このパートでは、WAN ブートインストールを使用して広域ネットワーク (WAN) 経由でシステムのインストールを行う方法について説明します。
この章では、WAN ブートインストールの概要について説明します。この章の内容は次のとおりです。
WAN ブートインストールでは、HTTP を使って広域ネットワーク (WAN) 経由でソフトウェアのブートとインストールを行うことができます。WAN ブートを使用すると、大規模な公開ネットワークを介して Solaris OS を SPARC システムにインストールできますが、このようなネットワークは基盤の信頼性が低い場合があります。WAN ブートをセキュリティー機能とともに使用することによって、データの機密性とインストールイメージの完全性を保護できます。
WAN ブートインストールでは、暗号化した Solaris フラッシュアーカイブを公開ネットワークを介してリモートの SPARC クライアントに転送できます。次に、WAN ブートプログラムは、カスタム JumpStart インストールを実行して、クライアントシステムをインストールします。インストールの完全性を保護するために、非公開鍵を使ってデータの認証および暗号化を行うことができます。また、デジタル証明書を使用するようにシステムを構成すると、HTTPS 接続を介してインストールデータやファイルを転送できます。
WAN ブートインストールを実行するには、HTTP または HTTPS 接続を介して Web サーバーから次の情報をダウンロードして、SPARC ベースのシステムをインストールします。
wanboot プログラム – wanboot プログラムは、WAN ブートミニルート、クライアント構成ファイル、およびインストールファイルを読み込む、二次レベルのブートプログラムです。wanboot プログラムは、二次レベルのブートプログラムである ufsboot や inetboot と同様の処理を実行します。
WAN ブートファイルシステム – WAN ブートは、クライアントシステムをインストールするために、いくつものファイルを使ってクライアントの構成やデータの取得を行います。これらのファイルは、Web サーバーの /etc/netboot ディレクトリに置かれています。wanboot-cgi プログラムは、これらのファイルを 1 つのファイルシステムとしてクライアントに転送します。このファイルシステムは WAN ブートファイルシステムと呼ばれます。
WAN ブートミニルート – WAN ブートミニルートは、WAN ブートインストールを実行するために Solaris ミニルートに変更を加えたものです。Solaris ミニルートと同様に、WAN ブートミニルートには、カーネルのほか、Solaris 環境のインストールに最低限必要なソフトウェアが格納されています。WAN ブートミニルートには、Solaris ミニルートにあるソフトウェアのサブセットが格納されます。
カスタム JumpStart 構成ファイル – WAN ブートは、システムをインストールするために、sysidcfg、rules.ok、およびプロファイルファイルをクライアントに転送します。次に、WAN ブートはこれらのファイルを使って、クライアントシステムに対してカスタム JumpStart インストールを実行します。
Solaris フラッシュアーカイブ – Solaris フラッシュアーカイブは、マスターシステムからコピーされたファイルの集合体です。このアーカイブは、クライアントシステムをインストールするために使用できます。WAN ブートは、カスタム JumpStart インストールを使って、Solaris フラッシュアーカイブをクライアントシステムにインストールします。アーカイブをクライアントシステムにインストールすると、クライアントシステムはマスターシステムとまったく同じ構成になります。
flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていても Solaris フラッシュ アーカイブを作成できます。
詳細については、『Solaris 10 5/08 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。
次に、カスタム JumpStart インストールを使って、アーカイブをクライアントにインストールします。
上記の情報を転送するとき、鍵とデジタル証明書を使って保護することもできます。
WAN ブートインストールで発生するイベントの順序の詳細については、「WAN ブートのしくみ (概要)」を参照してください。
WAN ブートインストールを使用すると、地理的に離れた場所にある SPARC ベースのシステムに対してインストールを実行できます。WAN ブートを使用すると、公開ネットワーク経由でのみアクセス可能なリモートのサーバーやクライアントに対しても、インストールを実行できます。
ローカルエリアネットワーク (LAN) 内にあるシステムに対してインストールを行いたい場合、WAN ブートインストールを使用すると、必要以上の構成や管理が必要になることがあります。LAN 経由でシステムをインストールする方法については、第 4 章「ネットワークからのインストール (概要)」を参照してください。
WAN ブートは、サーバー、構成ファイル、CGI (Common Gateway Interface) プログラム、およびインストールファイルを組み合わせて使用することによって、SPARC ベースのリモートクライアントに対してインストールを行います。ここでは、WAN ブートインストールで発生するイベントの通常の順序について説明します。
図 9–1 は、WAN ブートインストールで発生するイベントの基本的な順序を示しています。この図で、SPARC ベースのクライアントは、構成データとインストールファイルを、Web サーバーとインストールサーバーから WAN 経由で取得します。
次のいずれかの方法で、クライアントをブートします。
OpenBoot PROM (OBP) のネットワークインタフェース変数を設定することによって、ネットワークからブートします。
DHCP オプションを使ってネットワークからブートします。
ローカル CD-ROM からブートします。
クライアントの OBP は、次のどちらかから構成情報を取得します。
ユーザーがコマンド行に入力したブート引数の値から
ネットワークで DHCP が使用されている場合は、DHCP サーバーから
クライアントの OBP は、WAN ブートの二次レベルのブートプログラム (wanboot) を要求します。
クライアントの OBP は、wanboot プログラムを次のどちらかからダウンロードします。
WAN ブートサーバーと呼ばれる特別な Web サーバーから、ハイパーテキストトランスファープロトコル (HTTP) を使って
ローカル CD-ROM から (上記の図には示されていない)
wanboot プログラムは、WAN ブートサーバーに対し、クライアント構成情報を要求します。
wanboot プログラムは、wanboot-cgi プログラムによって WAN ブートサーバーから転送される構成ファイルをダウンロードします。構成ファイルは、WAN ブートファイルシステムとしてクライアントに転送されます。
wanboot プログラムは、WAN ブートサーバーに対し、WAN ブートミニルートのダウンロードを要求します。
wanboot プログラムは、HTTP または HTTPS を使って、WAN ブートサーバーから WAN ブートミニルートをダウンロードします。
wanboot プログラムは、WAN ブートミニルートから UNIX カーネルを読み込み、実行します。
UNIX カーネルは、Solaris インストールプログラムで使用できるように、WAN ブートファイルシステムを見つけてマウントします。
インストールプログラムは、インストールサーバーに対し、Solaris フラッシュアーカイブとカスタム JumpStart ファイルのダウンロードを要求します。
インストールプログラムは、HTTP または HTTPS 接続を介して、アーカイブとカスタム JumpStart ファイルをダウンロードします。
インストールプログラムは、カスタム JumpStart インストールを実行して、Solaris フラッシュアーカイブをクライアントにインストールします。
WAN ブートインストールでは、ハッシュキー、暗号化鍵、およびデジタル証明書を使って、インストール中にシステムデータを保護できます。ここでは、WAN ブートインストールでサポートされている各種のデータ保護方法について簡単に説明します。
WAN ブートサーバーからクライアントに転送するデータを保護するために、HMAC (Hashed Message Authentication Code) キーを生成できます。このハッシュキーを、WAN ブートサーバーとクライアントの両方にインストールします。WAN ブートサーバーはこのキーを使って、クライアントに転送するデータに署名します。クライアントはこのキーを使って、WAN ブートサーバーから転送されるデータの完全性を確認します。クライアントにハッシュキーをインストールすると、クライアントは以降の WAN ブートインストールにこのキーを使用します。
ハッシュキーの使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。
WAN ブートインストールでは、WAN ブートサーバーからクライアントに転送するデータを暗号化できます。WAN ブートのユーティリティーを使って、3DES (Triple Data Encryption Standard) または AES (Advanced Encryption Standard) の暗号化鍵を作成できます。この鍵を、WAN ブートサーバーとクライアントの両方に渡します。WAN ブートサーバーはこの暗号化鍵を使って、クライアントに転送するデータを暗号化します。クライアントはこの鍵を使って、インストール時に暗号化されて転送された構成ファイルとセキュリティーファイルを、復号化できます。
クライアントに暗号化鍵をインストールすると、クライアントは以降の WAN ブートインストールにこの鍵を使用します。
サイトで暗号化鍵の使用が許可されていない場合もあります。サイトで暗号化を使用できるかどうかについては、サイトのセキュリティー管理者に問い合わせてください。サイトで暗号化を使用できる場合は、3DES 暗号化鍵または AES 暗号化鍵のどちらを使用すべきかを、セキュリティー管理者に尋ねてください。
暗号化鍵の使用方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。
WAN ブートでは、WAN ブートサーバーとクライアントの間のデータ転送に HTTPS (Secure Sockets Layer を介した HTTP) を使用できます。HTTPS を使用すると、サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に身分証明を行うよう要求できます。また、HTTPS では、インストール時にサーバーからクライアントに転送されるデータが暗号化されます。
HTTPS では、ネットワーク上でデータを交換するシステムに対して、デジタル証明書による認証が行われます。デジタル証明書は、オンライン通信を行うときにシステム (サーバーまたはクライアント) が信頼できるシステムであることを示すためのファイルです。外部の認証局に依頼してデジタル証明書を取得するか、独自の証明書と認証局を作成します。
クライアントがサーバーを信頼してサーバーからのデータを受け入れるようにするには、サーバーにデジタル証明書をインストールする必要があります。次に、この証明書を信頼するようにクライアントに指示します。サーバーに対して身分証明を行うよう、クライアントに要求することもできます。そのためには、クライアントにデジタル証明書を用意します。次に、インストール時にクライアントが証明書を提出したらその証明書の署名者を受け入れるように、サーバーに指示します。
インストール時にデジタル証明書を使用するには、HTTPS を使用するように Web サーバーを構成する必要があります。HTTPS の使用方法については、Web サーバーのマニュアルを参照してください。
WAN ブートインストールでデジタル証明書を使用するための要件については、「デジタル証明書の要件」を参照してください。WAN ブートインストールでデジタル証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
WAN ブートでは、さまざまなレベルのセキュリティーがサポートされています。WAN ブートでサポートされているセキュリティー機能を組み合わせて使用することで、ネットワークのニーズに対応できます。より安全な構成にするほど、多くの管理が必要になりますが、システムデータをより広範に保護できます。高いセキュリティーを必要とするシステム、または公開ネットワーク経由でインストールを行うシステムには、「セキュリティー保護された WAN ブートインストール構成」で説明する構成を選択できます。それほどセキュリティーを必要としないシステム、または半私設のネットワーク上にあるシステムには、「セキュリティー保護されていない WAN ブートインストール構成」で説明する構成を検討してください。
ここでは、WAN ブートインストールのセキュリティーレベルを設定するための各種構成について簡単に説明します。また、これらの構成に必要なセキュリティーメカニズムについても説明します。
この構成は、サーバーとクライアントの間で交換されるデータの完全性を保護し、内容の機密性を保つために役立ちます。この構成は、HTTPS 接続を使用するとともに、クライアント構成ファイルを暗号化するために 3DES または AES アルゴリズムを使用します。また、この構成では、サーバーはインストール時にクライアントに対して身分証明を行うよう要求されます。セキュリティー保護された WAN ブートインストールを行うには、次のセキュリティー機能が必要です。
WAN ブートサーバーとインストールサーバーで、HTTPS が有効になっていること
WAN ブートサーバーとクライアントに、HMAC SHA1 ハッシュキーが、インストールされていること
WAN ブートサーバーとクライアントに、3DES または AES 暗号化鍵がインストールされていること
WAN ブートサーバーに関する認証局のデジタル証明書
インストール時にクライアントの認証も行う場合は、次のセキュリティー機能を使用する必要があります。
WAN ブートサーバーの非公開鍵
クライアントのデジタル証明書
この構成を使ってインストールを行うために必要な作業の一覧については、表 11–1 を参照してください。
この構成では、管理に必要な労力は最小限に抑えられますが、Web サーバーからクライアントへのデータ転送のセキュリティーは最も低くなります。ハッシュキー、暗号化鍵、およびデジタル証明書を作成する必要はありません。HTTPS を使用するように Web サーバーを構成する必要もありません。ただし、この構成によるインストールでは、インストールデータとファイルは HTTP 接続を介して転送されるので、ネットワーク上での妨害に対して無防備になります。
転送されたデータの完全性をクライアントでチェックできるようにするには、この構成とともに HMAC SHA1 ハッシュキーを使用します。ただし、Solaris フラッシュアーカイブはハッシュキーで保護されません。インストール時にサーバーとクライアントの間で転送されるアーカイブは、セキュリティー保護されません。
この構成を使ってインストールを行うために必要な作業の一覧については、表 11–2 を参照してください。
この章では、WAN ブートインストールを行うためにネットワークを準備する方法について説明します。この章の内容は次のとおりです。
ここでは、WAN ブートインストールを実行するためのシステム要件について説明します。
表 10–1 WAN ブートインストールを行うためのシステム要件
システムと説明 |
要件 |
---|---|
WAN ブートサーバー – wanboot プログラム、構成ファイルとセキュリティーファイル、および WAN ブートミニルートを提供する Web サーバーです。 |
|
インストールサーバー – クライアントのインストールに必要な Solaris フラッシュアーカイブとカスタム JumpStart ファイルを提供します。 |
WAN ブートサーバーとは別のシステムで稼働している場合、インストールサーバーは次の追加要件を満たす必要があります。
|
|
|
SunOS DHCP サーバーを使用している場合は、次のいずれかの作業を実行する必要があります。
DHCP サーバーがクライアントとは異なるサブネットにある場合は、BOOTP リレーエージェントを構成する必要があります。BOOTP リレーエージェントの構成方法については、『Solaris のシステム管理 (IP サービス)』の第 14 章「DHCP サービスの構成 (手順)」を参照してください。 |
|
(省略可能) ログサーバー – デフォルトでは、WAN インストール時のブートログメッセージおよびインストールログメッセージは、すべてクライアントのコンソールに表示されます。これらのメッセージを別のシステムに表示するには、ログサーバーとして使用するシステムを指定します。 |
Web サーバーとして構成されている必要があります。 注 – インストール時に HTTPS を使用する場合は、WAN ブートサーバーと同じシステムにログサーバーを置く必要があります。 |
(省略可能) プロキシサーバー – インストールデータとファイルのダウンロード時に HTTP プロキシを使用するように WAN ブート機能を構成できます。 |
インストールで HTTPS を使用する場合は、HTTPS トンネリングを行うようにプロキシサーバーを構成する必要があります。 |
WAN ブートサーバーとインストールサーバーで使用する Web サーバーソフトウェアは、次の要件を満たす必要があります。
オペレーティングシステム – WAN ブートでは、wanboot-cgi という CGI (Common Gateway Interface) プログラムが、クライアントマシンが受け付ける特定のフォーマットにデータやファイルを変換します。これらのスクリプトを使用して WAN ブートインストールを実行するには、Solaris 9 12/03 OS またはその互換バージョンで Web サーバーソフトウェアを実行する必要があります。
ファイルサイズの制限 – Web サーバーソフトウェアによっては、HTTP を介して転送できるファイルサイズが制限される場合もあります。Web サーバーのマニュアルを参照して、Solaris フラッシュアーカイブの大きさのファイルを転送できることを確認してください。
flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていても Solaris フラッシュ アーカイブを作成できます。
詳細については、『Solaris 10 5/08 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。
SSL サポート – WAN ブートインストールで HTTPS を使用するには、Web サーバーソフトウェアで SSL バージョン 3 がサポートされている必要があります。
WAN ブートに必要なサーバーの構成をカスタマイズすることで、ネットワークのニーズに対応できます。すべてのサーバーを単一のシステムに置くことも、複数のシステムに置くこともできます。
単一のサーバー – WAN ブートのデータとファイルを 1 台のシステムに集中化させたい場合は、すべてのサーバーを同じマシンで稼働させることができます。各種のサーバーを 1 台のシステムで管理できるほか、1 台のシステムを Web サーバーとして構成するだけで済みます。ただし、単一のサーバーでは、多数の WAN ブートインストールが同時に発生した場合に、必要なトラフィック量をサポートできないことがあります。
複数のサーバー – インストールデータとファイルをネットワーク上に分散させたい場合は、これらのサーバーを複数のマシンで稼働させることができます。たとえば、中心となる WAN ブートサーバーを 1 台設定し、複数のインストールサーバーを構成して Solaris フラッシュアーカイブをネットワーク上に分散できます。インストールサーバーとログサーバーを別々のマシンで稼働させる場合は、どちらのサーバーも Web サーバーとして構成する必要があります。
WAN ブートインストール時に、wanboot-cgi プログラムによって次のファイルが転送されます。
wanboot プログラム
WAN ブートミニルート
カスタム JumpStart ファイル
Solaris フラッシュアーカイブ
wanboot-cgi プログラムでこれらのファイルを転送できるようにするには、Web サーバーソフトウェアがアクセスできるディレクトリに、これらのファイルを保存する必要があります。たとえば、Web サーバーのドキュメントルートにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。
ドキュメントルートは、Web サーバー上の主要なドキュメントディレクトリであり、クライアントに公開するファイルはここに保存します。Web サーバーソフトウェアを使って、このディレクトリの名前や構成を変更できます。Web サーバー上のドキュメントルートディレクトリを設定する方法については、Web サーバーのマニュアルを参照してください。
ドキュメントルートディレクトリにいくつかのサブディレクトリを作成して、それぞれ異なるインストールファイルと構成ファイルを保存することもできます。たとえば、インストール対象であるクライアントのグループごとに、固有のサブディレクトリを作成します。また、ネットワーク上に何種類かのリリースの Solaris OS をインストールする場合は、リリースごとにサブディレクトリを作成します。
図 10–1 は、ドキュメントルートディレクトリの基本的な構造の例を示しています。この例で、WAN ブートサーバーとインストールサーバーは同じマシンに置かれています。このサーバーでは、Apache Web サーバーソフトウェアが実行されています。
この例のドキュメントディレクトリは、次のような構造を使用しています。
/opt/apache/htdocs ディレクトリは、ドキュメントルートディレクトリです。
Solaris フラッシュ (flash) ディレクトリには、クライアントのインストールに必要なカスタム JumpStart ファイルと、サブディレクトリ archives が置かれています。archives ディレクトリには、Solaris 最新リリースのフラッシュアーカイブが置かれています。
WAN ブートサーバーとインストールサーバーがそれぞれ別のシステムで稼働している場合は、flash ディレクトリをインストールサーバーに置くこともできます。WAN ブートサーバーがこれらのファイルやディレクトリにアクセスできることを確認してください。
ドキュメントルートディレクトリの作成方法については、Web サーバーのマニュアルを参照してください。インストールファイルの作成および保存の方法については、「カスタム JumpStart インストールファイルの作成」を参照してください。
/etc/netboot ディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。ここでは、WAN ブートインストールをカスタマイズするために /etc/netboot ディレクトリ内に作成できるファイルとディレクトリについて説明します。
インストール時に wanboot-cgi プログラムは、WAN ブートサーバーの /etc/netboot ディレクトリ内でクライアント情報を検索します。wanboot-cgi プログラムは、この情報を WAN ブートファイルシステムに変換してから、WAN ブートファイルシステムをクライアントに転送します。/etc/netboot ディレクトリ内にサブディレクトリを作成することで、WAN ブートインストールの適用範囲をカスタマイズできます。次のディレクトリ構造を使って、インストール対象のクライアント間で構成情報をどのように共有するかを定義します。
大域的な構成 - ネットワーク上のすべてのクライアントで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリに保存します。
ネットワーク固有の構成 - 特定のサブネット上のマシンだけで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。
/etc/netboot/net-ip |
この例で、net-ip はクライアントのサブネットの IP アドレスです。たとえば、192.168.255.0 という IP アドレスを持つサブネット上のすべてのシステムで構成ファイルを共有するには、/etc/netboot/192.168.255.0 というディレクトリを作成します。その後、このディレクトリに構成ファイルを保存します。
クライアント固有の構成 – 特定のクライアントだけでブートファイルシステムを使用するには、ブートファイルシステムのファイルを /etc/netboot のサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。
/etc/netboot/net-ip/client-ID |
この例で、net-ip はサブネットの IP アドレスです。client-ID は、DHCP サーバーによって割り当てられるクライアント ID か、ユーザー指定のクライアント ID です。たとえば、サブネット 192.168.255.0 にあって 010003BA152A42 というクライアント ID を持つシステムで、特定の構成ファイルを使用するには、/etc/netboot/192.168.255.0/010003BA152A42 というディレクトリを作成します。その後、該当するファイルをこのディレクトリに保存します。
次のファイルを作成して /etc/netboot ディレクトリに保存することで、セキュリティー情報と構成情報を指定します。
システム構成ファイル ( system.conf) – このシステム構成ファイルは、クライアントの sysidcfg ファイルおよびカスタム JumpStart ファイルの場所を指定します。
keystore – このファイルには、クライアントの HMAC SHA1 ハッシュキー、3DES または AES 暗号化鍵、および SSL 非公開鍵が保存されます。
truststore – このファイルには、クライアントが信頼すべき、認証局のデジタル証明書が保存されます。これら信頼できる証明書に従って、クライアントはインストール時にサーバーを信頼します。
certstore – このファイルには、クライアントのデジタル証明書が保存されます。
certstore ファイルは、クライアント ID のディレクトリに置く必要があります。/etc/netboot ディレクトリのサブディレクトリに関する詳細は、「WAN ブートインストールの適用範囲のカスタマイズ」を参照してください。
これらのファイルの作成方法と保存方法については、次の手順を参照してください。
ネットワーク上のクライアントに対してインストールを行うとき、いくつかのクライアントで、あるいはすべてのサブネットで、セキュリティーファイルと構成ファイルを共有することもできます。これらのファイルを共有するには、/etc/netboot/net-ip/client-ID、/etc/netboot/net-ip、および /etc/netboot の各ディレクトリに構成情報を置きます。インストール時に、wanboot-cgi プログラムはこれらのディレクトリから構成情報を検索し、クライアントに最もよく適合する構成情報を使用します。
wanboot-cgi プログラムは、次の順序でクライアント情報を検索します。
/etc/netboot/net-ip/client-ID – wanboot-cgi プログラムはまず、クライアントマシンに固有の構成情報を検索します。/etc/netboot/net-ip/client-ID ディレクトリにすべてのクライアント構成情報が揃っている場合、wanboot-cgi プログラムが /etc/netboot ディレクトリのほかの場所の構成情報を検索することはありません。
/etc/netboot/net-ip – 必要な情報が /etc/netboot/net-ip/client-ID ディレクトリに揃っていない場合、wanboot-cgi プログラムは /etc/netboot/net-ip ディレクトリでサブネット構成情報を検索します。
/etc/netboot - 必要な情報が /etc/netboot/net-ip ディレクトリにも見つからない場合、wanboot-cgi プログラムは /etc/netboot ディレクトリで大域的な構成情報を検索します。
図 10–2 は、/etc/netboot ディレクトリを設定して WAN ブートインストールをカスタマイズする方法を示しています。
図 10–2 の /etc/netboot ディレクトリレイアウトでは、次のような WAN ブートインストールを実行できます。
クライアント 010003BA152A42 に対してインストールを行うときは、/etc/netboot/192.168.255.0/010003BA152A42 ディレクトリにある次のファイルが wanboot-cgi プログラムによって使用されます。
system.conf
keystore
truststore
certstore
次に、/etc/netboot/192.168.255.0 ディレクトリにある wanboot.conf ファイルが、wanboot-cgi プログラムによって使用されます。
192.168.255.0 サブネット上のクライアントに対してインストールを行うときは、/etc/netboot/192.168.255.0 ディレクトリにある wanboot.conf、keystore、および truststore の各ファイルが、wanboot-cgi プログラムによって使用されます。次に、/etc/netboot ディレクトリにある system.conf ファイルが、wanboot-cgi プログラムによって使用されます。
192.168.255.0 サブネット上にないクライアントマシンに対してインストールを行うときは、/etc/netboot ディレクトリにある次のファイルが、wanboot-cgi プログラムによって使用されます。
wanboot.conf
system.conf
keystore
truststore
wanboot-cgi プログラムは、WAN ブートサーバーからクライアントにデータとファイルを転送します。このプログラムは、WAN ブートサーバー上でクライアントがアクセスできるディレクトリに置く必要があります。たとえば、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムを置くと、クライアントがこのプログラムにアクセスできるようになります。wanboot-cgi プログラムを CGI プログラムとして使用するように Web サーバーソフトウェアを構成する必要がある場合もあります。CGI プログラムの要件については、Web サーバーのマニュアルを参照してください。
WAN ブートインストールのセキュリティーを高めるには、デジタル証明書を使ってサーバーとクライアントの認証を有効にします。WAN ブートでは、オンライントランザクションの間に、デジタル証明書を使ってサーバーまたはクライアントの識別情報が確立されます。デジタル証明書は認証局 (CA) によって発行されます。これらの証明書には、シリアル番号、有効期限、証明書所有者の公開鍵のコピー、および認証局のデジタル署名が含まれています。
サーバーに対して、あるいはサーバーとクライアントの両方に対して、インストール時に認証を行うには、サーバーにデジタル証明書をインストールする必要があります。デジタル証明書を使用するときは、次のガイドラインに従ってください。
デジタル証明書を使用する場合、デジタル証明書は PKCS#12 (Public-Key Cryptography Standards #12) ファイルの一部としてフォーマットされている必要があります。
独自の証明書を作成する場合は、PKCS#12 ファイルとして作成する必要があります。
第三者機関である認証局から証明書を取得する場合は、PKCS#12 フォーマットの証明書を依頼します。
WAN ブートインストールで PKCS#12 証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
WAN ブートには各種のセキュリティー機能が用意されていますが、次のような潜在的問題には対応していません。
サービス妨害攻撃 – サービス妨害 (DoS) 攻撃にはさまざまな形式がありますが、その目的はユーザーが特定のサービスにアクセスできないようにすることです。たとえば、大量のデータでネットワークに負担をかけたり、限られたリソースを強引に消費したりする DoS 攻撃があります。また、システム間で転送中のデータに対して操作を加える DoS 攻撃もあります。WAN ブートでは、DoS 攻撃に対するサーバーやクライアントの保護は行われません。
サーバー上のバイナリの破壊 – WAN ブートインストールでは、インストールの実行前に WAN ブートミニルートや Solaris フラッシュアーカイブの完全性がチェックされることはありません。インストールを実行する前に、http://sunsolve.sun.com の Solaris Fingerprint Database (指紋データベース) と比較して、Solaris バイナリの完全性を確認してください。
暗号化鍵とハッシュキーの機密性 – WAN ブートで暗号化鍵やハッシュキーを使用する場合は、インストール時にキーの値をコマンド行に入力する必要があります。ネットワークに必要な注意事項を守り、キーの値を機密に保つようにしてください。
ネットワークのネームサービスの危殆化 – ネットワークでネームサービスを使用する場合は、WAN ブートインストールを実行する前に、ネームサーバーの完全性を確認してください。
WAN ブートインストールを行うためにネットワークを構成するには、さまざまな情報を収集する必要があります。WAN 経由でのインストールを準備するときに、この情報を書きとめておくとよいでしょう。
ネットワークについて WAN ブートインストール情報を記録するには、次のワークシートを使用してください。
表 10–2 サーバー情報を収集するためのワークシート表 10–3 クライアント情報を収集するためのワークシート
情報 |
コメント |
---|---|
クライアントのサブネットの IP アドレス |
|
クライアントのルーターの IP アドレス |
|
クライアントの IP アドレス |
|
クライアントのサブネットマスク |
|
クライアントのホスト名 |
|
クライアントの MAC アドレス |
|
この章では、WAN ブートインストールを行うためにネットワークを準備する方法について説明します。必要な作業は次のとおりです。
次の表は、WAN ブートインストールの準備に必要な作業の一覧です。
セキュリティー保護された WAN ブートインストールの準備に必要な作業の一覧については、表 11–1 を参照してください。
HTTPS によるセキュリティー保護された WAN ブートインストールについては、「セキュリティー保護された WAN ブートインストール構成」を参照してください。
セキュリティー保護されていない WAN ブートインストールの準備に必要な作業の一覧については、表 11–2 を参照してください。
セキュリティー保護されていない WAN ブートインストールについては、「セキュリティー保護されていない WAN ブートインストール構成」を参照してください。
DHCP サーバーやログサーバーを使用するには、表の末尾にある追加作業を実行する必要があります。
表 11–1 作業マップ: セキュリティー保護された WAN ブートインストールを実行するための準備表 11–2 作業マップ: セキュリティー保護されていない WAN ブートインストールを実行するための準備
WAN ブートサーバーは、WAN ブートインストール時にブートデータと構成データを提供する Web サーバーです。WAN ブートサーバーのシステム要件の一覧については、表 10–1 を参照してください。
ここでは、WAN ブートインストールを行うために WAN ブートサーバーを構成する方法について説明します。必要な作業は次のとおりです。
構成ファイルとインストールファイルを提供するには、WAN ブートサーバーの Web サーバーソフトウェアがこれらのファイルにアクセスできるようにする必要があります。たとえば、WAN ブートサーバーのドキュメントルートディレクトリにこれらのファイルを置くと、これらのファイルへのアクセスが可能になります。
構成ファイルとインストールファイルの提供にドキュメントルートディレクトリを使用するには、このディレクトリを作成する必要があります。ドキュメントルートディレクトリの作成方法については、Web サーバーのマニュアルを参照してください。ドキュメントルートディレクトリの設計方法については、「ドキュメントルートディレクトリへのインストールファイルと構成ファイルの保存」を参照してください。
このディレクトリの設定例については、「ドキュメントルートディレクトリの作成」を参照してください。
ドキュメントルートディレクトリを作成したあと、WAN ブートミニルートを作成します。手順については、「WAN ブートミニルートの作成」を参照してください。
WAN ブートでは、WAN ブートインストール用に変更された特別な Solaris ミニルートが使用されます。WAN ブートミニルートには、Solaris ミニルートにあるソフトウェアのサブセットが格納されます。WAN ブートインストールを実行するには、Solaris DVD または Solaris SOFTWARE - 1 CD から、このミニルートを WAN ブートサーバーにコピーする必要があります。-w オプションを指定して setup_install_server コマンドを実行し、Solaris ソフトウェアのメディアからシステムのハードディスクに WAN ブートミニルートをコピーします。
次の手順では、SPARC メディアを使って SPARC WAN ブートミニルートを作成します。x86 ベースのサーバーから SPARC WAN ブートミニルートを提供するには、まず SPARC マシンにミニルートを作成する必要があります。次に、作成したミニルートを、x86 ベースのサーバーのドキュメントルートディレクトリにコピーします。
この手順では、WAN ブートサーバーでボリュームマネージャーを実行していると仮定します。ボリュームマネージャーを使用していない場合は、『Solaris のシステム管理 (デバイスとファイルシステム)』を参照してください。
WAN ブートサーバーでスーパーユーザーになるか、同等の役割になります。
システムの必要条件は次のとおりです。
CD-ROM ドライブまたは DVD-ROM ドライブを備えていること
サイトのネットワークおよびネームサービスに組み込まれていること
ネームサービスを使用する場合は、システムがすでに NIS、NIS+、DNS、LDAP のいずれかのネームサービスに登録されていなければなりません。ネームサービスを使用しない場合は、サイトのポリシーに従ってシステムの情報を供給する必要があります。
Solaris SOFTWARE - 1 CD または Solaris DVD をインストールサーバーのドライブに挿入します。
WAN ブートミニルートと Solaris インストールイメージを置くためのディレクトリを作成します。
# mkdir -p wan-dir-path install-dir-path |
目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。
WAN ブートミニルートの作成先となる、インストールサーバー上のディレクトリを指定します。このディレクトリには、ミニルートを格納できる容量が必要です。ミニルートの標準サイズは 250M バイトです。
Solaris ソフトウェアイメージのコピー先となる、インストールサーバー上のディレクトリを指定します。この手順の後半で、このディレクトリは削除できます。
マウントされたディスクの Tools ディレクトリに移動します。
# cd /cdrom/cdrom0/s0/Solaris_10/Tools |
上の例では、cdrom0 は、Solaris OS のメディアが入っているドライブへのパスです。
WAN ブートミニルートと Solaris ソフトウェアイメージを、WAN ブートサーバーのハードディスクにコピーします。
# ./setup_install_server -w wan-dir-path install-dir-path |
WAN ブートミニルートをコピーするディレクトリを指定します。
Solaris ソフトウェアイメージをコピーするディレクトリを指定します。
setup_install_server コマンドは、Solaris SOFTWARE のディスクイメージをコピーする十分なディスク容量があるかどうかを調べます。利用できるディスク容量を調べるには、df -kl コマンドを使用します。
setup_install_server -w コマンドは、WAN ブートミニルートと、Solaris ソフトウェアのネットワークインストールイメージを作成します。
(省略可能) ネットワークインストールイメージを削除します。
Solaris フラッシュアーカイブを使って WAN インストールを実行する場合、Solaris ソフトウェアイメージは不要です。ほかのネットワークインストールに使用する予定がない場合は、ネットワークインストールイメージを削除して、ディスクの空き領域を増やすことができます。ネットワークインストールイメージを削除するには、次のコマンドを入力します。
# rm -rf install-dir-path |
次のどちらかの方法で、WAN ブートサーバーが WAN ブートミニルートにアクセスできるようにします。
WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートへのシンボリックリンクを作成します。
# cd /document-root-directory/miniroot # ln -s /wan-dir-path/miniroot . |
WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、WAN ブートミニルートにリンクするものを指定します。
WAN ブートミニルートへのパスを指定します。
WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。
# mv /wan-dir-path/miniroot /document-root-directory/miniroot/miniroot-name |
WAN ブートミニルートへのパスを指定します。
WAN ブートサーバーのドキュメントルートディレクトリにある WAN ブートミニディレクトリへのパスを指定します。
WAN ブートミニルートの名前を指定します。miniroot.s10_sparc のように、わかりやすい名前をファイルに付けます。
setup_install_server(1M) に -w オプションを指定して実行することで、WAN ブートミニルートと Solaris ソフトウェアイメージを、wanserver-1 の /export/install/Solaris_10 ディレクトリにコピーします。
wanserver-1 に接続されているメディアドライブに Solaris SOFTWARE のメディアを挿入します。次のコマンドを入力します。
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
WAN ブートサーバーのドキュメントルートディレクトリ (/opt/apache/htdocs/) に、WAN ブートミニルートを移動します。この例では、WAN ブートミニルートの名前を miniroot.s10_sparc に設定しています。
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
WAN ブートミニルートを作成したあと、クライアントの OpenBoot PROM (OBP) が WAN ブートに対応しているかどうかを確認します。手順については、「クライアントの WAN ブート対応の確認」を参照してください。
setup_install_server コマンドの詳細は、install_scripts(1M) のマニュアルページを参照してください。
WAN ブートインストールを自動的に実行するには、クライアントシステムの OpenBoot PROM (OBP) が WAN ブートに対応している必要があります。クライアントの OBP が WAN ブートに対応していない場合は、ローカル CD を使って必要なプログラムを提供することで、WAN ブートインストールを実行できます。
クライアントが WAN ブートに対応しているかどうかを確認するには、クライアントの OBP 構成変数を調べます。クライアントが WAN ブートに対応しているかどうかを調べるには、次の手順に従ってください。
この手順は、クライアントの OBP が WAN ブートに対応しているかどうかを調べる方法を示しています。
スーパーユーザーになるか、同等の役割になります。
役割には、認証と特権コマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
WAN ブート対応を表す OBP 構成変数を調べます。
# eeprom | grep network-boot-arguments |
変数 network-boot-arguments が表示されるか、上記のコマンドが network-boot-arguments: data not available という出力を返した場合、OBP は WAN ブートインストールに対応しています。WAN ブートインストールを実行する前に OBP を更新する必要はありません。
上記のコマンドから何の出力も得られない場合、OBP は WAN ブートインストールに対応していません。次のどちらかの作業を実行する必要があります。
クライアントの OBP を更新します。クライアントの OBP が WAN ブートインストールに対応可能な場合は、OBP を更新する方法についてシステムのマニュアルを参照してください。
一部のクライアント OBP は WAN ブートに対応していません。そのようなクライアントの場合は、次のオプションを使用してください。
クライアントのインストールを行うための準備作業が完了したら、Solaris SOFTWARE CD1 または DVD から WAN ブートインストールを実行します。このオプションは、現在の OBP が WAN ブートに対応していないすべての場合で使用できます。
CD1 からクライアントをブートする方法については、「ローカルの CD メディアを使って WAN ブートインストールを実行する方法」を参照してください。WAN ブートインストールの準備を続行するには、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
次のコマンドは、クライアントの OBP が WAN ブートに対応しているかどうかを確認する方法を示しています。
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
この例では、出力に network-boot-arguments: data not available が表示されているので、クライアント OBP は WAN ブートに対応しています。
クライアントの OBP が WAN ブートに対応していることを確認できたら、wanboot プログラムを WAN ブートサーバーにコピーする必要があります。手順については、「WAN ブートサーバーへの wanboot プログラムのインストール」を参照してください。
クライアントの OBP が WAN ブートに対応していない場合は、wanboot プログラムを WAN ブートサーバーにコピーする必要はありません。ローカル CD を使ってクライアントに wanboot プログラムを提供する必要があります。インストールを続行するには、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
setup_install_server コマンドの詳細については、第 4 章「ネットワークからのインストール (概要)」を参照してください。
WAN ブートでは、特別な二次レベルのブートプログラム wanboot が、クライアントのインストールに使用されます。wanboot プログラムは、WAN ブートインストールの実行に必要な、WAN ブートミニルート、クライアント構成ファイル、およびインストールファイルを読み込みます。
WAN ブートインストールを実行するには、インストール時に wanboot プログラムをクライアントに提供する必要があります。次の方法で、このプログラムをクライアントに提供できます。
クライアントの PROM が WAN ブートに対応している場合は、WAN ブートサーバーからクライアントにプログラムを転送できます。WAN ブートサーバーに wanboot プログラムをインストールする必要があります。
クライアントの PROM が WAN ブートに対応しているかどうかを調べる方法については、「クライアント OBP での WAN ブート対応を確認する方法」を参照してください。
クライアントの PROM が WAN ブートに対応していない場合は、ローカル CD を使ってクライアントにプログラムを提供する必要があります。クライアントの PROM が WAN ブートに対応していない場合は、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」に進み、インストールの準備を続行します。
この手順は、Solaris メディアから WAN ブートサーバーに wanboot プログラムをコピーする方法を示しています。
この手順では、WAN ブートサーバーでボリュームマネージャーを実行していると仮定します。ボリュームマネージャーを使用していない場合は、『Solaris のシステム管理 (デバイスとファイルシステム)』を参照してください。
クライアントシステムが WAN ブートに対応していることを確認します。詳細は、「クライアント OBP での WAN ブート対応を確認する方法」を参照してください。
インストールサーバーでスーパーユーザーになるか、同等の役割になります。
Solaris SOFTWARE - 1 CD または Solaris DVD をインストールサーバーのドライブに挿入します。
Solaris SOFTWARE - 1 CD または Solaris DVD の sun4u プラットフォームディレクトリに移動します。
# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ |
インストールサーバーに wanboot プログラムをコピーします。
# cp wanboot /document-root-directory/wanboot/wanboot-name |
WAN ブートサーバーのドキュメントルートディレクトリを指定します。
wanboot プログラムの名前を指定します。wanboot.s10_sparc のように、わかりやすい名前をファイルに付けます。
次のどちらかの方法で、WAN ブートサーバーが wanboot プログラムにアクセスできるようにします。
WAN ブートサーバーのドキュメントルートディレクトリに、wanboot プログラムへのシンボリックリンクを作成します。
# cd /document-root-directory/wanboot # ln -s /wan-dir-path/wanboot . |
WAN ブートサーバーのドキュメントルートディレクトリにあるディレクトリで、wanboot プログラムにリンクするものを指定します。
wanboot プログラムへのパスを指定します。
WAN ブートサーバーのドキュメントルートディレクトリに、WAN ブートミニルートを移動します。
# mv /wan-dir-path/wanboot /document-root-directory/wanboot/wanboot-name |
wanboot プログラムへのパスを指定します。
WAN ブートサーバのドキュメントルートディレクトリにある wanboot プログラムディレクトリへのパスを指定します。
wanboot プログラムの名前を指定します。wanboot.s10_sparc のように、わかりやすい名前をファイルに付けます。
wanboot プログラムを WAN ブートサーバーにインストールするには、Solaris SOFTWARE のメディアから WAN ブートサーバーのドキュメントルートディレクトリに、このプログラムをコピーします。
wanserver-1 に接続されているメディアドライブに Solaris DVD または Solaris SOFTWARE - 1 CD を挿入し、次のコマンドを入力します。
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
この例では、wanboot プログラムの名前を wanboot.s10_sparc に設定しています。
WAN ブートサーバーに wanboot プログラムをインストールしたあと、WAN ブートサーバーに /etc/netboot ディレクトリを作成する必要があります。手順については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
wanboot プログラムの概要については、「WAN ブートとは」を参照してください。
インストール時に WAN ブートは、Web サーバーの /etc/netboot ディレクトリの内容を参照して、インストールの実行方法に関する指示を取得します。このディレクトリには、WAN ブートインストールに必要な、構成情報、非公開鍵、デジタル証明書、および認証局が保存されます。インストール時、この情報は wanboot-cgi プログラムによって WAN ブートファイルシステムに変換されます。その後、wanboot-cgi プログラムは WAN ブートファイルシステムをクライアントに転送します。
/etc/netboot ディレクトリ内にサブディレクトリを作成することで、WAN ブートインストールの適用範囲をカスタマイズできます。次のディレクトリ構造を使って、インストール対象のクライアント間で構成情報をどのように共有するかを定義します。
大域的な構成 – ネットワーク上のすべてのクライアントで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリに保存します。
ネットワーク固有の構成 – 特定のサブネット上のクライアントだけで構成情報を共有するには、共有する構成ファイルを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。
/etc/netboot/net-ip |
この例で、net-ip はクライアントのサブネットの IP アドレスです。
クライアント固有の構成 – 特定のクライアントだけでブートファイルシステムを使用するには、ブートファイルシステムを /etc/netboot ディレクトリのサブディレクトリに保存します。サブディレクトリは、次の規則に従って名前を付けてください。
/etc/netboot/net-ip/client-ID |
この例で、net-ip はサブネットの IP アドレスです。client-ID は、DHCP サーバーによって割り当てられるクライアント ID か、ユーザー指定のクライアント ID です。
これらの構成の詳しい設計方法については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。
次の手順は、/etc/netboot ディレクトリを作成する方法を示しています。
/etc/netboot ディレクトリを作成するには、次の手順に従ってください。
WAN ブートサーバーでスーパーユーザーになるか、同等の役割になります。
/etc/netboot ディレクトリを作成します。
# mkdir /etc/netboot |
/etc/netboot ディレクトリのアクセス権を 700 に変更します。
# chmod 700 /etc/netboot |
/etc/netboot ディレクトリの所有者を、Web サーバーの所有者に変更します。
# chown web-server-user:web-server-group /etc/netboot/ |
Web サーバープロセスの所有者であるユーザーを指定します。
Web サーバープロセスの所有者であるグループを指定します。
スーパーユーザーを終了します。
# exit |
Web サーバー所有者の役割になります。
/etc/netboot ディレクトリに、クライアントのサブディレクトリを作成します。
# mkdir -p /etc/netboot/net-ip/client-ID |
目的のディレクトリを作成するときに、必要な親ディレクトリもすべて作成するよう mkdir コマンドに指示します。
クライアントのサブネットのネットワーク IP アドレスを指定します。
クライアント ID を指定します。クライアント ID は、ユーザーが定義した値か、DHCP クライアント ID です。client-ID ディレクトリは、net-ip ディレクトリのサブディレクトリである必要があります。
/etc/netboot ディレクトリ内の各サブディレクトリについて、アクセス権を 700 に変更します。
# chmod 700 /etc/netboot/dir-name |
次の例は、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 に対応する /etc/netboot ディレクトリの作成方法を示しています。この例では、nobody というユーザーと admin というグループが、Web サーバープロセスを所有しています。
この例のコマンドは、次の処理を行います。
/etc/netboot ディレクトリを作成します。
/etc/netboot ディレクトリのアクセス権を 700 に変更します。
/etc/netboot ディレクトリの所有権を Web サーバープロセスの所有者に渡します。
Web サーバーユーザーと同じ役割になります。
/etc/netboot ディレクトリに、サブネット名と同じ名前のサブディレクトリ 192.168.198.0 を作成します。
このサブネットディレクトリに、クライアント ID と同じ名前のサブディレクトリを作成します。
/etc/netboot のサブディレクトリのアクセス権を 700 に変更します。
# cd / # mkdir /etc/netboot/ # chmod 700 /etc/netboot # chown nobody:admin /etc/netboot # exit server# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
/etc/netboot ディレクトリを作成したあと、WAN ブート CGI プログラムを WAN ブートサーバーにコピーする必要があります。手順については、「WAN ブートサーバーへの WAN ブート CGI プログラムのコピー」を参照してください。
/etc/netboot ディレクトリの詳しい設計方法については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。
wanboot-cgi プログラムは、WAN ブートサーバーからクライアントに次のファイルを転送するデータストリームを作成します。
wanboot プログラム
WAN ブートファイルシステム
WAN ブートミニルート
Solaris 最新リリースソフトウェアをインストールすると、wanboot-cgi プログラムもシステムにインストールされます。WAN ブートサーバーがこのプログラムを使用できるようにするには、WAN ブートサーバーの cgi-bin ディレクトリにこのプログラムをコピーします。
WAN ブートサーバーでスーパーユーザーになるか、同等の役割になります。
WAN ブートサーバーに wanboot-cgi プログラムをコピーします。
# cp /usr/lib/inet/wanboot/wanboot-cgi /WAN-server-root/cgi-bin/wanboot-cgi |
WAN ブートサーバー上の Web サーバーソフトウェアのルートディレクトリを指定します。
WAN ブートサーバーで、CGI プログラムのアクセス権を 755 に変更します。
# chmod 755 /WAN-server-root/cgi-bin/wanboot-cgi |
WAN ブート CGI プログラムを WAN ブートサーバーにコピーしたあと、必要に応じてログサーバーを設定できます。手順については、「(省略可能) WAN ブートログサーバーを構成する方法」を参照してください。
独立したログサーバーを設定しない場合は、WAN ブートインストールのセキュリティー機能の設定方法について、「(省略可能) HTTPS によるデータの保護」を参照してください。
wanboot-cgi プログラムの概要については、「WAN ブートとは」を参照してください。
デフォルトでは、WAN ブートログメッセージはすべて、クライアントシステムに表示されます。このデフォルトの動作により、インストールの問題をすばやくデバッグできます。
クライアント以外のシステムでブートログメッセージとインストールログメッセージを記録するには、ログサーバーを設定する必要があります。インストール時に HTTPS を介してログサーバーを使用するには、WAN ブートサーバーをログサーバーとして構成する必要があります。
ログサーバーを構成するには、次の手順を実行します。
ログサーバーの CGI スクリプトディレクトリに bootlog-cgi スクリプトをコピーします。
# cp /usr/lib/inet/wanboot/bootlog-cgi \ log-server-root/cgi-bin |
ログサーバーの Web サーバーディレクトリにある cgi-bin ディレクトリを指定します。
bootlog-cgi スクリプトのアクセス権を 755 に変更します。
# chmod 755 log-server-root/cgi-bin/bootlog-cgi |
wanboot.conf ファイル内の boot_logger パラメータの値を設定します。
wanboot.conf ファイルに、ログサーバー上の bootlog-cgi スクリプトの URL を指定します。
wanboot.conf ファイルのパラメータの設定方法については、「wanboot.conf ファイルを作成する方法」を参照してください。
インストール時に、ログサーバーの /tmp ディレクトリにブートログメッセージとインストールログメッセージが記録されます。ログファイルの名前は bootlog.hostname となります。hostname は、クライアントのホスト名です。
次の例では、WAN ブートサーバーをログサーバーとして構成します。
# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ # chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
ログサーバーを設定したあと、必要に応じて、WAN ブートインストールでデジタル証明書とセキュリティーキーを使用するように設定できます。WAN ブートインストールのセキュリティー機能の設定方法については、「(省略可能) HTTPS によるデータの保護」を参照してください。
WAN ブートサーバーからクライアントへの転送データを保護するには、HTTPS (Secure Sockets Layer を介した HTTP) を使用します。「セキュリティー保護された WAN ブートインストール構成」に説明されている、より高いセキュリティーで保護されたインストール構成を使用するには、Web サーバーで HTTPS を使用できるようにする必要があります。
セキュリティー保護された WAN ブートを実行しない場合は、この節の手順は省略してください。セキュリティー保護されていないインストールの準備を続行するには、「カスタム JumpStart インストールファイルの作成」を参照してください。
WAN ブートサーバーの Web サーバーソフトウェアで HTTPS を使用できるようにするには、次の作業を実行します。
Web サーバーソフトウェアの SSL (Secure Sockets Layer) サポートを有効にします。
SSL サポートとクライアント認証を有効にする手順は、Web サーバーによって異なります。Web サーバーでこれらのセキュリティー機能を有効にする方法については、このマニュアルでは説明していません。これらの機能については、次のマニュアルを参照してください。
Sun ONE Web Server および iPlanet Web Server で SSL を有効にする方法については、http://docs.sun.com にある Sun ONE および iPlanet のマニュアルコレクションを参照してください。
Apache Web サーバーで SSL を有効にする方法については、 http://httpd.apache.org/docs-project/ にある Apache Documentation Project を参照してください。
上記以外の Web サーバーソフトウェアを使用している場合は、そのソフトウェアのマニュアルを参照してください。
WAN ブートサーバーにデジタル証明書をインストールします。
WAN ブートでデジタル証明書を使用する方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
信頼できる証明書をクライアントに提供します。
信頼できる証明書の作成方法については、「(省略可能) サーバー認証とクライアント認証にデジタル証明書を使用する方法」を参照してください。
ハッシュキーと暗号化鍵を作成します。
キーの作成方法については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。
(省略可能) クライアント認証をサポートするように Web サーバーソフトウェアを構成します。
クライアント認証をサポートするように Web サーバーを構成する方法については、Web サーバーのマニュアルを参照してください。
ここでは、WAN ブートインストールでデジタル証明書とセキュリティーキーを使用する方法について説明します。
WAN ブートインストールでは、PKCS#12 ファイルを使って、サーバー認証またはサーバー認証とクライアント認証の両方を伴うインストールを HTTPS で実行できます。PKCS#12 ファイルを使用するための要件とガイドラインについては、「デジタル証明書の要件」を参照してください。
WAN ブートインストールで PKCS#12 ファイルを使用するには、次の作業を実行します。
PKCS#12 ファイルを、SSL 非公開鍵のファイルと信頼できる証明書のファイルに分割します。
/etc/netboot ディレクトリにあるクライアントの truststore ファイルに信頼できる証明書を挿入します。信頼できる証明書に従って、クライアントはサーバーを信頼します。
(省略可能) /etc/netboot ディレクトリにあるクライアントの keystore ファイルに、SSL 非公開鍵ファイルの内容を挿入します。
wanbootutil コマンドには、上記の作業を実行するためのオプションが用意されています。
セキュリティー保護された WAN ブートを実行しない場合は、この手順は省略してください。セキュリティー保護されていないインストールの準備を続行するには、「カスタム JumpStart インストールファイルの作成」を参照してください。
信頼できる証明書とクライアントの非公開鍵を作成するには、次の手順に従ってください。
PKCS#12 ファイルを分割する前に、WAN ブートサーバーの /etc/netboot ディレクトリに適切なサブディレクトリを作成してください。
/etc/netboot ディレクトリの概要については、「/etc/netboot ディレクトリへの構成情報とセキュリティー情報の保存」を参照してください。
/etc/netboot ディレクトリの作成方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
信頼できる証明書を PKCS#12 ファイルから抽出します。/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、この証明書を挿入します。
# wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore |
wanbootutil コマンドのオプションです。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。
分割する PKCS#12 ファイルの名前を指定します。
クライアントの truststore ファイルに証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
(省略可能) クライアント認証を要求するかどうかを決定します。
要求しない場合は、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」に進みます。
要求する場合は、引き続き次の手順を実行します。
クライアントの certstore にクライアントの証明書を挿入します。
# wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile |
wanbootutil コマンドのオプションです。PKCS#12 ファイルを非公開鍵ファイルと証明書ファイルに分割します。
分割する PKCS#12 ファイルの名前を指定します。
クライアントの certstore にクライアントの証明書を挿入します。net-ip は、クライアントのサブネットの IP アドレスです。client-ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
PKCS#12 ファイルの分割によって作成する、クライアントの SSL 非公開鍵ファイルの名前を指定します。
クライアントの keystore に非公開鍵を挿入します。
# wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa |
次の例では、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 に対して、PKCS#12 ファイルを使ってインストールを行います。このコマンド例は、client.p12 という名前の PKCS#12 ファイルから証明書を抽出します。このコマンドは次に、この信頼できる証明書の内容を、クライアントの truststore ファイルに挿入します。
これらのコマンドを実行する前に、まず Web サーバーユーザーと同じユーザー役割になる必要があります。この例の場合、Web サーバーユーザー役割は nobody です。
server# su nobody Password: nobody# wanbootutil p12split -i client.p12 \ -t /etc/netboot/192.168.198.0/010003BA152A42/truststore nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore |
デジタル証明書を作成したあと、ハッシュキーと暗号化鍵を作成します。手順については、「(省略可能) ハッシュキーと暗号化鍵を作成する方法」を参照してください。
信頼できる証明書の作成方法については、wanbootutil(1M) のマニュアルページを参照してください。
HTTPS を使ってデータを転送するには、HMAC SHA1 ハッシュキーと暗号化鍵を作成する必要があります。半私設のネットワーク上でインストールを行うときなど、インストールデータの暗号化が不要な場合もあります。HMAC SHA1 ハッシュキーを使用すると、wanboot プログラムの完全性を確認できます。
wanbootutil keygen コマンドを使用すると、これらのキーを生成し、/etc/netboot の適切なディレクトリに保存できます。
セキュリティー保護された WAN ブートを実行しない場合は、この手順は省略してください。セキュリティー保護されていないインストールの準備を続行するには、「カスタム JumpStart インストールファイルの作成」を参照してください。
ハッシュキーと暗号化鍵を作成するには、次の手順に従ってください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
HMAC SHA1 マスターキーを作成します。
# wanbootutil keygen -m |
WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。
このマスターキーから、クライアントの HMAC SHA1 ハッシュキーを作成します。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=sha1 |
クライアントのハッシュキーをマスターキーから作成します。
wanbootutil keygen コマンドに追加オプションが含まれていることを示します。
クライアントのサブネットの IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。
クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。
クライアントの HMAC SHA1 ハッシュキーを作成するよう、wanbootutil keygen ユーティリティーに指示します。
クライアントの暗号化鍵を作成する必要があるかどうかを決定します。
HTTPS を介して WAN ブートインストールを実行するには、暗号化鍵を作成する必要があります。クライアントが WAN ブートサーバーと HTTPS 接続を確立する前に、WAN ブートサーバーは、暗号化されたデータと情報をクライアントに転送します。クライアントは暗号化鍵を使ってこの情報を復号化し、インストール時にこの情報を使用することができます。
サーバー認証を伴う、より高いセキュリティーで保護された WAN インストールを HTTPS で実行する場合は、次の手順に進みます。
wanboot プログラムの完全性チェックだけを行う場合は、暗号化鍵を作成する必要はありません。手順 6 に進みます。
クライアントの暗号化鍵を作成します。
# wanbootutil keygen -c -o [net=net-ip,{cid=client-ID,}]type=key-type |
クライアントの暗号化鍵を作成します。
wanbootutil keygen コマンドに追加オプションが含まれていることを示します。
クライアントのネットワーク IP アドレスを指定します。net オプションを指定しない場合、キーは /etc/netboot/keystore ファイルに保存され、すべての WAN ブートクライアントで使用可能になります。
クライアント ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。cid オプションの前には、net= に有効な値を指定する必要があります。net オプションを指定し、cid オプションを指定しない場合、キーは /etc/netboot/net-ip/keystore ファイルに保存されます。このキーは、net-ip サブネットにあるすべての WAN ブートクライアントで使用可能になります。
クライアントの暗号化鍵を作成するよう、wanbootutil keygen ユーティリティーに指示します。key-type には、3des または aes という値を指定できます。
クライアントシステムにキーをインストールします。
クライアントにキーをインストールする方法については、「クライアントに対するキーのインストール」を参照してください。
次の例では、WAN ブートサーバーの HMAC SHA1 マスターキーを作成します。またこの例では、サブネット 192.168.198.0 にあるクライアント 010003BA152A42 用に、HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を作成します。
これらのコマンドを実行する前に、まず Web サーバーユーザーと同じユーザー役割になる必要があります。この例の場合、Web サーバーユーザー役割は nobody です。
server# su nobody Password: nobody# wanbootutil keygen -m nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 nobody# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
ハッシュキーと暗号化鍵を作成したあと、インストールファイルを作成する必要があります。手順については、「カスタム JumpStart インストールファイルの作成」を参照してください。
ハッシュキーと暗号化鍵の概要については、「WAN ブートインストール時のデータの保護」を参照してください。
ハッシュキーと暗号化鍵の作成方法については、wanbootutil(1M) のマニュアルページを参照してください。
WAN ブートは、カスタム JumpStart インストールを実行して、Solaris フラッシュアーカイブをクライアントにインストールします。カスタム JumpStart は、あらかじめ作成したプロファイルを使って、複数のシステムのインストールを自動的にかつ同時に行うことができる、コマンド行インタフェースです。プロファイルには、どのようにソフトウェアをインストールするかを定義します。さらに、インストール前とインストール後に実行する作業を、シェルスクリプトを使用して指定することができます。システムのインストールまたはアップグレードにどのプロファイルとスクリプトを使用するかを選択できます。カスタム JumpStart では、選択したプロファイルとスクリプトに基づいて、システムのインストールまたはアップグレードが行われます。また、sysidcfg ファイルを使用して構成情報を指定することにより、カスタム JumpStart インストールを完全に自動化することも可能です。
WAN ブートインストール用のカスタム JumpStart ファイルを準備するには、次の作業を実行します。
カスタム JumpStart インストールの詳細は、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の第 2 章「カスタム JumpStart (概要)」を参照してください。
Solaris フラッシュインストール機能を利用すると、マスターシステムと呼ばれるシステム上の Solaris OS を、単一の参照用インストールイメージとして使用できます。また、マスターシステムのイメージを複製して、Solaris フラッシュアーカイブを作成できます。ネットワーク内のほかのシステムにこの Solaris フラッシュアーカイブをインストールすることで、クローンシステムを作成できます。
ここでは、Solaris フラッシュアーカイブの作成方法について説明します。
Solaris フラッシュアーカイブを作成する前に、マスターシステムのインストールを行う必要があります。
マスターシステムのインストール方法については、『Solaris 10 5/08 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「マスターシステムへのインストール」を参照してください。
Solaris フラッシュアーカイブの詳細は、『Solaris 10 5/08 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の第 1 章「Solaris フラッシュ (概要)」を参照してください。
ファイルサイズに関連する問題:
Web サーバーソフトウェアのマニュアルを参照して、Solaris フラッシュアーカイブの大きさのファイルを転送できることを確認してください。
Web サーバーソフトウェアのマニュアルを参照して、Solaris フラッシュアーカイブの大きさのファイルを転送できることを確認してください。
flarcreate コマンドのファイルごとのサイズ制限がなくなっています。各ファイルのサイズが 4G バイトを超えていても Solaris フラッシュ アーカイブを作成できます。
詳細については、『Solaris 10 5/08 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の「大規模なファイルを含むアーカイブの作成」を参照してください。
マスターシステムをブートします。
できるだけ静的な状態でマスターシステムを稼働させます。可能であれば、システムをシングルユーザーモードで実行してください。これが不可能な場合、アーカイブするアプリケーションおよび大量のオペレーティングシステムリソースを必要とするアプリケーションを停止します。
flarcreate コマンドを使用して、アーカイブを作成します。
# flarcreate -n name [optional-parameters] document-root/flash/filename |
アーカイブに指定する名前です。指定する name は、content_name キーワードの値になります。
flarcreate コマンドには、Solaris フラッシュアーカイブをカスタマイズするためのオプションをいくつか指定できます。これらのオプションの詳細な説明は、『Solaris 10 5/08 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の第 5 章「Solaris フラッシュ (リファレンス)」を参照してください。
インストールサーバーのドキュメントルートディレクトリにある Solaris フラッシュサブディレクトリへのパスです。
アーカイブファイルの名前です。
ディスク容量を節約するために、flarcreate コマンドに -c オプションを指定してアーカイブを圧縮することもできます。ただし、アーカイブを圧縮すると、WAN ブートインストールのパフォーマンスに影響する場合があります。圧縮されたアーカイブの作成に関する詳細は、flarcreate(1M) のマニュアルページを参照してください。
アーカイブの作成が正常に完了すると、flarcreate コマンドは終了コード 0 を返します。
アーカイブの作成が失敗すると、flarcreate コマンドは 0 以外の終了コードを返します。
この例では、wanserver というホスト名を持つ WAN ブートサーバーシステムのクローンを作成して、Solaris フラッシュアーカイブを作成します。このアーカイブは sol_10_sparc という名前で、マスターシステムから正確にコピーされます。アーカイブはマスターシステムの完全な複製です。アーカイブは sol_10_sparc.flar に格納されます。WAN ブートサーバーのドキュメントルートディレクトリの flash/archives サブディレクトリにこのアーカイブを保存します。
wanserver# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
Solaris フラッシュアーカイブを作成したあと、sysidcfg ファイルでクライアント情報を事前設定します。手順については、「sysidcfg ファイルを作成する方法」を参照してください。
Solaris フラッシュアーカイブの作成方法の詳細は、『Solaris 10 5/08 インストールガイド (Solaris フラッシュアーカイブの作成とインストール)』の第 3 章「Solaris フラッシュアーカイブの作成 (作業)」を参照してください。
flarcreate コマンドの詳細は、flarcreate(1M) のマニュアルページを参照してください。
sysidcfg ファイルに一連のキーワードを指定すると、システムを事前設定できます。
sysidcfg ファイルを作成するには、次の手順に従ってください。
Solaris フラッシュアーカイブを作成します。詳細は、「Solaris フラッシュアーカイブを作成する方法」を参照してください。
インストールサーバーで、テキストエディタを使って sysidcfg というファイルを作成します。
必要な sysidcfg のキーワードを入力します。
sysidcfg のキーワードの詳細については、「sysidcfg ファイルキーワード」を参照してください。
WAN ブートサーバーがアクセスできる場所に、この sysidcfg ファイルを保存します。
このファイルを次のどちらかの場所に保存します。
SPARC ベースのシステムで使用される sysidcfg ファイルの例を次に示します。このシステムのホスト名、IP アドレス、およびネットマスクは、ネームサービスを編集することにより、すでに事前設定されています。
network_interface=primary {hostname=wanclient default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.255.255) domain_name=mind.over.example.com } security_policy=none
sysidcfg ファイルを作成したあと、クライアントのカスタム JumpStart プロファイルを作成します。手順については、「プロファイルを作成する方法」を参照してください。
sysidcfg のキーワードと値の詳細については、「sysidcfg ファイルによる事前設定」を参照してください。
プロファイルは、システムへの Solaris ソフトウェアのインストール方法をカスタム JumpStart プログラムに指示するテキストファイルです。プロファイルには、インストール要素 (インストールするソフトウェアグループなど) を指定します。
プロファイルの作成方法の詳細は、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルの作成」を参照してください。
プロファイルを作成するには、次の手順に従ってください。
クライアント用の sysidcfg ファイルを作成します。詳細は、「sysidcfg ファイルを作成する方法」を参照してください。
インストールサーバーで、テキストファイルを作成します。ファイルにわかりやすい名前を付けます。
プロファイルには、システムに Solaris ソフトウェアをインストールする際の使用目的を表すような名前を付けてください。たとえば、basic_install、eng_profile、user_profile などのプロファイル名を付けます。
プロファイルにプロファイルキーワードと値を追加します。
プロファイルキーワードと値の一覧については、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルキーワードと値」を参照してください。
プロファイルキーワードとプロファイル値には、大文字と小文字の区別があります。
WAN ブートサーバーがアクセスできる場所に、このプロファイルを保存します。
このプロファイルを次のどちらかの場所に保存します。
WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
プロファイルの所有者が root で、そのアクセス権が 644 に設定されていることを確認します。
(省略可能) プロファイルをテストします。
プロファイルのテストに関する情報については、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルのテスト」を参照してください。
次の例のプロファイルは、カスタム JumpStart プログラムがセキュリティ保護された HTTP サーバーから Solaris フラッシュアーカイブを取得するように指定しています。
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/sol_10_sparc.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
この例で使用されているキーワードと値の一部について、次のリストで説明します。
このプロファイルにより、Solaris フラッシュアーカイブがクローンシステムにインストールされます。すべてのファイルは、初期インストールにより上書きされます。
圧縮された Solaris フラッシュアーカイブが HTTPS サーバーから取得されます。
値が explicit であるため、ファイルシステムスライスは filesys キーワードによって指定します。ルート (/) のサイズは Solaris フラッシュアーカイブのサイズに基づいて割り当てています。swap は、必要なサイズを割り当てた上で、c0t1d0s1 上にインストールされるように設定しています。/export/home のサイズは残りのディスク容量に基づいて決定されます。/export/home は c0t1d0s7 上にインストールされます。
プロファイルを作成したあと、rules ファイルの作成と妥当性検査を行う必要があります。手順については、「rules ファイルを作成する方法」を参照してください。
プロファイルの作成方法の詳細は、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルの作成」を参照してください。
プロファイルキーワードと値の詳細は、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「プロファイルキーワードと値」を参照してください。
rules ファイルは、Solaris OS のインストール先となる各システムグループのルールを記述したテキストファイルです。各ルールは 1 つ以上のシステム属性にもとづいてシステムグループを識別し、各グループをプロファイルにリンクします。プロファイルは、グループ内の各システムに Solaris ソフトウェアがどのようにインストールされるかを定義するテキストファイルです。たとえば、次のルールは JumpStart プログラムが basic_prof プロファイル内の情報を使用し、sun4u プラットフォームグループを持つすべてのシステムに対してインストールを実行することを示します。
karch sun4u - basic_prof - |
rules ファイルを使用して、カスタム JumpStart インストールに必要な rules.ok ファイルを作成します。
rules ファイルの作成方法の詳細は、 『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「rules ファイルの作成」を参照してください。
rules ファイルを作成するには、次の手順に従ってください。
クライアント用のプロファイルを作成します。詳細は、「プロファイルを作成する方法」を参照してください。
インストールサーバーで、rules という名前のテキストファイルを作成します。
インストール対象であるシステムのグループごとに、適用するルールを rules ファイルに追加します。
rules ファイルの作成方法の詳細は、 『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「rules ファイルの作成」を参照してください。
インストールサーバーに rules ファイルを保存します。
$ ./check -p path -r file-name |
使用しているシステムの check スクリプトではなく Solaris 最新リリースソフトウェアイメージの check スクリプトを使用して rules の妥当性検査を行います。path は、ローカルディスク、マウントされた Solaris DVD、または Solaris SOFTWARE - 1 CD 上のイメージです。
システムが以前のバージョンの Solaris OS を実行している場合、このオプションを使用して、最新バージョンの check スクリプトを実行します。
名前が rules 以外の rules ファイル名を指定します。このオプションを使用すると、rules ファイルに組み込む前にルールの妥当性を検査できます。
check スクリプトを実行すると、rules ファイルの有効性と各プロファイルの有効性の検査結果が表示されます。エラーが検出されないと、The custom JumpStart configuration is ok と表示されます。check スクリプトによって rules.ok ファイルが作成されます。
WAN ブートサーバーがアクセスできる場所に、この rules.ok ファイルを保存します。
このファイルを次のどちらかの場所に保存します。
WAN ブートサーバーとインストールサーバーが同じマシンに置かれている場合は、WAN ブートサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
WAN ブートサーバーとインストールサーバーがそれぞれ別のマシンに置かれている場合は、インストールサーバーのドキュメントルートディレクトリの flash サブディレクトリにこのファイルを保存します。
root が rules.ok ファイルを所有していて、そのアクセス権が 644 に設定されていることを確認します。
カスタム JumpStart プログラムでは、wanclient-1 システム用の正しいインストールプロファイルを選択するために、rules ファイルが使用されます。rules という名前のテキストファイルを作成します。次に、このファイルにキーワードと値を追加します。
クライアントシステムの IP アドレスは 192.168.198.210 で、ネットマスクは 255.255.255.0 です。network ルールキーワードを使って、カスタム JumpStart プログラムでクライアントのインストールに使用するプロファイルを指定します。
network 192.168.198.0 - wanclient_prof - |
この rules ファイルは、wanclient_prof を使ってクライアントに Solaris 最新リリースソフトウェアをインストールするよう、カスタム JumpStart プログラムに指示します。
このルールファイルに wanclient_rule という名前を付けます。
プロファイルと rules ファイルを作成したあと、check スクリプトを実行して、ファイルの妥当性を検査します。
wanserver# ./check -r wanclient_rule |
check スクリプトによってエラーが検出されない場合は、rules.ok ファイルが作成されます。
rules.ok ファイルを /opt/apache/htdocs/flash/ ディレクトリに保存します。
rules.ok ファイルを作成したあと、必要に応じて開始スクリプトと終了スクリプトを設定できます。手順については、「(省略可能) 開始スクリプトと終了スクリプトの作成」を参照してください。
開始スクリプトと終了スクリプトを設定しない場合は、「構成ファイルの作成」を参照して WAN ブートインストールを続行します。
rules ファイルの作成方法の詳細は、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「rules ファイルの作成」を参照してください。
rules ファイルのキーワードと値の詳細は、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「ルールキーワードと値の説明」を参照してください。
「開始スクリプト」と「終了スクリプト」は、ユーザーが定義する Bourne シェルスクリプトで、rules ファイル内で指定します。開始スクリプトは、Solaris ソフトウェアがシステムにインストールされる前に作業を実行します。終了スクリプトは、Solaris ソフトウェアがシステムにインストールされたあと、システムがリブートする前に作業を実行します。これらのスクリプトは、カスタム JumpStart インストールで Solaris をインストールするときのみ使用できます。
開始スクリプトを使用すると、派生プロファイルを作成できます。終了スクリプトを使用すると、ファイル、パッケージ、パッチ、ほかのソフトウェアの追加など、各種のポストインストール作業を実行できます。
開始スクリプトと終了スクリプトは、インストールサーバー上で sysidcfg、rules.ok、およびプロファイルの各ファイルと同じディレクトリに保存する必要があります。
開始スクリプトの作成方法の詳細は、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「開始スクリプトの作成」を参照してください。
終了スクリプトの作成方法の詳細は、『Solaris 10 5/08 インストールガイド (カスタム JumpStart/ 上級編)』の「終了スクリプトの作成」を参照してください。
WAN ブートインストールの準備を続行するには、「構成ファイルの作成」を参照してください。
WAN ブートでは、WAN ブートインストールに必要なデータとファイルの場所が、次のファイルによって指定されます。
システム構成ファイル (system.conf)
wanboot.conf ファイル
ここでは、これら 2 つのファイルの作成方法と保存方法について説明します。
システム構成ファイルでは、次のファイルの場所を WAN ブートインストールプログラムに指示できます。
sysidcfg ファイル
rules.ok ファイル
カスタム JumpStart プロファイル
WAN ブートは、システム構成ファイルのポインタに従って、クライアントに対してインストールと構成を行います。
システム構成ファイルは、プレーンテキストファイルで、次の書式に従う必要があります。
設定=値 |
システム構成ファイルを使って sysidcfg、rules.ok、およびプロファイルの各ファイルの場所を WAN インストールプログラムに指示するには、次の手順を実行します。
システム構成ファイルを作成する前に、WAN ブートインストール用のインストールファイルを作成する必要があります。詳細は、「カスタム JumpStart インストールファイルの作成」を参照してください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
sysidcfg ファイルが置かれているインストールサーバー上の flash ディレクトリを指定します。この URL は、「sysidcfg ファイルを作成する方法」で作成した sysidcfg ファイルへのパスと一致するようにしてください。
rules.ok ファイル、プロファイルファイル、および開始スクリプトと終了スクリプトが置かれているインストールサーバー上の Solaris フラッシュディレクトリを指定します。この URL は、「プロファイルを作成する方法」および 「rules ファイルを作成する方法」で作成したカスタム JumpStart ファイルへのパスと一致するようにしてください。
HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。
WAN ブートサーバーがアクセスできるディレクトリに、このファイルを保存します。
管理上の目的から、WAN ブートサーバーの /etc/netboot ディレクトリにある適切なクライアントのディレクトリに、このファイルを保存することもできます。
システム構成ファイルのアクセス権を 600 に変更します。
# chmod 600 /path/system-conf-file |
次の例の WAN ブートプログラムは、ポート 1234 上の Web サーバー https://www.example.com で、sysidcfg ファイルとカスタム JumpStart ファイルを検索します。インストール時、Web サーバーは HTTPS を使ってデータとファイルを暗号化します。
sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ /opt/apache/htdocs の flash サブディレクトリに置かれています。
SsysidCF=https://www.example.com:1234/flash SjumpsCF=https://www.example.com:1234/flash
次の例で、WAN ブートプログラムは、Web サーバー http://www.example.com で sysidcfg ファイルとカスタム JumpStart ファイルを検索します。Web サーバーは HTTP を使用するため、インストール時にデータやファイルは保護されません。
sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリ /opt/apache/htdocs の flash サブディレクトリに置かれています。
SsysidCF=http://www.example.com/flash SjumpsCF=http://www.example.com/flash
システム構成ファイルを作成したあと、wanboot.conf ファイルを作成します。手順については、「wanboot.conf ファイルを作成する方法」を参照してください。
wanboot.conf ファイルは、プレーンテキストの構成ファイルで、WAN インストールを実行するために WAN ブートプログラムで使用されます。wanboot-cgi プログラム、ブートファイルシステム、および WAN ブートミニルートはすべて、wanboot.conf ファイルに保存されている情報を使ってクライアントマシンのインストールを行います。
WAN ブートサーバー上の /etc/netboot ディレクトリにある該当のクライアントのサブディレクトリに、この wanboot.conf ファイルを保存してください。/etc/netboot ディレクトリを使って WAN ブートインストールの適用範囲を定義する方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
WAN ブートサーバーで Solaris 最新リリースが稼働している場合は、/etc/netboot/wanboot.conf.sample に wanboot.conf ファイルの例があります。この例は、WAN ブートインストール用のテンプレートとして使用できます。
wanboot.conf ファイルには、次の情報を指定する必要があります。
これらの情報を指定するには、パラメータとその値を次の書式で列挙します。
パラメータ=値 |
wanboot.conf ファイルのパラメータと構文については、「wanboot.conf ファイルのパラメータと構文」を参照してください。
wanboot.conf ファイルを作成するには、次の手順に従ってください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
wanboot.conf テキストファイルを作成します。
wanboot.conf という名前の新しいテキストファイルを作成するか、/etc/netboot/wanboot.conf.sample にあるファイル例を使用します。ファイル例を使用する場合は、パラメータを追加したあとで、ファイルの名前を wanboot.conf に変更してください。
インストール用のパラメータと値を wanboot.conf に入力します。
wanboot.conf のパラメータと値については、「wanboot.conf ファイルのパラメータと構文」を参照してください。
/etc/netboot ディレクトリの適切なサブディレクトリに wanboot.conf ファイルを保存します。
/etc/netboot ディレクトリの作成方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
# bootconfchk /etc/netboot/path-to-wanboot.conf/wanboot.conf |
WAN ブートサーバーにあるクライアントの wanboot.conf ファイルへのパスを指定します
wanboot.conf ファイルが構造的に有効であれば、bootconfchk コマンドは終了コード 0 を返します。
wanboot.conf ファイルが無効であれば、bootconfchk コマンドは 0 以外の終了コードを返します。
wanboot.conf ファイルのアクセス権を 600 に変更します。
# chmod 600 /etc/netboot/path-to-wanboot.conf/wanboot.conf |
次の wanboot.conf ファイル例には、HTTPS を使った WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで 3DES 暗号化鍵を使用することも指示されています。
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com:1234/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger=https://www.example.com:1234/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
この wanboot.conf ファイルで指定されている構成は次のとおりです。
二次レベルのブートプログラムの名前は wanboot.s10_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。
WAN ブートサーバー上の wanboot-cgi プログラムの場所は https://www.example.com:1234/cgi-bin/wanboot-cgi です。URL の https という部分は、この WAN ブートインストールで HTTPS を使用することを示しています。
WAN ブートミニルートの名前は miniroot.s10_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot ディレクトリに置かれています。
wanboot.s10_sparc プログラムと WAN ブートファイルシステムは、HMAC SHA1 ハッシュキーで署名されます。
wanboot.s10_sparc プログラムとブートファイルシステムは、3DES 暗号化鍵で暗号化されます。
インストール時にサーバー認証が行われます。
インストール時にクライアント認証は行われません。
WAN インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。
(省略可能) ブートログメッセージおよびインストールログメッセージが、WAN ブートサーバー上で HTTPS を使用して記録されます。
WAN ブートインストールのログサーバーの設定方法については、「(省略可能) WAN ブートログサーバーを構成する方法」を参照してください。
sysidcfg ファイルと JumpStart ファイルの場所が記述されたシステム構成ファイルは、/etc/netboot ディレクトリのサブディレクトリに置かれています。システム構成ファイルの名前は sys-conf.s10–sparc です。
次の wanboot.conf ファイル例には、HTTP を使ったセキュリティーの低い WAN インストールを行うための構成情報が記述されています。この wanboot.conf ファイルには、インストールで暗号化鍵やハッシュキーを使用しないことも指示されています。
boot_file=/wanboot/wanboot.s10_sparc root_server=http://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type= encryption_type= server_authentication=no client_authentication=no resolve_hosts= boot_logger=http://www.example.com/cgi-bin/bootlog-cgi system_conf=sys-conf.s10–sparc
この wanboot.conf ファイルで指定されている構成は次のとおりです。
二次レベルのブートプログラムの名前は wanboot.s10_sparc です。このプログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内の /wanboot ディレクトリに置かれています。
WAN ブートサーバー上の wanboot-cgi プログラムの場所は http://www.example.com/cgi-bin/wanboot-cgi です。このインストールでは HTTPS を使用しません。
WAN ブートミニルートの名前は miniroot.s10_sparc です。このミニルートは、WAN ブートサーバーのドキュメントルートディレクトリ内の /miniroot サブディレクトリに置かれています。
wanboot.s10_sparc プログラムと WAN ブートファイルシステムは、ハッシュキーで署名されません。
wanboot.s10_sparc プログラムとブートファイルシステムは、暗号化されません。
インストール時に、キーや証明書によるサーバー認証は行われません。
インストール時に、キーや証明書によるクライアント認証は行われません。
インストールの実行に必要な追加のホスト名はありません。必要なファイルと情報はすべて、WAN ブートサーバーのドキュメントルートディレクトリに置かれています。
(省略可能) WAN ブートサーバー上でブートログメッセージおよびインストールログメッセージが記録されます。
WAN ブートインストールのログサーバーの設定方法については、「(省略可能) WAN ブートログサーバーを構成する方法」を参照してください。
sysidcfg ファイルと JumpStart ファイルの場所が記述されたシステム構成ファイルは、sys-conf.s10–sparc という名前です。このファイルは、/etc/netboot ディレクトリにある適切なクライアントのサブディレクトリに置かれています。
wanboot.conf ファイルを作成したあと、必要に応じて、WAN ブートをサポートするように DHCP サーバーを構成できます。手順については、「(省略可能) DHCP による構成情報の提供」を参照してください。
WAN ブートインストールで DHCP サーバーを使用しない場合は、「クライアント OBP の net デバイス別名を確認する方法」を参照して WAN ブートインストールを続行します。
wanboot.conf のパラメータと値については、「wanboot.conf ファイルのパラメータと構文」および wanboot.conf(4) のマニュアルページを参照してください。
ネットワークで DHCP サーバーを使用する場合は、次の情報を提供するように DHCP サーバーを構成できます。
プロキシサーバーの IP アドレス
wanboot-cgi プログラムの場所
WAN ブートインストールでは、次の DHCP ベンダーオプションを使用できます。
Solaris DHCP サーバーにこれらのベンダーオプションを設定する方法については、「DHCP サービスによるシステム構成情報の事前設定 (作業)」を参照してください。
Solaris DHCP サーバーの設定方法の詳細は、『Solaris のシステム管理 (IP サービス)』の第 14 章「DHCP サービスの構成 (手順)」を参照してください。
WAN ブートインストールを続行するには、第 12 章「SPARC: WAN ブートによるインストール (作業)」を参照してください。
この章では、SPARC ベースのクライアントに対して WAN ブートインストールを実行する方法について説明します。WAN ブートインストールの準備方法については、第 11 章「WAN ブート によるインストール (作業)」を参照してください。
この章の内容は次のとおりです。
次の表では、クライアントのインストールを WAN 経由で実行するために必要な作業の一覧を示しています。
表 12–1 作業マップ: WAN ブートインストールの実行
作業 |
説明 |
参照先 |
---|---|---|
WAN ブートインストールを行うためにネットワークを準備します。 |
WAN ブートインストールの実行に必要なサーバーとファイルを設定します。 | |
クライアントの OBP に net デバイス別名が正しく設定されていることを確認します。 |
devalias コマンドを使って、net デバイス別名に 1 次ネットワークインタフェースが設定されていることを確認します。 | |
クライアントにキーを提供します。 |
OBP の変数を設定するか、インストール時にキーの値を入力することで、クライアントにキーを提供します。 この作業は、セキュリティー保護されたインストール構成に必要です。セキュリティー保護されていないインストールで、データの完全性をチェックする場合は、この作業を実行して HMAC SHA1 ハッシュキーをクライアントに提供します。 | |
クライアントに対して広域ネットワーク経由でインストールを実行します。 |
適切な方法を選択してクライアントのインストールを実行します。 |
クライアントシステムのインストールを行う前に、次の作業を実行してクライアントを準備してください。
boot net コマンドを使って WAN からクライアントをブートするには、net デバイス別名にクライアントの主ネットワークデバイスが設定されている必要があります。ほとんどのシステムで、この別名はすでに正しく設定されています。ただし、使用するネットワークデバイスがデバイス別名に設定されていない場合は、別名を変更する必要があります。
デバイス別名の設定方法の詳細は、『OpenBoot 3.x コマンド・リファレンスマニュアル』の「デバイスツリー」を参照してください。
クライアント上で net デバイス別名を確認するには、次の手順に従ってください。
クライアント上で、スーパーユーザー、またはそれと同等の役割になります。
システムを実行レベル 0 にします。
# init 0 |
ok プロンプトが表示されます。
ok プロンプトで、OBP に設定されているデバイス別名を調べます。
ok devalias |
devalias コマンドは、次の例のような情報を出力します。
screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
インストール時に使用するネットワークデバイスが net 別名に設定されている場合は、別名を設定し直す必要はありません。「クライアントに対するキーのインストール」に進み、インストールを続行します。
使用するネットワークデバイスが net 別名に設定されていない場合は、別名を設定し直す必要があります。次の手順へ進みます。
net デバイス別名を設定します。
次のどちらかのコマンドを使って、net デバイス別名を設定します。
次のコマンドは、net デバイス別名を確認して設定し直す方法を示しています。
デバイス別名を調べます。
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
/pci@1f,0/pci@1,1/network@5,1 というネットワークデバイスを使用する場合は、次のコマンドを入力します。
ok devalias net /pci@1f,0/pci@1,1/network@5,1 |
net デバイス別名を確認したあと、適切な節を参照してインストールを続行します。
インストールでハッシュキーと暗号化鍵を使用する場合は、「クライアントに対するキーのインストール」を参照してください。
キーを使用せずに、セキュリティー保護されていないインストールを実行する場合は、「クライアントのインストール」を参照してください。
より高いセキュリティーで保護された WAN ブートインストールを行う場合や、セキュリティー保護されていないインストールでデータの完全性をチェックする場合は、クライアントにキーをインストールする必要があります。ハッシュキーや暗号化鍵を使用すると、クライアントに転送されるデータを保護できます。これらのキーは、次の方法でインストールできます。
OBP 変数を設定する – クライアントをブートする前に、OBP のネットワークブート引数にキーの値を設定します。これらのキーは、クライアントに対する以降の WAN ブートインストールで使用されます。
ブート処理中にキーの値を入力する – wanboot プログラムの boot> プロンプトで、キーの値を設定します。この方法でインストールしたキーは、現在の WAN ブートインストールだけに使用されます。
動作中のクライアントの OBP にキーをインストールすることもできます。動作中のクライアントにキーをインストールするには、そのシステムが Solaris 9 12/03 OS またはその互換バージョンで稼働していることが必要です。
クライアントにキーをインストールするときには、必ずセキュリティー保護された接続を使用して、キーの値を転送してください。キーの値の機密性を確保するために、サイトのセキュリティーポリシーに従ってください。
OBP のネットワークブート引数にキーの値を割り当てる方法については、「クライアントの OBP にキーをインストールする方法」を参照してください。
ブート処理中にキーをインストールする方法については、「対話式 WAN ブートインストールを実行する方法」を参照してください。
動作中のクライアントの OBP にキーをインストールする方法については、「動作中のクライアントにハッシュキーと暗号化鍵をインストールする方法」を参照してください。
クライアントをブートする前に、OBP のネットワークブート引数にキーの値を設定できます。これらのキーは、クライアントに対する以降の WAN ブートインストールで使用されます。
クライアントの OBP にキーをインストールするには、次の手順に従ってください。
OBP のネットワークブート引数にキーの値を割り当てるには、次の手順に従ってください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
クライアントの各キーの値を表示します。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
クライアントのサブネットの IP アドレスを指定します。
インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。
キーの値が 16 進数で表示されます。
クライアントにインストールする各キータイプについて、上記の手順を繰り返します。
クライアントシステムの実行レベルを 0 にします。
# init 0 |
ok プロンプトが表示されます。
クライアントの ok プロンプトで、ハッシュキーの値を設定します。
ok set-security-key wanboot-hmac-sha1 key-value |
クライアントにキーをインストールします
HMAC SHA1 ハッシュキーをインストールするよう OBP に指示します
手順 2 で表示された 16 進数の文字列を指定します。
HMAC SHA1 ハッシュキーがクライアントの OBP にインストールされます。
クライアントの ok プロンプトで、暗号化鍵をインストールします。
ok set-security-key wanboot-3des key-value |
クライアントにキーをインストールします
3DES 暗号化鍵をインストールするよう OBP に指示します。AES 暗号化鍵を使用する場合は、この値を wanboot-aes にしてください。
暗号化鍵を表す 16 進数の文字列を指定します。
3DES 暗号化鍵がクライアントの OBP にインストールされます。
キーをインストールしたら、クライアントに対するインストールの準備は完了です。クライアントシステムのインストール方法については、「クライアントのインストール」を参照してください。
(省略可能) クライアントの OBP にキーが設定されていることを確認します。
ok list-security-keys Security Keys: wanboot-hmac-sha1 wanboot-3des |
(省略可能) キーを削除するには、次のコマンドを入力します。
ok set-security-key key-type |
次の例は、クライアントの OBP にハッシュキーと暗号化鍵をインストールする方法を示しています。
WAN ブートサーバー上でキーの値を表示します。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
上記の例では、次の情報が使用されています。
クライアントのサブネットの IP アドレスを指定します。
クライアント ID を指定します。
クライアントの HMAC SHA1 ハッシュキーの値です。
クライアントの 3DES 暗号化鍵の値です。
インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、wanboot-3des を wanboot-aes に変更します。
クライアントシステムにキーをインストールします。
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
上記のコマンドは、次の処理を実行します。
b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントにインストールします
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントにインストールします
インストールで AES 暗号化鍵を使用する場合は、wanboot-3des を wanboot-aes に変更します。
クライアントにキーをインストールしたら、クライアントに対する WAN インストールの準備は完了です。手順については、「クライアントのインストール」を参照してください。
キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。
wanboot プログラムの boot> プロンプトで、動作中のシステムにキーの値を設定できます。この方法でインストールしたキーは、現在の WAN ブートインストールだけに使用されます。
動作中のクライアントの OBP にハッシュキーと暗号化鍵をインストールするには、次の手順に従ってください。
この手順では、次のように仮定します。
クライアントシステムの電源は入っている。
Secure Shell (ssh) などのセキュリティー保護された接続を介してクライアントにアクセスできる。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
クライアントの各キーの値を表示します。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
クライアントのサブネットの IP アドレスを指定します。
インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。
キーの値が 16 進数で表示されます。
クライアントにインストールする各キータイプについて、上記の手順を繰り返します。
クライアントマシン上で、スーパーユーザー、またはそれと同等の役割になります。
動作中のクライアントマシンに、必要なキーをインストールします。
# /usr/lib/inet/wanboot/ickey -o type=key-type > key-value |
クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。
手順 2 で表示された 16 進数の文字列を指定します。
クライアントにインストールする各キータイプについて、上記の手順を繰り返します。
キーをインストールしたら、クライアントに対するインストールの準備は完了です。クライアントシステムのインストール方法については、「クライアントのインストール」を参照してください。
次の例は、動作中のクライアントの OBP にキーをインストールする方法を示しています。
WAN ブートサーバー上でキーの値を表示します。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
上記の例では、次の情報が使用されています。
クライアントのサブネットの IP アドレスを指定します。
クライアント ID を指定します。
クライアントの HMAC SHA1 ハッシュキーの値です。
クライアントの 3DES 暗号化鍵の値です。
インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3des を type=aes に変更します。
動作中のクライアントの OBP にキーをインストールします。
# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
上記のコマンドは、次の処理を実行します。
b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントにインストールします
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントにインストールします
クライアントにキーをインストールしたら、クライアントに対する WAN インストールの準備は完了です。手順については、「クライアントのインストール」を参照してください。
キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。
動作中のシステムにキーをインストールする方法については、ickey(1M) のマニュアルページを参照してください。
WAN ブートインストールを行うためのネットワークの準備が完了したら、システムのインストール方法を次の中から選択できます。
表 12–2 クライアントのインストール方法
方法 |
説明 |
参照先 |
---|---|---|
自動インストール |
クライアントにキーをインストールしたりクライアント構成情報を設定したりしてからクライアントをブートする場合は、このインストール方法を使用します。 |
|
対話式インストール |
ブート処理中にクライアント構成情報を設定する場合は、このインストール方法を使用します。 | |
DHCP サーバーを使ったインストール |
インストール時にクライアント構成情報を提供するようにネットワークの DHCP サーバーを構成した場合は、このインストール方法を使用します。 |
|
ローカルの CD メディアを使ったインストール |
クライアントの OBP が WAN ブートに対応していない場合は、Solaris SOFTWARE CD のローカルコピーからクライアントをブートします。 |
|
インストールを実行する前にクライアントにキーをインストールしたりクライアント構成情報を設定したりする場合は、このインストール方法を使用します。この場合、WAN からクライアントをブートし、自動的にインストールを実行できます。
この手順では、すでにクライアントの OBP にキーをインストールしてあるか、またはセキュリティー保護されないインストールを実行していると仮定します。インストール前にクライアントにキーをインストールする方法については、「クライアントに対するキーのインストール」を参照してください。
クライアントシステムが動作中の場合は、システムの実行レベルを 0 にします。
# init 0 |
ok プロンプトが表示されます。
クライアントシステムの ok プロンプトで、OBP のネットワークブート引数を設定します。
ok setenv network-boot-arguments host-ip=client-IP, router-ip=router-ip,subnet-mask=mask-value, hostname=client-name,http-proxy=proxy-ip:port, file=wanbootCGI-URL |
このコマンド例には、読みやすいように改行が挿入されています。実際には、改行を挿入せずにコマンド全体を入力してください。
Web サーバー上の wanboot-cgi プログラムの URL を指定します
クライアントをブートします。
ok boot net - install |
ネットワークブート引数を使って WAN からブートするよう、クライアントに指示します
クライアントのインストールが WAN 経由で実行されます。WAN ブートプログラムに必要なインストール情報が見つからない場合、不足している情報の入力を求めるプロンプトが wanboot プログラムから表示されます。プロンプトに追加情報を入力します。
次の例では、マシンのブート前に、クライアントシステム myclient のネットワークブート引数を設定します。この例では、クライアントにハッシュキーと暗号化鍵がすでにインストールされていると仮定します。WAN からブートする前にキーをインストールする方法については、「クライアントに対するキーのインストール」を参照してください。
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192 hostname=myclient,file=http://192.168.198.135/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
次の変数が設定されます。
クライアントの IP アドレスは 192.168.198.136 に設定されます。
クライアントのルーター IP アドレスは 192.168.198.129 に設定されます。
クライアントのサブネットマスクは 255.255.255.192 に設定されます。
クライアントのホスト名は seahag に設定されます。
wanboot-cgi プログラムは http://192.168.198.135/cgi-bin/wanboot-cgi に置かれています。
ネットワークブート引数を設定する方法については、set(1) のマニュアルページを参照してください。
システムをブートする方法については、boot(1M) のマニュアルページを参照してください。
インストール時にコマンド行からクライアントにキーをインストールしたりクライアント構成情報を設定したりする場合は、このインストール方法を使用します。
この手順では、WAN インストールで HTTPS を使用していると仮定します。セキュリティー保護されないインストールを実行する場合で、キーを使用しないときは、クライアントのキーの表示やインストールを行わないでください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
クライアントの各キーの値を表示します。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
インストール対象であるクライアントのサブネットの IP アドレスを指定します。
インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。
キーの値が 16 進数で表示されます。
クライアントにインストールする各キータイプについて、上記の手順を繰り返します。
クライアントシステムが動作中の場合は、システムの実行レベルを 0 にします。
クライアントシステムの ok プロンプトで、OBP のネットワークブート引数を設定します。
ok setenv network-boot-arguments host-ip=client-IP,router-ip=router-ip, subnet-mask=mask-value,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL |
このコマンド例には、読みやすいように改行が挿入されています。実際には、改行を挿入せずにコマンド全体を入力してください。
次のブート引数を設定するよう OBP に指示します
クライアントの IP アドレスを指定します
ネットワークルーターの IP アドレスを指定します
サブネットマスクの値を指定します
クライアントのホスト名を指定します
Web サーバー上の wanboot-cgi プログラムの URL を指定します
bootserver 変数の URL 値に HTTPS URL を指定することはできません。URL は http:// で開始する必要があります。
クライアントの ok プロンプトで、システムをブートします。
ok boot net -o prompt - install |
ネットワークからブートとインストールを行うよう、クライアントに指示します。wanboot プログラムは、クライアント構成情報の入力を求める boot> プロンプトを表示します。
boot> プロンプトが表示されます。
boot> 3des=key-value |
手順 2 で表示された 3DES 暗号化鍵の 16 進数の文字列を指定します。
AES 暗号化鍵を使用する場合は、次のコマンドを使用してください。
boot> aes=key-value |
ハッシュキーをインストールします。
boot> sha1=key-value |
手順 2 で表示されたハッシュキーの値を指定します。
次のコマンドを入力して、ブート処理を続行します。
boot> go |
クライアントのインストールが WAN 経由で実行されます。
プロンプトが表示されたら、クライアント構成情報をコマンド行に入力します。
WAN ブートプログラムに必要なインストール情報が見つからない場合、不足している情報の入力を求めるプロンプトが wanboot プログラムから表示されます。プロンプトに追加情報を入力します。
次の例では、インストール時に wanboot プログラムから、クライアントシステムのキーの値を入力するようプロンプトが表示されます。
WAN ブートサーバー上でキーの値を表示します。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
上記の例では、次の情報が使用されています。
クライアントのサブネットの IP アドレスを指定します。
クライアント ID を指定します。
クライアントの HMAC SHA1 ハッシュキーの値です。
クライアントの 3DES 暗号化鍵の値です。
インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3des を type=aes に変更します。
クライアントの OBP のネットワークブート引数を設定します。
ok setenv network-boot-arguments host-ip=192.168.198.136, router-ip=192.168.198.129,subnet-mask=255.255.255.192,hostname=myclient, bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi |
次の変数が設定されます。
クライアントの IP アドレスは 192.168.198.136 に設定されます。
クライアントのルーター IP アドレスは 192.168.198.129 に設定されます。
クライアントのサブネットマスクは 255.255.255.192 に設定されます。
クライアントのホスト名は myclient に設定されます。
wanboot-cgi プログラムは http://192.168.198.135/cgi-bin/wanboot-cgi に置かれています。
クライアントのブートとインストールを実行します。
ok boot net -o prompt - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net -o prompt Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> go |
上記のコマンドは、次の処理を実行します。
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントにインストールします
b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントにインストールします
インストールを開始します
キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。
ネットワークブート引数を設定する方法については、set(1) のマニュアルページを参照してください。
システムをブートする方法については、boot(1M) のマニュアルページを参照してください。
WAN ブートオプションをサポートするように DHCP サーバーを構成した場合、DHCP サーバーを使ってインストール時にクライアント構成情報を提供できます。WAN ブートインストールをサポートするように DHCP サーバーを構成する方法については、「(省略可能) DHCP による構成情報の提供」を参照してください。
この手順では、次のように仮定します。
クライアントシステムが動作中である。
すでにクライアントにキーをインストールしてあるか、またはセキュリティー保護されないインストールを実行している。
インストール前にクライアントにキーをインストールする方法については、「クライアントに対するキーのインストール」を参照してください。
SbootURI および SHTTPproxy WAN ブートオプションをサポートするように DHCP サーバーを構成してある。
これらのオプションは、WAN ブートに必要な構成情報を DHCP サーバーで提供できるようにします。
DHCP サーバーにインストールオプションを設定する方法については、「DHCP サービスによるシステム構成情報の事前設定 (作業)」を参照してください。
クライアントシステムが動作中の場合は、システムの実行レベルを 0 にします。
# init 0 |
ok プロンプトが表示されます。
クライアントシステムの ok プロンプトで、OBP のネットワークブート引数を設定します。
ok setenv network-boot-arguments dhcp,hostname=client-name |
次のブート引数を設定するよう OBP に指示します
DHCP サーバーを使ってクライアントを構成するよう、OBP に指示します
クライアントに割り当てるホスト名を指定します
ネットワークからクライアントをブートします。
ok boot net - install |
ネットワークブート引数を使って WAN からブートするよう、クライアントに指示します
クライアントのインストールが WAN 経由で実行されます。WAN ブートプログラムに必要なインストール情報が見つからない場合、不足している情報の入力を求めるプロンプトが wanboot プログラムから表示されます。プロンプトに追加情報を入力します。
次の例では、ネットワーク上の DHCP サーバーからクライアント構成情報が提供されます。この例では、クライアントのホスト名として myclient を要求しています。
ok setenv network-boot-arguments dhcp, hostname=myclient ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install |
ネットワークブート引数を設定する方法については、set(1) のマニュアルページを参照してください。
システムをブートする方法については、boot(1M) のマニュアルページを参照してください。
DHCP サーバーを構成する方法については、「(省略可能) DHCP による構成情報の提供」を参照してください。
クライアントの OBP が WAN ブートに対応していない場合は、Solaris SOFTWARE - 1 CD をクライアントの CD-ROM ドライブに挿入して、インストールを実行できます。ローカル CD を使用する場合、クライアントは、WAN ブートサーバーからではなくローカルメディアから wanboot プログラムを取得します。
この手順では、WAN インストールで HTTPS を使用していると仮定します。セキュリティー保護されないインストールを実行する場合は、クライアントのキーの表示やインストールを行わないでください。
ローカル CD から WAN ブートインストールを実行するには、次の手順に従ってください。
WAN ブートサーバーで、Web サーバーユーザーと同じ役割になります。
クライアントの各キーの値を表示します。
# wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type |
インストール対象であるクライアントのネットワーク IP アドレスを指定します。
インストール対象であるクライアントの ID を指定します。クライアント ID は、ユーザーが定義した ID か、DHCP クライアント ID です。
クライアントにインストールするキーのタイプを指定します。指定できるキータイプは、3des、aes、または sha1 です。
キーの値が 16 進数で表示されます。
クライアントにインストールする各キータイプについて、上記の手順を繰り返します。
クライアントシステムの CD-ROM ドライブに Solaris SOFTWARE - 1 CD を挿入します。
クライアントシステムの電源を入れます。
CD からクライアントをブートします。
ok boot cdrom -o prompt -F wanboot - install |
ローカル CD-ROM からブートするよう、OBP に指示します。
クライアント構成情報の入力をユーザーに求めるよう、wanboot プログラムに指示します
CD-ROM から wanboot プログラムを読み込むよう、OBP に指示します
WAN ブートインストールを実行するよう、クライアントに指示します
クライアントの OBP は、Solaris SOFTWARE - 1 CD から wanboot プログラムを読み込みます。wanboot プログラムによってシステムがブートされ、boot> プロンプトが表示されます。
暗号化鍵の値を入力します。
boot> 3des=key-value |
手順 2 で表示された 3DES 暗号化鍵の 16 進数の文字列を指定します。
AES 暗号化鍵を使用する場合は、次のコマンドを使用してください。
boot> aes=key-value |
ハッシュキーの値を入力します。
boot> sha1=key-value |
手順 2 で表示されたハッシュキーの 16 進数の文字列を指定します。
ネットワークインタフェース変数を設定します。
boot> variable=value[,variable=value*] |
boot> プロンプトで、次の変数と値のペアを入力します。
クライアントの IP アドレスを指定します。
ネットワークルーターの IP アドレスを指定します。
サブネットマスクの値を指定します。
クライアントのホスト名を指定します。
ネットワークのプロキシサーバーの IP アドレスとポート番号を指定します。
Web サーバー上の wanboot-cgi プログラムの URL を指定します。
bootserver 変数の URL 値に HTTPS URL を指定することはできません。URL は http:// で開始する必要があります。
これらの変数は、次の方法で入力できます。
boot> プロンプトで、変数と値のペアを 1 組入力し、Return キーを押します。
boot> host-ip=client-IP boot> subnet-mask=mask-value |
boot> プロンプトで、変数と値のすべてのペアを 1 行に入力し、Return キーを押します。変数と値の各ペアを区切るには、コンマを使用します。
boot> host-ip=client-IP,subnet-mask=mask-value, router-ip=router-ip,hostname=client-name, http-proxy=proxy-ip:port,bootserver=wanbootCGI-URL |
次のコマンドを入力して、ブート処理を続行します。
boot> go |
クライアントのインストールが WAN 経由で実行されます。WAN ブートプログラムに必要なインストール情報が見つからない場合、不足している情報の入力を求めるプロンプトが wanboot プログラムから表示されます。プロンプトに追加情報を入力します。
次の例では、インストール時にローカル CD 上の wanboot プログラムから、クライアントのネットワークインタフェース変数を設定するようプロンプトが表示されます。
WAN ブートサーバー上でキーの値を表示します。
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 # wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
上記の例では、次の情報が使用されています。
クライアントのサブネットの IP アドレスを指定します。
クライアント ID を指定します。
クライアントの HMAC SHA1 ハッシュキーの値です。
クライアントの 3DES 暗号化鍵の値です。
インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3des を type=aes に変更します。
クライアントのブートとインストールを実行します。
ok boot cdrom -o prompt -F wanboot - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot cdrom -F wanboot - install Boot device: /pci@1f,0/network@c,1 File and args: -o prompt boot> 3des=9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 boot> sha1=b482aaab82cb8d5631e16d51478c90079cc1d463 boot> host-ip=192.168.198.124 boot> subnet-mask=255.255.255.128 boot> router-ip=192.168.198.1 boot> hostname=myclient boot> client-id=010003BA152A42 boot> bootserver=http://192.168.198.135/cgi-bin/wanboot-cgi boot> go |
上記のコマンドは、次の処理を実行します。
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵をクライアントに入力します
b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーをクライアントに入力します
クライアントの IP アドレスを 192.168.198.124 に設定します
クライアントのサブネットマスクを 255.255.255.128 に設定します
クライアントのルーターの IP アドレスを 192.168.198.1 に設定します
クライアントのホスト名を myclient に設定します
クライアント ID を 010003BA152A42 に設定します
wanboot-cgi プログラムの場所を http://192.168.198.135/cgi-bin/wanboot-cgi/ に設定します
キーの値を表示する方法については、wanbootutil(1M) のマニュアルページを参照してください。
ネットワークブート引数を設定する方法については、set(1) のマニュアルページを参照してください。
システムをブートする方法については、boot(1M) のマニュアルページを参照してください。
この章では、広域ネットワーク (WAN) 経由でクライアントシステムの設定とインストールを行う例を示します。この例では、HTTPS 接続を介してセキュリティー保護された WAN ブートインストールを実行する方法について説明します。
図 13–1 は、この例で使用するサイトの設定を示しています。
このサイト例には次のような特徴があります。
サーバー wanserver-1 は、WAN ブートサーバーおよびインストールサーバーとして構成されます。
wanserver-1 の IP アドレスは 192.168.198.2 です。
wanserver-1 のドメイン名は www.example.com です。
wanserver-1 では、Solaris 最新リリースが稼動しています。
wanserver-1 では、Apache Web サーバーが稼働しています。wanserver-1 の Apache ソフトウェアは、HTTPS をサポートするように構成されています。
インストール対象であるクライアントの名前は wanclient-1 です。
wanclient-1 は UltraSPARCII システムです。
wanclient-1 のクライアント ID は 010003BA152A42 です。
wanclient-1 の IP アドレスは 192.168.198.210 です。
クライアントのサブネットの IP アドレスは 192.168.198.0 です。
クライアントシステム wanclient-1 は、インターネットにアクセスできますが、wanserver-1 が置かれているネットワークには直接接続されていません。
wanclient-1 に対して、新たに Solaris 最新リリースソフトウェアをインストールします。
インストールファイルとデータを保存するために、wanserver-1 のドキュメントルートディレクトリ (/opt/apache/htdocs) に次のディレクトリを作成します。
Solaris フラッシュのディレクトリ
wanserver-1# mkdir -p /opt/apache/htdocs/flash/ |
WAN ブートミニルートのディレクトリ
wanserver-1# mkdir -p /opt/apache/htdocs/miniroot/ |
wanboot プログラムのディレクトリ
wanserver-1# mkdir -p /opt/apache/htdocs/wanboot/ |
setup_install_server(1M) に -w オプションを指定して実行することで、WAN ブートミニルートと Solaris ソフトウェアイメージを、wanserver-1 の /export/install/Solaris_10 ディレクトリにコピーします。
wanserver-1 に接続されているメディアドライブに Solaris SOFTWARE のメディアを挿入します。次のコマンドを入力します。
wanserver-1# mkdir -p /export/install/cdrom0 wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools wanserver-1# ./setup_install_server -w /export/install/cdrom0/miniroot \ /export/install/cdrom0 |
WAN ブートサーバーのドキュメントルートディレクトリ (/opt/apache/htdocs/) に、WAN ブートミニルートを移動します。
wanserver-1# mv /export/install/cdrom0/miniroot/miniroot \ /opt/apache/htdocs/miniroot/miniroot.s10_sparc |
クライアントシステムに次のコマンドを入力して、クライアントの OBP が WAN ブートに対応しているかどうかを調べます。
# eeprom | grep network-boot-arguments network-boot-arguments: data not available |
上の例では、出力に network-boot-arguments: data not available が表示されているので、クライアントOBP は WAN ブートに対応しています。
wanboot プログラムを WAN ブートサーバーにインストールするには、Solaris SOFTWARE のメディアから WAN ブートサーバーのドキュメントルートディレクトリに、このプログラムをコピーします。
wanserver-1 に接続されているメディアドライブに Solaris DVD または Solaris SOFTWARE - 1 CD を挿入し、次のコマンドを入力します。
wanserver-1# cd /cdrom/cdrom0/s0/Solaris_10/Tools/Boot/platform/sun4u/ wanserver-1# cp wanboot /opt/apache/htdocs/wanboot/wanboot.s10_sparc |
WAN ブートサーバーの /etc/netboot ディレクトリに、wanclient-1 のサブディレクトリを作成します。WAN ブートインストールプログラムは、インストール時に、このディレクトリから構成情報とセキュリティー情報を取得します。
wanclient-1 は、サブネット 192.168.198.0 上にあり、010003BA152A42 というクライアント ID を持っています。/etc/netboot に wanclient-1 用の適切なサブディレクトリを作成するには、次の作業を実行します。
/etc/netboot ディレクトリを作成します。
/etc/netboot ディレクトリのアクセス権を 700 に変更します。
/etc/netboot ディレクトリの所有権を Web サーバープロセスの所有者に渡します。
Web サーバーユーザーと同じ役割になります。
/etc/netboot ディレクトリに、サブネット名と同じ名前のサブディレクトリ 192.168.198.0 を作成します。
このサブネットディレクトリに、クライアント ID と同じ名前のサブディレクトリを作成します。
/etc/netboot のサブディレクトリのアクセス権を 700 に変更します。
wanserver-1# cd / wanserver-1# mkdir /etc/netboot/ wanserver-1# chmod 700 /etc/netboot wanserver-1# chown nobody:admin /etc/netboot wanserver-1# exit wanserver-1# su nobody Password: nobody# mkdir -p /etc/netboot/192.168.198.0/010003BA152A42 nobody# chmod 700 /etc/netboot/192.168.198.0 nobody# chmod 700 /etc/netboot/192.168.198.0/010003BA152A42 |
Solaris 最新リリースが稼働しているシステムでは、wanboot-cgi プログラムは /usr/lib/inet/wanboot/ ディレクトリに置かれています。WAN ブートサーバーからインストールデータを転送できるようにするには、Web サーバーソフトウェアのディレクトリにある cgi-bin ディレクトリに wanboot-cgi プログラムをコピーします。
wanserver-1# cp /usr/lib/inet/wanboot/wanboot-cgi \ /opt/apache/cgi-bin/wanboot-cgi wanserver-1# chmod 755 /opt/apache/cgi-bin/wanboot-cgi |
デフォルトでは、WAN ブートログメッセージはすべて、クライアントシステムに表示されます。このデフォルトの動作により、インストールの問題をすばやくデバッグできます。
WAN ブートサーバー上でブートメッセージおよびインストールメッセージを表示するには、wanserver-1 の cgi-bin ディレクトリに bootlog-cgi スクリプトをコピーします。
wanserver-1# cp /usr/lib/inet/wanboot/bootlog-cgi /opt/apache/cgi-bin/ wanserver-1# chmod 755 /opt/apache/cgi-bin/bootlog-cgi |
WAN ブートインストールで HTTPS を使用するには、Web サーバーソフトウェアの SSL サポートを有効にする必要があります。また、WAN ブートサーバーにデジタル証明書をインストールすることも必要です。この例では、wanserver-1 上の Apache Web サーバーが SSL を使用するように構成されていると仮定しています。この例ではまた、wanserver-1 の識別情報を確立するデジタル証明書および認証局が、すでに wanserver-1 にインストールされていると仮定しています。
SSL を使用するように Web サーバーソフトウェアを構成する方法については、Web サーバーのマニュアルを参照してください。
クライアントに対して身分証明を行うようサーバーに要求することで、HTTPS を介してサーバーからクライアントに転送されるデータを保護できます。サーバー認証を有効にするには、信頼できる証明書をクライアントに提供します。信頼できる証明書に従って、クライアントはインストール時にサーバーの識別情報を確認します。
信頼できる証明書をクライアントに提供するには、Web サーバーユーザーと同じユーザー役割になる必要があります。その後、証明書を分割して、信頼できる証明書を抽出します。次に、/etc/netboot ディレクトリにあるクライアントの truststore ファイルに、信頼できる証明書を挿入します。
この例では、Web サーバーユーザー役割 nobody になります。続いて、cert.p12 という名前の、サーバーの PKCS#12 証明書を分割して、/etc/netboot ディレクトリにある wanclient-1 用のディレクトリに、信頼できる証明書を挿入します。
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -t \ /etc/netboot/192.168.198.0/010003BA152A42/truststore |
インストール時にデータをさらに保護するために、wanserver-1 に対して身分証明を行うよう wanclient-1 に要求することもできます。WAN ブートインストールでクライアント認証を有効にするには、/etc/netboot ディレクトリのクライアントのサブディレクトリに、クライアントの証明書と非公開鍵を挿入します。
クライアントに非公開鍵と証明書を提供するには、次の手順に従います。
Web サーバーユーザーと同じ役割になります
PKCS#12 ファイルを、非公開鍵とクライアント証明書に分割します
クライアントの certstore ファイルに証明書を挿入します
クライアントの keystore ファイルに非公開鍵を挿入します
この例では、Web サーバーユーザー役割 nobody になります。続いて、cert.p12 という名前の、サーバーの PKCS#12 証明書を分割します。/etc/netboot ディレクトリにある wanclient-1 用のサブディレクトリに、証明書を挿入します。wanclient.key という名前を付けた非公開鍵を、クライアントの keystore ファイルに挿入します。
wanserver-1# su nobody Password: wanserver-1# wanbootutil p12split -i cert.p12 -c \ /etc/netboot/192.168.198.0/010003BA152A42/certstore -k wanclient.key wanserver-1# wanbootutil keymgmt -i -k wanclient.key \ -s /etc/netboot/192.168.198.0/010003BA152A42/keystore \ -o type=rsa |
サーバーとクライアントの間で転送されるデータを保護するには、ハッシュキーと暗号化鍵を作成します。サーバーはハッシュキーを使って、wanboot プログラムの完全性を保護します。サーバーは暗号化鍵を使って、構成データとインストールデータを暗号化します。クライアントはハッシュキーを使って、ダウンロードした wanboot プログラムの完全性を確認します。クライアントは暗号化鍵を使って、インストール時にデータを復号化します。
まず、Web サーバーユーザーと同じ役割になります。この例の場合、Web サーバーユーザー役割は nobody です。
wanserver-1# su nobody Password: |
次に、wanbootutil keygen コマンドを使用して、wanserver-1 の HMAC SHA1 マスターキーを作成します。
wanserver-1# wanbootutil keygen -m |
次に、wanclient-1 のハッシュキーと暗号化鍵を作成します。
wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 wanserver-1# wanbootutil keygen -c -o net=192.168.198.0,cid=010003BA152A42,type=3des |
上記のコマンドは、wanclient-1 の HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を作成します。192.168.198.0 は wanclient-1 のサブネット、010003BA152A42 は wanclient-1 のクライアント ID です。
この例では、wanserver-1 マスターシステムのクローンを作成することで、Solaris フラッシュアーカイブを作成します。このアーカイブは sol_10_sparc という名前で、マスターシステムから正確にコピーされます。アーカイブはマスターシステムの完全な複製です。アーカイブは sol_10_sparc.flar に格納されます。WAN ブートサーバーのドキュメントルートディレクトリの flash/archives サブディレクトリにこのアーカイブを保存します。
wanserver-1# flarcreate -n sol_10_sparc \ /opt/apache/htdocs/flash/archives/sol_10_sparc.flar |
wanclient-1 システムを事前設定するには、キーワードと値を sysidcfg ファイルに指定します。wanserver-1 のドキュメントルートディレクトリの適切なサブディレクトリにこのファイルを保存します。
wanclient-1 用の sysidcfg ファイルの例を次に示します。このシステムのホスト名、IP アドレス、およびネットマスクは、ネームサービスを編集することにより、すでに事前設定されています。このファイルは、/opt/apache/htdocs/flash/ ディレクトリに置かれます。
network_interface=primary {hostname=wanclient-1 default_route=192.168.198.1 ip_address=192.168.198.210 netmask=255.255.255.0 protocol_ipv6=no} timezone=US/Central system_locale=C terminal=xterm timeserver=localhost name_service=NIS {name_server=matter(192.168.254.254) domain_name=leti.example.com } security_policy=none
wanclient-1 システム用に、wanclient_1_prof という名前のプロファイルを作成します。wanclient_1_prof ファイルには次のようなエントリがあり、wanclient-1 システムに Solaris 最新リリースソフトウェアをインストールするように定義しています。
# profile keywords profile values # ---------------- ------------------- install_type flash_install archive_location https://192.168.198.2/flash/archives/cdrom0.flar partitioning explicit filesys c0t1d0s0 4000 / filesys c0t1d0s1 512 swap filesys c0t1d0s7 free /export/home
この例で使用されているキーワードと値の一部について、次のリストで説明します。
このプロファイルにより、Solaris フラッシュアーカイブがクローンシステムにインストールされます。すべてのファイルは、初期インストールにより上書きされます。
圧縮された Solaris フラッシュアーカイブが wanserver-1 から取得されます。
値が explicit であるため、ファイルシステムスライスは filesys キーワードによって指定します。ルート (/) のサイズは Solaris フラッシュアーカイブのサイズに基づいて割り当てています。swap は、必要なサイズを割り当てた上で、c0t1d0s1 上にインストールされるように設定しています。/export/home のサイズは残りのディスク容量に基づいて決定されます。/export/home は c0t1d0s7 上にインストールされます。
カスタム JumpStart プログラムでは、wanclient-1 システム用の正しいインストールプロファイルを選択するために、rules ファイルが使用されます。rules という名前のテキストファイルを作成します。次に、このファイルにキーワードと値を追加します。
wanclient-1 システムの IP アドレスは 192.168.198.210 で、ネットマスクは 255.255.255.0 です。network ルールキーワードを使って、カスタム JumpStart プログラムで wanclient-1 のインストールに使用するプロファイルを指定します。
network 192.168.198.0 - wanclient_1_prof - |
この rules ファイルは、wanclient_1_prof を使って wanclient-1 に Solaris 最新リリースソフトウェアをインストールするよう、カスタム JumpStart プログラムに指示します。
このルールファイルに wanclient_rule という名前を付けます。
プロファイルと rules ファイルを作成したあと、check スクリプトを実行して、ファイルの妥当性を検査します。
wanserver-1# ./check -r wanclient_rule |
check スクリプトによってエラーが検出されない場合は、rules.ok ファイルが作成されます。
rules.ok ファイルを /opt/apache/htdocs/flash/ ディレクトリに保存します。
システム構成ファイルを作成して、インストールサーバー上の sysidcfg ファイルとカスタム JumpStart ファイルの場所を記述します。WAN ブートサーバーがアクセスできるディレクトリに、このファイルを保存します。
次の例では、wanboot-cgi プログラムは、WAN ブートサーバーのドキュメントルートディレクトリ内で sysidcfg ファイルとカスタム JumpStart ファイルを検索します。WAN ブートサーバーのドメイン名は https://www.example.com です。WAN ブートサーバーは HTTPS を使用するように構成されているため、インストール時にデータとファイルが保護されます。
この例では、システム構成ファイルは sys-conf.s10–sparc という名前で、WAN ブートサーバーの /etc/netboot ディレクトリ内に保存されます。sysidcfg ファイルとカスタム JumpStart ファイルは、ドキュメントルートディレクトリの flash サブディレクトリに置かれています。
SsysidCF=https://www.example.com/flash/ SjumpsCF=https://www.example.com/flash/
WAN ブートは、wanboot.conf ファイルに記述されている構成情報を使ってクライアントマシンのインストールを行います。テキストエディタを使って wanboot.conf ファイルを作成します。WAN ブートサーバー上の /etc/netboot ディレクトリにある該当のクライアントのサブディレクトリに、このファイルを保存します。
次の wanclient-1 用の wanboot.conf ファイルには、HTTPS を使って WAN インストールを行うための構成情報が記述されています。このファイルは WAN ブートに対して、HMAC SHA1 ハッシュキーと 3DES 暗号化鍵を使ってデータを保護することも指示しています。
boot_file=/wanboot/wanboot.s10_sparc root_server=https://www.example.com/cgi-bin/wanboot-cgi root_file=/miniroot/miniroot.s10_sparc signature_type=sha1 encryption_type=3des server_authentication=yes client_authentication=no resolve_hosts= boot_logger= system_conf=sys-conf.s10–sparc
この wanboot.conf ファイルで指定されている構成は次のとおりです。
wanboot プログラムの名前は wanboot.s10_sparc です。このプログラムは、wanserver-1 のドキュメントルートディレクトリ内の wanboot ディレクトリに置かれています。
wanserver-1 上の wanboot-cgi プログラムの場所は https://www.example.com/cgi-bin/wanboot-cgi です。URL の https という部分は、この WAN ブートインストールで HTTPS を使用することを示しています。
WAN ブートミニルートの名前は miniroot.s10_sparc です。ミニルートは、wanserver-1 のドキュメントルートディレクトリ内の miniroot ディレクトリに置かれています。
wanboot プログラムと WAN ブートファイルシステムは、HMAC SHA1 ハッシュキーで署名されます。
wanboot プログラムと WAN ブートファイルシステムは、3DES 暗号化鍵で暗号化されます。
インストール時にサーバー認証が行われます。
インストール時にクライアント認証は行われません。
「(省略可能) クライアント認証用の非公開鍵と証明書の使用」の作業を実行した場合、このパラメータの設定は client_authentication=yes としてください
WAN インストールの実行に必要な追加のホスト名はありません。wanboot-cgi プログラムに必要なホスト名はすべて、wanboot.conf ファイルとクライアント証明書に指定されています。
ブートログメッセージとインストールログメッセージがシステムコンソール上に表示されます。「(省略可能) WAN ブートサーバーをログサーバーとして構成」でログサーバーを構成済みの場合で、WAN ブートサーバー上にも WAN ブートメッセージを表示するときは、このパラメータを boot_logger=https://www.example.com/cgi-bin/bootlog-cgi と設定します。
sysidcfg ファイルとカスタム JumpStart ファイルの場所を指定するシステム構成ファイルは、sys-conf.s10–sparc という名前で、wanserver-1 の /etc/netboot ディレクトリに置かれています。
この例では、wanserver-1 の /etc/netboot/192.168.198.0/010003BA152A42 ディレクトリに wanboot.conf ファイルを保存します。
boot net コマンドを使って WAN からクライアントをブートするには、net デバイス別名にクライアントの主ネットワークデバイスが設定されている必要があります。クライアントの ok プロンプトに devalias コマンドを入力して、net 別名に主ネットワークデバイス /pci@1f,0/pci@1,1/network@c,1 が設定されていることを確認します。
ok devalias screen /pci@1f,0/pci@1,1/SUNW,m64B@2 net /pci@1f,0/pci@1,1/network@c,1 net2 /pci@1f,0/pci@1,1/network@5,1 disk /pci@1f,0/pci@1/scsi@8/disk@0,0 cdrom /pci@1f,0/pci@1,1/ide@d/cdrom@0,0:f keyboard /pci@1f,0/pci@1,1/ebus@1/su@14,3083f8 mouse /pci@1f,0/pci@1,1/ebus@1/su@14,3062f8 |
上記の出力例では、主ネットワークデバイス /pci@1f,0/pci@1,1/network@c,1 が net 別名に割り当てられています。別名を設定し直す必要はありません。
「サーバーとクライアントのキーの作成」で、インストール時にデータを保護するためのハッシュキーと暗号化鍵を作成しました。インストール時に wanserver-1 から転送されるデータをクライアントが復号化できるようにするには、これらのキーを wanclient-1 にインストールします。
wanserver-1 上でキーの値を表示します。
wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 wanserver-1# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
上記の例では、次の情報が使用されています。
クライアントのサブネットの IP アドレスを指定します。
クライアント ID を指定します。
クライアントの HMAC SHA1 ハッシュキーの値です。
クライアントの 3DES 暗号化鍵の値です。
インストールで AES 暗号化鍵を使用する場合、この暗号化鍵の値を表示するには、type=3des を type=aes に変更します。
wanclient-1 の ok プロンプトで、キーをインストールします。
ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463 ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 |
上記のコマンドは、次の処理を実行します。
b482aaab82cb8d5631e16d51478c90079cc1d463 という値を持つ HMAC SHA1 ハッシュキーを wanclient-1 にインストールします
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04 という値を持つ 3DES 暗号化鍵を wanclient-1 にインストールします
自動インストールを実行するには、wanclient-1 の ok プロンプトでネットワークブート引数を設定してから、クライアントをブートします。
ok setenv network-boot-arguments host-ip=192.168.198.210, router-ip=192.168.198.1,subnet-mask=255.255.255.0,hostname=wanclient-1, file=http://192.168.198.2/cgi-bin/wanboot-cgi ok boot net - install Resetting ... Sun Blade 100 (UltraSPARC-IIe), No Keyboard Copyright 1998-2003 Sun Microsystems, Inc. All rights reserved. OpenBoot 4.x.build_28, 512 MB memory installed, Serial #50335475. Ethernet address 0:3:ba:e:f3:75, Host ID: 83000ef3. Rebooting with command: boot net - install Boot device: /pci@1f,0/network@c,1 File and args: - install <time unavailable> wanboot progress: wanbootfs: Read 68 of 68 kB (100%) <time unavailable> wanboot info: wanbootfs: Download complete Fri Jun 20 09:16:06 wanboot progress: miniroot: Read 166067 of 166067 kB (100%) Fri Jun 20Tue Apr 15 09:16:06 wanboot info: miniroot: Download complete SunOS Release 5.10 Version WANboot10:04/11/03 64-bit Copyright 1983-2003 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Configuring devices. |
次の変数が設定されます。
クライアントの IP アドレスは 192.168.198.210 に設定されます。
クライアントのルーター IP アドレスは 192.168.198.1 に設定されます。
クライアントのサブネットマスクは 255.255.255.0 に設定されます。
クライアントのホスト名は wanclient-1 に設定されます。
wanboot-cgi プログラムは http://192.168.198.2/cgi-bin/wanboot-cgi に置かれています。
クライアントのインストールが WAN 経由で実行されます。wanboot プログラムに必要なインストール情報が見つからない場合は、不足している情報の入力を求めるプロンプトが表示されることがあります。
この章では、WAN インストールの実行に使用するコマンドとファイルについて簡単に説明します。
次の表では、WAN インストールの実行に使用するコマンドについて説明します。
表 14–1 WAN ブートのインストールファイルと構成ファイルの準備表 14–2 WAN ブートのセキュリティーファイルの準備
次の表は、WAN ブートインストールを実行するためにクライアントの ok プロンプトに入力する OBP コマンドの一覧です。
表 14–3 WAN ブートインストール用の OBP コマンド
システム構成ファイルでは、次のファイルの場所を WAN ブートインストールプログラムに指示できます。
sysidcfg
rules.ok
カスタム JumpStart プロファイル
システム構成ファイルは、プレーンテキストファイルで、次の書式に従う必要があります。
設定=値
system.conf ファイルには、次の設定を含める必要があります。
この設定は、sysidcfg ファイルが置かれているインストールサーバー上のディレクトリを指示します。HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。
この設定は、rules.ok ファイルとプロファイルファイルが置かれているカスタム JumpStart ディレクトリを指示します。HTTPS を使って WAN インストールを行う場合は、有効な HTTPS URL を設定してください。
WAN ブートサーバーがアクセスできるディレクトリであればどこにでも、system.conf を保存できます。
wanboot.conf ファイルは、プレーンテキストの構成ファイルで、WAN インストールを実行するために WAN ブートインストールプログラムで使用されます。次のプログラムとファイルは、wanboot.conf ファイルに記述されている情報を使ってクライアントマシンのインストールを行います。
wanboot-cgi プログラム
WAN ブートファイルシステム
WAN ブートミニルート
WAN ブートサーバー上の /etc/netboot ディレクトリにある該当のクライアントのサブディレクトリに、この wanboot.conf ファイルを保存してください。/etc/netboot ディレクトリを使って WAN ブートインストールの適用範囲を定義する方法については、「WAN ブートサーバーに /etc/netboot ディレクトリを作成する」を参照してください。
wanboot.conf ファイルに情報を指定するには、パラメータとその値を次の書式で列挙します。
パラメータ=値
パラメータエントリは 1 行に収める必要があります。先頭に # という文字を付加することで、ファイルにコメントを追加できます。
wanboot.conf ファイルの詳細については、wanboot.conf(4) のマニュアルページを参照してください。
wanboot.conf ファイルには、次のパラメータを設定する必要があります。
このパラメータは、wanboot プログラムへのパスを指定します。値は、WAN ブートサーバーのドキュメントルートディレクトリからの相対パスです。
boot_file=/wanboot/wanboot.s10_sparc
このパラメータは、WAN ブートサーバー上の wanboot-cgi プログラムの URL を指定します。
このパラメータは、WAN ブートサーバー上の WAN ブートミニルートへのパスを指定します。値は、WAN ブートサーバーのドキュメントルートディレクトリからの相対パスです。
root_file=/miniroot/miniroot.s10_sparc
このパラメータは、転送されるデータとファイルの完全性をチェックするために使用するハッシュキーのタイプを指定します。
このパラメータは、wanboot プログラムと WAN ブートファイルシステムの暗号化に使用する暗号化タイプを指定します。
このパラメータは、WAN ブートインストール時にサーバー認証を行うかどうかを指定します。
サーバー認証を伴う、あるいはサーバー認証とクライアント認証の両方を伴う WAN ブートインストールの場合は、yes を設定します。また、signature_type には sha1、encryption_type には 3des または aes、および root_server には HTTPS の URL を設定する必要があります。
server_authentication=yes
サーバー認証やクライアント認証を使用しない、セキュリティー保護されない WAN ブートインストールの場合は、no を設定します。値を空のままにしてもかまいません。
server_authentication=no
このパラメータは、WAN ブートインストール時にクライアント認証を行うかどうかを指定します。
このパラメータは、インストール時に wanboot-cgi プログラムに対して解決する必要のある、追加のホストを指定します。
wanboot.conf ファイルやクライアントの証明書で事前に指定されていないシステムのホスト名を値として設定します。
このパラメータは、ログサーバー上の bootlog-cgi スクリプトの URL を指定します。
このパラメータは、sysidcfg ファイルとカスタム JumpStart ファイルの場所が記述されている、システム構成ファイルへのパスを指定します。
Web サーバー上の sysidcfg ファイルとカスタム JumpStart ファイルへのパスを値として設定します。
system_conf=sys.conf