPS。

Web 伺服器軟體需求與準則

在 WAN Boot 伺服器與安裝伺服器上使用的 Web 伺服器軟體必須滿足以下需求：

• 作業系統需求 – WAN Boot 提供共用閘道介面 (CGI) 程式 (wanboot-cgi)，用於將資料與檔案轉換為用戶端機器所期望的特定格式。若要利用這些程序檔執行 WAN Boot 安裝，Web 伺服器軟體必須執行 Solaris 9 12/03 作業系統或相容的版本。

• 檔案大小限定 – Web 伺服器軟體可能會限定透過 HTTP 傳輸的檔案大小。請查閱您的 Web 伺服器說明文件，以確定該軟體可以傳輸大小與 Solaris Flash 歸檔相同的檔案。

  ---

  備註 –

  flarcreate 指令在單個檔案上已無大小限制。您可以建立包含大小超過 4 GB 之單個檔案的 Solaris Flash 歸檔。

  如需更多資訊，請參閱「Solaris 10 8/07 安裝指南：Solaris Flash 歸檔 (建立與安裝)」中的「建立包含大型檔案的歸檔」。

  ---

• SSL 支援 – 如果您要在 WAN Boot 安裝中使用 HTTPS，則 Web 伺服器軟體必須支援 SSL 版本 3。

伺服器配置選項

您可以自訂 WAN Boot 所需的伺服器配置以滿足網路需要。您可以將所有的伺服器置於一個系統上，也可將它們置於多個系統上。

• 單一伺服器 – 如果要使 WAN Boot 資料與檔案集中放置在一個系統上，則可以將所有的伺服器置於同一部機器上。您只需要將一個系統配置為 Web 伺服器，便可以在一個系統上管理所有不同的伺服器。然而，單一伺服器可能無法支援同時進行大量 WAN Boot 安裝所需的通訊量。

• 多重伺服器 – 如果要在整個網路上分配安裝資料與檔案，可以將這些伺服器置於多部機器上。也可以設定一部 WAN Boot 中央伺服器，並將多部安裝伺服器配置為可在整個網路上放置 Solaris Flash 歸檔。如果將安裝伺服器與記錄伺服器放置在獨立的機器上，則必須將那些伺服器配置為 Web 伺服器。

在文件根目錄下儲存安裝與配置檔案

wanboot-cgi 程式會在 WAN Boot 安裝期間傳輸下列檔案。

• wanboot 程式

• WAN Boot miniroot

• 自訂 JumpStart 檔案

• Solaris Flash 歸檔

若要使 wanboot-cgi 程式能夠傳輸這些檔案，則必須將它們儲存在 Web 伺服器軟體可以存取的目錄中。將這些檔案放置在 Web 伺服器上的文件根目錄中，便可以存取它們。

文件根目錄或主要文件目錄，是 Web 伺服器上儲存用戶端可用檔案的目錄。您可以在 Web 伺服器軟體中命名與配置該目錄。請參閱您的 Web 伺服器說明文件，以取得有關在 Web 伺服器上設定文件根目錄的更多資訊。

您也許想要建立文件根目錄的各種子目錄以儲存各種安裝檔案與配置檔案。例如，您可能想要為要安裝的每個用戶端群組建立特定的子目錄。計劃要在網路上安裝幾個不同發行版本的 作業系統時，可能會需要為每個發行版本建立子目錄。

圖 10–1 會顯示文件根目錄的基本範例結構。在此範例中，WAN Boot 伺服器與安裝伺服器位於同一部機器上。該伺服器正在執行 Apache Web 伺服器軟體。

圖 10–1 文件根目錄的範例結構

該文件目錄範例使用下列結構。

• /opt/apache/htdocs 目錄為文件的根目錄。

• WAN Boot miniroot (miniroot) 目錄中包含了 WAN Boot miniroot。

• wanboot 目錄包含了 wanboot 程式。

• Solaris Flash (flash) 目錄中包含安裝用戶端所需的自訂 JumpStart 檔案，以及子目錄 archives。archives 目錄包含了目前的 Solaris 發行版本 Flash 歸檔。

---

備註 –

如果 WAN Boot 伺服器與安裝伺服器為不同的系統，則也許想要將 flash 目錄儲存在安裝伺服器上。確保 WAN Boot 伺服器可以存取這些檔案與目錄。

---

如需有關如何建立文件根目錄的資訊，請參閱您的 Web 伺服器說明文件。如需有關如何建立和儲存這些安裝檔案的詳細指示，請參閱建立自訂 JumpStart 安裝檔案。

在 /etc/netboot 階層中儲存配置與安全資訊

/etc/netboot 目錄中包含 WAN Boot 安裝所需的配置資訊、私密金鑰、數位憑證以及憑證管理中心。本節說明可以建立於 /etc/netboot 目錄中以自訂 WAN Boot 安裝的檔案與目錄。

自訂 WAN Boot 安裝範圍

在安裝期間，wanboot-cgi 程式會在 WAN Boot 伺服器上的 /etc/netboot 目錄中搜尋用戶端資訊。wanboot-cgi 程式會將此資訊轉換至 WAN Boot 檔案系統，然後將 WAN Boot 檔案系統傳輸至用戶端。您可以在 /etc/netboot 目錄中建立子目錄以自訂 WAN 安裝的範圍。使用下列目錄結構可以定義如何在要安裝的用戶端之間共用配置資訊。

• 全域配置 – 如果要使網路上所有的用戶端共用配置資訊，請將要共用的檔案儲存於 /etc/netboot 目錄中。

• 網路特定的配置 – 如果僅允許特定子網路上的機器共用配置資訊，請將您想共用的配置檔案儲存在 /etc/netboot 的某個子目錄下。使子目錄遵循此命名慣例。

  /etc/netboot/net-ip

  在此範例中，net-ip 為用戶端子網路的 IP 位址。例如，若要讓子網路上所有 IP 位址為 192.168.255.0 的系統共用配置檔案，則需要建立一個 /etc/netboot/192.168.255.0 目錄。然後，將配置檔案儲存在此目錄中。

• 用戶端特定的配置 – 如果僅允許一個特定用戶端使用啟動檔案系統，請將啟動檔案系統檔案儲存於子目錄 /etc/netboot 中。使子目錄遵循此命名慣例。

  /etc/netboot/net-ip/client-ID

  在此範例中，net-ip 為子網路的 IP 位址。client-ID 可以是 DHCP 伺服器所指定的用戶端，也可以是使用者指定的用戶端 ID。例如，如果要讓子網路 192.168.255.0 上用戶端 ID 為 010003BA152A42 的系統使用特定的配置檔案，請建立一個 /etc/netboot/192.168.255.0/010003BA152A42 目錄。然後，將適當的檔案儲存於該目錄中。

在 /etc/netboot 目錄中指定安全與配置資訊

您可以透過建立下列檔案並將它們儲存在 /etc/netboot 目錄中，來指定安全與配置資訊。

• wanboot.conf – 此檔案會指定 WAN Boot 安裝的用戶端配置資訊。

• 系統配置檔案 (system.conf) – 此系統配置檔會指定用戶端 sysidcfg 檔案及自訂 JumpStart 檔案的位置。

• keystore – 此檔案包含用戶端的 HMAC SHA1 雜湊金鑰、3DES 或 AES 加密金鑰以及 SSL 私密金鑰。

• truststore – 此檔案包含用戶端可信任的憑證簽發機構所簽發的數位憑證。這些可信任憑證會指示用戶端在安裝期間信任伺服器。

• certstore – 該檔案包含用戶端的數位憑證。

  ---

  備註 –

  certstore 檔案必須位於用戶端 ID 目錄中。如需有關 /etc/netboot 目錄中子目錄的更多資訊，請參閱自訂 WAN Boot 安裝範圍。

  ---

如需有關如何建立與儲存這些檔案的詳細說明，請參閱下列程序：

• 建立系統配置檔

• 建立 wanboot.conf 檔案

• (可選擇) 建立雜湊金鑰與加密金鑰

• (可選擇) 在伺服器和用戶端驗證時使用數位憑證

共用 /etc/netboot 目錄中的安全與配置資訊

在網路上安裝用戶端之後，您也許要在數個不同的用戶端之間、或整個子網路上共用安全與配置檔案。您可以透過將配置資訊分配於 /etc/netboot/net-ip/client-ID、/etc/netboot/net-ip 以及 /etc/netboot 目錄來共用這些檔案。wanboot-cgi 程式會在這些目錄中搜尋最適合用戶端的配置資訊，並在安裝時使用這些資訊。

此 wanboot-cgi 程式使用下列順序來搜尋用戶端資訊。

1. /etc/netboot/net-ip/client-ID – wanboot-cgi 程式會首先檢查特定於用戶端機器的配置資訊。如果 /etc/netboot/net-ip/client-ID 目錄包含所有用戶端配置資訊，則 wanboot-cgi 程式不會在 /etc/netboot 目錄中的其他位置檢查配置資訊。

2. /etc/netboot/net-ip – 如果並非所有的必備資訊都位於 /etc/netboot/net-ip/client-ID 目錄中，則 wanboot-cgi 程式會在 /etc/netboot/net-ip 目錄中檢查子網路配置資訊。

3. /etc/netboot – 如果其餘的資訊沒有位於 /etc/netboot/net-ip 目錄中，則 wanboot-cgi 程式會在 /etc/netboot 目錄中檢查全域配置資訊。

圖 10–2 展示如何設置 /etc/netboot 目錄來自訂 WAN Boot 安裝。

圖 10–2 /etc/netboot 目錄範例

圖 10–2 所顯示的 /etc/netboot 目錄配置，可讓您執行下列 WAN Boot 安裝。

• 當您安裝用戶端 010003BA152A42 時，wanboot-cgi 程式會使用 /etc/netboot/192.168.255.0/010003BA152A42 目錄中的下列檔案。

  • system.conf

  • keystore

  • truststore

  • certstore

  然後，wanboot-cgi 程式會使用 /etc/netboot/192.168.255.0 目錄中的 wanboot.conf 檔案。

• 如果您安裝了一個位於 192.168.255.0 子網路上的用戶端，則 wanboot-cgi 程式會使用 /etc/netboot/192.168.255.0 目錄中的 wanboot.conf、keystore 以及 truststore 檔案。然後，wanboot-cgi 程式會使用 /etc/netboot 目錄中的 system.conf 檔案。

• 如果您安裝了一部並非位於 192.168.255.0 子網路上的用戶端機器，則 wanboot-cgi 程式會使用 /etc/netboot 目錄中的下列檔案。

  • wanboot.conf

  • system.conf

  • keystore

  • truststore

儲存 wanboot-cgi 程式

wanboot-cgi 程式會將資料與檔案從 WAN Boot 伺服器傳輸至用戶端。必須確保該程式位於 WAN Boot 伺服器上可供用戶端存取的目錄中。將該程式儲存在 WAN Boot 伺服器上的 cgi-bin 目錄中，用戶端便可以對它進行存取。您可能需要將 Web 伺服器軟體配置為可以將 wanboot-cgi 程式做為 CGI 程式使用。請參閱您的 Web 伺服器說明文件，以取得有關 CGI 程式需求的資訊。

數位憑證需求

如果要增加 WAN Boot 安裝的安全性，您可以使用數位憑證來啟用伺服器與用戶端驗證。WAN Boot 可以在線上交易期間使用數位憑證建立伺服器或用戶端的身份識別。數位憑證是由憑證管理中心 (CA) 簽發。這些憑證包含序號、有效日期、憑證持有者的公開金鑰副本以及憑證管理中心的數位簽名。

如果需要在安裝期間進行伺服器驗證，或同時進行伺服器與用戶端驗證，則必須在伺服器上安裝數位憑證。使用數位憑證時，請遵循下列準則：

• 如果要使用數位憑證，則該數位憑證必須被格式化為公開金鑰加密標準 #12 (PKCS#12) 檔案的一部分。

• 如果建立自己的憑證，則必須將該憑證建立為 PKCS#12 檔案。

• 如果從協力廠商憑證管理中心取得憑證，則要求憑證為 PKCS#12 格式。

如需有關如何在 WAN Boot 安裝期間使用 PKCS#12 憑證的詳細指示，請參閱(可選擇) 在伺服器和用戶端驗證時使用數位憑證。

WAN Boot 安全限制

由於 WAN Boot 提供數種不同的安全功能，因此 WAN Boot 不會出現下列潛在的不安全問題：

• 拒絕服務 (DoS) 的干預 – 拒絕服務的干預可以採取多種形式，讓使用者無法存取特定的服務。DoS 干預可能導致網路充斥大量的資料或過度使用有限的資源。其他 DoS 干預可操控系統之間正在傳輸的資料。WAN Boot 安裝方法不會使伺服器或用戶端免於 DoS 干預。

• 伺服器上毀壞的二進位碼 – WAN Boot 安裝方法不會在執行安裝之前檢查 WAN Boot miniroot 或 Solaris Flash 歸檔的完整性。在執行安裝之前，請根據 http://sunsolve.sun.com 中的 Solaris 指紋資料庫檢查 Solaris 二進位碼的完整性。

• 加密金鑰與雜湊金鑰的私密性 – 如果在 WAN Boot 中使用加密金鑰或雜湊金鑰，則必須在安裝期間於指令行上輸入金鑰值。請針對網路採取必要的預防措施，以確保這些金鑰值的私密性。

• 弱化網路命名服務 – 如果要在網路上使用命名服務，請在執行 WAN Boot 安裝之前檢查名稱伺服器的完整性。

收集 WAN Boot 安裝資訊

您需要收集各種資訊來配置 WAN Boot 安裝的網路。在準備透過 WAN 安裝時，可能想要寫下此資訊。

使用以下工作表記錄網路的 WAN Boot 安裝資訊：

• 表 10–2

• 表 10–3

表 10–2 收集伺服器資訊的工作表

所需資訊	註解
安裝伺服器資訊  安裝伺服器上 WAN Boot miniroot 的路徑 安裝伺服器上自訂 JumpStart 檔案的路徑
WAN Boot 伺服器資訊  WAN Boot 伺服器上 wanboot 程式的路徑 WAN Boot 伺服器上 wanboot-cgi 程式的 URL WAN Boot 伺服器上 /etc/netboot 階層中的用戶端子目錄路徑 (可選擇) PKCS#12 憑證檔案的名稱 (可選擇) WAN 安裝所需的 WAN Boot 伺服器以外所有機器的主機名稱 (可選擇) 網路代理伺服器的 IP 位址與通訊埠編號
可選擇的伺服器資訊  記錄伺服器上 bootlog-cgi 程序檔的 URL 網路代理伺服器的 IP 位址與 TCP 通訊埠編號

表 10–3 用於收集用戶端資訊的工作表

資訊	註解
用戶端子網路的 IP 位址
用戶端路由器的 IP 位址
用戶端的 IP 位址
用戶端的子網路遮罩
用戶端主機名稱
用戶端的 MAC 位址